Inhaltsverzeichnis
Technischer Bericht
| Version | Status | Datum | Autor:in | URL |
|---|---|---|---|---|
| 0.1 | Erster Entwurf | 17.05.2023 | S. E. | |
| 0.2 | Ergänzungen | TT.MM.JJJJ | Vorname Nachname | |
| 1.0 | Review und Freigabe | TT.MM.JJJJ | Vorname Nachname |
1. Kurzfassung
auf einem Windoze-Server soll NPS/Radius installiert und für die Verwendung mit pfSense konfiguriert werden, damit man sich mit zentraler Authentifizierung an der pfSense anmelden kann. Das ganze findet in der GNS3-Umgebung virtualisiert statt.
2. Hauptteil
Schritt 1: Netzwerktopologie erstellen
Auf dem GNS3-Server wird folgende Topologie erstellt:
 |
Schritt 2: Windoze-Server installieren
Siehe Installationsanleitung Windows Server unter Anleitung
1. Schritt: Windows Server 2019 erstellen.
Schritt 1a: Installieren und Grundeinrichtung von Windows Server 2019
Starten sie nun den Server. Wenn alles richtig läuft, wird nun die Installation von Windows Server 2019 gestartet. Wenn die Aufstartung erfolgt ist, sollte es nun so aussehen:
Klicken sie auf den Pfeil nach unten rechts von «Uhrzeit und Währungsformat» an, und wählen sie «Deutsch (Schweiz)». Klicken sie dann auf weiter. Klicken sie nun auf «Jetzt installieren» nun startet das setup von Windows Server 2019. Wenn es aufgestartet ist, sollte es nun folgendermassen aussehen:
WICHTIG! Klicken sie «Windows Server 2019 Standard (Desktopdarstellung)» an. Wenn sie stattdessen «Windows Server 2019 Standard » Wählen, wird nur eine Textversion von Windows Server 2019 installiert. Diese kann nur via texteingaben bedint werden ähnlich wie z. B. MS-DOS. Deshalb unglaublich wichtig dass sie «Windows Server 2019 Standard (Desktopdarstellung)» wählen. Klicken sie auf weiter. Klicken sie im Nächsten fenster die box neben «Ich akzeptiere die Lizenzbedingungen» an. Klicken sie dann auf weiter. Klicken sie dann im nächsten fenster auf «Benutzerdefiniert: nur Windows installieren (für fortgeschrittene Benutzer)». Nun gelangen sie auf das folgende fenster:
Klicken sie Nun auf «Neu». Geben sie nun im Textfeld neben «Grösse» 40960 ein. Klicken sie nun auf übernehmen. Eine meldung wird nun auftreten die sagen wird, dass eventuell mehrere Partitionen erstellt werden. Klicken sie auf OK. Es wird nun eine Partition erstellt. Nachdem die Partition erstellt wurde, klicken sie auf «Nicht zugewiesener speicher» und dann wieder auf neu. Diesmahl können sie direkt auf «Übernehmen» Klicken. Wir haben nun zwei Partitionen erstellt. Damit wir gewisse daten unabhängig speichern können von den dateien die für windows gebraucht werden. Klicken sie nun auf «Laufwerk 0 Partition 2» und danach auf weiter. Nun Wird Windows Server 2019 installiert. Dieser vorgang kann ein paar minuten in anspruch nehmen. Drücken sie Wärenddessen keine taste. Die Installierung war erfolgreich wenn es so aussieht:
Nun kann mit der Einrichtung begonnen werden. Den benutzername können sie bei der ersteinrichtung nicht ändern. Geben sie nun im Textfeld bei Kennnwort ein Passwort ihrer wahl ein. Wiederholen sie das Passwort im unteren textfeld. Mit diesem Passwort werden sie sich nachher in Windows einloggen. Klicken sie danach auf «Fertig stellen». Die Ersteinrichtung wird damit abgeschlossen. Nun sollten sie auf folgenden bildschirm gelangen:
Drücken sie die Tasten Ctrl, Alt und Delete gleichzeitig um zur Passworteingabe fortzufahren. Geben sie nun das Passwort was sie vorhin eingestellt haben ein. Nun sind sie in Windows Server 2019 eingeloggt. Warten sie bis alles aufgestartet ist. Dies wird dan folgendermassen aussehen:
Klicken sie auf der rechten Leiste auf Nein. Nun ist zu sehen der server Manager von Windows Server 2019. Dieser ist notwendig für die Nutzung als server. Jedoch brauchen sie im moment den Server manager nicht. Deshalb schliessen sie ihn einfach. Nun ist Windows Server 2019 eingerichtet. Sie können nun zum nächsten schritt fortfahren.
