2011 Gayral Bastien Teneur Jérôme Promé Rudy Desseaux Vincent Hamon Arnaud Delahaie Jérôme
[MIR INTRANET-WINDOWS] Ce document est une étude des produits de Microsoft répondant aux besoins de la société Aristote. Il détaille les différents choix techniques préconisés par notre équipe d’experts pour un meilleur fonctionnement du système d’information de notre client.
[MIR INTRANET-WINDOWS]
MediaNetWork
Versions du document Version 1.0 1.1 1.2
Modifications apportées Première version du document Correction orthographique Refonte de la mise en page
Date 26/01/2010 27/01/2010 28/01/2011
2
[MIR INTRANET-WINDOWS]
MediaNetWork
Equipe MediaNetwork Cette étude a été réalisée par l’équipe de MediaNetwork :
Gayral Bastien (Chef de projet) Teneur Jérôme Promé Rudy Desseaux Vincent Hamon Arnaud Delahaie Jérôme
3
[MIR INTRANET-WINDOWS]
MediaNetWork
Sommaire 1
Partie 1 : Conception d’Architecture (Jérôme Teneur) ................................................................. 11 1.1
Rappel du contexte et des besoins........................................................................................ 11
1.2
Présentation Active Directory ............................................................................................... 11
1.3
Pré requis............................................................................................................................... 12
1.3.1
Répartition géographique ............................................................................................. 12
1.3.2
Répartition des utilisateurs ........................................................................................... 12
1.3.3
Infrastructure Active Directory existante ...................................................................... 12
1.4
Présentation du nouvel environnement ............................................................................... 13
1.4.1
Windows Serveur 2008r2 .............................................................................................. 13
1.4.2
Active Directory (2008r2) .............................................................................................. 13
1.5
Domaine et forêt Active Directory ........................................................................................ 14
1.5.1
Catalogue global ............................................................................................................ 14
1.5.2
Répartition des rôles Active Directory (FSMO) ............................................................. 15
1.5.3
Réplications ................................................................................................................... 15
1.5.4
Représentation organisationnelle d’Aristote ................................................................ 16
1.6
Organisation de l’annuaire Active Directory ......................................................................... 17
1.6.1
Groupes d'utilisateurs ................................................................................................... 17
1.6.2
Stratégie de groupe ....................................................................................................... 18
1.6.3
Organisation Fonctionnelle des OU............................................................................... 19
1.6.4
Mise en place de RODC ................................................................................................. 20
1.6.5
Gestion des sites et services .......................................................................................... 21
1.7
Processus d’administration (Vincent Desseaux) ................................................................... 22
1.7.1
Rappel des besoins ........................................................................................................ 22
1.7.2
Déclaration des équipes informatiques et affectation des groupes ............................. 22
1.7.3
Déclaration des droits à attribuer dans Active Directory pour chaque groupe ............ 23
1.7.4
La gestion de la création de stratégies de groupe ........................................................ 24
1.7.5
L’octroi du droit Administrateur Local pour les équipes informatiques ....................... 25
1.7.6
L’utilisation du bureau à distance ................................................................................. 25
1.8
Sauvegarde et récupération d’urgence Active Directory (Rudy Promé) ............................... 26
1.8.1
Rappel des besoins ........................................................................................................ 26
1.8.2
Sauvegarde des contrôleurs de domaine ...................................................................... 26
1.8.3
Présentation de l’utilitaire de sauvegarde Windows Server Backup ............................ 26 4
[MIR INTRANET-WINDOWS]
MediaNetWork
1.8.4
Quel serveur sauvegarder ?........................................................................................... 26
1.8.5
Précisions sur la méthode de sauvegarde dite « incrémentielle » ............................... 27
1.8.6
Emplacement des sauvegardes ..................................................................................... 27
1.8.7
Conclusion ..................................................................................................................... 28
1.9
Plan de récupération d’urgence (Rudy Promé) ..................................................................... 28
1.9.1
Rappel ............................................................................................................................ 28
1.9.2
Intérêt de la récupération d’urgence ............................................................................ 28
1.10
Estimation des coûts ............................................................................................................. 29
1.11
Haute disponibilité (Jérôme Teneur et Rudy Promé) ............................................................ 30
Active Directory et Hyper-V........................................................................................................... 30 Répartition DNS ............................................................................................................................. 30 1.12
Dimensionnement hardware et Coûts .................................................................................. 31
Hardware ....................................................................................................................................... 31 Coûts .............................................................................................................................................. 31 1.13
Conclusion ............................................................................................................................. 32
1.14
Architecture DNS (Rudy Promé) ............................................................................................ 33
1.14.1
Rappel des besoins ........................................................................................................ 33
1.14.2
Nom de domaine ........................................................................................................... 33
1.14.3
Plan de nommage des postes ........................................................................................ 33
1.14.4
Serveurs primaires et secondaires ................................................................................ 34
1.14.5
Configuration des clients ............................................................................................... 34
1.14.6
Schéma d’intégration .................................................................................................... 35
1.15
2
Le service DHCP (Vincent Desseaux) ..................................................................................... 36
1.15.1
Rappel des besoins ........................................................................................................ 36
1.15.2
Introduction ................................................................................................................... 36
1.15.3
Présentation du plan d’adressage employé .................................................................. 37
1.15.4
Présentation du service DHCP ....................................................................................... 38
1.15.5
Les fonctionnalités liés à DHCP ..................................................................................... 38
1.15.6
Architecture du serveur DHCP....................................................................................... 39
Partie 2 : Mise en place de la solution réseau Microsoft Windows .............................................. 40 2.1
Partages de fichiers (Bastien Gayral)..................................................................................... 40
2.1.1
Besoins du client............................................................................................................ 40
2.1.2
Introduction ................................................................................................................... 40
2.1.3
Windows Storage Serveur ............................................................................................. 40 5
[MIR INTRANET-WINDOWS]
MediaNetWork
2.1.4
Serveur de fichiers ......................................................................................................... 42
2.1.5
Choix du SAN (Storage Area Network) .......................................................................... 42
2.1.6
Volumétrie ..................................................................................................................... 42
2.1.7
Architecture ................................................................................................................... 43
2.2
Estimation des coûts ............................................................................................................. 44
2.2.1 2.3
Coûts matériels et logiciels ............................................................................................ 44
Gestion de contenu de l’entreprise (Jérôme Delahaie) ........................................................ 45
2.3.1
Besoins du client............................................................................................................ 45
2.3.2
Solutions disponibles sur le marché .............................................................................. 45
2.3.3
Solution retenue ............................................................................................................ 47
2.3.4
Architecture proposée................................................................................................... 47
2.4
Système d’impression (Arnaud HAMON) .............................................................................. 50
2.4.1
Rappel des besoins ........................................................................................................ 50
2.4.2
Introduction ................................................................................................................... 50
2.4.3
Gestion des imprimantes et des serveurs d’impression ............................................... 50
2.4.4
Implémentation de la gestion de la localisation des imprimantes ............................... 50
2.4.5
Architecture de la solution ............................................................................................ 51
2.4.6
Coûts de la solution ....................................................................................................... 52
2.5
Système de messagerie et de communications (Rudy Promé) ............................................. 53
2.5.1
Rappel des besoins ........................................................................................................ 53
2.5.2
Choix du serveur de messagerie.................................................................................... 53
2.5.3
Implémentation des rôles Exchange ............................................................................. 54
2.5.4
Application cliente de messagerie................................................................................. 55
2.5.5
Synchronisation des appareils mobiles ......................................................................... 55
2.6
Haute disponibilité (Rudy Promé) ......................................................................................... 56
2.6.1
Introduction ................................................................................................................... 56
2.6.2
Partage de charge .......................................................................................................... 56
2.6.3
Gestion des bases de données d’Exchange ................................................................... 56
2.7
Messagerie collaborative (Bastien Gayral) ............................................................................ 58
2.7.1
Microsoft Office Communications Server 2007 ............................................................ 58
2.7.2
Conclusion ..................................................................................................................... 59
2.7.3
Architecture mise en place ............................................................................................ 60
2.8
Schéma physique d’intégration (Rudy Promé) ...................................................................... 61
2.9
Estimation des coûts (Bastien Gayral et Rudy Promé) .......................................................... 62 6
[MIR INTRANET-WINDOWS] 2.9.1
Coûts matériels et logiciels ............................................................................................ 62
2.9.2
Coûts humains ............................................................................................................... 62
2.10
3
Applications métiers (Arnaud HAMON) ................................................................................ 63
2.10.1
Rappel des besoins ........................................................................................................ 63
2.10.2
Introduction ................................................................................................................... 63
2.10.3
Présentation de la solution ........................................................................................... 63
2.10.4
Architecture de la solution ............................................................................................ 64
2.10.5
Coûts de la solution ....................................................................................................... 66
Partie 3: Utilisation de l'accès Internet (Bastien Gayral)............................................................... 67 3.1
Introduction ........................................................................................................................... 67
3.2
Exigences ............................................................................................................................... 67
3.3
Comparatif de produits ......................................................................................................... 67
3.3.1
ISA Serveur 2006 ........................................................................................................... 67
3.3.2
Forefront TMG (Threat Management Gateway) ........................................................... 68
3.4
Microsoft Forefront Threat Management Gateway ............................................................. 68
3.4.1
Pare-feu ......................................................................................................................... 68
3.4.2
Proxy .............................................................................................................................. 68
3.5
4
MediaNetWork
Forefront Unified Access Gateway ........................................................................................ 69
3.5.1
Mise à jour des correctifs .............................................................................................. 71
3.5.2
Sauvegardes des liens Wan ........................................................................................... 71
3.6
Architecture de la solution proposée .................................................................................... 71
3.7
Choix de la gamme ................................................................................................................ 72
3.8
Coûts matériels et logiciels.................................................................................................... 72
Gestion du cycle de vie des postes de travail (Vincent Desseaux) ................................................ 73 4.1
Rappel des besoins ................................................................................................................ 73
4.2
Introduction ........................................................................................................................... 73
4.3
Comparatif de solutions ........................................................................................................ 73
4.3.1
LANDesk Management Suite ......................................................................................... 73
4.3.2
System Center Configuration Manager ......................................................................... 74
4.3.3
Architecture de System Center Configuration Manager ............................................... 75
4.3.4
Système de déploiement d’images ............................................................................... 76
4.3.5
Schéma d’Infrastructure mis en œuvre ......................................................................... 78
Pré requis....................................................................................................................................... 78 4.3.6
Coûts de la solution ....................................................................................................... 79 7
[MIR INTRANET-WINDOWS] 5
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON) .......................................... 80 5.1
Rappel des besoins ................................................................................................................ 80
5.2
Introduction ........................................................................................................................... 80
5.3
Comparatif de solutions ........................................................................................................ 80
5.4
Solution d’aide à l’exploitation d’infrastructure ................................................................... 80
5.5
Architecture de la solution .................................................................................................... 85
5.5.1
Configuration minimale d’un client pour installer un agent ......................................... 85
5.5.2
Configuration des serveurs de base de données .......................................................... 86
5.5.3
Configuration serveur SCOM Reporting ........................................................................ 86
5.5.4
Configuration serveur SCOM ......................................................................................... 86
5.6 6
7
MediaNetWork
Coûts de la solution ............................................................................................................... 86
Hyper-V (Jérôme Teneur) .............................................................................................................. 88 6.1
Présentation du produit ........................................................................................................ 88
6.2
Pourquoi virtualiser ? ............................................................................................................ 88
6.3
Recommandation matériel : .................................................................................................. 88
6.4
Principe de fonctionnement .................................................................................................. 88
6.5
Hyper-V dans aristote.lan ...................................................................................................... 89
Annexes ......................................................................................................................................... 96
8
[MIR INTRANET-WINDOWS]
MediaNetWork
Introduction Contexte Le holding CFG, leader dans l’industrie spatiale, a demandé à sa filiale MediaNetWork de réalisé une solution technique la plus conforme aux besoins exprimés par le client « Aristote » comprenant les éléments économiques et financiers ainsi que la réalisation du prototype. Cette étude a été réalisée dans le cadre du projet MIR (Moyens Informatiques de Réseaux). Pour rappel, le projet MIR est composé de six parties, chacune traitant un domaine spécifique et distinct du système d’information global, hormis MIR 6 qui est l’intégration de chacun des systèmes étudiés de MIR 1 à MIR 5.
MIR 1 : Infrastructure Réseau de Communication MIR 2 : Sécurité du Système MIR 3 : Architecture de messagerie MIR 4 : Infrastructure Linux MIR 5 : Intranet Windows. MIR 6 : Intégration Réseaux et Systèmes
Ce document contient l’expertise de la partie du projet global MIR, consacrée à la conception de la solution, au déploiement et à l'exploitation d'un réseau Microsoft Windows (MIR 5 : Intranet Windows).
Contexte géographique La société Aristote emploie est présente sur le marché des énergies renouvelables. Actuellement, Aristote est constitué de quatre sites distants, Orsay, Bayonne, Bruxelles et Sophia Antipolis et environ 800 personnes. Elle envisage une croissance de 20% de ses effectifs en 5 ans que nous prenons en compte dans l’étude.
9
[MIR INTRANET-WINDOWS]
MediaNetWork
BRUXELLES Lien 20 Mb/s Liens 2 Mb/s
Accès Internet
ORSAY
MPLS
BAYONNE
SOPHIA ANTIPOLIS
Rappel général des besoins L'entreprise cliente veut se doter d'un système informatique basé en particulier sur une infrastructure Réseau Microsoft Windows avec un annuaire d'entreprise et de sécurité, un système de messagerie collaborative et de communications temps réel, des processus d'administration des ressources, des procédures de déploiements, différents systèmes de ressources partagées, des accès à Internet via un proxy cache et un portail d'entreprise fédérateur. Afin de faciliter l'exploitation des infrastructures, un système de gestion des opérations est demandé.
10
[MIR INTRANET-WINDOWS]
MediaNetWork
1 Partie 1 : Conception d’Architecture (Jérôme Teneur) 1.1 Rappel du contexte et des besoins Dans le cadre du projet MIR (Moyens Informatiques et Réseaux), vous souhaitez la mise en place d’un annuaire regroupant l’ensemble de ses locaux afin de disposer d’une administration centralisée de ses utilisateurs. Cette Annuaire sera aussi la base pour l’intégration d’un système de messagerie et de communication commun au sein de l’entreprise.
1.2 Présentation Active Directory « Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les éléments d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées. » Source : http://fr.wikipedia.org/wiki/Active_Directory
Figure 1 - Illustration Active Directory
Partie 1 : Conception d’Architecture (Jérôme Teneur)
11
[MIR INTRANET-WINDOWS]
MediaNetWork
1.3 Pré requis 1.3.1 Répartition géographique Il nous est important de savoir où et comment Aristote est géographiquement implantée, pour répondre aux questions concernant l’implantation de la structure Active Directory. En effet, nous nous baserons sur cette répartition pour optimiser la gestion du service d’annuaire au travers des liaisons inter-sites. Nous avons donc quatre sites distants :
Orsay Bayonne Sophia Antipolis Bruxelles
A noter également que le cœur du système d’information se trouvant à Orsay, nous y trouverons une architecture en mesure de gérer une charge très importante, et de garantir une forte tolérance de pannes.
1.3.2 Répartition des utilisateurs La direction d’Aristote envisage une croissance conséquente de ses effectifs d’environ 20% en 5 ans. Actuellement, le dimensionnement de ses effectifs est le suivant : Orsay Bayonne Sophia-Antipolis Bruxelles TOTAL Direction Générale 40 4 1 15 60 Administrative et Financière 30 10 0 5 45 Commerciale et Marketing 70 16 4 25 115 Etudes 255 20 10 40 325 Production 5 130 65 75 275 TOTAL 400 180 80 160 820 L’entreprise dispose à ce jour de 820 employés, dont 400 sur le site d’Orsay, 180 à Bayonne, 80 à Sophia-Antipolis et 160 à Bruxelles.
1.3.3 Infrastructure Active Directory existante Le cahier des charges à notre disposition n’exprimant pas de besoins liés à une intégration et à un système d’annuaire existant, nous partons du postula que toute l’architecture doit être refaite. Cela en vu du replacement total du système d’annuaire actuellement en place.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
12
[MIR INTRANET-WINDOWS]
MediaNetWork
1.4 Présentation du nouvel environnement 1.4.1 Windows Serveur 2008r2 Nous avons choisi de baser la nouvelle architecture de l’annuaire sur le système d’exploitation de Microsoft Windows serveur 2008r2 Entreprise Edition 64bits. Ce système apporte de nombreux avantages : Son niveau de sécurité est renforcé (grâce au chiffrement, au contrôle d’accès et au renforcement de l’OS) Un niveau de flexibilité important (apporté par la virtualisation, par l’accès à distance aux applications et au déploiement accéléré) Un degré de contrôle amplifié (administration des serveurs simplifiée, service de déploiement Windows) En choisissant ce produit, votre entreprise investit dans une solution pérenne (garantie sur 5ans) et évolutive car elle permet la mise en œuvre des technologies nouvelles et à venir. Au-delà de l’avance de phase technologique, votre entreprise réduit également son coût d’exploitation, de mise en œuvre et donc son TCO (Total Cost Ownership).
1.4.2 Active Directory (2008r2) Active Directory, dans sa version 2008, apporte son lot de nouveautés. Etant le cœur de votre architecture, il est important de le maîtriser et d’en connaitre tous les composants. On y retrouvera notamment de nouveaux assistants plus complets, une optimisation du service de réplication, un nouveau concept de contrôleur en lecture seul (RODC) pour la DMZ d’Orsay ou encore pour le site de Sophia-Antipolis, ainsi que la possibilité de définir plusieurs stratégies de mot de passe dans un même domaine. Enfin on notera une modification importante du fonctionnement liée aux GPO, les nouveaux paramètres d'audit ainsi que la sauvegarde avancée à l'aide des clichés. Niveaux fonctionnels du domaine et de la forêt Active Directory Le choix des niveaux fonctionnels du domaine et de la forêt est important car il ne pourra être rétrogradé un fois mis en place. Il permet au domaine et à la forêt de disposer de fonctionnalités supplémentaires comme par exemple la corbeille Active Directory qui offre la possibilité de restaurer des objets supprimés. Comme nous proposons d’utiliser Windows Server 2008 R2 pour l’ensemble des contrôleurs de domaine au sein de la forêt, nous optons pour le niveau fonctionnel du domaine et de la forêt le plus élevé, à savoir Windows Server 2008 R2.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
13
[MIR INTRANET-WINDOWS]
MediaNetWork
1.5 Domaine et forêt Active Directory Problématique Apporter une évolution profonde à l'architecture système, en prenant compte des objectifs à court et moyen terme tout en se focalisant sur les contraintes de la société. Nous allons donc dans cette partie traiter de l’architecture fonctionnelle d’Active directory, en définissant notamment la position des différents sites dans le domaine vsn-aristote.lan. Pour résumer nous devons prendre en compte les paramètres suivants : Pas de filiale Quatre sites Six services Ces trois informations nous permettent de proposer une architecture qui ne se basera que sur un seul domaine dans une unique forêt. La gestion des sites distants se fera en deux points : Au travers d’OU nommées pour chaque site permettant d’y classer les utilisateurs et stations Au travers des sites et services Active Directory Grâce à une organisation de ce type nous garantissons: Une optimisation des réplications inter-sites Une meilleure gestion des flux grâce à l’association des sites à un sous-réseau IP Une meilleure gestion du mode dégradé si l’un des DC était inaccessible Une plus grande flexibilité pour la délégation des droits administratifs Nous devons ensuite prendre en considération le nombre d’utilisateurs, ainsi que leur répartition géographique, afin d’implémenter le nombre de serveurs appropriés. Tout d’abord le site d’Orsay et ses 400 utilisateurs. Ce site est très sensible, nous devons donc garantir une disponibilité permanente. De plus, le nombre d’utilisateurs étant très conséquent nous mettre en place un système de haute disponibilité. Les autres sites distants ont un nombre d’utilisateurs variant entre 80 et 180. Ces sites se verront équipés d’un contrôleur de domaine, et assureront une continuité de services en cas de crash, grâce aux contrôleurs d’Orsay (les flux seront donc reroutés au travers de la liaison WAN). Enfin, grâce aux nouvelles fonctionnalités offertes par Windows server 2008r2, nous allons pouvoir envisager de mettre en place un système autonome en lecture seule dans la DMZ.
1.5.1 Catalogue global Dans une infrastructure Active Directory, un catalogue global est un contrôleur de domaine qui contient tous les objets de la forêt, avec pour chacun de ces objets, seulement les attributs les plus utilisés. Un catalogue global est donc nécessaire pour la recherche d’objets au sein d’une forêt contenant plusieurs domaines. Comme nous proposons pour Aristote une forêt Active Directory à domaine unique, l’utilisation de la fonction de catalogue global n’est à priori pas requise. Néanmoins, avec l’utilisation d’Exchange 2010
Partie 1 : Conception d’Architecture (Jérôme Teneur)
14
[MIR INTRANET-WINDOWS]
MediaNetWork
comme système de messagerie, la fonction de catalogue global est requise sur au moins un contrôleur de domaine par site.
1.5.2 Répartition des rôles Active Directory (FSMO) Il existe 5 rôles FSMO. Ces 5 rôles sont nécessaires au bon fonctionnement de nos domaines/forêts. Chacun de ces rôles ne peut être hébergés que par des contrôleurs de domaine et non par des serveurs membres. Ils ont également des étendues différentes et des domaines de réplication différents. On distingue parmi les 5 rôles : FSMO Maître d'attribution des noms de domaine
Emplacement Unique au sein d'une forêt
Rôle Inscription de domaines dans la forêt
DC désigné ORS-SRV-AD1
Contrôleur de schéma
Unique au sein d'une forêt
Gère la modification du schéma Active Directory
ORS-SRV-AD1
Maître RID
Unique au sein d'un domaine
Distribue des plages RID pour les ORS-SRV-AD2 SIDs
Maître d'infrastructure
Unique au sein d'un domaine Unique au sein d'un domaine
Gère le déplacement des objets
ORS-SRV-AD2
Synchroniser l’heure, modifier les mots de passe, verrouiller les comptes
ORS-SRV-AD2
Emulateur PDC
Ces rôles ne peuvent être assurés en haute disponibilité car ils sont uniques soit au sein de la forêt soit au sein du domaine. En cas de crash d’un contrôleur assurant un ou plusieurs rôles, ce ou ces plusieurs rôles doivent être transférés manuellement à un autre contrôleur de domaine disponible.
1.5.3 Réplications Les services de domaine Active Directory emploient une méthode de réplication différée multimaître. Un contrôleur de domaine communique les modifications apportées à l’annuaire à un deuxième contrôleur de domaine qui les communique ensuite à un troisième, et ainsi de suite, jusqu’à ce que tous les contrôleurs de domaine aient reçu les modifications. Pour parvenir au meilleur équilibre possible entre la réduction de la latence de réplication et la réduction du trafic, la topologie de site contrôle la réplication Active Directory en faisant la distinction entre la réplication qui a lieu au sein d’un site et la réplication qui a lieu entre les sites distants. À l’intérieur des sites, la réplication est optimisée pour aller le plus vite possible : les mises à jour de données déclenchent la réplication et les données sont envoyées en évitant la surcharge requise par la compression des données. À l’inverse, la réplication entre sites est compressée pour réduire au minimum le coût de transmission sur les liaisons de réseau étendu.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
15
[MIR INTRANET-WINDOWS]
MediaNetWork
1.5.4 Représentation organisationnelle d’Aristote
Figure 2 - Schéma organisationnel du domaine vsn-aristote.lan
Au travers de ce schéma, nous retrouvons toutes les informations relatives au domaine vsnaristote.lan. Nous avons par exemple la répartition des contrôleurs de domaine au sein des sites distants, ainsi que la répartition des rôles FSMO.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
16
[MIR INTRANET-WINDOWS]
MediaNetWork
1.6 Organisation de l’annuaire Active Directory 1.6.1 Groupes d'utilisateurs Les utilisateurs peuvent être distingués par leur site géographique de travail et leur direction d’appartenance. Visuellement ils seront classés par site géographique, logiquement nous pourrons les administrer en fonctions de leur site géographique mais également en fonction de leur direction. Ainsi les différentes OU permettrons de classer les utilisateurs :
Figure 3 - OU sites
Ensuite, chaque utilisateur se verra placé dans un groupe permettant de définir sa direction d’appartenance. Ces groupes permettront de distinguer les utilisateurs, de leur attribuer des configurations dédiées à leurs activités, ou encore de leur donner des droits d’accès spécifiques aux ressources de l’entreprise (accès en lecture/écriture/exécution sur des partages de fichiers).
