Сетевое и Системное Администрирование Демонстрационный Экзамен КОД

А. Г.
УЙМИН
СЕТЕВОЕ И СИСТЕМНОЕ
АДМИНИСТРИРОВАНИЕ.
ДЕМОНСТРАЦИОННЫЙ ЭКЗАМЕН
КОД 1.1
Учебно-методическое пособие
Издание третье, стереотипное
САНКТ-ПЕТЕРБУРГ • МОСКВА • КРАСНОДАР

2022
УДК 004
ББК 32.81я723
У 36 Уймин А. Г. Сетевое и системное администрирование. Демон-

страционный экзамен КОД 1.1 : учебно-методическое пособие для
СПО / А. Г. Уймин. — 3-е изд., стер. — Санкт-Петербург : Лань,
2022. — 480 с. : ил. — Текст : непосредственный.
ISBN 978-5-8114-9255-8
Учебно-методическое пособие предназначено для преподавателей и

студентов, осваивающих основные профессиональные образовательные
программы СПО укрупненных групп «Информатика и вычислительная
техника» и «Информационная безопасность»: «Наладчик компьютерных
сетей», «Компьютерные сети», «Сетевое и системное администри-
рование», «Информационные системы и программирование», «Инфор-
мационная безопасность телекоммуникационных систем», «Информа-
ционная безопасность автоматизированных систем», «Обеспечение
информационной безопасности телекоммуникационных систем»,
«Обеспечение информационной безопасности автоматизированных
систем», в целях повышения уровня умений и знаний в области
профессиональной деятельности и обеспечивает подготовку к сдаче
Демонстрационного экзамена по стандартам Союза «Агентство развития
профессиональных сообществ и рабочих кадров „Молодые профессионалы
(Ворлдскиллс Россия)“» компетенции «Сетевое и системное администри-
рование» в соответствии с требованиями комплекта оценочной докумен-
тации 1.1 (КОД 1.1).
УДК 004
ББК 32.81я723
Обложка
П. И. ПОЛЯКОВА
© Издательство «Лань», 2022

© А. Г. Уймин, 2022
© Издательство «Лань»,
художественное оформление, 2022
ПРЕДИСЛОВИЕ
Учебно-методическое пособие предназначено для преподавателей и студентов, обу-
чающихся по основным профессиональным образовательным программам СПО укрупнен-
ных групп 09.00.00 и 10.00.00: 09.01.02 — «Наладчик компьютерных сетей»; 09.02.02 «Ком-
пьютерные сети»; 09.02.06 «Сетевое и системное администрирование»; 09.02.07 «Информа-
ционные системы и программирование»; 10.02.02 «Информационная безопасность телеком-
муникационных систем»; 10.02.03 «Информационная безопасность автоматизированных си-
стем»; 10.02.04 «Обеспечение информационной безопасности телекоммуникационных си-
стем»; 10.02.05 «Обеспечение информационной безопасности автоматизированных систем».
Пособие поможет в освоении основных профессиональных компетенций, направленных на
повышение уровня умений и знаний в области профессиональной деятельности: сопровож-
дение, настройка и администрирование системного и сетевого программного обеспечения;
эксплуатация и обслуживание серверного и сетевого оборудования; диагностика и монито-
ринг работоспособности программно-технических средств; обеспечение целостности резер-
вирования информации и информационной безопасности объектов сетевой инфраструктуры;
организация и проведение работ по обеспечению защиты автоматизированных и телекомму-
никационных систем в организациях различных структур и отраслевой направленности.
Учебно-методическое пособие разработано в соответствии со следующими докумен-
тами:
— Федеральный закон «Об образовании в Российской Федерации» № 273-ФЗ от
29 декабря 2012 г. с изменениями от 06.03.2019 № 17-ФЗ «О внесении изменений в Феде-
ральный закон „Об образовании в Российской Федерации“»;
— Федеральный государственный образовательный стандарт среднего профессио-
нального образования по профессии 09.01.02 «Наладчик компьютерных сетей», утвержден-
ный приказом от 2 августа 2013 г. № 853 Министерства образования и науки Российской Фе-
дерации;
нального образования по специальности 09.02.02 «Компьютерные сети», утвержденный при-
казом от 28 июля 2014 г. № 803 Министерства образования и науки Российской Федерации;
нального образования по специальности 09.02.06 — «Сетевое и системное администрирова-
ние», утвержденный приказом от 9 декабря 2016 г. № 1548 Министерства образования и
науки Российской Федерации;
нального образования по специальности 09.02.07 — «Информационные системы и програм-
мирование», утвержденный приказом от 9 декабря 2016 г. № 1547 Министерства образова-
ния и науки Российской Федерации;
нального образования по специальности 10.02.02 — «Информационная безопасность теле-
коммуникационных систем», утвержденный приказом от 13 августа 2014 г. № 1000 Мини-
стерства образования и науки Российской Федерации;
нального образования по специальности 10.02.03 «Информационная безопасность автомати-
зированных систем», утвержденный приказом от 28 июля 2014 г. № 806 Министерства обра-
зования и науки Российской Федерации;
нального образования по специальности 10.02.04 «Обеспечение информационной безопасно-
сти телекоммуникационных систем», утвержденный приказом от 9 декабря 2016 г. № 1551
Министерства образования и науки Российской Федерации;
3
сти автоматизированных систем», утвержденный приказом от 9 декабря 2016 г. № 1553 Ми-
нистерства образования и науки Российской Федерации;
— Приказ Министерства образования и науки Российской Федерации от 16 августа
2013 г. № 968 «Об утверждении порядка проведения государственной итоговой аттестации
по образовательным программам среднего профессионального образования»; № 1138 от
17 ноября 2017 г. «О внесении изменений в порядок проведения государственной итоговой
аттестации по образовательным программам среднего профессионального образования»;
— Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы (Ворлдскиллс Россия)“» от 29 октября 2018 г. № 29.10.2018-1
«Об утверждении перечня компетенций ВСР»;
— Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы (Ворлдскиллс Россия)“» от 31 января 2019 г. № 31.01.2019-1
«Об утверждении Методики организации и проведения демонстрационного экзамена по
стандартам Ворлдскиллс Россия»;
— Методические рекомендации о проведении аттестации с использованием демон-
страционного экзамена, утвержденные распоряжением Министерства просвещения Россий-
ской Федерации от 1 апреля 2019 г. № Р-42;
— Комплект оценочной документации № 1.1 для демонстрационного экзамена по
стандартам Ворлдскиллс Россия по компетенции № 39 «Сетевое и системное администриро-
вание» (далее — демонстрационный экзамен).
Учебное пособие представляет собой комплект, включающий описание задания; не-
обходимое оборудование, приборы, материалы и программное обеспечение для выполнения
задания; методику выполнения задания; схему оценивания выполненного задания.
Задание является одним из вариантов, выполняемых в процессе прохождения как го-
сударственной итоговой аттестации, так и промежуточной аттестации в виде сдачи демон-
страционного экзамена (ДЭ) по компетенции «Сетевое и системное администрирование» в
соответствии с требованиями комплекта оценочной документации 1.1 (КОД 1.1).
Задания делятся на три модуля:
1) пуско-наладка инфраструктуры на основе операционной системы семейства Linux;
2) пуско-наладка инфраструктуры на основе операционной системы семейства
Windows;
3) пуско-наладка телекоммуникационного оборудования
и могут выполняться в любой последовательности индивидуально каждым обучающимся, но
при условии оборудования рабочего места в соответствии с требованиями инфраструктурно-
го листа компетенции «Сетевое и системное администрирование» по КОД 1.1.
В результате выполнения заданий обучающиеся смогут систематизировать и закре-
пить знания и умения, а преподаватели смогут выяснить уровень подготовки обучающихся к
самостоятельной работе и уровень практических навыков для участия в сдаче итоговой госу-
дарственной аттестации или промежуточной аттестации в форме демонстрационного экза-
мена по стандартам Ворлдскиллс Россия по компетенции № 39 «Сетевое и системное адми-
нистрирование».
4
1. ФОРМА УЧАСТИЯ — ИНДИВИДУАЛЬНАЯ
1.1. Задание
Содержанием задания являются работы по пуско-наладке сетевой инфраструктуры на
базе современного сетевого оборудования и операционных систем семейства Windows и
Linux. Участники ДЭ получают инструкцию, сетевые диаграммы и методические рекоменда-
ции по выполнению. Экзаменационное задание имеет несколько модулей, выполняемых по-
следовательно.
Задание демонстрационного экзамена является утвержденным. Содержит 3 модуля из
5 возможных, т. е. возможно набрать максимально 45 из 100 баллов.
Экзамен включает в себя пуско-наладку инфраструктуры на основе OC семейства
Linux; пуско-наладку инфраструктуры на основе OC семейства Windows; пуско-наладку те-
лекоммуникационного оборудования.
Окончательная методика проверки уточняется членами ГЭК. Оценка производится в
отношении работы модулей. Если участник экзамена не выполняет требования техники без-
опасности, подвергает опасности себя или других участников, такой участник может быть
отстранен от экзамена.
Время и детали экзаменационного задания в зависимости от экзаменационных усло-
вий могут быть изменены членами ГЭК, по согласованию с менеджером компетенции.
Экзаменационное задание должно выполняться помодульно, циклически по модулям
А, B, C. Оценка каждого модуля происходит ежедневно.
1.2. Модули задания и необходимое время

Наименования модулей, продолжительность выполнения и баллы за выполнение за-
даний модуля приведены в таблице 1.
Таблица 1
Характеристика выполнения модулей
Время Баллы за выполнение задания модуля
Модуль, Прове-
на вы- Судейская
№ Крите- в котором ряемые Объектив-
полне- оценка Общая
п/п рий используется разделы ная
ния мо- (если это оценка
критерий WSSS оценка
дуля применимо)
A «Пуско-
A Linux наладка инфра-
1 Enviro- структуры на 2ч 6 0 15 15
ments основе OC се-
мейства Linux»
B «Пуско-
B Win- наладка инфра-
dows структуры на 1, 2, 3, 4,
2 2ч 0 15 15
Enviro- основе OC се- 5
ments мейства
Windows»
C «Пуско-
C Cisco наладка теле-
3 Enviro- коммуникаци- 2ч 7 0 15 15
ments онного обору-
дования»
Итого 0 45 45
5
2. ЗАДАНИЕ И ОПИСАНИЕ МОДУЛЯ А
«ПУСКО-НАЛАДКА ИНФРАСТРУКТУРЫ
НА ОСНОВЕ OC СЕМЕЙСТВА LINUX»
Контрольный экземпляр задания демонстрационного экзамена доступен по ссылке:
https://drive.google.com/file/d/1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing\h.
Умение работать с системами на основе открытого исходного кода становится все бо-
лее важным навыком для тех, кто желает построить успешную карьеру в ИТ. Данное экзаме-
национное задание содержит множество задач, основанных на опыте реальной эксплуатации
информационных систем, в основном интеграции и аутсорсинге. Если вы можете выполнить
задание с высоким результатом, то вы точно сможете обслуживать информационную инфра-
структуру большого предприятия.
2.1. Описание экзаменационного задания

Данное экзаменационное задание разработано с использованием различных открытых
технологий, с которыми вы должны быть знакомы по сертификационным курсам LPIC и Red
Hat. Задания поделены на следующие секции:
— базовая конфигурация;
— конфигурация сетевой инфраструктуры;
— службы централизованного управления и журналирования;
— конфигурация служб удаленного доступа;
— конфигурация веб-служб;
— конфигурация служб хранения данных;
— конфигурация параметров безопасности и служб аутентификации.
Секции независимы друг от друга, но вместе они образуют достаточно сложную ин-
фраструктуру. Некоторые задания достаточно просты и понятны, некоторые могут быть
неочевидными. Можно заметить, что некоторые технологии должны работать в связке или
поверх других технологий. Например, динамическая маршрутизация должна выполняться
поверх настроенного между организациями туннеля. Важно понимать, что если вам не уда-
лось настроить полностью технологический стек, то это не означает, что работа не будет
оценена. Например, для удаленного доступа необходимо настроить IPSec-туннель, внутри
которого организовать GRE-туннель. Если, например, вам не удалось настроить IPSec, но
вы смогли настроить GRE, то вы все еще получите баллы за организацию удаленного до-
ступа.
2.2. Инструкции для участника

В первую очередь необходимо прочитать задание полностью. Следует обратить вни-
мание, что задание составлено не в хронологическом порядке. Некоторые секции могут по-
требовать действий из других секций, которые изложены ниже. На вас возлагается ответ-
ственность за распределение своего рабочего времени. Не тратьте время, если у вас возникли
проблемы с некоторыми заданиями. Вы можете использовать временные решения (если у вас
есть зависимости в технологическом стеке) и продолжить выполнение других задач. Реко-
мендуется тщательно проверять результаты своей работы.
Доступ ко всем виртуальным машинам настроен по аккаунту root:toor.
Если вам требуется установить пароль (и он не указан в задании), используйте
P@ssw0rd.
Виртуальная машина ISP преднастроена. Управляющий доступ участника к данной
виртуальной машине для выполнения задания не предусмотрен. При попытке его сброса
возникнут проблемы.
6
Организация LEFT включает виртуальные машины: L-SRV, L-FW, L-RTR-A, L-RTR-B,
L-CLI-A, L-CLI-B.
Организация RIGHT включает виртуальные машины: R-SRV, R-FW, R-RTR, R-CLI.
Участники не имеют права пользоваться любыми устройствами, за исключением находя-
щихся на рабочих местах устройств, предоставленных организаторами.
Участники не имеют права приносить с собой на рабочее место заранее подготовлен-
ные текстовые материалы.
В итоге участники должны обеспечить наличие и функционирование в соответствии с
заданием служб и ролей на указанных виртуальных машинах. При этом участники могут са-
мостоятельно выбирать способ настройки того или иного компонента, используя предостав-
ленные им ресурсы по своему усмотрению.
2.3. Оборудование, приборы, ПО и материалы

Ожидается, что экзаменационное задание выполняется участником с привлечением
оборудования и материалов, указанных в инфраструктурном листе.
В качестве системной ОС в организации LEFT используется Debian.
В качестве системной ОС в организации RIGHT используется CentOS.
Вам доступен диск: http://mirrors.powernet.com.ru/centos/7.6.1810/isos/x86_64/CentOS-
7-x86_64-Everything-1810.iso. Скачать.
Вам доступен диск debian-10.0.0-amd64-BD-1.iso: https://cdimage.debian.org/debian-
cd/current/amd64/jigdo-bd/. Скачать.
Debian позволяет скачать такие файлы через jigdo: https://www.debian.org/CD/jigdo-cd/.
Как с ним работать?
Вам доступен диск Additional.iso, на котором располагаются недостающие RPM-
пакеты.
Диск Additional.iso доступен для скачивания по ссылке: https://drive.google.
com/file/d/19vrJ1cyLQZViDavxpqUBhtJYPL2jTi3G/view. Скачать.
Все указанные компоненты предоставляются участникам в виде ISO-файлов на ло-
кальном или удаленном хранилище.
2.4. Схема оценки

Каждый субкритерий имеет приблизительно одинаковый вес. Пункты внутри каждого
критерия имеют разный вес, в зависимости от сложности пункта и количества пунктов в
субкритерии.
Схема оценка построена таким образом, чтобы каждый пункт оценивался только один
раз. Например, в секции «Базовая конфигурация» предписывается настроить имена для всех
устройств, однако этот пункт будет проверен только на одном устройстве и оценен только
1 раз. Одинаковые пункты могут быть проверены и оценены больше чем 1 раз, если для их
выполнения применяются разные настройки или они выполняются на разных классах
устройств.
Подробное описание методики проверки должно быть разработано экспертами, при-
нимающими участие в оценке экзаменационного задания, и вынесено в отдельный документ.
Данный документ, как и схема оценки, является объектом внесения 30% изменений.
7
2.5. Описание алгоритма выполнения задания модуля А
2.5.1. Предварительная настройка
Задание 1
Выключение firewall на всех машинах.
Как делать:
— CentOS:
• отключаем firewalld
systemctl disable --now firewalld
• отключаем SElinux
vi /etc/selinux/config
• меняем в файл 7 строку на
SELINUX = disabled
• перезагружаем
reboot
— Debian:
• отключаем apparmor
systemctl disable --now apparmor
reboot
Как проверить:
— CentOS:
systemctl status firewalld
8
getenforce
— Debian:
systemctl status apparmor
Дополнительная информация
Выключение средств защиты, таких как Firewalld, apparmor и selinux, производится
для удобной дальнейшей настройки. Так делать на работе не стоит, средства защиты для того
и нужны, чтобы обеспечивать защиту, но при выполнении задания это не критично.
Краткая справка
1. Подробнее про systemctl: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/8/html/configuring_basic_system_settings/managing-services-with-
systemd_configuring-basic-system-settings"\l"tabl-Managing_Services_with_systemd-Services-
systemctl.
2. Подробнее про firewalld: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/7/html/security_guide/sec-viewing_current_status_and_settings_of_firewalld.
3. Подробнее про apparmor: https://wiki.debian.org/AppArmor/HowToUse.
4. Официальная документация по selinux: https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/chap-security-enhan
ced_linux-introduction.
Задание 2
На всех маршрутизаторах и межсетевых экранах включить пересылку пакетов
между интерфейсами.
9
echo net.ipv4.ip_forward=1 > /etc/sysctl.conf
sysctl -p
cat /proc/sys/net/ipv4/ip_forward
Если команда возвращает 1 — значит, включена пересылка пакетов!

sysctl -p
Если вернулась строка, как сверху, значит, пересылка пакетов включена.

Пересылка пакетов включается для реализации в дальнейшем маршрутизации пакетов
в сети.
1. Подробнее про sysctl (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/overview-of-networ
king-topics_configuring-and-managing-networking"\l"Using_Network_Kernel_Tunables_with_
sysctl_Overview-of-Networking-topics.
2. Подробнее про ip_forward (CentOS): ttps://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/6/html/load_balancer_administration/s1-lvs-forwarding-vsa.
3. Подробнее про настройку сетевой инфраструктуры на Debian (Debian):
https://www.debian.org/doc/manuals/debian-handbook/network- infrastructure.ru.html.
Задание 3
Подключение дисков.
— Debian:
10
На рабочем месте располагаются 4 диска для работы. Для того чтобы их подключить,
нужно выполнить следующие шаги.
1. Зайти в настройки виртуальной машины:
2. В настройках виртуальной машины необходимо добавить новый CD/DVD диск.

Чтобы это сделать, нужно нажать на кнопку Add:
11
3. Следующим шагом необходимо выбрать CD/DVD Drive, как показано на рисунке
ниже:
4. Далее нужно «вставить» диск в созданный ранее дисковод. В настройках CD/DVD

необходимо поставить галочку возле Use ISO image file. Нажать на кнопку Browse, что поз-
волит выбрать необходимый диск для подключения в виртуальную машину:
12
5. В открывшимся окне нужно выбрать выпадающий список и там нажать на
[datastore]:
6. После проделанных манипуляций в папке _ISO будут находиться ISO-образы:
13
7. Если необходимы образы для систем Debian, они находятся в папке Debian 10BD.
8. Для того чтобы выбрать диск, нужно нажать двойным кликом.
9. После необходимо инициализировать диск командой:

apt-cdrom add
10. Далее можно устанавливать пакеты без сложных ключей командой:
apt install <пакет>, где <пакет> = название пакета.
— CentOS:
14
На системе CentOs добавление алгоритм добавления диска схож с добавлением диска
на системе Debian. Но для данной системы необходимо выбрать ISO-образ Everything:
(иногда диск может не сразу отобразиться в системе, для этого нужно переподключить его).
После подключения диска нужно:
1) создать папку /media/cdrom
mkdir /media/cdrom;
2) примонтировать диск к созданной папке:
mount /dev/cdrom /media/cdrom;
3) После можно установить пакеты, но нужно указать ключи:
--disablerepo=\* --enablerepo=c7-media.
Команда установки с ключами:
yum --disablerepo=\* --enablerepo=c7-media install <Пакет>,
где <пакет> — название пакета или список названий пакетов через пробел.
Если при установке отсутствует желание прописывать каждый раз сложные ключи,
можно отключить все репозитории и включить только c 7-media вручную.
Для этого необходимо все остальные репозитории переместить в другую папку,
например в /etc, как в примере ниже:
mv /etc/yum.repos.d/CentOS-{B,C,D,f,S,V}* /etc
Также нужно будет поправить строку 20 в файле CentOS-Media.repo. Вместо 0 нужно
поставить 1.
Командой ниже показан пример, как зайти в файл с помощью текстового редактора vi:
vi /etc/yum.repos.d/CentOS-Media.repo
После этого можно устанавливать пакеты без сложных ключей с помощью команды:
yum install <пакет>,
где <пакет> — название пакета или список названий пакетов через пробел.
15
1. Конфигурация yum и yum репозиториев (CentOS): https://access.redhat.
com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/sec-configuring_
yum_and_yum_repositories.
2. Монтирование дисков в Debian (Debian): https://www.debian.org/doc/manuals/debian-
tutorial/ch-disks.html.
3. Что такое yum? (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/7/html/system_administrators_guide/ch-yum.
4. Что такое apt? (Debian): https://www.debian.org/doc/manuals/debian-handbook/sect.apt-
get.ru.html.
2.5.2. Конфигурация хостов
Задание 1
Настройте имена хостов в соответствии с диаграммой:
Изначально имя машины стандартное — localhost.
16
Для задания имени машины (hostname) необходимо записать его в файл /etc/hostname
echo <NAME> > /etc/hostname , где <NAME> — имя хоста в соответствии с диаграммой.
Изменения вступят в силу после перезагрузки. Команда перезагрузки: reboot.
Команда hostname выведет название машины:
Также изменится сообщение к приглашению ввода команды:
Hostname — это имя, которое присваивается компьютеру, подключенному к сети, ко-
торое однозначно идентифицирует в сети и, таким образом, позволяет получить доступ к
нему без использования его IP-адреса.
1. Различные способы задания hostname (CentOS): https://www.redhat.com/sysadmin/set-
hostname-linux.
2. Присваивание Имени Компьютеру (Hostname) (Debian): https://www.debian.org/
doc/manuals/debian-handbook/sect.hostname-name-service.ru.html.
Задание 2
На хостах установите следующее ПО на все виртуальные машины:
1) tcpdump;
2) net-tools;
3) curl;
4) vim;
5) lynx;
6) dhclient;
7) bind-utils;
8) nfs-utils;
9) cifs-utils.
17
— Debian 10 (L):
Для установки ПО необходимо выполнить следующее.

1. Инициализировать диск (если вставлен новый диск или диск вообще не проходил
инициализацию):
apt-cdrom add
2. Установка пакетов производится командой:
apt install tcpdump net-tools curl vim lynx bind9 dnsutils nfs-common cifs-utils -y
-y — ключ, используемый для автоматического подтверждения установки всех пакетов.
Обратите внимание, что некоторые название пакетов отличаются от тех, что даны в
задании.
18
— CentOs 7 (R):
Для установки ПО на системе CentOS необходимо следующее.

1. Создать папку, куда будем монтировать диск (если этот пункт не был проделан в 2):
mkdir /media/cdrom
2. Примонтировать диск в папку (если этот пункт не был проделан в 2):
mount /dev/cdrom /media/cdrom
3. Установка пакетов выполняется командой ниже (это одна большая команда), если
репозиторий c7-media не был включен вручную:
yum --disablerepo=\* --enablerepo=c7-media install tcpdump net-tools curl vim lynx dhclient bind-
utils nfs-utils cifs-utils -y
или так (если вручную был включен репозиторий c7-media)
yum install tcpdump net-tools curl vim lynx dhclient bind-utils nfs-utils cifs-utils -y
Проверка выполняется командой whereis, которая показывает путь до файла, установ-
ленного пакета:
— CentOS:
whereis tcpdump net-tools curl vim lynx dhclient bind-utils nfs-utils cifs-utils
— Debian:
whereis tcpdump net-tools curl vim lynx bind9 dnsutils nfs-common cifs-utils
19
1. Утилита tcpdump — это очень мощный и популярный инструмент для перехвата и
анализа сетевых пакетов.
2. net-tools — набор сетевых онлайн инструментов и утилит для оптимизации и диа-
гностики сетевых ресурсов.
3. curl — это утилита командной строки для Linux или Windows. Это набор библио-
тек, в которых реализуются базовые возможности работы с URL-страницами и передачи
файлов. Библиотека поддерживает работу с протоколами: FTP, FTPS, HTTP, HTTPS, TFTP,
SCP, SFTP, Telnet, DICT, LDAP, а также POP3, IMAP и SMTP. Она отлично подходит для
имитации действий пользователя на страницах и других операций с URL-адресами.
4. Vim — свободный текстовый редактор, созданный на основе более старого vi.
5. Lynx — веб-браузер с отличными возможностями настройки под себя для исполь-
зования на эмуляторах терминала с символьным курсором.
6. dhclient — утилита, позволяющая работать с dhcp на стороне клиента.
7. bind-utils — реализация DNS-сервера на базе системы Linux.
8. nfs-utils — утилита, реализующая возможности для создания сетевой файловой си-
стемы.
9. cifs-utils — утилита реализующая возможность в подключении расширенных ре-
сурсов Windows с использованием протокола smb.
Краткая справка:
1. Yum и как его использовать: https://access.redhat.com/solutions/9934.
2. Apt и как его использовать: https://www.debian.org/doc/manuals/apt-howto/ch-
basico.ru.html.
3. Подробнее про TCPDUMP: https://www.tcpdump.org/manpages/tcpdump.1.html.
4. Подробнее про Net-tools: https://www.opennet.ru/docs/RUS/lfs5/appendixa/net-
tools.html.
5. Подробнее про Curlhttps: //curl.haxx.se/docs/manpage.html.
6. Подробнее про Vim: https://www.vim.org/.
7. Подробнее про Lynx: https://lynx.invisible-island.net/lynx_help/Lynx_users_guide.
html.
8. Подробнее про Dhclient: https://kb.isc.org/docs/isc-dhcp-41-manual-pages-dhclient.
9. Подробнее про BIND: https://kb.isc.org/docs/aa-00768.
10. Подробнее про NFS-common (Debian): https://packages.debian.org/ru/sid/nfs-
common.
11. Подробнее про NFS-utils (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/6/html/managing_confined_services/chap-managing_confined_
services-network_file_system" \l "sect-Managing_Confined_Services-NFS-NFS_and_SELinux.
12. Подробнее про Cifs-utils: https://wiki.samba.org/index.php/LinuxCIFS_utils.
Задание 3
На хостах сформируйте файл /etc/hosts в соответствии с диаграммой (кроме адре-
са хоста L-CLI-A). Данный файл будет применяться во время проверки в случае недо-
ступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.
Как делать
Для того чтобы не тратить много времени на формировании файла /etc/hosts на всех
хостах, изначально необходимо сконфигурировать его на одном хосте, а после настройки
полной связности сети, нужно будет перекинуть этот файл всем остальным.
Правило формирование файла /etc/hosts:
ip_address name. Например, запись для L-SRV будет выглядеть так: 172.16.20.10 L-SRV.
Для создания записи можно выбрать любой IP-адрес.
Пример на L-CLI-A:
vi /etc/hosts
20
Проверку можно осуществить командой cat, которая выводит содержимое файла:
cat/etc/hosts
hosts — текстовый файл, содержащий базу данных доменных имен и используемый
при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед об-
ращением к DNS-серверам (в дальнейшем нужно будет изменить приоритет запроса). В от-
личие от системы DNS, содержимое файла задается администратором компьютера.
1. Подробнее про файл hosts (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/7/html/linux_domain_identity_authentication_and_policy_guide/hosts.
2. Подробнее про файл hosts (Debian): https://www.debian.org/doc/manuals/debian-
handbook/sect.hostname-name-service.ru.html.
Задание 4
В случае корректной работы DNS-сервисов ответы DNS должны иметь более вы-
сокий приоритет.
Как и с файлом хост, изначально нужно сконфигурировать файл на одном хосте, а по-
том необходимо будет переслать его на все остальные машины. Рекомендуется сделать это
на L-CLI-A и на R-CLI. (На Debian и CentOS файлы немного отличаются.)
21
— L-CLI-A:
Первым делом нужно открыть конфигурационный файл:
vi /etc/nsswitch.conf
В 12-й строке необходимо добавить слово dns в начало, как показано на скриншоте:
— R-CLI:
vi /etc/nsswitch.conf
В этом же файле в 42-й строке нужно поменять местами слова files и dns, чтобы полу-
чилось, как показано на скриншоте:
Также лучше сразу задать dns-сервер для клиентов. L-CLI-A и L-CLI-B получают его
по DHCP, остались только R-CLI и OUT-CLI.
Необходимо зайти на этих машинах в файл /etc/resolv.conf:
vim /etc/resolv.conf
— OUT-CLI:
22
— R-CLI:
Проверка осуществляется выводом файла, командой cat:
cat /etc/nsswitch.conf | grep hosts
cat /etc/resolv.conf
Для OUT-CLI DNS-сервером будет являться внешний IP-адрес L-FW, так как в даль-
нейшем по заданию это потребуется.
Для R-CLI DNS сервером будет R-SRV. Он также будет настроен далее по заданию.
1. Подробнее про nsswitch (CentOS): https://developers.redhat.com/blog/2018/11/26/etc-
nsswitch-conf-non-complexity/.
2. Подробнее про nsswitch (Debian): https://manpages.debian.org/stretch/manpages/
nsswitch.conf.5.en.html.
3. Подробнее про resolv.conf (Debian): https://wiki.debian.org/resolv.conf.
4. Подробнее про resolv.conf (CentOS): https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/manually-configuring-
the-etc-resolv-conf-file_configuring-and-managing-networking.
5. Как пользоваться командой grep? (CentOS): https://www.redhat.com/sysadmin/how-
to-use-grep.
6. Как пользоваться командой grep? (Debian): https://packages.debian.org/ru/sid/grep.
Задание 5
Все хосты должны быть доступны аккаунту root по SSH на стандартном (22) порту.
23
— Debian:
1. Нужно установить OpenSSH Server:
apt install openssh-server -y (ключ -y=yes, для автоматической установки пакетов, без допол-
нительного подтверждения).
2. Отредактировать конфигурационный файл. В нем нужно в любое место дописать
строку PermitRootlogin yes.
Делается это для того, чтобы разрешить пользователю root:
vi /etc/ssh/sshd_config
3. После нужно перезапустить и добавить в автозагрузку службу sshd:

systemctl enable sshd
systemctl restart sshd
— CentOS:
В системе CentOS настройки по умолчанию удовлетворяют условию задания. Поэто-
му ничего изменять не надо.
Проверка осуществляется просмотром статуса демона sshd, а также доступности хоста
по ssh под пользователем root:
systemctl status sshd
ssh root@localhost — для того, чтобы подключиться к локальному ПК. Как бы к самому себе.
ssh root@<IP>, где <IP> — IP-адрес хост.
Для того чтобы выйти из ssh-сессии, необходимо ввести команду:
exit
1. OpenSSH Debian: https://wiki.debian.org/SSH.
2. OpenSSH Red Hat: https://access.redhat.com/documentation/en-us/red_hat_enterprise_
linux/7/html/system_administrators_guide/s1-ssh-configuration.
3. Официальный сайт OpenSSH: https://www.openssh.com/.
2.5.3. Конфигурация сетевой инфраструктуры
Задание 1
Настройте IP-адресацию на всех хостах в соответствии с диаграммой.
— Debian 10:
Настройка IP-адресов в системе Debian происходит в конфигурационном файле
/etc/network/interfaces, но сначала нужно узнать всю необходимую информацию.
24
Просмотр существующих интерфейсов выполняется командой:
ip a
а = вывести IP-адресацию
Темными стрелками показано название интерфейса. (В примере оно может отличаться!)

