Ista Česká republika s.r.o.

Hlavní sídlo českého zastoupení je v Praze. Dále má společnost pobočky v Brně, v Jablonci n N. ve Valašském Meziříčí, Písku a Ostravě.
Společnost ze zabyvá rozúčtováním energií a vody, montazi vodomeru a teplomeru, revizemi.

Obecne

Pracovní doba

od 6:00 do 17:00 hodin.

Kontaktní osoba

Helpdesk - zpracování emailů IT

Požadavky chodí na helpdesk v(e) ista.cz - spravuje Standa

Na emailu je podslozka UVT obcas tam neco standa hodí a to chce abychom to vyřešili.

Heslo je: dueV7to3

WEB

http://www.ista.cz/ hostována u Dial Telecom
sprava noveho webu na nemeckem serveru

Úpravy webu přes Typo3: - My už se nestaráme, Stará se o to Tomáš Kratochvíl - sedi o koncelář velde

https://www.ista.com/typo3/
jmeno: brhelolu, heslo: 1:S1taU35YU0hTPQ==

Servery

HVA CZPRA1HV001

CZPRA1HV002

DSB

PSA

TSC

TSB Zrusen/Vypnuty

FIREWALL / Router

Konfigurace firewallu, VPN a IPSECu viz nize

záložní FIREWALL / Router asi zrušen

Na obou routerech bezi keepalived, ktery je monitoruje navzajem. Pokud primarni router selze, keepalived nahodi branu site na zaloznim, nastartuje birda a ipsec, jen je potreba prepichat kabely s internetem do zalozniho routeru.

Virtualni Servery KVM

TSA - Terminal server Abra, Naklady, Sprava objektu, ESET Server

DOCHAZKA - Dochazkovy software, software Allwin ustredna

SCRIPTPC - jezkovo scripty pro zpracovani dat

ZABBIXPROXY

UPS

smart UPS 2200
FW je master ostatni servery slave
v racku pro servery a monitor
vydrzi 48min. pokud se ups uplne nevypne servery nenajedou.

APC Smart-UPS SMT750I LCD
bez rizeni
v rozvodnem racku
zapojeno:
2x switch HP 48p., 1x SW 3com 5p. pro JBH, PoE hlavní linky, PoE záložní linky, PoE webkamery u vchodu, PoE propoje Ista - Sklad,
4x PoE Unifi

Lokální síť a internet

Schéma sítě uloženo na:
\\dsa\it\!_dokumentace\Schéma sítě pod souborem .vsd a .jpeg

IP Adresy

DSA 10.49.41.2 a 10.49.41.6 a 10.10.0.1 (management karta 10.49.41.21)
Mail 10.49.41.3 (management karta 10.49.41.20)
FW 10.49.41.13
TSA 10.49.41.11 (management karta 10.49.41.22)
BACKUP 10.49.41.10

Ptp na sklad
AP 10.49.41.50
Client 10.49.41.51

Switche

Internet

Proxy Praha:
IP 10.49.41.13
port 3128

Internet Ostrava

Martinovská 3168/48, Ostrava - Martinov 723 02 (kontakt: katerina rychla 605412240, Pevna linka: 558113110-VOIP od UVT)
sit 10.49.224.208/28 (mikrotik 10.49.224.209 a wan 212.158.134.67, gw:161, DNS .217.196.209.2, )
Internet je od správy budovy, 10Mb symetrická linka bez agregace napojená na router ve správě budovy a odtud k ISP GTS
smlouva č:I213007, vyhrazená linka(napojeni na optiku VUT).

Přístup přes winbox:
IP: 212.158.134.67, admin / <syspass>

Wifi:
SSID: ista_ostrava heslo: 1:eGgdQGRYbEhJay4=

O2 LTE
Novy druhy ISP je LTE modem od O2. IP modemu na LAN je 172.29.29.1/24, MT ma .10. Verejna IP LTE je 85.160.68.107.
Dovnitr na MT jsou smerovany porty 22, 8291, 500 a 4500/udp.