Figure 4 - Groupes
L’avantage premier de ces groupes est de simplifier considérablement la maintenance et l'administration du réseau. Enfin on notera qu’Active Directory met en œuvre deux types de groupes : groupes de distribution et groupes de sécurité. Vous pouvez utiliser les groupes de distribution pour créer des listes de distribution de courriers électroniques et les groupes de sécurité pour affecter des autorisations à des ressources partagées.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
17
[MIR INTRANET-WINDOWS]
MediaNetWork
1.6.2 Stratégie de groupe Les stratégies de groupe peuvent être considérées en trois phases distinctes - Création de la stratégie de groupe, Liaison des stratégies de groupe et Application des stratégies de groupe. Dans un premier temps, nous attirons votre attention sur le fait que Windows server 2008 r2 introduit une nouvelle manière de gérer les stratégies de groupe. En effet, celle-ci se fait maintenant au travers d’une console spécifiquement dédiée à la gestion des GPO et qui s'appelle GPMC (Group Policy Management Console). Voici la majeure partie des GPO que nous allons ainsi déployer (les OU des sites distants auront la même arborescence qu’Orsay) :
Figure 5 - Stratégie de groupe
Le schéma ci-dessus montre bien la manière dont les GPO seront appliquées sur chaque OU. Attention cependant, il ne s’agit que d’une représentation fonctionnelle. En réalité toutes ces GPO seront regroupées dans « objet de stratégie groupe » sous la forme ci-contre : Figure 6 - Illustration GPO
Partie 1 : Conception d’Architecture (Jérôme Teneur)
18
[MIR INTRANET-WINDOWS]
MediaNetWork
1.6.3 Organisation Fonctionnelle des OU
Figure 7 - Organisation Fonctionnelle des OU
Partie 1 : Conception d’Architecture (Jérôme Teneur)
19
[MIR INTRANET-WINDOWS]
MediaNetWork
1.6.4 Mise en place de RODC La notion de RODC, c‘est à dire de « Read Only Domain Controller » est apparue avec Windows server 2008r2. Il s’agit donc, comme son nom l’indique d’une base de données Active Directory en lecture seule. Exceptés les mots de passe utilisateurs, un RODC a une copie de l'intégralité des objets, attributs, classes... d'un AD normal. Evidemment, un poste ne peut en revanche pas modifier celui-ci. Les demandes en lectures sont honorées, tandis que les demandes d'écriture sont transférées à un « vrai » DC, comme par exemple ceux d’Orsay. Cette nouvelle technologie offre de nombreux avantage. Dans notre cas, cela nous permettra de : Filtrer les attributs : Parce que certains attributs sont critiques bien que n'étant pas des mots de passe, il est préférable de ne pas les héberger sur un RODC, au cas où celui-ci serait volé ou compromis. Pour cela vous pouvez ajouter cet attribut à la liste des attributs filtrés, afin de ne pas le répliquer sur les RODC de la forêt Réplication unidirectionnelle : Puisqu'aucun changement ne peut être fait sur un RODC, les DC standards partenaires de réplication ne rapatrient pas de changements (PULL) depuis ceux-ci. Autrement dit, aucune modification d'un utilisateur malicieux ne peut être répliquée vers le reste de la forêt (Ce qui permet également de réduire la consommation de bande passante) Séparation des rôles d'administration : Cette séparation permet de déléguer les droits locaux d'administration d'un RODC, sans octroyer au compte concerné de droits sur le domaine en entier. On parle bien sûr d'administration basique, comme le changement d'un driver, ou l'authentification locale sur la machine, pas de création d'utilisateurs DNS en lecture seule : Il est possible d'installer DNS sur un RODC, et celui-ci sera capable de répliquer toutes les partitions applicatives Nous pourrons donc implémenter des RODC à deux niveaux : DMZ d'Orsay Tout d’abord dans la DMZ où il permettra de maîtriser les flux AD en direction du LAN. Ainsi des services tel que l’Exchange Edge pourrons interroger l’AD sans avoir à emmètre de requêtes vers le LAN. Nous renforçons donc la notion de DMZ et minimisant sa dépendance au LAN et en renforçant son autonomie. Sophia Antipolis Sophia Antipolis est un site à part entière car il est dédier à la production et il ne compte que 80 employés. En partant de ce postulat, nous avons émis l’hypothèse qu’un seul administrateur informatique sera en charge de ce site. Ses besoins administratifs sont ainsi (grâce à RODC) réduits au maintien fonctionnel de l’infrastructure, facilitant ainsi son rôle. Cette proposition n’est qu’optionnelle. Le site de Sophia Antipolis pouvant tout à fait se voir implémenté un AD comme les autres sites.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
20
[MIR INTRANET-WINDOWS]
MediaNetWork
1.6.5 Gestion des sites et services Vous pouvez utiliser le composant logiciel enfichable Sites et services Active Directory pour gérer les objets spécifiques aux sites qui implémentent la topologie de réplication inter-site. Ces objets sont stockés dans le conteneur Sites dans les services de domaine Active Directory (AD DS, Active Directory Domain Services). Nous pouvons donc distinguer les sites Active Directory et y associer les contrôleurs de domaine correspondant. Ces associations auront un rôle primordial dans la gestion des réplications. En effet nous allons optimiser les réplications en fonction de l’état des liens entre des contrôleurs de domaine.
Figure 8 - Sites et services
Partie 1 : Conception d’Architecture (Jérôme Teneur)
Enfin, l’association d’un sous-réseau IP à un site Active Directory sera très importante pour l’optimisation des flux inter-site. En effet, si un utilisateur vient interroger un contrôleur, ce dernier vérifiera l’adresse réseau source afin de rediriger l’utilisateur vers le contrôleur le plus proche de lui.
21
[MIR INTRANET-WINDOWS]
MediaNetWork
1.7 Processus d’administration (Vincent Desseaux) 1.7.1 Rappel des besoins Notre client Aristote souhaite limiter l’utilisation du groupe « Administrateur du domaine », « Administrateur du schéma » et « Administrateur de l’entreprise » en mettant en place une stratégie de délégation de l’administration Active Directory et prenant en compte les éléments suivant : La direction informatique disposera en cas d’urgence des accès utilisateurs compris dans ces groupes Les équipes informatiques d’administration seront situées sur chaque site avec une compétence limitée au site et auront le moins de privilèges possible Il sera impossible d’installer des logiciels sur les contrôleurs de domaine du site mais pourront le faire sur les serveurs membres et ordinateurs du site Les équipes informatiques de chaque site ne pourront ajouter/supprimer/modifier des objets stratégies de groupes, mais ont la possibilité d’une part d’attribuer des stratégies de groupes existantes sur une unité d’organisation pouvant être administrée par eux, et d’autre part d’effectuer l’analyse des jeux de stratégies résultants Les équipes informatiques pourront utiliser les services de bureau à distance pour se connecter sur les contrôleurs de domaines et les serveurs membres de leur site respectif Les équipes informatiques pourront effectuer n’importe quelle opération sur les ressources partagées Dans cette partie d’étude, nous vous présenterons la déclaration des équipes informatiques dans Active Directory ainsi que leurs privilèges et leurs droits en fonction des besoins exprimés.
1.7.2 Déclaration des équipes informatiques et affectation des groupes Afin de dissocier l’administration informatique par site, en sachant que tous les sites sont membres du même domaine, il convient de mettre en place des groupes pour les équipes informatiques de chaque site, ainsi qu’un groupe destiné à la direction informatique. Ces groupes seront présents dans la OU « Groupes » contenue elle même dans la OU « Administrateur ». Nous pouvons donc énumérer les groupes suivants ainsi que le type d’utilisateur adéquat devant y être rattaché:
Nom du groupe direction_informatique administrateur_Orsay administrateur_Bayonne administrateur_SophiaAntipolis administrateur_Bruxelles
Membres Utilisateurs de la direction informatique Utilisateurs de l’équipe informatique d’Orsay Utilisateurs de l’équipe informatique de Bayonne Utilisateurs de l’équipe informatique de Sophia Antipolis Utilisateurs de l’équipe informatique de Bruxelles
Afin de faciliter l’octroi de certains droits communs aux groupes destinés aux équipes informatiques, nous proposons de mettre en place un groupe supplémentaire qui contiendra comme membre les quatre groupes informatiques. Partie 1 : Conception d’Architecture (Jérôme Teneur)
22
[MIR INTRANET-WINDOWS] Nom du groupe equipes_informatiques
MediaNetWork
Membre de administrateur_Orsay administrateur_Bayonne administrateur_SophiaAntipolis administrateur_Bruxelles
Connexion des comptes utilisateurs membre des groupes « Equipes Informatiques » et « Direction Informatique » Afin que les comptes utilisateurs puissent se connecter depuis le contrôleur de domaine, il convient de déclarer dans les stratégies de sécurité locale (gpedit.msc) du contrôleur de domaine, les groupes autorisés à établir une ouverture de session de manière locale. Cependant et aux vu des attentes d’Aristote, nous proposons de déclarer les groupes « Equipes Informatiques » et « Direction Informatique » membre du groupe « Opérateurs de serveur ». En effet, ce groupe qui est intégré par défaut dans Windows Server dispose de privilèges très limités tels que la non installation de logiciels/rôles sur le domaine, l’impossibilité de modifier des paramètres de configuration sur les postes du domaine, ou bien encore la lecture seule sur les consoles de management. Nom du groupe equipes_informatiques direction_informatique
Membre de Opérateurs de serveur
1.7.3 Déclaration des droits à attribuer dans Active Directory pour chaque groupe Pour autoriser les groupes précédemment créés à effectuer toutes les opérations Active Directory dans leur site, nous devons créer des règles de sécurité sur les OU correspondant à chaque site et définir les droits qu’on leur octroi dans la OU. Ces droits s’appliquent à des utilisateurs ou groupes du domaine et sont principalement des droits : de lecture/écriture, de création/suppression sur les objets pouvant être contenus dans l’OU de création/suppression de lien d’un objet stratégie de groupe d’effectuer des analyses des jeux de stratégies résultants au niveau de l’OU Deux méthodes permettent d’attribuer ces ACL dans les OU : L’assistant de délégation de contrôle Dans les paramètres de sécurité de l’OU (Nécessite d’afficher les fonctionnalités avancées d’Active Directory) Les deux méthodes permettent une configuration aussi complète l’une que l’autre, cependant nous pouvons conseiller l’utilisation de l’assistant de délégation de contrôle lors d’une création de délégation, et la méthode manuelle lors de modifications et suppressions. Les équipes informatiques se verront octroyer un contrôle total sur l’OU de leur site ainsi qu’un droit de lecture/écriture sur l’OU « groupes » afin qu’ils puissent ajouter les utilisateurs de leur site comme membre d’un des groupes y étant contenu, et auront implicitement qu’un droit de lecture Partie 1 : Conception d’Architecture (Jérôme Teneur)
23
[MIR INTRANET-WINDOWS]
MediaNetWork
sur les autres objets et conteneur du domaine. Ils devront également pouvoir créer des utilisateurs membre de l’équipe informatique de leur site, pour cela il convient de leur donner le droit de lecture/écriture sur leur groupe respectif. La direction informatique aura quand à elle un contrôle total depuis la racine du domaine et pourra donc en conséquence, administrer à n’importe quel niveau le domaine « vsn-aristote.lan ». L’ensemble des droits précédemment cités devront pouvoir s’étendre aux conteneurs et objets sous jacent de l’OU qui se voit les droits appliqués. Ci-dessous le tableau permettant de reprendre l’ensemble des OU à appliquer et à qui elles doivent être octroyées : Type d’objet Domaine OU OU OU OU OU Groupe Groupe Groupe Groupe
Nom canonique de l’objet
Membres
vsn-aristote.lan
direction_informatique
vsn-aristote.lan/Orsay
administrateurs_Orsay
vsn-aristote.lan/Bayonne
administrateurs_Bayonne
vsn-aristote.lan/Sophia
administrateurs_SophiaAntipolis
vsn-aristote.lan/Bruxelles
administrateurs_Bruxelles
vsn-aristote.lan/Groupes
equipes_informatiques
vsn-aristote.lan/Administrateurs/ administrateurs_Orsay vsn-aristote.lan/Administrateurs/ administrateurs_Bayonne vsn-aristote.lan/Administrateurs/ administrateurs_Sophia vsn-aristote.lan/Administrateurs/ administrateurs_Bruxelles
administrateurs_Orsay administrateurs_Bayonne administrateurs_SophiaAntipolis administrateurs_Bruxelles
Droit Contrôle total Contrôle total Contrôle total Contrôle total Contrôle total Lecture/ écriture Lecture/ écriture Lecture/ écriture Lecture/ écriture Lecture/ écriture
Ci-joint en annexe la procédure des étapes pour la délégation de l’administration Active Directory.
1.7.4 La gestion de la création de stratégies de groupe Pour qu’un utilisateur puisse créer, modifier ou supprimer des objets de stratégie de groupe, il faut que celui-ci soit membre du groupe « Propriétaires créateurs de la stratégie de groupe », qui est présent dans le conteneur « Builtin ». Dans notre cas, seul le groupe « direction_informatique » y sera membre et sera donc à même de mettre à disposition aux équipes informatiques des stratégies de groupes. Nom du groupe Direction_informatique
Membre de Propriétaires créateurs de la stratégie de groupe
Partie 1 : Conception d’Architecture (Jérôme Teneur)
24
[MIR INTRANET-WINDOWS]
MediaNetWork
1.7.5 L’octroi du droit Administrateur Local pour les équipes informatiques Il est demandé que les équipes informatiques puissent installer des logiciels sur les serveurs membres et ordinateurs de leur site. Pour permettre ce genre d’opération, il faut que les groupes des équipes informatiques soient membre d’un groupe « Administrateur ». Le groupe « Opérateurs de serveur » n’étant pas membre du groupe « Administrateur » et devant limiter l’utilisation des groupes « Administrateur du domaine», « Administrateur du schéma» et « Administrateur du domaine», nous proposons que les groupes correspondant aux équipes informatiques ne soit pas membre d’un groupe Administrateur présent sur les contrôleurs de domaine, mais membre du groupe « Administrateur » de chaque machine locale du site qu’ils gèrent. Pour ce faire, il convient de mettre en place une stratégie de groupe pour chaque site, qui ajoutera sur chaque poste étant intégré dans l’OU correspondant au site, le groupe de l’équipe du site comme étant membre du groupe « Administrateur » de la machine se voyant appliquer la règle. Le groupe « direction_informatique » devra de même disposer d’une stratégie identique, mais celle-ci s’étendra sur tous les sites. Ci-joint en annexe un modèles de stratégies de groupe à mettre en place pour la direction informatique et l’équipe informatique d’Orsay, le résultat attendu sur un ordinateur client d’Orsay, ainsi qu’un schéma permettant de définir les stratégies de groupe à appliquer et à quel niveau du domaine.
1.7.6 L’utilisation du bureau à distance Il est demandé que les équipes informatiques puissent utiliser les services de bureau à distance pour se connecter sur les contrôleurs de domaine et les serveurs membres de leur site respectif. Pour cela, il convient que : sur chaque contrôleur de domaine et serveur membre, le service de bureau à distance soit activé les groupes d’utilisateurs autorisés à établir une ouverture de session sur le serveur soit déclaré que les groupes d’utilisateurs concernés soient membre du groupe « Utilisateurs du Bureau à distance » L’activation du service et la déclaration des groupes autorisés à ouvrir une session se feront par le biais de stratégies de groupe déployées sur les OU contenant l’ensemble des serveurs d’un site. La déclaration des groupes d’utilisateurs membre du groupe « Utilisateurs du Bureau à distance » se fera quand à elle de manière manuelle dans Active Directory. Ci-joint en annexe les modèles de stratégies de groupe à mettre en place ainsi qu’un schéma permettant de définir les stratégies de groupe à appliquer et à quel niveau du domaine.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
25
[MIR INTRANET-WINDOWS]
MediaNetWork
1.8 Sauvegarde et récupération d’urgence Active Directory (Rudy Promé) 1.8.1 Rappel des besoins Bien que nous prévoyons la mise en place un cluster de contrôleurs de domaine sur le siège d’Aristote, il est fortement recommandé de planifier régulièrement des sauvegardes de ces contrôleurs de domaine complets avec tous leurs services liés à Active Directory, qu’il s’agisse :
De l’annuaire d’Active Directory Des rôles clés de l’Active Directory (notamment le rôle PDC) Des GPO Du rôle DHCP Du rôle DNS
1.8.2 Sauvegarde des contrôleurs de domaine Sachant que l’infrastructure Active Directory de notre client sera basée sous Windows Server 2008 R2, nous allons utiliser la fonctionnalité de sauvegardes présente au sein du système d’exploitation lui-même. Il s’agit de Windows Server Backup qui depuis Windows Server 2008 vient complètement remplacer NTBackup et propose donc une toute nouvelle technologie de sauvegarde.
1.8.3 Présentation de l’utilitaire de sauvegarde Windows Server Backup Windows Server Backup se base sur la sauvegarde de volumes complets ou de blocs à contrario de NTBackup qui lui, était basé sur les fichiers. Nous allons utiliser la méthode de sauvegarde de volumes (grâce au service VSS : Volume Shadow Copy Service) car celle-ci permettra une restauration plus facile et rapide en cas de problèmes techniques et de besoin de récupération d’urgence. Un autre avantage est que, comme il s’agit d’un logiciel enfichable dans une console MMC, il dispose de fonctions de prise en main complète à distance. Le volume sauvegardé, si plusieurs volumes il y a sur les contrôleurs de domaines, sera bien sûr celui qui contient l’annuaire Active Directory (donc le fichier NTDS.dit) et les GPO (dans le dossier SYSVOL) ainsi que la configuration de tous les autres rôles installés sur le contrôleur de domaine.
1.8.4 Quel serveur sauvegarder ? Dans un premier temps, il est nécessaire de préciser que suite aux paramètres de réplication multimaître définis précédemment, nous allons sauvegarder un seul serveur parmi les deux d’Orsay étant donné qu’ils sont parfaitement identiques, en dehors de leurs rôles qui, pour rappel, sont définis comme suit1 :
1
Image tirée du schéma de la forêt d’Aristote (par Jérôme Teneur)
Partie 1 : Conception d’Architecture (Jérôme Teneur)
26
[MIR INTRANET-WINDOWS]
MediaNetWork
Figure 9 - Rappel des rôles FSMO sur Orsay
Plus précisément, nous sauvegarderons celui qui dispose du rôle FSMO émulateur PDC donc l’AD2 car c’est un rôle indispensable au bon fonctionnement de l’architecture Active Directory, notamment par exemple au niveau de l’authentification des utilisateurs. De plus, sachant qu’il n’y a qu’un seul domaine dans la forêt de notre client, il n’y a donc qu’un seul émulateur PDC. Si ce rôle tombe, alors ça met notre client hors activité car aucun collaborateur ne pourra s’authentifier sur le réseau.
1.8.5 Précisions sur la méthode de sauvegarde dite « incrémentielle » La sauvegarde sera incrémentielle, c’est à dire qu’il y aura une toute première sauvegarde complète du volume et que les suivantes seront seulement les différences entre la précédente sauvegarde complète du volume et le volume tel qu’il est au moment de cette sauvegarde. Ceci permet d’économiser énormément de bande passante sur le réseau car il y aura peu de données en transit une fois la sauvegarde primaire effectuée et d’économiser de la place sur le disque dur du serveur de fichiers stockant les sauvegardes. Enfin, si l’espace disque du serveur de fichiers est saturé, Windows Server Backup se chargera de supprimer les plus anciennes sauvegardes afin de libérer de l’espace de disque pour permettre une nouvelle sauvegarde. Il y a donc une rotation automatique des sauvegardes du contrôleur de domaine. Nous paramètrerons la sauvegarde incrémentielle afin qu’elle s’enclenche toutes les nuits à 1 heure du matin en semaine. Et nous planifions également une sauvegarde complète cette fois-ci le week end. Cette planification s’effectue dans la console MMC via un logiciel enfichable.
1.8.6 Emplacement des sauvegardes Nous allons également programmer les sauvegardes sur partage réseau. Un serveur de fichiers sera donc nécessaire pour les accueillir. Celui-ci sera situé à Bayonne, le second plus gros site d’Aristote pour des raisons de précaution. En effet, l’intérêt d’avoir des sauvegardes sur le même emplacement que le serveur sauvegardé lui-même est moindre puisqu’en cas de gros incident imprévisible (incident météorologique très important comme des inondations par exemple), le serveur de sauvegarde serait alors dans le même état que le serveur sauvegardé, c'est-à-dire complètement inutilisable et donc il n’y aurait aucun moyen de récupérer une quelconque information ou configuration du serveur en question.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
27
[MIR INTRANET-WINDOWS]
MediaNetWork
Voici un schéma représentant alors la mise en place du serveur de sauvegardes :
Figure 10 - Schéma de la mise en place du serveur de sauvegardes
1.8.7 Conclusion Notre solution de sauvegarde se révèle alors à la fois efficace car elle est économique en bande passante grâce à sa fonction incrémentielle et pérenne avec la rotation des sauvegardes automatique.
1.9 Plan de récupération d’urgence (Rudy Promé) 1.9.1 Rappel Lors de l’étude de l’architecture réseau de notre client en MIR 1, nous avions abordé le sujet de l’interconnexion des sites distants via un réseau MPLS. Pour assurer une continuité de service même en cas de rupture d’un lien, nous avions doublé les liens des sites distants du cœur de réseau (Orsay) avec un lien WAN de secours. Le site d’Orsay lui possède deux liens WAN vers le réseau MPLS pour la redondance2. De ce fait, les chances qu’il n’y ait aucune connexion entre les sites distants sont quasiment nulles. De plus, le site d’Orsay est équipé d’un cluster de contrôleurs de domaine. De ce fait, si l’un des deux tombe, l’autre prend immédiatement l’intégralité de la charge de travail ce qui assure une continuité d’activité, bien que moins efficace sans le partage de charge.
1.9.2 Intérêt de la récupération d’urgence Tout ce système de sauvegarde lié à une méthode de récupération d’urgence va permettre d’effectuer des opérations de maintenance très rapidement car reconfigurer de A à Z un contrôleur de domaine est une tâche très lourde et minutieuse. Une mauvaise manipulation de la part de l’administrateur sur le contrôleur de domaine 2 pourrait engendrer l’émulateur PDC inactif, donc une entreprise complètement hors service. Ce problème peut-être rapidement résolu en activant le rôle émulateur PDC sur le contrôleur de domaine 1 bien heureusement. Bien entendu, la sauvegarde ici va permettre de restaurer rapidement le DC2 (Domain Controller 2) et donc de réactiver la haute disponibilité en peu de temps. Tout ceci sera 2
Vous pouvez vous référer à l’annexe « Interconnexion des sites distants » dans sauvegarde et récupération d’urgence Active Directory (Rudy Promé) en fin de rapport
Partie 1 : Conception d’Architecture (Jérôme Teneur)
28
[MIR INTRANET-WINDOWS]
MediaNetWork
quasiment transparent pour les utilisateurs (ils percevront au pire quelques latences lors de leur authentification au réseau par exemple). Mais dans le cas où le cluster complet se verrait hors d’usage, un administrateur activera alors le rôle PDC et tous les autres rôles si nécessaire sur le contrôleur de domaine 3 (à Bayonne, étant donné que c’est le second site le plus important d’Aristote), afin d’assurer une continuité d’activité de notre client. La sauvegarde va, ici encore, permettre la restauration complète du cluster plus rapidement qu’en procédant à une reconfiguration manuelle intégrale. La procédure de récupération est décrite en annexe3.
1.10 Estimation des coûts Matériellement parlant, la solution se révèle au final relativement peu coûteuse puisque les seuls investissements seront un serveur de fichiers avec un espace de stockage suffisamment conséquent. Nous préconisons un minimum de 2 To afin d’assurer un nombre de sauvegardes suffisamment conséquent. Ceci avec 5 disques durs de 500 Go installés et configurés pour fonctionner en RAID5 (afin d’assurer la pérennité des données même en cas de crash de deux disques durs simultanément), pour un coût total de 150 € hors taxes. La technologie de Windows Server Backup en elle même est comprise dans Windows Server 2008, il n’y a donc aucun coût supplémentaire pour celle-ci en dehors donc d’une licence Windows 2008 R2 à 2 000 €. Nous recommandons donc un serveur HP ProLiant DL120 à 1 350 € hors taxes.
L’investissement à prévoir est donc de l’ordre de 5 K€ hors taxes.
Sur le plan humain, nous préconisons un minimum de trois administrateurs acceptant les astreintes afin de planifier entre eux une rotation de celles-ci. Il est indispensable qu’ils acceptent les astreintes afin de pouvoir assurer une reprise d’activité même le week end ou la nuit. Pour rappel, le coût d’un administrateur est évalué à 2 000 € brut par mois.
