VEEAM-ENTERPRISE-MANAGER : Différence entre versions
(→RDP) |
(→Script OutADSetup) |
||
| Ligne 65 : | Ligne 65 : | ||
Pour connaître les options disponibles, entrer : | Pour connaître les options disponibles, entrer : | ||
OutADSetup -? | OutADSetup -? | ||
| + | |||
| + | Le script est également accessible sur Mars dans '''S\SSI\Machines_hors_AD''' | ||
== Ajout d'un utilisateur == | == Ajout d'un utilisateur == | ||
Version du 4 août 2023 à 17:17
Sommaire
Renseignements principaux
- VEEAM-EM
- 10.13.102.114/24
- Outil d'audit de Veeam Backup & Replication
- virtualisée sur cluster VMware (voir infos VCenter)
Accès au serveur
- En RDP pour les utilisateurs de Veeam Enterprise Manager en utilisant leur compte username.vem et un OTP fortitoken
- En console sur le vCenter avec le compte administrateur (identifiants dans KeePassX du campus, sur Mars) et un OTP fortitoken (au coffre)
Accès restreint en RDP aux IP des administrateurs de la solution.
En cas de dysfonctionnement des VM FortiAuthenticator, la connexion reste possible pendant 7j :
- 1. Sélectionner le domaine "."
- 2. La mention Offline Tokens apparaît alors suivie de la date d'expiration des tokens offline
- 3. Se connecter normalement en renseignant login, mot de passe et OTP
Connexion à Veeam Enterprise Manager
Veeam Enterprise Manager est accessible avec un compte local username.vem à l'adresse :
Veeam Enterprise Manager dispose d'une Base de données SQL Server Express locale.
Pour y accéder :
- 1. Lancer SSMS (SQL Server Management Studio)
- 2. Entrer le nom de l'instance VEEAM-EM\VEMSQL
- 3. Se connecter avec les identifiants du compte administrateur de la machine (compte sa désactivé) en sélectionnant Windows Authentication
- 4. La base de données se nomme VeeamBackupReporting
Maintenance
Mises à jour
Veeam Enterprise Manager doit être mis à jour après le serveur Veeam Backup & Replication.
Veeam fournit un fichier ISO permettant de procéder à la mise à jour de Veeam Enterprise Manager à cette adresse : https://www.veeam.com/download-version.html
Problèmes connus
Lors de l'installation/mise à jour de Veeam Enterprise Manager, le fichier situé dans C:\VBRCatalog\Replication\InConnectors peut parfois être vide ce qui empêche la bonne exécution du service Veeam Backup Catalog. Il suffit de supprimer ce fichier vide pour qu'un nouveau soit créé lors de la prochaine tâche de synchronisation de Veeam Backup Catalog.
Erreur affichée dans la section Configuration → Session : Proxy [EmToCatalogCredentials]: unable to call method. All attempts have failed
Script OutADSetup
Le script se trouve dans le dossier Documents du répertoire personnel du compte administrateur de la machine. Il permet de configurer les éléments suivants :
- Utilisateurs locaux
- Entrées DNS
- Règles FW
- Stratégie de sécurité locale
- Stratégie AppLocker
- SWMB
- Nom d'hôte
- RDP
- FAC Agent
- Agent WAPT
Pour connaître les options disponibles, entrer :
OutADSetup -?
Le script est également accessible sur Mars dans S\SSI\Machines_hors_AD
Ajout d'un utilisateur
1. Utiliser le script OutADSetup avec l'option -Users pour :
- Créer un compte local avec un login username.vem et un mot de passe fort (64 caractères avec minuscules, majuscules, chiffres et caractères spéciaux)
- Ajouter l'utilisateur aux groupes Utilisateurs du Bureau à distance et Veeam Enterprise Manager
- Ajouter une règle de firewall autorisant le RDP vers le Veeam Enterprise Manager depuis l'IP du futur administrateur
2. Ajouter ces 3 tâches programmées en copiant celles d'un utilisateur existant et en adaptant la section Utiliser le compte d'utilisateur suivant pour exécuter cette tâche :
- Kill Veeam Enterprise Manager - username
- Start Veeam Enterprise Manager - username
- Restart Veeam Enterprise Manager - username
3. Créer l'utilisateur sur la VM FortiAuthenticator en lui assignant un OTP fortitoken.
Configuration Réseau
Pare-feu
En entrée :
- MS-MPI
- Ping depuis VLAN SSI
- RDP depuis les IP des des administrateurs de la Veeam Console
- F-secure
- Protocoles relatifs à Veeam
En sortie :
- FortiAuthenticator
- Activation License KMS
- MS-MPI
- Ping Veeam Backup & Replication
- Proxy F-secure
- Ports de Veeam Enterprise Manager
- WAPT
- F-Secure
- Protocoles relatifs à Veeam
DNS
Fichier hosts comprenant les noms d'hôtes suivants :
- linwapt.ad.dr13.cnrs.fr
- proxy-fsecure.dr13.cnrs.fr
- veeam.ad.dr13.cnrs.fr
Configuration logicielle
WAPT
Les mises à jour Windows Update sont assurées par WAPT.
Les paquets suivants sont installés via WAPT :
- Disable IPv6
- Fsecure
- Firefox
- FAC Agent
Installation manuelle
- Veeam Enterprise Manager
- SSMS (SQL Server Management Studio)
- SQL Server 2022 Express (Version gratuite)
Politique de sécurité
Stratégie locale de sécurité
Voir fichier secpol-custom.ps1 pour de plus amples informations sur la stratégie locale de sécurité appliquée.
AppLocker
La stratégie AppLocker est définie pour restreindre l'exécution des programmes aux utilisateurs de Veeam Enterprise Manager. Ces derniers n'ont accès qu'à l'explorateur de fichiers, aux exécutables Veeam et à Firefox.
SWMB
Une tâche programmée SWMB est exécutée toutes les heures pour s'assurer de la bonne application des mesures de sécurité supplémentaires appliquées à la machine (voir fichier Preset OutAD-Server).
RDP
En cas d'inactivité, la session RDP est déconnectée au bout de 10 minutes.
Lors de la déconnexion d'une session utilisateur, cette dernière reste ouverte durant 1 minute.
Une tâche programmée tue l'ensemble des processus Firefox dès la déconnexion pour éviter de les laisser ouverts durant cette minute.
