Развертывание небольшой инфраструктуры компании N

Proxmox cluster
Proxmox cluster
Недавно мне удалось принять участие в подготовке инфраструктуры для компании N, в мои обязаности входило: создать вм и поставить на них windows server 2022, и соотвественно настроить необходимые роли и компоненты для каждого сервера.
Структура выглядит следующим образом:
  • 2 Контроллера домена с репликацией
  • 2 Файловых сервера с дедупликацией и репликацией
  • 1 Бэкап сервер с Veeam Backup & Replication
  • 1 Терминал в гордой, но одинокой коллекции
  • 1 Zabbix 7.0LTS Сервер на Ubuntu 22.04
  • 1 Локальный Сервер BPMSoft (На данный момент в процессе развертки bpmsoft.ru)

Подготовка Контроллеров Домена

Active Directory
Active Directory
В первую очередь установка обновлений, драйверов и задача понятного имени серверу, после этого установа необходимых ролей: DNS-сервер, Доменные службы Active Directory и на будущее Пространство имен DFS.
После успешной установки ролей и компонентов, настройки домена и перезагрузки сервера, в оснастке создали корневую OU в ней еще OU:
  • computers
  • servers
    • backup servers
    • file servers
    • terminals
  • groups
  • users
И дополнительную OU admins для администраторов и сервисных учеток.
После того как OU были подготовлены: создали нескольких администраторов, двух тестовых пользователей(чтобы проверять работу GPO), переместили сервера магическим образом добавленные в домен в соотвествующие подразделения, и три группы пользователей в соответсвующее подразделение:
  • TS-USERS (Кому можно будет на терминал)
  • TS-RDP-user-interner (Кому можно гуглить)
  • TS-RDP-user-clipboard (Кому можно будет использовать буфер обмена на терминале)
После проведенных манипцляций, добавили будущий второй контроллер домена в домен, установили нужные роли и компоненты и поставили галочку репликация. после этого вертаемся на главный котроллер и начинаем клипать групповые политики.
GPO
GPO
Первым делом направляемся в OU "servers" и создаем политику "c-download-windows-update" в конфигурации компьютера включаем политику автоматического обновления со значением 3, что обозначает автоматическую загрузку и уведомление об установке, включаем политику "Не выполнять автоматическую перезагрузку при автоматической установке обновлений если в системе работают пользователи".
После направляемся в подразделение "terminals", где первым делом создаем политику "c-GPO" и включаем параметр конфигурации компьютера "Настройка обработки режима обработки замыкания пользовательской групповой политики" в режиме замены.
Следующая политика - "c-ts" в которой в конфигурации компьютера запрещаем перенаправление дисков и принтеров.
После делаем политику применяемую ко всем пользователям "u-ts" направляем на группу TS-USERS и тут мы:
  • Скрываем системные диски
  • По умолчанию запрещаем использование буфера обмена
  • Удаляем не нужные пользователям вкладки в проводнике
  • И в параметрах безопасности запрещаем запускать программное обеспечение из не нужных папок (оставляя %WINDIR%, %PROGRAMFILES%)
После создали две политики направленных на группы пользователей "u-rdp-clipboard-enable" и "u-rdp-allow-internet".
"u-rdp-clipboard-enable" разрешает определенной группе пользователей использовать буфер обмена во время сеансов RDP.
"u-rdp-allow-internet" разрешает определенной группе пользователей выход в интернет, реализовано это так:
Internet allow
Internet allow
Правилами файрвола все пакеты уходящие за роутер дропаються, но пакеты с меткой DSCP=63 могут уходить за роутер.
Также в корне домена есть политика c-all, которая подключает всем и вся общий общую папку настроенную в DFS пространстве имён

Подготовка файлового сервера

File server
File server
Устанавливили все необходимые роли и компоненты на оба файловых сервера которые понадобяться для управления файловым сервером, дедупликации дисков и репликации DFS для того чтобы в дальнейшем включить репликацию.
После успешной установки заходим в диспетчер серверов и через оснастку файловых служб и хранилищ, создаём общий ресурс и включаем дедупликацию данных, всё.
После этих невероятных действий направляемся на контроллер домена, где будет происходить настройка пространства имён DFS.
DFS server
DFS server
В оснастке "управление DFS" создали пространство имён и общий ресурс, допустим папку it чтобы складывать туда программы и скрипты и иметь доступ к ним с любого сервера.
После создания, нажимаем в правом меню "Добавить сервер" и указывавем наш файловый сервер, провернуть надо это дважды с разными файловыми серверам, тогда появиться заветное предложение включить репликацию, соглашаемся и всё.