3
Vous pouvez vous référer à l’annexe « Processus de récupération » dans sauvegarde et récupération d’urgence Active Directory (Rudy Promé) en fin de rapport
Partie 1 : Conception d’Architecture (Jérôme Teneur)
29
[MIR INTRANET-WINDOWS]
MediaNetWork
1.11 Haute disponibilité Active Directory et Hyper-V La configuration et le dimensionnement des serveurs Hyper-V pour des performances optimales sont facteurs de nombreux paramètres. On retiendra dans un premier temps que le service Active Directory ne sera pas virtualisé du fait de son rôle centrale dans l’architecture. En effet le service Active Directory fonctionnera en trio avec DNS et DHCP sur un même système hôte. Tous les trois constituent le cœur du système d’information, et sont de ce fait placés en redondance pour garantir la haute disponibilité. De plus la virtualisation complexifie l’infrastructure ce qui de facto engendre un coût administratif plus important mais aussi et surtout cela amoindri les performances du système d’information, notamment lors des piques I/O (généralement le matin, à la pause déjeuné et le soir)
Répartition DNS Le tourniquet DNS (Round robin) : Permet d’inscrire dans le DNS plusieurs adresses IP pour un même nom d’hôte. Une fois cette fonction activée, le serveur DNS va séquentiellement renvoyer aux clients faisant une demande de résolution de nom sur cet hôte une adresse réseau différente. Ainsi lorsqu’un client demandera l’IP du DC associé au domaine vsn-aristote.lan, il se verra renvoyer soit l’adresse de ORS-SRV-AD1 ou celle de ORS-SRV-AD2. La répartition peut se faire de plusieurs manières. Dans notre cas, nous opterons pour la technique la plus simple, à savoir la répartition cyclique, distribuant les IP à tour de rôle. Attention également, tous les contrôleurs de domaine étant inscrit en tant que tel dans les enregistrements DNS, nous pouvons nous retrouvé avec des scénarios contre-productifs. En effet, si les utilisateurs venaient à emprunter le lien WAN pour joindre le DC qui leur a été retourné, nous aurions une charge inutile de la bande passante inter-site. Pour cela, une autre technologie intervient : la gestion des sites et services Active Directory. Cette dernière permet en effet d’associer un sous-réseau IP à un site Active Directory. Or chaque contrôleur de domaine étant placé dans un site Active Directory, nous avons donc implicitement une association entre sous-réseaux IP et contrôleurs de domaine. C’est grâce à cette association qu’un contrôleur de domaine peut indiquer à un utilisateur établissant une connexion, qu’il peut avoir un accès plus rapide et performant via un autre contrôleur de domaine situé sur son propre site.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
30
[MIR INTRANET-WINDOWS]
MediaNetWork
1.12 Dimensionnement hardware et Coûts Hardware Le dimensionnement de l’espace disque se fait par le biais de nombreux facteurs : Il nécessite une taille importante pour le dossier SYSVOL : La mise en place de 1000 utilisateurs prend 1 Giga-octets Il est aussi nécessaire de laisser 500 Mo d’espace disque pour les fichiers log de transaction Il est conseillé de mettre en place un RAID 1 (miroir) afin de prévenir à un éventuel crash d’un disque dur Si le contrôleur de domaine a la fonction de catalogue global, il sera nécessaire de prévoir l’espace disque supplémentaire Sachant que les contrôleurs de domaines auront les rôles FSMO, dont la fonction de catalogue global ou tête de pont, il sera nécessaire de dimensionner les serveurs avec une configuration plus importante. Pour cela, nous conseillons d’opter pour des serveurs HP de type : HP ProLiant DL380 G6 Performance - Xeon X5550 2.66 GHz
PRIX : 6000€ H.T.
2 x Intel Xeon X5550 / 2.66 GHz ( Quad Core ) 12 Go (installé) / 144 Go (maximum) - DDR3 SDRAM - 1333 MHz - PC3-10600 RAID ( Serial ATA-150 / SAS ) - PCI Express x8 ( Smart Array P410i avec BBWC 512 Mo ) Adaptateur réseau - Ethernet, Fast Ethernet, Gigabit Ethernet - Ports Ethernet : 4 x Gigabit Ethernet
A noter, nous pouvons envisager la virtualisation du RODC situé dans la DMZ d’Orsay.
Coûts Produits Serveur HP Licence Windows server 2008r2
Prix unitaire 6000 2000
Nombre de produits 5 6
Prix Total 30000 12000 42000 Les prix sont affichés en € H.T.
Nous estimons le coût de cette infrastructure Active Directory Windows server 2008r2 à environ 42 000 €.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
31
[MIR INTRANET-WINDOWS]
MediaNetWork
1.13 Conclusion La majorité des services s’appuie sur Active Directory, la communication unifiée, le travail collaboratif, des services de sécurité... C’est donc une référence pour gérer efficacement les utilisateurs, les ordinateurs, les groupes, les imprimantes, les applications et autres objets de l’annuaire, à partir d’un emplacement centralisé. Notre choix s’est tourné vers une restructuration de votre architecture existante vers un domaine unique. Cette solution vous permettra d’atteindre une architecture évolutive, simple d’administration et d’exploitation mais également sécurisée et s’intégrant parfaitement avec l’ensemble de votre structure. Enfin, dans le cadre de l’augmentation de ses activités, Aristote prévoit une hausse de ses effectifs de l’ordre de 20% dans les 5 ans. Dans ce cadre, l’infrastructure que nous vous avons proposé permettra de gérer une charge allant jusqu’à 1000 utilisateurs.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
32
[MIR INTRANET-WINDOWS]
MediaNetWork
1.14 Architecture DNS (Rudy Promé) 1.14.1 Rappel des besoins Comme il est stipulé dans le cahier des charges de concentrer tous les services d’infrastructures sur les contrôleurs de domaine et dans la logique du fonctionnement de l’Active Directory, Il y aura un serveur DNS pour chaque Active Directory (donc sur la même machine) car : Le DNS est nécessaire pour localiser les contrôleurs de domaine Il est également indispensable pour pouvoir ouvrir une session utilisateur sur le réseau Il sera donc intégré à l’annuaire afin d’accroître la sécurité lors de mises à jour de configuration et de réplication de zones entre contrôleurs de domaine.
1.14.2 Nom de domaine Comme indiqué dans le cahier des charges, le nom de domaine de notre client devra correspondre à « vsn-aristote ». Pour se faire, nous utiliserons deux suffixes : .lan : pour tout le réseau interne d’Aristote .eu : pour sa visibilité depuis l’extérieur L’utilisation de ces deux suffixes nous permettra de dissocier très simplement ce qui sera donc accessible depuis l’extérieur et l’intérieur. Compte tenu du nombre d’utilisateurs de notre entreprise cliente, la mise en place d’une forêt à plusieurs domaines est inutile et engendrerait des complications d’administration ou de mise en place de relations de confiance entre les contrôleurs de domaine. Il n’y aura donc qu’un seul domaine dans la forêt : vsn-aristote.lan.
1.14.3 Plan de nommage des postes Afin d’identifier les postes le plus efficacement possible, il est nécessaire d’appliquer une règle de nommage des postes utilisateurs et des serveurs en fonction du site où ils se situent. Lieux
Orsay Bayonne Sophia Antipolis Bruxelles
Préfixe en fonction du site ORS BAY SOP BRU
Nature (précédée d’un tiret - ) SRV (serveur) ou DMZ (serveur placé en DMZ) ou CLT (poste client)
Partie 1 : Conception d’Architecture (Jérôme Teneur)
Type (précédé d’un tiret - )
Suffixe (collé au type) Pour les serveurs : AD (Active Directory) Déterminé ou EXCH (Exchange) ou FILES (Fichiers)… par un Pour les clients en fonction de leur numéro direction : DG (générale) ou DC… « XXX »
33
[MIR INTRANET-WINDOWS]
MediaNetWork
Voici quelques exemples pour mieux comprendre en mettant en application le tableau ci-dessus : Pour un serveur Exchange situé à Orsay, dans la DMZ, il s’appellera donc : ORS-DMZ-EXCH1 (Serveur Exchange numéro 1 de la DMZ par exemple). Son FQDN4 sera donc : ORS-DMZEXCH1.vsn-aristote.lan Pour un poste client de la direction commerciale de Bayonne, il s’appellera donc : BAY-CLTDC32 (Poste numéro 32 par exemple). Son FQDN sera donc : BAY-CLT-DC32.vsn-aristote.lan Ainsi, nous pouvons identifier rapidement les postes et leur emplacement.
1.14.4 Serveurs primaires et secondaires Il ne doit y avoir qu’un et un seul serveur DNS primaire sur Aristote puisqu’il n’y a qu’un seul domaine. Ce serveur primaire sera le serveur ORS-SRV-AD1 du cluster de contrôleurs de domaine d’Orsay. Les cinq autres contrôleurs de domaine auront eux des services DNS dits secondaires (y compris celui de la DMZ, car les serveurs de la DMZ en ont besoin pourra localiser le contrôleur de domaine). Ceci dans le but d’optimiser la bande passante des liens WAN et d’assurer la continuité des résolutions de requêtes DNS même en cas de rupture d’un de ces liens sur un site quelconque (plus de précisions au chapitre ci-dessous sur la configuration des clients).
1.14.5 Configuration des clients Les clients se verront attribués les adresses IP des serveurs DNS grâce au serveur DHCP comme suit : Site
DNS primaire
DNS secondaire
DNS alternatifs restants
Orsay Bayonne
172.16.0.5 172.17.0.5
172.16.0.6 172.16.0.5
172.17.0.5 ; 172.18.0.5 ; 172.19.0.5 172.16.0.6 ; 172.18.0.5 ; 172.19.0.5
Sophia Antipolis
172.18.0.5
172.16.0.5
172.16.0.6 ; 172.17.0.5 ; 172.19.0.5
Bruxelles
172.19.0.5
172.16.0.5
172.16.0.6 ; 172.17.0.5 ; 172.18.0.5
Grâce à cette configuration, si l’un des serveurs DNS tombe hors service ou même si deux serveurs s’arrêtent, la résolution des requêtes est prise en charge par le DNS secondaire ou un des DNS alternatif si le secondaire ne répond pas. Les clients sont assurés d’avoir une réponse à toutes leurs requêtes.
4
Fully Qualified Domain Name : Le nom complet DNS du poste
Partie 1 : Conception d’Architecture (Jérôme Teneur)
34
[MIR INTRANET-WINDOWS]
MediaNetWork
1.14.6 Schéma d’intégration Sachant que les serveurs DNS sont intégrés à Active Directory, il n’y a une disparition du fichier d’enregistrements DNS. En effet, tout est intégré dans l’annuaire Active Directory (le fichier NTDS.DIT). Par conséquent, il n’y aura aucun transfert de zone. Les mises à jour entre serveurs DNS se feront grâce à la réplication bidirectionnelle sur le site d’Orsay (au niveau du cluster de contrôleurs de domaine) mais également sur les sites de Bayonne et Bruxelles. Quant au site de Sophia-Antipolis, celui-ci n’a qu’une réplication unidirectionnelle étant donné qu’il s’agit d’un RODC, il ne mettra donc jamais à jour les autres serveurs DNS, mais il recevra les mises à jour depuis Orsay. Le fonctionnement du DNS de la DMZ sera identique à celui de Sophia Antipolis pour cause de RODC également.
Voici ci-dessous le schéma de l’architecture DNS :
Figure 11 - Schéma architecture DNS
Partie 1 : Conception d’Architecture (Jérôme Teneur)
35
[MIR INTRANET-WINDOWS]
MediaNetWork
1.15 Le service DHCP (Vincent Desseaux) 1.15.1 Rappel des besoins Dans le cadre de notre étude, il nous est demandé de mettre en place une solution permettant aux stations du site d’obtenir via un serveur DHCP, leur configuration IP. Conformément aux besoins énoncés par Aristote, il convient que ce service soit intégré sur les serveurs d’infrastructure. Dans cette partie d’étude, nous vous présenterons :
La fonction même de DHCP et les avantages qu’apporte cette solution Le plan d’adressage mis en place pour Aristote sur chaque site. Les différentes fonctionnalités qui y sont liées L’intégration de ce service sur les serveurs d’infrastructure
1.15.2 Introduction Le protocole IP suppose la pré-configuration de chaque ordinateur connecté au réseau avec les paramètres TCP/IP adéquats, ce qu’on appelle plus communément l’adressage statique. Sur des réseaux de grandes dimensions ou étendues, où les modifications du plan d’adressage interviennent souvent, l’adressage statique engendre une lourde charge de maintenance et de nombreux risques d’erreurs, notamment des conflits d’adressage. DHCP (Dynamic Host Configuration Protocol) est un protocole réseau dont le rôle est d’assurer la configuration automatique des paramètres IP d’une station, notamment en lui affectant automatiquement une adresse IP et un masque de sous-réseau, il est l’extension même du protocole BOOTP. Mais DHCP ne s’arrête pas là, il peut aussi configurer bon nombre d’options telles que l’adresse de la passerelle par défaut, ou bien encore des serveurs de noms DNS. Les spécifications de ce protocole sont définies par les RFC 2131 (Dynamic Host Configuration Protocol) et RFC 2132 (DHCP Options and BOOTP Vendor Extensions). Dès lors qu’on met en place une infrastructure réseau de moyenne ou grande taille tel qu’un réseau local d’entreprise, il est indispensable de s’appuyer sur DHCP pour attribuer les configurations IP des stations. Elle permet une plus grande souplesse lors de la modification d’un paramètre commun à toute les stations telle que l’adresse IP de la passerelle ou bien encore l’adresse IP d’un serveur de nom DNS. Dans un NOS Windows, cette fonction est réalisée dans une très majeure partie au moyen du service DHCP proposé par les systèmes d’exploitation Windows Server. Etant le produit le plus largement utilisé et étant fiable et robuste, nous ne reviendrons pas sur le choix de ce produit.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
36
[MIR INTRANET-WINDOWS]
MediaNetWork
1.15.3 Présentation du plan d’adressage employé Notre plan d’adressage IP a pour base les adresses privées de classe B (172.16.0.0/16 à 172.31.255.255/16). Afin que la solution reste évolutive, on se verra attribuer une adresse réseau de classe B en utilisant le 2ème octet pour différencier chaque site. Seule la DMZ se verra attribuée d’un espace d’adressage privé de classe A, à savoir le réseau 10.0.0.0/8. Ci-dessous un récapitulatif des réseaux de chaque site à mettre en place. Site Orsay Bayonne Sophia Antipolis Bruxelles Itinérant DMZ d’Orsay
Adresse Réseau 172.16.0.0 172.17.0.0 172.18.0.0 172.19.0.0 172.20.0.0 10.0.0.0
Masque de sous réseau 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 255.255.0.0 255.0.0.0
Afin de dissocier au mieux le flux de chaque service et d’organiser l’espace d’adressage, il est décidé de créer des sous réseaux pour chaque site en fonction des directions. Nous utiliserons intégralement le 3ème octet pour cet usage, ainsi le masque de sous réseau sera de 255.255.255.0 pour chaque direction de chaque site. Sachant également que les sous réseaux mis en place pour un site sont sur le même réseau physique, il convient de mettre en place également une politique de VLAN. Ce choix implique l’utilisation de relais DHCP, dont nous verrons son utilité. Ci-dessous l’ensemble des sous réseaux que nous allons déployer et l’affectation des N° de VLAN pour chaque site.
Type de direction Serveurs Générale Administrative et Financière Commerciale et Marketing Etudes Production
Adresse de sous réseau 172.X.0.0/24 172.X.1.0/24 172.X.2.0/24
Vlan ID Orsay Vlan 2 Vlan 3 Vlan 4
Vlan ID Bayonne Vlan 102 Vlan 103 Vlan 104
Vlan ID Sophia Antipolis Vlan 202 Vlan 203 Vlan 204
Vlan ID Bruxelles Vlan 302 Vlan 303 Vlan 304
172.X.3.0/24
Vlan 5
Vlan 105
Vlan 205
Vlan 305
172.X.4.0/24 172.X.5.0/24
Vlan 6 Vlan 7
Vlan 106 Vlan 107
Vlan 206 Vlan 207
Vlan 306 Vlan 307
Partie 1 : Conception d’Architecture (Jérôme Teneur)
37
[MIR INTRANET-WINDOWS]
MediaNetWork
1.15.4 Présentation du service DHCP DHCP fonctionne sur le modèle client-serveur : un serveur, qui détient la politique d'attribution des configurations IP, envoie une configuration donnée pour une durée donnée, à un client donné. Lorsqu'un client initialise un accès à un réseau TCP/IP, le processus d'obtention du bail IP se déroule en 4 requêtes, à savoir les requêtes DHCP Discover, DHCP Offer, DHCP Request et DHCP ACK. DHCP utilise le port UDP N°67 coté serveur, et le port UDP N°68 coté client. Ci-joint en annexe de plus amples sur le Déroulement d’attribution d’une adresse par DHCP.
1.15.5 Les fonctionnalités liés à DHCP Le relai DHCP Les clients contactent les serveurs DHCP à l'aide d'une diffusion pour obtenir une configuration IP. Or dans une architecture inter-réseau, nous devrions théoriquement installer un serveur DHCP par sousréseau, ce qui induit la multiplication d’un même service et par la même, du risque d’erreurs liées aux configurations à mettre en place. La RFC 3046 (DHCP Relay Agent Information Option) pallie à ce problème en intégrant une spécification concernant la redirection des paquets DHCP vers un serveur se situant sur un réseau logique distant. Cette fonction est de nos jours, et dans la majeure partie des cas, prise en charge par les routeurs, ce que nous préconisons pour notre client Aristote. Cette fonctionnalité sera déployée sur chaque site afin de relayer les requêtes clientes qui n’appartiennent pas au même Vlan que celui affecté au(x) serveur(s). La haute disponibilité et la répartition de charge Depuis la version du système 2008 serveur, le service DHCP supporte le partage de charge conformément à la RFC 3074 (DHC Load Balancing Algorithm). Cet algorithme permet : à plusieurs serveurs DHCP de répartir les adresses IP en fonction d'une stratégie de distribution de mettre en place une stratégie de haute disponibilité Par défaut, la technique pour assurer un partage de charge équitable repose sur un algorithme permettant aux serveurs DHCP d'allouer une adresse en fonction de la parité de l'adresse MAC du client. En effet, le premier serveur allouera une adresse IP si le résultat de l'adresse MAC est pair, l'autre serveur le fera si le résultat est impair. Les deux services communiquent également entre eux pour : informer des octrois de bail s’assurer du bon fonctionnement de chaque serveur se répartir les plages d’adresses pouvant être alloués Si un serveur DHCP est en panne, le serveur qui reste opérationnel est averti de la défection de son pair et stoppe le partage de charge, il répondra donc à toutes les requêtes clientes. Une fois le serveur DHCP de nouveau disponible, l’algorithme de répartition et le partage de charge des adresses reprennent leur court. Partie 1 : Conception d’Architecture (Jérôme Teneur)
38
[MIR INTRANET-WINDOWS]
MediaNetWork
1.15.6 Architecture du serveur DHCP Comme énoncé dans les contraintes d’Aristote, nous implémenterons un serveur DHCP sur chaque serveur d’infrastructure, soit sur chaque contrôleur de domaine des sites. En ce qui concerne le site d’Orsay, sachant que nous disposons de deux serveurs contenant Active Directory et, qu’avec ses 400 collaborateurs, il est le site le plus à même d’être confronté à de la montée en charge importante, nous proposons d’effectuer du partage de charge sur les étendues de ce site. Etant donné que le plan d’adressage ce compose de sous-réseaux délimités par des VLAN, il convient de mettre en place un relai DHCP sur chaque site. Celle-ci sera intégrée sur un des routeurs de chaque site. En ce qui concerne les options de configuration, il convient de mettre en place les informations de base et nécessaire à tout bon fonctionnement dans une architecture informatique d’entreprise. Le tableau ci-dessous récapitule les paramètres requis pour le bon fonctionnement de chaque site, à savoir les paramètres du routeur et des serveurs DNS employés. Site
Orsay
Passerelle (X pour chaque sousréseau) 172.16.X.254
Orsay : Réseau Itinérant Bayonne
172.20.X.254
Sophia Antipolis Bruxelles
172.18.X.254
172.17.X.254
172.19.X.254
DNS (par ordre de préférence)
172.16.0.5 ; 172.16.0.6 ; 172.17.0.5 ; 172.18.0.5 ; 172.19.0.5 ;
172.17.0.5 ; 172.16.0.5 ; 172.16.0.6 ; 172.18.0.5 ; 172.19.0.5 ; 172.18.0.5 ; 172.16.0.5 ; 172.16.0.6 ; 172.17.0.5 ; 172.19.0.5 ; 172.19.0.5 ; 172.16.0.5 ; 172.16.0.6 ; 172.17.0.5 ; 172.18.0.5 ;
Etendu d’adressage dynamique 172.16.X.50 à 172.16.X.200 172.20.X.50 à 172.20.X.200 172.17.X.50 à 172.17.X.200 172.18.X.50 à 172.18.X.200 172.19.X.50 à 172.19.X.200
D’autres paramètres peuvent être définit tel que le suffixe DNS à utiliser, à savoir dans notre cas « vsn-aristote.lan », ou bien encore le serveur de temps (NTP) à utiliser pour la synchronisation de l’horloge système.
Partie 1 : Conception d’Architecture (Jérôme Teneur)
39
[MIR INTRANET-WINDOWS]
MediaNetWork
2 Partie 2 : Mise en place de la solution réseau Microsoft Windows 2.1 Partages de fichiers (Bastien Gayral) 2.1.1 Besoins du client Il est demandé de s'appuyer sur les nouvelles technologies disponibles avec Windows Server pour la gestion des partages et des serveurs de fichiers. Les dossiers personnels ainsi que les dossiers de services disposeront d'un système de gestion de quota par répertoire ainsi que d'un système permettant de filtrer les types de fichiers stockés dans ces répertoires. En outre, l'analyse en matière de serveurs de fichiers fait apparaître deux types de besoins : Un partage de fichiers distribués permettant d'installer sur chaque site un répliqua des dossiers partagés pour ce qui concerne les fichiers d'entreprises (modèles, documents qualités, processus de ventes, etc...) ceci afin de permettre que chaque utilisateur d'un site puisse trouver sur son site les documents désirés sans utilisation des liaisons WAN. Les dossiers des utilisateurs nomades pourront être intégrés dans ce système de fichiers distribués. Ce système de fichiers devra utiliser pour la réplication des données un mécanisme différent de celui utilisé par la réplication Active Directory 2003. Un système permettant le partage d'informations et le travail d'équipe sur les documents. Ce système devant être accessible facilement même au travers d'un lien WAN. Un système de ce type devra être installé pour chaque direction (organisation de l'entreprise) dans chaque site.
2.1.2 Introduction Le serveur et le partage de fichier sont des éléments essentiels dans une entreprise. Il est nécessaire que ces ressources soit disponible à tout moment et depuis n’importe quel endroit. De plus, avec l’arrivée de services de collaboration, le travail en équipe devient plus convivial et permet un gain de temps considérable car il n’y plus de question de distance. Microsoft propose un produit dédié, appelé Windows Storage Server.
2.1.3 Windows Storage Serveur Présentation Windows Storage Server est basé sur Windows Server 2008. Il est spécialement conçu pour la gestion du stockage et du partage de fichiers. Il permet un rapide de 27% par rapport à Windows 2008 Server. Il propose de nombreuses fonctionnalités essentielles à votre installation. SIS (Single Instance Storage) Le service SIS libère automatiquement l’espace disque en supprimant les fichiers redondants sur le serveur de fichier ce qui permet un gain de place à hauteur de 30%.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
40
[MIR INTRANET-WINDOWS]
MediaNetWork
DFS (Distributed File System) DFS (Distributed File System) est un système de fichiers logique. Il utilise des liens, appelés « espaces de noms », qui servent à pointer sur des répertoires partagés disposés sur différents serveurs pour permettre une meilleure gestion des partages. Ainsi les utilisateurs ne voient pas les répertoires auquels ils n’ont pas accès. Les partages DFS peuvent être publiés en tant qu’objet volume dans Active Directory et on peut en déléguer l’administration en utilisant le service Active Directoy. Les Réplicas permettent de diminuer la charge réseau ainsi un utilisateur qui souhaite se connecter à un partage, est automatiquement redirigé vers un des serveurs disponibles. Ceci permet en cas de panne de disposer d’un serveur de secours.
Figure 12 Fonctionnement DFS
Contrairement à Active Directory 2003 qui utilisait le service de réplication de fichiers FRS, le nouveau moteur de réplication DFS multimaître prend en charge la planification de la réplication et la gestion de la bande passante. La réplication DFS utilise un nouvel algorithme de compression nommé Remote Differential Compression (RDC). Cette technologie met à jour les fichiers sur les réseaux longue distance à bande passante limitée en répliquant uniquement les modifications nécessaires.