Светлыми стрелками его MAC-адрес. (В примере MAC-адрес может отличаться!)
Для того чтобы понять, какой интерфейс куда смотрит, необходимо ориентироваться
по их MAC-адресам.
В настройках виртуальной машины, в настройках сетевых интерфейсов можно уви-
деть MAC-адрес (кнопка Advanced) и сеть, к которой подключен сетевой интерфейс:
25
После того как была найдена связь между именем, MAC-адресом и сетью, можно при-
ступать к настройке:
vi /etc/network/interfaces
Правила настройки:
auto <name> — автоматическое включение интерфейса.
iface <name> inet static — перевод интерфейса в режим статического IP.
address <IP>/<MASK> — установка IP-адреса и маски подсети.
gateway <gateway> — шлюз по умолчанию.
<name> — имя сетевого интерфейса.
<IP> — IP-адрес в соответствии с топологией.
<MASK> — маска подсети в соответствии с топологией.
<gateway> — IP-адрес шлюза по-умолчанию. Для оконечных устройств шлюзом будет
являться вышестоящий маршрутизатор или сетевой экран. На маршрутизаторах не нужно
указывать шлюз по умолчанию:
После настройки конфигурационного файла необходимо перезапустить службу

networking такой командой:
systemctl restart networking
26
— CentOS 7:
В системе CentOS имеется предустановленный пакет nmtui. С помощью него можно
удобно в псевдографическом интерфейсе настроить IP-адреса.
Команда для его запуска:
nmtui
Настройка производится во вкладке Edit a connection (перемещаться нужно стрелоч-
ками):
Далее необходимо выбрать интересующий интерфейс:
27
Если несколько интерфейсов, то смотрим на MAC-адрес (Device) и сравниваем его в
настройках виртуальной машины. Это делается для того, чтобы узнать в какую сеть смотрит
интерфейс:
После этого нужно активировать интерфейсы (два раза Enter на каждом):
Проверка осуществляется командой:
ip a
Как и на CentOS, на Debian можно установить пакет nmtui и производить настройку в
графическом режиме:
apt install network-manager
28
Но будьте внимательны: если настройка была произведена с помощью конфигураци-
онного файла /etc/network/interfaces, то не стоит настраивать через nmtui. Разные сетевые ме-
неджеры не «ладят» друг с другом, и шанс все сломать выше, чем что-то настроить.
1. Сетевая настройка на Debian (Debian): https://wiki.debian.org/ru/NetworkConfiguration
2. Nmtui на Red Hat (CentOS): https://access.redhat.com/documentation/en-us/red_
hat_enterprise_linux/8/html/configuring_and_managing_networking/configuring-ip-networking-
with-nmtui_configuring-and-managing-networking.
Задание 2
Настройте GRE-туннель между L-FW и R-FW. Используйте следующую адреса-
цию внутри GRE-туннеля:
— L-FW: 10.5.5.1/30;
— R-FW: 10.5.5.2/30.
Для создания GRE-туннеля необходимо создать сетевой интерфейс tunnel. Делается
это при помощи утилиты ip. Но после перезагрузки созданный интерфейс пропадет. Чтобы
этого не происходило, есть решение в виде bash-скрипта, который создает интерфейс при за-
пуске машины.
— На R-FW
Пусть bash-скрипт называется gre.up и будет находиться в папке /etc:
vim /etc/gre.up
Необходимо выдать права на выполнение:

chmod +x /etc/gre.up
+x = eXecute. Дать файлу права на запуск, как исполняемый файл.
Для добавления скрипта в автозагрузку можно воспользоваться утилитой Crontab. Для
этого нужно зайти в файл /etc/crontab и добавить файл в автозапуск:
vim /etc/crontab
29
— На L-WF
На второй стороне нужно создать такой же скрипт, поменяв local, remote и IP-адреса
местами. Скрипт примет вид, показанный на скриншоте ниже:
vim /etc/gre.up
Также необходимо выдать права на выполнение:

chmod +x /etc/gre.up
Чтобы скрипт правильно отработал и создал туннель, нужно чтобы он запустился по-
сле загрузки Сетевых интерфейсов. В Debian есть простая реализация этого — в конец
файла /etc/network/interfaces нужно добавить строчку post-up /etc/gre.up, как показано на
скриншоте:
После нужно перезагрузить обе машины.

Проверку можно осуществить, проверив коннективность командой ping.
— С машины L-FW:
ping 10.5.5.2
30
— С машины R-FW:
ping 10.5.5.1
Связь между двумя офисами, разделенными сетью Интернет, можно осуществить раз-
ными способами. Например, существует такая технология, как VPN (Virtual Private Network).
Данная технология подразумевает создание защищенной связи между разными сетями.
GRE — это протокол, не представляющий шифрование. Из чего следует, что соедине-
ние будет небезопасным. В дальнейшем по заданию будет настроена технология IPSEC, ко-
торая будет обеспечивать приватность соединения.
1. Правила работы с Crontab: https://access.redhat.com/documentation/en-us/red_
hat_enterprise_linux/7/html/system_administrators_guide/ch-automating_system_tasks.
2. Введение В Виртуальные Интерфейсы Linux. Туннели: https://developers.
redhat.com/blog/2019/05/17/an-introduction-to-linux-virtual-interfaces-tunnels.
Задание 3
Настройте динамическую маршрутизацию по протоколу OSPF с использованием
пакета FRR:
1) анонсируйте все сети, необходимые для достижения полной связности;
2) применение статических маршрутов не допускается;
3) в обмене маршрутной информацией участвуют L-RTR-A, L-RTR-B, R-RTR, L-FW и R-FW;
4) соседство и обмен маршрутной информацией между L-FW и R-FW должно осу-
ществляться исключительно через настроенный GRE-туннель;
5) анонсируйте сети локальных интерфейсов L-RTR-A и L-RTR-B.
Первое, с чего стоит начать, — это установить пакет FRR.
31
— Debian:
Пакет FRR находится на третьем диске (debian-10.0.0-amd64-BD-3.iso). Но так как у паке-
та FRR очень много зависимостей, поместите в виртуальную машину все три диска Debian:
apt-cdrom add
apt install frr -y
— CentOS:
Пакет FRR находится на диске Additional.iso. Нужно вставить его и примонтировать:
(если выскочила ошибка, выполните команду umount /media/cdrom и повторите команду вы-
ше):
ls /media/cdrom — команда, чтобы посмотреть, что хранится на cdrom
Здесь можно увидеть пакет FRR. При попытке установить пакет он потребует зависи-
мости. Одна из них находится на этом диске — libyang. Необходимо установить сначала ее:
yum localinstall /media/cdrom/libyang_0_16_111_0_x86_64.rpm
Но не спешите устанавливать пакет FRR, так как ему требуются ещё зависимости, ко-
торые в данном случаем находятся на диске Everything. Так как yum умеет автоматически
устанавливать зависимости, просто перекиньте FRR .rpm в другую директорию:
cp /media/cdrom/frr_7_0_01_e17_centos_x86_6.rpm /media/
После нужно вставить диск Everything и примонтировать его:
umount /media/cdrom
После этого можно успешно установить FRR:
yum localinstall /media/frr_7_0_01_e17_centos_x86_6.rpm -y
После установки нужно отредактировать один файл:
vim /etc/frr/daemons
CentOS Debian
Необходимо включить демон ospfd. На CentOS нужно включить еще и zebra.

Демон ospfd отвечает, как ни странно, за ospf.
Zebra — это менеджер IP-маршрутизации. Он обеспечивает обновление таблиц марш-
рутизации ядра, поиск интерфейсов и перераспределение маршрутов между различными
протоколами маршрутизации.
32
На Debian необходимо перезапустить FRR:
systemctl restart frr
На CentOS необходимо включить его и добавить в автозагрузку:
systemctl enable --now frr
Далее можно приступить к настройке ospf.
Следующей командой произойдет вход в FRR:
vtysh
После этой команды должно измениться приветственное сообщение:
Далее нужно зайти в конфигурационный терминал и оттуда зайти в настройку ospf:

conf t (сокращение от configure terminal)
router ospf
Приступая к настройке OSPF, нужно помнить следующее.
1. Пассивные, или тупиковые, интерфейсы.
Пассивный, или тупиковый, интерфейс — это интерфейс, за которым далее нет марш-
рутизатора, т. е. в той стороне только одна сеть, к которой непосредственно подключено
устройство.
(Для R-FW и L-FW интерфейсы, которые смотрят в сторону ISP, тоже являются тупи-
ковыми, так как по заданию требуется соединить L-FW и R-FW через GRE туннель.)
33
На данном примере у маршрутизатора R-RTR есть два интерфейса. Один смотрит в
сторону R-FW, за которым есть какие-то сети, то есть он не является тупиковым. А вот ин-
терфейс, который смотрит в сторону R-CLI, является тупиковым, так как за R-CLI нет ника-
ких сетей.
2. Сети, в которые устройство подключено напрямую.
Например, для R-FW это будет три сети, к которым он подключен напрямую.
192.168.20.0./24 и 192.168.10.0/30 + сеть в GRE-туннеле — 10.5.5.0/30. Сеть, смотря-
щую в сторону ISP, анонсировать не нужно как на R-FW, так и на L-FW.
3. Зона, к которой относится сеть. Зона — область, в которой все входящие в неё
маршрутизаторы обмениваются различной информацией состояния сети. Разделение делает-
ся для того, чтобы уменьшить нагрузку на сеть. В данном случае используется нулевая зона.
Настройка OSPF:
Указываются пассивные интерфейсы командой:
passive-interface <Имя интерфейса>
где <Имя интерфейса> можно посмотреть командой ip a.
Анонсируем сети. Далее для каждой сети необходимо прописать команду:
network <Сеть>/<Маска> area 0
где <Сеть> и <Маска> — сеть, напрямую подключенная к устройству.
После нужно выйти из режима настройки OSPF, выйти из конфигурационного терми-
нала и командой write сохранить все настройки:
end
write
exit
Пример настройки на L-FW:
После настройки OSPF на двух ближайших маршрутизаторах, можно посмотреть их
соседство в OSPF. Также можно посмотреть маршруты, которые должны были прийти с со-
седних маршрутизаторов. Делается командами:
show ip ospf neighbor
show ip route
Пример вывода после настройки R-FW и L-FW:
34
Кроме OSPF существуют и другие протоколы динамической маршрутизации: RIPV2,
EIGRP, BGP и многие другие. Суть данных протоколов, включая OSPF, не только в инфор-
мировании местоположения сетей, но и в нахождении кратчайшего маршрута к ним.
1. Подробнее про FRR: http://docs.frrouting.org/projects/dev-guide/en/latest/packaging-
redhat.html.
2. Подробнее про пакет libyang: https://github.com/CESNET/libyang.
3. Подробнее про пакет NGINX: https://nginx.org/en/.
4. Подробнее про пакет PCRE-DEVEL: https://www.pcre.org/.
5. Подробнее про OPENVPN: https://openvpn.net/community-resources/.
6. Подробнее про PKCS-HELPER: https://github.com/OpenSC/pkcs11-helper.
Задание 4
В качестве DHCP-сервера организации LEFT используйте L-RTR-A.
1. Используйте пул адресов 172.16.100.65–172.16.100.75 для сети L-RTR-A.
2. Используйте пул адресов 172.16.200.65–172.16.200.75 для сети L-RTR-B.
3. Используете адрес L-SRV в качестве адреса DNS-сервера.
4. Настройте DHCP-сервер таким образом, чтобы L-CLI-B всегда получал фиксиро-
ванный IP-адрес в соответствии с диаграммой.
5. В качестве шлюза по умолчанию используйте адрес интерфейса соответствующего
маршрутизатора в локальной сети.
6. Используйте DNS-суффикс skill39.wsr.
7. DNS-записи типа A и PTR соответствующего хоста должны обновляться при полу-
чении ими адреса от DHCP-сервера.
35
Перейдите на L-RTR-A и установите пакет isc-dhcp-server, он находится на втором
диске дебиана:
apt install isc-dhcp-server -y
После установки появится окно с псевдографикой. Так как графический способ
настройки не дает всех возможностей конфигурирования, настройка будет производиться в
конфигурационных файлах. Смело нажимайте сочетание клавиш Crtl + C, чтобы выйти из нее.
Настройка dhcp:
Первое, что нужно сделать, — это указать, какие интерфейсы слушает dhcp:
vim /etc/default/isc-dhcp-server
В этом файле нужно в строку с интерфейсами добавить два имеющихся интерфейса
на этом устройстве. Один интерфейс для сети 172.16.100.0/24. Второй интерфейс для сети
172.16.200.0/24, которая находится удаленно.
В кавычках указаны названия интерфейсов (на примере они могут отличаться, чтобы
посмотреть интерфейсы команда — ip a):
Следующий файл, который нужно отредактировать /etc/dhcp/dhcpd.conf:

vim /etc/dhcp/dhcpd.conf
36
Разбор конфига:
option domain-name “skill39.wsr”;
option domain-name-servers 172.16.20.10;
Данными строчками задается доменное имя и DNS-сервер:
default-lease-time 600;
max-lease-time 7200;
Данные строки настраивают время аренды IP-адреса:
ddns-update-style interim;
ddns-updates on;
Настройка опции динамического обновления DNS:
zone skill39.wsr{
primary 172.16.20.10;
};
zone skill39.wsr.in-addr.arpa{
primary 172.16.20.10;
};
Здесь указываются прямая и обратная зоны DNS:
subnet 172.16.100.0 netmask 255.255.255.0 {
range 172.16.100.65 172.16.100.75;
option routers 172.16.100.1
};
subnet 172.16.200.0 netmask 255.255.255.0 {
range 172.16.200.65 172.16.200.75;
};
Данными строками указываются подсети, которые будет обслуживать DNS. В их
настройке указывается диапазон адресов с ключевым словом range и список IP-адресов
маршрутизаторов для клиентской сети ключевым словом option routers:
subnet 172.16.50.0 netmask 255.255.255.252 {
};
Данная строка нужна для
host passacaglia {
hardware ethernet 52:54:00:5d:5e:75;
fixed-address 172.16.200.61;
};
Данной конструкцией происходит привязка IP-адреса к MAC-адресу. Делается это для
того, чтобы устройство всегда получало фиксированный адрес. Обратите внимание, что
MAC-адрес нужно указывать устройства L-CLI-B (по заданию), и MAC-адрес его в вашем
случае может быть другим. Не забудьте указать правильный MAC-адрес, так как на примере
он может отличаться.
После настройки этого файла нужно перезапустить службу dhcp:
systemctl restart isc-dhcp-server
Настройка dhcp-relay:
dhcp-relay настраивается на L-RTR-B
Необходимо установить пакет isc-dhcp-relay. Он находится на втором диске:
apt install isc-dhcp-relay -y
После установки появится окно с псевдографикой. В данном окне нужно ввести
внешний IP-адрес dhcp-сервера (L-RTR-A):
37
Enter
В следующем окне необходимо ввести два интерфейса, которые будут получать за-
просы. (Названия интерфейсов на примере могут отличаться, чтобы посмотреть названия ин-
терфейсов команда ip a.)
После снова нажмите Enter и перейдите к третьему окну, где ничего вводить не надо,
просто снова нажмите Enter.
Настройка DHCP завершена.
Проверку можно выполнить запросом IP-адреса с клиентских устройств.
На L-CLI-A и на L-CLI-B попробуйте ввести две команды:
dhclient -r
-r = --release. Команда для снятия DHCP-аренды
dhclient -v
-v = --verbose. Команда для того, чтобы «процесс» получения IP-адресации был детально
выведен в командной строке. Если не использовать данный ключ, система в «тихом» режи-
ме пытается получить IP-адрес.
Если все было настроено правильно, то клиентские машины получат IP-адрес, выдан-
ный сервером DHCP:
Список всех выданных сервером IP-адресов прописывается в файле dhcpd.leases. Вы-

ведите его командой:
cat /var/lib/dhcp/dhcpd.leases
38
В записи видим, что адрес 172.16.100.65 был выдан компьютеру L-CLI-A. Указано
время выдачи адреса, MAC-адрес устройства и т. д.
1. Подробнее про DHCP Server: https://wiki.debian.org/ru/DHCP_Server.
2. Официальная документация ISC DHCP: https://kb.isc.org/docs/aa-00333.
Задание 5
На L-FW и R-FW настройте интернет-шлюзы для организации коллективного
доступа в Интернет.
1. Настройте трансляцию сетевых адресов из внутренней сети в адрес внешнего ин-
терфейса.
2. Организуйте доступность сервиса DNS на L-SRV по внешнему адресу L-FW.
3. Сервер L-FW должен перенаправлять внешние DNS запросы от OUT-CLI на L-SRV.
www.skill39.wsr должен преобразовываться во внешний адрес R-FW.
— L-FW:
1. Первым делом необходимо установить пакет iptables-persistance:
apt install iptables-persistance -y
После установки перекинет в псевдографику. Нажмите NO.
2. Правила для iptables:
Правило для NAT:
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o <Вн.Интерф.> -j MASQUERADE
Правило для проброса порта:
iptables -t nat -A PREROUTING -p udp --dport 53 -i <Вн.Интерф.> -j DNAT --to-destination
172.16.20.10
где <Вн.Интерф.> — внешний интерфейс, смотрящий сторону, ISP -t — --table (от англ. таб-
лица), идем по таблице, NAT -A — --append (от англ. добавлять), добавление правила в конец
списка, -s — --subnet (от англ. подсеть), указывается подсеть, на которую работает правило
-o — -out-interface (от англ. наружу, вне, за пределами) — исходящий интерфейс, -j — -jump
(от англ. прыжок), прописывается действие, которое будет выполняться этим правилом.
После сохраните все изменения:
iptables-save > /etc/iptables/rules.v4
— R-FW
Данной командой можно посмотреть, какие сетевые интерфейсы отнесены к зоне
public и где ICMP (и не только) запросы блокируются:
firewall-cmd --zone=public --list-all
Добавление интерфейса в доверенную зону осуществляется командой:
firewall-cmd --permanent --zone=trusted --add-interface=<NAME>
где <NAME> — имя интерфейса.
Так нужно проделать для всех интерфейсов, кроме интерфейса, назначенного в сторо-
ну провайдера ISP.
39
Включение NAT:
firewall-cmd --permanent --zone=public --add-masquerade
Важное замечание! Так как на этом этапе происходит включение Firewall, теперь его
необходимо настроить, чтобы он не повлиял на дальнейшую работу:
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --permanent --zone=public --add-protocol=gre
firewall-cmd --permanent --zone=public --add-protocol=esp
firewall-cmd --permanent --zone=public --add-port=47/tcp
Данными строчками происходит добавление протоколов и сервисов в доверенную зо-
ну, так как изначально firewalld блокирует все, что не разрешено вручную.
Не забудьте перезапустить firewalld:
systemctl restart firewalld
— На L-FW:
iptables -L -v -t nat
— На R-FW:
firewall-cmd --zone=public --list-masquerade
firewall-cmd --zone=trusted --list-interfaces
У firewalld имеется два режима настроек: режим выполнения и постоянный. Исполь-
зуя CLI, вы не изменяете настройки брандмауэра в обоих режимах одновременно. Для при-
менения правил, добавленных с ключом --permanent, нужно перезапустить службу firewalld,
либо добавить еще раз правило, но уже без этого ключа.
1. Подробнее про firewalld: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/8/html/configuring_and_managing_networking/using-and-configuring-
firewalls_configuring-and-managing-networking.
2. Подробнее про iptables: https://wiki.debian.org/iptables.
Задание 6
На хостах сформируйте файл /etc/hosts в соответствии с диаграммой (кроме адре-
са хоста L-CLI-A). Данный файл будет применяться во время проверки в случае недо-
ступности DNS-сервисов. Проверка по IP-адресам выполняться не будет.
Зайдите на устройство, где были сформированы данные файлы (L-CLI-A).
Переслать эти файлы можно с помощью утилиты scp:
scp /etc/hosts root@<IP>:/etc/
scp /etc/nsswitch.conf root@<IP>:/etc/
где <IP> — один из адресов всех виртуальных машин.
Теперь на всех виртуальных машинах должны оказаться сконфигурированные файлы:
cat /etc/hosts
cat /etc/nsswitch.conf
SCP — утилита и протокол копирования, использующий в качестве транспорта SSH.
Подробнее про scp: https://access.redhat.com/documentation/en-us/red_hat_enterprise_
linux/6/html/deployment_guide/s2-ssh-clients-scp.
40
Задание 7
На L-SRV настройте службу разрешения доменных имен.
1. Сервер должен обслуживать зону skill39.wsr.
2. Сопоставление имен организовать в соответствии с таблицей 1.
3. Запросы, которые выходят за рамки зоны skill39.wsr, должны пересылаться DNS-
серверу ISP. Для проверки используйте доменное имя ya.ru.
4. Реализуйте поддержку разрешения обратной зоны.
5. Файлы зон располагать в /opt/dns/
— L-SRV:
Первым делом нужно установить bind9:
apt install bind9
Настройка:
• конфигурация в файле /etc/bind/named.conf.options
vim /etc/bind/named.conf.options
• нужно раскомментировать строчку forwarders { и последующие за ней две строки.
Далее нужно изменить IP-адрес с 0.0.0.0 на адрес ISP (10.10.10.10).
Чуть ниже и есть срока dnssec-validation yes; вместо yes нужно написать no.
Также необходимо дописать две строки:
recursion yes;
allow-query {any;};
Изменить строку listen-on-v6 {any;}; на listen-on {any;};
Пример:
Следующий файл на редактирование /etc/bind/named.conf.default-zone:

vim /etc/bind/named.conf.default-zones
41
В этом файле нужно добавить зоны, для этого в конце файла дописываем:
Разбор конфигурации:
zone “skill39.wsr” {
type master;
file “/opt/dns/skill39”;
allow-update {any;};
allow-transfer {any;};
};
Данной конструкцией происходит создание зоны skill39.wsr. В ее параметрах указы-
ваются тип (type master) зоны, файл зоны (file):
zone “16.172.in-addr.arpa” {
type master;
file “/opt/dns/172”;
};
zone “168.192.in-addr.arpa” {
type master;
file “/opt/dns/192”;
};
Здесь создаются две обратные зоны для двух обслуживаемых подсетей (левый и пра-
вый офисы).
Следующим пунктом нужно создать зоны, которые были добавлены.
Для этого:
1. Нужно создать папку /opt/dns, где будут храниться файлы зон:
mkdir /opt/dns
2. Скопировать пример прямой зоны и обратной зоны:
cp /etc/bind/db.local /opt/dns/skill39
cp /etc/bind/db.127 /opt/dns/172
cp /etc/bind/db.127 /opt/dns/192
42
3. Выдача прав на папку /opt/dns:
chown bind:bind /opt/dn
4. Настройка зоны skill39.wsr:
vim /opt/dns/skill39
5. Настройка обратной зоны сети 172:

vim /opt/dns/172
6. Настройка обратной зоны сети 192:

vim /opt/dns/192
43
Необходимо перезапустить службу DNS:
systemctl restart bind9
— R-SRV:
Установка bind:
yum install bind -y
Конфигурация файла с зонами:
vim /etc/named.conf
После зоны «.» нужно добавить зону skill39.wsr. В данном случае зона будет иметь
тип slave и будет обращаться к master-зоне, находящейся на L-SRV:
После нужно включить и добавить в автозагрузку службу named

systemctl enable --now named
host l-srv.skill39.wsr 172.16.20.10
host l-srv.skill39.wsr 192.168.20.10
Прямые зоны служат для преобразования имен узлов в IP-адреса. Наиболее часто ис-
пользуются для этого записи: A, CNAME, SRV.
Для определения имени узла по его IP-адресу служат обратные зоны, основной тип
записи в обратных зонах — PTR. Для решения данной задачи создан специальный домен с
именем in-addr.arpa. Для каждой IP-сети в таком домене создаются соответствующие поддо-
мены, образованные из идентификатора сети, записанного в обратном порядке. Например,
для сети 192.168.0.0/24 необходимо создать зону с именем 0.168.192.in-addr.arpa. Для узла с
адресом 192.168.0.10 и именем example.ru в данной зоне должна быть создана запись 10 PTR
example.ru.
В задании использовались обратные зоны 16.172.in-addr.arpa и 168.192.in-addr.arpa
(для сетей 172.16.0.0/16 и 192.168.0.0/16 соответсвенно). Но возникает вопрос — ведь таких
сетей в задании нет. Все очень просто. Для того чтобы не создавать зоны для каждой подсе-
ти, а их 5 штук, просто используют «вышестоящую сеть». Так как сеть 172.16.x.0/24 является
подсетью 172.16.0.0./16, и соответственно сеть 192.168.x.0/24 является подсетью
192.168.0.0/16.
1. Подробнее про BIND: https://wiki.debian.org/Bind9.
2. Обширная документация по BIND от разработчиков: https://downloads.
isc.org/isc/bind9/9.17.1/doc/arm/Bv9ARM.pdf.
2.5.4. Службы централизованного управления и журналирования
Задание 1
Разверните LDAP-сервер для организации централизованного управления учет-
ными записями:
1) в качестве сервера выступает L-SRV;
2) учетные записи создать в соответствии с таблицей 4;
3) группы (LDAP) и пользователей создать в соответствии с таблицей 4;
4) L-CLI-A, L-SRV и L-CLI-B должны аутентифицироваться через LDAP.
44
Установка необходимых пакетов:
apt install slapd ldap-utils migrationtools -y
Пакеты находятся на разных дисках, убедитесь в том, что вставлены все 4 диска.
Конфигурация sldap:
dpkg-reconfigure slapd
Появится окно с графической настройкой:
45
Создаем файл ou.ldif:
vim ou.ldif
ldapadd -x -W -D cn=admin,dc=skill39,dc=wsr -f ou.ldif

Создание группы пользователей:
groupadd -g 10000 Admin
groupadd -g 20000 Guest
tail -n2 /etc/group > /root/group
cd /usr/share/migrationtools
vim migrate_common.pl
В этом файле нужно изменить строки 71 и 74:
cp migrate_common.pl /etc/perl
./migrate_group.pl /root/group > /root/groups.ldif
vim /root/groups.ldif
В этом файле нужно удалить строки с паролями, так же как показано на примере ниже.
ldapadd -x -W -D cn=Admin,dc=skill39,dc=wsr -f groups.ldif

Создание пользователя tux:
useradd -u 10001 -g 10000 tux
Пароль пользователя tux (toor):
passwd tux
Выгрузка пользователя tux и добавление его в ldap:
grep tux /etc/passwd > /root/tux
./migrate_passwd.pl /root/tux > /root/tux.ldif
cd
ldapadd -x -W -D cn=Admin,dc=skill39,dc=wsr -f tux.ldif
Создание пользователя user:
useradd user -g 20000 -u 20001
46
Пароль пользователя user (P@ssw0rd):
passwd user
Редактирование common:
vim /etc/perl/migrate_common.pl
В 45-й строке нужно поменяем users на Guest:
cd /usr/share/migrationtools
Выгрузка пользователя user:
grep user: /etc/passwd > /root/users
./migrate_passwd.pl /root/users > /root/users.ldif
Здесь нужно поменять группу у пользователя user:
vim /root/users.ldif
В первой необходимо изменить строке People на Guest:
cd
Непосредственно добавление пользователя в ldap:
ldapadd -x -W -D “cn=Admin,dc=skill39,dc=wsr” -f users.ldif
— На клиентах L-CLI-A, L-CLI-B и L-SRV:
apt install libpam-ldap
dpkg-reconfigure libpam-ldap
47
Далее на два вопроса отвечаем -NO, type password = clear, в пункте про галочки —
ставим все. Потом в файле /etc/pam_ldap.conf нужно найти строку pam_passwd и закоммен-
тировать её:
vim /etc/pam_ldap.conf
И последним шагом перезапустить ПК:
reboot
Проверка осуществляется попыткой входа из-под пользователя user с паролем
P@ssw0rd на виртуальные машины L-CLI-A, L-CLI-B, L-SRV.
https://pro-ldap.ru/tr/zytrax/ch14/" \l "ldapadd ldapadd — добавляет LDIF-записи в ката-
лог LDAP
Разбор ключей:
-f — читает информацию о модификации записи из файла file, а не со стандартного входа;
-W — указывает запрашивать пароль для простой аутентификации. Это более без-
опасно, чем указывать пароль в открытом виде в командной строке (-w);
-x — указывает использовать простую аутентификацию вместо SASL. Если не указан,
по умолчанию используется SASL-аутентификация;
-D — использует Distinguished Name, предъявленный в аргументе (binddn), при соеди-
нении с каталогом LDAP.
1. Подробнее про LDAP: https://wiki.debian.org/LDAP.
2. Официальный сайт сообщества OpenLDAP: https://www.openldap.org/.
Задание 2
На L-SRV организуйте централизованный сбор журналов с хостов L-FW, L-SRV.
1. Журналы должны храниться в директории /var/log/custom.
2. Журналирование должно производиться в соответствии с таблицей 2.
Таблица 2
Правила журналирования
Уровень журнала
Источник Файл
(строгое соответствие)
L-SRV auth.* /opt/logs/<HOSTNAME>/auth.log
L-FW *.err /opt/logs/<HOSTNAME>/error.log
* В директории /var/log/custom/ не должно быть файлов, кроме тех, которые указаны в таблице.
— L-SRV
Конфигурация файла /etc/rsyslog.conf:
vim /etc/rsyslog.conf
Нужно раскомментировать строки 13, 16, 17. Данными действия имеется в виду то,
что будут приниматься запросы по UDP. Далее указываются запросы auth.* и путь, где будут
они будут храниться.
Необходимо также добавить условие, при котором запросы error от L-FW будут попа-
дать в файл error.log:
48
После нужно перезапустить службу rsyslog:
systemctl restart rsyslog
Настройка на L-FW:
vim /etc/rsyslog.conf
В конец файла нужно добавить строку:
*.* @172.16.20.10
После нужно также перезапустить службу rsyslog:
systemctl restart rsyslog
Например, с L-FW:
logger -p mail.err test
В результате этой команды на L-SRV должно появиться сообщение. Чтобы посмот-
реть, выполняем команду:
ls /opt/logs
Если создались папки, одноименные с виртуальными машинами, — все в порядке.

1. Подробнее про Rsyslog: https://wiki.debian.org/Rsyslog.
2. Подробнее про logger: http://man7.org/linux/man-pages/man1/logger.1.html.
2.5.5. Конфигурация служб удаленного доступа
Задание 1
Настройте защищенный канал передачи данных между L-FW и R-FW с помо-
щью технологии IPSEC:
1. Параметры политики первой фазы IPSec:
— проверка целостности SHA-1;
— шифрование 3DES;
— группа Диффи — Хеллмана 14 (2048);
— аутентификация по общему ключу WSR-2019.
2. Параметры преобразования трафика для второй фазы IPSec:
— протокол ESP;
— шифрование AES;
— проверка целостности SHA-2.
49
3. В качестве трафика, разрешенного к передаче через IPSec-туннель, должен быть
указан только GRE-трафик между L-FW и R-FW.
— R-FW:
Установка пакета libreswan:
yum install libreswan -y
Первым делом нужно создать конфигурационный файл в каталоге /etc/ipsec.d/ с рас-
ширением .conf (имя может быть любым, но должно оканчиваться на .conf):
vim /etc/ipsec.conf
Описание конфига:
1. Раздел conn содержит спецификацию соединения, определяющую сетевое соеди-
нение, которое должно быть сделано с использованием IPsec. Данное имя является произ-
вольным и используется для идентификации соединения.
2. auto=start означает, что даже после перезагрузки произойдет согласование соеди-
нения.
3. type=tunnel — тип соединения туннель (Host-to-Host соединение).
4. authby=secret означает, что аутентификация будет по секретному ключу.
5. ike=3des-sha1;dh14 — настройка фазы ike, вся информация дается в задании.
Шифрование 3DES. Проверка целостности SHA-1. Группа Диффи — Хеллмана 14 (2048).
6. esp=aes-sha2 — настройка второй фазы.
7. left=20.20.20.100 — Local IP-адрес.
8. right=10.10.10.1 — Remote IP-адрес.
9. leftprotoport=gre и rightprotoport=gre — используем протокол GRE.
10. pfs=no — прямая секретность ключа. Иногда возникает проблема из-за этой
настройки. Выключаем.
Далее нужно создать файл с секретным ключом. Файл должен располагаться по пути
/etc/ipsec.d/ и иметь расширение .secrets:
vim /etc/ipsec.secrets
В этом файле нужно описать всего одну строчку, содержащую:

1) локальный IP-адрес;
2) удаленный IP-адрес;
3) : PSK;
4) ключ в кавычках.
50
После перезапустить IPSec:
ipsec restart
— L-FW:
Установка пакета libreswan:
apt install libreswan -y
Так же как и с R-FW, нужно создать файл в каталоге /etc/ipsec.d/ с расширением .conf:
vim /etc/ipsec.conf
Настраивается файл точно так же за исключением left и right (они меняются местами).
Далее создается файл с секретным ключом по пути /etc/ipsec.d/:
vim /etc/ipsec.secrets
Все так же, но меняется локальный и удаленный IP-адреса.

После перезапуск IPSec:
ipsec restart
ipsec status
Пример вывода команды на R-FW:
Пример вывода команды на L-FW:
51
Кроме IPSec существуют другие технологии, с помощью которых можно осуществить
шифрованную связь. PPTP, L2TP/IPsec, IPSec IKEv2, OpenVPN.
Подробнее про настройку libreswan: https://libreswan.org/man/ipsec.conf.5.html.
Задание 2
Настройте CA на R-FW, используя OpenSSL.
1. Используйте /etc/ca в качестве корневой директории CA.
2. Атрибуты CA должны быть следующими:
— страна RU;
— организация WorldSkills Russia;
— CN должен быть установлен как WSR CA.
3. Создайте корневой сертификат CA.
4. Все клиентские операционные системы должны доверять CA.
— На R-FW:
Вначале нужно установить openssl:
yum install openssl* -y
Далее конфигурируется файл /etc/pki/tls/openssl.cnf:
vim /etc/pki/tls/openssl.cnf
В 42-й строке нужно написать директорию, указанную в задании (/etc/ca):
Далее указываются все, как в задании (строки 130, 135, 138, 141):
Далее необходимо:
1. Создать директорию, где будут храниться сертификаты:
mkdir /etc/ca
2. Выдать права:
chmod 777 /etc/ca
52
3. Перейти в папку с суперскриптами:
cd /etc/pki/tls/misc
4. Отредактировать CA.pl:
vim CA.pl
В 56-й строке изменить путь на папку /etc/ca.

