evolution - fp-pf.fr · les groupes locaux se voient attribués des permissions au niveau des...

17 janvier 2019

GMSI17 – EVOLUTION – A.Chantereaux ; F.Pintus ; P.Gauthier

EVOLUTION

Déploiement d'une infrastructure serveur


Objet du document

Le projet EVOLUTION, exposé à travers ce document, a pour fonction d’offrir une solution informatique fonctionnelle pour une entreprise :

Au fil des chapitres, les lecteurs de ce document pourront prendre connaissance des besoins et des contraintes imposés dans le cadre du projet et comprendre les solutions qui seront déployées pour y répondre.

La finalité de ce document est d’avoir une vision la plus globale et complète de l’énoncé suivant :

Déployer une infrastructure serveur performante, évolutive et redondante, offrant des services réseaux, de gestion d’utilisateurs, de partages de fichiers, d’impression et de sauvegarde dans un environnement contrôlé et sécurisé, pour l’ensemble des personnels de l’entreprise.

Le présent document a été rédigé par Alec Chantereaux, Florent Pintus et Pierre Gauthier.

Vous en souhaitant une bonne lecture.


Table des matières Contexte ......................................................................................................................................................... 7

I. L’Entreprise ...................................................................................................................................... 7

A. Informations générales ............................................................................................................ 7

B. L’Existant ...................................................................................................................................... 7

Cahier des charges ....................................................................................................................................... 8 I. Besoins .............................................................................................................................................. 8

II. Contraintes ....................................................................................................................................... 8

Nos Solutions ................................................................................................................................................. 9

I. Les Fonctions ................................................................................................................................... 9 A. Un domaine – EVOLV.LOCAL .................................................................................................. 9

B. Un Active Directory (AD) ....................................................................................................... 11

C. Des services de partage de fichiers .................................................................................... 11

D. Des services d’impression ..................................................................................................... 17 E. Un serveur DHCP sous Linux ................................................................................................ 18

F. Une serveur FTP sous Linux .................................................................................................. 19

G. Un serveur NFS/SAMBA sous Linux .................................................................................... 19

H. Des services d’administration. ............................................................................................. 20 II. Le système ..................................................................................................................................... 22

A. Un système virtualisé ............................................................................................................. 22

B. Le matériel ................................................................................................................................ 23

C. La répartition des fonctions par VM ................................................................................... 24 D. La répartition des VM sur les serveurs .............................................................................. 25

III. Les protections ............................................................................................................................. 25

A. Un système de redondance physique ................................................................................ 25

B. Un système de redondance logique ................................................................................... 27 C. Un système de sécurité .......................................................................................................... 28

D. Un système de sauvegarde ................................................................................................... 28

Budget .......................................................................................................................................................... 37

Indicateurs de suivi .................................................................................................................................... 38 I. Scrum /suivi de charge/timeline............................................................................................... 38

II. Diagramme de PERT ................................................................................................................... 39

III. Diagramme de Gantt ................................................................................................................... 39

Annexes........................................................................................................................................................ 40 IV. Annexe1 ......................................................................................................................................... 40

Contexte

GMSI17 – EVOLUTION – A.Chantereaux ; F.Pintus ; P.Gauthier 7/40

Contexte

I. L’Entreprise

A. Informations générales Notre entreprise, par son déménagement dans des nouveaux locaux, offre à son équipe informatique l’opportunité d’améliorer ses compétences par la prise en charge du chantier EVOLUTION. Au terme de ce chantier, les ressources à déployer devront s’accorder à la charge de 90 employés répartis en 6 départements, en prenant en considération d’éventuelles futures évolutions.

B. L’Existant Au cours du projet START nous avons défini l’architecture réseau des nouveaux bâtiments. L’étude et la mise en place de l’intégralité du câblage réseau de l’entreprise ainsi que des matériels nécessaires à la communication directe et inter-bâtiment de l’ensemble des machines, ont été réalisées. Nous avons également préparé et déployé dans les différents bureaux, l’ensemble des postes informatiques pour les futurs utilisateurs.