2. Schritt: Einrichtung des Active-Directory Dienstes
Da sie nun den Server haben den sie für die erstellung des Rafisa Netzwerkes haben, Können sie nun mit dem aufbau des Netzwerkes beginnen. Sie fangen dafür mit dem Active-Directory dienst an. Dieser kann die Authentifizierung und Autorisierung im einem Netzwerk regeln, so dass sich Nutzer mit ihren daten auch auf anderen PCs im Netzwerk einloggen können.
Schritt 2a: Einrichtung des Active-Directory Dienstes
Da sie nun den Server eingerichtet haben, können sie nun den Active-Directory Dienst einrichten. Zuerst müssen sie Jedoch die IP-Adresse und das Gateway bestimmen. Dies tuen sie wie hier unten beschrieben: Klicken sie auf den Windows-Knopf, und geben sie «Server-Manager» ein. Drücken sie nun die Enter Taste. Nun sollten sie im Server-Manager sein. Dieser sieht wie folgt aus:
Klicken sie nun, in der linken leiste, auf Lokaler Server. Nun erscheint ein neues Menü wie folgt:
Klicken sie nun bei Ethernet auf «IPv4 Adresse wird über DHCP zugewiesen». Ein neues Fenster erscheint. Führen sie nun auf «Ethernet» einen Klick mit der rechten Maustaste aus. Klicken sie im neu erschienenen Drop-Down Menü auf «Eigenschaften». Ein weiters Fenster erscheint. Klicken sie dort nun auf «Internetprotokoll, Version 4 (TCP/IPv4)». Nochmals erscheint ein Fenster. Dieses sieht nun wie folgt aus:
Klicken sie den Kreis neben «Folgende IP-Adresse verwenden» so dass er Schwarz ausgefüllt wird. Geben sie nun die folgenden werte ein: Bei «IP-Adresse» geben sie «10.0.2.15» ein Bei «Subnetzmaske» geben sie «255.255.255.0» ein Bei «Standartgateway» geben sie «10.0.2.2» ein Bei «Bevorzugter DNS-Server» geben sie die IP-Adresse, die wir schon vorher eingegeben haben. Klicken sie nach Eingabe der Werte, OK an. Die zwei Fenster «Eigenschaft von Ethernet» und «Netzwerkverbindungen» können geschlossen werden Klicken sie nun auf der Leiste oben-rechts auf «Verwalten». Klicken sie im nun neu erschienenen Drop-Down Menü auf «Rollen und Features hinzufügen»
Ein neues Fenster öffnet sich nun. In diesem neuen Fenster klicken sie auf dem unteren Teil, die Box neben «Diese Seite standartmässig überspringen» an. Klicken sie nun auf «Weiter». Klicken sie nun wieder auf «Weiter». Klicken sie wieder auf «Weiter». Nun sollten sie hier angelangt sein:
Wählen sie «Active Directory-Domänendienste» aus. Wenn eine Aufforderung kommt, ob erforderliche dienste hinzugefügt werden sollten, klicken sie «Features hinzufügen» an. Klicken sie «Weiter». Klicken sie wieder auf «Weiter», und wieder auf «Weiter». Klicken sie nun auf «Installieren». Warten sie nun, bis die Installation abgeschlossen ist. Klicken sie nun in der Mitte auf «Server zu einem Domänencontroller heraufstufen». Nun startet der Assistent zur Konfigurierung des ADD*. Dies wird so aussehen:
*Active-Directory-Domänendienst
Klicken sie auf «Neue Gesamtstruktur hinzufügen». Geben sie daraufhin im Textfeld neben «Domäne» «rafisa.org» ein. Klicken sie auf weiter. Auf der nächsten Seite geben sie bei «Kennwort» ein Passwort ihrer Wahl ein. Klicken sie auf «Weiter». Klicken sie auf der nächsten Seite wieder auf «Weiter». Klicken sie dann wieder auf «Weiter». Klicken sie nochmals auf «Weiter». Nun wird eine Prüfung durchgeführt. Wenn alles gut verläuft, wird die Prüfung mit zwei Fehlern auftauchen. 1. Das die Abwärtskompatibilität zu Windows NT 4.0 nicht gewährleistet werden kann. 2. Das für den DNS keine Delegierung erstellt werden kann. Diese sind jedoch nicht wichtig für ihr Ziel. Deshalb können sie die Installation einfach fortsetzen, indem sie auf «Installieren» Klicken. Nun wird der Server zu einem Domaincontroller heraufgestuft. Dies können einige Minuten in Anspruch nehmen. Nach dem Abschluss der Installation, wird der Server neustarten. Nach dem Neustart wird der Login-Bildschirm folgendermassen aussehen:
Vor «Administrator» steht nun «rafisa\» und unten-links steht nun auch «Anderer Benutzer». Wenn dies der Fall ist, ist der Active Directory dienst erfolgreich gestartet.
Schritt 2b: Einrichtung der Benutzer und Gruppen,
Jetzt können sie die Benutzer und Gruppen konfigurieren. Das heisst, dass wen ein Benutzer im ADD eingetragen ist, Mann mit seinen Benutzername und Passwort sich auf allen PCs, die in der Domäne sind, sich einloggen kann, ohne jedes mahl einen neuen Benutzer zu erstellen. Dies werden sie folgendermassen erledigen: Loggen sie sich wieder ein und warten sie bis der Server-Manager aufgestartet ist. Im Server-Manager klicken sie nun oben-rechts auf «Tools» und im neuen Drop-down Menü auf Active Directory-Benutzer und -Computer». Ein neues Fenster öffnet sich nun und wird folgendermassen aussehen:
Klicken sie nun in der Zweitobersten leiste auf den Ordner mit dem Stern:
Damit kreieren sie einen unterordner. Bennen sie den Ordner «Benutzer» und klicken sie auf «OK». Klicken sie auf «rafisa.org» und Wiederholen sie den Vorgang nochmals und benennen sie den Ordner diesmal «Gruppen». Nun klicken sie auf den Ordner «Gruppen». Klicken sie nun auf das Symbol mit zwei Personen und mit einem Stern oben-links an.
Ein neues Fenster wird sich öffnen. Hier können sie eine gruppe erstellen. Geben sie nun bei «Gruppenname» den Namen einer Gruppe ein. Sie haben nun eine gruppe erstellt. Wiederholen sie den Vorgang, um die Gruppen zu erstellen. Unterhalb sind Fünf Beispielgruppen aufgelistet. „Gl“,«Distribution», «Sekretariat», «Technik» und «Einkauf» Nun wurden die Gruppen erstellt. Fahren sie nun fort zu den Benutzern: Klicken sie nun auf den Ordner «Benutzer». Klicken sie nun auf das Symbol mit der Person und dem Stern oben links.