./CA.pl -newca — выписать новый сертификат корневого ЦС.
./CA.pl -newreq-nodes — выписать сертификат для клиентов.
./CA.pl -sign — подписать его.
Скопируйте сертификат корневого CA в отдельный документ:
cp /etc/ca/cacert.pem /root/ca.crt
cd
Перекиньте сертификаты на всех клиентов, а также на L-FW:
scp ca.crt root@<ip>:/root/
где <ip> — IP-адрес клиентов, а также IP L-FW
Добавление сертификатов в доверенные:
— На CentOS:
cp ca.crt /etc/pki/ca-trust/source/anshors
update-ca-trust external
— На Debian:
cp ca.cert /usr/share/ca-certificates
dpkg-reconfigure ca-certificates
Появится псевдографика с настройкой. Нажмите YES и Enter.
После нужно поставить звездочку возле ca.crt (клавишей пробел) и нажать Enter:
53
Данный пункт проверяется в процессе выполнения следующих заданий. Если у вас
получилось настроить VPN по сертификатам, значит, Центр сертификации настроен пра-
вильно.
1. Подробнее про OpenSSL: https://access.redhat.com/documentation/en-us/red_hat_
enterprise_linux/7/html/security_guide/sec-using_openssl.
2. Обширная документация про OpenSSL от разработчиков: https://www.openssl.
org/docs/.
Задание 3
На L-FW настройте сервер удаленного доступа на основе технологии OpenVPN.
1. В качестве сервера выступает L-FW.
2. Параметры туннеля:
— устройство TUN;
— протокол UDP;
— применяется сжатие;
— порт сервера 1122.
3. Ключевая информация должна быть сгенерирована на R-FW.
4. В качестве адресного пространства подключаемых клиентов использовать сеть
5.5.5.0/27.
5. Хранение всей необходимой (кроме конфигурационных файлов) информации орга-
низовать в /opt/vpn.
6. Подключившийся клиент должен быть автоматически сконфигурирован на исполь-
зование DNS-инфраструктуры предприятия.
— L-FW:
Установка OpenVPN:
apt install openvpn
Также нужно создать папку /opt/openvpn и файл конфига:
mkdir /opt/vpn
vim /etc/openvpn/server.conf
— Описание конфига.
Указывается локальный IP, порт, протокол, устройство — туннель:
local 10.10.10.1
port 1122
proto udp
dev tun
Следующими строками указывается путь до корневого сертификата, сертификата vpn,
ключа от него, ключ Деффи — Хелмена:
ca /opt/vpn/cacert.pem
cert /opt/vpn/l-fw.crt
key /opt/vpn/l-fw.key
dh /opt/vpn/dh2048.pem
Указывается топология сети:
topology subnet
server 5.5.5.0 255.255.255.224
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push “route 172.16.0.0 255.255.0.0”
push “route 192.168.0.0 255.255.0.0”
push “dhcp-option DNS 172.16.20.10”
Каждые 10 секунд посылать ping на удаленный хост, и если за 120 секунд не было по-
лучено ни одного пакета, то перезапускать туннель.
keepalive 10 120
54
Использовать сжатие:
comp-lzo
Данная опция указывает не перечитывать файлы ключей при перезапуске туннеля:
persist-key
Данная опция оставляет без изменения устройства tun/tap при перезапуске:
persist-tun
Указывает путь к статус-файлу, в котором содержится информация о текущих соеди-
нениях и информация о интерфейсах TUN/TAP:
status /var/log/openvpn/openvpn-status.log
Устанавливает уровень информативности отладочных сообщений:
verb 3
explicit-exit-notify 1
Зайдите в папку /opt/vpn и создайте файл dh2048.pem:

cd /opt/vpn
openssl dhparam -out /opt/vpb/dh2048.pem 2048
На R-FW нужно выписать сертификат для сервера:
cd /etc/pki/tls/misc
./CA.pl -newreq-nodes
./CA.pl -sign
Сертификат и ключ появятся в той же папке. Нужно перекинуть их на L-FW:
scp /etc/pli/tls/misc/newcert.pem root@10.10.10.1:/opt/vpn/l-fw.crt
scp /etc/pli/tls/misc/newkey.pem root@10.10.10.1:/opt/vpn/l-fw.key
Также нужно выписать сертификат для клиента:
./CA.pl -newreq-nodes
./CA.pl -sign
И также перекинуть на OUT-CLI:
scp /etc/pki/tls/misc/newcert.pem root@20.20.20.5:/root/OUT-CLI.crt
scp /etc/pki/tls/misc/newkey.pem root@20.20.20.5:/root/OUT-CLI.key
После успешной доставки всех необходимых файлов можно запустить сервер
Openvpn на L-FW:
systemctl start openvpn@server
— Настройка клиента OUT-CLI:
Нужно установить openvpn с пакета additional:
yum localinstall /media/cdrom/pkc*
yum localinstall /media/cdrom/open*
55
После установки необходимо создать папку /opt/vpn и скопировать в нее сертификаты:
mkdir /opt/vpn
cp ca.crt /opt/vpn
cp OUT-CLI.crt /opt/vpn
cp OUT-CLI.key /opt/vpn
Конфигурирование файла клиента.
vim /etc/openvpn/client.conf
Разбор конфига:
client
Устройство tun:
dev tun
Протокол udp:
proto udp
IP и порт сервера:
remote 10.10.10.1 1122
Убрать переподключение, если не было найдено DNS-имя:
resolv-retry infinite
Использовать динамический порт для подключения:
nobind
Данная опция указывает не перечитывать файлы ключей при перезапуске туннеля:
persist-key
Данная опция оставляет без изменения устройства tun/tap при перезапуске:
persist-tun
Путь до сертификатов и ключа:
ca /opt/vpn/ca.crt
cert /opt/vpn/OUT-CLI.crt
key /opt/vpn/OUT-CLI.key
Использовать сжатие:
comp-lzo
Запуск клиента:
systemctl start openvpn@client
Попробуйте отправить PING-запрос на любой компьютер в левом офисе:
56
Подробнее про Openvpn: https://openvpn.net/
Задание 4
На OUT-CLI настройте клиент удаленного доступа на основе технологии OpenVPN:
1. Запуск удаленного подключения должен выполняться скриптом start_vpn.sh.
2. Отключение VPN-туннеля должно выполняться скриптом stop_vpn.sh.
3. Скрипты должны располагаться в /opt/vpn.
4. Скрипты должны вызываться из любого каталога без указания пути.
5. Используйте следующий каталог для расположения файлов скриптов: /opt/vpn/.
Создаются скрипты на запуск и на остановку vpn следующими командами:
echo systemctl start openvpn@client > /opt/vpn/start_vpn.sh
echo systemctl stop openvpn@client > /opt/vpn/stop_vpn.sh
Выдача прав на запуск:
chmod +x /opt/vpn/start_vpn.sh
chmod +x /opt/vpn/stop_vpn.sh
Создание ссылок на скрипты:
ln -s /opt/vpn/start_vpn.sh /bin/start_vpn
ln -s /opt/vpn/stop_vpn.sh /bin/stop_vpn
-s = --symbolic — для создания символьной ссылки.
start_vpn и stop_vpn стали доступны как «команды» в командной строке компьютера.
Ввести их можно, находясь в любом месте ОС:
start_vpn
stop_vpn
Подробнее про SymLink: https://wiki.debian.org/SymLink.
Задание 5
На L-FW настройте удаленный доступ по протоколу SSH:
1. Доступ ограничен пользователями ssh_p, root и ssh_c:
— в качестве пароля пользователя (кроме root) использовать ssh_pass;
— root использует стандартный пароль.
2. SSH-сервер должен работать на порту 22.
На L-FW:
Необходимо отредактировать конфигурационный файл, добавив запись AllowUsers
root ssh_p ssh_c:
vim /etc/ssh/sshd_config
Создание пользователей:
useradd -p ssh_pass ssh_p
useradd -p ssh_pass ssh_c
57
Проверка осуществляется попыткой подключения по ssh, используя пользователей
ssh_p и ssh_c:
ssh ssh_p@localhost
ssh ssh_с@localhost
1. Подробнее про настройку OpenSSH: https://manpages.debian.org/jessie/openssh-
server/sshd_config.5.en.html.
2. OpenSSH Debian: https://wiki.debian.org/SSH.
3. OpenSSH Red Hat: https://access.redhat.com/documentation/en-us/red_hat_enterprise_
linux/7/html/system_administrators_guide/s1-ssh-configuration.
4. Официальный сайт OpenSSH: https://www.openssh.com/.
Задание 6
На OUT-CLI настройте клиент удаленного доступа SSH.
Доступ к L-FW из-под локальной учетной записи root под учетной записью ssh_p
должен происходить с помощью аутентификации на основе открытых ключей.
На OUT-CLI:
Создание пары ключей и передача, открытого ключа на L-FW:
ssh-keygen
ssh-copy-id ssh_p@10.10.10.1
При попытке подключиться по SSH к компьютеру L-FW нужно вводить пароль:
Подробнее про использование аутентификации на основе ключей: https://access.
redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/s2-ssh-
configuration-keypairs.
2.5.6. Конфигурация веб-служб
Задание
На R-SRV установите и настройте веб-сервер apache:
1. Настройте веб-сайт для внешнего пользования www.skill39.wsr:
— используйте директорию /var/www/html/out;
— используйте порт 80;
— сайт предоставляет доступ к двум файлам.
2. Документ index.html должен содержать:
— “Hello, www.skill39.wsr is here!”
3. Документ date.php (исполняемый PHP-скрипт) должен содержать:
— вызов функции date('Y-m-d H:i:s')
58
Первым делом нужно установить два пакета — httpd и php:
yum install httpd php -y
Далее нужно отредактировать конфигурационный файл:
vim /etc/httpd/conf/httpd.conf
В 119-й строке нужно изменить директорию как по заданию:
Также понадобится создать папку /var/www/html/out:

mkdir /var/www/html/out
В этой папке потребуется создать два файла index.html и date.php:
vim /var/www/html/out/index.html
vim /var/www/html/out/date.php
После проделанных манипуляций можно запускать службу httpd:

systemctl enable --now httpd
На R-FW нужно пробросить порт 80 (это одна большая команда):
firewall-cmd --permanent --zone=public --add-
forward=port=80:proto=tcp:toport=80:toaddr=192.168.20.10
После нужно перезагрузить правила из постоянной конфигурации:
firewall-cmd --reload
C OUT-CLI (например):
lynx 20.20.20.100:80
lynx 20.20.20.100:80/date.php
lynx www.skill39.wsr:80
lynx www.skill39.wsr:80/date.php
Примечание: чтобы выйти их lynx, нажмите клавишу q, а потом y.
Apache — мощный и гибкий инструмент для создания веб-ресурсов. По распростра-
ненности с 64% охватом рынка опережает NGINX. Ссылки для ознакомления с обоими веб-
серверами в краткой справке.
1. Подробнее про Apache: http://httpd.apache.org/.
2. Подробнее про NGINX: https://nginx.org/.
2.5.7. Конфигурация служб хранения данных
Задание
Реализуйте синхронизацию каталогов на основе демона rsyncd.
1. В качестве сервера синхронизации используется L-SRV.
— для работы синхронизации создайте специального пользователя mrsync;
— в качестве пароля используйте toor.
59
2. Домашний каталог данного пользователя должен быть расположен в /opt/sync/.
Данный каталог используйте как каталог синхронизации.
3. Домашний каталог не должен содержать никакой посторонней информации.
4. Для выполнения синхронизации создайте rsync-пользователя sync c паролем
parol666.
5. Подключение к rsyncd должны быть разрешены исключительно от клиентов L-CLI-
A и L-CLI-B.
В качестве клиентов используются L-CLI-A и L-CLI-B.
1. Синхронизируемый каталог располагается по адресу /root/sync/.
2. Каталоги должны быть зеркально идентичны по содержимому.
3. Реализуйте синхронизацию в виде скрипта:
— скрипт находится по адресу /root/sync.sh;
— автоматизация скрипта реализована средствами cron пользователя root;
— выполнение производится каждую минуту.
Первым делом нужно установить rsync:
apt install rsync -y
Далее создать пользователя mrsync и задать ему пароль toor:
useradd mrsync
passwd mrsync
Создать папку /opt/sync и сделать ее владельцем ранее созданного пользователя:
mkdir /opt/sync
chown mrsync /opt/sync
В файле /etc/default/rsync нужно поменять один пункт:
vim /etc/default/rsync
С false на true:
Далее необходимо создать файл /etc/rsyncd.conf:

vim rsyncd.conf
Описание конфига:
[data]
Этот параметр указывает имя пользователя или идентификатор пользователя:
uid=mrsync
Этот параметр определяет, могут ли клиенты загружать файлы:
read only=false
Этот параметр указывает каталог в файловой системе демона, который должен быть
доступен в этом модуле:
path=/opt/sync
Параметр указывает список имен пользователей, которым будет разрешено подклю-
читься к этому модулю:
auth users=sync
60
Путь до secrets файла:
secrets file =/etc/rsyncd.secrets
Этот параметр указывает список разрешенных устройств:
hosts allow= L-CLI-A.skill39.wsr, L-CLI-B.skill39.wsr
Этот параметр указывает список запрещенных устройств:
hosts deny=*
Следующим пунктом нужно создать файл /etc/rsyncd.secrets:
echo sync:parol666 > /etc/rsyncd.secrets
Также нужно выдать права на только что созданный файл:
chmod 400 /etc/rsyncd.secrets
После можно запускать rsync:
systemctl enable --now rsync
На L-CLI-A и на L-CLI-B:
— нужно создать файл с паролем и выдать ему права:
echo parol666 > /etc/pass
chmod 400 /etc/pass
— создание скрипта sync.sh в директории root:
vim /root/sync.sh
— описание скрипта:
rsync -avz --password-file /etc/pass -O /root/sync sync@server.skill39.wsr::data
-a, --archive — работа в режиме архивирования, сохраняются права доступа и инфор-
мация о владельцах;
-v, --verbose — увеличение отладочной информации для того, чтобы в случае непола-
док система подробно описывала возникшие ошибки;
-z, --compress — включить сжатие передаваемых данных;
--password-file указывает, что пароль находится в файле.
Выдача прав на запуск:
chmod +x /root/sync.sh
Также необходимо создать папку sync в директории root:
mkdir /root/sync
На L-CLI-A и на L-CLI-B запустить скрипт sync.sh:
./sync.sh
Дополнительная информация:
Кроме Rsyncd существуют:
Zsync — это инструмент, похожий на rsync, оптимизированный для множества загру-
зок в каждой версии файла. Zsync использует протокол HTTP и файлы zsync с предваритель-
но рассчитанным скользящим хешем, чтобы минимизировать нагрузку на сервер и разре-
шить передачу различий для оптимизации сети.
Библиотека librsync, используемая rdiff, является независимой реализацией алгоритма
rsync. Он не использует сетевой протокол rsync и не делится каким-либо кодом с приложени-
ем rsync. Он используется Dropbox, rdiff-backup, duplicity и другими утилитами.
61
rclone — это инструмент с открытым исходным кодом, вдохновленный rsync, кото-
рый ориентирован исключительно на поставщиков облачных систем хранения. Он поддер-
живает более 10 различных поставщиков и предоставляет rsync-подобный интерфейс для ре-
зервного копирования локальных данных этим поставщикам.
1. Подробнее про настройку Rsync: https://www.debian.org/mirror/push_server.ru.html.
2. Подробнее про rsyncd.conf: https://download.samba.org/pub/rsync/rsyncd.conf.html.
2.5.8. Конфигурация параметров безопасности и служб аутентификации
Задание
Настройте межсетевой экран iptables на L-FW и firewalld на R-FW.
1. Запретите прямое попадание трафика из сетей в Internal.
2. Разрешите удаленные подключения с использованием OpenVPN на внешний ин-
терфейс маршрутизатора L-FW.
3. Разрешите необходимый трафик для создания IPSec- и GRE-туннелей между орга-
низациями.
4. Разрешите SSH подключения на соответствующий порт.
5. Для VPN-клиентов должен быть предоставлен полный доступ к сети Internal.
6. Разрешите необходимый трафик к серверам L-SRV и R-SRV для работы настроен-
ных сервисов.
7. Остальные сервисы следует запретить.
8. В отношении входящих (из внешней сети) ICMP запросов поступать по своему
усмотрению.
— R-FW:
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --permanent --zone=public --add-protocol=gre
firewall-cmd --permanent --zone=public --add-protocol=esp
firewall-cmd --permanent --zone=public --add-port=47/tcp
firewall-cmd --reload
— L-FW:
iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED, ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -i <Вн.Инт.> --dport 1122 -j ACCEPT
iptables -A INPUT -p tcp -i <Вн.Инт.> --dport 22 -j ACCEPT
iptables -A INPUT -p 47 -i <Вн.Инт.> -j ACCEPT
iptables -A INPUT -p esp -i <Вн.Инт.> -j ACCEPT
iptables-save
где <Вн.Инт.> — интерфейс, смотрящий в ISP.
— R-FW:
firewall-cmd --zone=public --list-all
— L-FW:
iptables-save
1. Подробнее про настройку Firewalld: https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/using-and-configuring-
firewalls_configuring-and-managing-networking.
2. Подробнее про настройку Iptables: https://manpages.debian.org/jessie/iptables/
iptables.8.en.html.
62
Таблица 3
DNS-имена
Хост DNS-имя
L-CLI-A A,PTR: l-cli-a.skill39.wsr
L-CLI-B A,PTR: l-cli-b.skill39.wsr
A,PTR: l-srv.skill39.wsr
L-SRV
CNAME: server.skill39.wsr
L-FW A: l-fw.skill39.wsr
A: r-fw.skill39.wsr
R-FW
CNAME: www.skill39.wsr
R-SRV A,PTR: r-srv.skill39.wsr
Таблица 4
Учетные записи LDAP
Группа CN Пароль
Admin tux toor
Guest user P@ssw0rd
Таблица 5
Правила журналирования
Уровень журнала
Источник Файл
(строгое соответствие)
L-RTR-A auth.* /var/log/custom/L-RTR-A.log
L-RTR-B *.warn /var/log/custom/L-RTR-B.log
L-FW *.err /var/log/custom/L-FW.log
*В директории /var/log/custom/ не должно быть файлов, кроме тех, которые указаны в таблице.
Диаграмма виртуальной сети
63
3. ЗАДАНИЕ И ОПИСАНИЕ МОДУЛЯ B
«ПУСКО-НАЛАДКА ИНФРАСТРУКТУРЫ
НА ОСНОВЕ OC СЕМЕЙСТВА WINDOWS»
https://drive.google.com/file/d/1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing.

На выполнение задания отводится ограниченное время — подумайте, как использо-
вать его максимально эффективно. Составьте план выполнения работ. Вполне возможно, что
для полной работоспособности системы в итоге действия нужно выполнять не строго в той
последовательности, в которой они описаны в данном экзаменационном задании.
В рамках легенды экзаменационного задания вы — системный администратор компа-
нии, находящейся в городе Казань. В главном офисе вы управляете доменом Kazan.wsr. Вам
необходимо настроить сервисы в локальной сети головного офиса.
Компания, в которой вы работаете, хочет выйти на рынки Северной Европы. Для это-
го она устанавливает партнерские отношения с одной из компаний, находящейся в Санкт-
Петербурге. Вам нужно помочь администратору партнерской компании с настройкой своего
домена (SPB.wse), а потом настроить между доменами доверие.
Также вам предстоит настроить канал связи между офисами с помощью статических
маршрутов.
Внимательно прочтите задание от начала до конца — оно представляет собой целост-
ную систему. При первом доступе к операционным системам либо следуйте указаниям ма-
стера, либо используйте следующие реквизиты: Administrator/P@ssw0rd.
Если предоставленные виртуальные машины начнут самопроизвольно отключаться в
процессе работы, попробуйте выполнить на них команду slmgr/rearm или обратитесь к тех-
ническому эксперту.

Каждый субкритерий имеет приблизительно одинаковый вес. Пункты внутри каждого
критерия имеют разный вес, в зависимости от сложности пункта и количества пунктов в
субкритерии.
Схема оценка построена таким образом, чтобы каждый пункт оценивался только один
раз. Например, в секции «Базовая конфигурация» предписывается настроить имена для всех
устройств, однако этот пункт будет проверен только на одном устройстве и оценен только
1 раз. Одинаковые пункты могут быть проверены и оценены больше чем 1 раз, если для их
выполнения применяются разные настройки или они выполняются на разных классах
устройств.
Подробное описание методики проверки должно быть разработано экспертами, при-
нимающими участие в оценке экзаменационного задания, и вынесено в отдельный документ.
Данный документ, как и схема оценки, является объектом внесения 30% изменений.
64
3.3. Оборудование, ПО, приборы и материалы
1. Текстовые файлы:
● данный файл с экзаменационным заданием;
● файл дополнений к экзаменационному заданию, содержащий: описание вида пред-
установок, описание используемых операционных систем, а также рекомендации по выделе-
нию ресурсов для виртуальных машин.
2. Программное обеспечение:
● Windows10.ADMX. Скачать можно тут: https://www.microsoft.com/ru-ru/download/
details.aspx?id=58495.
● Контрольный экземпляр задания доступен по ссылке: https://drive.google.com/file/d/
1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing.
3.4. Описание алгоритма выполнения задания модуля B

3.4.1. Настройка DC1. Базовая настройка
1. Переименуйте компьютер в DC1.
2. В качестве адреса DC1 используйте первый возможный адрес из подсети
172.16.19.64/26.
3. Обеспечьте работоспособность протокола ICMP (для использования команды ping),
при этом Windows Firewall должен быть включен для всех сетевых профилей.
Задание 1
Переименуйте компьютер в DC1.
65
1. Включите виртуальную машину DC1. После загрузки система попросить сменить
ее пароль:
66
2. Введите пароль — P@ssw0rd:
Начальное подключение к устройствам выполнено.

Выполнение части задания с переименованием имени виртуальной машины. Данный
способ аналогичен для всех серверов в задании.
После загрузки операционной системы нажимаем сочетание клавиш Win + R:
Ниже открывается небольшое окно — в поле ввода напишите sconfig, для вызова ути-
литы Server Configuration:
67
Появилось новое окно на синем фоне, перед нам утилита Server Configuration. Здесь
можно задать базовые настройки сервера: добавить компьютер в домен, настроить имя ком-
пьютера, установить IP-адрес, изменить время и дату, перезагрузить или выключить компь-
ютер и т. д.:
68
Задание 2
В качестве адреса DC1 используйте первый возможный адрес из подсети
172.16.19.64/26.
Сейчас стоит задача поменять имя устройства и изменить IP-адрес виртуальной ма-
шины DC1.
Установка IP-адреса. Нажимаем на цифру 8 — так мы перейдем в режим «Настройки
сети»:
Выберите номер сетевого адаптера. В данном случае он первый:
Выберите пункт установки IP-адреса. Он самый первый:
69
Далее всплывает окно, каким образом будет получен IP-адрес. D — DHCP, S — вручную:
IP-адрес для DC1 — 172.16.19.65/26:
Далее указывается маска подсети:
Далее указывается шлюз по умолчанию. В задании это адрес R1 — 172.16.19.126:
После настройки IP-адреса возвратиться в меню Сетевых настроек:
Обратите внимание, что у устройства появился правильный IP-адрес.

На этом этапе стоит разобраться, какая IP-адресация присутствует в задании.
По заданию необходимо самостоятельно рассчитать IP-адресацию. Адрес сети указан
вверху схемы. Для каждого офиса своя сеть:
70
Проведя расчеты, получим адресацию, как на схеме выше.
Выходим из настройки адресации:
Открывается окно по умолчанию. Выбираем второй пункт главного меню Server Con-
figuration.
Задание 3
Переименуйте компьютер в DC1.
Указываем новое имя системы:
После ввода имени компьютера система попросит перезагрузиться. Пока не будем это
делать.
71
Закрываем окно Server Configuration:
Далее повторно нажимаем Win + R и в новом окне вводим cmd:
Далее нужно ввести команду, чтобы Windows внезапно не отключался каждый час.
Это команда slmgr /rearm:
Система сообщит, что эффект будет только после перезагрузки.
72
Теперь нужно перезагрузить виртуальный компьютер. Это легко сделать через сред-
ства VMware.
Нажмите правой кнопкой мыши по наименованию виртуальной машины. Далее Power
---- Restart Guest:
После этого ПК перезагрузится.

На этом этапе базовая настройка DC1 завершена.
После перезагрузки ПК в окне Server Manager → Local Server:
73
В новом окне прямо по центру видно имя и новый IP-адрес устройства:
Подробнее про sconfig: https://docs.microsoft.com/ru-ru/windows-server/get-started/
sconfig-on-ws2016.
Подробнее про установку серверных компонентов: https://docs.microsoft.com/ru-
ru/windows-server/get-started/getting-started-with-server-core.
3.4.2. Active Directory
Сделайте сервер контроллером домена Kazan.wsr.
Задание
Сделайте сервер контроллером домена Kazan.wsr.
Возвращаемся в окно Dashboard виртуальной машины DC1:
74
Выбираем опцию добавления ролей и дополнительных пакетов:
Открылось приветственное окно помощника по установке ролей на сервер. Здесь

кратко перечислены рекомендации по работе с Windows Server.
Например, данный баннер просит нас установить на аккаунт Администратора слож-
ный пароль, убедиться, что на сервере присутствует статическая IP-адресация, установить
самое последнее обновление безопасности Windows и контролировать актуальность этих об-
новлений.
75
В следующем окне открывается тип устанавливаемых ролей на сервер. Ячейка свер-
ху — «Role-based or feature-based installation» — означает, что мы будем устанавливать
«классический» набор ролей: веб-сервер, файловый менеджер, ActiveDirectory, Центр серти-
фикации, DHCP-сервер, DNS-сервер и т. д.
Ячейка снизу — «Remote Desktop Services installation» — означает, что мы будем
устанавливать роли необходимые для развертывания системы VDI и RemoteDesktop.
По заданию нам не требуется установка VDI-системы, поэтому в рамках задания все-
гда выбираем верхнюю ячейку:
В новом окне выбирается сервер либо виртуальный жесткий диск, куда планируется
устанавливать роль. При выборе верхней ячейки в поле Server Pool перечисляются все име-
ющиеся серверы, в данный момент мы видим только сервер DC1. В будущем в этом поле
можно будет выбрать любой сервер, который находится в домене или доступен для удален-
ного управления.
При выборе нижней ячейки установка роли будет произведена на виртуальный жест-
кий диск (VHD). Виртуальные жесткие диски — это файлы виртуальных жестких дисков,
которые при подключении отображаются и функционируют практически идентично физиче-
скому жесткому диску. В основном они используются в сочетании с виртуальными машина-
ми Hyper-V.
По заданию нам не требуется настройка VHD. Поэтому выбираем верхний пункт и
наш единственный сервер DC1:
76
В данном окне выбираются роли и службы, которые необходимо установить на сер-
вер. Ролей множество, кликнув на каждую роль в правой части экрана можно увидеть ее
краткое описание. На данный момент установим роли доменного контроллера
ActiveDirectory, DHCP-сервер и DNS-сервер:
77
Cистема несколько раз попросит у вас установить помимо ролей дополнительные
функции и зависимости. Нажимаем Add Features…:
В следующем окне система поинтересуется о необходимости установить дополни-

тельные утилиты для управления сервером. Например, систему шифрования дисков
BitLocker, клиент NFS.
На данный момент нет необходимости в установке дополнительных утилит, данный
пункт пропускаем:
78
В новом окне увидим краткое описание устанавливаемой роли ActiveDirectory Domain
Services. Указаны ссылки на статьи по настройке Azure Active Directory:
В новом окне дано описание роли DHCP-сервера:
79
В новом окне дано описание роли DNS-сервера:
В последнем окне система предоставляет нам отчет о устанавливаемых ролях и их за-

висимостях.
Галочку на «Restart the destination server automatically if required» мы ставим, так как
после установки AD необходимо перезагрузить ПК. Данная галочка отвечает за автоматиче-
скую перезагрузку сервера в случае необходимости.
Если эту галочку не поставить, система отправит запрос на перезагрузку администра-
тору и только после ручного одобрения (или отказа) система перезапустится:
80
Система убедится, что вы готовы автоматически перезагрузить сервер в случае необ-
ходимости:
После ознакомления с отчетом о устанавливаемых ролях нажимаем Install:
Дожидаемся установки ролей на виртуальную машину DC1.

Заполнение всей полосы загрузки является индикатором успешной установки ролей:
81
Далее нажимаем на «Promote this server to a domain controller».
Перейдем в режим настройки контроллера домена ActiveDirectory:
Откроется помощник развертывания ActiveDirectory Domain Services.

Первая ячейка — «Add a domain controller to an existing domain» — запустит систему
развертывания дополнительного контроллера домена в уже существующем домене.
Вторая ячейка — «Add a new domain to an existing forest» — запустит систему развер-
тывания нового домена в уже существующем лесу (подробнее о терминологии
ActiveDirectory в дополнительной информации).
Третья ячейка — «Add a new forest» — запустит систему развертывания нового леса.
Так как мы с нуля конфигурируем инфраструктуру, нас интересует именно этот пункт.
В поле Root domain name указываем название нашего домена — Kazan.wsr:
82
В данном окне настраиваются опции домена.
В раскрывающихся полях Forest functional level и Domain functional level можно вы-
брать какие функции и спецификации конкретного релиза ActiveDirectory будут доступны в
домене. Конкретно ознакомиться с различиями релизов Windows Server можно по ссылке из
дополнительной информации.
Чекбоксы ниже недоступны для изменения, так как являются обязательными настрой-
ками на основном доменном контроллере. Настройка DNS сервера и создание Global Catalog
произойдут автоматически.
В последнем поле указывается пароль от режима восстановления домена. Указываем
P@ssw0rd:
В чекбоксе Create DNS delegation можно настроить делегирование DNS зоны на сервер.
Так как мы настраиваем основной доменный контроллер, пункт недоступен для изменения:
83
Далее настраивается NetBIOS имя домена, подробнее о протоколе NetBIOS в допол-
нительной информации:
Далее указываются директории, где AD DS будет хранить базу данных. Оставим их по

умолчанию:
84
Далее Мастер установки откроет перед нами отчет о конфигурации домена, чтобы мы
еще раз ознакомились с настройками системы:
Убедившись, что настройки корректные, устанавливаем роль AD DS:
Во время установки контроллера домена компьютер автоматически перезагрузится —

так должно быть. Установка роли AD DS — долгий процесс.
85
По окончании установки откроется данное окно:
Здесь можно нажать Close. Или дождаться автоматической перезагрузки.

После перезагрузки «Экран блокировки» немного изменился. Теперь, чтобы попасть в
поле ввода логина/пароля, надо выполнить следующие шаги.
1. Правый клик по наименованию виртуальной машины во вкладке вверху.
2. Нажать на пункт меню «Send Ctrl + Alt + Del»:
В поле пароля указываем — P@ssw0rd:
Установка роли Active Directory завершена.
86
Подробнее про терминологию ActiveDirectory Domain Services: https://docs.
microsoft.com/ru-ru/windows-server/identity/ad-ds/plan/appendix-a--reviewing-key-ad-ds-terms.
Подробнее про функциональные различия релизов Windows Server: https://docs.
microsoft.com/ru-ru/windows-server/identity/ad-ds/active-directory-functional-levels.
Подробнее про сетевой протокол NetBIOS: https://ru.bmstu.wiki/NetBIOS.
Установка контроллера домена ActiveDirectory 100 уровень сложности: https://docs.
microsoft.com/en-us/windows-server/identity/ad-ds/deploy/install-active-directory-domain-
services--level-100-.
3.4.3. DHCP
1. Настройте протокол DHCP для автоконфигурации клиентов — в качестве диапазо-
на выдаваемых адресов используйте все незанятые серверами адреса в подсети.
2. Настройте failover: mode — Hot-Standby, partner server — SRV1.
3. Настройте дополнительные свойства области (адреса DNS-серверов и основного
шлюза).
Задание 1
Настройте протокол DHCP для автоконфигурации клиентов — в качестве диа-
пазона выдаваемых адресов используйте все незанятые серверами адреса в подсети.
После успешной настройки Active Directory, переходим к настройке DHCP.
Переходим в режим авторизации DHCP-сервера в домене:
В данном окне сказано, что приведено описание процедуры авторизации DHCP-

сервера.
87
Здесь выбираем, что авторизацию будем проводить, используя учетную запись адми-
нистратора домена Kazan.wsr:
88
Система сообщит, что авторизация успешно выполнена:
Далее переходим в оснастку DHCP Manager.

В правой части экрана нажимаем Tools → DHCP Manager:
89
Левым кликом мыши раскройте вкладки в оснастке DHCP Manager:
Далее правым кликом мыши нажимаем на IPv4 → New Scope, чтобы создать новый
диапазон IP-адресов для DHCP-сервера:
90
Откроется Мастер установки DHCP:
Далее в окне укажем имя нашей DHCP зоны. Может быть любым.
В поле Description можно дать развернутое описание предназначения зоны:
91
В диапазоне IP-адресов должны указать все незанятые IP-адреса. Снова обратим вни-
мание на IP-адресацию в нашем офисе Kazan:
Видим, что заняты адреса .65, .66, .67, .126. Значит, для клиентов выделяем IP-
диапазон начиная с .68 до .125.
Указываем маску подсети, используемую в нашей сети Kazan.wsr:
В следующем окне можно указать IP-адреса, которые исключаются из выделенного

диапазона IP-адресов. Нам данный функционал не нужен.
92
В следующем окне указывается время аренды IP-адреса. По умолчанию стоит 8 суток,
не меняем это значение:
Задание 2
Настройте дополнительные свойства области (адреса DNS-серверов и основного
шлюза).
Далее система предложит нам сконфигурировать опции DHCP-сервера.
93
Ячейка «Yes, i want to» откроет нам окна по настройке дополнительных опций DHCP-
сервера, таких как настройка шлюза по умолчанию, адреса DNS-серверов и т. д.:
Далее нужно указать IP-адрес роутера, то есть шлюз по умолчанию (адрес R1):
Обратите внимание, что адрес должен оказаться в таблице ниже.
94
У нас в сети будет два DNS-сервера в дальнейшем, настроим так, чтобы клиенты сра-
зу получали оба адреса DNS-сервера — для отказоустойчивости:
95
После длительной системы проверки адреса выйдет ошибка, нажимаем Yes:
Обратите внимание, чтобы второй адрес DNS-сервера оказался в таблице ниже.
Далее указывается адрес WINS-сервера. Подробнее о WINS в дополнительной ин-

формации. В задании WINS-сервера не будет, пропускаем этот пункт:
96
Далее автоматически активируется настроенная DHCP-зона. Ячейка сверху включает
DHCP-зону, ячейка снизу отключает DHCP-зону:
По завершению Мастера установки DHCP нажимаем Finish:
На этом настройка DHCP завершена.