Au terme de START nous avons apporté les solutions pour répondre au besoin de communication. En accord avec le cahier des charges du projet EVOLUTION, nous allons appuyer des solutions pour traduire notre infrastructure communicante en infrastructure fonctionnelle, et ainsi pouvoir permettre à l’entreprise de démarrer la production dans ses nouveaux locaux.

Cahier des charges

8/40 GMSI17 – EVOLUTION – A.Chantereaux ; F.Pintus ; P.Gauthier

Cahier des charges

Lors des réunions préliminaires de lancement du projet START, nous avons reçu un cahier des charges établi par le Directeur Administratif et Financier.

En s’appuyant sur le cahier des charges soumis par le D.A.F, nous avons pu identifier et lister les besoins et contraintes liées au projet EVOLUTION. Vous en trouverez un résumé ci-après.

I. Besoins

Les besoins listés ci-dessous sont des fondamentaux nécessaires à l’ensemble des utilisateurs de l’entreprise.

Une capacité de communication entre les utilisateurs ;

Une capacité de production informatique ;

La possibilité de partager des ressources entre utilisateurs ;

La possibilité d’imprimer des documents.

II. Contraintes

Les contraintes tirées du cahier des charges sont des éléments liés à des impératifs fonctionnels ou de sécurité dans le cadre du projet EVOLUTION :

Une solution de tolérance de panne au niveau de chaque équipement et de tout le domaine ;

Une infrastructure supportant une évolution future ;

Des solutions de contrôle et de sécurité ;

Un rapport global d’activité sur la faisabilité et les solutions mises en place ;

Un compte rendu mensuel sur l’avancée ;

Nos Solutions


Nos Solutions

Pour répondre aux besoins et contraintes précédemment évoqués, nous allons mettre en place un panel de solutions techniques, au travers d’éléments physiques et logiques, auxquelles seront greffées des fonctions.

I. Les Fonctions

Dans ce chapitre, nous allons exposer en détails la liste des fonctions qui seront déployées pour assurer le fonctionnement de l’entreprise.

A. Un domaine – EVOLV.LOCAL La mise en place d’un domaine est primordiale pour le réseau d’une entreprise. Cette entité logique, permet, à travers le réseau, la mise en place d’une organisation hiérarchique. L’intégralité des informations (utilisateurs, ordinateurs, groupes de travail, droits, etc…) est centralisée (à travers l’Active Directory) sur le serveur assurant le rôle de Contrôleur de Domaine (DC).

Dans notre contexte, un Groupe de travail (Workgroup) n’est pas compatible. Dans un groupe de travail, les comptes d’utilisateurs (avec toutes les informations et paramétrages qui leurs sont liés) ne sont pas centralisés et distribués. Il faudrait donc renseigner l’ensemble de ces comptes sur chaque poste de travail. De plus, la gestion de ce type d’environnement demande beaucoup plus de temps pour les administrateurs.

Dans le cadre de notre projet, sera donc mis en place le domaine EVOLV.LOCAL, sur lequel l’intégralité du réseau de l’entreprise sera jointe.

En ajoutant le rôle AD DS sur notre serveur, nous allons promouvoir notre serveur en DC et ainsi, nous créerons une nouvelle forêt dans laquelle sera contenu le domaine EVOLV.LOCAL.

Afin de convenir au PCA et d’assurer une redondance, nous allons promouvoir un second serveur en Contrôleur de Domaine pour le domaine EVOLV.LOCAL.

Ainsi, ce second Contrôleur de Domaine secondaire assurera les fonctions de l’Active Directory et du DNS, en cas de défaillance du Contrôleur de Domaine principal.

Nos Solutions


Contrôleur de Domaine 1

Un composant important, indissociable d’un DC, devra également être déployé et paramétré pour le bon fonctionnement du domaine, c’est le Domain Name System ou DNS. Ce service informatique distribué est utilisé pour traduire les noms de domaine Internet en adresse IP ou autres enregistrements. Cela permet la communication entre les machines en utilisant le nom d’hôte (HostName) plus simple à retenir, et non leur adresse logique.