Nun erscheint folgendes Fenster:
Hier geben sie die werte für einen AD-Benutzer ein Unten ist ein beispielbenutzer eingetragen:
Vorname: «Hans»
Nachname: «Müller»
Benutzeranmeldename: «hans.mueller»
Klicken sie auf «Weiter» Auf der nächsten Seite geben sie ein Platzhalterpasswort ihrer Wahl ein. Klicken sie danach auf «Weiter». Klicken sie nun auf «Fertig stellen», um den Benutzer zu erstellen. Wiederholen sie nun den Vorgang, um nun mehrere Benutzer hinzuzufügen. Unterhalb sind wieder Beispielbenutzer aufgelistet:
Vorname: «Joseph»
Name: «Wolf»
Benutzeranmeldename: «joseph.wolf»
Vorname: «Miriam»
Name: «Meier»
Benutzeranmeldename: «miriam.meier»
Vorname: «Samuel»
Name: «Reverdin»
Benutzeranmeldename: «samuel.reverdin»
Vorname: «Roger»
Name: «Schweizer»
Benutzeranmeldename: «roger.schweizer»
Nun haben sie die Benutzer erstellt. Nun sollten diese Benutzer auch den Gruppen hinzugefügt werden, die sie gerade eben erstellt haben. Dies tun sie wie folgt: Führen sie einen rechtsklick auf den Benutzer, den sie in eine gruppe hinzufügen wollen, aus. Im neuen Drop-down Menü, klicken sie «Einer Gruppe hinzufügen…» an. Nun erscheint das folgende Fenster:
Geben sie im Textfeld den Gruppenname ein. Darauf klicken sie auf «Namen überprüfen». Wenn der Name mit einer Gruppe übereinstimmt, wird der Name im Textfeld unterstrichen werden. Klicken sie dann auf «OK». Damit haben sie den Benutzer in eine Gruppe hinzugefügt. Führen sie diesen Vorgang durch, um alle Benutzer in die Gruppen zu hinzufügen. Unten aufgelistet ist der Benutzer: und die gruppe, in die der Benutzer hinzugefügt werden sollte für die Beispielbenutzer.
Benutzer: «Hans Müller»
Gruppe: «GL»
Benutzer: «Joseph Wolf»
Gruppe: «Technik und GL»
Benutzer: «Miriam Meier»
Gruppe: «Sekretariat»
Benutzer: «Samuel Reverdin»
Gruppe: «Vertrieb»
Benutzer: «Roger Schweizer»
Gruppe: «Einkauf»
Wenn sie dies getan haben, haben sie nun erfolgreich die Benutzer für die Domäne konfiguriert. Sie können nun zum nächsten Schritt fortfahren.
Schritt 2c: von einem Windows Client in die Domäne beitreten
Nun haben sie auf Windows Server 2019 die Domäne erstellt und den ADD eingerichtet. Doch bevor sie im Windows Client PC in die Domäne beitreten können, müssen sie die IP-Adresse noch manuell einstellen. Dies tun sie wie folgt: Starten sie den Windows Client PC und loggen sie sich ein. Klicken sie auf den Windows-Knopf. Geben sie nun «Ethernet-Einstellungen» ein und drücken sie Enter. Es erscheint nun wieder ein Fenster wie folgt:
Klicken sie nun auf «Adapteroptionen ändern» Führen sie nun auf «Ethernet» einen Klick mit der rechten Maustaste aus. Klicken sie im neu erschienenen Drop-Down Menü auf «Eigenschaften». Ein weiters Fenster erscheint. Klicken sie dort nun auf «Internetprotokoll, Version 4 (TCP/IPv4)». Nochmals erscheint ein Fenster. Dieses sieht nun wie folgt aus:
Klicken sie den Kreis neben «Folgende IP-Adresse verwenden» so dass er Schwarz ausgefüllt wird. Geben sie nun die folgenden werte ein:
Bei «IP-Adresse» geben sie «10.0.2.99» ein
Bei «Subnetzmaske» geben sie «255.255.255.0» ein
Bei «Standartgateway» geben sie «10.0.2.2» ein
Bei «DNS-Server» geben sie «10.0.2.15» ein
Klicken sie nun auf «OK». Sie können nun die Aufgemachten Fenster schliessen. Jetzt können sie der Domäne beitreten. Klicken sie den Windows-Knopf unten-links an. Geben sie nun «Einstellungen» ein und Drücken sie die Enter taste. Nun öffnet sich ein neues Fenster. Im neuen Fenster klicken sie auf «System». Scrollen sie nun in der linken leiste nach unten, und klicken sie «Info» an. Auf der rechten Seite scrollen sie runter. Klicken sie unten auf den Text «Diesen PC umbenennen (fortgeschritten)». Es öffnet sich nun ein neues Fenster, was wie unten im Bild aussieht:
Klicken sie nun auf «Ändern». Es öffnet sich nochmals ein Fenster.
