Sign in Subscribe
Opgave

Design og Implementering af AD-miljø for SecureData A/S

Virksomheden SecureData A/S er en mellemstor organisation, der opererer inden for IT-sikkerhed og databehandling. De har behov for en stabil, sikker og redundant Active Directory-infrastruktur

Ronni Sørensen

5 min read
💡
Du kan med fordel være 3 grupper og fordelt på de 3 grupper lave opgaverne:

Design og Implementering af ISP-baseret Netværksinfrastruktur

Design og Implementering af Server- og Netværksinfrastruktur for WebSolutions

Design og Implementering af AD-miljø for SecureData A/S
💡
Dette er et fiktivt scenarie!

Opgavebeskrivelse

Baggrund

Virksomheden SecureData A/S er en mellemstor organisation, der opererer inden for IT-sikkerhed og databehandling. De har behov for en stabil, sikker og redundant Active Directory og IT-infrastruktur, der understøtter brugerautentificering, filhåndtering og domænebaserede tjenester på tværs af deres hovedkontor og filialer.

Virksomhedenw har to hovedlokationer: Hovedkontor (HQ) og Filial (Branch1). De ønsker at forbinde disse lokationer via MPLS VPN, samt implementere en moderne IT-infrastruktur, der sikrer driftssikkerhed, skalerbarhed og compliance med IT-sikkerhedsstandarder.

Løsningen skal inkludere Active Directory-miljø, filservere, sikkerhedsforanstaltninger, redundans, storage og netværksadministration.

Active Directory-miljø og Serverinfrastruktur

Domæne- og Autentificeringsstruktur

SecureData A/S anvender et centraliseret domæne securedata.local, der styres via flere domænecontrollere (DC'er) for redundans og performance:

  • Domænecontrollere:
    • SD-DC01 (Hovedkontor) - Primær domænecontroller, FSMO-rolleholder.
    • SD-DC02 (Filial) - Sekundær domænecontroller for failover og redundans.
  • DNS & DHCP:
    • Begge domænecontrollere fungerer som DNS-servere.
    • DHCP-server på SD-DC01 tildeler IP-adresser til klienter i hovedkontoret, Load-Balancing sættes op med DHCP-server SD-DC02.
    • DHCP konfigureret for filialen, der får IP fra egen DHCP.
  • Active Directory Sites & Services:
    • To sites defineres: HQ-Site og Branch1-Site.
    • AD replikation mellem DC'erne via MPLS VPN med optimerede replikationsintervaller.

Fil- og Datahåndtering

SecureData A/S har en robust filserver- og storage-struktur for sikker og redundant datahåndtering:

  • Filservere:
    • SD-FS01 (Hovedkontor) - Primær filserver, hoster brugernes hjemmebiblioteker og fælles shares.
    • SD-FS02 (Filial) - Sekundær filserver, replikering via DFS-R.
  • Distributed File System (DFS):
    • DFS Namespace: \securedata.local\Shares
    • DFS Replication mellem SD-FS01 og SD-FS02 for kontinuerlig synkronisering af data.
    • Der skal være minimum to sikkerhedsgrupper til DFS. Én gruppe til DFS-admins og en gruppe til medarbejderne. En medarbejder må gerne kunne slette og redigere i egne uploadede filer, men ikke de andre medarbejderes filer.
  • Storage- og Datareplikation:
    • Ceph eller GlusterFS implementeres som en skalerbar og redundant storage-løsning til sikre dataopbevaring.
    • Data replikation sker mellem hovedkontor og filial for at sikre høj tilgængelighed og failover.
    • Klienter og filservere har adgang til lagring via et delt mount point, der deles via NFS eller ISCSi på begge lokationer.
    • Snapshot-baseret backup på storage-laget sikrer, at historiske versioner kan gendannes ved behov.
  • Backup-løsning:
    • Automatisk snapshot-baseret backup af filservere.
    • System State backup af domænecontrollere.

Netværksstruktur

Forberedelse af MPLS VPN mellem HQ og filialen (Bliver håndteret af NordicConnect ISP). Hvis du selv ønsker at sætte MPLS op, henviser jeg til denne opgave:

Design og Implementering af ISP-baseret Netværksinfrastruktur
Virksomheden NordicConnect ISP ønsker at etablere en MPLS-baseret ISP-infrastruktur for at levere pålidelige og sikre forbindelser til kunder. Netværket skal designes med IS-IS som IGP, BGP til ekstern routing, samt understøtte MPLS L3VPN for at forbinde kunder via ISP’ens backbone.
RapidHubRonni Sørensen
  • VLAN-segmentering for at adskille AD-servere, filservere, storage-løsninger, klientnetværk og administrationsnetværk.
  • OSPF eller EIGRP til intern routing.
  • Firewalls mellem interne og eksterne netværk.