File Server Resource Manager (FSRM) La console File Server Ressource Manager est un composant logiciel configurable à partir d'une MMC (Microsoft Management Console). Elle permet de s’informer sur la gestion du stockage des serveurs, de gérer les emplacements de stockage à l’aide de rapports, d'appliquer des quotas sur des volumes et des dossiers et de faire de la restriction de fichiers en fonction de son extension. Windows Sharepoint Services (WSS) L'application WSS 3.0 (Windows Sharepoint Services) de Microsoft est une extension gratuite de Windows Storage Server. Elle permet le partage d'informations et le travail d’équipe à travers une interface simple. Elle permet aux utilisateurs de déposer des articles, des liens ou tout autre document et de collaborer ensemble sur leurs documents et les gérer eux-mêmes. Nous en parlerons de façon plus approfondie dans le prochain chapitre « gestion du contenu de l’entreprise ». Partie 2 : Mise en place de la solution réseau Microsoft Windows
41
[MIR INTRANET-WINDOWS]
MediaNetWork
Interopérabilité Windows Storage Server 2008 R2 est doté d’une interopérabilité UNIX/Windows. Cette solution prend en charge, en mode natif, les clients Linux et UNIX, authentifie les utilisateurs sur différentes plateformes et partage les fichiers et les données sur plusieurs systèmes d'exploitation.
2.1.4 Serveur de fichiers Un serveur de fichiers permet la centralisation et la gestion des données d’une entreprise. Windows serveur 2008 R2 a un rôle prévu à cette fonctionnalité.
2.1.5 Choix du SAN (Storage Area Network) Il existe trois technologies pour créer un réseau dédié au stockage : Fiber Channel est réputé performant mais cher. Elle est la plus mature et la plus ancienne des technologies SAN et offre un débit de 4 Gbits/s. Mais elle est complexe à mettre en œuvre iSCSI est plus économique et offre de bonnes performances mais n'excède pas 1 Gbit/s puisque qu'il repose sur du Gigabit Ethernet SAS (Serial Attached SCSI), créé il y a trois ans, il reste peu connu. Elle offre des débits de 3 à 12 Gbits/s mais il existe peu de commutateur D’après ce comparatif, nous avons opté pour la technologie iSCSI qui est une technologie peu chère, performante, évolutive et correspond parfaitement à vos besoins.
2.1.6 Volumétrie Sur les serveurs de fichiers, nous ciblons principalement deux usages : Espaces partagés par direction Stockage des répertoires personnels des utilisateurs Le premier est un usage régulier sur toute la journée, les utilisateurs consultant et utilisant les documents de manière aléatoire. Quand au deuxième usage, il est un peu plus complexe. En effet, on peut distinguer deux grosses périodes de très forte charge, qui sont le matin à la connexion des utilisateurs et le soir à la déconnexion. Pour prévoir ces montées en charge dans notre solution, nous recommandons un serveur de fichiers Windows Server 2008 sur chacun des sites pour permettre la réplication de fichiers DFS et une rapidité d’accès aux données de l’entreprise. Ces réplications seront faites le soir entre 20h et 7h00 du matin pour optimiser la bande passante. Nous avons défini des quotas de partages par service comme vous pouvez le voir dans le tableau cidessous.
Service
Quantité 5
Utilisateurs
1000
Espace alloué / répertoire 10 Go 2 Go avec 50Mo de rappel
Partie 2 : Mise en place de la solution réseau Microsoft Windows
Espace Total 50Go 500Go 42
[MIR INTRANET-WINDOWS]
MediaNetWork
Note : Cette définition des quotas par répertoire est théorique et peux à tout moment être modifiée suivant les besoins des utilisateurs et des directions. Avant toute chose, rappelons que les performances d’un serveur de fichiers sont principalement impactées par le réseau et les disques. Le tableau ci-dessous montre le pourcentage d’utilisateurs par site et par direction. Il nous permet de déduire la volumétrie.
Voici une estimation de la volumétrie de vos données par site : Site Capacité estimé Orsay 1,5To Bayonne 1To Bruxelles 1To Sophia Antipolis 500 Go
Capacité conseillé 3To 2To 2To 1To
Nous conseillons de doubler la capacité estimée pour permettre une grande souplesse de la gestion des fichiers et ainsi permettre à vos utilisateurs une capacité idéale pour travailler. Pour éviter la perte de données, nous recommandons la technologie RAID 5 avec l’usage de cinq disques pour avoir 3 disques de spare permettant la défaillance de 2 disques simultanément.
2.1.7 Architecture Compte tenu des besoins du client, nous proposons de mettre en place un serveur de fichiers Windows Serveur 2008 avec un répliqua des données sur chaque site. Comme le site d’Orsay concentre plus de la moitié des utilisateurs, nous placerons un cluster sur ce site afin de permettre une haute disponibilité et une redondance des liens.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
43
[MIR INTRANET-WINDOWS]
MediaNetWork
Figure 13 - Architecture de la solution préconisée
2.2 Estimation des coûts Tous les prix indiqués sont une approximation des coûts réels et sont exprimés hors taxes. Nous prenons en compte dans les coûts les 20 % d’augmentation d’employés de notre client pour les cinq années à venir.
2.2.1 Coûts matériels et logiciels Produit HP ProLiant DL120 Windows Server 2008 R2 Entreprise Windows Storage Server 2008 R2 SAN HP X1500 8To Total
Prix unitaire 1 350 € 2000€ 0 5000€
Nombre 3 3 0 2
Prix total 4050€ 6 000 € 0 10000€ 15000€
Windows Storage Server 2008 R2 n’est vendu qu’en appliance, son coût est compris dans l’achat de la baie SAN de HP. Le coût des équipements et logiciels est de 15 K€.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
44
[MIR INTRANET-WINDOWS]
MediaNetWork
2.3 Gestion de contenu de l’entreprise (Jérôme Delahaie) 2.3.1 Besoins du client Le client Aristote nous a exprimé des besoins de gestion de contenu qui sont les suivants : Gestion de documents avec flux de travail de validation et de signature Gestion des enregistrements pouvant être des liens, des courriels ou des listes avec possibilité de flux de travail Gestion des formulaires pour permettre l’intégration au flux de travail Gestion du contenu web Moteur de recherche et portail Scalabilité
2.3.2 Solutions disponibles sur le marché Microsoft Office Sharepoint Server (MOSS)
Microsoft Office Sharepoint Server 2010 est une solution qui permet la gestion de contenu de l’entreprise. Il permet la gestion du contenu web, la gestion des documents, la gestion des formulaires et la gestion des sites personnels. Ce service s’articule autour de trois types de serveurs : Le serveur web Le serveur d’applications Le serveur de base de données Cette solution a une très forte scalabilité. En effet, si le besoin évolue sur un certain type de serveur, Office Sharepoint Server nous offre la possibilité d’ajouter des serveurs de ce type et ainsi constituer une ferme de serveurs pour répondre à ce nouveau besoin. Un autre point fort de cette solution réside dans le fait que le support Microsoft est très performant et sur le marché de l’emploi il est plus simple de trouver quelqu’un ayant des compétences sur Office Sharepoint Server et .NET. Cette facilité à trouver des ressources nous permettra de réduire les coûts de maintenance en ayant la possibilité de faire jouer la concurrence. Le point faible de cette solution est le coût matériel important. En effet, il est préconisé d’utiliser au minimum trois machines physiques différentes pour chacun des services (web, applications et base de données).
Partie 2 : Mise en place de la solution réseau Microsoft Windows
45
[MIR INTRANET-WINDOWS]
MediaNetWork
Open Text ECM Suite Open Text ECM Suite est un outil de travail collaboratif historique sur le marché des ECM. Tout comme MOSS, cet outil permet de prendre en charge tous les besoins de notre client Aristote. Le schéma suivant permet de voir le principe de fonctionnement de cette solution :
Figure 14 - Schéma de fonctionnement d'Open Text ECM Suite
Comme on peut le voir sur le schéma cette solution s’articule autour de différents services : Open Text Enterprise Process Services : c’est la brique de gestion de flux de travail et de gestion des processus métier Open Text Enterprise Library : c’est le référentiel qui permet la gouvernance et la gestion de conformité de tous les types de contenus à l’échelle de l’entreprise. Open Text User Experience Services : permet de fournir un service homogène quelque soit le moyen d’accès et d’utilisation du contenu (des portails, des interfaces web, des applications bureautiques ou des appareils mobiles). Cette solution peut s’adapter à un large contexte d’entreprise en termes d’architectures de messagerie, de bases de données et d’applications métier. IBM Enterprise Content Management IBM Enterprise Content Management est l’outil de gestion de contenu d’entreprise d’IBM. Il permet la gestion du contenu, des processus et de la conformité. Combiné à la solution FileNet, cet outil permet la gestion de flux de travail. Malheureusement le besoin d’Aristote en matière de gestion du contenu web n’est pas assuré par ce produit IBM. Cette solution est très fortement liée à Lotus Notes qui n’est pas le système de messagerie que nous avons retenu. Partie 2 : Mise en place de la solution réseau Microsoft Windows
46
[MIR INTRANET-WINDOWS]
MediaNetWork
EMC Documentum EMC Documentum est la solution proposée par EMC (leader mondial du stockage) à la problématique de gestion de contenu de l’entreprise. Cet outil permet de satisfaire tous les besoins d’Aristote néanmoins, il nécessite la mise en place de serveurs n’étant pas sous environnement Windows et il ne peut donc pas être retenu. Oracle Content Management Oracle Content Management est la solution proposée par Oracle pour la gestion de contenu de l’entreprise. Ce produit répond parfaitement aux besoins d’Aristote mais il n’est pas disponible pour des serveurs sous environnement Windows.
2.3.3 Solution retenue Comme on a pu le constater le marché de la gestion de contenu est un marché très important, où de nombreux acteurs se livrent une bataille sans merci. La solution que nous retenons dans le contexte de cette MIR Windows est la solution proposée par Microsoft, Office Sharepoint Server 2010. Elle nous permet de respecter les besoins d’Aristote tout en permettant une grande scalabilité et un coût de maintenance moins élevé. La solution Open Text ECM Suite a été écartée car elle nécessite une étude plus approfondie, irréalisable dans le temps imparti.
2.3.4 Architecture proposée Windows Sharepoint Fundation et Office Sharepoint Server 2010 Microsoft Office Sharepoint Server (MOSS) s’appuie sur le remplaçant de Windows Sharepoint Services (WSS) qui est Windows Sharepoint Fundation (WSF), pour fournir les fonctionnalités de travail collaboratif et de gestion de contenu. Le module Active Directory Rights Management Services (AD RMS) permet la gestion des droits numériques par MOSS. Il est disponible sans coûts supplémentaires sur Windows Server 2008 R2. Windows Sharepoint Foundation permet la mise en place de flux de travail mais nécessite une connaissance approfondie en développement .NET. Pré-requis matériel Microsoft Office Sharepoint Server 2010 nécessite une machine dotée de la configuration matérielle suivante : pour les serveurs web et les serveurs d’application Composant Processeur Mémoire RAM Espace disque
Minimum requis 4 cœurs en 64bits 8 Go 80 Go
Partie 2 : Mise en place de la solution réseau Microsoft Windows
47
[MIR INTRANET-WINDOWS]
MediaNetWork
pour les serveurs de base de données Composant Processeur Mémoire RAM Espace disque
Minimum requis 4 ou 8 cœurs en 64bits 8 ou 16 Go 80 Go
Pré-requis logiciels L’installation d’Office Sharepoint Server 2010 nécessite d’avoir installé la mise à jour KB979917 : QFE for Sharepoint Issue. Ensuite, en exécutant l’outil de préparation, les éléments suivants seront installés :
Web Server (IIS) rôle Application Server rôle Microsoft .NET Framework version 3.5 SP1 SQL Server 2008 Express with SP1 Microsoft Sync Framework Runtime v1.0 (x64) Microsoft Filter Pack 2.0 Microsoft Chart Controls for the Microsoft .NET Framework 3.5 Windows PowerShell 2.0 SQL Server 2008 Native Client Microsoft SQL Server 2008 Analysis Services ADOMD.NET ADO.NET Data Services Update for .NET Framework 3.5 SP1 A hotfix for the .NET Framework 3.5 SP1 that provides a method to support token authentication without transport security or message encryption in WCF. Windows Identity Foundation (WIF) Architecture proposée La recommandation est un serveur par type (web, application et base de données) pour une mise en production. Ces serveurs seront installés en mode ferme, afin de pouvoir ajouter facilement de nouveaux serveurs pour faire évoluer la solution en fonction des besoins futurs. Afin de permettre une utilisation réduite de la bande passante des liens WAN, nous vous proposons d’utiliser le modèle géo-localisé. Nous aurons donc des fermes sur le site d’Orsay et les clients utiliseront le lien WAN, ou un VPN pour les nomades, pour accéder au service. La bande passante sera réduite par rapport à une architecture répartie sur tous les sites, car les flux de synchronisation/réplication entre les serveurs MOSS sont plus importants que les requêtes des clients. La mise en place d’un serveur MOSS en DMZ permettra aux clients nomades d’utiliser le service tout en assurant la sécurité du service qui sera gérée par le pare-feu.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
48
[MIR INTRANET-WINDOWS]
MediaNetWork
Orsay Internet Client Nomade
Serveur MOSS DMZ
Client Bruxelles
VPN MPLS
Serveur MOSS Web
Serveur SQL
Serveur MOSS d’applications
Client Bayonne
Client Sophia-Antipolis
Configuration En version standard, MOSS gère les fonctionnalités suivantes :
Gestion des signatures Validation de documents Dématérialisation de documents Création/Gestion de contenu web Création/gestion du portail d’entreprise Moteur de recherches
Pour bénéficier de la gestion de formulaires, il faut installer InfoPath. InfoPath permet à MOSS de générer les formulaires dans le format XML pour les flux de travail lors de la gestion des signatures et la validation des documents. L’Alernate Accès Mapping (AAM) permettra les redirections sur le parefeu. Le rôle AD RMS doit être installé sur le serveur. Cela permettra d’activer les droits RMS dans le centre de documents de Sharepoint. L’installation de MOSS nécessite également une mise à jour du schéma Active Directory.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
49
[MIR INTRANET-WINDOWS]
MediaNetWork
2.4 Système d’impression (Arnaud HAMON) 2.4.1 Rappel des besoins Tout d’abord, un haut niveau de confidentialité est demandé pour les données de la Direction Générale et de la direction Marketing et Commerciale. Puis, pour le système d’impression, il est demandé : De s’appuyer sur les nouvelles technologies disponibles avec Windows Server pour la gestion des imprimantes et des serveurs d’impression Il est demandé d’implémenter la gestion de la localisation des imprimantes Tout en sachant que la société cliente prévoit d’installer une imprimante laser réseau débit rapide format A3, A4 par étage de bâtiment ainsi qu’une imprimante couleur format A3, A4, recto verso, avec agrafage des documents, par bâtiment.
2.4.2 Introduction Sur Windows Server 2008 R2, on peut partager des imprimantes sur un réseau et centraliser les tâches de gestion des serveurs grâce au rôle de Gestion de l’impression.
2.4.3 Gestion des imprimantes et des serveurs d’impression La Gestion de l’impression permet la gestion de plusieurs imprimantes et/ou serveurs d’impression. Elle va permettre de: Migrer des imprimantes vers d’autres serveurs d’impression Surveiller les files d’attente à l’impression et de recevoir des notifications lorsque ces files d’attente arrêtent de traiter les travaux d’impression Déployer des connexions à des imprimantes à l’aide d’une stratégie de groupe (GPO)
2.4.4 Implémentation de la gestion de la localisation des imprimantes Afin de gérer la localisation des imprimantes, on va mettre en place une règle de nommage de celleci : Site géographique (avec le type d’objet : donc IMP pour imprimante) BAY-IMP BRU-IMP ORS-IMP SOP-IMP
Le numéro de l’étage Le modèle de (Précédé d’un tiret) l’imprimante (Précédé d’un tiret) 0 LASER 1 COULEUR 2 (On les nommera ainsi vu 3 que les modèle ne nous on pas encore été communiqué)
Exemple : BAY-IMP-2-COULEUR Partie 2 : Mise en place de la solution réseau Microsoft Windows
50
[MIR INTRANET-WINDOWS]
MediaNetWork
Grâce à cela, les utilisateurs comme les administrateurs localiseront les imprimantes. Ensuite, le gestionnaire d’impression va permettre suite à l’installation d’une imprimante de la répertorier dans l’active Directory. Ceci va permet aux utilisateurs de les localiser et les installer plus facilement grâce à la mise en place de droits sur les différents imprimantes avec de gérer les affichages pour les utilisateurs. Pour finir, à partir de l’AD, on pourra installer les imprimantes à partir de stratégies de groupe. C’est pourquoi, au cours de l’installation des imprimantes sur le serveur d’impression, il est conseillé d’installer les pilotes 32 bits et 64 bits des imprimantes. De plus, si besoin est, il sera utile de mettre en place le service Line Printer Daemon (installe et démarre le serveur d’impression TCP/IP, LPDSVC), permettant aux ordinateurs UNIX ou à d’autres ordinateurs qui utilisent le service LPR (Line Printer Remote) d’imprimer sur des imprimantes partagées sur ce serveur.
2.4.5 Architecture de la solution
Légende
Internet = Serveur d’impression
Clients
= Clients
MPLS
Clients
ORS-SRV-IMP
Orsay
BAY-SRV-IMP
Clients
Bayonne
SOP-SRV-IMP
Clients
Sophia Antipolis
BRU-SRV-IMP
Clients
Bruxelles
Figure 15 - Schéma de la solution d’impression
L’infrastructure aura un serveur d’impression sur chaque site afin de limiter l’utilisation de bande passante entre les sites distant. Or, certains sites s’entendent sur 2, voir 3 bâtiments, mais la bande passante étudiée durant la MIR Réseaux est amplement suffisante afin d’avoir un bon fonctionnement au sein de chaque site du service d’impression. Pré-requis Comme on peut le voir sur le schéma de la solution globale, nous mettrons en place 4 serveurs d’impression dont la configuration sera identique :
Partie 2 : Mise en place de la solution réseau Microsoft Windows
51
[MIR INTRANET-WINDOWS] Hardware/Freeware Système d’exploitation Processeur Mémoire Espace Disque
MediaNetWork
Minimum Windows Server 2008 R2 X64 2GHz (Windows Server 2008 R2 n’est disponible quand version 64Bits) 4 Gb (Afin de supporter l’OS et la charge susceptible d’avoir) 50 Go (Pour prendre en compte l’installation de l’OS + les mises à jour + les pilotes des imprimantes)
2.4.6 Coûts de la solution Licences Afin de mettre en place 4 serveurs d’impression, il faut acheter 4 licences Windows Server 2008 R2 Edition Standard coutant chacune 800 €. Aucun autre supplément de licences ou logiciel n’est nécessaire pour mettre en place cette infrastructure. Coûts de déploiement Face aux pré-requis matériels des machines et à l’impact sur la production, une solution de virtualisation de ces serveurs peut-être envisagée, réduisant ainsi les coûts matériels. Autrement, 4 serveurs d’une valeur de 1 000 € chacun doivent être à prévoir. Pour la phase de déploiement, comprenant l’installation du serveur, l’intégration des imprimantes au serveur, ainsi que la mise en place de droits, il faut compter 15H/Homme par serveur, soit un total de 60H/Homme. Coûts liés à l’administration L’administration de ce système d’impression est la migration d’imprimantes ou l’ajout de celle-ci ou les droits de celle-ci, soit 2H/Homme par semaine pour l’administration de ce système. Récapitulatif Coût unitaire Licence Windows 800 € Server 2008 R2 Edition standard Serveur 1 000 € Installation complète 15H/Homme d’un serveur
Quantité 4
Prix total 3 200 €
4 4
4 000 € 60H
Partie 2 : Mise en place de la solution réseau Microsoft Windows
52
[MIR INTRANET-WINDOWS]
MediaNetWork
2.5 Système de messagerie et de communications (Rudy Promé) 2.5.1 Rappel des besoins Avant de démarrer l’étude de l’architecture de messagerie, il est nécessaire de rappeler les besoins de notre client Aristote afin que les propositions des outils et logiciels à mettre en œuvre soient cohérentes. Il faudra donc être en mesure d’assurer le bon fonctionnement des points suivants : Intégration de l’architecture de messagerie dans l’organisation informatique et dans l’interface des utilisateurs Gestion des agendas Gestion des contacts personnels Gestion des tâches Gestion des réunions (en fonction des plannings des invités et des ressources disponibles) Possibilité de créer des zones de stockages de message accessibles à certaines personnes autorisées avec une gestion du cycle de vie Réception des messages téléphoniques et des télécopies dans les boîtes aux lettres (messagerie unifiée) Intégration d’un système de communication en temps réel Possibilité d’organiser du travail collaboratif et du partage d’application Un accès aux messages et au travail collaboratif simple depuis n’importe quel endroit à l’aide : D’un client de messagerie lourd sur les postes utilisateurs (fixes et portables) D’un accès depuis l’extérieur de l’entreprise via un navigateur Web (pour les postes n’appartenant pas à l’entreprise, donc des postes quelconques connectés à Internet) D’un accès également depuis un Smartphone ou PDA Le tout se doit évidemment d’être sécurisé, d’avoir une haute disponibilité et la distribution des courriers immédiate.
2.5.2 Choix du serveur de messagerie Nous ne reviendrons pas sur un comparatif de produit très complet étant donné que nous l’avions déjà effectué lors de l’étude de votre architecture de messagerie en MIR 3. Toutefois, vous pouvez 5 vous référer à l’annexe « comparatif des serveurs de messagerie » pour comprendre comment nous avons procéder dans nos choix. Nous mettrons en place une solution basée sur Microsoft Exchange Server 2010. Pour rappel, il met à disposition de tous les utilisateurs, une boîte de messagerie, un calendrier et un agenda. La messagerie unifiée est également présente. Les messages sont accessibles à distance depuis n’importe où, même depuis la passerelle Internet. Toutes ces fonctions de base sont nécessaires pour notre client.
5
Annexe « comparatif des serveurs de messagerie » dans architecture de messagerie et de travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport Partie 2 : Mise en place de la solution réseau Microsoft Windows
53
[MIR INTRANET-WINDOWS]
MediaNetWork
D’un point de vue sécurité, l’envoi et la réception de mail sont cryptés grâce à SSL afin d’assurer la confidentialité. La haute disponibilité est assurée grâce à une réplication des bases de données avec la technologie DAG (Data Availability Group). Quant à son administration, elle se veut centralisée dans une console de gestion dite EMC (Exchange Management Console) qui exécute des commandes PowerShell en arrière plan. Nous répondons ainsi déjà à un grand nombre de pré requis sur l’architecture de messagerie de notre client. En annexe « Règles de la messagerie pour les utilisateurs6 », vous trouvez plusieurs informations complémentaires notamment le plan de nommage des comptes utilisateurs ainsi que les quotas des mails autorisés par direction.
2.5.3 Implémentation des rôles Exchange Le produit de Microsoft a une méthode de fonctionnement bien spécifique. Celui-ci se caractérise par cinq rôles qui sont :
Mailbox (sur une machine membre du domaine) Transport EDGE (sur une machine non-membre du domaine, à placer dans la DMZ) Transport HUB (sur une machine membre du domaine) Accès Client (CAS) (sur une machine membre du domaine) Messagerie Unifiée (UM) (sur une machine membre du domaine)
Le tableau ci-dessous va décrire de façon synthétique ces différents rôles ainsi que leur emplacement au sein de l’architecture d’Aristote : Rôles Mailbox
Transporteur EDGE
Transporteur HUB
Explications Héberge toutes les boîtes aux lettres et dossiers publics. Mais ne gère pas le transport des messages, elle a besoin d’un serveur de transport HUB Assure tous les échanges de mails sortants ou entrants du réseau interne, c’est une passerelle SMTP Inclut un anti-spam, gère les règles de répudiations et le filtrage de contenu Tous les courriers électroniques doivent passés par ce serveur afin d’être délivrés (y compris les courriers locaux), car ce rôle permet le routage des messages, la conversion des formats si nécessaire et la journalisation Les flux internes sont chiffrés par TLS Il intègre également un anti-spam
Emplacement Présentes sur les quatre sites Cependant la Mailbox d’Orsay sera installée en cluster pour assurer une haute disponibilité Présent uniquement dans la DMZ d’Orsay
Seront installés sur les quatre sites afin qu’il n’y ait pas de surcharges de flux sur les réseaux WAN pour les messages inter-sites. Plus exactement ils seront implantés sur les mêmes serveurs que les Mailbox et ainsi en cluster sur le site d’Orsay
6
Annexe « Règles de la messagerie pour les utilisateurs » dans architecture de messagerie et de travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport Partie 2 : Mise en place de la solution réseau Microsoft Windows
54
[MIR INTRANET-WINDOWS]
Accès Client (CAS)
Messagerie Unifiée (UM)
MediaNetWork
Sert de passerelle à tous les clients non MAPI (qui proviennent d’Outlook Web Access (dorénavant Outlook Web App), d’ActiveSync, d’Outlook Anywhere, des protocoles POP3 et IMAP4) Stocke au même emplacement les emails, fax et les messages vocaux de façon unifiée depuis un client Outlook ou un mobile Offre des fonctions de répondeur téléphonique, de réception des fax et l’utilisation d’Outlook Voice Access
Présents sur tous les sites également, sur le même serveur que les Mailbox et transporteurs HUB. Donc en cluster sur le site d’Orsay Nécessitant une forte bande passante, les serveurs UM seront eux aussi présents sur tous les sites d’Aristote
Tous les Exchange 2010 nécessaires seront installés physiquement sur des serveurs HP ProLiant DL120 et aucun ne seront virtualisés.