Klicken sie auf den Kreis neben «Domäne». Geben sie nun unterhalb im Textfeld den vollen Namen der Domäne ein, was in diesem Fall «rafisa.org» ist. Klicken sie danach auf OK. Nun werden sie dazu aufgefordert, mit einem Konto sich einzuloggen was autorisiert ist zum Beitreten. Nutzen sie dafür den Benutzername und das Passwort des Administrator-Kontos des Windows Server 2019 Servers. Nach der Eingabe klicken sie auf «OK». Wenn alles nach Plan läuft, sollte kurz danach diese Meldung auftauchen:
Wenn dies der Fall ist, dann Herzlichen Glückwunsch! Sie haben eine funktionierende Domain erstellt und erfolgreich ein gerät hinzugefügt. Klicken sie auf «OK». Danach wird eine weitere Meldung auftauchen. Klicken sie auf «OK». Der PC wird nun Neustarten. Nach dem Neustart sollte nun in der Ecke unten-links «Anderer Benutzer» stehen
Dies bedeutet, dass der Client PC definitiv in der Domäne ist. Loggen sie sich wieder mit dem Client Account ein. Nun ist der Client-PC erfolgreich der Domäne beigetreten. Bevor sie jedoch zum nächsten Schritt fortfahren können, könnte ihnen etwas aufgefallen sein:
Das System zeigt an, dass kein Internet vorhanden ist. Deshalb testen sie bitte, ob dies stimmt. Gehen sie auf den Internet Explorer und geben sie in der oberen Leiste «www.google.com» ein. Wenn die Seite normal ladet, dann ist diese Meldung zu missachten und sie können den nächsten abschnitt überspringen.
#
Wenn nicht, liegt es daran, dass seit der Aufstufung zum Domain Controller, die DNS-Namens Auflösung nun über den Domain Controller läuft. Da die verschiedenen Domänen, auf ihrem Server nicht gespeichert sind, kann man sich nicht im Internet verbinden. Dies können sie jedoch sehr simpel lösen. Sie müssen in ihrem DNS-Server eine Weiterleitung einrichten. Dies können sie wie folgt machen: Öffnen sie in ihrem Windows Server 2019 Server den Server-Manager. Nun klicken sie auf «Tools», und dann auf «DNS». Sie sollten nun in folgende Einstellungen gelangen: Führen sie nun auf «DC-ZH-01» einen rechtsklick aus, und im drop-down Menü auf «Eigenschaften». Nun erscheint das folgende Fenster:
Klicken sie in der Leiste oben auf «Weiterleitungen». Darauf klicken sie auf «Bearbeiten» Jetzt sind sie in folgenden Einstellungen:
Geben sie «8.8.8.8» ein und drücken sie anschliessend Enter. Klicken sie dann auf «OK». Im Vorherigen Fenster, klicken sie auf «Übernehmen» und dann auf «OK». Klicken sie nun im DNS-Manager auf der oberen leiste auf «Aktion» und im Drop-Down Menü auf «Aktualisieren». Nun sollten alle DNS namenauflösungsanfragen auf «8.8.8.8» weitergeleitet werden. Wenn sie nun nochmals in Internet Explorer «www.google.com» eingeben, sollte nun Google angezeigt werden. Die Meldung wird zwar weiterhin bestehen, dass kein Internet besteht. Es ist jedoch nicht weiter zu beachten. Hinweis: Es kann vorkommen, dass nachdem der Client der Domäne beigetreten ist, auch bei diesem die Meldung erscheint das kein Internet vorhanden ist, und eventuell auch tatsächlich kein Internet hat. Nachdem sie jedoch die DNS-Weiterleitung im Server Konfigurieren, sollte der Client wieder Internetzugang erlangen.
