TRADING M & K, a.s.

Obecně

dělají zahraniční obchod se specializací na vedlejší živočišné produkty a krmiva

Pracovní doba

cca 8:30-16:30, cca 12-13 oběd, neradi zůstávají déle

Kontaktní osoba

Richard Frk richard.frk v(e) mktrade.cz +420 602 614 997
reditel Jiri Čedík jiri.cedik v(e) mktrade.cz +420 602 203 971

web

www.mktrade.cz
www.yeast.cz

od dubna 2015 registratorem General Registry/UVT, DNS je u UVT, web je u www.antee.cz
reseno v zakazce NP3

Antee
Bc. Eduard Beneš
Vedoucí IT Helpdesk

774 663 535
eduard.benes v(e) antee.cz
www.antee.cz
606 230 000 / ipo v(e) antee.cz
Havlíčkova 1680/13, 110 00 Praha 1

posta pro obe domeny chodi na Exchange Mktrade (realne pouzivaji jen mktrade.cz)

od 12.2.2015 do pulky dubna 2015 byly domény a weby u Lundegaardu
Kontakt na spravce v Lundegaardu, kdyby bylo potreba neco v DNS atd:

Luděk Fedurca
system administrator
mob: +420 777 833 822
Lundegaard spol. s r.o.
Sokolovská 136a/651, Praha 8, 186 00, Czech Republic
tel: +420 222 253 015, fax: +420 222 254 458
www.lundegaard.eu

Servery

Zásahy na serverech

DSA - Exchange, Databaze, Fileserver, Backup

platforma	MS Windows SBS 2008
popis	černý tower na polici, monitor a klávesnice v racku na polici
využití	Exchange, Fileserver, databáze Access. Zálohování.
MS Domain	TRADINGMK.LOCAL
netbios name	dsa.tradingmk.local
vnitřní IP adresa	192.168.11.3
IPMI	192.168.10.20 ADMIN/1:DTEhTRIlIBo8PnU=
	ve VPN je treba pridat routu do site stanic
	route add 192.168.10.0 mask 255.255.255.0 192.168.11.129
vnější DNS	mail.mktrade.cz
model	Intel UVT
datum prodeje	HW je z rijna 2014, puvodni instalace je z brezna 2009, kterou jsme obnovili pri reseni havarie ze zalohy
CPU	Intel Xeon X3330 2,66GHz
RAM	8096MB
HDD	2x750GB v HWRaid1 z toho C: 146GB D: 552GB, treti HDD 750GB na interni zalohy WSB
umístění	rack v kanceláři
product key

IPMI

IPMI je zapojeno do sítě se stanicemi, tedy 192.168.10.x a je to LAN port úplně vlevo nahoře nad USB portama
přímý propoj mezi firewallem 192.168.11.2 a DSA 192.168.11.3 vedev DSA do síťovky VLEVO (při pohledu zezadu), síťovka VPRAVO je prázdná (nad ani pod těmito síťovkami nic není a jsou úplně dole) - viz Attached foto v dokumentech této stránky

Router - Firewall

Platforma	Linux
účel	Firewall, openport, vpn, antispam
dns name	router.mktrade.cz
vnitřní IP adresa	192.168.11.2, 192.168.10.1, více o síťařině viz níže
vnější DNS	mail.mktrade.cz
model	Intel Grosse Point/Intel Pilot Point IV DP 6U, 2x Kingston 2GB 1333MHz DDR3 ECC Unbuffered DIMM CL9, 2x WD Caviar RE3, 500GB, SATAII/300, 7200rpm, 2x GLAN integrovane + 2 pridavane
datum prodeje/instalace	listopad 2011

UPS

APC SMART-UPS 1000

Master je firewall, DSA je slave

Lokalni sit a internet

Vzdálený přístup

Openport

vpn.mktrade.cz

VPN

vpn.mktrade.cz

• nastaven uživatel karel

Reset IPSEC

přes openport vpn.mktrade.cz je možno vyresetovat tunel, je to někde v zakázkách z roku 2014, ale bohužel se mi to nedaří najít