Pristup na modem: 1:xNrP8+zn6/ysnQ==

Brno : Gorkeho 1 Brno, (silinkova: 775737711)

Vdsl od UVT) modem (lan 10.0.0.138,) - neběží na něm DHCP slouží jen jako jako bridge, pppoe je nastaveno na mikrotiku, podle toho ostatni nastaveni.
sit 10.49.224.224/28 (mikrotik 10.49.224.225, wan 10.150.1.254(ze siti UVT), 178.17.7.168(z jinych siti)) (switch na pc, tiskarnu, iptelefon, plus kamera 10.49.224.? (uzivatele: “brno“ bez hesla, „praha“ bez hesla,administrator isspravce ) je potreba JREngine. z prahy pres proxy nejde. - aktualne odpojeno
dále je na mikrotiku puštěna wifi pro technika který má vedle kancl. ssid: Ista_Brno?, psk: Ista_Brno2013?
Mikrotik je nejak propojen pres UVTnet NAT tak, ze na verejce je dostupny jen z jinych siti, z vnitrni site UVT (178.17..) je dostupny jen na vnitrni ip (10.150.1.254)

Valasske Mezirici: Sokolska 540 Val. Mezirici (r.chmela:731044160, svab:731440150)

adsl od O2 ( lan 10.0.0.138 admin/1:fFlfVFNKSAsLOg== )
sit 10.49.224.8/29 (mikrotik 10.49.224.9, wan 10.0.0.1/24 admin/1:MjcxOj0kJlQ=) +switch – 2x pc(.10chmela, .11svab, 13. printer), plus do modemu jsou pripojeny dve voip brany pro bezdratove telefony, na modemu musi byt nastavene jeste jedno PVC pro voip, plus vynechane porty pro voip v NATu(konfigurace adsl modemu na dsa\it\zaloha o2 valmez)
plus je tam wifi do garaze a po kanclu. ESSID: ISTA-VALMEZ, WPA2: istavalmezgaraz, CH: 3

Jablonec nad Nisou: Sbd jablonec, zelivskeho 13

sit 10.49.224.16/28 (mikrotik 10.49.224.17, wan gw:33)
jeden pc v siti 10.49.224.18 musilova
Grepa networks, 775589461 p.burianek
3 657,06 kbit/s (457,13 kB/s) / 1 617,97 kbit/s (202,25 kB/s)
Web odezva:8.9ms 13.5ms 43.8ms
Stabilita:60.7 %

Internet poskytuje Grepnet http://www.grepnet.cz/stranka/kontakt.html
tel: 800 400 300

Písek: Jablonského 392, přízemí ze strany od řeky. (kontakt: 734853020, Z. Rezacova)
verejna 178.255.171.22 1:1 NAT 10.51.69.22/30 GW:10.51.69.21 DNS:10.255.255.10 DNS: 10.255.255.20
LAN 10.49.224.32/29 ,mikrotik 10.49.224.33, 34-38dhcp, eth1 - wan, eth2-5+wlan1 - bridge LAN
jeden ntb v siti 10.49.224.34, tiskarna:10.49.41.35
internet poskytuje SIMELON Pisek info v(e) simelon.cz

SBD Praha: Střelničná 1861/8a, 182 00 Praha 8, v přízemí vlevo za recepcí, místnost 113 (kontakt: +420 606 627 920, sochurkova v(e) sbdpraha.cz)

veřejná IP 109.238.209.50/28 GW: 109.238.209.49, DNS: 217.30.64.53, 217.30.64.54
LAN 10.49.224.40/29, mikrotik 10.49.224.41, DHCP 42-46, eth1 - wan, eth2-5 - bridge LAN
jeden PC v siti 10.49.224.42, tiskarna OKI MB470:10.49.41.46
internet poskytuje CZIT s.r.o. czit v(e) czit.cz

Usti nad Labem:

Verejna IP: 185.61.87.97 natovana dovnitr 1:1 na 100.80.86.183 (pridelovane pres DHCP) na port 5 pobockoveho MT, LAN 10.49.224.192/28 ze switche na portu 2 jejich MT.
Pokytovaltel Amigonet, portal: www.amigonet.cz, udaje do portalu: ID:109419, heslo: 1:DkxJCwoJHhJ6
Mikrotik: admin:1:SVksL2VpZx8=

Karlovy Vary

Verejna IP 90.178.9.165 na ADSL modemu od O2(povolen https na wan z 178.17.1.67), dovnitr smerovano ssh,winbox,ipsec. Modem 10.0.0.254, MT 10.0.0.253.

Pobocka je na: Východní 682/20 Drahovice (Karlovy Vary).