2.5.4 Application cliente de messagerie Les postes de notre client seront équipés du client lourd Microsoft Outlook 2010. Etant donné qu’il s’agit du client de messagerie officiel de Microsoft, la cohabitation se fera sans aucune difficulté. Il intègre tout ce qui est nécessaire aux collaborateurs : les agendas, contacts, la messagerie. Et le tout se synchronise parfaitement à Exchange Server 2010, c'est-à-dire que toute modification d’un planning, d’une tâche ou d’un contact effectué sur un client Outlook se verra synchronisée vers les serveurs Exchange. Les mails se synchronisent en natif avec le protocole propriétaire d’Exchange, sans passer par les protocoles POP, IMAP et SMTP. Ceux-ci sont donc chiffrés. Il fonctionne également en adéquation avec Communicator, ce qui permet de voir le statut des contacts en temps réel et est compatible avec SharePoint. Il dispose de plus d’une interface très claire et intuitive afin de favoriser une utilisation rapide et efficace pour les utilisateurs.
2.5.5 Synchronisation des appareils mobiles La synchronisation des appareils mobiles se fera à l’aide d’ActiveSync (Plus de détails en fonction du type de mobile en annexe)7. Il permet la synchronisation des messages, des agendas, des calendriers et des contacts en temps réel. Celui-ci est inclus dans Microsoft Exchange Server 2010 et ne nécessite en aucun cas l’achat de licences supplémentaires. ActiveSync est requis sur le serveur Exchange pour les configurations de tous les terminaux.
7
Annexe « Synchronisation des appareils mobiles » dans architecture de messagerie et de travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport Partie 2 : Mise en place de la solution réseau Microsoft Windows
55
[MIR INTRANET-WINDOWS]
MediaNetWork
2.6 Haute disponibilité (Rudy Promé) 2.6.1 Introduction Exchange 2010 va nous permettre d’assurer une sécurité au niveau des Mailbox grâce à sa fonction DAG8 (Database Availability Group) sans avoir à utiliser à proprement dit un cluster Microsoft. Etant lié aux Mailbox, il se met en place sur toutes les machines qui en contiennent le rôle (donc sur tous nos serveurs Exchange à l’exception de celui dans la DMZ). Nous devons donc garantir notamment les points suivants : Chaque utilisateur de chaque site doit accéder à ses emails même en cas de rupture du lien MPLS avec le siège Limiter la consommation en termes de bande passante Un système fonctionnel même en cas de crash d’un serveur
2.6.2 Partage de charge Concernant l’utilisation des CAS, nous envisageons une répartition de charge matérielle. Celle-ci fonctionnant sur une base de NAT inversée, le principe est d’envoyer tous les flux réseaux vers une IP virtuelle qui va se charger via une translation d’adresse de rediriger les données vers un membre du cluster. Ainsi nous aurions des utilisateurs qui iraient récupérer leurs emails à l’adresse 10.10.10.10, cette demande serait ensuite redirigée dynamiquement vers soit le serveur1 (10.10.10.11) soit le serveur2 (10.10.10.12).
2.6.3 Gestion des bases de données d’Exchange Combien de bases de données ? Afin de défragmenter les bases de données de mails plus rapidement et de regrouper ensemble les bases des utilisateurs ayant des quotas de mails journaliers identiques et des boîtes mails de même taille, nous allons créer cinq bases de données. Soit, une par direction d’Aristote :
Direction Générale (DB-1) Direction Administrative et Financière (DB-2) Direction Commerciale et Marketing (DB-3) Direction Etude (DB-4) Direction Production (DB-5)
8
Pour plus de détails sur le DAG, voir l’annexe « Principe du fonctionnement du DAG » dans architecture de messagerie et de travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport
Partie 2 : Mise en place de la solution réseau Microsoft Windows
56
[MIR INTRANET-WINDOWS]
MediaNetWork
Répartition des bases de données suivant les Mailbox d’Aristote Dernier point, la répartition et le nombre de serveurs dans l’architecture logique globale a été déterminé de la manière suivante :
Figure 16 - Architecture logique Exchange CAS/DAG
Attention, il s’agit ici d’une représentation logique, en réalité, les services CAS et DAG d’un site seront sur une même machine physique. Nous préconisons ainsi de mettre en place des serveurs Exchange sur chaque site pour deux raisons : Une meilleure gestion des flux réseau (et ainsi une économie en bade passante) Réduction des effets de latences lors de la synchronisation des clients (type Outlook) De plus en ayant choisi de créer une base de données par direction, chaque serveur aura une base active (représentée en vert sur le schéma ci-dessus). Ce qui nous permettra d’associer une base active à la direction la plus représenté (en nombre d’utilisateurs) pour un site. Par conséquent : les deux serveurs d’Orsay auront pour bases actives la direction Commerciale et Marketing et la direction Etude le serveur de Sophia Antipolis aura la base de la direction Administrative et Financière le serveur de Bayonne aura la base active de la direction Générale le serveur de Bruxelles aura la base active de la direction Production Nous avons donc au travers de cette architecture, garantie la pérennité de l’information mail ainsi que la haute disponibilité pour les utilisateurs.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
57
[MIR INTRANET-WINDOWS]
MediaNetWork
2.7 Messagerie collaborative (Bastien Gayral) 2.7.1 Microsoft Office Communications Server 2007 Présentation Microsoft Office Communications Server (OCS) 2007 est un produit qui intègre des moyens de communication en temps réel. Cette solution est conforme à vos besoins puisqu’elle permet :
la détection de la présence des utilisateurs la conférence Web (partage de données, audio et vidéo) la messagerie instantanée et les conversations audio/vidéo l'intégration d'utilisateurs distants
Une nouvelle version d’OCS est sortie en septembre dernier, appelée OCS Lync. Nous ne recommandons pas ce produit car il n’apporte pas de nouveautés supplémentaires pour les besoins de votre entreprise. De plus, ce produit est très récent donc nous préférons nous baser sur un produit sûr et qui a déjà fait ses preuves avec le temps. Détection de présence La présence est un rôle important en entreprise. Elle permet à un utilisateur de savoir à l’avance si l’utilisateur distant est prêt à communiquer. Ces informations de présence sont définies automatiquement en fonction de votre calendrier Outlook, de vos activités sur votre ordinateur ou de vos appels en cours. Conférence Web Ce terme recouvre des applications de travail collaboratif en temps réel accessibles au travers du navigateur. L'organisateur a besoin d'un logiciel client spécifique. Il peut préparer une réunion virtuelle, ce qui consiste à lancer des invitations et envoyer des documents et questionnaires (afin de réaliser des sondages). Il pourra modérer la réunion en contrôlant les interventions ou l'affichage des documents présentés. Les principales fonctionnalités sont :
le partage de documents, de tableaux blancs, de tableurs ou de présentations… la prise de contrôle à distance la messagerie instantanée la réalisation de sondages l’enregistrement des réunions (envoyé à chaque participant)
Messagerie instantanée et conférence Audio/Vidéo/Data Avec le client Communicator, vos utilisateurs ont la possibilité de communiquer en temps réel entre eux. Vos collaborateurs peuvent avoir une conversation, effectuer de la vidéo et/ou simplement discuter.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
58
[MIR INTRANET-WINDOWS]
MediaNetWork
Accès client Microsoft Office Communication Server 2010 supporte quatre clients de messagerie instantanée et de collaboration de données et audio/vidéo pour les utilisateurs internes et externes : - Microsoft Office Communicator 2007 - Microsoft Client Office Live Meeting - Microsoft Web Communicator 2007 - Microsoft Mobile Communicator 2007 Office Communicator Microsoft Office Communicator 2007 R2 est le principal logiciel client pour Office Communications Server 2007 R2. Office Communicator prend en charge l'envoi et la réception d'appels, des fonctionnalités de présence, de messagerie instantanée et de conférence. Client Office Live Meeting Le client Microsoft Office Live Meeting est un client de collaboration de données et audio/vidéo (A/V) pour Office Communications Server et le service Microsoft Live Meeting hébergé. Il permet aux utilisateurs de participer à des réunions. Communicator Web Access 2007 R2 Office Communicator Web-Access 2007 (OWA) est une application cliente pour OCS. Il est possible de l’utiliser à partir de n’importe quel navigateur web et sur tous les systèmes d’exploitation. En utilisant Office Communicator Web Access 2007, vous pouvez accéder aux fonctionnalités de messagerie instantanée, tout en disposant des notions de présence des utilisateurs. L’avantage est qu’il n’est pas nécessaire d’avoir un logiciel client approprié ou une connexion VPN. Les utilisateurs peuvent se connecter à OWA à l’intérieur de la société ou en dehors. Pour cela, ils doivent indiquer l’adresse URL du serveur Office Communications Server qui lui fournit le service Web Access approprié.
2.7.2 Conclusion Cet outil va améliorer le travail d’équipe de vos utilisateurs en permettant la réalisation de conférence, de réunion audio et/ou vidéo de plusieurs collaborateurs distants simultanément et de n’importe où. De plus, la messagerie instantanée apporte un gain de temps dans la recherche d’information entre utilisateurs. OSC a été développé pour tout ces besoins et s’adapter facilement à une installation.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
59
[MIR INTRANET-WINDOWS]
MediaNetWork
2.7.3 Architecture mise en place Office Communication Server 2007 est constitué d’un grand nombre de rôles. Les rôles Active Directory, SQL et le serveur frontal sont les trois rôles indispensables dans une architecture OCS. Nous allons détailler chaque rôle l’un à la suite de l’autre afin de mieux appréhender cette infrastructure Office Communications Server 2007. Serveur Frontal : ce serveur gère la connexion des utilisateurs à OCS, l’initialisation des communications et le suivi des états de présence SQL : le serveur SQL stocke l’état des utilisateurs, les planifications et la configuration d’OCS Directeur : permet l’authentification des utilisateurs externes Serveur Edge d’accès : ce rôle, placé dans la DMZ, permet de donner accès à l’infrastructure aux utilisateurs ne figurant pas à l’intérieur de la société. Grâce à ce rôle, il n’est plus nécessaire de monter un réseau VPN pour se connecter Serveur Edge de conférence web : ce rôle s’installe également dans la DMZ de l’entreprise. Il permet de faire transiter le trafic des conférences web Serveur Edge de conférence A/V : ce rôle est identique au précédent, mais gère les informations vidéo et audio Serveur Communicator Web Access : ce rôle permet à des utilisateurs d’OCS de se connecter à partir d’un navigateur web et d’ainsi disposer des fonctions de messagerie instantanée, comme si la personne disposait du programme Office Communicator La plate-forme que nous mettrons en place reposera uniquement sur des serveurs Windows 2008 R2. Vos utilisateurs seront équipés : de la messagerie instantanée avec le client Office Communicator du client Office Live Meeting pour la collaboration de données et audio/vidéo pour les utilisateurs externes ou mobiles des clients Communicator Web-Access 2007 et Communicator Mobile Pour mettre en œuvre cette infrastructure, nous mettrons en place un serveur OCS 2007 R2 sur chaque site et un serveur OCS avec les rôles Edge d’accès, de conférences web et de conférence Audio/Vidéo dans la DMZ d’Orsay Nous choisissons l’édition Edition Enterprise car l'édition standard est adaptée à une maquette et la version Enterprise est adaptée à grande échelle.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
60
[MIR INTRANET-WINDOWS]
MediaNetWork
2.8 Schéma physique d’intégration (Rudy Promé) Voici le schéma physique d’intégration de toute l’architecture de messagerie et de travail collaboratif regroupant toutes les informations :
Figure 17 - Schéma d'intégration architecture de messagerie et de travail collaboratif
Légende :
EDGE : Transporteurs EDGE HUB : Transporteurs HUB MAILBOX : Boîtes aux lettres CAS : Serveurs d’accès clients UM : Serveurs de messagerie unifiée AD : Contrôleurs de domaine (Cluster sur Orsay) OCS : Serveurs Office Communications Server
PC Client : Postes des collaborateurs équipés d’Outlook 2010 et Communicator (Tous les serveurs nécessaires à OCS ne sont pas représentés sur ce schéma pour des questions de lisibilités) Partie 2 : Mise en place de la solution réseau Microsoft Windows
61
[MIR INTRANET-WINDOWS]
2.9
MediaNetWork
Estimation des coûts (Bastien Gayral et Rudy Promé)
Tous les prix indiqués sont une approximation des coûts réels et sont exprimés hors taxes. Nous prenons en compte dans les coûts les 20 % d’augmentation d’employés de notre client pour les cinq années à venir.
2.9.1 Coûts matériels et logiciels Produit Microsoft Exchange Server 2010 Exchange Client Access HP ProLiant DL120 Microsoft OCS 2007 R2 Enterprise Edition Licences OCS clients Passerelles Dialogic Media Gateway Total
Prix unitaire 2 500 € 50 € 1 350 € 2 800 € 100 € 1 000 €
Nombre 10 1 000 15 5 1 000 4
Prix total 10 000 € 50 000 € 20250 € 14000 € 100 000 € 4 000 € 198 250 €
Le coût des équipements et logiciels est de 198 K€.
2.9.2 Coûts humains Pour le bon fonctionnement de votre réseau et pour éviter des coupures ou des pertes de données, nous allons planifier deux types d’intervenant : Des techniciens qui s’occuperont des résolutions des incidents et du déploiement des postes de vos utilisateurs Des administrateurs sur chaque site pour la mise en œuvre de la solution retenue.
Nombre d'utilisateurs Nombre de techniciens Nombre d'administrateurs
Orsay 400 4 2
Bayonne 180 2 1
Sophia 80 1 1
Bruxelles 160 2 1
Total 820 9 5
Le coût d’un technicien est évalué à 1 500 € et le coût d’un administrateur à 2 000 € mensuel. Le total des coûts humains s’élève à 94 K€ l’année. Nous estimons cette solution d’architecture de messagerie et de travail collaboratif à un coût d’environ 294 K€ hors taxes.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
62
[MIR INTRANET-WINDOWS]
MediaNetWork
2.10 Applications métiers (Arnaud HAMON) 2.10.1 Rappel des besoins Sachant que ces applications pourront être à la fois utilisées à l’intérieur comme à l’extérieur de l’entreprise (et cela en toute sécurité), le client souhaite que les applications métiers ne soient pas déployées localement sur les postes client. Il attend qu’on lui propose une architecture permettant de répondre à ses besoins.
2.10.2 Introduction Etant donné les attentes du client, une solution centralisée des applications métiers avec des accès pour chaque utilisateur correspond à ce qu’il recherche. Pour cela, on utilisera le rôle Remote Desktop Services sur Windows Server 2008 R2 permettant le partage et la gestion d’applications et de bureaux à distance.
2.10.3 Présentation de la solution Dans la solution Remote Desktop Services, 2 rôles vont être utilisés : Remote Desktop Session Host permet aux utilisateurs d’ouvrir des bureaux à distance afin de lancer des applications, sauvegarder des fichiers et avoir accès aux ressources du réseau Remote Desktop Web Access permet de mettre un accès WEB sur lequel les utilisateurs vont pouvoir s’authentifier et lancer des applications sans qu’il soit installé ou qu’ils aient à installer les applications sur leur machine local, ou bien d’ouvrir un bureau à distance Tout d’abord, il faut indiquer que :
chaque utilisateur aura un partage réseau individuel et un partage réseau pour sa direction Un VPN sera mis en place pour les utilisateurs nomades Grâce à ces 2 rôles, on va pouvoir mettre en place un portail WEB (https://serverRD/RDweb ) basé sur IIS. Celui-ci sera accessible en interne et par le VPN qui pourra être mis en place par les utilisateurs nomades. Le rôle Remote Desktop Web Access va permettre de publier les applications métiers tel que la chaîne Office (Word, Excel, PowerPoint, Visio, Project) tout en gardant l’avantage de ne pas à installer le logiciel sur les machines clientes ou bien donner la possibilité d’ouvrir une session de Bureau à distance. L’autre le rôle (Remote Desktop Session Host) est indispensable, car c’est lui qui va gérer les ouvertures Remote Desktop pour les applications et les bureaux à distance ainsi que les droits RemoteApp afin que les utilisateurs puissent utiliser et voir sur le portail WEB leurs applications métiers en fonction de leur direction ou spécificité métier. A ce moment là, ce sera au choix de l’utilisateur d’utiliser simplement l’application métier dont il a besoin ou d’ouvrir une session Remote Desktop Protocol (RDP).
Partie 2 : Mise en place de la solution réseau Microsoft Windows
63
[MIR INTRANET-WINDOWS]
MediaNetWork
Etant dans les 2 cas une session RDP, l’utilisateur aura donc accès à ses partages de fichiers : Pour le bureau à distance, il aura directement accès aux partages Lorsqu’il utilisera simplement une application, pour ouvrir ou sauvegarder un fichier, il aura accès à ces partages et dossiers distants et non aux documents de la machine locale Et l’utilisation d’un VPN, par les utilisateurs nomades, rendra sécurisé l’utilisation des applications.
2.10.4 Architecture de la solution
Légende
Internet Clients
= Serveur d’applications
Clients nomades
= Client interne ou nomade
MPLS
ORS-SRV-APPS
Orsay
BAY-SRV-APPS
Clients
Bayonne
SOP-SRV-APPS
Clients
Sophia Antipolis
BRU-SRV-APPS
Clients
Bruxelles
Figure 18 - Schéma de la solution d’applications métiers
Tout d’abord, le premier choix fut de ne pas centraliser en un seul et unique site le serveur d’applications. Ce choix s’explique par l’utilisation de la bande passante pour faire du RDP, soit 64 Kbits/s minimum, 128Kbits/s afin d’avoir théoriquement des performances correctes, tout en sachant que ce sont les valeurs pour l’upload du serveur d’applications. Effectivement, les liens SDSL MPLS qui ont été choisis au cours de la MIR Réseau et même si aujourd’hui, on choisissait de les upgrader, cela ne suffirait pas en terme de débit pour que les utilisateurs des sites distants puissent communiquer correctement avec le serveur. Ensuite, il a été fait comme choix de ne pas dédier un serveur pour les clients nomades mais de les faire se diriger vers le serveur d’Orsay, afin de ne pas traverser le réseau MPLS. Puis, la possibilité de réduire le nombre de serveurs et de ne mettre que 2 ou 3 serveurs au lieu de 4 pouvait être envisagé, seulement, les besoins en ressources matérielles sont telles, qu’il est préférable de répartir la charge, ce que l’on va étudier dans le chapitre suivant qui concerne les prérequis.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
64
[MIR INTRANET-WINDOWS]
MediaNetWork
Pré-requis L’objectif ici, est d’évaluer la mémoire physique nécessaire à chaque serveur afin d’assurer un service correcte. Prenons en compte dans les calculs les 20% d’augmentation d’effectif) et 50% des utilisateurs utilisent leurs applications métiers en même temps. De plus, une session RDP nécessite environ 300 Mo de mémoire sur le serveur. Eléments Orsay (480 Bayonne (216 Sophia Bruxelles (192 consommateurs collaborateurs) collaborateurs) Antipolis (96 collaborateurs) de Mémoire de collaborateurs) RAM Système 1Go 1Go 1Go 1Go d’exploitation (Windows Server 2008 R2) Applications 3Go 3Go 3Go 3Go métier (Suite Office) RDP 240*300Mo = 108*300Mo= 48*300Mo= 15Go 96*300Mo= 29Go 72Go 32Go Total de mémoire 76Go 36Go 20Go 34Go nécessaire Configuration de la machine sur lequel on adaptera la mémoire physique en fonction du site Hardware/Freeware Système d’exploitation Processeur Mémoire Espace Disque
Minimum Windows Server 2008 R2 X64 2GHz (Windows Server 2008 R2 n’est disponible quand version 64Bits) Se référencer au tableau au dessus. 500 Go (Pour prendre en compte l’installation de l’OS + les mises à jour + les applications)
Partie 2 : Mise en place de la solution réseau Microsoft Windows
65
[MIR INTRANET-WINDOWS]
MediaNetWork
2.10.5 Coûts de la solution Licences Afin de mettre en place 4 serveurs d’applications, il faut acheter 4 licences Windows Server 2008 R2 Edition Entreprise coûtant chacune 2800€. Il faudra voir avec Microsoft afin d’obtenir 500 Licences RDP. Coûts de déploiement Face aux pré-requis matériels des machines et à l’impact sur la production, une solution de serveurs physiques sera mis en place. Pour la phase de déploiement, comprenant l’installation du serveur, l’installation des applications métiers, ainsi que la mise en place de droits, il faut compter 35H/Homme par serveur, soit un total de 140H/Homme. Coûts liés à l’administration L’administration de ce système est en autre, la mise à jour des applications métiers, des droits utilisateurs, soit 5H/Homme par semaine pour l’administration de ce système. Récapitulatif
Licence Windows Server 2008 R2 Edition Entreprise Serveur Installation complète d’un serveur
Coût unitaire 2800€
Quantité 4
Prix total 11200€
1000€ 35H/Homme
4 4
4000€ 140H
Partie 2 : Mise en place de la solution réseau Microsoft Windows
66
[MIR INTRANET-WINDOWS]
MediaNetWork
3 Partie 3: Utilisation de l'accès Internet (Bastien Gayral) 3.1 Introduction Le premier objectif est la mise en place d'un accès Internet plus fluide et tout en contrôlant les accès des utilisateurs (utilisateur autorisé ou non). De plus, il serait souhaitable, si l'architecture le permet, qu'un système de sauvegarde des liens WAN soit disponible au travers d'Internet. Cet accès devra permettre aux utilisateurs nomades d'accéder aux services définis dans la partie 2 depuis les moyens extérieurs spécifiés (cybercafé, domicile, poste nomade, téléphone mobile, ...) Le second objectif est l'implémentation d'une solution de mise à jour automatique de correctifs de sécurité sans intervention des utilisateurs et cela le plus rapidement possible tout en permettant la validation de ces correctifs par les administrateurs. Cette fonctionnalité pourra être couplée avec la partie 4, le cas échéant. Le troisième objectif est la mise en place d'une solution intranet/extranet générale couvrant l'ensemble de l'entreprise. Cet Extranet devra être seulement accessible de l'extérieur de l'entreprise aux collaborateurs uniquement avec un très haut degré de sécurité (aucune saisie d'un compte et d'un mot de passe). Il aura pour cible le système de gestion de contenu d'entreprise (E.C.M.) défini plus haut.
3.2 Exigences L'entreprise cliente a choisi la mise en place d'un système proxy et pare feu (y compris couche OSI 7 avec filtres applicatifs). Il n'est pas souhaitable qu'un client nomade ait à mettre en place une quelconque connexion autre qu'un simple accès Internet pour pouvoir se connecter aux services de l'entreprise. En cas d'oubli, un utilisateur pourra, depuis un poste connecté au réseau Internet non géré (IE considéré comme potentiellement dangereux) ou un téléphone portable, accéder simplement en lecture seulement à ses documents personnels ou au contenu des sites d'équipe dont il fait partie.
3.3 Comparatif de produits 3.3.1 ISA Serveur 2006 ISA Serveur 2006 est une passerelle de sécurité de Microsoft. C’est un produit réputé et mature qui à su se mettre à jour au fil du temps. Les principales fonctionnalités d’ISA Server 2006 sont:
Pare-feu avec filtrage applicatif Fonction de reverse proxy et publication web interne Gestion du trafic SSL Authentification extensible Prise en charge du réseau privé virtuel (VPN) avec gestion de la quarantaine Règles détaillées pour la gestion du trafic et le respect des stratégies
Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
67
[MIR INTRANET-WINDOWS]
MediaNetWork
Assistant de configuration et de publication des serveurs applicatifs (messagerie, portail) Cache web.
3.3.2 Forefront TMG (Threat Management Gateway) Forefront Threat Management Gateway dispose de toutes les fonctionnalités de son successeur, Isa Serveur et apporte d’importantes évolutions.