Vzdálený přístup na stanice - VNC

na všech PC00x je UltraVNC server s heslem 1:QVpaSVhaKA== (ikona v trayi je skrytá) a funguje i CTRL+ALT+DEL na dálku v přihlašovací obrazovce
na stanicích jsou místní uživatelé:
pro nás:
Administrator/1:rouNhoGYmtnZ6A==
UVT/1:bWhuZWJ7eQs=
pro cizí dodavatele/zaměstnance:
MISTNI/1:d2hjb3gZ

Internet

Optika do kanceláře

Provider	connect plus s.r.o. http://www.234.cz/, v.stahl v(e) 234.cz
Linka	wifi 16/16 s agregaci 1:10 asi za 400
IP	82.208.54.92
maska	255.255.255.240
GW	82.208.54.81
DNS	217.11.224.1 + 217.11.224.2
SMTP od ISP	mail.234.cz, ale kdybychom ho chtěli používat musíme dát vědět ISP dopředu

Lokalni sit

Bezdrátová síť WiFi

SSID: MKTLOCAL
WPA2 PSK: 1:g4abioWJnZKHnfM=
zelená svině je vedle rozvaděče a je zapojená WAN rozhraním do sítě pro nájemníka (LAN2)a na svém LAN rozhraní vysílá Wi-Fi (má svůj vlastní DHCP rozsah 192.168.1.0/24)
web rozhraní je přístupné z WAN (dynamicky přidělovaná IP) i LAN 192.168.1.254 (admin/spravce)

Linux Router

INET

Internet, rozhraní eth0

STS

síť s pracovními stanicemi v rozsahu 192.168.10.0/24, rozhraní eth1

SN

síť se serverem v rozsahu 192.168.11.0/24, rozhraní eth2

NAJS

síť k nájemnikovi v rozsahu 192.168.12.0/24, rozhrani eth3

 +----------+
 | Internet |
 +----------+
      |
      | 
      |  82.208.54.92
 +----------+                    
 |          |  192.168.10.1      +---------------+
 |          |--------------------| LAN - Trading |
 | Firewall |----------------+   +---------------+
 |          |  192.168.12.1  |      192.168.10.0/24
 |          |                |         
 +----------+                |
      |  192.168.11.2        |  
      |                      |      192.168.12.0/24
      |  192.168.11.3        |    +----------------------+
 +----------------+          +----| LAN2 - nájemník,     |
 | DSA-LAN-Server |               | PC pro státní správu |
 +----------------+               +----------------------+
      

DHCP (192.168.10.1)

Nastaven pouze pro síť LAN a LAN2, dynamický rozsah IP pro LAN je 192.168.10.110 až 192.168.10.200

staticky přidělované IP adresy

<pre> 78:AC:C0:C3:F6:55;192.168.10.22;PC001, Čedík 2C:27:D7:1A:28:F4;192.168.10.23;PC02, Richard Frk 2C:27:D7:1A:35:C6;192.168.10.24;PC03, Ivan Žižka 00:14:C2:02:1D:AA;192.168.10.25;PC104, Monika Čedíková 00:15:60:9D:B8:3C;192.168.10.26;PC107, Hana Čedíková 00:1F:29:2F:CC:B2;192.168.10.100;HP Color LaserJet? CP1515n 00:1B:A9:47:AE:35;192.168.10.101;Konica Minolta BizHub? 20P Servery DNS . . . . . . . . . . . : 192.168.11.3 Primární server WINS. . . . . . . : 192.168.11.3</pre>

FIREWALL

Firewall je nastavený, aby omezoval veškerou komunikaci kromě:

• na výstupu z lokálního stroje neomezuje nic (OUTPUT)
• přístup na lokální stroj (INPUT)
  • z rozhraní lo (loopback)
  • z Internetu (eth0) porty TCP/10002 (SSH), TCP/25 (SMTP), TCP/80 a TCP/443 (HTTP) a ICMP PING
  • z LAN1 (eth1) a LAN2 (eth2) (přístup na IP adresy serveru) přijímá vše
  • broadcasty z LAN1 (eth1) a LAN2 (eth2)
  • z LAN1 (eth1) UDP/67 (DHCP)
  • ze Internetu (eth0) přijímá pakety k navázané komunikaci
  • vše z VPN
• předávání komunikace (FORWARD)
  • z LAN1 (eth1) do Internetu (eth0) 443,80,8949,143,25,21,5550 (kamery)
  • ze sítí LAN1 (eth1) a LAN2 (eth2) aktualne vse
  • pouze pakety k již navázané komunikaci mezi všemi sítěmi
  • vše z VPN