Internet a Synology u Machkové doma

UVT přes subdodavatele JMnet/Czfree ap kovosrot ( SSID: CZFree.Net.Kovosrot5JA ). Připojeno tam, -53dBm. Dřívější Kabelnet kvůli mizernému servisu a komunikaci zrušen.
Problémy řeší Jesenická divize. je to 15MBit
Veřejná IP : 185.47.223.5
pristup do anteny pres port 8888
login: jmnet
heslo: 1:sr+trKLF

IP konfigurace je přidělovaná dynamicky DHCP serverem providera (JMnetworks), konkrétně
IP Adresa:10.38.148.106
Maska:255.255.255.192
Gateway:10.38.148.65
Primární DNS IP:10.38.0.4
Sekundární DNS IP:10.38.0.1
DHCP Server:10.38.0.148

řešeno v zakázce MK21

(Old_IP 82.202.68.26), doma má na střeše AP, od něj kabel s POE do "zelené svině", která dělá AP po baráku
IP "zelená svině" - login: admin/1:xcDGzcrT0aM=
wi-fi SSID: wifi_home_209, kanál 11, šifrování: WEP 64bit
IP Synology 192.168.1.100, hostname: DiskStation?, loginy: Admin/1:eF1bUFdOTA8PPg==, Jana/1:nZmfmK8=
adresář Data a Backup - sem se zálohují pomocí Synology Data Replicator 3 data z NTB pí. Machkové

WIFI AP - Unifi controller 10.42.100.10

Management: https://unifi.local.ista.cz:8443 admin:wifispravce jsou jak v LAN síti tak zde je VLAN5, která smí pouze do internetu, mailu a zahraničních VPN.

pristup na virtual
root:SpravceUnifi2019@

SSID ISTA - LAN: heslo: 15500Praha5Ista
SSID ISTA_hosts: heslo: host2Ista - omezeno v ufonech na 15/10Mbps, pouze internet plus zahraniční VPN. – VLAN5

Wifi č.1 (prvni od vchodu) - 10.49.41.34 - MAC: 00:27:22:fc:06:36
Wifi č.2 (druha od vchodu) - 10.49.41.31 - ta je ted rozbita
Wifi č.3 (treti od vchodu) - 10.49.41.32 - MAC: dc:9f:db:e8:2f:2f
Wifi č.4 (ctvrta od vchodu) - 10.49.41.33 - MAC: 78:8a:20:4b:1c:ab
Wifi č.5 (zasedací místnost 2.patro) 10.49.41.30 - MAC: 44:d9:e7:be:08:b1

5Ghz ptp na sklad

SSID 'ista2sklad', WPA2-PSK (AES) klic 'ubntsrac'
Management obou zarizeni bezi na portu 8888, pristup ubnt:spravce3 (nase standartni nastaveni)

Firewall - konfigurace podrobne

Na firewallu konci 2 linky do internetu a LAN

• Verejny rozsah pro istu - IP 178.17.0.240 (mail.ista.cz) (mame rozsah 178.17.0.240/29)

Tato adresa je nabindovana na eth3, pricemz tento interface je pripojena kancelar JBH a pouziva 178.17.0.241 jako default gw.

• Linka 1 - 178.17.0.254/30 - gw 178.17.0.253 - eth1
• Linka 2 - 178.17.0.250/30 - gw 178.17.0.249 - eth2

• Lan - 10.49.41.0/24 (10.49.41.13 - router) - eth0

VPN

VPN vytacene

schovano za openportem (__openport - uzivatele v tabulce \\dsa\it\hesla-computers_sj )
je nastaveno tak ze se da dostat i pres ipsecy do zahranici - dulezite pro synchronizaci PDA.

"vpn.ista.cz" klasicky openport na karla je tam i Povolit pristup k TSA

OPENVPN konfigurak na dsa\install\openvpn\ uzivatele pres ldap.
povoleno je pouze ipsecy mimo cr a DSA. nic vic.

uzivatele
externi1:ext12011ista, vaculcik - o.k.
externi2:ext22011ista novy dan - o.k.
externi3:ext32011ista matejickova - o.k.
externi4:ext42011ista perutka - o.k.
externi5:ext52011ista krejsova - zatim nenastaveno
externi7:VP07taIS, openport:externi7:EXT77prv

openport
machkova:1:WFs/LzMHPgdp - vzdalena plocha k 10.49.41.118 - pc machkova

Seznam znamych siti v cele ISTA eu

IP adresy sluzeb za IPSECem

• Nemecko:

10.49.92.174 - DNS
10.49.92.175 - DNS
10.49.103.75 - SAP
10.49.103.81 - Print
(pouzivane site)
10.49.92.174 - PDA sychronizace
10.49.92.175 - PDA sychronizace
10.49.92.21 - PDA sychronizace
10.49.4.156 Viewing PDA data
10.49.23.11 Intranet WEB
10.49.92.33:8080 proxy

• Polsko:

10.48.100.18 - iss.istaonline.pl - citrix pro mirus !!
10.49.101.60 - citrix
10.49.101.61 - citrix
10.48.100.200 - cosi (?)