Идем на виртуальную машину CLI1, так как это единственный DHCP-клиент в нашей
сети.
97
Попав туда, нас встречает синее окно начальной конфигурации компьютера. Прохо-
дим ее.
В первой раскрывающейся вкладке выбирается страна и регион, где находится кли-
ент — United States.
Во второй раскрывающейся вкладке выбирается язык системы.
В третьей раскрывающейся вкладке выбирается раскладка клавиатуры, которая будет
использоваться в системе:
98
Здесь компьютер сообщит, что он перезагрузился, и предложит варианты исправления
внезапных перезагрузок системы:
Выбираем United States как регион нахождения ПК:
99
Далее в основной раскладке оставьте US как основную раскладку клавиатуры. Это
применимо для раскладки клавиатуры, используемой в России. Например, в Великобритании
раскладка клавиатуры сильно отличается от US — пользоваться ею в России будет тяжело.
Далее система поинтересуется, стоит ли добавить вторую раскладку на ПК. В нашем

случае не нужно, но, например, настраивая ПК дома, будет смысл добавить русскую рас-
кладку:
100
Далее ПК попробует подключиться к сети, чтобы автоматически сконфигурировать
Windows Account.
Далее система скажет, что, не подключаясь к сети, мы теряем часть функционала

ОС, — игнорируем данное сообщение:
101
Принимаем лицензионное соглашение Windows 10:
Создаем пользователя, который будет пользоваться системой, — User:
102
Пункт с паролем просто пропускаем. Не тратим время на ввод паролей!
Далее система спросит, хотим ли включить общую историю браузера на разных

устройствах, — No:
103
Дальше система спросит о настройке внутреннего цифрового помощника в системе,
откажемся — Decline:
Далее система спросит вас о настройке политики приватности в системе, не будем

тратить время на её конфигурацию — нажимаем Accept:
104
Начнется загрузка операционной системы, это займет некоторое время.
После этого нажимаем на комбинацию клавиш Win + R — там пишем cmd:
ipconfig /release — удаление всей информации о IP-адресах с ПК.

ipconfig /renew — отправка DHCP-запроса в сеть:
105
В выводе команды должны увидеть, что компьютер сам обнаружил DHCP-сервер и
получил свои сетевые реквизиты:
Задание 3
Переименуйте компьютер в CLI1; присоедините компьютер к домену Kazan.ws.
Раз мы уже очутились на клиентской виртуальной машине, давайте сразу же добавим
её в ДОМЕН и настроим ей ИМЯ.
Закройте все лишние окна на CLI1 и нажмите на значок «Желтой папки» внизу
экрана:
106
В новом окне нажимаем правой кнопкой мыши на This PC — Properties:
Перейдите в режим изменения настроек ПК:
107
Windows позволяет одновременно изменить имя устройства и добавить его в домен
ActiveDirectory:
В новом окне указываем Логин и пароль от администратора домена Kazan.wsr.

Пароль — P@ssw0rd:
108
После этого у нас появится приветственное сообщение, что мы успешно попали в до-
мен Kazan.wsr:
После этого система скажет, что ей необходимо перезагрузиться:
Закрываем окно с настройками и свойствами системы:
Нажимаем на кнопку Restart Now, чтобы перезагрузиться:
109
После этого виртуальная машина автоматически станет частью домена Kazan.wsr и
будет иметь правильное имя.
На этом настройка DHCP и базовая настройка CLI1 завершена.
Подробнее про DHCP: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/dhcp/dhcp-top.
Подробнее про WINS: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/wins/wins-top.
3.4.4. DNS
1. Настройте необходимые зоны прямого и обратного просмотра.
2. Создайте все необходимые записи типа A и PTR для серверов домена и необходи-
мых web-сервисов.
3. Обеспечьте разрешение имен сайтов обеих компаний.
Задание 1
Настройте необходимые зоны прямого и обратного просмотра; создайте все не-
обходимые записи типа A и PTR для серверов домена и необходимых web-сервисов.
Возвращаемся на виртуальную машину DC1 и переходим в оснастку DNS Manager:
110
Левой кнопкой мыши можно раскрыть полностью DC1:
Далее правым кликом мыши нажимаем Reverse Lookup Zones → New Zone:
111
Открывается мастер по установке PTR-зоны DNS-сервера:
Ячейка Primary Server создает основную зону на DNS-сервере, он является её вла-

дельцем и имеет права на редактирование.
Ячейка Secondary Server создает вторую зону, которая будет загружаться с другого
DNS-сервера, он не получит доступа к ее редактированию. Данный сервер будет нести ко-
пию основной зоны с другого сервера для обеспечения отказоустойчивости.
Ячейка Stub Zone — зона заглушки. В этой зоне содержится только копия информа-
ции с основного DNS-сервера — NS, SOA, A записи:
112
Далее указывается на какие сервера будет копироваться зона с основного доменного
контроллера:
1) первая ячейка — указывается, что зона будет скопирована на все DNS-сервера в ле-
су Kazan.wsr;
2) вторая ячейка — указывается, что зона будет скопирована на все DNS-сервера в
домене Kazan.wsr;
3) третья ячейка — указывается, что зона будет скопирована на все доменные кон-
троллеры в домене Kazan.wsr;
4) четвертая ячейка — для «гибких» настроек.
Далее указываем для какой версии протокола IP создаем PTR-зону:
113
Указываем, для какой подсети создаем PTR-зону:
В следующем меню настраиваются правила с динамическим обновлением DNS-

записей на сервере. Нужно для того чтобы, например, при получении IP-адреса с помощью
DHCP, имя компьютера автоматически возвращалось DNS-серверу и тот добавлял запись об
этом сервере в свою таблицу. Получается, что у устройства разный IP-адрес, но одно домен-
ное имя, по которому оно будет доступно.
Первая ячейка разрешает только безопасные обновления от серверов с зонами типа
ActiveDirectory-integrated zones.
Вторая ячейка разрешает принимать любые обновления от DHCP-серверов в домене.
Третья ячейка отключает динамические обновления.
По заданию нас вполне устраивает безопасный первый пункт:
114
Завершаем настройку PTR-зоны на DNS-сервере DC1:
Задание 2
Создайте все необходимые записи типа A и PTR для серверов домена и необхо-
димых web-сервисов.
Далее раскрываем следующие вкладки: Forward Lookup Zones → Kazan.wsr → New
Host:
115
Попадаем в окно создания новой A записи. В первом поле вводим само имя, в нере-
дактируемом втором поле указывается полное доменное имя.
В третьем поле указываем IP-адрес SRV1, так как по заданию нам необходимо создать
сайт с доменным именем — www.kazan.wsr.
Галочку на Create associated pointer record ставим, чтобы автоматически создалась
PTR-запись (подробнее про терминологию DNS в дополнительной информации):
Данная запись говорит нам, что запись успешно создана:
По заданию у нас сайт доступен не только по адресу www.kazan.wsr, но и просто по

kazan.wsr. Выполняем этот пункт задания:
116
Как проверить.
Идем на виртуальную машину CLI1, нажимаем сочетание клавиш Win + R — пишем
cmd:
В окне командной строки вводим nslookup www.kazan.wsr:
Подробнее про DNS-сервер: https://docs.microsoft.com/ru-ru/windows-server/networking/
dns/dns-top.
Подробнее про терминологию DNS: https://ru.bmstu.wiki/DNS_(Domain_Name_System).
117
3.4.5. Элементы доменной инфраструктуры
1. Создайте подразделения: IT и Sales.
2. В соответствующих подразделениях создайте одноименные доменные группы.
3. В каждой группе создайте с помощью скрипта по 30 пользователей. Все учетные
записи должны иметь возможность входа в домен с логином, созданным по следующему
шаблону: НазваниеГруппы_ПорядковыйНомерПользователя@kazan.wsr. В качестве пароля
используйте P@ssw0rdX, где X — номер пользователя. Все учетные записи пользователей
должны быть включены. Вход в систему должен быть обеспечен для всех пользователей со
всех клиентских компьютеров домена и рядовых серверов.
4. Для каждого пользователя, члена группы IT, создайте автоматически подключае-
мую в качестве диска U:\ домашнюю папку внутри папки по адресу SRV1→d:\shares\IT.
5. Все пользователи при первом входе в домен с компьютера CLI1 должны видеть на
рабочем столе ярлык программы «Блокнот».
Задание 1
Создайте подразделения: IT и Sales.
Идем на виртуальную машину DC1. Tools → ActiveDirectory Users and Computers:
118
Левым кликом нажмите на Kazan.wsr, чтобы полностью раскрыть меню. Далее пра-
вой кнопкой мыши нажмите на Kazan.wsr → New → Organizational Unit:
119
Обратите внимание, что появилась новая организационная единица — IT:
По такой же инструкции выполните создание организационной единицы — SALES.
120
Задание 2
В соответствующих подразделениях создайте одноименные доменные группы.
Правый клик по созданной организационной единице: New → Group.
В OU IT нужно создать одноименную группу IT:
Кратко, группа Domain Local — группа, которая будет активна только внутри данного
домена, «покинуть» пределы домена невозможно.
Global — группа, которая может покидать пределы домена, где была создана.
Назначение групп тоже понятно — в Global добавляем учетные записи, если стоит за-
дача: где угодно права раздавать, хоть в другом домене. Domain Local используем для групп-
заглушек на ресурсах сети.
Тип групп — Security и Distribution. Тип Distribution нужен исключительно для вопро-
сов оптимизации быстродействия и обеспечения безопасности. Смысл существования вари-
анта Distribution — это облегченный вариант обычной группы.
Тип Security — тип группы, имеющий более высокие требования к безопасности и
проверке.
Смена типов групп — крайне специфическая и узкая задача. По умолчанию создается
группа Global/Security, что подойдет под 90% всех базовых задач администратора домена.
Подробнее про типы групп и их различия можно прочитать в большой статье в дополнитель-
ной информации.
121
Обратите внимание, что у вас также появилась группа в организационной единице IT:
122
Теперь у нас в организационной единице (OU) создана группа IT. По такому же прин-
ципу создайте в организационной единице Sales группу Sales:
Задание 3
В каждой группе создайте с помощью скрипта по 30 пользователей.
Все учетные записи должны иметь возможность входа в домен с логином, созданным
по следующему шаблону НазваниеГруппы_ПорядковыйНомерПользователя@kazan.wsr.
В качестве пароля используйте P@ssw0rdX, где X — номер пользователя. Все учетные запи-
си пользователей должны быть включены. Вход в систему должен быть обеспечен для всех
пользователей со всех клиентских компьютеров домена и рядовых серверов.
Скрипт для создания пользователей в группу IT:
Важное замечание! Строка, которая начинается с командлета New-ADUser пишется в

одну строку до слов Add-ADGroupMember (не включительно). -Name, -Path — это все опции
одного командлета New-ADUser, эти строки нельзя разрывать!
123
Add-ADGroupMember пишется в следующей строке после New-ADUser.
Скрипт для создания пользователей в группу Sales:
Чтобы написать и запустить свой скрипт, нужно выполнить следующее.

1. Открыть PowerShell ISE:
124
В открывшемся окне создайте новый документ:
В белой части — окно ввода команд, введите скрипт, указанный выше:
125
Повторно обращаем внимание, что строка New-ADUser пишется в одну запись со
всеми опциями командлета.
После ввода скрипта нажмите на зеленый треугольник в верхней части программы:
В нижней части экрана, показаны ошибки, которые могут возникать при работе
скрипта, как, например, здесь:
Из этого примера видно, что ошибка случилась во время выполнения командлета Add-
ADGroupMember. Система жалуется, что не может найти группу Sales.
В результате проверки было выявлено, что группа не создана.
126
Исправляем ошибку путем создания группы Sales:
Пробуем запустить скрипт второй раз:
Перед нами чистый синий экран, значит, скрипт успешно отработал, синтаксических,
логических и грамматических ошибок не было допущено.
Проверим правильность созданных пользователей:
127
Например, зайдем в организационную единицу Sales:
Видим, что пользователи есть и их аккаунты активны.

P.S. Нерабочие или неправильно настроенные аккаунты имеют специальный логотип.
Если у вас такого нет — все хорошо. Если у вас так, как в примере ниже, значит, аккаунт
пользователя настроен некорректно и отключен системой:
128
Проверим, что пользователи в нужной группе. Например, что Sales_X (где X — номер
аккаунта) действительно в группе Sales:
Если видим такую картину — все хорошо.
На этом этапе мы создали организационные единицы, группы и пользователей в них.

Настройка домашней папки и ярлыки будут выполняться на следующих этапах!
129
Подробнее про типы групп в ActiveDirectory: https://www.atraining.ru/active-directory-
fsmo-rid-master/.
Подробнее про командлет Add-ADGroupMember: https://docs.microsoft.com/en-us/
powershell/module/addsadministration/add-adgroupmember?view=win10-ps.
Подробнее про командлет New-ADUser: https://docs.microsoft.com/en-us/powershell/
module/addsadministration/new-aduser?view=win10-ps.
Обширная официальная документация о работе с PowerShell: https://docs.microsoft.
com/en-us/powershell/.
3.4.6. GPO
1. Запретить анимацию при первом входе пользователей в систему на всех клиентских
компьютерах домена.
2. Члены группы IT должны быть членами группы локальных администраторов на
всех клиентских компьютерах домена.
3. Для пользователей группы Sales в браузерах Internet Explorer и Microsoft Edge
должна быть настроена стартовая страница — www.kazan.wsr.
4. Для пользователей группы IT должна быть настроена стартовая страница SPB.wse.
5. Пользователи домена не должны видеть общие папки, к которым у них нет доступа.
Настройка групповых политик
Задание 1
Запрет анимации при первом входе пользователей в систему.
До запрета групповой политики при первом входе любого пользователя у нас на черном
экране работала анимация загрузки Windows. Делается это для ускорения процесса загрузки ПК,
так как система больше не будет тратить время на анимированный запуск и настройку.
По заданию необходимо отключить именно эту анимацию.

Заходим в Tools — Group Policy Management.
Левой кнопкой мыши раскройте все вложения и подкаталоги в меню:
130
Правый клик мыши на имени Kazan.wsr — Create a GPO:
В новом окне нам предлагается задать имя нашей политики, как назвать ее — не важ-
но, но старайтесь давать понятные и логичные наименования групповых политик. Мы назо-
вем её Animation. Параметр Source Starter GPO используется, если в системе есть созданный
шаблон для групповых политик. По умолчанию его не существует, а по заданию не требует-
ся его установка. Подробнее про шаблоны политик можно прочитать в дополнительной ин-
формации.
131
Правый клик мыши по наименованию нашей политики → Edit:
Здесь мы попадаем в режим редактирования конкретной групповой политики. Нас ин-

тересуют политики, ориентированные на компьютеры в домене.
Путь до GPO → Computer Configuration → Policies → Administrative Templates → Sys-
tem → Logon → Show first sign-in animation:
132
133
134
Переходим на виртуальную машину CLI1 и пытаемся зайти на неё под учетной запи-
сью пользователя из домена Kazan.wsr.
После перезагрузки нажимаем внизу на кнопку Other user:
135
Попробуем зайти под пользователем IT_3 с паролем P@ssw0rd3. Напомню, что по зада-
нию у нас логин IT_X, где X — порядковый номер пользователя и пароль P@ssw0rdX, где X —
также номер пользователя. То есть пользователь IT_1 имеет пароль P@ssw0rd1, пользователь
IT_10 имеет пароль P@ssw0rd10, пользователь Sales_28 имеет пароль P@ssw0rd28 и т. д.
Скорее всего, увидим, что анимация все равно осталась:
Это нормально. Нужно перезапросить информацию о групповых политиках с домен-

ного контроллера.
Открываем окно программы «Выполнить» → cmd:
136
Пишем там команду — gpupdate /force:
Если видим такой вывод — все хорошо!

Теперь надо перезайти в систему, также команда в командной строке — logoff:
Попробуем зайти под другим именем пользователя в домене, например IT_4:
Видим такую картину:
Анимация пропала — пункт задания выполнен!
137
Задание 2
Члены группы IT должны быть членами группы локальных администраторов
на всех клиентских компьютерах домена.
Создаем новое GPO:
Настроим любое имя, например IT:
Заходим в настройки нашей новой групповой политики:
138
Идем по пути групповой политики: Computer Configuration → Policies → Windows Set-
tings → Security Settings → Restricted Groups:
139
Добавляем группу IT:
В настройках группы появляется два поля для конфигурации членства группы в дру-
гих группах.
1. Members of this groups — поле для добавления других групп в группу IT.
2. This group is a member of — поле для добавления этой группы в другие группы. По
заданию нужно добавить группу IT в группу Administrators. Так что выбираем именно второе
поле настроек.
140
В появившемся окне нажимаем кнопку Browse:
Набираем только часть слова Administrators — Admin и нажимаем кнопку Check

Names. Система автоматически допишет имя за нас:
Если введенное слово Administrators подчеркнуто, значит, все сделано правильно:
Подтверждаем добавление Administrators как группу:
141
Подтверждаем настройки группы IT:
Наблюдаем такую картину — групповая политика успешно настроена.
142
Переходим в виртуальную машину CLI1 и входим в неё под логином и паролем любо-
го пользователя, который входит в группу IT:
143
Обратим внимание, что в новом окне в группе появилась запись — KAZAN\IT:
Если записи нет, попробуйте в командной строке написать команду — gpupdate/force.

Задание 3
Для пользователей группы Sales в браузерах Internet Explorer и Microsoft Edge должна
быть настроена стартовая страница — www.kazan.wsr.
Так как по умолчанию в системе нет групповых политик для Microsoft Edge, нам
необходимо установить дополнительные пакеты на сервер.
Правый клик по наименованию виртуальной машины → Settings.
144
Открывается окно настроек виртуальной машины. Здесь отображается количество
ОЗУ, выделенной для этой ВМ (поле Memory), количество процессоров (поле Processors),
накопитель системы (поле Hard Disk), DVD-привод для добавления в ВМ .iso-файлов в си-
стему (поле CD/DVD Drive), устройство для считывания гибких магнитных дисков (дискет)
(поле Floppy drive 1), сетевой адаптер (поле Network Adapter) и видеокарта. Нас интересует
CD/DVD DRIVE, так как дополнительные настройки для GPO предоставлены нам в виде
ISO-образа.
В новом окне выбираем диск с дополнительными пакетами:
145
После добавления диска можно переходить в «Проводник»:
146
147
Приветственное окно Мастера установки дополнительных пакетов ADMX:
Принимаем пользовательское соглашение:
Не меняем папку установки по умолчанию, но запомните (скопируйте), куда устанав-

ливаются дополнительные пакеты, нам понадобится перенести эту папку в другую директо-
рию на сервере.
148
Копировать можно сочетанием клавиш Ctrl + C:
Подтверждаем установку:
149
Ждем завершения установки дополнений Windows:
По завершению установки нажимаем на Close:
150
Дополнения были успешно установлены, но теперь их необходимо добавить в пра-
вильную директорию на сервере. Идем по пути:
C: → Programm Files(x86) → Microsoft Group Policy → Windows 10… → PolicyDefinitioins
151
Добравшись до нужной папки, нажимаем правой кнопкой мыши → Copy:
Копируем данную папку в другую директорию по пути: \\DC1\Sysvol\

Kazan.wsr\Polices.
Данный пункт указывается в адресной строке окна Проводника Windows:
152
Оказавшись в нужной директории, вставляем копируемую папку.
Можно нажать сочетание клавиш Ctrl + V:
153
Дожидаемся копирования папки:
После завершения копирования можем свернуть это окно и вернуться в редактор

групповых политик:
Для начала создадим политику для организационной единицы Sales. Таким образом
создается политика, которая будет активна только для объектов (компьютеров, пользовате-
лей, групп), находящихся в этой OU. Политики, которые работают на весь домен, настраи-
ваются в поле его наименования, в нашем случае Kazan.wsr.
154
Создаем новое GPO:
Называем её HomePage:
155
Переходим в режим редактирования групповой политики (правый клик мыши по
наименованию новой GPO → Edit).
Для начала настроим политику для Microsoft Edge.
Идем по пути: Computer Configuration → Administrative Templates → Windows Compo-
nents → Microsoft Edge → Configure Home Pages:
156
На этом настройка домашней страницы в браузере Edge завершена, переходим к
настройке Internet Explorer.
Политика для IE находится по пути: User Configuration → Preferences → Internet Set-
tings:
157
Пояснение про параметр Startup. Первая ячейка настроит режим, в котором после пе-
резагрузки браузер откроет последние открытые вкладки.
Вторая ячейка настроит режим, в котором после перезагрузки браузер откроет до-
машнюю страницу (именно то, что нужно).
158
Как ниже, быть не должно — нажмите F5, чтобы это исправить!
После создания групповой политики для OU Sales нужно создать такую же, только
для IT, домашней страницей будет https://www.spb.wse:
Создадим GPO с другим наименованием:
159
Идем по пути: Computer Configuration → Administrative Templates → Windows Compo-
nents → Microsoft Edge → Configure Home Pages:
160
На этом настройка домашней страницы в браузере Edge завершена, переходим к
настройке Internet Explorer.
Политика для IE находится по пути: User Configuration → Preferences → Internet Set-
tings:
161
Создаем GPO по таким же настройкам, что и выше, только страница будет
www.spb.wse.
После этого нажмите ОК. Политики на браузере установлены.
Идем на виртуальную машину CLI1 и входим в систему под пользователем в OU
Sales — Sales_1.
162
Сначала проверим Microsoft Edge:
Как мы видим, политика в Edge работает исправно. Проверяем IE.

Нажимаем сочетание клавиш Win + R.
163
В окне пишем iexplore:
Открываем Internet Explorer и видим там нашу настроенную домашнюю страницу.

Пункт задания выполнен для Sales!
Для группы IT произведите самостоятельную настройку! В результате, в браузере вы

должны увидеть страницу https://www.spb.wse.
Пункт задания выполнен!
Подробнее про ADMX: https://support.microsoft.com/ru-ru/help/3087759/how-to-create-
and-manage-the-central-store-for-group-policy-administra.
Подробнее про OU в ActiveDirectory: https://docs.microsoft.com/ru-ru/windows-
server/identity/ad-ds/plan/creating-an-organizational-unit-design.
Подробнее про Source Starter GPO: https://docs.microsoft.com/en-us/previous-
versions/windows/it-pro/windows-server-2012-r2-and-2012/dn789192(v=ws.11).
Сразу выполним другие пункты задания, такие как разрешить Windows Firewall про-
пускать ICMP трафик и ярлык программы «Блокнот» на рабочих столах пользователей.
164
Задание 3.1
Разрешаем ICMP (и прочий трафик) в Windows Firewall.
Настраивать Firewall правильно, с действительной блокировкой трафика — это дол-
гий и серьезный процесс. Разрешим любой трафик, но не отключая брандмауэр на ПК в до-
мене. Воспользуемся групповой политикой.
ПОВТОРЯЕМ! ДЕЛАТЬ ТАК НА РАБОТЕ НЕЛЬЗЯ И НЕПРАВИЛЬНО! ДЛЯ ЗА-
ДАНИЯ НЕКРИТИЧНО!
Создаем GPO в домене, назовем её Firewall.
Политика находится по пути: Computer Configuration → Policies → Windows Set-
tings → Security Settings → Windows Defender… → Windows Defender… → Inbound Rules.
В этом меню настраиваются правила брандмауэра для входящего трафика:
Правый клик по любому месту в открытом окне:
165
Разберемся, какие пункты есть в меню создания правила:
1) первой ячейкой создается правило для контроля подключений какой-либо установ-
ленной программы в Windows;
2) второй ячейкой создается правило для контроля подключений на конкретный сете-
вой порт;
3) третьей ячейкой создается правило для контроля подключений серверных служб.
Например, для контроля подключений ActiveDirectory, DHCP и т. д.;
4) четвертой ячейкой создается особое правило, неподходящее под описанные выше
шаблоны.
В меню Program выбирается программа, для которой будет актуально это правило.
В первой ячейке указывается, что правило будет под все программы на компью-
тере.
Во второй ячейке указывается конкретный путь до программы, для которой будет
актуально это правило.
В поле Services можно настроить службу, для которой будет актуально это пра-
вило.
166
Далее в меню Protocol and Ports выбирается, для какого сетевого протокола будет
настроена политика брандмауэра. В поле ниже указываются порты, которые попадают под
это правило. В Local Port указываются локальные порты клиента, с которого будет осу-
ществляться подключение к серверу. В Remote Port указываются удаленные порта сервера,
куда будет подключаться клиент. По умолчанию все сетевые протоколы и порты «попадают»
под правило брандмауэра:
167
В меню Scope указываются IP-адреса, которые попадают под настраиваемое правило.
В первом поле Local IP-addresses указывается, какие локальные IP-адреса попадают
под правило брандмауэра.
В втором поле Local IP-addresses указывается, какие удаленные IP-адреса попадают
По умолчанию под правило попадают все IP-адреса.
В меню Action указывается выполняемое действие для настраиваемого правила.

В первой ячейке — разрешить подключение, если оно попадает под сконфигуриро-
ванные параметры ранее.
Во второй ячейке — разрешить подключение, если оно попадает под сконфигуриро-
ванные параметры ранее и осуществляется через защищенные каналы связи.
В третьей ячейке — блокировать подключение.
168
Далее настраивается зона «влияния» правила:
1) правило будет активно только для компьютеров в домене;
2) правило будет активно только для компьютеров в частной сети;
3) правило будет активно только для компьютеров в общей сети.
По умолчанию выбраны все зоны:
Далее задаем имя нашего правила:
169
После создания политики на входящий трафик настроим исходящий:
Не будем акцентировать внимание на других пунктах, сразу переключаемся в меню

Action:
170
По умолчанию правило на исходящий трафик блокирует все, меняем этот пункт на
«Разрешить все»:
Имя задаем произвольное.
171
После этого все машины в домене получат эту настройку брандмауэра.
С контроллера домена попробуйте в командной строке отправить PING-запрос на
виртуальную машину CLI1:
Если ping успешен, значит, все сделано правильно!

Последняя GPO на данный момент.
Задание 3.2
Все пользователи при первом входе в домен с компьютера CLI1 должны видеть на ра-
бочем столе ярлык программы «Блокнот».
Создаем новую политику в домене, назовем ее, например, Notepad:
Политика находится по пути: User Configuration → Preferences → Windows Settings →

Shortcuts.
172
В новом окне заполняем меню, как на скриншоте. В поле Name указываем имя ярлыка
(именно это имя отобразится на рабочем столе клиента).
В поле Target type указывается тип объекта, который будет отображаться на ПК кли-
ентов в домене. Доступно всего 3 объекта, на которые можно создать ярлык:
1) File System Object — непосредственно файл, находящийся на жестком диске клиен-
та или на сетевой папке;
2) URL — ссылка на веб-страницу;
3) Shell Object — объект Microsoft Windows Shell позволяет получить доступ к раз-
личным настройкам Windows при помощи технологий COM и Automation, что позволяет ис-
пользовать Visual Basic и VBScript.
Мы хотим настроить ярлык для «Блокнота», он есть на всех компьютерах Windows по
умолчанию в одной и той же директории
В поле Location указывается, где будет располагаться ярлык.
Desktop=рабочий стол:
173
В поле Target path указывается путь до файла, на который планируется создать ярлык.
При нажатии на символ «…» откроется «Проводник»:
В новом окне нам нужно пройти по пути и выбрать там файл notepad.exe:
C:\Windows\System32\notepad.exe
Путь до файла можно просто ввести в строке, чтобы не заниматься поиском его в
меню:
174
Пункт выполнен.
Возвращаемся на виртуальную машину CLI1 и заходим под любым пользователем в
домене, например, IT_1
Попав на виртуальную машину, должны увидеть на рабочем столе ярлык «Блокнота»:
Подробнее про групповую политику для ярлыков: https://docs.microsoft.com/ru-
ru/internet-explorer/ie11-deploy-guide/group-policy-shortcut-extensions-ie11.
Руководство по развертыванию Windows Defender Firewall с улучшенной безопасно-
стью: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-firewall/win
dows-firewall-with-advanced-security-deployment-guide.
175
Брандмауэр защитника Windows в дополнительной безопасности: https://docs.
microsoft.com/ru-ru/windows/security/threat-protection/windows-firewall/windows-firewall-with-
advanced-security-design-guide.
Создание политики изоляции домена: https://docs.microsoft.com/ru-ru/windows/
security/threat-protection/windows-firewall/domain-isolation-policy-design.
Основная настройка DC1 закончена, переходим к другим сервисам.
3.4.7. Настройка SRV1
Базовая настройка
1. Переименуйте компьютер в SRV1.
2. В качестве адреса SRV1 используйте второй возможный адрес из подсети
172.16.19.64/26.
Задание 1
Переименуйте компьютер в SRV1; в качестве адреса SRV1 используйте второй
возможный адрес из подсети 172.16.19.64/26.
Верхние два пункта выполняются через знакомую вам утилиту sconfig!.
При первом входе в машину она попросит сменить её пароль:
Вводим знакомый нам P@ssw0rd. Ввести его нужно два раза. Чтобы переключиться
на нижнюю строку ввода пароля, нажмите клавишу Tab:
Попав на виртуальную машину, вводим sconfig:
Открывается знакомый интерфейс, где мы меняем имя компьютера, IP-адрес и добав-

ляем машину в домен Kazan.wsr.
Укажите DNS-сервер DC1 для SRV1 — это необходимо, чтобы добавить компьютер в
домен Windows.
176
Добавление машины в домен через sconfig.
После смены имени компьютера, назначения IP-адреса, как по топологии:
Нажимаем цифру 1, чтобы попасть в меню добавления машины в домен:
177
На этом этапе система спрашивает, сменили ли вы имя компьютера. Если вы до сих
пор не сделали это, самое время — нажмите Yes.
Если имя изменено, нажмите No.
После этого компьютер потребует перезагрузки:
После этого возвращаемся на виртуальную машину DC1.

Необходимо попасть в главное меню программы Server Manager и выбрать там пункт
Add other server to manage:
Нажать на Find now, если увидели там ваш SRV1 — все сделано правильно!
Далее необходимо левой клавишей мыши выделить SRV1 и нажать на стрелочку по-
середине экрана, чтобы перенести этот сервер в правую половину:
178
Теперь мы добавили SRV1 — неграфический сервер на Windows Server 2019 Core в
серверную инфраструктуру домена, сейчас на DC1 можно удаленно управлять SRV1 через
удобный графический интерфейс.
Задание 2
Обеспечьте работоспособность протокола ICMP (для использования команды
ping), при этом Windows Firewall должен быть включен для всех сетевых профилей.
Уже выполненный пункт: на DC1 была сформирована GPO для всех компьютеров на
работу ICMP в Windows Firewall.
Задание 3
С помощью дополнительных жестких дисков создайте RAID-5 массив; назначьте
ему букву D:\.
Если обратить внимание на настройки виртуальной машины SRV1, станет видно, что
помимо диска с установленной ОС на компьютере также присутствует 4 диска по 1 Гб.
Именно из них будем собирать RAID5-массив.
179
Разметить диски и собрать из них RAID5 можно через графику на DC1, а можно через
утилиту командной строки — diskpart.
Рассмотрим вариант через diskpart.
Заходим на виртуальную машину и пишем название утилиты:
Видим, что теперь вместо текущей директории мы видим слово DISKPART, значит,
мы попали в утилиту.
Вводим команду list disk:
Команда показывает, как система пронумеровала наши диски, какой у них статус, ём-
кость и свободное пространство.
Переходим на первый диск для редактирования — select disk 1:
Windows не позволит производить какие-либо изменения, пока на диске установлена

«защита только для чтения», снимаем ограничения командой attrib disk clear readonly:
Далее подряд вводим две команды:

1) online disk;
2) convert dynamic.
180
Далее переходим на следующий диск — select disk 2.
И вводим там такие же команды. Не забывайте, что в системе есть возможность вы-
звать предыдущую команду, нажав на значок «стрелка вверх».
Получается, для каждого диска должны быть введены команды:
1) select disk X, где X — номер диска;
2) attrib disk clear readonly;
3) online disk;
4) convert dynamic.
После выполнения на каждом диске этих команд, введем снова list disk:
Если у вас вывод получился такой же — все сделано правильно! Около каждого диска
должно быть в Status — online, а напротив значок *.
Далее введем команду для создания RAID5:
create volume raid disk=1,2,3,4
Далее, введем команду list volume:
Видим, что у нас успешно создался раздел под типом RAID5. По заданию он должен
иметь букву тома D, но буква тома D уже занята DVD-ROM — исправляем.
Вводим команду select volume 0, попали на DVD-ROM:
Пишем команду assign letter=B, данной командой мы сменили букву для DVD:
181
Введем list volume, чтобы убедиться в изменении буквы для тома:
Буква сменилась на В, теперь идем на том с RAID5.

Команда select volume 3:
Назначаем разделу новую букву:
Введем list volume, чтобы убедиться в изменении буквы для тома:
Теперь настроим на разделе томе файловую систему — NTFS.

Введем команду format fs=ntfs:
Пункт с созданием RAID5-массива полностью выполнен!