Maily

• firewall na portu 25 přijímá emaily, proskenuje na viry, otestuje na spamy a případně označí, a přepošle na Exchange server
• Exchnage odesílá emaily přes firewall
• Na Exchange jsou veřejné složky na učení spamů a hamů
• Firewall si stahuje spamy a hamy k učení a učí SpamAssassin

Exchange

• historicky bylo nastaveno používání statických portů 5700-5704 pro MAPI podle návodu

Stanice

Windows 10	všechny
Poštovní klient	MS Outlook 2003/2010/2016
Antivir	ESET NOD32 Antivirus Business Edition; STANIC: 11; licence viz níže,
Office	MS Office 2010 Proffesional Plus (MVL)	Product Key 86X94-7TB49-9KJ23-GF4FG-F2HRX
	MS Office 2003 Proffesional koupený	Product Key G4974-GB93D-TVQHP-MRFQV-8QB43
Web browser	FireFox

Servisní disk

\\DSA\COMPANY\INSTALL

Instalační CD

serverová CD jsou ve skříni u p. Frka

Hesla

local Administrator: 1:wf71x+nqpb65jw== (historicky: 1:78rMx8DZ25iYqQ== nebo 1:LCkvJCM6OEo= nebo 1:V3J0f3hhYyYiEQ==)
domain Administrator: 1:78rMx8DZ25iYqQ== (doména bude v květnu 2016 zrušena)

Nastavení pošty

Protokol	MAPI - Exchange v Office 365
server	???
SMTP + port	??? ??

Mail o vzdalenem pristupu do posty co jim posilal Maja

Důležité aplikace a data

Speciální uživatel starter heslo 1:j6qpqqKq6ujo4Ng=

po restartu serveru se přihlásit se speciálním uživatelem
zadat heslo pro truecrypt
heslo pro odemknutí šifrované particie : 1:hqKFm67jtPeisrKOguOB94SBtOnW
dále vše probáhá automaticky, jakmile je vše dokončeno proběhne i odhlášení speciálního uživatele

Hlavička šifrovaného disku je uložena tu: \\jalovice\data\!klienti\Trading MK\!dokumentace\hlavicka hdd

AVerDiGi CM3000

Video Surveillance aplikace pro dohled nad solárními elektrárnami, heslo do aplikace je zizka/1122
Instalační disk a konfigurační soubor (exportovatelný a importovatelný) jsou na K:\

EZS - Centro (Technoalarm, ATIS group s.r.o.)

Instalační disk a licenční soubor jsou na K:\, konfigurace se musí ručně s telefonickou pomocí dodavatele

Antivirus - NOD

RAC je na DSA

Password for Console (Administrator Access): 1:78rMx8DZ25iYqQ==
Password for Console (Read-Only Access): 1:LCkvJCM6OEo=
Remote installer password (Agent): 1:kZSSmZ6HlZ6Z9w==

5 stanic na intranetu se instaluje dávkou "K:\Install\!IN\ESET NOD32 Business Edition\instaluj_trading.bat"
1 stanice mimo intranet (PC pro státní správu) + notebooky a počítača u Čedíků doma se instalují ručně (klasicky bez RAC), je možné využít XML s konfigurací "K:\Install\!IN\ESET NOD32 Business Edition\default_client_config_TRADINGMK_notebook.xml"

Licence (do 2018)

PRODUKT: ESET Endpoint Antivirus
TYP: Prodloužení (3 roky)
STANIC: 11
PLATNOST OD - DO: 9. 2. 2015 - 23. 2. 2018

UŽIVATELSKÉ JMÉNO: EAV-0124195149
HESLO: 33kek8rkbk

Periferie

Konica Minolta

výrobce a model	bizhub 20P
umístění	Vedle racku
připojení	síťová
drivery	na CD

HP Color Laserjet CP1515n

výrobce a model	HP Color LaserJet CP1515n
umístění	Vedle racku
připojení	LAN - 192.168.10.100
drivery	na serveru ci stranky vyrobce