Intranet (infonet.ista.net)

V nemecku je hostovan intranet (infonet.ista.net) - (DNS zaznam je lokalne u nas). Jenze na intranet neni primej pristup, ale pouze pres proxy (10.49.92.33). Kvuli nesmyslnosti nastavit si tuto proxy u nas na kazdem PC (neskutecne mnoho nevyhod a neresitelnych problemu) je na squidovi nastavena parent proxy do nemecka, ale pouze pro tuto domenu (infonet.ista.net).

• Nastaveni parent proxy obecne (volba no-query je potreba kvuli nedostupnosti ICP na parent proxy):

• Vytvoreni ACL pro pristup k proxy

• Povoleni proxy pro domenu infonet.ista.net

• Zajisteni ze na infonet.ista.net se nepujde nikdy primo

• Pravidlo zajistujici pouziti zdrojove adresy squidu coby adresu 10.49.41.13

IPsec po cechach - pobočky

• Brno: sit 10.49.224.0/29 (mikrotik 10.49.224.1 a 10.150.1.254(ze siti UVT), 178.17.7.168(z jinych siti))
• Valasske Mezirici: sit 10.49.224.8/29 (mikrotik 10.49.224.9 a 88.100.220.33)
• jablonec nad Nisou: sit 10.49.224.16/29 (mikrotik 10.49.224.17 a 85.119.95.34)
• Ostrava: sit 10.49.224.24/29 (mikrotik 10.49.224.25 a 217.196.211.170)

->zde kvuli VoIP a nedostacujicimu vykonu mikrotiku omezen IPsec na 1Mb/s

• Písek: sit 10.49.224.32/29 (mikrotik 10.49.224.33, WAN 178.255.171.22)
• SBD Praha - Střelničná 8b: sit 10.49.224.40/29 (mikrotik 10.49.224.41, WAN 109.238.209.50/28)
• Usti n.L - viz pobocky vyse.

Z pobocek po cechach je zprovoznen pristup do VPN siti v polsku a nemecku. Tyto site jsou prenaseny po ipsecu do routeru v praze a tam se SNATuji na IP 10.49.41.13 (router), odkud jsou hazeny do ipsec tunelu pozadovanym smerem.

IPsec do zahranici

Nejdulezitejsi sluzba pres IPsec je citrix farma v Polsku, tj, rozsah 10.49.101.0/24 (napr. IP 10.49.101.60,61,62) (porty 1494)

• Polsko: (kontakt: Damian.Tracz v(e) ista.pl) (Cisco)

peer: 91.213.156.23
10.48.100.0/22
10.49.101.0/24
10.48.128.0/20
10.48.144.0/22
10.48.160.0/22
10.48.200.0/22

• Nemecko: (kontakt: Thorsten.Hollenborg v(e) de.ibm.com) (Cisco ASA)

peer: 195.234.133.20
10.49.92.0/24
10.49.103.0/24
10.49.4.0/24
10.49.23.0/24
10.49.225.0/24

IPsec je navazan z naseho routeru. Konfigurace pro jednotlive destinace je ulozena v /etc/ipsec.d/destinace.conf.

V pripade vypadku spojeni do Polska nebo Nemecka je moznost pres webove rozhrani resetovat spojeni.

https://vpn.ista.cz:450

ista:1:b3p/a2lvf353aXQZ

Omezeni pristupu na web pro zamestnance

Na firewallu bezi squid, ktery omezuje pristup na web. Omezeni uzivatele (implicitni) maji pristup jen na povolene stranky. Tyto jsou vyjmenovany v souboru /etc/squid/allowurllist (funguje jako regexp filtr).

Pokud ma mit nekdo pristup na web neomezen, je nutna jeho pritomnost ve skupine "internet". Aby se mohla overit pritomnost uzivatele ve skupine internet, musi se uzivatel pri pristupu na web autentifikovat. Aby byla mozna autentifikace, neni mozne provozovat squid v transparentnim modu a proto musi byt na kazde stanici explicitne nastaven. (port 80 je az na vyjimky na fw blokovan). Autentifikace uzivatele ve squidu:

Samotne overeni pritomnosti ve skupine zprostredkovava tato cast konfigurace squidu:

Pak nasleduje povoleni/zamitnuti pristupu pres klasicke ACL, zde:

OSPF

Na routeru bezi bird ktera zprostredkovava routovani pres OSPF.

Pri vypnuti OSPF zmizi defaultni gateway!!
Pro pripad potreby jsem napsal skripty s nazvem /bin/forcedefaultroute1 a /bin/forcedefaultroute2 ktere pri spusteni stopnou ospf a nastavi rucne gateway na jednu nebo druhou linku, coz by se mohlo dat spustit s nekym treba po telefonu.