Процесс может занять некоторое время, пока перейдем на виртуальную машину DC1.
Подробнее про работу с DISKPART: https://docs.microsoft.com/ru-ru/windows-server/
administration/windows-commands/diskpart.
Создание RAID5 в DISKPART: https://docs.microsoft.com/ru-ru/windows-server/
administration/windows-commands/create-volume-raid.
Кратко о RAID-массивах: https://ru.bmstu.wiki/RAID_(Redundant_Array_of_Independent_
Disks).
Active Directory
1. Сделайте сервер дополнительным контроллером домена Kazan.wsr.
2. Сервер должен быть контроллером домена только для чтения.
182
Задание
Сделайте сервер дополнительным контроллером домена Kazan.wsr; сервер дол-
жен быть контроллером домена только для чтения.
На виртуальной машине DC1 переходим в режим «Добавление и удаление ролей»:
183
184
Установим сразу несколько ролей на сервер SRV1:
Устанавливаем службу FSRM для создания на сервере общих сетевых папок и

настройки на них квот.
185
Нажимаем Next:
Нажимаем Next до появления окна ниже и выбираем там пункт «Management Service»
для того, чтобы установить утилиты для удаленного менеджмента службой Web Server IIS:
186
По завершении установки нажимаем на «Promote this server to a domain controller»:
В окне ниже мы должны указать, какой аккаунт будет использоваться для добавления
доменного контроллера. Добавлять будем из-под учетной записи доменного администратора.
187
Мы выбираем первую ячейку, так как будем добавлять доменный контроллер в уже
существующий домен:
188
На этом этапе система спросит, какие настройки будут у второго доменного контроллера:
1) первая галочка отвечает за установку DNS-сервера на доменный контроллер. При выбо-
ре этой галочки на SRV1 будут загружены основные и обратные зоны Kazan.wsr. Зоны на SRV1,
загруженные таким способом, будут иметь тип ActiveDirectory-Integrated. Оставляем эту галочку;
2) вторая галочка отвечает за копирование Global Catalog (глобального каталога). Глобаль-
ный каталог — это все объекты, которые находятся в ActiveDirectory. Оставляем эту галочку;
3) третья галочка отвечает за режим работы второго доменного контроллера. В режи-
ме Read-only на этом контроллере нельзя ничего создать или изменить в ActiveDirectory.
Оставляем эту галочку.
Далее вводится пароль от режима резервного восстановления системы — DSRM:
189
1. Делегированные учетные записи администратора получают локальные права ад-
министратора для RODC. Эти пользователи могут действовать с привилегиями, эквива-
лентными группе администраторов локального компьютера. Они не являются членами
групп администраторов домена или встроенных учетных записей администраторов домена.
Этот параметр полезен при делегировании администрирования филиалом без выдачи раз-
решения на администрирование домена. Настройка делегирования прав администратора не
требуется.
2. Учетные записи, которым разрешено реплицировать пароли в RODC.
3. Учетные записи, которым запрещено реплицировать пароли в RODC.
На странице «Дополнительные параметры» приводятся параметры конфигурации,

позволяющие указать имя контроллера домена, используемого в качестве источника репли-
кации (Replicate from).
Также можно установить контроллер домена с помощью архивированных носителей,
использовав параметр установки с носителя (Install from media). При установке флажка
«Установка с носителя» появляется возможность выбора носителя.
190
Страница Paths (пути) позволяет переопределить расположение папок по умолчанию
для базы данных AD DS, журналов транзакций базы данных и общего доступа к SYSVOL:
191
Страница Review Options («Просмотреть параметры») позволяет проверить параметры
перед установкой и убедиться, что они отвечают требованиям:
Prerequisites Check («Проверка предварительных требований») — это функция

настройки доменных служб Active Directory. На этом новом этапе проверяется возможность
поддержки нового леса доменных служб Active Directory конфигурацией сервера:
192
Дожидаемся установки:
Установка роли второго доменного контроллера на SRV1 закончена.
В окне ниже видим, что в OU Domain Controllers появился новый компьютер. Видим
его роль — RODC и загруженную реплику Global Catalog:
193
Установка контроллера домена только для чтения (RODC) Active Directory в Windows
Server 200 уровень сложности: https://docs.microsoft.com/ru-ru/windows-server/identity/ad-
ds/deploy/rodc/install-a-windows-server-2012-active-directory-read-only-domain-controller--rodc--
-level-200-.
Подробнее про Global Catalog: https://docs.microsoft.com/en-us/windows/win32/ad/global
-catalog.
3.4.8. DHCP
1. Настройте протокол DHCP для автоконфигурации клиентов.
2. Настройте failover: mode — Load balancer, partner server — DC1, state switchover —
5 min.
Задание 1
Для начала работы необходимо авторизовать DHCP-сервер в домене:
194
В первой ячейке указывается текущая учетная запись, под которой вошел пользова-
тель.
Во второй ячейке указываются альтернативные учетные записи для авторизации.
В третьей ячейке пропускается авторизация сервера в ActiveDirectory.
195
Авторизация успешно прошла, переходим к следующему этапу.
Задание 2
Настройте failover: mode — Load balancer, partner server — DC1, state switch-
over — 5 min.
196
Правый клик по IPv4 → Configure Failover…:
Откроется «Помощник по установке» DHCP Failover:
197
Далее открывается страница, где необходимо указать, какой сервер будет использо-
ваться для обеспечения балансировки нагрузки DHCP:
В данном меню производится выбор второго DHCP-сервера.

В первой ячейке указывается неавторизованный в AD DHCP-сервер.
Во второй ячейке указывается авторизованный в AD DHCP-сервер. Выбираем наш
SRV1.
198
Подтверждаем выбор:
В данном меню производится настройка Failover.

В поле Relationship Name — указывается имя взаимосвязи двух DHCP-серверов.
В поле Maximum Client Lead Time — параметр, определяющий срок продления арен-
ды в случае падения основного сервера. Когда клиент пытается продлить аренду, получен-
ную на основном сервере, то резервный сервер продлевает ее не на срок аренды, указанный в
свойствах области, а на время, указанное в данном параметре. И так пока основной сервер не
восстановит работу. Также этот параметр определяет, сколько времени сервер будет ждать
возвращения партнера из состояния PARTNER_DOWN, прежде чем забрать контроль над
всей областью. А еще этот параметр определяет время перехода в нормальное состояние при
возвращении партнера.
В поле Mode указывается, в каком режиме будут организованы отказоустойчивые
взаимоотношения двух серверов.
1. Режим работы — Hot stand-by. В таком режиме область обслуживается одним
сервером (основным). В отличие от режима балансировки в режиме горячего резерва сер-
вера не вычисляют хэш MAC-адреса клиента. Основной сервер отвечает на все запросы
клиентов, резервный в нормальном состоянии не отвечает вообще. Только когда основ-
ной сервер становится недоступным, резервный переходит в состояние потери партнера
(PARTNER_DOWN) и начинает отвечать на запросы клиентов. Когда основной сервер
возвращается в строй, резервный переходит в режим ожидания и перестает обслуживать
клиентов.
199
Обратите внимание, что термины «основной», «резервный» относятся к конкретной
DHCP-области. К примеру, DHCP-сервер может являться основным для одной области и ре-
зервным для другой.
2. Режим работы — Load balancing. В этом режиме область делится на две части в
определенной пропорции и обслуживается обоими серверами одновременно. При получении
запроса каждый сервер вычисляет хэш MAC-адреса клиента в соответствии с алгоритмом,
описанным в RFC 3074. MAC-адреса хэшируются в диапазоне от 1 до 256, балансировка
происходит по следующему принципу: если нагрузка распределена в пропорции 50/50 и если
при вычислении хэша получено значение от 1 до 128, то отвечает первый сервер, если же от
129 до 256, то отвечает второй. При изменении коэффициента распределения нагрузки рас-
пределение хэш-блоков между серверами изменяется в той же пропорции. Такой подход га-
рантирует, что за одного конкретного клиента отвечает только один сервер.
В поле Load Balance Percentage указывается процентное разделение DHCP-диапазона
между двумя серверами.
State Switchover Interval — интервал времени, по истечении которого партнер счита-
ется недоступным (PARTNER_DOWN). Если не задавать этот параметр, то при падении
партнера автоматического переключения не произойдет и переключатся придется вручную.
Серверы должны безопасно общаться друг с другом. Для этого включаем параметр
«Enable Message Authentication» и в поле «Shared Secret» задаем кодовое слово, которое сер-
веры будут использовать для связи. В нашем случае просто «1».
200
Завершите настройку DHCP-Failover:
Если успешно выполнена конфигурация, значит, мы настроили DHCP-Failover верно.
201
Подробнее про режимы работы DHCP-failover: https://docs.microsoft.com/ru-
ru/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn338976(v%3Dws.11).
3.4.9. DNS
1. Сделайте сервер дополнительным DNS-сервером в домене Kazan.wsr.
2. Загрузите c DC1 все зоны прямого и обратного просмотра.
Задание
Данный пункт задания уже выполнен: при установке второго доменного кон-
троллера все зоны загрузились на SRV1.
202
Теперь можно просмотреть все зоны, загруженные на SRV1. Обратите внимание на
тип зоны — ActiveDirectory Integrated. Автоматически загруженная зона при конфигурирова-
нии второго доменного контроллера на SRV1:
Подробнее про Active Directory-Integrated DNS Zones: https://docs.microsoft.com/en-
us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc731204(v=ws.10).
3.4.10. Общие папки

1. Создайте общие папки для подразделений (IT, Sales) по адресу SRV1 →
d:\shares\departments. Просматривать и редактировать файлы в папках могут только члены
соответствующей группы.
2. Обеспечьте привязку общей папки подразделения к соответствующей группе поль-
зователей в качестве диска G:\.
Задание 1
Создайте общие папки для подразделений (IT, Sales) по адресу SRV1 →
d:\shares\departments. Просматривать и редактировать файлы в папках могут только
члены соответствующей группы.
203
Заходим на виртуальную машину DC1:
Для удобной работы с удаленным файловым менеджером нужно установить оснастку

FSRM (File Server Resource Manager) не только на SRV1, но и на графическую виртуальную
машину DC1:
204
Добавляем необходимые зависимости для службы FSRM:
205
Далее снова нажимаем Next:
После установки дополнительной службы возвращаемся обратно в Server Manager:
Здесь мы можем создать общие сетевые папки по протоколу либо SMB, либо NFS.
Режим создания Quick — быстрый способ создать сетевую папку. Большинство зна-
чений по умолчанию, минимальное количество вопросов от системы.
Режим Advanced — продвинутый способ создать сетевую папку. В данном режиме
папка создается с более гибкими и тонкими настройками.
206
Режим Applications — этот параметр необходим, если общий ресурс будет использо-
ваться хостами Hyper-V для общего хранилища, приложения базы данных и других сервер-
ных приложений.
По заданию нам не требуется сложная настройка файлового хранилища, выбираем
самый простой и быстрый способ создания общей сетевой папки:
В следующем окне указывается расположение общей директории.

Первая ячейка используется для того, что опубликовать в сети целый том на диске.
Вторая ячейка используется для того, чтобы опубликовать конкретную папку на носителе:
207
Переходим на диск D и создаем там папку shares:
Создали папку:
208
Зашли внутрь папки shares и создаем там папку departments:
Переходим в папку Departments и создаем две директории — IT и Sales:
Структура директории создана, переходим к настройке конкретных папок подразде-

лений.
209
Первым делом создадим общую папку для подразделения IT:
210
В поле Share name указывается имя общей сетевой папки. Оно должно быть уникаль-
ным:
На странице Configure share settings:

1) первой галочкой включаем режим, в котором пользователю система не отобразит
папку, если она ограничена для него по правилу доступа (если данный параметр не вклю-
чить, Windows отобразит эту папку для пользователя, но при попытке зайти в папку — си-
стема откажет в доступе);
2) второй галочкой включаем кеширование папки, чтобы пользователи даже при по-
тере соединения могли получить доступ к файлам;
3) третьей галочкой включается режим шифрования доступа в папку.
211
В следующем окне настраиваются права доступа для клиентов:
Отключаем права по умолчанию и наследование прав:
212
Подтверждаем удаление:
Добавляем новые правила в права доступа:
213
Переходим в режим добавления объекта в правило доступа:
Двойной клик по наименованию группы:
214
Подробнее про настройки прав:
Principal — указывается объект из AD, которому настраиваем права доступа.
Types:
1) Allow — разрешить;
2) Deny — запретить.
Applies to: настраиваются папки, подпапки и файлы внутри, попадающие под создава-
емое правило доступа.
1) This folder only — только на конкретную данную папку, не включая находящиеся
внутри папки и файлы;
2) This folder, subfolders and files — на данную папку, включая внутренние папки и
файлы. Это значение по умолчанию;
3) This folder and subfolders — на данную папку, включая внутренние папки, но ис-
ключая файлы внутри;
4) This folder and files — на данную папку, включая внутренние файлы, но исключая
папки внутри;
5) Subfolders and files only — только на подпапки и файлы внутри данной директо-
рии.
6) Subfolders only — только подпапки внутри.
7) Files only — только на файлы внутри.
Подпапка, по-простому, — папка внутри другой папки.
Выдали права максимального доступа для группы IT. Галочка Full control означает
полный доступ ко всем папкам, подпапкам и файлам для этой группы.
215
Добавляем еще одно правило:
216
Выдали запрещающие права на папку для группы Sales:
217
Система предупредит, что в настройке присутствуют запрещающие правила, что мо-
жет привести к некорректной работе сетевой папки. Игнорируем данное предупреждение:
218
219
Создаем новую общую сетевую папку:
220
Идем к папке Sales (она находится по пути shares/departments/sales):
221
222
223
224
225
Выдали правила на блокировку доступа членам группы IT:
Проведите уже известные операции и дайте максимальный доступ к папкам членам

группы Sales:
226
227
Видим такой результат — все в порядке, значит, нужные папки были созданы:
Сейчас мы создадим также папку, где будут находиться домашние папки пользовате-
лей группы IT.
По заданию она находится по пути D:\shares\it.
Данные пути выполнялись раньше, дополнительная справка доступна выше.
228
В системе уже присутствует общая папка с наименованием IT, заменим название пап-
ки на что-то похожее, например HomeIT:
229
230
После этого у нас создастся папка для пользователей IT. Давайте сразу же настроим ее
и другие папки на автоматическое добавление в виде сетевого диска к нужным пользователям.
Для начала создадим общие папки для пользователей IT.
Правый клик по общей папке HomeIT → Open Share:
231
Необходимо скопировать сетевой пункт до папки — нажмите Ctrl + C:
Переходим к следующему этапу.

Задание 2
Обеспечьте привязку общей папки подразделения к соответствующей группе
пользователей в качестве диска G:\.
Переходим в организационную единицу IT:
232
Зажимая левую клавишу мыши, выделяем всех пользователей (или нажав Ctrl + A,
а потом, зажав клавишу Ctrl, можно кликнуть по имени группы IT, чтобы снять с нее выде-
ление):
Заходим в свойства сразу всех пользователей:
233
Здесь мы выбираем букву диска, к которому будет подключена сетевая папка, по за-
данию это диск U:\.
Дальше вставляем путь до нашей сетевой папки и дописываем к ней еще переменную
%username%, так у нас автоматически создастся одноименная с пользователем папка, кото-
рая будет подключаться.
Получается, что в поле To: должна быть запись: \\SRV1.kazan.wsr\HomeIT\%username%.
Отдельным блоком представлена настройка User Profile.
1) Profile Path укажет, где будет храниться профиль пользователя. Актуально для со-
здания перемещаемых профилей в домене (мы будем настраивать эту технологию позже);
2) Logon script указывает путь до исполняемого файла, который выполняется при вхо-
де пользователя в систему.
Также блоком представлена настройка Home Folder:
3) Local path — определяет, какая папка локально станет для данного пользователя
домашней;
4) Connect — определяет, какая сетевая папка станет для пользователя домашней и с
какой буквой она будет подключаться к пользователю в виде сетевого диска.
В качестве самопроверки пройдем в папку и посмотрим, что нужные директории созданы:
234
Видим, что автоматически появились 30 папок для наших пользователей:
Теперь функционально проверим, что папки подключаются по сети к пользователю.

Заходим на виртуальную машину CLI1 под любым пользователем из группы, в при-
мере мы зайдем под IT_20.
Подключившись к виртуальной машине, переходим в «Проводник»:
235
Переходим в This PC:
Видим, что папки нет, значит, нужно перезайти под пользователем в системе (такое
бывает, настройкам необходимо некоторое время, чтобы вступить в работу) или выполнить
перезагрузку компьютера.
После перезагрузки компьютера папка для пользователя IT_20 успешно подключи-
лась к системе как диск U:
236
Пункт с настройкой домашних папок пользователя выполнен! Переходим к настройке
общих папок для подразделений.
Возвращаемся на виртуальную машину DC1.
Первым делом необходимо скопировать путь до папки подразделения, начнем с IT:
Копируем сетевой путь до папки:
Переходим в редактор групповых политик (мы это делали выше).
237
Создаем там новую Политику с названием, например, Folder:
Переходим по пути: User Configuration → Preferences → Windows Settings → Drive

Maps:
238
Правый клик по любой области → New → Mapped Drive:
Вставляем сетевой путь до папки в нужное поле.

Ставим галочку на Reconnect, чтобы диск автоматически пытался подключиться по-
вторно в случае неполадок. Выбираем ячейку Use и указываем букву G для этого сетевого
диска. Ячейка «Use first» укажет для сетевого диска первую доступную букву:
239
Далее переходим во вкладку Common в верхней части окна. Выбираем галочку на
Item-level targeting для того, чтобы настроить диск для конкретного объекта AD:
В новом окне нажимаем New Item → Security Group, так как будем формировать диск
на основе групповых атрибутов пользователя:
240
241
Убедитесь, что у вас так же:
242
Мы настроили подключение общей папки для пользователей IT. Для пользователей
Sales необходимо повторить такие же операции:
243
После этого проверьте, что вы сделали все так же, как на скриншоте:
Настройка общих папок завершена.

Подключаемся к CLI1 и заходим под любым пользователем из группы IT, переходим
в «Проводник».
244
Наблюдаем тут нашу папку для IT.
Также проверим, что IT не может попасть в папку для Sales.
В адресной строке «Проводника» вводим \\srv1\sales:
Видим такое сообщение:
Значит, доступа к этой папки у нас нет.

Переходим к проверке группы Sales. Зашли под Sales_1 и видим, что папка есть:
245
Проверяем, что доступа к IT нет.
Пункт про общие папки и их настройку выполнили.

Подробнее про создание сетевых папок и файлов: https://docs.microsoft.com/en-
us/previous-versions/windows/it-pro/windows-multipoint-server/dn772470(v=ws.11).
Обзор диспетчера ресурсов файлового сервера (FSRM): https://docs.microsoft.com/ru-
ru/windows-server/storage/fsrm/fsrm-overview.
3.4.11. Квоты. Файловые экраны
1. Установите максимальный размер в 10 MB для каждой домашней папки пользова-
теля (U:\).
2. Запретите хранение в домашних папках пользователей файлов с использованием
встроенного шаблона для блокировки мультимедиа.
Задание 1
Установите максимальный размер в 10 MB для каждой домашней папки пользователя
(U:\).
Заходим в файловый менеджер на DC1:
Через оснастку FSRM подключимся к конфигурированию неграфического сервера че-

рез графический интерфейс:
246
Убедитесь, что подключились через «Файловый менеджер» именно на SRV1. Перехо-
дим в режим создание шаблонов квот. Квота — некоторые ограничения на папки.
По заданию нам требуется создать жесткую квоту для домашних папок пользовате-
лей — максимальная ёмкость 10 MB. На странице Quota Templates → Create Quota Tem-
plate...:
Откроется окно создания нового шаблона квоты.

В поле Template Name задаем имя шаблона. Называйте её относительно того лимита,
который она регулирует. В нашем случае 10 MB.
В поле Description указывается описание квоты, это необязательный пункт.
В блоке Space Limit указывается лимит в необходимой единице измерения данных.
В нашем случае это 10 MB.
Ниже указывается тип квоты либо жесткая (Hard), либо мягкая (Soft).
247
Жесткая квота не даст пользователю никакой возможности превысить этот лимит.
Мягкая квота проинформирует пользователя, что он поступает неправильно и ему не реко-
мендуется превышать лимит, но даст возможность это сделать.
Notification thresholds — настройка автоматической рассылки на электронную почту
при попытке нарушить сконфигурированные квоты.
Наблюдаем созданный шаблон квоты:
248
Заходим в меню применения шаблона квоты на реальную директорию на сервере:
Открывается окно назначения шаблона для папки.

В поле Quota path указывается путь до директории. Нажимаем на Browse...:
Выбираем папку, для которой назначаем квоту:
249
Обязательно ставим галочку на «Auto apply template», чтобы квота автоматически
применялась на все подпапки внутри данной директории:
В качестве самопроверки нажимаем на Refresh.

Если у вас такой же результат — все сделано верно.
250
Задание с квотой выполнено, переходим к другому пункту задания.
Задание 2
Запретите хранение в домашних папках пользователей файлов с использованием
встроенного шаблона для блокировки мультимедиа.
Теперь мы переходим в систему File Screening Management. Данная технология актив-
но контролирует файлы внутри папок по их типу. Например, чтобы пользователи не имели
права хранить в своих папках аудиофайлы, видеофайлы и прочее мультимедиа.
Переходим в окно создания File Screen — мониторинга на папку.

В первой ячейке «Derive properties» используется мониторинг из заранее сделанных
системой шаблонов. Нас интересует встроенный шаблон для блокировки аудио и видео.
Во второй ячейке «Define custom file screen» данный пункт используется для создания
собственного мониторинга файлов в папках.
251
Завершаем настройку FileScreen:
Настроили блокировку для аудио- и видеофайлов.
252
Идем на виртуальную машину CLI1 и заходим под пользователем IT_2, например.
Заходим в домашнюю папку пользователя:
253
Нам необходимо включить отображение расширения файла:
Правым кликом мыши нажимаем на наш текстовый файл → Rename:
Вместо .txt пишем .mp3:
Если видим такой результат, пункт выполнен.
254
Подробнее про управление квотами: https://docs.microsoft.com/ru-ru/windows-
server/storage/fsrm/quota-management.
Подробнее про управление фильтрами блокировки файлов: https://docs.microsoft.com/
ru-ru/windows-server/storage/fsrm/file-screening-management.
3.4.12. IIS
1. Создайте сайт компании со стартовой страницей следующего содержания:
<html>
Welcome to Kazan!
</html>;
2. Сайт должен быть доступен по имени www.kazan.wsr по протоколам http и https в
обоих сетевых сегментах с использованием сертификатов, выданных DCA.
Задание 1
Создайте сайт компании со стартовой страницей.
Мы уже установили службу Web Server (IIS) на SRV1, но для удалённого управления
WebServer нужно также установить на DC1:
255
256
Добавляем утилиту для управления удаленным сервером SRV1. Такая же утилита
должна быть установлена на SRV1 соответственно:
257
Пока идет установка, пойдем на SRV1, чтобы закончить настройку удаленного управ-
ления компьютером без графики.
Переходим на виртуальную машину SRV1. Возможно, вы там увидите черный экран и
больше ничего — нажмите сочетание клавиш Ctrl + Alt + Insert или Send Ctrl + Alt + Del в
настройках виртуальной машины. Войдите в систему с логином Administrator и паролем
P@ssw0rd.
Входим и прописываем команду regedit:
Попадаем в редактор реестра:
В редакторе нужно пройти по пути \\HKEY_LOCAL_MACHINE\Software\Microsoft\

WebManagement\Server:
258
Выбираем EnableRemoteManagment и в поле ввода ставим 1, чтобы включить удален-
ный доступ:
Теперь возвращаемся на DC1.

Окно с успешной установкой WebServer закрываем:
Далее нам необходимо попасть в оснастку «Computer Management» SRV1, чтобы

включить WebServer на SRV1 и добавить его в автозагрузку:
259
В Startup Type — Automatic, чтобы после перезагрузки системы служба на SRV1 ав-
томатически включилась. Запускаем службу нажатием кнопки Start:
260
Подготовительные операции завершены, теперь можно перейти непосредственно к
настройке WebServer. На DC1 заходим в режим IIS Manager:
Открывается окно IIS Manager. С помощью этой оснастки происходит управление

веб-серверами и сайтами на Windows Server. В поле Connections перечислены все сервера, к
которым мы имеем доступ для администрирования. По умолчанию там существует только
сайт, автоматически создаваемый на локальной машине.
261
Нажимаем на логотип «Планеты с кабелем» для подключения к SRV1:
Указываем имя сервера, к которому будем подключаться:
262
Указываем логин и пароль для администрирования сайтом. Указываем данные домен-
ного администратора:
Система сообщит нам, что подключение незащищенно, — игнорируем данное сооб-

щение и нажимаем Connect:
Заканчиваем процедуру подключения:
263
На этом этапе WebServer временно оставим, открываем «Проводник» и переходим на
сервер SRV1, и его диск C — \\srv1\c$:
Попав сюда, создаем папку по названию сайта, например, Kazan. Это будущая корне-
вая директория нашего сайта:
264
Внутри этой папки создаем текстовый документ с именем index:
Открываем этот файл и пишем в нем следующую информацию. Простейшая веб-

страница, написанная на языке разметки документов в сети HTML:
Сохраните этот файл.

Теперь необходимо включить отображение расширений файлов:
Далее меняем .txt на .html:
Тип файла изменился:
265
Возвращаемся снова в оснастку WebServer.
Создаем в ней новый веб-сайт:
Заполняем форму создания сайта.

В поле Site name прописывается наименование сайта. Обращаем внимание, что Site
name и доменное имя сайта — это не одинаковые понятия! Данное наименование необходи-
мо только для администратора сайта.
В поле Physical Path указывается путь до корневой директории сайта. Он прописыва-
ется вручную.
Pass-through authentication подробнее будет в статье в дополнительной информации.
У нас не используется сквозная аутентификация.
В блоке Binding:
1) Type — тип протокола прикладного уровня, обеспечивающий доступ к сайту:
либо HTTP (незащищенное подключение), либо HTTPS (защищенное подключение). По
заданию настраивается оба подключения, об этом позже. Сейчас сформируем сайт для
HTTP;
2) IP-address — прописываем IP-адрес для подключения. Если данный параметр не
настраивать, то сайт будет доступен только по доменному имени;
3) Host name — доменное имя сайта, по которому сайт будет доступен.
266
Сайт создан, теперь проверим его, нажав кнопку, как на скриншоте:
267
Внизу открылся Internet Explorer:
Нажав на него, увидим наш веб-сайт, доступный по имени www.kazan.wsr:
Задание 2
Сайт должен быть доступен по имени www.kazan.wsr по протоколам HTTP и
HTTPS в обоих сетевых сегментах с использованием сертификатов, выданных DCA.
Теперь настроим доступ к сайту по имени kazan.wsr.
Перейдем в режим «Bindings», где можно добавить дополнительные доменные имена
для доступа к сайту.
268
Создаем запись, указывающую, что сайт будет доступен по протоколу HTTP через
доменное имя kazan.wsr:
269
Для проверки доступности сайта по другому доменному имени можно нажать сюда:
Если сайт открылся в Internet Explorer в панели задач, значит, все правильно.
Сайт по HTTP настроен, переходим к настройке сайта по HTTPS — для этого необхо-
димо настроить виртуальную машину DCA.
Подробнее про Pass-Through Authentication: https://docs.microsoft.com/en-us/openspecs/
windows_protocols/ms-nrpc/70697480-f285-4836-9ca7-7bb52f18c6af.
Подробнее про IIS: https://docs.microsoft.com/ru-ru/windows-server/administration/
performance-tuning/role/web-server/.
3.4.13. Настройка DCA
1. Переименуйте компьютер в DCA.
2. В качестве адреса DCA используйте третий возможный адрес из подсети
172.16.19.64/26.
270
4. Присоедините компьютер к домену Kazan.wsr.
Задание
Переименуйте компьютер в DCA. В качестве адреса DCA используйте третий
возможный адрес из подсети 172.16.19.64/26. Обеспечьте работоспособность протокола
ICMP (для использования команды ping), при этом Windows Firewall должен быть
включен для всех сетевых профилей; подсоедините компьютер к домену Kazan.wsr.
Используйте утилиту sconfig, подробнее об этом выше.
Для того чтобы проверить корректность созданных сертификатов, добавьте компью-
тер R1 в домен Kazan.wsr:
Адресация в глобальной сети:
Службы сертификации
1. Установите службы сертификации.
2. Настройте основной доменный центр сертификации.
3. Имя центра сертификации — RootKazanCA.
4. Срок действия сертификата — 8 лет.
5. Настройте шаблон выдаваемого сертификата для клиентских компьютеров
ClientComps: subject name=common name, автозапрос только для компьютера R1.
271
6. Настройте шаблон выдаваемого сертификата ITUsers: subject name=common name,
автозапрос только для пользователей — членов группы IT.
Задание 1
Установите службы сертификации.
После настройки имени, адреса и добавления в домен входим в виртуальную машину
DCA под именем доменного администратора:
Попав на виртуальную машину, зайдите в режим установки ролей:
272
Нажимаем Next… для поля выбора устанавливаемой роли Server Roles:
273
Нажимаем Next и в следующем окне.
Далее выбираем роль AD CS и нажимаем Next:
274
Дожидаемся установки Центра сертификации.
По завершении установки нажимаем на «Configure Active Directory…»:
275
Задание 2
Настройте основной доменный центр сертификации.
В данном меню указывается, из какой учетной записи конфигурируется. Важно, что-
бы там был доменный администратор:
Здесь выбираем единственную установленную AD СS роль — Certification Authority.

Подробнее о других ролях AD CS будет в дополнительной информации:
276
В следующем пункте выбирается тип установки Центра сертификации (ЦС).
Режим Enterprise — при конфигурировании ЦС в рамках домена.
Режим Standalone — при конфигурировании ЦС, который не находится в домене.
Далее выбирается тип ЦС.

Root CA — при настройке корневого Центра сертификации.
Subordinate CA — при настройке подчиненного Центра сертификации.
277
Далее решается использовать новую пару приватных ключей или уже существую-
щую:
Далее редактируются криптографический провайдер, длина ключа в битах и исполь-

зуемый для шифрования алгоритм:
278
Задание 3
Имя центра сертификации — RootKazanCA.
Далее указывается имя Центра сертификации. По заданию он должен называться
RootKazanCA.
Задание 4
Срок действия сертификата — 8 лет.
Далее указывается срок действия сертификата:
279
Далее указывается путь хранения баз данных Центра сертификации:
Завершаем настройку Центра сертификации:
280
Задание 5
Настройте шаблон выдаваемого сертификата для клиентских компьютеров
ClientComps: subject name=common name, автозапрос только для компьютера R1.
Заходим в режим редактирования шаблонов сертификатов:
Стандартные шаблоны сертификатов позволят нам создать новые сертификаты для

наших задач. Для начала создадим сертификат для компьютеров под названием ClientComps.
Создаем его из шаблона для компьютеров — Computers:
281
Задаем имя нашего темплейта и ставим галочку на Publish certificate in AD. У публи-
кации сертификата в AD есть две причины.
Первая причина — это когда вы хотите ограничить выдачу сертификатов из опреде-
ленного шаблона, чтобы повторная регистрация была невозможна, если опубликованный
сертификат не был удален из AD.
Вторая причина — это когда необходимо сделать сертификат доступным для других
пользователей или служб AD.
Нам нужно, чтобы сертификат автоматически отправлялся пользователям в AD. По-
этому данную галочку отмечаем.
В Subject Name настраивается, из чего будет сформировано имя для владельца серти-
фиката, в «Формате» указываем Common name (common name = FQDN, или полное доменное
имя устройства, в случае, например, R1 в имени сертификата для R1 будет прописано:
R1.kazan.wsr).
В Include this info…. указывается, какое имя будет записано в альтернативных.
В нашем случае это DNS Name.
282
Далее в правах доступа нам необходимо настроить права на автозапрос для компью-
тера R1. Для этого сначала добавим его в политику безопасности сертификата:
283
Открывается окно добавления объектов в права доступа. По умолчанию компьютеры
не отображаются в данном меню. Исправляем:
Набираем имя компьютера R1 и нажимаем ОК:
Добавляем R1 в права доступа. Указываем максимальные права.

ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ! ДЕЛАТЬ ТАК НА ПРАКТИКЕ НЕ РЕКОМЕНДУЕТСЯ!
284
285
Обратите внимание, что внизу оснастки Certificate Manager появился ваш новый сер-
тификат. Далее создадим сертификат для пользователей из шаблона User.
Задание 6
Настройте шаблон выдаваемого сертификата ITUsers: subject name=common
name, автозапрос только для пользователей — членов группы IT.
Задаем имя нашего нового сертификата, по заданию это ITUsers. Ниже указываем, что
публикуем сертификат в Active Directory:
286
Далее укажем, что имя владельца сертификата будет формироваться из имени пользо-
вателя — User Principal Name:
287
Внизу появились наши сертификаты:
Закрываем это окно, нажав на значок «крестика» в правом верхнем углу.

В окне оснастки Certification Authority:
288
Выпускаем наш первый сертификат для компьютера R1:
Перезапускаем окно выпуска сертификатов и выпускаем второй сертификат для IT:
Если видим наши сертификаты — все сделано правильно.
289
Для того чтобы сертификаты работали в домене необходимо, чтобы все клиенты в
домене доверяли этому Центру сертификации. Сделать это можно с помощью групповой по-
литики.
1. Необходимо переслать корневой сертификат ЦС на виртуальную машину DC1:
290
Откроется помощник по экспорту сертификатов:
291
2. Выбираем формат, в котором будет экспортирован сертификат. Выбираем формат
по умолчанию DER:
292
293
Данная запись информирует нас о том, что сертификат успешно отправлен на DC1:
Переходим на виртуальную машину DC1. Заходим в редактор групповых политик:
Создаем новую политику с именем Certs:
294
В групповой политике переходим по пути: Computer Configuration → Policies → Win-
dows Settings → Security → Public Key Policies:
295
Ставим галочку, указывая с помощью какого сервиса будут автоматически рассылать-
ся сертификаты, в нашем случае это сервис Active Directory:
Далее переходим в редактирование политики автоматического отправления сертифи-

катов:
296
В данном окне редактируется политика автовыдачи сертификатов.
В Configuration Model — Enabled, чтобы включить режим автовыдачи.
Первая галочка отвечает за автовыдачу просроченных, обновленных или автоудале-
ние отозванных сертификатов. Ее ставим обязательно.
Вторая галочка отвечает за автоматическое обновление сертификатов, если их время
будет подходить к концу.
В поле «Log expiry…» укажем, за сколько времени (в процентах от основного) систе-
ма отправит предупреждение о истечении срока действия сертификата:
Теперь нужно перейти в папку «Trusted Root Certification Authorities». В данной ди-
ректории хранятся доверенные сертификаты корневых серверов.
297
Импортируем новый сертификат:
298
Открывается помощник по импорту сертификатов:
В поле File name необходимо выбрать наш сертификат, который мы отправили с DCA
на DC1 через помощника по экспорту сертификатов:
299
В новом окне переходим по пути, где хранится сертификат, и выбираем его:
Указываем, что сертификат должен храниться в Trusted Root Certification Authorities:
300
Импорт успешно выполнен.
Сейчас мы произвели настройки для всех ПК в домене, теперь нужно произвести

настройку для пользователей.
В этой же групповой политике идем по пути: User Configuration → Policies → Win-
dows Settings → Security Settings → Public Key Policies:
301
302
На виртуальной машине R1 перезапрашиваем информацию о групповых политиках с
сервера DC1 — gpupdate /force:
После выполнения команды возвращаемся на DCA и в оснастке Certification Authority

смотрим на список выпущенных сертификатов:
303
Проверяем сертификаты на пользователей — идем на виртуальную машину CLI1 и
заходим под пользователем IT_10.
Также вводим там команду gpupdate /force.
После этой команды, возвращаемся на DCA и проверяем, что сертификат сам отпра-
вился пользователю:
Пункт задания про настройку сертификатов для PC и пользователей выполнен.