#
Nun haben sie erfolgreich einen Client hinzugefügt. Sie können nun zum Nächsten Schritt fortfahren.
Schritt 2d: Überprüfung des DNS-Dienstes mit nslookup,
Jetzt wo sie die Domäne erstellt haben und einen Client hinzugefügt haben, müssen sie die DNS-Namensauflösung kontrollieren. Dies wird so gemacht. Sie werden nun kontrollieren ob der DNS-Server die beiden Namen der PCs mit der richtigen IPv4 Adresse verbinden kann. Zuerst, die Konfigurationsdaten sind:
Windows Server 2019:
Computername: DC-ZH-01
IPv4 Adresse: 10.0.2.15
Windows Client :
Computername: PC-ZH-01
IPv4 Adresse: 10.0.2.99
Nun versuchen sie von dem Windows Server 2019 Server die IPv4 Adresse des Windows Client PCs herauszubekommen mit nur dem Computername. Dies tun sie wie folgt: Öffnen sie im Windows Server 2019 Server die Eingabeaufforderung, in dem sie auf den windows-knopf drücken, cmd eingeben und dann «Enter» drücken. Geben sie nun «nslookup PC-ZH-01 rafisa.org» ein. Nun versucht nslookup mithilfe des DNS-Servers von unserem Server, die IPv4 Adresse von der Client Maschine zu finden.
Wenn der DNS-Service korrekt funktioniert, sollte nun dies erscheinen:
Wie zu sehen ist, hat der DNS-Server die IPv4 Adresse des Client-PCs korrekt zugeordnet. Nun werden sie vom Client-PC austesten, ob der DNS-Server die IPv4 Adresse des Servers korrekt zuordnen kann. Öffnen sie nun im Windows-Client PC die Eingabeaufforderung. Geben sie nun «DC-ZH-01» ein und drücken sie «Enter». Nun sollte der DNS-Server des Windows Server 2019 Servers die richtige IP-Adresse zuordnen. Wenn der DNS-Service korrekt funktioniert, sollte dies erscheinen:
Sollte dies der Fall sein, funktioniert die DNS-Auflösung im Netzwerk. Sie können nun zum nächsten Schritt fortfahren.
3. Schritt: Einrichtung des DHCP-Dienstes
Während dem Aufbau des Rafisa Netzwerk, haben sie nun den Active Directory dienst aufgesetzt. Jetzt ist es an der Zeit, den DHCP dienst aufzusetzen. Der DHCP dienst ist dafür da automatisch die IPv4 Adresse, die Standartsubnetzmaske und das Gateway zu Konfigurieren.
Schritt 3a: DHCP als rolle im Server zu konfigurieren,
Zuerst muss der DHCP als rolle in Windows Server 2019 konfiguriert werden. Dies wird wie folgt gemacht: Öffnen sie den Server-Manager. Klicken sie oben-rechts auf «Verwalten». Klicken sie nun auf «Rollen und Features hinzufügen». Klicken sie nun unten auf «Weiter» und nochmals klicken sie bitte auf «Weiter». Und nochmals.