Ve zkratce OSPF v iste funguje tak, ze si povida s ospf routerem na druhe strane po obou linkach pricemz jedna ma nastavena vetsi prioritu (mensi cost), ta je uprednostnovana a gateway se nastavuje pres ni. Pokud ta linka vypadne, ospf si nastavi gateway pres druhou linku.

Ovladani OSPF:
bird ma svoji konzoli:

• Protejsi ospf router je m1.uvt.cz (mikrotik1) (Pokud neni mimo provoz a misto nej nejede m2.uvt.cz - pak sem postup meni na m2.uvt.cz). Pristup na nej je v heslech. V pripade padu OSPF je potreba vlezt na router isty pres mikrotik (pres spojovacky). Na mikrotiku se pousti ssh prikazem:

Internet a sit pro JBH:

JBH, ucetni firma (kancelar pod istou) ma internet od UVT
uzivatele JBH1:1:K2Z8ZCsT JBH2:1:K2Z8ZCsT

Mikrotik

wan(eth1) 178.17.0.242/29 – (.241 = GW)
lan(eth2)10.10.0.254/24 – do LAN JBH
lan(eth3)10.10.1.254 – do ISTY?, viz nize - zasuvka 360

v kanclu je mikrotik ktery je eth3 propojen do switche pro nekolik pc.

Z patra vede propoj 3x utp do racku v iste, 3 – telefon, 2- mikrotik eth2, 1- mikrotik eth1.

v racku je propojen:
1 do fw isty ktera je pro ne zvlast sitovka jako gw do inetu.
3 do maleho switche kde je propojka do kancelare it na zasuvku 360

Provoz mezi sitema JBH a ISTA je routovan naprimo pres WAN kabel, tzn na firewallu v iste je povolen rozsah 10.10.10.0/24 (JBH) na sambu a abru, nikam jinam. Drivejsi IPSEC se neosvedcil kvuli nizke propustnosti a velke narocnosti abry. Z hlediska bezpecnosti je to take v poradku, protoze jsou spojeny naprimo ethernetem. Na tento isti rozsah je na mikrotiku JBH udelana vyjimka, aby se tento traffic nesnatoval na verejnou IP.

Telefonni ustredna

Ista presla na SIP telefonii. Telefonii dodava UVTnet s tim, ze ustrednu pro ne dela spol. Daktela. Telefonni sit ma vyhrazeny subnet 172.17.19.0/24. Tento subnet je na firewallu v separatni VLAN c.6 a ma omezeny pristup do LAN. Telefony jsou napajeny pres POE z vyhrazeneho 48 portoveho switche UBNT, kde je pouze vlan 6, tedy telefony. Samotna ustredna bezi v KVM na serveru DSA a instalovala a nastavovala ji spol. Daktela.

Na firewallu bezi DHCP server (dnsmasq) pro tuto sit a prideluje specialni dhcp options "66 https://provisioning:Koo2adei@172.17.19.10/provisioning", ktery slouzi k nastaveni telefonu.

Telekonferencni mistnosti:

volat zevnitr primo nebo zvenku 296337XXX

Pocet soubezne bezicich hovoru, ani pocet hovoru v telekonferenci neni omezen.

Presmerovani hovoru pomoci weboveho rozhrani:

Na ustredne mate distribuci hovoru resenou pomoci volacich skupin. Rozsireni volacich skupin o externi linky (mobilni telefony) se provadi tak, ze si nadefinujete externi linku (menu Nastaveni->Ustredna->Externi linky) a pridate jej pak do prislusne volaci skupiny (menu Nastaveni->Ustredna->Volaci skupiny).

Zarizeni:

Speciality na serverech

Ruzne skripty

Na serveru DSA je spousta skriptu, ktere zautomatizovavaji nektere ulohy, prevazne zpracovani dokumentu urcenych k tisku, pripadne vytistene. Tyto jsou standartne s /usr/local/scripts a jsou spousteny pres cron.

Na serveru TSA je skript pro archivaci polozek na ftp, a pro synchronizaci pro dochazku bezici v KVM(kvuli zpozdeni).spousteji se planovane.

Dva DNS servery

Vzhledem k pritomnosti replikovaneho LDAPu jsou nainstalovany i dva DNS servery (10.49.41.2 a 10.49.41.3).

Nove LDAP scheme kvuli sambe

Kvuli funkcnosti politik v nove samba (3.0.23 a vys) je treba mit v ldapu objectClass sambaDomain s attributy:

politiky (net sam policy):

Cestina v non-unicode programech v samba domene

Ceske programy nepodporujici unicode (v iste dochazka, eltrans, atp.) nezobrazuji cestinu korektne pri prihlaseni do domeny. Problem je zpusoben nastavenim skriptu pisma na "zapadoevropske" namisto pozadovaneho "stredoevropske" Toto si nastavuji windows, nepodarilo se vsak zjistit, na cem je to zavisle, ale kazdopadne v sambove domene je to spatne.