Déploiement et administration Filtrage d’URL Inspection du trafic sortant HTTPS Support du protocole de VPN SSL Secure Socket Tunneling Protocol (SSTP) Intégration avec l’offre Forefront Protection Suite (nom de code « Stirling ») avec le support de la technologie SAS (Security Assessment Sharing)
Forefront TMG est la solution pare-feu la plus adaptée à votre l’entreprise L’inspection HTTPS est devenue indispensable dans le domaine de la sécurité informatique. Outre les nombreuses fonctionnalités que cette solution propose, elle est optimisée pour sécuriser les derniers produits de Microsoft tels que vos serveurs de messagerie, Exchange 2010 et OCS 2007 R2 et vos serveurs de gestion de contenu, SharePoint 2010.
3.4 Microsoft Forefront Threat Management Gateway Comme nous l’avons vu dans le comparatif, Forefront TMG est une passerelle de sécurité possédant de nombreuses fonctionnalités de protection contre les attaques provenant d’Internet. Nous allons présenter dans cette partie les fonctionnalités nécessaires aux besoins du client.
3.4.1 Pare-feu Forefront reprend les mêmes fonctionnalités qu’ISA en termes de pare-feu multicouche. Il va améliorer la sécurité de votre réseau grâce notamment à son filtrage du trafic au niveau des paquets, des circuits et des applications. Avec l’arrivée du SSL, les proxys et les pare-feu étaient incapable de voir les données échangées. Actuellement, de nombreux logiciels utilisent cette solution comme Outlook 2003/2007, Terminal Server, Messageries instantanées, Client VPN, Logiciel P2P. Une nouveauté de Forefront est de permettre d’analyser l'intérieur d'un tunnel HTTPS qui est établie entre le navigateur client et un site Web sur Internet. En effet, Forefront va agir comme un « Man in the Middle », c'est-à-dire qu’il va se placer entre le site HTTPS et le client, il va déchiffrer le SSL, inspecter le contenu et va certifier les requêtes lui-même vers le client. Ces actions sont totalement transparentes pour le client.
3.4.2 Proxy Comme nous l’avons détaillé dans la Mir Sécurité, Forefront TMG possède la fonctionnalité de proxy. Elle permet d’authentifier vos utilisateurs en s’appuyant sur l’Active Directory pour l’accès vers l’extérieur. Ainsi les utilisateurs non autorisés ne pourront pas se connecter à Internet. La fonction « cache » va enregistrer les pages Internet les plus consultées sur votre serveur ce qui va permettre à Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
68
[MIR INTRANET-WINDOWS]
MediaNetWork
ce dernier d’aller chercher directement les fichiers enregistrés plutôt que de les générer. Cela va donner un accès plus rapide à vos utilisateurs et libèrera les ressources de votre proxy. Comme il était demandé dans la Mir Réseaux, nous allons configurer les serveurs proxy de la façon suivante :
Direction, Finance et Marketing Etude, PDG, Financier Production
Accès http Accès Total Aucun
3.5 Forefront Unified Access Gateway Présentation Forefront Unified Access Gateway est le produit de sécurité de Microsoft pour les accès distants.
Comme montre le tableau ci-dessus, Forefront UAG dispose de fonctionnalités supplémentaires à TMG. Deux fonctionnalités, SSO et DirectAccess, sont essentielles à l’infrastructure de votre réseau pour être conforme avec les besoins exprimés. Reverse proxy La fonctionnalité reverse proxy de Forefront va permettre à vos utilisateurs d’accéder depuis l’extérieur à vos serveurs internes en transmettant indirectement les requêtes qui lui sont adressées. Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
69
[MIR INTRANET-WINDOWS]
MediaNetWork
Elle va protéger vos serveurs internes en les plaçant derrière ce serveur sécurisé et prévu pour encaisser des grosses charges de trafic. Ce point d'entrée unique proxy permet un contrôle des accès aux applications Web et de simplifier l'établissement de règles sur le firewall du site. Ainsi, l'utilisation d'un reverse proxy permet d'envisager une répartition des applications Web par serveur en fonction des besoins. Le premier avantage est qu’il ne possède qu'une seule adresse visible : celle du reverse proxy. Les serveurs Web frontaux placés derrière dispose d'une adresse locale, ce qui a pour avantage de ne pas multiplier la réservation de plages d'adresses et donc les coûts. Le reverse proxy va se charger seul d'attribuer pour une requête Web, une adresse locale d'un serveur interne, puis en sens inverse de transférer la réponse à l'internaute en mémorisant son adresse Web par le biais du protocole NAT. De plus, cela consiste à pouvoir changer de manière transparente son architecture serveurs en interne sans impact sur l'adressage IP Internet. Grâce au reverse-proxy, le serveur Web est protégé des attaques directes de l'extérieur, ce qui renforce la sécurité du réseau interne. D'autre part, la fonction de cache du reverse-proxy va permettre de soulager la charge du serveur pour laquelle il est prévu. Microsoft Forefront UAG utilise les AAM (Alternate Access Mappings) de Microsoft Office SharePoint. C'est-à-dire lorsque vous êtes sur votre réseau local (Intranet), votre serveur Sharepoint est accessible depuis l’URL du type http. Cependant, depuis l’extérieur, il est nécessaire de faire un mapping entre l'adresse Internet de votre serveur et l'adresse de votre serveur interne (intranet). C’est pourquoi nous utiliserons le reverse proxy de Forefront qui va mapper l’adresse https://extranet.vsn-aristote.eu vers l’adresse de votre serveur interne. L’utilisation de la fonction AAM va permettre une meilleure réécriture d'url et surtout l'utilisation de composants plus lourds (Word, Excel, ..) pour permettre d’éviter des erreurs depuis un réseau distant. SSO L’authentification de vos utilisateurs se fera à l’aide d’un certificat, généré par le serveur PKI, enregistré sur la machine cliente. Forefront va permettre à l’aide de l’Active Directory d’autoriser ou d’interdire l’accès à utilisateur. A l’aide de l'authentification unique (Single Sign-On ou SSO), il va permettre à vos utilisateurs de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques ou sites Web. Aucun login ou mot de passe ne sera demandé à vos clients nomades. Pour améliorer la sécurité, comme nous l’avons vu dans le chapitre précédent, nous placerons un serveur MOSS dans la zone démilitarisée derrière le reverse proxy de Forefront UAG pour sécuriser les serveurs internes en cas d’attaque. Si un certificat est révoqué, par exemple en cas de perte de la clé privée, l'identifiant du certificat numérique sera ajouté à une liste de certificats révoqués pour informer les applications qu'elles ne doivent plus faire confiance à ce certificat. Les applications seront informées en quasi temps réel de l'état du certificat, l’utilisateur ne pourra plus se connecter et devra faire une demande de certificat. DirectAccess Forefront UAG est aussi le serveur permettant la mise en place de DirectAccess dans un environnement de production. DirectAccess est la nouvelle technologie d’accès distant, transparent Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
70
[MIR INTRANET-WINDOWS]
MediaNetWork
et total accès à l’ensemble des ressources de l’entreprise. Cette technologie permet d’étendre le réseau de l’entreprise au poste nomade, pour fournir les mêmes services (partage de fichiers, accès aux applications, ouverture de session sur le domaine …) que sur le réseau interne. Tous les ordinateurs portables voulant utiliser la technologie DirectAcces devra obligatoirement être sur un environnement Windows 7. Stratégie de sécurité Pour les stratégies de sécurité des accès distant, nous distinguons deux cas : L’utilisateur utilise un ordinateur de l’entreprise contenant un certificat L’utilisateur utilise un équipement considéré comme potentiellement dangereux Dans le premier cas, l’utilisateur aura le droit de lecture et d’écriture sur ses documents et applications. Dans le second cas, Forefront va mettre les clients VPN en quarantaine conformément aux stratégies de limite qui limitera les droits en lecture seulement aux documents personnels et au contenu des sites d’équipe dont l’utilisateur fait partie. Nous mettrons en place une limitation de l’accès au VPN par utilisateur dans le cas ou un poste nomade serait contaminé par des virus permettant ainsi d’exclure cet utilisateur lorsqu’une alerte est détectée.
3.5.1 Mise à jour des correctifs La mise à jour des correctifs sera détaillée dans la partie 4, « Gestion du cycle de vie des postes de travail ».
3.5.2 Sauvegardes des liens Wan Pour la sauvegarde des liens Wan nous avons prévu de mettre 2 serveurs Forefront TMG sur le site d’Orsay permettant ainsi le basculement en cas de perte ou de disfonctionnement d’un des serveurs. Cela permettra aussi la continuité de votre système informatique.
3.6 Architecture de la solution proposée Comme vous pouvez le voir sur la figure suivante, nous proposons de mettre en place sur le site d’Orsay deux serveurs Forefront pour la redondance, le partage de charge et haute disponibilité et un serveur sur chacun des autres sites.
Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
71
[MIR INTRANET-WINDOWS]
MediaNetWork
3.7 Choix de la gamme La solution Forefront TMG 2010 est disponible en trois éditions : Standard Entreprise (pour le déploiement de fermes de serveurs assurant les fonctions de pare-feu ou de cache) MBE (Medium Business Edition, pour les entreprises de moins de 300 postes) Il existe aussi Forefront TMG Web Protection Service qui apporte le filtrage d’URL et peut compléter les 3 éditions de TMG 2010 mais il s’agit d’un abonnement mensuel supplémentaire. Nous ne recommandons pas cette solution. Nous proposons l’édition Entreprise car elle bénéficie de fonctionnalités supplémentaires nécessaires à votre installation.
3.8 Coûts matériels et logiciels Produit Microsoft Forefront TMG Microsoft Forefront UAG Windows 2008 serveur HP ProLiant DL120 Total
Prix unitaire
5 900 € 5 900 € 800 € 1 350 €
Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
Nombre 5 1 5 5
Prix total 29500€ 29500€ 4000€ 6750€ 40 250 €
72
[MIR INTRANET-WINDOWS]
MediaNetWork
4 Gestion du cycle de vie des postes de travail (Vincent Desseaux) 4.1 Rappel des besoins Il est demandé de mettre en œuvre un système de déploiement d’images sur les postes de travail destiné à l’installation de logiciels utilisés dans l’entreprise. La solution doit également permettre le déploiement d’applications de façon simplifiée ainsi que l’automatisation des tâches, la gestion des configurations et du changement, la gestion de la mise en conformité légale ainsi que la gestion des politiques de sécurité. De plus la solution devra être capable de répondre à la problématique de distribution de patches de sécurité.
4.2 Introduction La gestion de postes de travail implique la mise à disposition des applications et services de l’entreprise ainsi que l’assurance d’avoir un fonctionnement optimal et sécurisé des systèmes informatiques. A l’heure où le rythme d’évolution d’un environnement informatique est de plus en plus croissant, on constate que cette tâche nécessite un temps de travail proportionnellement plus important à cette évolution. Dans cette partie d’étude, nous vous présenterons les différentes solutions possibles, les fonctionnalités et l’intégration d’une des solutions proposées dans l’infrastructure de notre client Aristote.
4.3 Comparatif de solutions Deux grandes solutions existent dans ce milieu, l’une étant proposée par Microsoft et répondant au nom de « SCCM » pour « System Center Configuration Manager », et l’autre proposée par « LANDesk » et répondant un nom de « LANDesk Management Suite » dont une brève présentation y est faite ci-dessous.
4.3.1 LANDesk Management Suite « LANDesk Management Suite » est une suite de logiciels de gestions de systèmes reprenant en grande partie les fonctionnalités destiné à gérer de grands parcs d’ordinateurs sur systèmes Windows. Il permet :
la prise de main à distance la gestion de correctifs l’automatisation de tâches la télédistribution d’applications l’inventaire matériel et logiciel la gestion de la conformité l’administration des politiques de sécurité le déploiement de systèmes d’exploitation complets
Gestion du cycle de vie des postes de travail (Vincent Desseaux)
73
[MIR INTRANET-WINDOWS]
MediaNetWork
4.3.2 System Center Configuration Manager « System Center Configuration Manager » (ou bien encore SCCM) est un logiciel de gestion de systèmes englobant l’ensemble des fonctionnalités de son concurrent, mais se démarque sur certains point. L’un des grands atouts de ce produit est qu’il répond à la problématique des postes nomades qui sont susceptibles de se connecter au réseau de l’entreprise depuis différents sites. Si le client n’est pas sur son site, il peut y recevoir les informations de son serveur sans pour autant télécharger ce qui lui est destiné sur ce même serveur, il peut utiliser le point de distribution local du site, ce qui limite l’impact sur l’utilisation de la bande passante, notamment dans le cas de l’infrastructure d’Aristote sur les liens Intersites (Réseaux MPLS). De plus, la communauté présente autour de ce produit est très conséquente et dynamique, ce qui est tout de même un atout majeur dans le cas de dysfonctionnement. On note également une évolution constante du produit par l’éditeur, et qui plus est plus récemment, en adéquation avec les attentes des clients suite aux différentes remarques remontées sur les lacunes du produit, ce qui nous insiste à confirmer la dynamique du produit. Enfin dernier point, celui-ci s’appui pour sur les outils déjà proposé par Microsoft (« WDS » pour le déploiement de système d’exploitation ou bien encore « WSUS » pour la distribution de patch de sécurité) Tableau Récapitulatif et choix de la solution
Fonctionnalité
System Center Configuration Manager
LANDesk Management Suite
Prise de main à distance Gestion de correctifs Automatisation de tâches Télédistribution d’applications Inventaire matériel et logiciel Gestion de la conformité Administration des politiques de sécurité Déploiement de systèmes d’exploitation complets Gestion des postes nomades Gestion évolué des correctifs de sécurité
Même si les deux produits remplissent les fonctions demandées par Aristote, notre choix se porte en toute logique sur « System Center Configuration Manager » car sa dynamique et les différentes fonctionnalités supplémentaires tel que la gestion des nomades en font un réel plus et correspond à ce qu’on est en droit d’attendre d’une telle solution. La version actuelle de SCCM et la version 2007 SP2. Nous nous appuierons donc sur cette version pour notre cas d’étude.
Gestion du cycle de vie des postes de travail (Vincent Desseaux)
74
[MIR INTRANET-WINDOWS]
MediaNetWork
4.3.3 Architecture de System Center Configuration Manager SCCM 2007 s’appuie sur le fonctionnement d’une architecture multi-tiers, qui consiste en l’utilisation de plusieurs composants (produits), pour établir une architecture type. Ci-dessous une ébauche de l’architecture type de SCCM 2007.
Comme nous pouvons le constater, SCCM s’appuie sur SQL Server qui est le système de gestion de bases de données relationnelles de Microsoft. Celle-ci contiendra notamment l’ensemble des informations des postes clients (Reporting, Configuration Matérielle, état du déroulement des applications distribués, etc). WSUS (Windows Server Update Services) et WDS (Windows Deployment Services) sont des services Microsoft, l’un sert au déploiement des mises à jour de sécurité tandis que l’autre gère le déploiement des images sur les postes. Le client interagit au moyen d’un agent installé sur son poste. Il permet en outre de communiquer avec SCCM pour les remontées d’informations, les notifications de mises à jour, les notifications de déploiement d’applications, etc. Celui-ci peut être déployé à partir de SCCM. L’architecture de SCCM 2007 se présente sous la forme de sites. Trois types de sites existent : Le site primaire Le premier à être installé et le seul dans une infrastructure SCCM, il est le point névralgique de l’infrastructure et y fait autorité Il est le seul à communiquer avec la base de données SQL Server où sont stockées les configurations et informations de SCCM, aussi bien pour la lecture que pour l’écriture Les outils d’administration sont également installés sur le site primaire, c’est donc à partir de lui que l’administration s’opère Site secondaire Un site secondaire est rattaché au site primaire Il ne communique pas directement avec la base de données, les informations qu’il rapporte sont donc transférées au site principal qui lui-même, traitera les informations L’administration se fait par le biais de la console du site principale Le site secondaire ne nécessite pas de seconde licence SCCM Point de distribution de branche Permet le stockage de paquets destinés aux clients sur les sites distants. Il peut être utile dans une petite infrastructure car il réduit la complexité de la hiérarchie de sites Gestion du cycle de vie des postes de travail (Vincent Desseaux)
75
[MIR INTRANET-WINDOWS]
MediaNetWork
Pour notre client Aristote, nous proposons de mettre en place le site primaire sur Orsay car il est le site disposant du plus grand nombre d’utilisateurs (400 collaborateurs), et donc par la conséquence, est l’endroit géographique le mieux adapté pour optimiser et limiter la globalité des flux transitant sur l’ensemble du réseau d’Aristote (notamment pour les limiter les flux se rapportant aux transferts d’informations des sites secondaires vers le site primaire). La base de données SQL Server se trouvera également sur Orsay sur une autre machine qui aura pour rôle de stocker l’ensemble des bases de données présentent de l’entreprise. Pour les sites annexes, à savoir Bayonne, Sophia Antipolis et Bruxelles, nous préconisons le déploiement de sites secondaires. Nous ne proposons pas d’implémenter de points de distribution de branche, le déploiement d’un site secondaire ne nécessite pas l’achat d’une licence supplémentaire et que les ressources nécessaires pour faire fonctionner ce service ne sont pas beaucoup plus importantes. En revanche, il peut apporter un intérêt plus grand dans le cas d’une congestion au niveau des services SCCM d’un site, du par exemple à l’augmentation du personnel. Mais là encore et en prenant en compte les prévisions d’augmentation du personnel de 20% qui apporterait l’effectif d’Orsay de 400 à 480 collaborateurs, l’utilisation d’un point de distribution de branche ne représente que très peu d’intérêt. Ci-joint en annexe le schéma représentatif de l’architecture SCCM 2007 proposée pour notre client Aristote.
4.3.4 Système de déploiement d’images SCCM s’appuie sur le service WDS, successeur du service RIS (Remote Installation Services), qui permet le déploiement d’images sur les postes de travail par l’intermédiaire du réseau via le PXE, qui lui-même permet de charger au démarrage de la machine une image depuis le réseau. PXE nécessite un serveur DHCP capable de fournir les informations permettant de le contacter, ainsi qu’un serveur TFTP. Il convient aussi de savoir que le port d’écoute utilisé par PXE pour l’échange des informations PXE est le port UDP 4011. De même, il est indispensable que les postes clients disposent d’une carte réseau prenant en charge le boot PXE, ce qui est le cas en règle générale. L’image que nous ferons charger sur le réseau n’est autre que Windows PE, qui est l’environnement de pré-installation Windows. Elle permet d'effectuer des opérations sur une machine telle que de la maintenance (destruction des partitions existantes, formatage, re-création des partitions, etc.). Dans notre cas, Windows PE sera utilisé pour établir la liaison avec le serveur WDS qui diffusera les images.
Gestion du cycle de vie des postes de travail (Vincent Desseaux)
76
[MIR INTRANET-WINDOWS]
MediaNetWork
Déploiement d’applications Le déploiement d’applications est géré nativement par SCCM et se distribue par l’intermédiaire de package déployé sur un point de distribution. Dans ce point de distribution, il convient de définir la collection de postes devant disposer du package. Il est possible de suivre le déploiement au travers du reporting ou bien encore les messages de statut. Il est également possible de spécifier des critères d’exigences pour l’installation de l’application comme par exemple la configuration matérielle ou bien encore un groupe d’utilisateurs autorisé à recevoir cette application. Il est bien entendu possible de planifier le déploiement d’applications. Gestion des configurations et du changement La gestion des configurations et du changement est elle aussi géré nativement par SCCM. Les clients via leurs agents, transmettent diverses informations sur le matériel au serveur SCCM auquel ils sont rattachés. Ces informations sont inscrites ensuite dans la base de données afin de pouvoir les consulter et établir des rapports sur l’état des configurations des postes. Gestion de la conformité et des politiques de sécurité La gestion de la conformité et des politiques de sécurité s’établisse grâce à la fonction NAP qui est une technologie proposé par Windows Server 2008 visant à protéger de l’accès réseau un poste n’étant pas conforme avec les règles de sécurité de l’entreprise, telle que :
la présence d’un antivirus à jour la présence de certains patchs de sécurité le fonctionnement du pare feu du poste le compte d’utilisateur employé le domaine auquel le poste est rattaché
Lorsqu’un client pénètre sur le réseau de l’entreprise ou qu’il tente d’accéder à des ressources, il devra fournir son état de santé. Si le client est conforme aux politiques de sécurité, il aura accès aux ressources de l’entreprise et s’il est non conforme, il sera mis dans une zone de quarantaine et ne pourra accéder aux ressources que s’il devient de nouveau conforme aux politiques de sécurité. Distribution de patches de sécurité SCCM s’appuie sur le moteur du service WSUS pour récupérer les mises à jour de sécurité Microsoft. Une fois que WSUS a récupéré les mises à jour, SCCM les distribue aux clients. WSUS sera donc mis en place que sur le site d’Orsay et le serveur SCCM d’Orsay les distribuera aux serveurs SCCM secondaires qui pourront ensuite déployer les mises à jour de sécurité aux serveurs et clients de leur site. Concernant la récupération des mises à jour, le service WSUS d’Orsay pointera sur les serveurs officiels Microsoft pour récupérer l’ensemble des patchs voulus et effectuera ses synchronisations de préférence la nuit.
Gestion du cycle de vie des postes de travail (Vincent Desseaux)
77
[MIR INTRANET-WINDOWS]
MediaNetWork
4.3.5 Schéma d’Infrastructure mis en œuvre Ci- dessous le schéma représentatif de la répartition des services sur chacun des sites.
Pré requis Exigence générale : Une modification du schéma de l’annuaire AD est nécessaire pour tenir aux exigences de SCCM. Une base de données de type Microsoft SQL server (2005 ou 2008) doit être disponible par le serveur SCCM primaire Exigence du serveur : Pour mettre en place SCCM sur un serveur, il est nécessaire au préalable qu’il :
dispose du système d’exploitation Windows Server 2008/2008 r2 soit membre domaine Active Directory de l’entreprise ait le service WSUS et IIS (Serveur Web) avec la fonction WebDAV d’installé Le service NAP/NPS dispose d’une partition système ainsi qu’une seconde partition dédiée à WSUS et doivent être formatées avec le système de fichiers NTFS minimum 1 Go d'espace libre sur la partition système minimum 2 Go d'espace libre sur le volume où les fichiers de base de données seront stockés au moins 20 Go d'espace libre sont nécessaires sur le volume où le contenu sera stocké et 30 Go sont recommandés.
Gestion du cycle de vie des postes de travail (Vincent Desseaux)
78
[MIR INTRANET-WINDOWS]
MediaNetWork
4.3.6 Coûts de la solution Licences SCCM Il existe 3 types de licences
licence SCCM serveur pour le serveur d’administration (seulement le primaire) licence SCCM ML (Management Licence) par système d’exploitation serveur supervisé. licence SCCM CML (Client Management Licence) par système d’exploitation poste de travail supervisé.
Selon l’architecture présentée, il nous faudra une licence SCCM pour le serveur d’Orsay et autant de licence SCCM CML que de postes et serveurs dans l’entreprise. Concernant la licence SCCM ML, nous décidons d’en intégrer un seul sur le serveur. Ainsi pour administrer la solution, nous proposons d’utiliser le bureau à distance comme énoncé dans les besoins concernant les processus d’administration. Coûts de déploiement divers 4 serveurs ayant des disques durs d’une quantité suffisante afin d’y stocker l’ensemble des mises à jours. Deux disques durs en RAID 1 de 500 Go par serveur seront suffisants pour y stocker l’ensemble des mises à jour et des applications à déployer. 4 licences Windows Server 2008 R2 Edition Standard (800€ la licence soit un total de 3200 €) La mise en place de la solution, l’application d’une batterie de test ainsi que sa validation représente un coût humain de 48 heures/homme et par serveur, soit un total de 192 heures/homme que nous allons arrondir à 200. Coûts liés à l’administration Sachant que le produit a pour objectif d’automatiser au mieux les tâches liées à la gestion du cycle de vie des postes informatique, l’administration de façon courante sera relativement brève. Cependant, le coût peut être très variable dans le cas de mise en place d’une installation automatisée, la mise à disposition de pilotes, la publication de logiciels ou bien encore la mise en place de politiques de sécurités. Mais ces tâches restent toutefois relatives à des tâches ponctuelles non courantes. Nous préconisons ainsi l’utilisation d’un administrateur dédié exclusivement à l’exploitation de ce produit. Il devra disposer de compétences moyennes en réseau et de bonne connaissance dans la gestion de parc informatique ainsi qu’en sécurité. Le coût annuel de ce technicien est estimé à 30K€.