Zálohování

Platforma
zalohovani pres SBS 2008 Windows Backup disku C a D na disk Z
Zálohovací schéma
1x denne 20:30 tusim
plus je nastaveny v prac dny po 2 hodinach VolumeShadowCopy? disku D na D (takze by na datech meli mit zalozku Predchozi verze)
Externí záloha
maji 3x externi MyPasporty? zasifrovane Truecryptem heslo 1:5ebnm7qkrLy35uTk7Iuzsbqlpo6M1A==
disk se zalohami Z serveru je nasdilen pro cteni pro Cedika a Frka a jsou na nem skripty ktere spousteji ze svych PC, skript kopiruje slozku WindowsImageBackup? na USB disk, puvodni slozku WindowsImageBackup? na USB disku prejmenuje na starsi (zustanou tam 3 starsi zalohy, jeste starsi smazne)
spousti z:\zaloha_PCCedik.vbs respektive PCFRK a PCCedikova (na PC prihlasen cedik)
pokud se chteji jen podivat na externi disk spousti z:\truecrypt_mountCedik.bat respektive Frk..
kopirovani se loguje robocopy do K:\logy\robocopy_na_USB_Cedik.log respektive Frk..

Externí zálohování - pokusy

O externí zálohy jsme se snažili různými způsoby

V rámci jednoho z nich jsme od Semráda dostali přidělený rozsah sítě 85.239.254.224/29, tento rozsah Semrad nasměroval na ADSL u Čedíků doma a tam jej použil Evžen pro rozchození IPSecu mezi kanceláří a domácností, detaily už si pořádně nepamatuju, ale myslím si, že to už není potřeba. Navíc za to chtěl Semrád cca 500 měsíčně (které nám však zatím pravděpodobně neúčtuje). Zakázka 071022-10

Další pokus byl rozchození IPSecu mezi firewallem Mktrade a Jalovici, dělal Martin, v rámci toho se teď zálohuje k nám na jalovici adresář \\Sbsserver\company\Dokumenty NT\Access, má půl giga a trvá to celkem dost hodin. Pro kompletní zálohu to není vhodné, trvalo by to dlouho

Pravidelny servis

Cinnost	Software	Frekvence
STANICE
procisteni docasnych slozek	ccleaner	1x mesicne
kontrola event logu	prikaz - eventvwr	1x mesicne
kontrola logu antiviroveho programu	samotny antivir	1x mesicne
kompletni test	antivir	1x denne
defragmentace HDD	prikaz - dfrg.msc	1x mesicne analyza (dle potreby spustit defragmentaci)
kontrola aktualizaci OS + Office	MSUpdate	1x mesicne
kontrola bezicich procesu a sluzeb	spravce uloh	1x mesicne
kontrola software bezicich po startu OS	ruzne, msconfig, ccleaner	1x mesicne
kontrola mista na disku	rucne	1x mesicne
kontrola hw dane stanice	everest	2x rocne - dle vysledku doporucit upgrade
SERVER
kontrola event logu	prikaz - eventvwr	1x mesicne
kontrola zaloh	ntbackup - kontrola zprav	1x mesicne
kontrola mista na disku	rucne	1x mesicne
kontrola hw dane stanice	everest	1x/2roky

Pod timto textem zkopirovat do zakazky pravidelny servis a napsat jaky byl stav - OK, nejake chyby, problemy

STANICE - "stav"
SERVER - "stav"
ZALOHY - "stav"

Internet a IT u Čedíků doma

Provider ADSL UVT
Linka Easy.ADSL 6megabit/256 35GB

Sit

ADSL:

Prestige 660RU-T3/T7
http://192.168.1.1/
heslo: 1:XVheVVJLSTs=

IP WAN: 85.239.228.18
IP LAN: 192.168.1.1/24 (NO DHCP)

NAT
1:1
Local Start IP: 192.168. 1.254
Global Start IP: 85.239.228.18
Type: One-to-One?