Opravit se to da tak, ze se v registru (potazmo NTUSER.DAT) prepise definice pisma. (uloz do reg souboru a naimportuj). Definice pisem se lisi v 25. bajtu kazdeho pisma. Stredoevropsky skript tam ma 01, zapadoevropsky 00. Pokud chcete zachovat font pisma (zde natvrdo Tahoma), prepiste ve sve vetvi jen 00 na 01 v 25.bajtu a melo by to fungovat.

[HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics]
"CaptionFont"=hex:f5,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,bc,02,00,00,\
  00,00,00,01,00,00,00,00,54,00,61,00,68,00,6f,00,6d,00,61,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"IconFont"=hex:f5,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,90,01,00,00,00,\
  00,00,01,00,00,00,00,54,00,61,00,68,00,6f,00,6d,00,61,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"MenuFont"=hex:f5,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,90,01,00,00,00,\
  00,00,01,00,00,00,00,54,00,61,00,68,00,6f,00,6d,00,61,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"MessageFont"=hex:f5,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,90,01,00,00,\
  00,00,00,01,00,00,00,00,54,00,61,00,68,00,6f,00,6d,00,61,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"SmCaptionFont"=hex:f5,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,bc,02,00,\
  00,00,00,00,01,00,00,00,00,54,00,61,00,68,00,6f,00,6d,00,61,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"StatusFont"=hex:f5,ff,ff,ff,00,00,00,00,00,00,00,00,00,00,00,00,90,01,00,00,\
  00,00,00,01,00,00,00,00,54,00,61,00,68,00,6f,00,6d,00,61,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

Vzdálený přístup

z domecku naprimo RDP
vpn.ista.cz:25389 vede na HVA (CZPRA1HV001 v domene ds, uzivatele ds\203benesma syspass)

na CZPRA1TS001 je RDG terminal.ista.cz:11443

a VPN pro uzivatele na Fortigate

stare info:
Openport na karla vpn.ista.cz a Povolit pristup k terminau, pak RDP na mail.ista.cz vede na TSA
na https://vpn.ista.cz:450 je jen reset IPsecu do Nemecka a Polska

Na serveru TSA jsou vypublikovány tyto aplikace
Abra G3
Náklady
Správa objektů
Excel
instalační soubory pro tyto aplikce jsou na \\dsa\install\Remote application
Soubory v adresari ista hw vpn jsou urceny pro intranet.

Pristup na internet je omezen. Vedeni ma plny pristup.
Povolené stránky:
http://www.idos.cz/
http://www.mapy.cz/
http://www.zlatestranky.cz/
http://amapy.atlas.cz/
http://telefonniseznam.o2active.cz/jnp/cz/index.html
http://wwwinfo.mfcr.cz/ares/ares.html
http://www.servis24.cz/
http://www.mojebanka.cz/
https://carnet.sledovaniaut.cz/
http://www.ista.cz/
http://www.ccs.cz/
http://www.csob.cz

Hesla

Hesla k serverům, mikrotikům a switchům jsou v obálce uložena v trezoru v Istě.

Stanice

HP prodesk 400 G2 MT PCSBDPRAHA\velkova Foh9Faiw?

Instalační CD + Licence

Převážne skřín v servrovně nebo regál v mistnosti 311

Uživatelské účty, loginy k poště, VPN atp

Ucty jsou spolecne pro LAN, Mail a pristup na internet
login: primeni

Účet microsoft pro stare Office
login: stanislav.jezek v(e) ista.cz
psw: 1:/s7Oy83GwdjamZmo

- nove office regitrovat viz navod níže "Co je třeba udělat s novým PC/NTB"

Pošta

Webove rozhrani: http://mail.ista.cz

Exchange
Exchange mají hostovanou u UVT, MX smeruje na linux a pro Exchange schranky je treba v Roundcube nastavit preposilani na jmeno.prijmeni v(e) exchange.ista.cz

Certifikát pro *.uvtmail.cz netreba, je tam komercni, stary je umístěn v zakázce GE25 nebo UVT_CA.cer

Nastavení proxy přes HTTPS:
https://exchange.uvtmail.cz
zaškrtnout "Připojovat se pouze pomocí SSL" + "připojovat se pouze k proxy serverům" msstd:exchange.uvtmail.cz
zaškrtnout v pomalých a rychlých sítích
Ověřování NTLM

Nastaveni Outlook 2016

V Oultook 2016 se Exchange musí nastavit přes Autodiscover, vyžaduje lokalni xml (viz zakazka VA44), jinak z autodiscover dojde k připojení IMAP účtu.
Spustit (z \\dsa\install\Microsoft\Office 2016\Office 2016\Outllook) autodiscover.reg, mapihttpdisabled.reg. Autodiscover.xml umístit do C:\Progrm Files\Microsoft Office. A nainstalovat certifikát UVT_CA.cer jako důvěryhodnou autoritu.