Nun sollten sie auf diesem Abschnitt des Setups angelangt sein:
Klicken sie die Box neben «DHCP-Server» an. Ein neues Fenster erscheint. Klicken sie nun auf «Features hinzufügen». Klicken sie nun auf «Weiter». Klicken sie nun zwei mahl auf «Weiter». Klicken sie nun auf «Installieren». Nun wird die DHCP rolle auf dem Windows Server 2019 Server Installiert. Dies kann ein paar Minuten andauern. Wenn die Installation erfolgreich war, wird dies erscheinen:
Nun klicken sie in der Mitte auf «DHCP-Konfiguration abschliessen». Klicken sie im Neuen Fenster auf «Weiter». Klicken sie dann auf «Commit Ausführen». Klicken sie danach auf «Schliessen». Nun haben sie DHCP dienst als Rolle hinzugefügt. Sie können nun zum nächsten Schritt fortfahren.
Schritt 3b: Einrichtung des DHCP-Diensts,
Sie haben jetzt den DHCP dienst, als rolle hinzugefügt. Jetzt müssen sie diesen jedoch noch konfigurieren. Dies tun sie folgendermassen: Klicken sie im Server-Manager auf «Tools» und im Drop-Down Menü auf «DHCP». Ein neues Fenster erscheint was folgendermassen aussehen sollte:
Klicken sie auf «dc-zh-01.rafisa.org». Klicken sie dann auf «IPv4». Führen sie sofort danach einen rechtsklick auf «IPv4» aus. Klicken sie dann im Drop-Down Menü auf «Neuer Bereich». Nun erscheint der Bereichstellungs- Assistent. Klicken sie auf «Weiter». Bennen sie den Bereich: «IP-Adressen für die Domäne». Klicken sie auf «Weiter».
Nun sollte folgendes erscheinen:
Geben sie nun folgendes in die beiden IP-Adressen Textfelder ein:
Start-IP-Adresse: 10.0.2.75
End-IP-Adresse: 10.0.2.149
Geben sie beim Textfeld neben «Länge» «24» ein. Klicken sie auf «Weiter». Klicken sie wieder auf «Weiter». Klicken sie wieder auf «Weiter». Und Klicken sie wieder auf «Weiter». Geben sie nun «10.0.2.1» ein. Klicken sie nun auf Hinzufügen. Klicken sie wieder auf «Weiter». Klicken sie wieder auf «Weiter». Klicken sie schonwieder auf «Weiter» und tun sie dies nochmals. Klicken sie nun auf «Fertig stellen». Nun haben sie den DHCP-Bereich konfiguriert. Sie können nun zum Nächsten Schritt fortfahren.
Schritt 3c: Testen des DHCP-Dienstes,
Jetzt da der DHCP-Dienst eingerichtet ist, ist es an der Zeit diesen zu testen. Dafür müssen beide PCs aufgestartet sein. Testen sie dies folgendermassen: Starten sie den Windows Client PC und loggen sie sich ein. Klicken sie auf den Windows-Knopf. Geben sie nun «Ethernet-Einstellungen» ein und drücken sie Enter. Es erscheint nun wieder ein Fenster wie folgt:
Klicken sie nun auf «Adapteroptionen ändern» Führen sie nun auf «Ethernet» einen Klick mit der rechten Maustaste aus. Klicken sie im neu erschienenen Drop-Down Menü auf «Eigenschaften». Ein weiters Fenster erscheint. Klicken sie dort nun auf «Internetprotokoll, Version 4 (TCP/IPv4)». Nochmals erscheint ein Fenster. Dieses sieht nun wie folgt aus:
Klicken sie den Kreis neben «IP-Adresse automatisch beziehen». Klicken sie darauf auf «OK» Schliessen sie nun alle Fenster im Windows Client-PC. Nun, starten sie den PC neu. Jetzt da sie die fixe IP-Adresse auf der Windows Client-PC ausgeschaltet haben, sollte der DHCP dienst vom Server, dem Client-PC eine neue IP-Adresse zugewiesen haben. Um dies zu überprüfen: Starten sie nach dem Neustart der Client-PC, die Eingabeaufforderung. Geben sie nun «ipconfig» ein und drücken sie Enter. Nun sollte folgendes in der Eingabeaufforderung erscheinen:
Wenn nun rechts von «IPv4-Adresse» eine andere IPv4 Adresse als «10.0.2.99» steht und diese im Bereich zwischen 10.0.2.75 und 10.0.2.149 liegt, ist der DHCP-dienst vollständig funktionsfähig. Wenn dies der Fall ist, können sie nun zum nächsten Schritt fortfahren.