PPPoE
LLC, 8/48/UBR
user: cedik v(e) uvt.cz
pass: 1:nIOUi5qblcTA8g==

Mikrotik

http://192.168.20.1:8080/webfig/
user: admin
pass: 1:n7q8t7Cpu7C38+jr6tk=

WAN:
IP: 192.168.1.254/24
DNS1: 85.239.225.194
DNS2: 85.239.225.161

LAN:
IP: 192.168.20.1/24
DHCP pool: 192.168.20.3-192.168.20.253

IPSEC PSK: 1:4e7n9Pb09/D+4e7n9P/u7+GG

Wifi Čedík doma

SSID: WIFI Pracovna
WPA: cedikmktradeautocont

<strike>

Printserver Čedík doma

IP: 192.168.20.2
user: Admin nebo admin (je to jedno)
pass: 1:jouNhoGYmug=
USB1: HP LaserJet 3330
USB2: HP DeskJet 5652
</strike>

Konica Minolta 1600f

IP: 192.168.20.2 (pevná)
při instalaci nutno postupovat podle návodu v DOC zde (ovladač tamtéž):
http://www.konicaminolta.cz/business-solutions/support/download-center/download-result.html?packageId=47224&productName=Konica%20Minolta%201600f
musí se totiž nainstalovat nový druh TCP/IP portu:
Ovládací panely\Systém a zabezpečení\Nástroje pro správu\Správa tisku\Porty
a tam přidat nový druh portu: Companion Suite Pro LL TCP/IP Monitor
a přes ten pak tisknout (přidat síťovou tiskárnu opět pomocí Ovládací panely\Systém a zabezpečení\Nástroje pro správu\Správa tisku\Tiskárny)

Internet Žižka Ivan/Čedíková Hana doma

přívod: mají něco na střeše
rd:
- po domě v 1. patře u Žižků jsou nějaké repeatery v režimu router (nikoli bridge, takže jedna půlka baráku nevidí druhou půlku baráku přes dva NATy)
- v přízemí je stolní HP (i5) a Mikrotik (propojeno metalicky)
Mikrotik je v režimu, kdy je připojen k WiFi? "Zizkovi2" (pass: 1:or26taW6teXU) a protože nějak nefunguje DHCP client ani na Mikrotiku, ani na PC (ač by měl), tak jsou nastaveny statické IP adresy:
Mikrotik 192.168.1.132
PC 192.168.1.133
v repeateru jsou tyto dvě adresy vyhrazeny v DHCP poolu, ale stejně to nefunguje (nikdo žádnou IP neobdrží, asi je něco špatně nastaveno v tom Mikrotiku, že nepřenáší DHCP requesty)
gateway: 192.168.1.1
maska: 255.255.255.0 (/24)
DNS1: 10.0.1.2
DNS2: 10.0.1.10

notebook maminka p. Čedíka

ACER (zakoupen asi 2012) - heslo uživatele: 5647

Staré informace o ovládání ADSL modemu ve firmě (modem už tam není)

ADSL modem

mode: Routing, WAN IP 85.239.228.10, LAN IP 85.239.254.225, Maska: 255.255.255.248, DHCP - none, RIP - none, NAT - none, Firewall - off
<strike>user: admin</strike>
pass: 1:Wl9ZUlVMTjw=
prozatimní heslo: "123456*"
přístup přes http://85.239.228.10 a telnet je dočasně povolen, než se vyřeší problém s pomalou konektivitou

telnet 85.239.228.10
vybrat 24 (System Maintenance) pak vybrat 8 (Command Interpreter Mode)
pomocí příkazu:
wan adsl opmode
zkontrolovat, jestli je výsledek

eventuelně pomocí příkazu:
wan adsl chandata
zkontrolovat, jestli je výsledek alespoň (download/upload prý lepší vzhledem ke vzdálenosti od ústředny nebude)

pokud není, tak příkazem:
wan adsl opmode adsl2plus nebo wan adsl opmode adsl2+ (nevím, co je správně) nastavit režim ADSL2+, který je jinak defaultně vypnutý !!!!

pomocí příkazu:
sys view autoexec.net
se zobrazí konfigurace, který je po výměně modemu ke dni 7.9.2011 takto:

možná, že je potřeba soubor "autoexec.net" zeditovat a přidat do něj příkaz "wan adsl opmode adsl2plus", aby si modem nastavení pamatoval i po vypnutí (neověřeno): sys edit autoexec.net - to edit configuration (d - delete, i - insert, x - save and exit)

---

hesla Hany Čedíkové:
5647 (do notebooku Acer)
hana1947 (někam jinam)