Récapitulatif Produit Licence SCCM 2007 Licence SCCM 2007 ML Licence SCCM 2007 CML Serveurs Licence Windows Server 2008 r2 Standard Total
Prix unitaire 580€ 160€ 40€ 1000€ 800€
Gestion du cycle de vie des postes de travail (Vincent Desseaux)
Nombre 1 1 820+Serveurs 4 4
Prix total 580€ 160€ 32800€ 4000€ 3200€ 40740€
79
[MIR INTRANET-WINDOWS]
MediaNetWork
5 Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON) 5.1 Rappel des besoins L’objectif de cette phase d’étude est de mettre en place un système de supervision permettant :
Une gestion complète des évènements Une surveillance et des alertes proactives Des fonctions de création de rapports et d’analyse de tendances D’identifier avant qu’ils ne s’aggravent les problèmes survenant dans l’environnement informatique
L’outil devra permettre en outre d’améliorer l’efficacité des opérations informatiques via des pratiques éprouvées pouvant être facilement mises en œuvre et de faciliter le travail du personnel informatique et des dirigeants grâce au partage d’informations critiques relatives au niveau de service et aux performances.
5.2 Introduction Alors que les entreprises développent leurs activités, embauchent du personnel et déploient de nouvelles applications et de nouveaux services, leur environnement informatique se complique et devient plus délicat à administrer. Par conséquent, une augmentation des coûts et de la complexité empêche les services informatiques d'apporter une vraie valeur ajoutée à l’organisation. Nous allons commencer par comparer les produits du marché de la supervision puis présenter la solution qui a été retenue et finir par intégrer cette solution à la solution globale.
5.3 Comparatif de solutions Il existe 4 grands de l’industrie de la supervision, CA, IBM, HP et BMC, proposant des solutions très puissantes et adaptées à des environnements très hétérogènes (Linux, Windows, AIX, Solaris, …). Seulement, ces solutions ont été développées pour de grosses infrastructures ou dans le but d’être utilisé avec des infrastructures mutualisées. Cependant, Windows a développé sa propre solution System Center Operations Manager 2007 (SCOM) permettant l’aide à l’exploitation d’infrastructure quelque soit la volumétrie de l’environnement Windows. Elle sera donc utilisée sachant que les serveurs déployés sont spécifiquement Windows.
5.4 Solution d’aide à l’exploitation d’infrastructure System Center Operations Manager 2007 R2 est une solution de supervision informatique permettant la surveillance des services de bout en bout en assurant la surveillance des applications, de l’infrastructure. L’objectif de SCOM est de simplifier l’administration de leur environnement informatique. Son atout est que SCOM exploite les connaissances des équipes Serveur, Client et Application de Microsoft pour accélérer la résolution des problèmes.
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
80
[MIR INTRANET-WINDOWS]
MediaNetWork
System Center Operations Manager 2007 offre la possibilité de personnaliser et d’étendre les niveaux de service de l’environnement informatique donnant une visibilité totale sur l’état de fonctionnement et les performances de leur infrastructure informatique. Grâce à cette solution, l’objectif sera d’obtenir un fonctionnement sans interruption et en respectant les niveaux de service définis pour le client Aristote. SCOM 2007 constitue une solution unifiée de supervision et d'administration pour vos systèmes et applications Microsoft. Cluster OM DB SQL
DB Reporting SQL
Server SCOM
Server SCOM Reporting
Console ou console WEB
Agent
Agent
Figure 19 - Schéma de l'infrastructure SCOM
Voici l’infrastructure SCOM qui sera mise en place. On y retrouve les 6 grands éléments qui permettront de répondre au cahier des charges du client : Le serveur System Center Operations Manager qui collectera les différentes informations et métriques des serveurs supervisés Le cluster OM DB SQL qui sera alimenté par le serveur SCOM de collecte. En cluster, car les métriques ne doivent pas être perdu Le serveur SCOM Reporting qui générera les rapports et les historiques de l’infrastructure réseau Le base DB Reporting SQL qui sera alimenté par le serveur SCOM Reporting afin de mettre en place des modèles de reporting et contiendra tout les reporting qui auront été générés Et un client lourd (Console) ou une interface WEB (console WEB) afin de manager le serveur SCOM et l’utiliser Nous allons maintenant expliquer comment cette infrastructure SCOM répond aux attentes du client.
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
81
[MIR INTRANET-WINDOWS]
MediaNetWork
Une gestion complète des évènements SCOM va superviser l’état des principaux composants système : Supervision des performances du système Les interfaces réseau Attributs du système CPU Mémoire physique Mémoire Virtuelle Espace disque Supervision des applications Les services et processus Les configurations principales Résolution de noms Services WEB Supervision de domaines uniques, multiples et sans relations d’approbation, ainsi que des sites distants. Supervision de systèmes physiques comme virtuels Et tout ceci en temps réel afin d’aider les administrateurs à détecter tout problème pouvant entrainer dégradation des performances ou coupure de certains services de l’environnement informatique. SCOM a une forte capacité à monter en charge. Il est possible si besoin est, d’obtenir les versions des bibliothèques de chaque système d’ exploitation grâce à Operations Manager 2007 Croos Platform Extensions. SCOM s’appuie sur des modèles de service et des packs d'administration spécialisés fournis par des partenaires Microsoft pour élargir les capacités de surveillance d'Operations Manager aux infrastructures et applications tierces, comme les plateformes Oracle, Apache, SAP, UNIX et Linux, et les infrastructures réseaux. Une surveillance et des alertes proactives Tout d’abord, afin d’avoir une plus grande efficacité, SCOM permet à ses utilisateurs de n’avoir qu’un seul et même outil de supervision pour les différentes plates-formes (Microsoft, Unix, Linux), simplifiant ainsi la centralisation des alertes. Ensuite, l’outil permet de mettre en place des seuils d’alerte (ou de surveillance) ayant comme impact : La diminution des alertes, car si des alertes remontent est qu’elles sont inutiles car c’est un comportement normal d’un serveur ou service. L’objectif étant de dépolluer la console de supervision et d’être plus réactif sur les alertes plus pertinentes La prévention de problèmes, tel qu’un espace disque. Facilitant la mise en place d’actions et résoudre avant le problème d’espace disque et qu’il ne soit à aucun moment plein Cette supervision proactive de SCOM sur l’infrastructure informatique permet de vérifier la disponibilité et le bon fonctionnement de celle-ci et en cas de besoin prévoir les actions nécessaires afin d’éviter une possible coupure de services. Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
82
[MIR INTRANET-WINDOWS]
MediaNetWork
Des fonctions de création de rapports et d’analyse de tendances SCOM inclut Operations Manager 2007 Reporting. Il permet de générer des rapports en s’appuyant sur une base de données SQL. On mettra donc OM 2007 Reporting en place dans notre infrastructure de supervision pour pouvoir finir les rapports demandés par le client. Les rapports sont plus au moins détaillés qui identifient et analysent les tendances à partir de l’historique des données. Ils permettent, entre autre, d’établir l’état de santé de l’infrastructure informatique et les administrateurs pourront s’appuyer sur ses rapports afin : De mettre en place des projets ou des actions de mises en œuvre De prioriser certaines interventions D’entreprendre les démarches de demande de financement d’équipements et licences en s’appuyant sur les rapports et l’impact que l’état actuel d’équipements ou de l’infrastructure peut avoir sur la production Identifier les problèmes dans l’environnement informatique avant qu’ils ne s’aggravent Comme vu précédemment dans les chapitres : Une surveillance et des alertes proactives Des fonctions de création de rapports et d’analyse de tendances SCOM va permettre de remonter des alertes proactives afin que le problème n’ait lieu ou qu’il ne s’aggrave, et les rapports qui seront générés à l’aide de SCOM Reporting avec lequel les administrateurs vont pouvoir s’appuyer pour réaliser les actions nécessaires pour résoudre ou prévenir d’un problème. Les deux points traités précédemment permettent de répondre à la problématique client qui était de mettre en place une solution permettant d’identifier les problèmes avant qu’ils ne s’aggravent. Amélioration de l’efficacité des opérations informatiques Effectivement, tous les points vu précédemment, aide à améliorer l’efficacité des opérations informatiques en optimisant les remontés d’alertes, grâce aux rapports et à une interface unique de centralisation. System Center Operations Manager 2007 propose la possibilité de mettre en place des accès sur les rôles permettant ainsi de limiter les accès à certaines vues et tâches de la console, et donc de permettre à chaque intervenant sur des opérations informatiques d’avoir une vue spécifique à ces besoins. Les packs mis à disposition par Microsoft proposent d’intégrer à SCOM de nouveaux rapports plus sophistiqués, et des environnements de création de rapports très personnalisable, apportant plus de finesse au dépannage et à la planification. Grâce à ses vues plus orientées services et des rapports de disponibilité, les informations nécessaires à l'identification et à la résolution rapide des problèmes critiques seront d’autant plus pertinentes. Si le client le demande par la suite, il sera possible d’étendre la supervision de l’infrastructure informatique aux postes client et par conséquent réduirait les coûts de support. Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
83
[MIR INTRANET-WINDOWS]
MediaNetWork
Alimentation d’une base de connaissance Comme on peut l’observer sur le schéma de l’infrastructure SCOM qui sera mise en place, le serveur de collecte (SCOM) alimente un cluster SQL afin : D’historier les différentes métriques qui ont été relevées De sauvegarder un historique des alertes émises par SCOM De permettre au serveur SCOM Reporting de réutiliser toutes les données stockées sur la base afin de reproduire ces reporting Tous ceci afin de contribuer à une réduction de coûts et d’amélioration de l’efficacité de leur environnement informatique. Supervision des éléments extérieur System Center met à disposition des packs d’administration qui sont des modules de base qui élargissent les fonctionnalités d'Operations Manager 2007 aux systèmes d'exploitation, applications et autres composants technologiques. Un pack d’administration (Management Pack) contient la connaissance approfondie pour découvrir, surveiller, diagnostiquer, créer des rapports de dépannage et résoudre les incidents pour un composant technologique. Les packs d'administration pour de nombreux produits non Microsoft tels que Linux, Oracle, SAP et pour du matériel réseau ou serveur sont produits et proposés par des partenaires de Microsoft. Il existe plus d'une centaine de packs d'administration de partenaires Microsoft qui couvrent la plupart des technologies utilisées aujourd'hui par les organisations. L’outil SCOM va donc nous permettre de répondre à un besoin qui été de pouvoir en autre superviser des éléments extérieurs à Windows en utilisant les packs d’administration xSNMP permettant la supervision d’éléments réseau. Interface WEB SCOM vous permet de surveiller vos services informatiques, à travers une console WEB qui est fournit par SCOM. Seulement il faut savoir que la console WEB est purement utilisée pour la surveillance sachant tout de même que c’est seulement depuis la version R2 que l’explorateur de santé a été intégré dans la console WEB. Pour toute la partie administration réelle, la console (Client lourd) est nécessaire. Agents sur les serveurs ou postes clients à superviser Il existe 2 méthodes afin de déployer les agents de supervision sur un équipement : La première est la manière la plus basique qui est de se connecter à chaque équipement et d’installer l’agent directement La deuxième est optimisée grâce à l'utilisation de l’Active Directory et du système d'exploitation Windows pour une découverte facile des systèmes. On automatise ainsi le déploiement à distance et plus sécurisé des agents, lesquels se connectent automatiquement aux serveurs d’administration pour déployer les stratégies appropriées
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
84
[MIR INTRANET-WINDOWS]
MediaNetWork
5.5 Architecture de la solution
Internet
Clients
Serveurs
Cluster OM DB SQL
MPLS
DB Reporting SQL
ORS-SRV-SCOM-R
ORS-SRV-SCOM
Orsay
Serveurs
Clients
Bayonne
Serveurs
Clients
Sophia Antipolis
Serveurs
Clients
Bruxelles
Figure 20 - Schéma de la solution SCOM
Sur le schéma n’est pas représenté la console ou console WEB, car on peut l’installer où l’on souhaite ainsi que les agents qui seront installés sur les équipements que l’administration voudra superviser. Pré-requis
5.5.1 Configuration minimale d’un client pour installer un agent Pré-requis Processeur Mémoire Espace disque disponible Windows Installer
Minimum X86, X64, IA64 30 Mo Version 3.1
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
85
[MIR INTRANET-WINDOWS]
MediaNetWork
5.5.2 Configuration des serveurs de base de données Pré-requis Processeur Mémoire Espace disque disponible Version Système d’exploitation Base de données
Minimum X86 2Ghz X64 3Ghz 4Gb 500Go Windows Server 2008 R2 SQL 2005 SP1 Minimum
5.5.3 Configuration serveur SCOM Reporting Pré-requis Processeur Mémoire Espace disque disponible Version Système d’exploitation
Minimum X86 2Ghz X64 3Ghz 4Gb 160Go Windows Server 2008 R2
5.5.4 Configuration serveur SCOM Pré-requis Processeur Mémoire Espace disque disponible Version Système d’exploitation Power Shell Office 2003
Minimum X86 2Ghz X64 3Ghz 4Gb 160Go Windows Server 2008 R2 Version 1 Avec .NET Programmability Support
5.6 Coûts de la solution Licences Afin de mettre en place la solution SCOM, on va utiliser 5 licence Windows Server 2008 R2 Editon Entreprise coûtant chacune 2800€. Ensuite, Il existe 3 types de licences pour la solution SCOM : une licence SCOM serveur pour le serveur d’administration une licence SCOML (Operations Management Licence) par système d’exploitation serveur supervisé une licence SCOML (Operations Management Licence) par système d’exploitation poste de travail supervisé Il nous faudra donc 1 licence SCOM pour le serveur d’administration. Actuellement, le client n’a pas explicitement demandé de superviser les postes de travail. Il faudra donc compter autant de licences SCOML que de serveurs dans l’infrastructure informatique du client.
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
86
[MIR INTRANET-WINDOWS]
MediaNetWork
Coûts de déploiement Pour la phase de déploiement, comprenant l’installation des serveurs, le déploiement des agents ainsi que la personnalisation de l’interface, il faut compter un total de 200H/Homme. Coûts liés à l’administration L’administration de la solution demande 10H /Homme par semaine, mais l’analyse des alertes et la mise en place des rapports demande une autre personne mais celle-ci à temps plein. Récapitulatif Coût unitaire Licence Windows 2800€ Server 2008 R2 Edition Entreprise Serveur 1000€ Installation complète 200H de la solution
Quantité 4
Prix total 11200€
4 1
4000€ 200H
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
87
[MIR INTRANET-WINDOWS]
MediaNetWork
6 Hyper-V (Jérôme Teneur) 6.1 Présentation du produit Hyper-V sert à la virtualisation de serveur ou de client. Il ne fonctionne que sous la version 64 bit avec un CPU adapté à la virtualisation. Contrairement à Vmware, il n’est capable de faire tourner que des OS Microsoft.
6.2 Pourquoi virtualiser ? La Virtualisation présente de nombreux avantages :
Réduction des coûts d’acquisition du matériel Réduction de la consommation électrique et de la place occupée par les serveurs Simplification la mise en place de plateformes de test ou de production Augmentation de la disponibilité des serveurs avec une reprise d’activité plus rapide que pour une machine physique… Réduction du coût total de possession ou TCO (Total Cost of Ownership)
6.3 Recommandation matériel :
Plusieurs cartes réseaux dont une toujours disponible en dehors de la Virtualisation De la Ram en conséquence avec une fréquence et un bus élevé Des disques durs très rapides pour limiter les temps d’accès Un CPU adapté à la virtualisation comme les Core I7 de chez Intel
6.4 Principe de fonctionnement Nous ne rentrerons pas dans les détails de fonctionnement de la virtualisation. Cependant nous rappelons que Hyper-V est un hyperviseur, fonctionnant comme un système hôte sur lequel les machines virtuelles sont montées. De plus hyper-V (dans sa version server 2008r2) fonctionne en hyperviseur micronoyau, ce qui en définitif garantie la segmentation des VM jusqu’au niveau des drivers, et ainsi leur stabilité. VM 1 (« Parent »)
VM2 (« Enfant »)
VM3 (« Enfant »)
Driver
Driver
Driver
Hyperviseur Hardware
Hyper-V (Jérôme Teneur)
88
[MIR INTRANET-WINDOWS]
MediaNetWork
6.5 Hyper-V dans aristote.lan La première préconisation mise en avant par Microsoft est la nécessité de renforcer la puissance de calcul et la mémoire mise à disposition pour tous les serveurs virtuel. Ce qui, pour des applications/services à usage « normal », garantira le non-amoindrissement des performances ressenties par l’utilisateur final. Cependant, comme précisé dans le chapitre « Active Directory », nous ne préconisons pas, dans le cadre de votre infrastructure, d’utiliser Hyper-V pour virtualiser le service d’annuaire (embarquant également le DNS et le DHCP). Les autres services pourront être virtualisés sans réelles contraintes liées à leurs interactions mutuelles. Par exemple si nous venions à virtualisé un serveur Exchange 2010, IIS 7.0 + SQL Server 2005, et une application métier, tout cela dans un workflow soutenu, nous préconiserions une configuration hardware de ce type : 2 Quad-Core Intel @ 3,16 GHz 12 Go de RAM (ECC) 16 disques internes RAID HBA (16 x 146 Go 10 000 RPM en SAS) Array 1 (OS parent) : 2 disques en RAID 1 Array 2 (OS enfant + data) : 2 disques en RAID 1 Array 3 (Exchange Data) : 2 disques en RAID 1 Array 4 (Exchange Logs) : 2 disques en RAID 1 Array 5 (IIS Data & SQL Server) : 3 disques en RAID 5 Array 6 (OS enfant IIS) : 2 disques en RAID 1 Array 7 (OS enfant AppMetier) : 2 disques en RAID 1 Hot Spare : 1 disque Hardware préconisé Comme décrit ci-dessus, pour le fonctionnement des machines virtuelles nous avons besoin d’une configuration hardware conséquente. Dans ce cas nous conseillons : HP ProLiant DL380 G6 Performance - Xeon X5550 2.66 GHz
PRIX : 6000€ H.T.
2 x Intel Xeon X5550 / 2.66 GHz ( Quad Core ) 12 Go (installé) / 144 Go (maximum) - DDR3 SDRAM - 1333 MHz - PC3-10600 RAID ( Serial ATA-150 / SAS ) - PCI Express x8 ( Smart Array P410i avec BBWC 512 Mo ) Adaptateur réseau - Ethernet, Fast Ethernet, Gigabit Ethernet - Ports Ethernet : 4 x Gigabit Ethernet
Hyper-V (Jérôme Teneur)
89
[MIR INTRANET-WINDOWS]
MediaNetWork
A titre comparatif Un tel system permet d’héberger au moins quatre machines virtuelle. Dans le cas d’une infrastructure non-virtualisé nous aurions eu besoin (pour des performances équivalentes) d’au moins quatre HP Proliant DL360 G6 (2000€/server). Nous réalisons ainsi une économie minimale de 2000€ sur le hardware pour délivrer les quatre services. Evolutivité Un dernier avantage qu’il nous parait important de relever, est la possibilité depuis Windows server 2008 r2 de clusteriser les hyperviseurs. Le Failover Clustering permettra via le Live Migration de répondre à des problématiques de support contre des évènements non planifiés. Le Live Migration permet de déplacer à chaud des applications d’un serveur à un autre sans interruption de service.
Hyper-V (Jérôme Teneur)
90
[MIR INTRANET-WINDOWS]
MediaNetWork
Conclusion L’objectif de cette étude était de proposer une solution pérenne, évolutive et sécurisé d’une infrastructure Windows comprenant :
Un annuaire d’entreprise et de sécurité, des processus d’administration des ressources et de déploiements (Active Directory) Un système de messagerie collaborative et de communications temps réel (Exchange et OCS) Des accès à Internet sécurisé (Forefront TMG) Des accès à l’entreprise depuis l’extérieure (Forefront UAG) Un système de gestion des opérations (SCOM)
La solution que nous proposons est entièrement conforme aux cahiers des charges. Nous nous somme orientés vers les produits les plus récents de Microsoft permettant à votre entreprise d’accéder aux dernières technologies existantes en termes de sécurités et de haute disponibilité.
Hyper-V (Jérôme Teneur)
91
[MIR INTRANET-WINDOWS]
MediaNetWork
Lexique ACL: Une ACL est une liste d’Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou supprimant des droits d'accès à une personne ou un groupe Adresse MAC : suite de 6 octets représentée sous la forme hexadécimale qui identifie de façon unique chaque interface réseau DAG (Data Availability Group) : Système de réplication de bases de données. DHCP : protocole réseau dont le rôle est d’assurer la configuration automatique des paramètres IP d’une station DMZ : pour zone démilitarisée, est un sous-réseau isolé par un pare-feu iSCSI : (internet SCSI) est un protocole de la couche application permettant le transport de commandes SCSI sur un réseau TCP/IP. MAPI (Messaging Application Programming Interface) : Interface de programmation de Microsoft permettant de créer, transférer, modifier et stocker des courriers électroniques. MOSS (Microsoft Office Sharepoint Server) est une application de portail web appartenant à la famille Microsoft Office. C'est une solution de portail collaboratif basé sur les Windows SharePoint Services de Microsoft. SAN : En informatique, un réseau de stockage, ou SAN (de l'anglais Storage Area Network), est un réseau spécialisé permettant de mutualiser des ressources de stockage. PowerShell : Langage script propriétaire à Microsoft. PXE : sigle de Pré-boot eXecution Environment, permet à une station de travail de démarrer depuis le réseau en récupérant une image de système d'exploitation qui se trouve sur un serveur
Hyper-V (Jérôme Teneur)
92
[MIR INTRANET-WINDOWS]
MediaNetWork
Bibliographie Active Directory http://technet.microsoft.com/fr-fr/library/cc731331(WS.10).aspx http://technet.microsoft.com/en-us/library/cc732148(WS.10).aspx http://technet.microsoft.com/fr-fr/library/cc753423(WS.10).aspx http://technet.microsoft.com/fr-fr/library/cc770917(WS.10).asp http://www.agileit.com/Blog/Lists/Posts/Post.aspx?ID=186 http://blog.portail-mcse.net/index.php?post/2008/02/27/Quelques-conseils-et-Best-practices-eninfrastructure http://technet.microsoft.com/en-us/library/cc772234(WS.10).aspx http://blog.le-pi.com/?p=401 http://blog.portail-mcse.net/index.php?post/2008/06/17/Active-Directory-2008-%3A-administrerles-RODC2 http://blog.portail-mcse.net/index.php?post/2008/06/17/Active-Directory-2008-%3A-administrerles-RODC2 DHCP : http://datatracker.ietf.org/doc/rfc1541/ http://datatracker.ietf.org/doc/rfc2131/ http://blog.studiographic.nl/?p=219 http://www.ravenreport.com/blog/post/Windows-2008-R2-to-Support-DHCP-Failover.aspx Options DHCP : http://datatracker.ietf.org/doc/rfc2132/ Relai DHCP : http://datatracker.ietf.org/doc/rfc3046/ Processus d’administration : http://blog.portail-mcse.net/index.php?post/2009/03/06/D%C3%A9l%C3%A9gation-dadministration-et-Active-Directory http://technet.microsoft.com/fr-fr/library/cc778807%28WS.10%29.aspx http://technet.microsoft.com/fr-fr/library/cc785913%28WS.10%29.aspx http://technet.microsoft.com/fr-fr/library/dd407882.aspx Gestion du cycle de vie des postes : http://it-experiences.com/category/gestion-parc/ http://www.microsoft.com/systemcenter/en/us/configuration-manager/cm-pricing-licensing.aspx http://www.microsoft.com/france/serveur/system-center/acheter-licence-sccm-2007.aspx http://www.microsoft.com/france/serveur/system-center/fiches-produits-system-center.aspx#SCCM http://www.microsoft.com/france/serveur/system-center/SCCM-gestion_configuration_desiree.aspx http://www.microsoft.com/france/serveur/system-center/configuration-manager.aspx http://www.labo-microsoft.org/articles/NPS_Configuration/1/Default.asp#_Toc282547324 http://www.labo-microsoft.org/articles/NAPSCCM/2/Default.asp#_Toc278825060 http://www.petenetlive.com/KB/Article/0000300.htm Hyper-V (Jérôme Teneur)
93
[MIR INTRANET-WINDOWS]
MediaNetWork
http://www.petenetlive.com/KB/Article/0000297.htm http://www.landesk.fr/ http://www.landesk.fr/Solutions/gestion-des-syst%C3%A8mes-IT/Index.aspx Architecture DNS http://www.labo-microsoft.org/articles/network/dns_zone/ http://exchangets.fr/spip.php?article42 http://www.frameip.com/dns/#4_-_Les_zones Sauvegarde et récupération d’urgence Active Directory http://support.microsoft.com/kb/324801 http://msdn.microsoft.com/en-us/library/cc770266(v=ws.10).aspx http://technet.microsoft.com/en-us/library/cc772519(WS.10).aspx Etude MIR 1 Réseau MediaNetwork Etude du projet Tailspin Toys Forefront TMG http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?List=02df0e9c-9559-4153-89fc9dd7e7a6baaf&ID=117 http://www.alexgiraud.net/blog/Lists/Categories/Category.aspx?Name=Microsoft%20TMG%202010 http://blogcastrepository.com/blogs/external_news/archive/tags/Forefront+TMG/default.aspx http://64.4.11.252/fr-fr/library/dd440976.aspx http://technet.microsoft.com/fr-fr/library/ee207137.aspx http://www.labo-microsoft.org/articles/forefront_tmg_beta_2/6/ http://www.microsoft.com/france/vision/msdays09/Webcast.aspx?EID=a183cd5f-fae5-445b-a926776bcdc8af03 Architecture de messagerie et travail collaboratif http://technet.microsoft.com/fr-fr/library/bb676499%28EXCHG.140%29.aspx http://www.microsoft.com/exchange/2010/fr/fr/whats-new.aspx http://www.microsoft.com/france/vision/mstechdays10/Webcast.aspx?EID=4d86c7cf-fd6d48a8-8519-bb1dc72c9310 http://technet.microsoft.com/fr-fr/library/dd425160%28office.13%29.aspx http://www.laboratoire-microsoft.org/articles/win/OWA/ http://www.microsoft.com/exchange/2010/fr/fr/overview.aspx Documentation AFTI Annexe A / Présentation d’Exchange Server 2007 Etude MIR 3 Messagerie MediaNetwork (nous-mêmes)
Hyper-V (Jérôme Teneur)
94
[MIR INTRANET-WINDOWS]
MediaNetWork
Table des figures Figure 1 - Illustration Active Directory ..................................................................................... 11 Figure 2 - Schéma organisationnel du domaine vsn-aristote.lan ............................................ 16 Figure 3 - OU sites .................................................................................................................... 17 Figure 4 - Groupes .................................................................................................................... 17 Figure 5 - Stratégie de groupe .................................................................................................. 18 Figure 6 - Illustration GPO ........................................................................................................ 18 Figure 7 - Organisation Fonctionnelle des OU ......................................................................... 19 Figure 8 - Sites et services ........................................................................................................ 21 Figure 9 - Rappel des rôles FSMO sur Orsay ............................................................................ 27 Figure 10 - Schéma de la mise en place du serveur de sauvegardes ....................................... 28 Figure 11 - Schéma architecture DNS....................................................................................... 35 Figure 12 Fonctionnement DFS .............................................................................................. 41 Figure 12 - Architecture de la solution préconisée .................................................................. 44 Figure 13 - Schéma de fonctionnement d'Open Text ECM Suite ............................................. 46 Figure 14 - Schéma de la solution d’impression ...................................................................... 51 Figure 15 - Architecture logique Exchange CAS/DAG .............................................................. 57 Figure 16 - Schéma d'intégration architecture de messagerie et de travail collaboratif ........ 61 Figure 17 - Schéma de la solution d’applications métiers ....................................................... 64 Figure 18 - Schéma de l'infrastructure SCOM .......................................................................... 81 Figure 19 - Schéma de la solution SCOM ................................................................................. 85 Figure 20 - Interconnexion des sites distants........................................................................... 96 Figure 21 - Principes du CAS et DAG ...................................................................................... 100
Hyper-V (Jérôme Teneur)
95
[MIR INTRANET-WINDOWS]
MediaNetWork
7 Annexes 7.1 Sauvegarde et récupération d’urgence Active Directory (Rudy Promé) 7.1.1 Interconnexion des sites distants
Figure 21 - Interconnexion des sites distants
Annexes
96
[MIR INTRANET-WINDOWS]
MediaNetWork
7.1.2 Processus de récupération Admettons que le contrôleur de domaine disposant du rôle émulateur PDC soit tombé pour cause de problème matérielle. L’administrateur remplace donc la machine physique. Il est indispensable que le disque dur du contrôleur de domaine sur lequel nous rétablissons une sauvegarde soit au minimum de même capacité que la sauvegarde complète qui va être restaurée et que ce disque dur en question soit vierge. Il n’y aucunement besoin de privilèges administrateurs pour cette manipulation. La salle contenant les serveurs doit-être bien sûr accessible seulement par les administrateurs autorisés. La procédure de récupération se déroule ensuite de cette façon : L’administrateur démarre son serveur en bootant directement sur son DVD de Windows Server 2008 Il ne lance pas d’installation mais va dans l’outil de récupération de Windows Il peut sélectionner l’outil de restauration complète Il recherche ensuite sur le réseau l’emplacement du serveur de sauvegardes Puis la sauvegarde qu’il va restaurer Comme il s’agit en principe d’un serveur du cluster d’Orsay, il s’assure enfin que les deux serveurs ont repris l’activité normalement, se répliquent parfaitement entre eux et que le serveur restauré reprend bien le processus de sauvegarde automatique
Grâce à cette méthode, nous assurons une reprise d’activité des plus simples et rapides qui soient.