Sdileni kalendaru

vsichni na Exchange si maji navzajem videt do kalendaru s pravy Reviewer
novy uzivatel musi byt clenem all_calendar a pak je treba projet skript viz ABW26
puvodne byla prava odstupnovana podle skupin vedouci, prodejci a technici

ESET Endpoint Antivirus

server vzdálené správy:

uvnitr TSA:2222

zvenci mail.ista.cz:2222, sifrovana komunikace heslo: 1:xtbX3sLV3rA=

Co je třeba udělat s novým PC/NTB

1. Doinstalovat OS + zjistit volnou IP pro rezervaci
Název PC/notebooku
Název počítače je odvíjen podle koncové IP adresy. Pokud má PC v rezervaci IP: x.x.41.120 Název PC je PC120
Název PC na pobočkách se většinou liší a je dán názvem města, ve kterém je daná pobočka. Např.: PCOSTRAVA
Název notebooku je dle příjmení vlastníka.

2. Vytvořit lokální UVT účet a heslo 1:CxMsJys8OzozZGRkXQ== (stare heslo je "spravce" a nebo "Spravce12")
3. Odinstalovat případné nežádoucí aplikace od výrobce (antivir, některé utility, skype a podobně)
4. Nainstalovat SW klasiku (Adobe flash player, Adobe Reader, Firefox, Chrome, VLC, CCleaner, Java + dle potřeby)
5. Nainstalovat aktuální antivir \\dsa\install\eset + Pokud mají zakoupený nějaký sw, tak ten -> nejčastěji Office 2013
6. Doinstalovat veškeré aktualizace a přihlásit do domény (před přidáním použít script pro "W7 na \\dsa\install\_NEW PC_\W7-Domena" pro "W10 na \\dsa\install\_NEW PC_\W10-Domena"
7. Nainstalovat Office, vytvorit ucet na google podle jmena PC/NTB (napr. NTB120.ista v(e) gmail.com) udelat registraci na MS na tento ucet a nainstalovat office a aktivovat pres tento ucet. Rici Standovi at si udaje zapise do sveho souboru.
8. Pokud se jedná o notebook, nastavit profil načteného uživatele jako lokální (Počítač->vlastnosti->upřesnit nastavení systému->profily uživatelů->změnit na typ místní)
- Přidat daného uživatele do skupiny administrátor
- U PC přidat do admin skupiny pouze pokud je potřeba (kvůli nainstalovanému SW)
9. Povolit Local Administratora a nastavit mu heslo: 1:U0NDRkBLTFVXJQ==
10. Nastavit poštu a optat se Standy, jestli pro daného uživatele je třeba nastavit další věci
11. Pro Outlook 2016 je potřeba spustit \\dsa\install\NEW PC\Nastaveni Outlook 2016\Outlook2016\Outlook_2016.reg (Je třeba přidat klíč do registru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb "ProtectionPolicy"=dword:00000001)

U notebooku ještě nastavit zálohování viz. tiki - Záloha NTB externistů

Důležité aplikace a data

Mirus - Citrix PL - VPN PL

citrix online plugin na: iss.istaonline.pl (mozno stahnout pres webbrowser na dane adrese)
pouziva cela ista kriticka aplikace

Pokud na pobočce negunguje ping na iss.istaonline.pl, je možné na mikrotiku nastavit Statický DNS záznam s IP: 10.48.100.18

InforPM office - Citrix PL - VPN PL

citrix online plugin na:ag.istaonline.pl (mozno stahnout pres webbrowser na dane adrese)

helpdesk - helpdesk.inforpm v(e) ista.com, Pawel.Luszkiewicz v(e) ista.pl
uziva financni reditelka Veronika Budilova

AMM, SMDE, PDA sync server - VPN DE

helpdesk - dopsat

pouzivaji technici v iste, na pobockach, a sync server i externisti pres openvpn, kritcke zejmena v dobe odectu a montazi.