VLAN-opdeling og IP-plan

VLAN-ID VLAN-Navn Funktion Netværk
110 SD-SRV Servernet (AD/DC/Fil) 10.30.10.0/24
120 SD-CLIENT Klientnet (Brugernes PC'er) 10.30.20.0/24
130 SD-MGMT Administrationsnet 10.30.30.0/24
140 SD-STORAGE Storage-netværk (Ceph/GlusterFS) 10.30.40.0/24

Routing og Firewall

  • MPLS VPN mellem HQ og filial for sikret intern kommunikation.
  • Routing mellem VLANs håndteres via OSPF eller EIGRP.
  • Firewall-regler defineres for at segmentere server-, storage- og klientnetværket.
  • NAT og VPN-konfiguration for eksterne adgangsmuligheder.

Sikkerhedskrav

  • Active Directory Group Policies (GPO) for at styre sikkerhedsindstillinger på klienter og servere.
  • Access Control Lists (ACL'er) på firewalls for at begrænse adgang mellem netværkssegmenter.
  • SIEM-løsning til overvågning af logs og sikkerhedshændelser.
  • BitLocker aktiveret på alle servere og klientmaskiner for databeskyttelse.

Drift og Vedligeholdelse

  • Overvågning af Active Directory replikation, netværksudstyr, serverstatus og storage med Zabbix, Graylog eller PRTG.
  • Fejlfindingsvejledning for MPLS, netværksforbindelser, storage og tjenester.
  • Anbefalinger til backup, redundans og sikkerhedskopiering af AD-data.

Opgaveaflevering

Du skal udarbejde en komplet dokumentation af infrastrukturen, herunder:

  1. Netværksdiagram
    • Grafisk præsentation af netværkstopologi med VLANs, MPLS VPN, servere og storage-løsning.
  2. IP-adresseplan og VLAN-struktur
    • Dokumentation af subnet-allokering og VLAN-konfiguration.
  3. Active Directory konfiguration
    • Oprettelse af domæne, domænecontrollere, brugere og sikkerhedsgrupper.
    • AD replikation og FSMO-roller.
  4. Sikkerhedskonfiguration
    • Group Policies (GPO) til adgangskontrol.
    • Firewall-regler og VPN-konfiguration.
    • SIEM-overvågning.
  5. Storage-konfiguration
    • Implementering af Ceph eller GlusterFS.
    • Data-replikering mellem hovedkontor og filial.
    • Failover-strategi.
  6. Drift og vedligeholdelse
    • Overvågningsprocedurer og fejlfinding.
    • Eskaleringsprocedurer ved fejl.
    • Backup-strategier for AD, filservere og storage-løsning.

Evalueringskriterier

Opgaven evalueres ud fra følgende parametre:

  • Teknisk korrekthed: Realistisk og gennemførlig løsning.
  • Dokumentationskvalitet: Struktureret og let forståelig dokumentation.
  • Netværkssikkerhed: Best practices for sikkerhed implementeret.
  • Skalerbarhed: Designet kan udvides med flere sites og flere servere.
  • Fejltolerance: Høj oppetid og redundans.

Held og lykke med opgaven!

Tilmeld dig RapidHub og få adgang til at poste dine egne artikler eller blogindlæg!
Design og Implementering af AD-miljø for SecureData A/S
Virksomheden SecureData A/S er en mellemstor organisation, der opererer inden for IT-sikkerhed og databehandling. De har behov for en stabil, sikker og redundant Active Directory-infrastruktur
RapidHubRonni Sørensen
Design og Implementering af Server- og Netværksinfrastruktur for WebSolutions A/S
Virksomheden WebSolutions A/S er en nyetableret webhostingudbyder, der ønsker at bygge en skalerbar og sikker infrastruktur til at hoste webservices for kunder.
RapidHubRonni Sørensen
Design og Implementering af ISP-baseret Netværksinfrastruktur
Virksomheden NordicConnect ISP ønsker at etablere en MPLS-baseret ISP-infrastruktur for at levere pålidelige og sikre forbindelser til kunder. Netværket skal designes med IS-IS som IGP, BGP til ekstern routing, samt understøtte MPLS L3VPN for at forbinde kunder via ISP’ens backbone.
RapidHubRonni Sørensen