Annexes
97
[MIR INTRANET-WINDOWS]
MediaNetWork
7.1.3 Comparatif de serveurs de messagerie (Rudy Promé) Voici un tableau récapitulatif de trois serveurs de messagerie que nous avons étudiés :
Boîte de messagerie Agenda Calendrier Messagerie instantanée Base de données POP IMAP SMTP Cryptage SSL Support technique Tolérance de pannes Clients de messagerie Messagerie unifiée Anti-spam Accès aux mails depuis l’extérieur Synchronisation avec mobiles Administration Approximation de prix (Hors taxes)
Exchange Server Oui Oui Oui Via Communicator
Novell GroupWise Oui Oui Oui Intégrée
Kerio Connect Oui Oui Oui Non
LDAP avec Active Directory Oui Oui Oui Oui Oui Oui grâce au DAG Microsoft Outlook, IBM Lotus Notes Oui Oui Oui
LDAP
LDAP
Oui Oui Oui Oui Oui Non GroupWise Client
Oui Oui Oui Oui Oui mais pas en France Oui Microsoft Outlook
Oui Oui Oui
Non Oui Oui
Oui
Oui
Oui
Centralisée 50 € par utilisateurs
Centralisée 140 € par utilisateurs
Centralisée 70 € par utilisateurs
A première vue, les trois produits se veulent tous très complets et semblent répondre aux besoins d’Aristote. Le produit que nous avions retenu était, et est toujours Microsoft Exchange 2010 pour les raisons suivantes. D’une part, nous voyons très clairement que les coûts des licences sont largement inférieurs aux concurrents D’autre part, nous éliminons la solution de Novell car il y a des coûts supplémentaires pour la mise en place d’une solution de tolérance de pannes étant donné qu’elle n’est pas intégrée au produit Enfin, nous préconisons Exchange face à Kerio Connect car ce dernier est encore jeune dans l’univers Microsoft, son administration semble moins ergonomique. Il ne dispose pas de support technique en France. De plus, il ne dispose pas de messagerie unifiée
7.1.4 Règles de la messagerie pour les utilisateurs (Rudy Promé) Plan de nommage des comptes Afin de créer un annuaire Exchange le plus clair et le plus simple possible, il faut définir une règle de nommage pour les comptes des utilisateurs de notre client. Annexes
98
[MIR INTRANET-WINDOWS]
MediaNetWork
Nous proposons donc de définir les comptes de la manière suivante : Nom.prénom@nom-de-l’entreprise.com Par exemple, l’utilisateur Jean Dupont aura une adresse de messagerie comme suit :
[email protected] Autorisations et restrictions niveau mails Nous devons également planifier un espace de stockage nécessaire pour stocker toutes les boîtes aux lettres des utilisateurs et mettre en place des limites d’envoi afin de ne pas saturer la bande passante. Nous prévoyons un espace de stockage de 1 Go par utilisateur, donc par boîte aux lettres. Pour nos 1000 utilisateurs, nous nécessitons donc un espace de stockage de 1 To. Pour palier aux risques de problèmes de bande passante, voici un tableau récapitulatif des restrictions au niveau des envois de courriers en prenant en compte les différentes directions qui composent Aristote : Limite du nombre d’envoi par jour par utilisateur Limite de la taille des mails direction générale Limite de la taille des mails direction administrative et financière Limite de la taille des mails direction commerciale et marketing Limite de la taille des mails direction étude Limite de la taille des mails direction production
Illimité 15 Mo 15 Mo 15 Mo 50 Mo 50 Mo
7.1.5 Synchronisation des appareils mobiles (Rudy Promé) Windows Mobile La configuration avec les terminaux équipés de Windows Mobile est très intuitive étant donné qu’il s’agit du système d’exploitation mobile de Microsoft. Après avoir renseigner le nom de domaine de l’entreprise, l’adresse du serveur et le nom et mot de passe de l’utilisateur, il peut alors synchroniser son compte Exchange. Il peut également configuré à quelle fréquence s’effectuera la synchronisation.
iPhone La configuration sur iPhone est très simple car elle est déjà présente dans le terminal en lui-même. Il suffit d’aller dans les réglages de l’iPhone et d’ajouter un compte de messagerie. On peut sélectionner directement un compte Microsoft Exchange puis il suffit de renseigner l’adresse mail professionnelle, son nom d’utilisateur précédé du nom de domaine de l’entreprise et le mot de passe de la messagerie. Il demande ensuite de renseigner l’adresse Internet du serveur Exchange. Vous pouvez dorénavant synchroniser votre courrier, vos contacts et vos calendriers sur l’iPhone avec votre compte Exchange configuré. Annexes
99
[MIR INTRANET-WINDOWS]
MediaNetWork
Android Même principe que les terminaux précédents. On renseigne les informations indispensables pour l’identification de l’utilisateur et du serveur puis la synchronisation grâce à ActiveSync sur Exchange fonctionne automatiquement à la fréquence configurée sur le terminal.
7.2 Sauvegarde et récupération d’urgence Active Directory (Rudy Promé) 7.2.1 Principe de fonctionnement du DAG (Jérôme Teneur) Le DAG fonctionne de façon très intuitive. Chacune des bases se trouvant dans un DAG sera répliquée sur l'ensemble des nœuds (qui auront été sélectionnés). La base sera active sur l'un des serveurs et passive sur les autres serveurs. Ainsi, en cas de perte du serveur actif la base sera automatiquement remontée sur le serveur passif ayant la synchronisation la plus récente de la base (de l'ordre de la dizaine de secondes). Dans le principe de fonctionnement nous aurons donc un cluster de CAS qui viendront lier leurs bases de données. On peut résumer ce principe de fonctionnement avec le schéma suivant :
Figure 22 - Principes du CAS et DAG
Le cas ci-dessus est typiquement ce que l’on va retrouver sur le site d’Orsay. Ainsi nous aurons deux serveurs CAS qui intégreront un même DAG. Nous avons ici cinq bases mail, chacune recopiée à l’identique sur les deux membres du DAG. De ce fait, on peut dire que le système RAID n’est pas obligatoire pour les bases de données de messagerie (c’est également le discours tenu par Microsoft). Nous le proposons, au choix du client de prendre la décision finale.
Annexes
100
[MIR INTRANET-WINDOWS]
MediaNetWork
7.3 DHCP (Vincent Desseaux) 7.3.1 Déroulement d’obtention d’un bail DHCP DHCP Discover: Demande du client d’une découverte des serveurs DHCP disponible par celuici et demande une première configuration IP. Le client émet un message de demande de bail IP (paquet DHCP Discover) qui est envoyé sur le réseau avec adresse IP source 0.0.0.0 et adresse IP destination 255.255.255.255. DHCP Offer: Réponse du/des serveur(s) au message DHCP Discover du client qui contient les premiers paramètres de configuration IP. Le(s) serveur(s) DHCP réponde(nt) en proposant une adresse IP en fonction des paramètres renseignés dans le fichier « dhcpd.conf », avec une durée de bail et l'adresse IP du serveur DHCP par le paquet DHCP Offer. DHCP Request: Requête du client afin de demander/renouveler son bail pour la configuration IP. Le client sélectionne le premier paquet DHCP Offer (s'il y a plusieurs serveurs DHCP) reçue et envoie une demande d'utilisation de cette adresse au serveur DHCP par la trame DHCP Request. Son message comporte l'identification du serveur sélectionné, qui permet d’informer au serveur DHCP concerné que son offre a été retenue. Tous les autres serveurs DHCP reçoivent également ce paquet et retirent donc leurs offres. DHCP ACK: Réponse du serveur qui valide le bail et lui transmet l’intégralité de sa configuration IP. Le serveur DHCP sélectionné accuse la réception de la demande précédente et accorde l'adresse en bail via le paquet DHCP ACK, celui-ci contient également des informations supplémentaires comme le serveur DNS par défaut ou le nom du domaine par exemple. Ce bail est ensuite enregistré par le serveur DHCP dans le fichier « dhcdp.leases » qui regroupe l’ensemble des baux affectés par celui-ci. *Notons que l’ensemble des messages DHCP évoqués sont tous diffusés. D’autres requêtes DHCP existent également, dont une présentation succincte est faite ci dessous : Nom DHCP Decline DHCP NAK DHCP Release DHCP Inform
Annexes
Description Le client annonce au serveur que l’adresse proposée par le DHCP Offer est déjà utilisée Réponse du serveur pour signaler au client que son bail est échu, ou si le client annonce une mauvaise configuration. Le client libère son adresse IP Le client demande des paramètres locaux, il a déjà son adresse IP
101
[MIR INTRANET-WINDOWS]
MediaNetWork
7.3.2 Relais DHCP
No
Source
Destination
Protocol
Info
DHCP DHCP DHCP DHCP
DHCP Discover DHCP Offer DHCP Request DHCP ACK
1 0.0.0.0 255.255.255.255 2 172.16.1.253 255.255.255.255 3 0.0.0.0 255.255.255.255 4 172.16.1.253 255.255.255.255 Capture sur 172.16.1.0 /24 No 1 2 3 4
Source 172.16.1.253 172.16.0.3 172.16.1.253 172.16.0.3
Destination 172.16.0.3 172.16.1.253 172.16.0.3 172.16.1.253
Protocol DHCP DHCP DHCP DHCP
Info DHCP Discover DHCP Offer DHCP Request DHCP ACK
Capture sur 172.16.0.0 /24
7.4 Quelques rappels Active Directory (Jérôme Teneur) Organization Unit (O.U) Une OU sert principalement à structure l’active directory en rendant de grosse structure plus visible mais elle sert aussi à appliquer des groupes Policy. Ainsi, comme nous le verrons, l’architecture proposée s’appuiera notamment sur quatre OU représentant les sites distants. Les principaux objets Les Users Les users représentent les comptes des utilisateurs mais aussi des services tiers (Exemple : BackupExec). Il est conseillé de réaliser un compte par utilisateur, un compte par service tiers, deux comptes pour les administrateurs (Un simple et un admin) InetOrgPerson L’inetOrgPerson est identique a un user classique de Windows et présente les mêmes options mais ce type d’objet est plus compatible avec les autres annuaires comme ceux de Novel, Mac, etc. Il est donc plus que conseillé de créer ce type de compte dans les réseaux hétérogènes. Computer Représente une machine ou un serveur. Il s’ajoute automatiquement dans l’active directory lors de l’ajout dans le domaine.
Annexes
102
[MIR INTRANET-WINDOWS]
MediaNetWork
Les Groupes Il est principalement destiné à établir des listes d'utilisateurs pour leur attribuer des droits ou des services. On distingue trois types de groupes : Le groupe local : il ne peut comprendre que des utilisateurs de son propre domaine Le groupe global : au sein d'un domaine, il est principalement utilisé pour affecter des droits à des ressources dans un domaine. Il peut comprendre des utilisateurs, des groupes globaux ou universels, issus du même domaine Le groupe universel : disponible depuis la version 2000, permet d'inclure des groupes et utilisateurs d'autres domaines Ces groupes nous permettrons de spécifier l’appartenance d’un utilisateur à une direction. Ainsi nous pourrons lui attribuer des règles spécifiques, monter automatiquement des accès réseaux correspondant, etc… Permissions Les Bultin contiennent tous les groupes de domaines locaux pour attribuer des droits aux utilisateurs ayant un rôle administratif. Les plus utilisés :
Entreprise admins : Droit sur l’ensemble de la forêt Schema admins : Responsable de l’AD Acompte operators : Création des groupes, users Server operators : Opération de maintenance mais aucun accès à l’AD
Délégation des droits Comme son nom l’indique ceci permet de déléguer des rôles dans l’active directory. Une délégation peut se faire sur une OU, un type d’objet, une tâche, une propriété d’un objet. Pour une question de sécurité, les OU doivent être bien structuré et les personnes qui auront des rôles déléguer ne devront jamais avoir la possibilité de s’en ajouter des nouveaux. Concrètement cela signifie que grâce à cette option nous allons pouvoir déléguer les tâches administratives des sites distants directement aux administrateurs sur site. Tout ceci sera plus longuement abordé dans la partie “Processus d'administration”
Annexes
103
[MIR INTRANET-WINDOWS]
MediaNetWork
7.5 Processus d’administration (Vincent Desseaux) 7.5.1 Schéma de déploiement des stratégies de groupes
7.5.2 L’octroi du droit Administrateur Local & l’utilisation du bureau à distance L’octroi du droit Administrateur Local pour l’équipe informatique d’Orsay :
Annexes
104
[MIR INTRANET-WINDOWS]
MediaNetWork
L’utilisation du bureau à distance pour l’équipe informatique d’Orsay :
Annexes
105
[MIR INTRANET-WINDOWS]
MediaNetWork
7.6 Gestion du cycle de vie des postes de travail (Vincent Desseaux) Architecture de System Center Configuration Manager
Représentation des flux avec SCCM
Annexes
106
[MIR INTRANET-WINDOWS]
MediaNetWork
Procédure de délégation de l’administration Active Directory Cette rubrique explique les actions à effectuer pour mettre en place une délégation de l’administration Active Directory sur Windows Server 2008 r2. Cette présente procédure est destinée exclusivement aux membres de la Direction Informatique qui dispose, via leur compte utilisateur, des autorisations nécessaires pour effectuer cette application sur l’ensemble du domaine. Avant de commencer: Il convient que l’opérateur chargé d’établir la délégation d’administration puisse, sur le contrôleur de domaine via une session de bureau à distance ou de manière locale sur la machine, se connecter au moyen d’un compte membre de la Direction Informatique (ou bien encore d’un compte membre du groupe Administrateurs). Il convient d’avoir une connaissance sur les fondamentaux des systèmes d’exploitation Windows ainsi qu’une connaissance sur le fonctionnement d’une gestion centralisée des ressources par Active Directory. Définition des droits des utilisateurs : La première étape consiste à créer les groupes représentant chaque équipe informatique des sites ainsi que le groupe de la direction informatique et le groupe « Equipe Informatique ». Ces groupes sont de type sécurité global. Ces groupes seront contenu dans la OU « groupes », elle-même contenu dans la OU « administrateurs ».
Ensuite, il faut que les groupes représentant les équipes informatiques de chaque site soient membres du groupe « Equipe Informatique » et que ce groupe et le groupe « Direction Informatique » soient membre du groupe « Opérateurs de serveurs ». Une fois ces actions faites, nous pouvons procéder aux tâches de délégations d’administration pour chaque équipe. Il sera présenté la délégation d’administration du groupe « Direction Informatique » et du groupe « administrateurs_Orsay ». Nous ne présentons pas la délégation d’administration des groupes « administrateurs_Bayonne », « administrateurs_Sophia » et « administrateurs_Bruxelles » qui reprennent en grande partie la procédure faite pour le groupe « administrateurs_Orsay ». Délégation des droits d’administration pour le groupe « administrateur_Orsay »: 1. Ouvrir la console « Utilisateurs et ordinateurs Active Directory » (Cliquez sur Annexes
107
[MIR INTRANET-WINDOWS]
MediaNetWork
« Démarrer », « Outils d’Administration », « Utilisateurs et ordinateurs Active Directory ») 2. Sélectionner le conteneur « Orsay » devant être délégué et cliquez sur « Action », « Délégation de contrôle… »
3. Sur la fenêtre d’assistant de délégation de contrôle, cliquez sur suivant, la page vous demandera alors de sélectionnez le(s) compte(s) d’utilisateurs/ groupe(s). Ajoutez donc le groupe « administrateurs_Orsay » qui devra bénéficier d’un octroi de la délégation d’administration pour le conteneur « Orsay », en cliquant sur « Ajouter », puis en recherchant et sélectionnant le(s) utilisateur(s)/groupe(s) voulu. 4. Cliquez sur « suivant », on vous proposera deux types de configuration, soit définir des tâches courantes, ou bien des tâches personnalisées. Sélectionner « Créer une tâche personnalisée à déléguer » et cliquez sur « suivant ».
Annexes
108
[MIR INTRANET-WINDOWS]
MediaNetWork
5. Sur cette page, sélectionner « De ce dossier et des objets qui s’y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier » et cliquez sur « suivant ».
6. Cette page définit les autorisations des objets pouvant être octroyés dans le conteneur sélectionné. Sélectionner « contrôle total » sur le conteneur correspondant au site qu’ils administrent. 7. Une fois les autorisations adéquats sélectionnés, cliquez sur « suivant ». La page affichée récapitule les droits qui seront appliqués sur le conteneur pour les utilisateurs/groupes sélectionnés. Pour valider ces droits, cliquez sur « Terminer ».
8. Dans la console « Utilisateurs et ordinateurs Active Directory », cliquez sur « Affichage » et vérifier que les « Fonctionnalités avancées » sont bien active. Si ce n’est pas le cas, veuillez le sélectionner. 9. Sur le conteneur « Groupes » se situant à la racine du domaine, cliquez sur « Action », « Propriétés »
Annexes
109
[MIR INTRANET-WINDOWS]
MediaNetWork
10. Cliquez sur « Sécurité » et cliquez ensuite sur « ajouter », puis en recherchez et sélectionnez le groupe « administrateurs_Orsay ».
11. Une fois l’ACE créé, cliquez sur « avancé » et sélectionnez le groupe précédemment créé et cliquez sur « Modifier »
12. Une fenêtre apparait, sur la liste déroulante « Appliquer à » de l’onglet « Objet », sélectionner « cet objet et tous ceux descendants » et dans la case à choix multiple nommé « Autorisations », sélectionner « Ecrire toutes les propriétés ». Une fois édité, cliquez sur « OK » sur la fenêtre ainsi que sur la fenêtre « Paramètres de sécurité avancé… » et « Propriété de… ».
13. Sur l’objet « administrateurs_Orsay » se situant dans le conteneur « Groupes », lui-même contenu dans l’OU « Administrateurs », cliquez sur « Action », « Propriétés »
14. Cliquez sur « Sécurité » et cliquez ensuite sur « ajouter », puis en recherchez et sélectionnez le groupe « administrateurs_Orsay ».
Annexes
110
[MIR INTRANET-WINDOWS]
MediaNetWork
15. Une fois l’ACE créé, cliquez sur « avancé » et sélectionnez le groupe précédemment créé et cliquez sur « Modifier »
16. Une fenêtre apparait, dans la case à choix multiple nommé « Autorisations », sélectionner « Ecrire toutes les propriétés ». Une fois édité, cliquez sur « OK » sur la fenêtre ainsi que sur la fenêtre « Paramètres de sécurité avancé… » et « Propriété de… ».
Délégation des droits d’administration pour le groupe « Direction Informatique »: 1.
Ouvrir la console « Utilisateurs et ordinateurs Active Directory » (Cliquez sur « Démarrer », « Outils d’Administration », « Utilisateurs et ordinateurs Active Directory »)
2. Sélectionner le conteneur « vsnaristote.lan » devant être délégué et cliquez sur « Action », « Délégation de contrôle… »
3. Sur la fenêtre d’assistant de délégation de contrôle, cliquez sur suivant, la page vous demandera alors de sélectionnez le(s) compte(s) d’utilisateurs/ groupe(s). Ajoutez donc le groupe « Direction Informatique » qui devra bénéficier d’un octroi de la délégation d’administration pour le conteneur « Orsay », en cliquant sur « Ajouter », puis en recherchant et sélectionnant le groupe voulu. Annexes
111
[MIR INTRANET-WINDOWS]
MediaNetWork
4. Cliquez sur « suivant », on vous proposera deux types de configuration, soit définir des tâches courantes, ou bien des tâches personnalisées. Sélectionner « Créer une tâche personnalisée à déléguer » et cliquez sur « suivant ».
5. Sur cette page, sélectionner « De ce dossier et des objets qui s’y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier » et cliquez sur « suivant ».
6. Cette page définit les autorisations des objets pouvant être octroyés dans le conteneur sélectionné. Sélectionner « contrôle total » sur le conteneur correspondant au site qu’ils administrent. 7. Une fois les autorisations adéquats sélectionnés, cliquez sur « suivant ». La page affichée récapitule les droits qui seront appliqués sur le conteneur pour les utilisateurs/groupes sélectionnés. Pour valider ces droits, cliquez sur « Terminer ».
Annexes
112