Задание 7
Сайт должен быть доступен по имени www.kazan.wsr по протоколам HTTP и
HTTPS в обоих сетевых сегментах с использованием сертификатов, выданных DCA.
Также у нас еще не настроен сайт по протоколу HTTPS, работоспособность которого
должна обеспечиваться сертификатами, выданными DCA. Снова переходим в меню создания
сертификатов из готовых шаблонов.
304
Находим там шаблон Web Server используем его для создания сертификата:
Имя меняйте на любое, ради примера назовем его SSL.
Разрешаем сертификату экспортировать приватные ключи.

Приватный ключ — это отдельный файл, который используется при шифровании/
расшифровке данных, отправляемых между вашим сервером и подключающимися клиента-
ми. Для веб-сайта данная галочка обязательна.
305
Добавляем в права доступа компьютер, который будет являться издающим ЦС, — DCA:
306
307
308
Публикуем шаблон в Certification Authority. ПКМ на Certificate Templates → New →
Certificate Template to Issue:
Видим наш сертификат для сайта:
Теперь необходимо его настроить, на DCA нажимаем сочетание клавиш Win + R – mmc:
309
В новом окне нажимаем сочетание клавиш Ctrl + M:
Выбираем, с какого аккаунта будем управлять сертификатом:

1) первая ячейка — использовать текущий пользовательский аккаунт;
2) вторая ячейка — для использования сервисного аккаунта;
3) третья ячейка — для использования аккаунт компьютера. Это наш выбор.
310
Первая ячейка — запустить менеджер сертификатов на текущем компьютере.
Вторая ячейка — запустить менеджер сертификатов на другом компьютере.
Убедитесь, что менеджер добавился в правую колонку. Это важно!
311
Переходим во вкладку Personal → Certificates.
Далее правый клик по любой части экрана → All Tasks → Request New Certificate:
312
Открывается служба запроса сертификатов:
Выбираем, что сертификат будем «заказывать» средствами ActiveDirectory:
313
После некоторой загрузки видим наш сертификат, он требует некоторых дополни-
тельных данных для публикации ЦС:
Type — Common name вписываем www.kazan.wsr. Перенесите запись вправо через

кнопку Add>:
314
Type DNS → www.kazan.wsr — указываем дополнительные имена для сайта:
Type DNS → kazan.wsr — указываем дополнительное имя сайта:
315
Type IP-address — 172.16.19.66 — указываем IP-адрес сервера, где расположен сайт:
В итоге полное заполнение формы создания сертификата должно получиться вот та-
ким:
316
Выпускаем сертификат:
317
После выполнения сертификата отправляем его на диск SRV1:
Переходим в группу Details → Copy to File:
318
Открывается знакомый помощник по экспорту сертификатов:
Откроется страница, где система интересуется, стоит ли экспортировать приватный

ключ. Мы уже выяснили, что для сайта это важно, — нажимаем Yes:
319
Указываем, что все свойства и вложения в сертификат также передаем:
.PFX — это на архив с данными о сертификате и его свойствах, который требует па-
роль, укажем просто 1:
320
Указываем путь сохранения сертификата:
Переходим на диск C SRV1 — \\srv1\c$.

Указываем имя сертификата, можно любое, например kazan1:
321
Завершаем процедуру экспорта сертификата:
322
Данное сообщение подтверждает, что сертификат успешно отправлен на сервер
SRV1 — тот, где у нас расположен веб-сайт:
Переходим на виртуальную машину SRV1, сначала нам необходимо попасть на диск

C — cd C:\:
Далее вводим команду — certutil -importpfx Kazan1.pfx.

Команда вводится для того, чтобы добавить сертификат на сервер:
Система запросит пароль — вводим 1:
Данная запись означает, что сертификат был успешно добавлен:
323
Далее снова возвращаемся на виртуальную машину DC1:
Проведите процедуру подключения к SRV1, как делали выше:
324
Выполняем настройку доступа к сайту по протоколу HTTPS через доменное имя
www.kazan.wsr:
Видим, что появилась новая запись:
Добавляем еще одну запись для сайта, чтобы настроить доступ по HTTPS по домен-
ному имени kazan.wsr:
325
Для самопроверки можно нажать на ссылки сайта по протоколу HTTPS:
Нажимаем на ссылку → откроется IE по протоколу HTTPS:
Если сайт доступен — все сделано правильно!

Проверьте самостоятельно сайт — www.kazan.wsr.
Установка центра сертификации: https://docs.microsoft.com/ru-ru/windows-server/
networking/core-network-guide/cncg/server-certs/install-the-certification-authority.
Подробнее про команду certutil: https://docs.microsoft.com/ru-ru/windows-server/
administration/windows-commands/certutil.
Подробнее о том, каким можно сделать свой AD CS: https://docs.microsoft.com/en-
us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831740(v=ws.11).
3.4.14. Настройка CLI1. Базовая настройка
1. Переименуйте компьютер в CLI1.
3. Подсоедините компьютер к домену Kazan.wsr.
4. Запретите использование спящего режима таким образом, чтобы пользователи до-
мена не могли изменить эту настройку без участия администратора домена.
5. Используйте компьютер для тестирования настроек в домене Kazan.wsr: пользова-
телей, общих папок, групповых политик.
Данный пункт задания выполняется практически полностью в результате настройки
инфраструктуры домена Kazan.wsr.
За исключением групповой настройки по отключению спящего режима.
326
Задание
Используйте компьютер для тестирования настроек в домене Kazan.wsr: пользо-
вателей, общих папок, групповых политик.
Идем на виртуальную машину DC1.
Открываем «Редактор групповых политик», создаем там политику Sleep:
В ней идем по пути: Computer Configuration → Policies → Administrative Templates →

System → Power Management → Sleep Settings:
327
Переводим две этих политики в режим Disabled:
Как проверить
Переходим на виртуальную машину CLI1, заходим под пользователем IT_11.
Вводим команду gpupdate /force:
Нажимаем на кнопку выключения ПК и видим, что режим «Sleep» пропал:

328
Подробнее о команде gpupdate: https://docs.microsoft.com/ru-ru/windows-server/
administration/windows-commands/gpupdate.
3.4.15. Настройка DC2
1. Переименуйте компьютер в DC2.
2. В качестве адреса DC2 используйте первый возможный адрес из подсети
172.16.20.96/27.
Утилитой sconfig мы уже пользовались, групповую политику для отключения firewall
также вводили выше.
Подсказка в IP-адресации нижнего офиса:
Active Directory
Сделайте сервер контроллером домена SPB.wse.
Задание 1
Сделайте сервер контроллером домена SPB.wse.
Доменный контроллер на DC2 устанавливается точно так же, как и на DC1.
329
Заходим на DC2, в режим добавления и удаления ролей:
Перед нами открылось приветственное окно помощника по установке ролей на сер-

вер. Здесь кратко перечислены рекомендации по работе с Windows Server.
Например, данный баннер просит нас установить на аккаунт администратора слож-
ный пароль, убедиться, что на сервере присутствует статическая IP-адресация, установить
самое последнее обновление безопасности Windows и контролировать актуальность этих об-
новлений.
330
В следующем окне открывается тип устанавливаемых ролей на сервер. Ячейка свер-
ху — «Role-based or feature-based installation» — означает, что мы будем устанавливать
«классический» набор ролей: веб-сервер, файловый менеджер, ActiveDirectory, Центр серти-
фикации, DHCP-сервер, DNS-сервер и т. д
Ячейка снизу — «Remote Desktop Services installation» — означает, что мы будем
устанавливать роли необходимые для развертывания системы VDI и RemoteDesktop.
По заданию нам не требуется установка VDI системы, поэтому в рамках задания все-
гда выбираем верхнюю ячейку:
В новом окне выбирается сервер либо виртуальный жесткий диск, куда планируется
устанавливать роль. При выборе верхней ячейки в поле Server Pool перечисляются все име-
ющиеся сервера, в данный момент мы видим только сервер DC2. В будущем в этом поле
можно будет выбрать любой сервер, который находится в домене или доступен для удален-
ного управления.
При выборе нижней ячейки установка роли будет произведена на виртуальный жест-
кий диск (VHD). Виртуальные жесткие диски — это файлы виртуальных жестких дисков,
которые при подключении отображаются и функционируют практически идентично физиче-
скому жесткому диску. В основном они используются в сочетании с виртуальными машина-
ми Hyper-V.
По заданию нам не требуется настройка VHD. Поэтому выбираем верхний пункт и
наш единственный сервер DC2:
331
В данном окне выбираются роли и службы, которые необходимо установить на сер-
вер. Ролей множество, если кликнуть на каждую роль в правой части экрана, станет доступно
её краткое описание. На данный момент установим роли доменного контроллера
ActiveDirectory, DHCP-сервер и DNS-сервер:
332
Cистема несколько раз попросит у вас установить помимо ролей дополнительные
функции и зависимости. Нажимаем Add Features…:
В следующем окне система поинтересуется о необходимости установить дополни-

тельные утилиты для управления сервером. Например, систему шифрования дисков
BitLocker, клиент NFS. На данный момент в установке дополнительных утилит нет необхо-
димости, данный пункт пропускаем:
333
В новом окне увидим краткое описание устанавливаемой роли ActiveDirectory Domain
Services. Указаны ссылки на статьи по настройке Azure Active Directory:
В новом окне дано описание роли DHCP-сервера:
334
В новом окне дано описание роли DNS-сервера:
В последнем окне система предоставляет нам отчет о устанавливаемых ролях и их за-

висимостях. Ставим галочку на «Restart the destination server automatically if required», так как
после установки AD необходимо перезагрузить ПК. Данная галочка отвечает за автоматиче-
скую перезагрузку сервера в случае необходимости. Если эту галочку не поставить, система
отправит запрос на перезагрузку администратору и только после ручного одобрения (или от-
каза) перезапустится.
335
Система убедится, что вы готовы автоматически перезагрузить сервер в случае необ-
ходимости:
После ознакомления с отчетом о устанавливаемых ролях нажимаем Install:
Дожидаемся установки ролей на виртуальную машину DC1. Заполнение всей «полосы

загрузки» является индикатором успешной установки ролей:
336
Откроется помощник развертывания Active Directory Domain Services.
Первая ячейка — «Add a domain controller to an existing domain» — запустит систему
развертывания дополнительного контроллера домена в уже существующем домене.
Вторая ячейка — «Add a new domain to an existing forest» — запустит систему развер-
тывания нового домена в уже существующем лесу (подробнее о терминологии Active
Directory в дополнительной информации).
Третья ячейка — «Add a new forest» — запустит систему развертывания нового леса.
Так как мы с нуля конфигурируем инфраструктуру, нас интересует именно этот пункт.
В поле Root domain name указываем название нашего домена — SPB.wse:
В данном окне настраиваются опции домена.

В раскрывающихся полях Forest functional level и Domain functional level.
Здесь можно выбрать, какие функции и спецификации конкретного релиза
ActiveDirectory будут доступны в домене. Конкретно ознакомиться с различиями релизов
Windows Server можно по ссылке из дополнительной информации.
Чекбоксы ниже недоступны для изменения, так как являются обязательными настрой-
ками на основном доменном контроллере. Настройка DNS сервера и создание Global Catalog
произойдут автоматически.
В последнем поле указывается пароль от режима восстановления домена. Указываем
P@ssw0rd:
337
В чекбоксе Create DNS delegation можно настроить делегирование DNS-зоны на сер-
вер. Так как мы настраиваем основной доменный контроллер, пункт недоступен для измене-
ния.
Далее настраивается NetBIOS-имя домена:
338
Далее указываются директории, где AD DS будет хранить базу данных. Оставим их по
умолчанию:
Далее Мастер установки откроет перед нами отчет о конфигурации домена, чтобы мы
еще раз ознакомились с настройками системы:
339
Убедившись, что настройки корректные, устанавливаем роль AD DS:
Установка доменного контроллера SPB.wse завершена.

Так как вся дополнительная информация про AD опубликована выше, опубликуем
более глубокие статьи про работу с AD.
Рекомендации по защите ActiveDirectory: https://docs.microsoft.com/ru-ru/windows-
server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory.
Расширенное управление репликацией и топологией Active Directory с помощью Win-
dows PowerShell (уровень 200): https://docs.microsoft.com/ru-ru/windows-server/identity/ad-
ds/manage/powershell/advanced-active-directory-replication-and-topology-management-using-
windows-powershell--level-200-.
Задание 2
Обеспечьте работоспособность протокола ICMP (для использования команды
ping), при этом Windows Firewall должен быть включен для всех сетевых профилей.
Отключение Firewall в виде GPO.
ПОВТОРЯЕМ! ДЕЛАТЬ ТАК НА РАБОТЕ НЕЛЬЗЯ И НЕПРАВИЛЬНО! ДЛЯ ЗА-
ДАНИЯ НЕ КРИТИЧНО!
Создаем GPO в домене, назовем ее Firewall.
Политика находится по пути: Computer Configuration → Policies → Windows Set-
tings → Security Settings → Windows Defender… → Windows Defender… → Inbound Rules.
В этом меню настраиваются правила брандмауэра для входящего трафика:
340
Разберемся, какие пункты есть в меню создания правила:
1) первой ячейкой создается правило для контроля подключений какой-либо установ-
ленной программы в Windows;
2) второй ячейкой создается правило для контроля подключений на конкретный сете-
вой порт;
3) третьей ячейкой создается правило для контроля подключений серверных служб.
Например, для контроля подключений ActiveDirectory, DHCP и т. д.;
4) четвертой ячейкой создается особое правило, неподходящее под описанные выше
шаблоны.
341
В меню Program выбирается программа, для который будет актуально это правило.
В первой ячейке указывается, что правило будет под все программы на компьютере.
Во второй ячейке указывается конкретный путь до программы, для которой будет ак-
туально это правило.
В поле Services можно настроить службу, для которой будет актуально это правило.
Далее в меню Protocol and Ports выбирается, для какого сетевого протокола будет
настроена политика брандмауэра. В поле ниже указываются порты, которые попадают под
это правило. В Local Port указываются локальные порты клиента, с которого будет осу-
ществляться подключение к серверу. В Remote Port указываются удаленные порта сервера,
куда будет подключаться клиент. По умолчанию все сетевые протоколы и порты «попадают»
342
В меню Scope указываются IP-адреса, которые попадают под настраиваемое правило.
В первом поле Local IP-addresses указывается, какие локальные IP-адреса попадают
В втором поле Local IP-addresses указывается, какие удаленные IP-адреса попадают
По умолчанию под правило попадают все IP-адреса.
В меню Action указывается выполняемое действие для настраиваемого правила.

В первой ячейке — разрешить подключение, если оно попадает под сконфигуриро-
ванные ранее параметры.
Во второй ячейке — разрешить подключение, если оно попадает под сконфигуриро-
ванные ранее параметры и осуществляется через защищенные каналы связи.
В третьей ячейке — блокировать подключение.
343
Далее настраивается зона «влияния» правила:
1) правило будет активно только для компьютеров в домене;
2) правило будет активно только для компьютеров в частной сети;
3) правило будет активно только для компьютеров в общей сети.
По умолчанию выбраны все зоны:
Далее задаем имя нашего правила:
344
После создания политики на входящий трафик настроим исходящий:
Не будем акцентировать внимание на других пунктах, сразу переключаемся в меню

Action:
345
По умолчанию правило на исходящий трафик блокирует все, меняем этот пункт на
«Разрешить все»:
Имя задаем произвольное:
После этого все машины в домене получат эту настройку брандмауэра.

346
3.4.16. DHCP
Задание 1
Настройте протокол DHCP для автоконфигурации клиентов. В качестве диапа-
зона выдаваемых адресов используйте все незанятые серверами адреса в подсети.
После успешной настройки Active Directory переходим к настройке DHCP. Переходим
в режим авторизации DHCP-сервера в домене:
В данном окне приведено описание процедуры авторизации DHCP-сервера:
347
Здесь выбираем, что авторизацию будем проводить, используя учетную запись адми-
нистратора домена SPB.wse:
Система сообщит нам, что авторизация успешно выполнена:
348
Далее переходим в оснастку DHCP Manager. В правой части экрана нажимаем
Tools → DHCP Manager:
Левым кликом мыши раскройте вкладки в оснастке DHCP Manager:
349
Далее правым кликом мыши нажимаем на IPv4 → New Scope:
Откроется Мастер установки DHCP:
350
Далее в окне укажем имя нашей DHCP-зоны. Оно может быть любым. В поле
Description можно дать развернутое описание предназначения зоны:
Диапазон используемых адресов будет 172.16.20.99–172.16.20.125:
351
Еще раз напомним об адресации в нижнем офисе:
Далее вводятся IP-адреса, которые необходимо исключить из диапазона IP-адресов.

Пропускаем данный пункт:
Время аренды IP-адреса. Оставим по умолчанию — 8 суток:
352
Сконфигурируем также дополнительные параметры DHCP-сервера. Оставляем выбор
на первой ячейке:
Далее указываем шлюз по умолчанию. В сети это R2:
353
Настройки DNS оставим те, что предложила система автоматически:
Настройку WINS Server пропускаем:
354
Соглашаемся на активацию сконфигурированного DHCP-сервера:
В конце завершаем конфигурацию DHCP-сервера:
Подробнее про DHCP: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/dhcp/dhcp-top.
Подробнее про WINS: https://docs.microsoft.com/ru-ru/windows-server/networking/
technologies/wins/wins-top.
355
3.4.17. DNS
1. Настройте необходимые зоны прямого и обратного просмотра.
2. Создайте вручную все необходимые записи типа A и PTR для серверов домена и
необходимых web-сервисов.
3. Обеспечьте разрешение имен сайтов обеих компаний.
Задание 1
Настройте необходимые зоны прямого и обратного просмотра.
Задание 2
Создайте вручную все необходимые записи типа A и PTR для серверов домена и
необходимых web-сервисов.
356
Запись spb.wse:
Задание 3
Обеспечьте разрешение имен сайтов обеих компаний.
Настройка на DC2:
357
Сразу выполним настройку на DC1:
358
Проверьте, что настройка выполнена на обоих DNS-серверах в сети, если нет — сде-
лайте это вручную.
Подключитесь к SRV1 через DNS Manager:
359
Выбирайте вторую ячейку, чтобы подключиться к удаленному серверу. В поле ниже
введите его имя:
После этого DNS-сервер SRV1 появится в окне слева, добавьте для него запись в
Conditional Forwarders:
Создание проекта инфраструктуры DNS: https://docs.microsoft.com/ru-ru/windows-
server/identity/ad-ds/plan/creating-a-dns-infrastructure-design.
Устранение неполадок DNS-серверов: https://docs.microsoft.com/ru-ru/windows-
server/identity/ad-ds/plan/creating-a-dns-infrastructure-design.
Устранение неполадок DNS-клиентов: https://docs.microsoft.com/ru-ru/windows-
server/networking/dns/troubleshoot/troubleshoot-dns-client.
3.4.18. Элементы доменной инфраструктуры
1. Создайте учетную запись пользователя домена User1\P@ssw0rd, используйте груп-
пу по умолчанию — Domain Users.
2. Для всех пользовательских учетных записей в домене используйте перемещаемые
профили.
3. Для хранения профилей пользователей используйте общую папку по адресу
SRV2 → C:\Users.
4. Каждый пользователь должен иметь доступ к файлам только своего профиля; при
обращении к указанной общей папке средствами программы Проводник пользователь дол-
жен видеть в списке только папку со своим профилем.
360
Задание 1
Создайте учетную запись пользователя домена User1\P@ssw0rd, используйте
группу по умолчанию – Domain Users.
Переходим на DC2:
Переходим в оснастку ADUC, чтобы создать нового пользователя в папке Users:
Заполняем информацию о пользователе User1:
361
Укажите пароль от пользователя. Подробнее о галочках на странице создания пользо-
вателя:
1) пользователь обязан поменять пароль при следующем входе в систему;
2) пользователь не имеет права менять пароль;
3) пароль никогда не истекает (по умолчанию пароль через 30 дней заканчивается и
его нужно сменить);
4) аккаунт отключен.
Завершаем процедуру создания пользователя:
362
Задание 2
Для всех пользовательских учетных записей в домене используйте перемещае-
мые профили.
Для перемещаемых профилей необходимо на SRV2 и DC2 установить службы File
Server Resource Manager. Добавьте SRV2 в домен и во вкладку All Servers, чтобы получить
возможность управлять им через графический интерфейс.
Необходимо попасть в главное меню программы Server Manager и выбрать там пункт
Add other server to manage:
Нажать на Find now, если увидели там ваш SRV2 — все сделано правильно!
Далее необходимо левой клавишей мыши выделить SRV2 и нажать на стрелочку по-
середине экрана, чтобы перенести этот сервер в правую половину:
Теперь мы добавили SRV2 — неграфический сервер на Windows Server 2019 Core —

в серверную инфраструктуру домена, сейчас на DC2 можно удаленно управлять SRV2 через
удобный графический интерфейс.
363
Заходим в режим добавления и удаления ролей:
Нажимайте «Next» в первых двух страницах. На странице выбора сервера установки

выберите SRV2:
364
Установите сразу все нужные функции на SRV2 — FSRM и веб-сервер IIS:
365
Установите службу для удаленного менеджмента SRV2:
После установки служб переходите во вкладку File and Storage Services:
366
В выпадающем меню выбирайте Shares → Правый клик мыши на любое место экра-
на → New share...:
Открывается помощник по конфигурированию общих сетевых папок:
367
На все прочие вопросы системы нажимаем Next…
Задание 3
Каждый пользователь должен иметь доступ к файлам только своего профиля;
при обращении к указанной общей папке средствами программы Проводник пользова-
тель должен видеть в списке только папку со своим профилем.
После этого вопроса также Next до завершения установки.

368
Задание 4
Для всех пользовательских учетных записей в домене используйте перемещае-
мые профили.
Скопируйте этот адрес:
369
Заходим в редактор групповых политик, чтобы создать GPO:
Создаем новую GPO в домене с названием, например, Folder:
370
В групповой политике идем по пути Computer Configuration → Policies → Administra-
tive Templates → System → User Profiles и включите «Set roaming profile path for all users log-
ging onto this computer»:
371
Включаем политику, в поле «Profile path» указываем сетевой путь до папки с
\\SRV2.spb.wse\profiles\%username%. %username% — переменная имени пользователя. Нуж-
на для автоматического создания одноименной с пользователем папки:
Настройка перемещаемых профилей закончена!

Идем на машину CLI2, которая к этому моменту уже должна быть в домене SPB.wse,
под пользователем User1.
На рабочем столе создаем файл или папку:
372
Далее нужно выйти из системы:
Теперь перейдем на виртуальную машину R2, которая тоже должна быть уже в домене.
Заходим под пользователем User1\P@ssw0rd:
373
На рабочем столе R2 увидели файл Test, который автоматически переместился с одно-
го компьютера на другой:
Подробнее про перемещаемые профили: https://docs.microsoft.com/ru-ru/windows-
server/storage/folder-redirection/deploy-roaming-user-profiles.
Документация про перемещаемые профили на Samba-wiki: https://wiki.samba.org/index.
php/Roaming_Windows_User_Profiles.
3.4.19. Настройка R2
1. Переименуйте компьютер в R2.
2. Задайте настройки сети следующим образом: для сетевого интерфейса, подключен-
ного к коммутатору ISP, используйте адрес 200.100.100.1/30; для сетевого адреса в подсети
SPB.wse используйте последний возможный адрес из используемого адресного пространства.
4. Подсоедините компьютер к домену SPB.wse.
Имя машины, IP-адрес и добавление в домен реализуйте через утилиту sconfig.
Заходим на виртуальную машину R2 под доменным администратором:
374
Пропускаем вступительные пункты.
Задание 1
Установите службу RRAS.
Устанавливаем службу RRAS = Remote Access. Для настройки сетевых подключений
(например, VPN) и настройки маршрутизации (например, RIPv2 или статичный роутинг):
375
Выбираем, что будем настраивать маршрутизацию = Routing (верхняя галочка выби-
рается автоматически):
Далее просто нажимаем Next:
376
Дожидаемся окончания установки:
После окончания установки открываем оснастку для управления:
377
Открывается помощник по настройке службы маршрутизации и удаленного доступа:
Подробнее про доступные режимы конфигурации:

1) настройка удаленного доступа (VPN);
2) настройка NAT;
3) настройка удаленного доступа (VPN) и NAT;
4) конфигурация защищенного соединения между двумя сетями;
5) комбинированная настройка.
378
В режиме комбинированной настройки выбираем только LAN Routing → статическая
маршрутизация:
379
Завершаем процедуру конфигурации:
Далее RRAS напомнит вам, что необходимо настроить брандмауэр на прием и от-
правку пакетов, открыть порты для VPN и прочих служб. У нас уже присутствует GPO раз-
решающая любой трафик на всех портах, нажимаем ОК:
Запускаем службу RRAS:
380
Раскрываем вкладки в RRAS, находим сетевой протокол IPv4 → Static Routes.
Правый клик по Static Routes → New Static → Route:
Задание 2
Настройте статические маршруты для связи с сетевым сегментом в Казани.
Настраиваем статический маршрут.
В пункте Interface указываем тот, что смотрит в сторону R1. Узнать его можно коман-
дой ipconfig /all:
В Destination указывается адрес сети, куда «строим» маршрут. В нашем случае это ад-
рес офиса Kazan.wsr.
В Network mask указываем маску удаленного офиса.
В Gateway — IP-адрес, куда отправим трафик, направленный в сеть 172.16.19.64/26.
381
Настройка роутера R2 в нижнем офисе завершена:
Настройка R1 в верхнем офисе

Задание 1
Установите службу RRAS.
Устанавливаем эту же RRAS роль на R1 и DC1.
Делается это потому, что служба RRAS может управляться только с того сервера, где
также установлены необходимые сервисы для работы роли «Маршрутизации». На машине
R2 мы этого не делали, так как она имеет графический интерфейс и удобно настраивается
непосредственно на устройстве. На R1 графики нет, поэтому мы и устанавливаем две роли
сразу и на DC1 и на R1:
382
Если вышло такое сообщение, то необходимо перезагрузить виртуальную машину R1:
После того как вы установили службу RRAS на виртуальные машины DC1 и R1, при-
ступаем к их настройке.
На виртуальной машине DC1 включаем оснастку для настройки RRAS:
383
Добавляем сервер для удаленного конфигурирования:
Конфигурируем RRAS на R1:
384
Задание 2
Настройте статические маршруты для связи с сетевым сегментом в Санкт-Пе-
тербурге.
В режиме настройки выбираем точно такие же пункты, как при установке R2.
После успешной установки создаем новый маршрут:
С помощью ipconfig узнайте, какой интерфейс R1 у вас «смотрит» в сторону R2:
385
Маршрутизация между двумя офисами настроена.
С DC1 попробуйте отправить PING-запрос на домен spb.wse. Таким образом еще и
проверим связность офисов по доменным именам ping spb.wse:
С DC2 попробуйте отправить PING-запрос на домен kazan.wsr. Таким образом еще и

проверим связность офисов по доменным именам — ping kazan.wsr:
Разбор архитектуры службы RRAS: https://docs.microsoft.com/en-us/windows/win32/
rras/routing-and-remote-access-services-architecture.
3.4.20. GPO
Задание 1
Настройте необходимые политики, обеспечивающие использование сервера
DCA.kazan.wsr в качестве доверенного центра сертификации.
Добившись связности двух офисов можно настроить политики, чтобы сертификаты
DCA в домене SPB.wse были доверенными.
Переходим на виртуальную машину DCA, чтобы отправить сертификат на DC2.
Заходим в оснастку Certification Authority:
386
387
Открывается режим экспорта сертификатов:
388
Выбираем путь отправки сертификата:
389
В адресной строке «Проводника» указываем сетевой путь до диска C сервера DCA —
\\dc2.spb.wse\c$:
Нажав на Enter, попадаем на диск C, сохраняем там документ под именем RootCA:
390
P.S. Система, возможно, потребует у вас логин и пароль при попытке попасть на вир-
туальную машину в другом домене, введите логин Administrator@spb.wse пароль P@ssw0rd:
391
После успешной отправки сертификата на сервер DC2 переходим в редактор группо-
вых политик на DC2.
Создаем политику и настраиваем ее.
В групповой политике переходим по пути Computer Configuration → Policies → Win-
dows Settings → Security → Public Key Policies:
392
Импортируем сертификат:
393
Перейдите на диск C сервера DCA:
394
На последующие вопросы «Помощника по импорту» нажимаем Next и Finish:
Сертификат успешно добавлен!
395
Попробуем с виртуальной машины DC2 зайти на сайт www.kazan.wsr:
Сайт доступен по протоколу https.

Политики доверия к корневому ЦС настроены.
Подробнее про Trusted Root Certification Authorities Certificate Store: https://
docs.microsoft.com/en-us/windows-hardware/drivers/install/trusted-root-certification-authorities-
certificate-store.
396
Задание 2
Настройте двустороннее доверие доменом Kazan.wsr.
Переходим на виртуальную машину DC2:
397
Открывается помощник по настройке доверия между двумя доменами:
Указываем имя домена, с которым планируем настроить доверие. Обращаем внима-

ние, что к этому моменту у вас должна быть настроена поддержка доменных имен другого
офиса:
Транзитивность определяет, можно ли расширить доверие за пределы двух доменов,

между которыми оно было сформировано. Транзитивное доверие можно использовать для
расширения отношений доверия с другими доменами. Нетранзитивное доверие можно ис-
пользовать для отказа в отношениях доверия с другими доменами.
398
Первая ячейка External Trust — для создания нетранзитивного доверия между доме-
ном и другим доменом вне леса.
Вторая ячейка Forest Trust — для создания транзитивного отношения между лесами,
которое позволяет пользователям любого домена одного леса проходить проверку подлинно-
сти в любом домене другого леса.
В первой ячейке настраивается двустороннее доверие. Пользователи в этом домене

могут аутентифицироваться в другом домене, а пользователи из другого домена могут про-
ходить процедуру аутентификации в нашем домене:
399
Первая ячейка отвечает за настройку только этого домена, настройку второго обязан
произвести администратор с другой стороны. Данную ячейку выбираем при конфигурирова-
нии доверия между доменами, где второй домен администрируется другим специалистом.
Вторая ячейка отвечает за настройку домена, в случае если мы администраторы двух
доменов и имеем доступ к удаленной стороне.
Вводим логин доменного администратора kazan.wsr:

— Administrator@kazan.wsr;
— P@ssw0rd — пароль.
400
Первая ячейка Windows автоматически аутентифицирует пользователей из другого
леса на ресурсах локального леса.
Вторая ячейка Windows не допустит автоматического доступа для пользователей из
другого леса на ресурсах локального леса.
Подтверждаем настройку на удаленном домене одновременно:
401
Принимаем настройки на удаленном домене Kazan.wsr:
Завершаем настройку:
402
Подтверждаем исходящее доверие:
Подтверждаем входящее доверие:
В конце нажимаем Finish, пункт выполнен!
403
Заходим на виртуальную машину CLI2 и пытаемся зайти под пользователем из доме-
на Kazan.wsr:
Если проходит аутентификация — пункт выполнен верно!

О транзитивности доверия: https://winintro.ru/domadmin.ru/html/80ae74bb-ccdd-4448-
91f3-0038de553d9d.htm.
Как работают взаимоотношения в AD между доменами: https://docs.microsoft.com/ru-
ru/azure/active-directory-domain-services/concepts-forest-trust.
3.4.21. Настройка SRV2
1. Переименуйте компьютер в SRV2.
2. В качестве адреса SRV1 используйте второй возможный адрес из подсети
172.16.20.96/27.
4. Присоедините компьютер к домену SPB.wse.
Данный пункт выполняется через утилиту sconfig. А ICMP обеспечивается через
групповую политику на DC2.
IIS
1. Создайте сайт компании со стартовой страницей следующего содержания:
<html>
Welcome to Saint-Petersburg!
</html>.
2. Сайт должен быть доступен по имени www.spb.wse, по протоколам http https в обо-
их сетевых сегментах с использованием сертификатов, выданных DCA.
404
Задание 1
Создайте сайт компании со стартовой страницей следующего содержания; сайт
должен быть доступен по имени www.spb.wse, по протоколам http и https в обоих сете-
вых сегментах с использованием сертификатов, выданных DCA.
Установите на SRV2 роль WebServer (IIS), не забудьте в редакторе реестра поменять
значение EnableRemoteManagement, а также добавить сервис WebManagement.
\\HKEY_LOCAL_MACHINE\Software\Microsoft\WebManagement\Server — путь до ре-
естра.
Входим и прописываем команду regedit:
Попадаем в редактор реестра:
В редакторе нужно пройти по пути \\HKEY_LOCAL_MACHINE\Software\Microsoft\

WebManagement\Server:
405
Выбираем EnableRemoteManagment и в поле ввода ставим 1. Чтобы включить удален-
ный доступ:
Теперь возвращаемся на DC2.