Concernant le paramétrage des Zones DNS dans notre domaine, nous nous contenterons des deux zones de recherche directes automatiquement crées :

_msdcs.EVOLV.LOCAL et EVOLV.LOCAL

Domain Name System 1

Ne mettant en place un domaine unique pour toute l’entreprise, il n’est pas nécessaire d’ajouter des zones supplémentaires.

Nos Solutions


Un DC offre également des outils puissants permettant une gestion centralisée et facilitée des différents éléments intégrés. Concernant ce dernier aspect, les deux composants majeurs du DC permettant cette gestion est l’Active Directory ainsi que le Gestionnaire de Stratégies de Groupe (GPO).

B. Un Active Directory (AD) L’Active Directory (AD) est un service d’annuaire centralisé et distribué lors de la création d’un serveur DC Windows.

Comme sa fonction l’indique, en tant qu’annuaire, il répertorie plusieurs éléments du réseau dont les comptes des utilisateurs, les serveurs ou postes de travail joints au domaine, les imprimantes ou bien les groupes NTFS.

Sa principale fonction est de fournir des services centralisés d’identification et d’authentification sur un réseau. Cela permet, entre autres, aux utilisateurs de pouvoir s’authentifier sur plusieurs matériels en s’identifiant et authentifiant au travers de l’AD et non pas via le registre local du matériel.

Sa gestion centralisée permet aux administrateurs de pouvoir gérer et interroger l’AD rapidement et facilement afin d’obtenir les informations nécessaires lors d’une maintenance, ou bien de tenir le répertoire à jour (suppression, modification ou ajout d’éléments).

Au travers de l’AD, les administrateurs peuvent agir sur les comptes utilisateurs et le matériel, les classer et les organiser en hiérarchie stratégique.

Active Directory 1

C. Des services de partage de fichiers Pour apporter une solution de partages de fichiers entre les utilisateurs, nous allons mettre en place un serveur de fichier principal ainsi qu’un serveur de fichier secondaire pour assurer une tolérance de panne de ces services.

Nos Solutions


Concernant le déploiement des fonctions de partages de fichiers, plusieurs notions techniques seront abordées.

1) L’installation des rôles et fonctionnalités

Sur chacun des serveurs de fichiers (principal et secondaire) seront installés les rôles et fonctionnalités suivantes :

Serveur de fichiers (rôle racine d’un serveur de fichiers)

Gestionnaire de ressources du serveur de fichiers (outils de gestion)

Réplication DFS (permettant la réplication des données entre différents serveurs de fichiers)

Espaces de noms DFS (permettant de partager des ressources sous une racine commune)

Déduplication des données (permettant d’économiser de l’espace de stockage par des protocoles de traitement des données physiques)

2) La création des partages

Une fois ces rôles installés sur les deux serveurs de fichiers, nous allons nous occuper du serveur de fichier principal, sur lequel nous allons mettre en place les racines des partages.

Sur le disque dur réservé aux partages, sera créé un dossier racine nommé ‘PARTAGES’ qui contiendra, en accord avec le cahier des charges, les dossiers suivants :

CommunAdministratif

CommunDirection

CommunInformatique

CommunProduit1

CommunProduit2

CommunSAV

Partages de fichiers 1

Nos Solutions


Pour répondre aux contraintes de sécurité, les droits de ‘Tout le monde’ et ‘Utilisateurs’ seront supprimés du disque dur et de l’ensemble des dossiers.

L’étape suivante consiste à partager le dossier ‘PARTAGES’ en indiquant les paramètres spécifiques suivants :

Partage SMB – Rapide (correspondant au partage standard Windows)

Activation de l’énumération basée sur l’accès (cette option permet de n’afficher uniquement les fichiers et dossiers dont un utilisateur possède les autorisations d’accès)

Suppression de l’autorisation de mise en cache du partage (désactivant ainsi la mise à disposition du partage pour les utilisateurs hors connexion afin d’éviter les problèmes de synchronisation)

Le partage ainsi crée nous allons nous occuper de l’attribution des droits selon une méthode particulière.