Подготовка сервера резервного копирования

Veeam Backup & Replication
Veeam Backup & Replication
Первым делом устанавливаем всея Veeam B&R, на котором выполняем 3 задачи:
  • Создаём новое храналище на диске который определили как диск для резеврных копий (пердварительно отфармотировав его в ReFS с кластерами по 64Кб), и открывам к нему доступ из вне, для необходимых учетных записей.
  • Добавляем в инфрастуктуру один из файловых серверов
  • Настраиваем резервное копирование нашего диска с общими ресурсами
File server backup
File server backup
По скольку до этого мы подключали в veeam файловый сервер, настройка резервного копирования крайне проста, и работает таким образом что можно точечно восстанавливать файлы (если кто-то вдруг что-то удалит)
Задания резервного копирования для терминала и контроллера домена будут направлены на определенные директории поэтому для их резервного копирования понадобилось установить на них Veeam Agent.
Veeam Agent
Veeam Agent
После крайне сложной установки агента создаём работу резервного копирования в режиме "File level backup" выбираем наше хранилище на сервере резевного копирования и выбираем директории которые необходимо бэкапить.
Проворачиваем то же самое на контроллере домена, всё.
Veeam Jobs
Veeam Jobs
После всех проведенных манипуляций проверяем чтобы все работы правильно отображались на серевере резервного копирования, вот и всё.

Подготовка терминального сервера

Remote Desktop Services
Remote Desktop Services
Установив, целых две, необходимых роли служб удаленных рабочих столов, разрешаем подключаться по RDP к серверу только определенной группе.
Так же в на котроллере домена для политики c-ts настраиваем установку необходимых msi установщиков, всё.

Подготовка zabbix

Перывым делом определяемся с необходимой конфигурацией и выбираем ее на сайте Zabbix, и он любезно предоставляет список команд для установки, единственное что базу mySQL или PostgreSQL установить надо самому. Еще есть момент, что дефолтной страницей остается приветсвие nginx, и чтобы сменить страницу заходим в этот файл /etc/nginx/sites-available/default и меняем три строчки listen, listen [::] и server_name(порт тот который нужен):
  • listen 80 default_server;
  • listen [::]:80 default_server;
  • server_name _;
Zabbix
Zabbix
После того как все команды были выполнены, все пользователи созданы и права выданы, заходим на веб морду заббикса и отправляемся в "Data collection" -> "Discovery" и настраиваем правило обнаружения в нашей локальной сети и задаем параметры записи обнаруженого хоста, после чего включам его.
Discovery rule
Discovery rule
Сервера подключились, отлишна. Надо настроить телеграм бота который будет оповещать нас если что-то вдруг отвалилиось, отваливается, или на грани отваливания. Отправляемся в "Alerts" -> "Media types" и в списке ищем и заходим в телеграм. Инструкция по тому как и что делать, есть в описании этого окна, единственное что я использовал не дефолтный Media Type, а взял конфиг с гитхаба заббикса, ибо дефолтный в 7.0 имеет невероятное количество параметров которые в моем случае не понадобились, а удалять/редактировать дефолтный конфиг под корень не очень хочется.
И так, создаём группу в телеграме, у телеграм бота @BotFather рожаем себе бота, копируем API ботяры в параметр Token и добавляем бота в группу. После добавляем в группу бота @myidbot и выполняем команду /getid@myidbot, вставляем ID группы в параметр To и прогоняем бота из группы, больше он не понадобиться, но ID еще пригодиться. В ParseMode вставляем что-нибудь из markdown, html, markdownv2. Подробности в документации. В принципе это все, далее заходим на вторую вкладку с шаблонами сообщений ну и настраивавем необходимым и удобным образом. Ну и включаем Telegram.
Media Type
Media Type
Следующим этапом нужно подготовить служебную учётку, которая шлёт сообщения в телеграм. Создаём пользователя с понятным служебным именем, добавляем его к админам и подключаем ему Media, тип единственный доступный, Send to указываем ID группы, время активности 24/7 и включаем.
System user
System user
Остаётся последние действо, отправляемся в "Alerts" -> "Action" -> "Trigger actions", тут нужно создать действие на каждый сервер. Тут на первой вкладке добавляем все необходимые триггеры от определенного сервера, заходим в операции и вежливо указываем на все типы операций, что ему нужно отправить на определенного пользователя уведомление через телеграм, усё.
Action Action
Action
Вот так вот это выглядит с тестовым триггером и моими настройками шаблона сообщения.
Test action
Test action