Далее нам необходимо попасть в оснастку «Computer Management» SRV2, чтобы
включить WebServer на SRV1 и добавить его в автозагрузку:
406
В Startup Type — Automatic, чтобы после перезагрузки системы служба на SRV2 ав-
томатически включилась. Запускаем службу нажатием кнопки Start:
407
Переходим в проводник и идем на диск C SRV2 — \\srv2.spb.wse\c$\.
Создайте на SRV2 папку SPB, в ней файл index:
Приведите файл к этому виду:
Далее смените расширение файла .txt на .html.

Теперь необходимо включить отображение расширений файлов:
408
Подготовительные операции завершены, теперь можно перейти непосредственно к
настройке WebServer. На DC2 заходим в режим IIS Manager:
Открывается окно IIS Manager. С помощью этой оснастки происходит управление

веб-серверами и сайтами на Windows Server. В поле Connections перечислены все сервера, к
которым мы имеем доступ для администрирования. По умолчанию там существует только
сайт, автоматически создаваемый на локальной машине.
Нажимаем на логотип «Планеты с кабелем» для подключения к SRV2:
409
Далее через IIS MANAGER на DC2 подключитесь к SRV2 под доменным администра-
тором:
Система сообщит нам, что подключение незащищенно. Игнорируем данное сообще-

ние и нажимаем Connect:
410
Система сообщит нам, что запись создана. Заканчиваем процедуру подключения:
Подключившись к серверу, создайте новую web-страницу и заполните её так, как на

скриншоте.
Создаем в ней новый веб-сайт:
411
Заполняем форму создания сайта.
В поле Site name прописывается наименование сайта.
В поле Physical Path указывается путь до корневой директории сайта. Он прописыва-
ется вручную.
О Pass-through authentication можно узнать в статье в дополнительной информации.
У нас не используется сквозная аутентификация.
В блоке Binding:
1) Type — тип протокола прикладного уровня, обеспечивающий доступ к сайту: либо
HTTP (незащищенное подключение), либо HTTPS (защищенное подключение). Сейчас
сформируем сайт для http;
2) IP-address — прописываем IP-адрес для подключения. Если данный параметр не
настраивать, то сайт будет доступен только по доменному имени;
3) Host name — доменное имя сайта, по которому сайт будет доступен.
412
Создадим также запись для сайта под именем spb.wse.
Должно быть так:
Создадим сертификат для обеспечения работоспособности сайта www.spb.wse по про-

токолу HTTPS с помощью DCA.
Переходим на виртуальную машину DCA.
Нажимаем Win + R:
413
В появившемся окне нажимаем Ctrl + M:
414
415
416
417
418
419
420
421
422
423
Сетевой путь — \\srv2.spb.wse\c$:
Заходим на SRV2 под доменным администратором:
424
Назовем сертификат SPB1:
425
Переходим на виртуальную машину SRV2:
1) переходим на диск С — cd C:\;
2) вводим команду certutil -importpfx spb1.pfx;
3) пароль 1:
После этого возвращаемся на DC2, чтобы настроить IIS на SRV2:
426
427
После создания первой записи www.spb.wse по протоколу HTTPS создайте еще одну
для spb.wse:
428
Сайт настроен!
Как настроить свой первый веб-узел IIS: https://support.microsoft.com/ru-ru/help/
323972/how-to-set-up-your-first-iis-web-site.
3.4.22. Настройка CLI2. Базовая настройка

1. Переименуйте компьютер в CLI2.
3. Подсоедините компьютер к домену SPB.wse.
Задание 1
Запретите использование спящего режима таким образом, чтобы пользователи
домена не могли изменить эту настройку без участия администратора домена.
Пункт про спящий режим выполняется по аналогии с CLI1 через GPO.
В ней идем по пути Computer Configuration → Policies → Administrative Templates →
System → Power Management → Sleep Settings:
429
Переводим две этих политики в режим Disabled:
Переходим на виртуальную машину CLI2, заходим под пользователем User1.
Вводим команду gpupdate /force:
Нажимаем на кнопку выключения ПК и видим, что режим «Sleep» пропал:

430
Диаграмма виртуальной сети
431
4. ЗАДАНИЕ И ОПИСАНИЕ
МОДУЛЯ С «ПУСКО-НАЛАДКА
ТЕЛЕКОММУНИКАЦИОННОГО ОБОРУДОВАНИЯ»
https://drive.google.com/file/d/1Phq1llJ8GcFFe-WObiX6wkVtWMvDx712/view?usp=sharing.
4.1. Описание экзаменационного задания

Данное экзаменационное задание разработано с учетом различных сетевых техноло-
гий, соответствующих уровням сертификации CCNA R\S. Задание разбито на следующие
секции:
● базовая настройка;
● настройка коммутации;
● настройка подключений к глобальным сетям;
● настройка маршрутизации;
● настройка служб;
● настройка механизмов безопасности;
● настройка параметров мониторинга и резервного копирования;
● конфигурация виртуальных частных сетей.
Все секции являются независимыми друг от друга, но вместе образуют достаточно
сложную сетевую инфраструктуру. Некоторые задания достаточно просты и понятны, неко-
торые могут быть неочевидными. Можно заметить, что некоторые технологии должны рабо-
тать в связке или поверх других технологий. Например, может подразумеваться, что IPv6-
маршрутизация должна работать поверх настроенной виртуальной частной сети, которая, в
свою очередь, должна работать поверх IPv4-маршрутизации, которая, в свою очередь, долж-
на работать поверх PPPoE и Multilink и т. д. Очень важно понимать, что если вам не удается
решить какую-либо из задач по середине такого технологического стека, это не значит, что
решенные задачи не будут оценены. Например, если вы не можете настроить динамическую
маршрутизацию IPv4, которая необходима для работы виртуальной частной сети, вы можете
использовать статическую маршрутизацию и продолжать работу над настройкой виртуаль-
ной частной сети и всем, что должно работать поверх нее. В этом случае вы не получите бал-
лы за динамическую маршрутизацию, но получите баллы за всё, что должно работать поверх
нее (в случае если функциональные тесты пройдены успешно).

В первую очередь необходимо прочитать задание полностью и составить алго-
ритм выполнения работы. Вам предстоит вносить изменения в действующую, преднастро-
енную сетевую инфраструктуру предприятия, состоящую из головного офиса HQ и удален-
ного офиса BR1. Офисы имеют связь через провайдеров ISP1 и ISP2. Вы не имеете доступа к
оборудованию провайдеров, оно полностью настроено и не требует дополнительного конфи-
гурирования. Вам необходимо настраивать оборудование предприятия, а именно: SW1, SW2,
SW3, HQ1, FW1 и BR1.
У вас отсутствует консольный доступ к устройствам, будьте очень внимательны
при выполнении задания! В случае потери связи с оборудованием вы будете виноваты са-
432
ми. Разрешается перезагрузка оборудования только техническими экспертами. Например,
применили неправильный ACL, который закрыл доступ по telnet, но вы не успели сохранить
конфигурацию.
Руководствуйтесь пословицей: семь раз отмерь, один раз отрежь. Для выполнения
задания у вас есть одна физическая машина (PC1 с доступом по Telnet и установленным
ASDM), которую вы должны использовать в качестве:
1) PC2 — виртуальный ПК, Windows 10, Putty. Пользователь User пароль P@ssw0rd;
2) SRV1 — виртуальный ПК, Debian, пользователь root, пароль toor, с предустанов-
ленными сервисами:
— SysLog — папка для проверки /Cisco_Log;
— RADIUS — FreeRadius;
— SNMP — для проверки используется пакет Net-SNMP, используйте команду
snmp_test;
— NTP;
— TFTP — папка для проверки /Cisco_TFTP.
Следует обратить внимание, что задание составлено не в хронологическом порядке.
Некоторые секции могут потребовать действий из других секций, которые изложены ниже.
Например, задание 3 в секции «Настройка служб» предписывает вам настроить службу про-
токола автоматической конфигурации хостов, которая, разумеется, не будет работать, пока
не будут выполнены необходимые настройки в секции «Конфигурация коммутации». На вас
возлагается ответственность за распределение своего рабочего времени.
Не тратьте время, если у вас возникли проблемы с некоторыми заданиями. Вы можете
использовать временные решения (если у вас есть зависимости в технологическом стеке) и
продолжить выполнение других задач. Рекомендуется тщательно проверять результаты
своей работы.
Убедитесь в том, что ваши настройки на всех устройствах функционируют после пе-
резагрузки всего оборудования.
4.3. Оборудование, приборы, ПО и материалы

Для первоначального подключения используйте протокол Telnet. Для подключения к
FW1 используете учетную запись с логином cisco и паролем cisco, для входа в привилегиро-
ванный режим используйте пароль cisco. Для подключения к остальным сетевым устрой-
ствам используйте пароль cisco и пароль для привилегированного режима cisco.
Для подключения к устройствам в главном офисе HQ, подключите рабочую станцию
к порту F0/10 коммутатора SW2 и настройте адрес в соответствии с диаграммой L3, устрой-
ства доступны по следующим адресам:
SW1 — 192.168.254.10;
SW2 — 192.168.254.20;
SW3 — 192.168.254.30;
HQ1 — 192.168.254.1;
FW1 — 192.168.254.2;
BR1 — 192.168.254.3.

Оценка осуществляется по SSH или Telnet с устройства PC1. Проверочная группа не
осуществляет перекоммутацию на стенде, поэтому будьте предельно внимательны, перед
завершением выполнения экзаменационного задания и верните коммутацию в исходное со-
стояние. А также убедитесь, что устройства доступны по следующим адресам, по SSH или
Telnet с учетными записями соответствующим экзаменационному заданию:
SW1 — 10.100.100.10 или 192.168.254.10;
433
SW2 — 10.100.100.20 или 192.168.254.20;
SW3 — 10.100.100.30 или 192.168.254.30;
HQ1 — 30.78.21.1 или 192.168.254.1;
FW1 — 30.78.87.2 или 192.168.254.2;
BR1 — 172.16.3.3 или 172.16.1.2 или 3.3.3.3 или 192.168.254.3.
4.5. Описание алгоритма выполнения задания модуля C

4.5.1. Базовая настройка
Основные команды:
enable — войти в привилегированный режим. Вся настройка делается в нем.
— непривилегированный режим.
— привилегированный режим.
conf t — войти в режим конфигурирования. В этом режиме происходят изменения
конфигурации.
? — узнать команду или продолжение команды.
Задание 1
Задайте имя всех устройств в соответствии с топологией.
hostname <Имя>,
где <Имя> — имя устройства.
Изначально имя устройства либо Switch — если это коммутатор, либо Router — это
маршрутизатор, либо ciscoasa — межсетевой экран.
Обратить внимание на имя устройства:
Работа с командой hostname: https://www.cisco.com/c/m/en_us/techdoc/dc/reference/
cli/nxos/commands/fund/hostname.html.
Задание 2
Назначьте для всех устройств доменное имя worldskills.ru.
— На роутерах и коммутаторах:
ip domain-name worldskills.ru
— На межсетевом экране:
domain-name worldskills.ru
434
sh run | s domain name
sh run domain-name
Работа с командой domain-name: https://www.cisco.com/c/m/en_us/techdoc/dc/reference/
cli/n5k/commands/ip-domain-name.html.
Задание 3
Создайте на всех устройствах пользователей wsruser с паролем network.
1. Пароль пользователя должен храниться в конфигурации в виде результата хэш-
функции.
2. Пользователь должен обладать максимальным уровнем привилегий.
— На роутере и коммутаторе:
username wsruser privilege 15 secret network
username wsruser password network priv 15
sh run | s user
sh run username
Работа с командой username: https://www.cisco.com/E-Learning/bulk/public/tac/cim/cib/
using_cisco_ios_software/cmdrefs/username.htm.
Задание 4
На всех устройствах установите пароль wsr на вход в привилегированный ре-
жим.
Пароль должен храниться в конфигурации в виде результата хэш-функции.
enable password wsr
disable
При правильной настройке при входе должно запросить пароль:
435
Факты по шифрованию паролей в Cisco IOS: https://www.cisco.com/c/en/us/support/
docs/security-vpn/remote-authentication-dial-user-service-radius/107614-64.html.
Задание 5
Настройте режим, при котором все пароли в конфигурации хранятся в зашиф-
рованном виде. На FW1 используйте шифрование AES.
password encryption aes
service password-encryption
sh run | s service
sh run | grep aes
Конфигурирование шифрования паролей: https://www.cisco.com/c/en/us/td/docs/
switches/datacenter/sw/5_x/nx-os/security/configuration/guide/b_Cisco_Nexus_7000_NX-
OS_Security_Configuration_Guide__Release_5-x/b_Cisco_Nexus_7000_NX-
OS_Security_Configuration_Guide__Release_5-x_chapter_010101.pdf.
Задание 6
Для всех устройств реализуйте модель AAA.
1. Аутентификация на линиях виртуальных терминалов с 0 по 15 должна произво-
диться с использованием локальной базы учётных записей (кроме маршрутизатора HQ1).
2. После успешной аутентификации при удаленном подключении пользователи сразу
должны получать права, соответствующие их уровню привилегий или роли (кроме межсете-
вого экрана FW1).
3. Настройте необходимость аутентификации на локальной консоли.
4. При успешной аутентификации на локальной консоли пользователи должны сразу
получать права, соответствующие их уровню привилегий или роли.
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization console
— Настройка на FW1:
FW1(config)# aaa authentication enable console LOCAL
FW1(config)# aaa authentication ssh console LOCAL
FW1(config)# aaa authentication telnet console LOCAL
FW1(config)# aaa authorization exec LOCAL
436
Попытайтесь подключиться удалённо к какому-либо устройству для проверки.
В примере ниже происходит подключение к адресу 192.168.254.30 — SW3:
Если система запрашивает логин и пароль — все почти правильно! Вводим данные:
Видим, что мы сразу попали в привилегированный режим, — пункт задания выпол-

нен!
Что такое ААА и как его настроить правильно?: https://www.cisco.com/c/en/us/td/docs/
switches/datacenter/nexus9000/sw/6-x/security/configuration/guide/b_Cisco_Nexus_9000_
Series_NX-OS_Security_Configuration_Guide/b_Cisco_Nexus_9000_Series_NX-
OS_Security_Configuration_Guide_chapter_0111.html.
Задание 7
На устройствах, к которым разрешен доступ, в соответствии с топологиями L2 и
L3, создайте виртуальные интерфейсы, подинтерфейсы и интерфейсы типа петля,
назначьте IP-адреса.
Обращаем внимание на топологию L3. Рассмотрим пример настройки на офисе HQ —

нижняя часть топологии. У нас есть VLAN 100 — MGT, где находятся коммутаторы, VLAN
200 — DATA, где находится наш сервер, и VLAN 300 — OFFICE, где единственный компь-
ютер офиса. Для того чтобы все эти сети уживались вместе и имели друг к другу доступ,
необходимо настроить маршрутизацию между различными VLAN в одной сети.
437
На HQ:
show ip int br
Данной командой выводится краткая справка о наименовании сетевого интерфейса

роутера, его IP-адрес, статус работы и т. д.
Можно увидеть, что работает только один интерфейс — GigabitEthernet0/1 — тот ин-
терфейс, который подключен в нижний офис.
Теперь нужно создать для каждого VLAN в нижней сети свой подинтерфейс.
Пример настройки подинтерфейса для VLAN 100:
HQ(config)# int g 0/1.100
HQ(config-subif)# encapsulation dot1Q 100
HQ(config-subif)# ip address 10.100.100.1 255.255.255.0
1. int g 0/1.100 — создание подинтерфейса (фундаментально он держится на int
GigabitEthernet 0/1);
2. encapsulation dot1q 100 — указание типа инкапсуляции — значение с каким VLAN
он будет работать. Для удобства рекомендуется: номер подинтерфейса и номер VLAN, где
подинтерфейс будет работать, выставлять одинаковым — так проще ориентироваться в сети
и искать проблемы!;
3. ip address 10.100.100.1 255.255.255.0 — установка подинтерфейсу IP-адреса, как в
топологии.
438
По такому принципу нужно задать подинтерфейсы для каждого VLAN в сети HQ:
HQ(config-subif)# exit
Обратите внимание, что для VLAN 300 используется IPv4 адрес + IPv6. Нужно ввести
сразу оба адреса на подинтерфейс:
HQ(config-subif)# ipv6 address 2001:A:B:DEAD::1/64
По заданию также необходимо создать петлевой интерфейс на роутере HQ:
HQ(config)# int loopback 0
HQ(config-subif)# ipv6 address 2001:A:B:1::1/64
Настройка HQ для нижнего офиса выполнена, теперь нужно настроить соединение
между HQ и межсетевым экраном FW1.
FW1 — это ASA 5505, порты данного устройства коммутируемые, а значит, она по
логике работы чем-то напоминает коммутатор. У данного устройства нельзя настроить IP-
адрес на сетевой интерфейс, но можно создать VLAN, где уже можно назначить IP-адрес.
Для работы с ASA в данной сети используется VLAN 20.
439
1. По умолчанию порты на роутере отключены. Переходим на интерфейс G 0/0 и
включаем его:
HQ(config)# int g 0/0
HQ(config-subif)# no sh
2. Далее переходим на подинтерфейс для VLAN 20:
HQ(config-subif)# ip address 2001:3::1/64
3. Создаем на FW VLAN 20 для настройки соединения между двумя устройствами:
FW(config)# int vlan 20
FW(config-subif)# ip address 30.78.87.2 255.255.255.248
FW(config-subif)# ip address 2001:A:B:DEAD::1/64
FW(config-subif)# security-level 100
FW(config-subif)# exit
FW(config)# same-security-traffic permit inter-inerface
FW(config)# same-security-traffic permit intra-inerface
Разбор команд:
1) создали VLAN 20 на FW;
2) дали ему имя — для ASA критически важно все интерфейсы наделять именами, так
как у неё объектная логика работы;
3) следующими командами задали IPv4 и IPv6 адреса;
4) указали уровень безопасности интерфейса — 100 (означает, что данный интерфейс
максимально доверенный и надежный);
5) по заданию нам не требуется производить жесткую и правильную настройку меж-
сетевого экрана. Для выполнения задания мы отключим некоторую встроенную политику
безопасности на ASA. Делать так на работе нежелательно.
4. Далее идем на интерфейс ASA, который у нас подключен к роутеру HQ.
440
В сторону роутера HQ необходимо настроить интерфейс в режиме TRUNK:
FW(config)# int e 0/2
FW(config-if)# switchport mode trunk
FW(config-if)# switchport trunk allowed vlan 20 1
После этого соединение между HQ и ASA будет настроено.
Перейдем на устройство BR1, на данном этапе на роутере в офисе BR мы настроим
только Loopback интерфейс. Дальнейшую настройку будем проводить в ходе задания.
BR1(config)# int loopback1
BR1(config-if)# ip address 3.3.3.3 255.255.255.255
BR1(config-if)# ipv6 address 2001:A:B:3::1/64
На коммутаторах SW1, SW2, SW3 необходимо настроить IP-адреса в соответствии с
топологией.
В примере ниже показана настройка SW1. Она будет одинаковой для всех коммутато-
ров.
На данном этапе будет произведена настройка только SW1!
SW1(config)# int vlan 100
SW1(config-if)# ip address 10.100.100.10 255.255.255.0
441
show ip int br
— На ASA:
show int ip br
Пример, как на HQ:
Настройка маршрутизации между VLAN: https://www.cisco.com/c/en/us/support/docs/
lan-switching/inter-vlan-routing/14976-50.pdf?dtid=osscdc000283.
Задание 8
На маршрутизаторе HQ1 на виртуальных терминальных линиях с 0 по 15
настройте аутентификацию с использованием RADIUS-сервера.
1. Используйте на линиях vty с 0 по 15 отдельный список методов с названием
method_man.
2. Порядок аутентификации:
— по протоколу RADIUS;
— локальная.
3. Используйте общий ключ cisco.
4. Используйте номера портов 1812 и 1813 для аутентификации и учета соответственно.
5. Адрес RADIUS-сервера 172.16.20.20.
6. Настройте авторизацию при успешной аутентификации.
7. Проверьте аутентификацию по протоколу RADIUS при удаленном подключении к
маршрутизатору HQ1, используя учетную запись radius с паролем cisco.
Обратите внимание: данный пункт выполняется только после того, как у роутера
установится полная связность до SRV1. При попытке настроить данную технологию без
связности с SRV1 есть вероятность потерять время и доступ к устройству.
HQ1(config)# aaa new-model
HQ1(config)#radius server SRV1
HQ1(config-radius-server)#address ipv4 172.16.20.20 auth-port 1812 acct-port 1813
HQ1(config-radius-server)# key cisco
HQ1(config-radius-server)# exit
HQ1(config)#aaa group server radius method_man
HQ1(config-sg-radius)# server name SRV1
HQ1(config-sg-radius)# exit
HQ1(config)# aaa authentication login default group ACCESS local
HQ1(config)# aaa authorization exec default group ACCESS local
442
Проверка осуществляется попыткой зайти на устройство с логином radius и паролем
cisco.
Настройка RADIUS: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus
9000/sw/6-x/security/configuration/guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_
Configuration_Guide/b_Cisco_Nexus_9000_Series_NX-OS_Security_Configuration_Guide_
chapter_011.html.
Задание 9
Все устройства должны быть доступны для управления по протоколу SSH вер-
сии 2.
crypto key generate rsa modulus 1024
ip ssh ver 2
line vty 0 15
transport input all
— На межсетевом экране.
1) crypto key generate rsa modulus 1024 — создание пары ключей для SSH — размер
ключа 1024 бита;
2) ip ssh ver 2 — включение SSH версии 2;
3) line vty 0 15 — переход на терминальные линии устройства;
4) transport input all — разрешение на подключение любым способ (и telnet, и ssh).
Настройка SSH на маршрутизаторах и коммутаторах с программным обеспечением Cisco
IOS: https://www.cisco.com/c/ru_ru/support/docs/security-vpn/secure-shell-ssh/4145-ssh.html.
Настройка коммутации
Задание 10
Настройте агрегирование каналов связи между коммутаторами.
1. Номера портовых групп:
1 — между коммутаторами SW1 (F0/5-6) и SW2 (F0/5-6);
2 — между коммутаторами SW1 (F0/3-4) и SW3 (F0/3-4).
2. Агрегированный канал между SW1 и SW2 должен быть организован с использова-
нием протокола согласования LACP. SW1 должен быть настроен в активном режиме, SW2 в
пассивном.
3. Агрегированный канал между SW1 и SW3 должен быть организован с использова-
нием протокола согласования PAgP. SW1 должен быть настроен в предпочтительном, SW3 в
автоматическом.
— Настройка на SW1:
SW1(config)# int range f 0/5-6
SW1(config-if-range)# channel-group 1 mode active
SW1(config-if-range)# channel-group 2 mode desirable
SW2(config-if-range)# channel-group 2 mode passive
SW3(config-if-range)# channel-group 2 mode auto
443
SW1(config)# do sh etherchannel sum
Если рядом с портами буква P — все хорошо! Проверить это нужно на всех коммута-
торах. На примере приведен вывод с SW1.
Пример конфигурации канала EtherChannel между коммутатором Cisco Catalyst с
Cisco IOS: https://www.cisco.com/c/ru_ru/support/docs/lan-switching/etherchannel/98469-ios-
etherchannel.html.
Задание 11
Между всеми коммутаторами настройте транки с использованием протокола
IEEE 802.1q.
1. Порты F0/10 коммутаторов SW2 и SW3, а также порт F0/1 коммутатора SW1 долж-
ны работать без использования согласования. Отключите протокол DTP явным образом.
2. Транк между коммутаторами SW2 и SW3 должен быть настроен без использования
согласования. Отключите протокол DTP явным образом.
3. Транки между коммутаторами SW1 и SW2, а также между SW1 и SW3 должны
быть согласованы по DTP, коммутатор SW1 должен инициировать создание транка, а ком-
мутаторы SW2 и SW3 должны ожидать начала согласования параметров от соседа, но сами
не инициировать согласование.
4. Для всех магистральных каналов назначьте native vlan 500.
5. Запретите пересылку по магистральным каналам все неиспользуемые VLAN, в том
числе VLAN1.
SW1(config)# int f 0/1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk native vlan 500
SW1(config-if)# switchport nonegotiate
SW1(config-if)# switchport trunk allowed vlan except 1
SW1(config-if)# exit
SW1(config)# int port-channel 1
SW1(config-if)# switchport mode dynamic desirable
SW1(config-if)# switchport mode dynamic desirable
444
SW2(config-if)# switchport mode dynamic auto
SW3(config-if)# switchport mode dynamic auto
Команда на всех коммутаторах одна:
sh int trunk
Вывод на SW1:
445
Настройка каналов типа trunk на коммутаторах Cisco: https://community.cisco.
com/t5/%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%
D0%B0%D1%86%D0%B8%D1%8F-%D0%B8-%D0%BA%D0%BE%D0%BC%D0%BC%
D1%83%D1%82%D0%B0%D1%86%D0%B8%D1%8F/%D0%BD%D0%B0%D1%81%D1%82%
D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%BA%D0%B0%D0%BD%D0%B0%D0%
BB%D0%BE%D0%B2-%D1%82%D0%B8%D0%BF%D0%B0-trunk-%D0%BD%D0%B0-
%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%82%D0%BE%D1%
80%D0%B0%D1%85-cisco/ta-p/3126838.
Задание 12
Для централизованного конфигурирования VLAN в коммутируемой сети пред-
приятия используйте протокол VTP.
1. В качестве сервера VTP настройте SW1.
2. Коммутаторы SW2 и SW3 настройте в качестве VTP клиента.
3. Таблица VLAN должна содержать следующие сети:
— VLAN100 с именем Managemenet;
—VLAN200 с именем Servers;
— VLAN300 с именем Clients;
— VLAN500 с именем Native;
— VLAN600 с именем Unused.
— SW1.
Создание vlan:
Пример создания vlan 100. Аналогично для каждого.
SW1(config)# vlan 100
SW1(config-vlan)# name Management
SW1(config-vlan)# exit
Настройка SW1 в качестве VTP Server:
SW1(config)# vtp domain wsr
SW1(config)# vtp password wsr
SW1(config)# vtp version 2
SW1(config)# vtp mode server
— На SW2 и SW3.
Настройка VTP в качестве клиента:
SW2(config)# vtp domain wsr
SW2(config)# vtp password wsr
SW2(config)# vtp version 2
SW2(config)# vtp mode client
show vlan
Если в выводе видим VLAN, которые автоматически пришли на коммутатор, — все

хорошо!
446
После появления всех VLAN на коммутаторах следует назначение коммутаторам на
VLAN 100 их IP-адреса:
— SW1:
— SW2:
— SW3:
Общие сведения и настройка магистрального протокола VLAN (VTP): https://
www.cisco.com/c/ru_ru/support/docs/lan-switching/vtp/10558-21.html.
Задание 13
Конфигурация протокола остовного дерева.
1. Используйте протокол PVST.
2. Коммутатор SW1 должен являться корнем связующего дерева в сетях VLAN 100,
200 и 300, в случае отказа SW1, корнем должен стать коммутатор SW2.
3. Настройте порт F0/1 коммутатора SW1, таким образом, что при включении он сразу
переходил в состояние forwarding не дожидаясь пересчета остовного дерева.
SW1(config)# spanning-tree mode pvst
SW1(config)# spanning-tree vlan 100,200,300 root primary
SW1(config-if)# spanning-tree portfast trunk
SW2(config)# spanning-tree mode pvst
SW2(config)# spanning-tree vlan 100,200,300 root secondary
SW1(config)# do sh spanning-tree
Если видим такой вывод — все хорошо!
447
Подробнее о PVST и его настройку: https://www.cisco.com/c/ru_ru/support/docs/
switches/catalyst-6500-series-switches/72836-rapidpvst-mig-config.html" \l "PVST.
Задание 14
Настройте порты F0/10 коммутаторов SW2 и SW3 в соответствии с L2 диаграм-
мой. Порты должны быть настроены в режиме доступа.
Идем на L1 топологию и смотрим, какие порты подключены к PC1 и SRV1:
Изучив информацию на топологии, становится понятно, что на SW2 порт F 0/10 нуж-
но настроить в режиме доступа для VLAN 300. На SW3 порт f 0/10 в режиме доступа для
VLAN 200.
Настройка на SW2:
SW2(config-if)# switchport access vlan 300
Настройка на SW1:
448
SW1(config-if)# switchport access vlan 200
На SW3:
SW3(config)# do sh vlan
Если видим, что порт находится в нужном VLAN, — все хорошо!

Таким же образом можно проверить на SW2.
Создание сетей VLAN на коммутаторах Catalyst: https://www.cisco.com/c/ru_ru/support/
docs/lan-switching/vlan/10023-3.html.
Задание 15
Между HQ1 и FW1 настройте взаимодействие по протоколу IEEE 802.1Q.
Тут обратите внимание на порт, который назначен в сторону FW1:
Также на L3 топологии можно посмотреть, какой VLAN отвечает за настройку под-

ключения между HQ и FW:
449
— Настройка на HQ1.
Создание подинтерфейса для работы с FW по VLAN20:
HQ1(config)# int G0/0.20
HQ1(config-subif)# encaps dot1q 20
HQ1(config-subif)# ip address 30.78.87.1 255.255.255.248
HQ1(config-subif)# ipv6 address 2001:3::1/64
HQ1(config-subif)# exit
HQ1(config)# ipv6 unicast-routing
FW1(config)# int vlan 20 — создаем VLAN для работы с HQ по VLAN20
FW1(config-if)# nameif HQ
FW1(config-if)# secur 100
FW1(config-if)# ip address 30.78.87.2 255.255.255.248
FW1(config-if)# ipv6 address 2001:3::2/64
FW1(config-if)# int e 0/2
FW1(config-if)# switchport mode trunk
FW1(config-if)# switchport trunk allowed vlan 20
FW1(config-if)# switchport trunk native vlan 500
Для начала стоит проверить корректность настроек на FW1:
FW1(config)# sh route
В выводе должен отобразиться маршрут до сети:
FW1(config)# sh int ip br
В выводе должен отобразиться VLAN 20 и статус UP/UP:

FW1(config)# ping 30.78.87.1
Cisco ASA 5505 работа с интерфейсами: https://www.cisco.com/c/en/us/td/docs/security/
asa/asa72/configuration/guide/conf_gd/int5505.html.
Задание 16
Отключите интерфейс F0/24 коммутатора SW1 и E5 межсетевого экрана FW1, кото-
рые использовались для первоначального конфигурирования сетевой инфраструктуры офиса
HQ.
— На SW1:
SW1(config-if)# sh
— На FW1:
FW1(config)# int e 0/5
FW1(config-if)# sh
450
Задание 17
На всех устройствах отключите неиспользуемые порты. На всех коммутаторах,
неиспользуемые порты переведите во VLAN 600.
Обратите внимание на L1 топологию:
Необходимо отключить все порты, которые не имеют функционального применения в

сети.
Например, на SW1:
SW1(config)# int range f0/7-24
SW1(config-range)# sh
SW1(config-range)# switchport access vlan 600
Подобные же команды надо ввести на других коммутаторах, только будьте внима-
тельны.
SW1(config)# do sh ip int br
Настройка подключений к глобальным сетям

Задание 18
Подключение FW1 к ISP1 и ISP2 осуществляется с помощью IPoE, настройте ин-
терфейсы в соответствии с диаграммами L2 и L3.
1. Передача данных между FW1 и ISP1 осуществляется нетегированным трафиком.
2. Передача данных между FW1 и ISP2 осуществляется тегированным трафиком с ис-
пользованием VLAN 901.
451
FW(config-if)# nameif ISP1
FW(config-if)# ip address 100.45.10.2 255.255.255.252
FW(config-if)# exit
FW(config-if)# switchport access vlan 222
FW(config-if)# nameif ISP2
FW(config-if)# ip address 22.84.4.6 255.255.255.252
FW(config-if)# exit
FW(config-if)# switchport mode trunk
FW(config-if)# switchport trunk allowed vlan 901
C FW1 отправить ping-запрос на адрес ISP1 и на ISP2:
:
Настройка интерфейсов на Cisco ASA 5505: https://www.cisco.com/c/en/us/td/docs/
security/asa/asa72/configuration/guide/conf_gd/int5505.html.
Задание 19
ISP3 предоставляет L2 VPN между офисами HQ и BR1.
1. Настройте передачу между HQ1, FW1 и BR1 тегированного трафика.
2. Взаимодействие должно осуществляться по VLAN 10.
Настройка HQ1
HQ1(config)# int g0/0.10
HQ1(config-subif)# encapsulation dot1q 10
HQ1(config-subif)# ip address 172.16.3.1 255.255.255.0
HQ1(config-subif)# ipv6 address 2001:4::1/64
FW1(config)# int vlan 10
FW1(config-if)# nameif L2_VPN
FW1(config-if)# security-level 100
FW1(config-if)# ip address 172.16.3.2 255.255.255.0
FW1(config-if)# ipv6 address 2001:4::2/64
FW1(config-if)# int e0/2
FW1(config-if)# switchport mode trunk
FW1(config-if)# switchport trunk allowed vlan 10 20
FW1(config-if)# int e 0/4
FW1(config-if)#switchport mode trunk
FW1(config-if)#switchport trunk allowed vlan 20
Настройка на BR1:
BR1(config)# int g0/0.10
BR1(config-subif)# encapsulation dot1q 10
BR1(config-subif)# ip address 172.16.3.3 255.255.255.0
BR1(config-subif)# ipv6 address 2001:4::3/64
452
HQ1(config)# do ping 172.16.3.3
BR1(config)# do ping 172.16.3.1
BR1(config)# do ping 172.16.3.2
Подробнее про L2 VPN: https://www.cisco.com/c/en/us/td/docs/iosxr/ncs5500/vpn/61x/b-
ncs5500-l2vpn-configuration-guide-61x/b-ncs5500-l2vpn-configuration-guide-60x_chapter_01.html.
Задание 20
Настройте подключение BR1 к провайдеру ISP1 с помощью протокола PPP.
1. Настройте Multilink PPP с использованием двух Serial-интерфейсов.
2. Используйте 1 номер интерфейса.
3. Не используйте аутентификацию.
4. BR1 должен автоматически получать адрес от ISP1.
BR1(config)# int Multilink 1
BR1(config-if)# ip address negotiated
BR1(config-if)# ppp multilink group 1
BR1(config-if)# int s 0/1/0
BR1(config-if)# encapsulation ppp
BR1(config-if)# int s 0/1/1
BR1(config-if)# encapsulation ppp
sh ip int br
Подробнее про Multilink PPP: https://www.cisco.com/c/en/us/td/docs/routers/asr920/
configuration/guide/mpls/mp-basic-xe-3s-asr920-book/mp-basic-xe-3s-asr903-book_chapter_0110.html.
Задание 21
Настройте подключение BR1 к провайдеру ISP2 с помощью протокола HDLC.
Router(config)# int s 0/2/1
Router(config-if)# ip address 22.84.4.2 255.255.255.252
Router(config-if)# encapsulation hdlc
ping 22.84.4.1
Подробнее про HDLC: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/network/3-
8/reference/guide/hdlc.html.
453
4.5.2. Настройка маршрутизации
ВАЖНО! При настройке протоколов динамической маршрутизации будьте предель-
но внимательны и анонсируйте подсети в соответствии с диаграммой маршрутизации,
иначе не получите баллы за протокол, в котором отсутствует необходимая подсеть, и за
тот протокол, в котором эта подсеть оказалась лишней.
Также стоит учесть, что провайдеры фильтруют маршруты полученные по BGP, ес-
ли они не соответствуют диаграмме маршрутизации.
Задание 1
В офисе HQ на устройствах HQ1 и FW1 настройте протокол динамической
маршрутизации OSPF.
1. Включите в обновления маршрутизации сети в соответствии с Routing-диаграммой.
2. HQ1 и FW1 между собой должны устанавливать соседство, только в сети
172.16.3.0/24.
3. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не
предусмотрено формирование соседства.
Задание 2
Настройте протокол динамической маршрутизации OSPF в офисе BR1 с глав-
ным офисом HQ.
2. Используйте магистральную область для GRE-туннелей.
3. Соседства между офисами HQ и BR1 должны устанавливаться, как через канал L2
VPN, так и через защищенный туннель.
4. Убедитесь в том, что при отказе выделенного L2 VPN, трафик между офисами бу-
дет передаваться через защищённый GRE-туннель.
5. Отключите отправку обновлений маршрутизации на всех интерфейсах, где не
предусмотрено формирование соседства.
Обращаем внимание на ROUTING-диаграмму:
— На FW:
FW(config)# router ospf 1
FW(config-router)# network 172.16.3.0 255.255.255.0 area 0
454
— На HQ:
HQ(config)# router ospf 1
HQ(config-router)# network 10.100.100.0 255.255.255.0 area 51
HQ(config-router)# passive-interface default
HQ(config-router)# no passive-interface tun1
HQ(config-router)# no passive-interface g0/0.10
— На BR1:
BR(config)# router ospf 1
BR(config-router)# network 172.16.3.0 255.255.255.0 area 0
BR(config-router)# passive-interface default
BR(config-router)# no passive-interface tun1
BR(config-router)# no passive-interface g0/0.10
— На BR1:
BR(config)# do ping 10.100.100.10
PING должен был пройти успешно.