Herzlichen Glückwunsch, Sie haben die Server-Infrastruktur nun aufgebaut!
Schritt 3: pfSense Basisinstallation
siehe Basisinstallation-Anleitung unter Anleitung
Schritt 4: zu verbindungstechnischen Testzwecken AD auf der pfSense aufsetzen
Einrichtung AD-User und Gruppen
Als Erstes müssen auf dem Windows-Server die Rollen „AD-Domänendienste“ und „DNS-Server“ eingerichtet werden, das geht nicht ohne Neustart.
Dann wird für die Testumgebung die AD-Gruppe „Netadmins“ erstellt, Administratoren und OU=Users sind im AD built-in
LDIF-Notation der Container, User und Gruppen:
objectCategory
Container Users: CN=Containers,CN=Schema,CN=Configuration,DC=uwu,DC=rawr
Gruppe Netadmins: CN=Group,CN=Schema,CN=Configuration,DC=uwu,DC=rawr
User Majira Strawberry: CN=Person,CN=Schema,CN=Configuration,DC=uwu,DC=rawr
User Keenora Fluffball: CN=Person,CN=Schema,CN=Configuration,DC=uwu,DC=rawr
distinguishedName
Container Users: CN=Users,DC=uwu,DC=rawr
Gruppe Netadmins: CN=Netadmins,CN=Users,DC=uwu,DC=rawr
User Majira Strawberry: CN=Majira Strawberry,CN=Users,DC=uwu,DC=rawr
User Keenora Fluffball: CN=Keenora Fluffball,CN=Users,DC=uwu,DC=rawr
Konfiguration pfSense
Konfiguration User-Manager
Welche Einstellungen wuren Vorgenommen
im User-Manager wurden folgende Einstellungen gemacht:
Anlegen der Gruppen und Berechtigungen
im User-Manager-Tab „Groups“ wurde die Gruppe „Netadmins“ erstellt, die Namengleich ist mit der AD-Gruppe, dann wurden unter Groups/Netadmins/Editstift/Assigned Privileges/Add die Berechtigungen WebCfg - Firewall: Rules: Edit, User - System: SSH tunneling (ohne das kein SSH-Zugang möglich) und User - System: Shell account access (ebenfalls notwendig für SSH) hinzugefügt.
HTTPS-Zugang
Die pfSense-Gruppennamen müssen identisch zu den AD-Gruppennamen sein, mit der oben beschriebenen Konfiguration sollte https mit einer Browser-Warnung bereits funktionieren
SSH-Zugang
Der Gruppe „Netadmins“ wurden die Permissions User - System: SSH tunneling und User - System: Shell account access gewährt, damit Mitglieder der Gruppe dazu berechtigt sind eine SSH-Verbindung zu öffnen. Im Weiteren muss man noch bei Firewall/Rules/LAN der Anti-Lockout Rule port 22 hinzufügen.
Auf die LAN-IP SSHen
3. Quellenverzeichnis
Alle im Bericht verwendeten Quellen sind angegeben.
https://gns3.rafisa.org
https://wiki.rafisa.net
Egil Rüefli
Richi Stammherrs ISO-Platte
https://docs.netgate.com/pfsense/en/latest
https://serverfault.com
https://unix.stackexchange.com
https://www.microsoft.com
https://www.tech-faq.net
https://www.nakivo.com/