Dochazka

sw dochazky je napojen na snimaci zarizeni u dveri ktere eviduje pruchody zamestnancu a jejich dochazku. na serveru bezi sql server, a jako proces po automatickem prihlaseni uzivatele se spousti jako prvni cardserv(proces obsluhujici databazi) a sber dat(proces zprostredkovavajici komunikace mezi pruchodovym zarizenim a cardserv)
komunikace probiha pres LAN, pruchodove zarizeni je propojeno do serverovny do koncentratoru a prevodniku pro LAN(lantronix)(10.49.41.26) kde je dulezite nastaveni ciloveho serveru pro sber dat, port, prenosove rychlosti atd. komunikace probiha tak ze lantronix posila data na cilovou adresu a dokud je server neprijme a nezasle potvrzeni tak je cca14 dni(do zaplneni) ponechava v sobe !!pozor rozhrani je velice nepropracovane a nechtene kliknuti kamkoli muze zpusobit zmenu nastaveni!!
dale toto zarizeni slouzi i jako zamek k dverim, takze po overeni uzivatele v databazi da povel elmag zamku v dverich a otevre. !!POZOR pokud na serveru je nefukcni overovaci sw, muze se dostat do stavu kdy vpusti kazdeho, s cipem na stejne frekvenci ale s naprosto neznamym ID. vyrobce toto vi, ale v teto stare verzi jiz neodstrani..

Abra

bezi na dsa ve firebirdu klasicky

pristupy na webportal
https://zp.abra.eu
61056758_admin
abraSERVICE11

Abra Centos 8

evidence.local.ista.cz

Allwin

allwin na stahovani dat z pobockove ustredny ericsson od telmontu, inslaluje se z originalni diskety(pripadne jejiho img, -v instalu na serveru) jinak nelze nainstalovat a spustit(schvalne chybne sektory na diskete), data sbira pres COM1

Zálohování

Záloha NTB externistů

zde se nachází návod jak pro instalaci tak pro použití. \\dsa\install\synchronizace dat_externisti\zalohovani\
spojení do isty je řešeno openvpn.
synchronizaci provádí synctoy nad předem navolenými složkami, spouští se přes spust_synchronizace.bat (dále volá sync.bat která ovládá synctoy. dle verze se instaluje x64 / x86 verze.) Záloha každého se umistůje do home daného uživatele. tj. je nutné aby měl založen doménového uživatele a home.

\\dsa\temp\log\synchronizaceNTB\ se hromadí logy po synchronizaci - za predpokladu, že se ntb dobouchal na server. pokud ne uloží log pouze lokálně.
Dále je odesíláno mailem hlášení, při doběhnuté i nedoběhnuté operaci na helpdesk v(e) ista.cz, kde se rucne musi hodit do příslušné složky.

spouštěí probíhá ručně zastupcem na daném stroji, nebyl požadavek na plánované zál. avšak někteří na zálohování nedbají ani po několika upomínkách vedení.

Periferie

Tiskárny

Tiskarny maji rezervaci na IP
Ovladače jsou na: \\dsa.local.ista.cz\install\Drivers\Printers

Praha

Pobočky/externisti Dále jsou na pobočkách a u prodejcú tiskárny multifunkce brother DCP 7065, jsou síťové ale připojeny jsou dle prostředí, na pobočce do LAN, u prodejců přes USB

Brother DCP 7065 | Písek
Brother DCP 7065 | Jablonec
Brother DCP 7065 | Val.mez
Brother DCP 7065 | Ostrava
Brother DCP 7065 | Riegert
Brother DCP 7065 | Bureš
Brother DCP 7065 | Šleglová
Brother DCP 7065 | Vaculčík

Přístupy/Hesla

domain root: (původní) 1:Ki8pIiU8Pn19TA==
domain root: 1:x8LEz8jR05CToQ==

domain uvt: (pred-původní) 1:KQwKAQYfHV5ebw==
domain uvt: (původní) 1:fVheVVJLSQoJOw==
domain istacz\uvt: 1:dW1SWVVCRURNGhoj

local uvt na stanicich: (pred-původní) 1:lJGXnJuCgPI=
local uvt na stanicich: (původní) 1:rouNhoGYmtna6A==
local uvt na stanicich: 1:fGRbUFxLTE1EExMTKg==

lokalni administrator na stanicich: 1:mYmJjIqBhp+d7w==

dochazka:1:CxUeCns=
jezek:1:eGhobWtgZ358Pz8O
script:1:MCAgJSMoLzY0Rg==
ostatni nekteri kteri si nechteji menit heslo:1:n5iMk4jq

Abra

Supervisor - 1:7u/l7sbSxcnW0NKg

doménový koš

alias:IstaAlias

Internet u Zerzane doma - již není v istě,

ma od UVT Super.ADSL 8192/512 kbps 1:50
login k lince ista v(e) uvt.cz
315622527

Věci na dořešení