BR(config)# do sh ip ospf nei
Должны увидеть «соседей» по BGP.

Руководство по проектированию OSPF: https://www.cisco.com/c/ru_ru/support/docs/ip/
open-shortest-path-first-ospf/7039-1.html.
Задание 3
Настройте протокол BGP в офисах HQ и BR1 для взаимодействия с провайдерами
ISP1 и ISP2.
1. На устройствах настройте протокол динамической маршрутизации BGP в соответ-
ствии с таблицей 6.
Таблица 6
BGP AS
Устройство AS
HQ1 65000
FW1 65000
ISP1 65001
ISP2 65002
BR1 65010
455
2. Настройте автономные системы в соответствии с Routing-диаграммой.
4. Маршрутизаторы HQ1 и FW1 должны быть связаны с помощью iBGP. Используйте
для этого соседства интерфейсы, которые находятся в подсети 30.78.87.0/29.
BR1(config)# router bgp 65010
BR1(config-router)# network 3.3.3.3 mask 255.255.255.255
BR1(config-router)# neighbor 22.84.4.1 remote-as 65002
BR1(config-router)# neighbor 100.45.5.1 remote-as 65001
Настройка на FW1:
FW1(config)# router bgp 65000
FW1(config-router)# address-family ipv4
FW1(config-router-af)# network 100.45.10.0 mask 255.255.255.252
FW1(config-router-af)# neighbor 100.45.10.1 remote-as 65001
FW1(config-router-af)# neighbor 30.78.87.1 activate
Настройка на HQ1:
HQ1(config)# router bgp 65000
HQ1(config-router)# network 1.1.1.1 mask 255.255.255.255
HQ1(config-router)# network 30.78.87.0 mask 255.255.255.248
HQ1(config-router)# neighbor 30.78.87.2 activate
Настройка BGP завершена.
Проверка на HQ1:
HQ1(config)# do sh bgp sum
456
Наблюдаем, что соседство установлено.
Проверка на FW1:
FW1(config)# sh bgp sum
Проверка на BR1:
BR1(config)# do sh bgp sum
Попробуйте также отправить ICMP-запрос с HQ1 на BR1 адрес loopback-интерфейса и

наоборот — если успешно, значит, BGP настроен верно.
Руководство по конфигурации BGP: https://www.cisco.com/c/ru_ru/support/docs/ip/
border-gateway-protocol-bgp/17612-bgp.html.
Задание 4
Настройте протокол динамической маршрутизации EIGRP поверх защищенного
туннеля и выделенного канала L2 VPN между маршрутизаторами HQ1 и BR1.
2. Используйте номер автономной системы 6000.
BR1(config)# ipv6 unicast-routing
BR1(config)# ipv6 router eigrp 6000
457
После включения EIGRP IPv6 идем на каждый интерфейс, где присутствует IPv6-
адрес:
BR1(config)# int loopback 0 - интерфейс, который есть в топологии

BR1(config-if)# ipv6 eigrp 6000
BR1(config)# int loopback 10 - интерфейс для Virtual-Template
BR1(config-if)# int g0/0.10 - интерфейс L2_VPN
BR1(config-if)# int tun 1
Настройка на HQ1.
Смотрим интерфейсы, которые имеют IPv6 на HQ1:
458
HQ1(config)# ipv6 router eigrp 6000
HQ1(config)# int loopback 0
HQ1(config-if)# ipv6 eigrp 6000
HQ1(config)# int tun1
HQ1(config)# int vlan 300
Проверка на HQ1:
HQ1(config)# do sh ipv6 eigrp neighbors
Проверка на BR1:
BR1(config)# do sh ipv6 eigrp neighbors
Подробнее про EIGRP IPv6: https://www.cisco.com/c/en/us/support/docs/ip/enhanced-
interior-gateway-routing-protocol-eigrp/113267-eigrp-ipv6-00.html.
4.5.3. Настройка служб
Задание 1
В сетевой инфраструктуре сервером синхронизации времени является SRV1. Все
остальные сетевые устройства должны использовать его в качестве сервера времени.
1. Передача данных осуществляется без аутентификации.
2. Настройте временную зону с названием MSK, укажите разницу с UTC +3 часа.
3. Убедитесь, в том, что есть все необходимые маршруты, иначе проверить коррект-
ность настроенной трансляции портов будет невозможно.
На всех устройствах необходимо ввести две команды:
BR(config)# clock timezone MSK +3
BR(config)# ntp server 172.16.20.20
do sh ntp status
459
Подробнее про NTP: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/4_2/nx-
os/system_management/configuration/guide/sm_nx_os_cli/sm_3ntp.html.
Задание 2
Настройте протокол динамической конфигурации хостов со следующими харак-
теристиками:
1) на маршрутизаторе HQ1 для подсети OFFICE:
— адрес сети — 30.78.21.0/24;
— адрес шлюза по умолчанию интерфейс роутера HQ1;
— адрес TFTP-сервера 172.16.20.20;
2) компьютер PC1 должен получать адрес 30.78.21.10.
HQ(config)# ip dhcp pool
HQ(dhcp-config)# host 30.78.21.10 255.255.255.0
HQ(dhcp-config)# client-identifier 0000.0c29.9e27.df
HQ(dhcp-config)# default-router 30.78.21.1
HQ(dhcp-config)# option 150 ip 172.16.20.20
ip dhcp pool <NAME> — Создание пула. Можно выдать ему имя.
host 30.78.21.10 255.255.255.0 — адрес, который получит клиент.
client-identifier — если на Windows MAC-адрес 00-0c-29-9e-27-df, то в циске нужно
писать client-identifier 0100.0c29.9e27.df. Если бы это был Linux, то 0000.0c29.9e27.df.
default-router <IP> — шлюз по умолчанию.
option 150 ip 172.16.20.20 — TFTP-сервер.
Запросите с PC1 IP-адрес, если приходит — все прошло успешно.
ipconfig /renew
Подробнее про DHCP: https://www.cisco.com/en/US/docs/ios/12_4t/ip_addr/configuration/
guide/htdhcpsv.html.
Задание 3
В офисе BR1 используется аутентификация клиентов с помощью протокола
PPPoE. Для этого настройте сервер PPPoE на BR1.
1. Аутентификация PC2 на сервере PPPoE должна осуществляться по логину pc2user и
паролю pc2pass.
2. PC2 должен получать IP-адрес от PPPoE сервера автоматически.
BR(config)# int loopback 10
BR(config-if)# ip address 192.168.2.1 255.255.255.0
BR(config-if)# exit
460
BR(config)# ip local pool PC2 192.168.2.10
BR(config)# int virtual-templ 1
BR(config-if)# mtu 1492
BR(config-if)# encaps ppp
BR(config-if)# peer default ip addres pool PC2
BR(config-if)# ppp authe chap ms-chap ms-chap-v2
BR(config-if)# ip unnumbered loopback 10
BR(config)# bba-group pppoe global
BR(config-bba-group)# virtual-template 1
BR(config-bba-group)# exit
BR(config)# int g 0/1
BR(config-if)# pppoe enable group global
BR(config)# username pc2user password pc2pass
1. ip local pool <NAME> <ADDRES_FOR_CLIENT> — локальный пул адресов, кото-
рый будет использоваться для выдачи IP-адреса PC2.
2. int virtual-template 1 — создание виртуального шаблона.
3. ip unnumbered loopback 10 — IP-адрес, через loopback.
4. mtu 1492 — mtu, 8 байт уходит под служебную информацию PPP.
5. peer default ip address pool <NAME> — установка пула, с которым будет работать
сервер (имя должно совпадать с ранее созданным пулом).
6. ppp authentication chap ms-chap — метод аутентификации.
Зайдите на виртуальную машину PC2. Откройте Network Settings:
461
462
463
Спустя некоторое время произойдет подключение:
Справочник по PPP: https://www.cisco.com/c/ru_ru/tech/wan/point-to-point-protocol-
ppp/index.html.
4.5.4. Настройка механизмов безопасности
Задание 1
На маршрутизаторе BR1 настройте пользователей с ограниченными правами.
1. Создайте пользователей user1 и user2 с паролем cisco.
2. Назначьте пользователю user1 уровень привилегий 5. Пользователь должен иметь
возможность выполнять все команды пользовательского режима, выполнять перезагрузку, а
также включать и отключать отладку с помощью команд debug.
3. Создайте и назначьте view-контекст sh_view на пользователя user2:
— команду show cdp neighbor;
— все команды show ip *;
— команду ping;
— команду traceroute.
4. Убедитесь, что пользователи не могут выполнять другие команды в рамках присво-
енных контекстов и уровней привилегий.
Список команд на BR. Настройка view-контекста:
BR(config)# parser view sh_view — создание view-контекста.
BR(config-view)# secret cisco — Задание пароля. Это обязательно!
BR(config-view)# command exec include show cdp nei
BR(config-view)# command exec include all show ip
BR(config-view)# command exec include ping
BR(config-view)# command exec include traceroute
464
Список команд на BR. Настройка уровня привилегий 5:
BR(config)# privilege exec level 5 debug
BR(config)# privilege exec level 5 reload
BR(config)# privilege exec level 5 undebug
После настройки нужно создать пользователей, которые имеют уровень привилегий,
как требует задание:
BR(config)# username user1 privilege 5 password cisco
BR(config)# username user2 view sh_view password cisco
Проверка осуществляется попыткой подключения к самому себе и проверкой команд
на доступность:
Подробнее про Role-Based CLI Access: https://www.cisco.com/c/en/us/td/docs/ios-xml/
ios/sec_usr_cfg/configuration/15-e/sec-usr-cfg-15-e-book/sec-role-base-cli.html.
Задание 2
На порту F0/10 коммутатора SW2, включите и настройте Port Security со следу-
ющими параметрами:
1) не более двух адресов на интерфейсе;
2) адреса должны динамически определяться и сохраняться в конфигурации;
3) при попытке подключения устройства с адресом, нарушающим политику, на кон-
соль должно быть выведено уведомление, порт не должен быть отключен.
SW2(config)# int f0/10
SW2(config-if)# switchport port-security mac-address sticky
SW2(config-if)# switchport port-security maximum 2
SW2(config-if)# switchport port-security violation restrict
465
SW2(config)# do sh run int f0/10
Подробнее про Port-Security: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst
6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/port_security.pdf.
4.5.5. Настройка параметров мониторинга и резервного копирования
Задание 1
На маршрутизаторе HQ1 и межсетевом экране FW1 настройте журналирование си-
стемных сообщений на сервер SRV1, включая информационные сообщения.
— Настройка на HQ:
HQ(config)# logging 172.16.20.20
HQ(config)# logging trap informational
FW(config)# logging enable
FW(config)# logging trap informational
FW(config)# logging host ISP3_L2_VPN 172.16.20.20 format emblem
Перейти на виртуальную машину SRV1. Далее перейти в директорию /Cisco_Logs:
Если наблюдаете похожий результат — все правильно (логи могут появиться не сразу,
а спустя время).
Подробнее про логирование: https://www.cisco.com/c/en/us/td/docs/routers/access/wireless/
software/guide/SysMsgLogging.html.
Задание 2
На маршрутизаторе HQ1 и межсетевом экране FW1 настройте возможность уда-
ленного мониторинга по протоколу SNMP v3.
1. Задайте местоположение устройств MSK, Russia.
2. Задайте контакт admin@wsr.ru.
3. Используйте имя группы WSR.
4. Создайте профиль только для чтения с именем WSRCOMSTRING.
5. Используйте для защиты SNMP шифрование AES128 и аутентификацию SHA1.
6. Используйте имя пользователя: snmpuser и пароль: snmppass.
7. Для проверки вы можете использовать команду snmp_test на SRV1.
466
— Настройка на HQ.
Местоположение:
HQ(config)# snmp-server location MSK, Russia
Контакты:
HQ(config)# snmp-server contact admin@wsr.ru
Создание группы:
HQ(config)# snmp-server group WSR v3 priv
Создание профиля:
HQ(config)# snmp-server community WSRCOMSTRING ro
Создание пользователя:
HQ(config)# snmp-server snmpuser v3 auth sha snmppass priv aes 128 snmppass
FW(config)# snmp-server location MSK, Russia
FW(config)# snmp-server contact admin@wsr.ru
FW(config)# snmp-server group WSR v3 priv
FW(config)# snmp-server community WSRCOMSTRING ro
FW(config)# snmp-server snmpuser v3 auth sha snmppass priv aes 128 snmppass
FW(config)# snmp-server user snmpuser WSR v3 auth sha snmppass priv aes 128 snmppass
Разрешение доступа по SNMP с конкретного адреса:
FW(config)# snmp-server host HQ 172.16.20.20 community WSRCOMSTRING version 3 snm-
puser
Перейти на виртуальную машину SRV. В домашней папке пользователя root есть два
скрипта: snmp_test_HQ1.sh и snmp_test_FW1.sh
Запускаем скрипт ./snmp_test_FW1.sh:
Если видим такой результат, все правильно.
467
Запускаем скрипт ./snmp_test_HQ1.sh:
Если видим такой результат, все правильно.

Подробнее про SNMP: https://www.cisco.com/c/ru_ru/support/docs/ip/simple-network-
management-protocol-snmp/7282-12.html.
Задание 3
На маршрутизаторе HQ1 настройте резервное копирование конфигурации.
1. Резервная копия конфигурации должна сохраняться на сервер SRV1 по протоколу
TFTP при каждом сохранении конфигурации в памяти устройства.
2. Для названия файла резервной копии используйте шаблон <hostname>-<time>.cfg.
— Настройка на HQ1:
HQ1(config)# archive
HQ1(config-archive)# path tftp://172.16.20.10/$H-$t.cfg
HQ1(config-archive)# write-memory
HQ1(config)# do wr
Обратите внимание, что при сохранении конфигурации теперь у нас отображается ма-
ленький восклицательный знак.
Перейдем на виртуальную машину SRV1.
Переходим в директорию /Cisco_TFTP - cd /Cisco_TFTP:
Видим, что у нас в папке TFTP-сервера очень много сохраненных конфигураций

Подробнее про сохранение конфигураций: https://www.cisco.com/c/en/us/td/docs/ios-
xml/ios/config-mgmt/configuration/15-sy/config-mgmt-15-sy-book/cm-config-versioning.html.
4.5.6. Конфигурация частных виртуальных сетей
Задание 1
Между HQ1 и BR1 настройте GRE туннель со следующими параметрами.
1. Используйте в качестве VTI интерфейс Tunnel1.
2. Используйте адресацию в соответствии с L3-диаграммой.
3. Режим — GRE Point-To-Point.
468
4. Интерфейс-источник — Loopback-интерфейс на каждом маршрутизаторе.
5. Обеспечьте работу туннеля с обеих сторон через провайдера ISP1.
— Настройка на BR:
BR(config)# int tun 1
BR(config-if)# ip address 172.16.1.2 255.255.255.0
BR(config-if)# tunnel source 1.1.1.1
BR(config-if)# tunnel destination 3.3.3.3
BR(config-if)# no sh
HQ(config)# int tun 1
HQ(config-if)# ip address 172.16.1.1 255.255.255.0
HQ(config-if)# tunnel source 3.3.3.3
HQ(config-if)# tunnel destination 1.1.1.1
HQ(config-if)# no sh
HQ(config)# do ping 172.16.1.2
Подробнее про GRE: https://community.cisco.com/t5/%D0%B1%D0%B5%D0%B7%
D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C-
%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B-
security/%D0%BA%D0%B0%D0%BA-%D0%BD%D0%B0%D1%81%D1%82%D1%80%
D0%BE%D0%B8%D1%82%D1%8C-gre-%D1%82%D1%83%D0%BD%D0%BD%D0%B5%
D0%BB%D1%8C/ta-p/3145690.
Задание 2
Защита туннеля должна обеспечиваться с помощью IPsec между BR1 и FW1.
1. Обеспечьте шифрование только GRE-трафика.
2. Используйте аутентификацию по общему ключу.
3. Параметры первой фазы:
— аутентификация по общему ключу networksupersecretkey;
— группа DH 5;
— проверка подлинности SHA;
— шифрование 3DES.
4. Параметры второй фазы произвольные.
— Настройка на BR:
BR(config)# crypto isakmp policy 1
BR(config-isakmp)# hash sha256
BR(config-isakmp)# encryption 3des
BR(config-isakmp)# authentication pre-share
469
BR(config-isakmp)# group 5
BR(config)# crypto isakmp key networksupersecretkey address 1.1.1.1
BR(config)# crypto ipsec transform-set vpn esp-3des esp-sha256-hmac
BR(cfg-crypto-trans)# mode tunnel
BR(config)# crypto ipsec profile vpnp
BR(ipsec-profile)# set transform-set vpn
BR(config)# int tun 1
BR(config-if)# tunnel protection ipsec profile vpnp
BR(config-if)# end
HQ(config)# crypto isakmp policy 1
HQ(config-isakmp)# hash sha256
HQ(config-isakmp)# encryption 3des
HQ(config-isakmp)# authentication pre-share
HQ(config-isakmp)# group 5
HQ(config)# crypto isakmp key networksupersecretkey address 3.3.3.3
HQ(config)# crypto ipsec transform-set vpn esp-3des esp-sha256-hmac
HQ(cfg-crypto-trans)# mode tunnel
HQ(config)# crypto ipsec profile vpnp
HQ(ipsec-profile)# set transform-set vpn
HQ(config)# int tun 1
HQ(config-if)# tunnel protection ipsec profile vpnp
HQ(config-if)#end
BR1(config)# do sh crypto session
HQ1(config)# do sh crypto session
Также проверьте, что трафик в этом соединении может перемещаться:

HQ(config)# do ping 172.16.1.2
470
Настройка IPSEC: https://www.cisco.com/c/ru_ru/support/docs/routers/1700-series-
modular-access-routers/71462-rtr-l2l-ipsec-split.html.
Топология L1
471
472
473
ROUTING-диаграмма
474
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1. Федеральный закон «Об образовании в Российской Федерации» № 273-ФЗ от 29 де-
кабря 2012 г. (с изм. от 06.03.2019 № 17-ФЗ).
2. Федеральный государственный образовательный стандарт среднего профессио-
нального образования по профессии 09.01.02 «Наладчик компьютерных сетей», утвержден-
ный приказом от 2 августа 2013 г. № 853 Министерства образования и науки Российской Фе-
дерации.
нального образования по специальности 09.02.02 «Компьютерные сети», утвержденный при-
казом от 28 июля 2014 г. № 803 Министерства образования и науки Российской Федерации.
нального образования по специальности 09.02.06 «Сетевое и системное администрирова-
ние», утвержденный приказом от 9 декабря 2016 г. № 1548 Министерства образования и
науки Российской Федерации.
нального образования по специальности 09.02.07 «Информационные системы и программи-
рование», утвержденный приказом от 9 декабря 2016 г. № 1547 Министерства образования и
науки Российской Федерации.
нального образования по специальности 10.02.02 «Информационная безопасность телеком-
муникационных систем», утвержденный приказом от 13 августа 2014 г. № 1000 Министер-
ства образования и науки Российской Федерации.
нального образования по специальности 10.02.03 «Информационная безопасность автомати-
зированных систем», утвержденный приказом от 28 июля 2014 г. № 806 Министерства обра-
зования и науки Российской Федерации.
сти телекоммуникационных систем», утвержденный приказом от 9 декабря 2016 г. № 1551
Министерства образования и науки Российской Федерации.
сти автоматизированных систем», утвержденный приказом от 9 декабря 2016 г. № 1553 Ми-
нистерства образования и науки Российской Федерации.
10. Приказ Министерства образования и науки Российской Федерации от 16 августа
2013 г. № 968 «Об утверждении порядка проведения государственной итоговой аттестации
по образовательным программам среднего профессионального образования» от 17.11.2017
№ 1138 «О внесении изменений в порядок проведения государственной итоговой аттестации
по образовательным программам среднего профессионального образования», утвержденный
приказом Министерства образования и науки Российской Федерации от 16.08.2013 № 968.
11. Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы“ (Ворлдскиллс Россия)» от 29 октября 2018 г. № 29.10.2018-1
«Об утверждении перечня компетенций ВСР».
12. Приказ Союза «Агентство развития профессиональных сообществ и рабочих кад-
ров „Молодые профессионалы“ (Ворлдскиллс Россия)» от 31 января 2019 г. № 31.01.2019-1
«Об утверждении Методики организации и проведения демонстрационного экзамена по
стандартам Ворлдскиллс Россия».
13. Методические рекомендации о проведении аттестации с использованием демон-
страционного экзамена, утвержденные распоряжением Министерства просвещения Россий-
ской Федерации от 1 апреля 2019 г. № Р-42.
14. Комплект оценочной документации № 1.1 для демонстрационного экзамена по
стандартам Ворлдскиллс Россия по компетенции № 39 «Сетевое и системное администриро-
вание».
475
ОГЛАВЛЕНИЕ
Предисловие ...................................................................................................................................... 3
1. Форма участия — индивидуальная.......................................................................................... 5
1.1. Задание................................................................................................................................ 5
1.2. Модули задания и необходимое время............................................................................ 5
2. Задание и описание модуля А «Пуско-наладка инфраструктуры
на основе OC семейства Linux» ..................................................................................................... 6
2.1. Описание экзаменационного задания .............................................................................. 6
2.2. Инструкции для участника ............................................................................................... 6
2.3. Оборудование, приборы, ПО и материалы ..................................................................... 7
2.4. Схема оценки ..................................................................................................................... 7
2.5. Описание алгоритма выполнения задания модуля А..................................................... 8
2.5.1. Предварительная настройка ................................................................................... 8
2.5.2. Конфигурация хостов............................................................................................ 16
2.5.3. Конфигурация сетевой инфраструктуры ............................................................ 24
2.5.4. Службы централизованного управления и журналирования............................ 44
2.5.5. Конфигурация служб удаленного доступа ......................................................... 49
2.5.6. Конфигурация веб-служб ..................................................................................... 58
2.5.7. Конфигурация служб хранения данных .............................................................. 59
2.5.8. Конфигурация параметров безопасности и служб аутентификации................ 62
3. Задание и описание модуля B «Пуско-наладка инфраструктуры
на основе OC семейства Windows» ............................................................................................. 64
3.1. Инструкции для участника ............................................................................................. 64
3.2. Схема оценки ................................................................................................................... 64
3.3. Оборудование, ПО, приборы и материалы ................................................................... 65
3.4. Описание алгоритма выполнения задания модуля B ................................................... 65
3.4.1. Настройка DC1. Базовая настройка ..................................................................... 65
3.4.2. Active Directory ...................................................................................................... 74
3.4.3. DHCP ...................................................................................................................... 87
3.4.4. DNS ....................................................................................................................... 110
3.4.5. Элементы доменной инфраструктуры .............................................................. 118
3.4.6. GPO ....................................................................................................................... 130
3.4.7. Настройка SRV1 .................................................................................................. 176
3.4.8. DHCP .................................................................................................................... 194
3.4.9. DNS ....................................................................................................................... 202
3.4.10. Общие папки ...................................................................................................... 203
3.4.11. Квоты. Файловые экраны ................................................................................. 246
3.4.12. IIS ........................................................................................................................ 255
3.4.13. Настройка DCA.................................................................................................. 270
3.4.14. Настройка CLI1. Базовая настройка ................................................................ 326
3.4.15. Настройка DC2 .................................................................................................. 329
3.4.16. DHCP .................................................................................................................. 347
3.4.17. DNS ..................................................................................................................... 356
3.4.18. Элементы доменной инфраструктуры ............................................................ 360
3.4.19. Настройка R2 ..................................................................................................... 374
476
3.4.20. GPO ..................................................................................................................... 386
3.4.21. Настройка SRV2 ................................................................................................ 404
3.4.22. Настройка CLI2. Базовая настройка ................................................................ 429
4. Задание и описание модуля С «Пуско-наладка
телекоммуникационного оборудования» ................................................................................ 432
4.1. Описание экзаменационного задания .......................................................................... 432
4.2. Инструкции для участника ........................................................................................... 432
4.3. Оборудование, приборы, ПО и материалы ................................................................. 433
4.4. Схема оценки ................................................................................................................. 433
4.5. Описание алгоритма выполнения задания модуля C ................................................. 434
4.5.1. Базовая настройка................................................................................................ 434
4.5.2. Настройка маршрутизации ................................................................................. 454
4.5.3. Настройка служб ................................................................................................. 459
4.5.4. Настройка механизмов безопасности ................................................................ 464
4.5.5. Настройка параметров мониторинга и резервного копирования ................... 466
4.5.6. Конфигурация частных виртуальных сетей ..................................................... 468
Список используемых источников ........................................................................................... 475
477
Антон Григорьевич УЙМИН
СЕТЕВОЕ И СИСТЕМНОЕ АДМИНИСТРИРОВАНИЕ. ДЕМОНСТРАЦИОННЫЙ
ЭКЗАМЕН КОД 1.1
Учебно-методическое пособие
Издание третье, стереотипное
Зав. редакцией
литературы по информационным технологиям
и системам связи О. Е. Гайнутдинова
ЛР № 065466 от 21.10.97
Гигиенический сертификат 78.01.10.953.П.1028
от 14.04.2016 г., выдан ЦГСЭН в СПб
Издательство «ЛАНЬ»
lan@lanbook.ru; www.lanbook.com
196105, Санкт-Петербург, пр. Ю. Гагарина, д. 1, лит. А.
Тел./факс: (812) 336-25-09, 412-92-72.
Бесплатный звонок по России: 8-800-700-40-71
Подписано в печать 12.11.21.

Бумага офсетная. Гарнитура Школьная. Формат 60×90 1/8.
Печать офсетная/цифровая. Усл. п. л. 60,00. Тираж 150 экз.
Заказ № 1439-21.
Отпечатано в полном соответствии
с качеством предоставленного оригинал-макета
в АО «Т8 Издательские Технологии».
109316, г. Москва, Волгоградский пр., д. 42, к. 5.

Сетевое и Системное Администрирование Демонстрационный Экзамен КОД

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Сетевое и Системное Администрирование Демонстрационный Экзамен КОД

Загружено:

Авторское право:

Доступные форматы

А. Г.

САНКТ-ПЕТЕРБУРГ • МОСКВА • КРАСНОДАР

У 36 Уймин А. Г. Сетевое и системное администрирование. Демон-

Учебно-методическое пособие предназначено для преподавателей и

© Издательство «Лань», 2022

1.2. Модули задания и необходимое время

2.1. Описание экзаменационного задания

2.2. Инструкции для участника

2.3. Оборудование, приборы, ПО и материалы

2.4. Схема оценки

Если команда возвращает 1 — значит, включена пересылка пакетов!

Если вернулась строка, как сверху, значит, пересылка пакетов включена.

2. В настройках виртуальной машины необходимо добавить новый CD/DVD диск.

4. Далее нужно «вставить» диск в созданный ранее дисковод. В настройках CD/DVD

6. После проделанных манипуляций в папке _ISO будут находиться ISO-образы:

8. Для того чтобы выбрать диск, нужно нажать двойным кликом.

9. После необходимо инициализировать диск командой:

Также изменится сообщение к приглашению ввода команды:

Для установки ПО необходимо выполнить следующее.

Для установки ПО на системе CentOS необходимо следующее.

3. После нужно перезапустить и добавить в автозагрузку службу sshd:

Темными стрелками показано название интерфейса. (В примере оно может отличаться!)

После настройки конфигурационного файла необходимо перезапустить службу

Далее необходимо выбрать интересующий интерфейс:

После этого нужно активировать интерфейсы (два раза Enter на каждом):

Необходимо выдать права на выполнение:

Также необходимо выдать права на выполнение:

После нужно перезагрузить обе машины.

Необходимо включить демон ospfd. На CentOS нужно включить еще и zebra.

Далее нужно зайти в конфигурационный терминал и оттуда зайти в настройку ospf:

Следующий файл, который нужно отредактировать /etc/dhcp/dhcpd.conf:

Список всех выданных сервером IP-адресов прописывается в файле dhcpd.leases. Вы-

Следующий файл на редактирование /etc/bind/named.conf.default-zone:

5. Настройка обратной зоны сети 172:

6. Настройка обратной зоны сети 192:

После нужно включить и добавить в автозагрузку службу named

ldapadd -x -W -D cn=admin,dc=skill39,dc=wsr -f ou.ldif

ldapadd -x -W -D cn=Admin,dc=skill39,dc=wsr -f groups.ldif

L-SRV auth.* /opt/logs/<HOSTNAME>/auth.log

L-FW *.err /opt/logs/<HOSTNAME>/error.log

Если создались папки, одноименные с виртуальными машинами, — все в порядке.

В этом файле нужно описать всего одну строчку, содержащую:

Все так же, но меняется локальный и удаленный IP-адреса.

Пример вывода команды на L-FW:

В 56-й строке изменить путь на папку /etc/ca.

Зайдите в папку /opt/vpn и создайте файл dh2048.pem:

Также понадобится создать папку /var/www/html/out:

После проделанных манипуляций можно запускать службу httpd:

Далее необходимо создать файл /etc/rsyncd.conf:

3.1. Инструкции для участника

3.2. Схема оценки

3.4. Описание алгоритма выполнения задания модуля B

Начальное подключение к устройствам выполнено.

Выберите номер сетевого адаптера. В данном случае он первый:

Выберите пункт установки IP-адреса. Он самый первый:

IP-адрес для DC1 — 172.16.19.65/26:

Далее указывается маска подсети:

Далее указывается шлюз по умолчанию. В задании это адрес R1 — 172.16.19.126:

После настройки IP-адреса возвратиться в меню Сетевых настроек:

Обратите внимание, что у устройства появился правильный IP-адрес.

Указываем новое имя системы:

Далее повторно нажимаем Win + R и в новом окне вводим cmd:

Система сообщит, что эффект будет только после перезагрузки.

После этого ПК перезагрузится.