VEEAM-CONSOLE

De Wiki_DR13
Révision datée du 28 juillet 2023 à 11:51 par Alexis.pages (discussion | contributions) (Page créée avec « = Renseignements principaux = * VEEAM-CONSOLE * 10.13.102.113/24 * Console d'administration de Veeam Backup & Replication * virtualisée sur cluster VMware (voir Média... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à : navigation, rechercher

Renseignements principaux

  • VEEAM-CONSOLE
  • 10.13.102.113/24
  • Console d'administration de Veeam Backup & Replication
  • virtualisée sur cluster VMware (voir infos VCenter)

Accès au serveur

  • En RDP pour les utilisateurs de la Veeam Console en utilisant leur compte username.vc et un OTP fortitoken
  • En console sur le vCenter avec le compte administrateur (identifiants dans KeePassX du campus, sur Mars) et un OTP fortitoken (au coffre)

Accès restreint en RDP aux IP des administrateurs de la solution.

En cas de dysfonctionnement des VM FortiAuthenticator, la connexion reste possible pendant 7j :

  • 1. Sélectionner le domaine "."
  • 2. La mention Offline Tokens apparaît alors suivie de la date d'expiration des tokens offline
  • 3. Se connecter normalement en renseignant login, mot de passe et OTP

Connexion à la Veeam Console

L'administration de Veeam Backup & Replication en passant par la Console Veeam nécessite un compte username.vbr.

/!\ La Veeam Console met ~ 1 min 45 à démarrer.

Pour extraire un fichier restauré via la Console, il est nécessaire d'activer le partage d'un dossier avec RDP.

 Maintenance

Mises à jour

La Veeam Console doit être mise à jour après le serveur Veeam Backup & Replication.

Veeam fournit un fichier ISO permettant de procéder à la mise à jour de la Console à cette adresse : https://www.veeam.com/download-version.html

Script OutADSetup

Le script se trouve dans le dossier Documents du répertoire personnel du compte administrateur de la machine. Il permet de configurer les éléments suivants :

  • Utilisateurs locaux
  • Entrées DNS
  • Règles FW
  • Stratégie de sécurité locale
  • Stratégie AppLocker
  • SWMB
  • Nom d'hôte
  • RDP
  • FAC Agent
  • Agent WAPT

Pour connaître les options disponibles, entrer : 

OutADSetup -?

Configuration Réseau

Pare-feu

En entrée :

  • Ping depuis VLAN SSI
  • RDP depuis les IP des des administrateurs de la Veeam Console
  • F-secure
  • Protocoles relatifs à Veeam

En sortie :

  • FortiAuthenticator
  • Activation License KMS
  • Proxy F-secure
  • Ports de la Veeam Console
  • WAPT
  • F-Secure
  • Protocoles relatifs à Veeam

DNS

Fichier hosts comprenant les noms d'hôtes suivants :

  • linwapt.ad.dr13.cnrs.fr
  • proxy-fsecure.dr13.cnrs.fr
  • veeam.ad.dr13.cnrs.fr

Configuration logicielle

WAPT

Les mises à jour Windows Update sont assurées par WAPT.

Les paquets suivants sont installés via WAPT :

  • Disable IPv6
  • Fsecure
  • Firefox
  • FAC Agent

Installation manuelle

La Veeam Console est installée manuellement sur la machine.

Politique de sécurité

Stratégie locale de sécurité

Voir fichier secpol-custom.ps1 pour de plus amples informations sur la stratégie locale de sécurité appliquée.

AppLocker

La stratégie AppLocker est définie pour restreindre l'exécution des programmes aux utilisateurs de la Veeam Console. Ces derniers n'ont accès qu'à l'explorateur de fichiers et aux exécutables Veeam.

SWMB

Une tâche programmée SWMB est exécutée toutes les heures pour s'assurer de la bonne application des mesures de sécurité supplémentaires appliquées à la machine (voir fichier Preset OutAD-Server).

RDP

Lors de la déconnexion d'une session utilisateur, cette dernière reste ouverte durant 1 minute.

Une tâche programmée tue l'ensemble des processus Veeam dès la déconnexion pour éviter de les laisser ouverts durant cette minute.

Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=VEEAM-CONSOLE&oldid=10563 »