3) La gestion des droits selon la méthode AGDLP

Afin de fournir la meilleure gestion des droits possible sur nos partages, nous allons utiliser la méthode AGDLP (pour Account, Global group, Domain Local group, Permission) recommandée par Microsoft, reconnue pour sa fiabilité et sa facilité de gestion.

Le principe est le suivant :

Les utilisateurs sont affectés à un groupe global

Les groupes globaux sont ajoutés aux groupes locaux

Les groupes locaux se voient attribués des permissions au niveau des ressources partagées

Les groupes globaux regroupent donc des utilisateurs qui se voient accorder des droits via des groupes locaux sur des ressources partagées. Les permissions accordées seront des permissions en Lecture et Modification sur les dossiers partagés.

Nos Solutions


Groupes Locaux (AD) 1

Toujours en accord avec le cahier des charges, chaque utilisateur d’un service aura accès en ‘Modification’ au répertoire partagé propre à son service.

Chaque répertoire d’un service contiendra un dossier de base au nom de l’utilisateur membre de ce même service dont lui seul aura l’accès, exception faite des services Direction et Informatique :

Le service Direction aura les droits en ‘Lecture’ pour tous les répertoires.

Le service Informatique aura les droits en ‘Modification’ pour tous les répertoires.

Tableau des droits NTFS 1

4) La mise en place du DFSR

Notre serveur de fichier principal est opérationnel, et les utilisateurs assignés dans leurs groupes globaux respectifs ont des droits en accord au tableau d’attribution ci-dessus.

Dans le cadre du PCA, afin de permettre une redondance de ces données et palier à un éventuel arrêt des services de partages en cas de panne du serveur

Dossier \

Servi

ces

Administratif Direction Informatique Produit1 Produit2 SAV

CommunAdministratif M L MCommunDirection M MCommunInformatique L MCommunProduit1 L M MCommunProduit2 L M MCommunSAV L M M

Nos Solutions


principal, nous allons répliquer les données entre le serveur principal et secondaire et les partager sous une racine commune via un espace de nom.

Sur le serveur de fichier principal nous allons créer, via le gestionnaire DFS, un nouveau groupe de réplication nommé ‘REPLICA’ lié au domaine EVOLV.LOCAL. Voici quelques détails de la procédure de mise en place :

L’ajout des deux serveurs de fichiers dans le groupe de réplication

Le paramétrage de la planification de réplication (vitesses de réplication sur plusieurs plages horaires)

La désignation du membre principal, à savoir le serveur de fichier qui contient les données à répliquer : le serveur principal dans notre cas.

La définition de l’emplacement des données à répliquer

La définition de l’emplacement des données à répliquer sur le serveur secondaire

Toujours via le Gestionnaire DFS nous allons partager et publier le dossier ‘PARTAGES’ dans un espace de nom afin que l’accès aux données, peu importe le serveur cible choisi, se face via un chemin d’accès unique :

Choix du serveur hébergeant l’espace de nom : serveur de fichier principal

Définition du nom pour l’espace : ‘RACINEDFS’

Attribution du nouvel espace de nom ‘RACINEDFS’ pour le groupe de réplication ‘REPLICA’

Gestionnaire DFS 1

Notre dossier ‘PARTAGES’ est désormais partagé aux utilisateurs via un chemin d’accès unique : \\EVOLV.LOCAL\RACINEDFS\PARTAGES et les données qu’il contient sont répliquées sur les deux serveurs de fichiers. C’est

Nos Solutions


à l’appréciation des services DFS quant au choix du serveur cible lors de l’ouverture du chemin d’accès.

Accès au partage via l'espace de nom 1

Pour ajouter une couche supplémentaire de redondance nous allons héberger l’espace de nom sur le serveur de fichier secondaire.

Serveurs d'espaces de noms 1

Pour résumer, nos données sont répliquées et l’espace de nom qui gère la ‘RACINEDFS’ d’accès aux données et également répliquée.

5) L’activation de la déduplication

La déduplication des données, souvent appelée tout simplement déduplication, est une fonctionnalité de Windows Server 2016 qui permet de réduire l’impact des données redondantes sur les coûts de stockage. Quand elle est activée, la déduplication des données optimise l’espace libre sur un volume en examinant les données qu’il contient et en recherchant les parties

Nos Solutions


dupliquées sur le volume. Les parties dupliquées du jeu de données du volume sont stockées une seule fois et sont (éventuellement) compressées pour réaliser encore plus d’économies. La déduplication des données permet d’optimiser les redondances sans compromettre la fidélité ni l’intégrité des données. Pour des documents utilisateurs, le gain d’espace de stockage est généralement de 30 à 50%.

Il est nécessaire d’activer la déduplication sur nos deux serveurs de fichiers répliqués en exécutant les commandes PowerShell suivantes (il est possible de réaliser les mêmes opérations en passant par l’interface graphique de gestion) :

Enable-DedupVolume E : (E : étant le volume sur lequel nos données sont stockées)

Set-Dedupvolume E : -MinimumFileAgeDays 0 (ce paramètre règle l’âge minimum d’existence d’un fichier pour sa prise en charge – 0 étant une prise en charge immédiate)

Start-DedupJob -Volume « E : » -Type Optimization (commande de démarrage de la déduplication sur le volume ‘E’)

Get-DedupJob (pour afficher l’état de la déduplication)

Déduplication via PowerShell 1

D. Des services d’impression L’utilisation de services d’impressions en entreprise de plusieurs dizaines d’employés est indispensable au bon déroulement des opérations d’impression entre les services. La mise en place d’un serveur d’impression permet la centralisation de toutes les imprimantes du réseau de l’entreprise.

Ainsi la gestion des droits et priorités et la maintenance deviennent plus efficaces et plus simples pour les administrateurs. La contrôle des impressions est un travail important au sein d’une entreprise afin d’éviter

Nos Solutions


toute engorgement de ces services pour occasionner un ralentissement ou un arrêt de la production.

Le serveur d’impression permet d’administrer toute la gestion d’impression, c’est-à-dire modifier les propriétés des périphériques d’impressions.

Il permet également la gestion des droits d’accès aux imprimantes, les plages horaires d’impression ou même les fonctionnalités accessibles (couleur, recto verso etc…) pour tel ou tel groupe d’utilisateurs.

Il est également possible d’implémenter des priorités d’impressions vis-à-vis des différents services (les priorités les plus hautes passeront automatiquement en premier dans la d’attente d’impression).

Afin d’automatiser le processus de déploiement des imprimantes, nous avons décidés de les déployer en utilisant une stratégie de groupe (GPO). Le déploiement par GPO, en plus d’être automatisé, permet de cibler des groupes ou utilisateurs spécifiques.

En accord avec le cahier des charges, et en tenant compte qu’il y a une imprimante par service au sein de l’entreprise, ces stratégies seront mises en place :

Les services Produit1 et Produit2 ne peuvent imprimer qu’entre 8h et 17h uniquement et respectivement sur les imprimantes PrintProduit1 et PrintProduit2 ;

Les membres de la direction peuvent imprimer sur toutes les imprimantes 24h/24 et sont prioritaire sur toutes les impressions ;

Mme LAPORTE et Mlle ADA peuvent imprimer respectivement sur les imprimantes PrintSAV et PrintDirection, ainsi que sur PrintProduit1 et PrintProduit2 ;

Le service informatique a un contrôle total sur toutes les imprimantes.

E. Un serveur DHCP sous Linux Un serveur DHCP (pour Dynamic Host Control Protocol) est un protocole TCP/IP qui permet de distribuer automatiquement une configuration IP aux équipements du réseau. Généralement géré par le Routeur ou via un serveur DHCP Windows, en accord avec le cahier des charges nous avons déployé le serveur DHCP de l’entreprise sous Linux Debian 9.

Voici un extrait de sa configuration :

Nos Solutions


Extrait du fichier dhcpd.conf 1

En accord avec le plan d’adressage précédemment défini lors du projet START, le serveur DHCP diffuse aux équipements connectés au réseau 10.10.10.0/24 la configuration suivante :

Une adresse IP : comprise dans la plage 10.10.10.25-10.10.10.230 ;

Un masque de sous-réseau : 255.255.255.0 ;

Une DNS primaire : 10.10.10.10.

La plage 10.10.10.1 à 10.10.10.19 est réservée aux équipements réseaux et serveurs.

Dans la configuration du serveur DHCP nous avons décidé d’attribuer des réservations DHCP fixes aux serveurs plutôt que de paramétrer les cartes réseaux. Cela permet ainsi de conserver une trace de leur configuration sur un emplacement unique.

F. Une serveur FTP sous Linux Pour offrir au siège social la possibilité de récupérer des fichiers de l’entreprise depuis l’extérieur, nous avons mis en place un serveur FTP sous Linux. Ce serveur, à travers la connexion d’un client FTP (FileZilla par exemple), offre la possibilité de s’y connecter depuis l’extérieur et d’accéder aux ressources qu’il contient.

L’accès au serveur passe par un canal sécurisé SSL et l’authentification se fait par un certificat RSA 1024.

G. Un serveur NFS/SAMBA sous Linux Prenant en compte la présence de deux stations Linux au sein du réseau, nous avons dû mettre en place un serveur regroupant deux services :

Nos Solutions


Un service NFS qui offre un partage de fichiers réservé aux clients Linux

Un service SAMBA (SMB) qui offre la possibilité aux clients Linux d’accéder aux partages des serveurs de fichiers Windows.

H. Des services d’administration. Pour administrer l’ensemble du système, les outils de gestions RSAT seront déployés sur les postes des administrateurs. Ces outils permettent de gérer plusieurs services sans intervenir directement sur le Contrôleur de Domaine :

Gestion de l’Active Directory (AD) ;

Gestion des Stratégies de Groupe (GPO) ;

Gestion du DNS ;

Gestion des imprimantes ;

Gestion du DFS ;

Consultation de l’observateur d’évènement et des journaux Windows.

Concernant l’administration de l’Active Directory, nous avons édité un script global PowerShell qui permet de créer toute l’arborescence du registre de l’AD et un second script permettant d’ajouter des utilisateurs avec des configuration préétablies à cette arborescence. Les deux scripts sont liés à un fichier .CSV qui contient les utilisateurs, leurs noms et prénoms ainsi que les paramètres qui leurs sont propres.

Voici un extrait du script global :

Import-Module ActiveDirectory

Import-Module 'Microsoft.Powershell.Security'

$users = Import-Csv -Path "C:\Users\Administrateur\Documents\ImportAD.csv" -Delimiter ";"

#******************* Création des UO ******************************

New-ADOrganizationalUnit -Name "DomainEVOLV" -Path "dc=EVOLV,dc=local"

New-ADOrganizationalUnit -Name "Utilisateurs" -Path "ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADOrganizationalUnit -Name "Groupes" -Path "ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADOrganizationalUnit -Name "Globaux" -Path "ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADOrganizationalUnit -Name "Locaux" -Path "ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

…

#*********Ajout de chaque utilisateur dans son UO spécifique************

foreach($user in $users){

$pass= "Azerty01"

$fname= $user.firstName

Nos Solutions


$nom= $user.firstName +" "+ $user.lastName

$lname= $user.lastName

$UNP= $user.firstName +"."+ $user.lastName

$dept= $user.department

Switch($user.office){

"Produit_1" {$office = "OU=Produit_1,ou=Utilisateurs,ou=DomainEVOLV,dc=EVOLV,DC=local"}

"Produit_2" {$office = "OU=Produit_2,ou=Utilisateurs,ou=DomainEVOLV,dc=EVOLV,DC=local"}

"SAV" {$office = "OU=SAV,ou=Utilisateurs,ou=DomainEVOLV,dc=EVOLV,DC=local"}

"Informatique" {$office = "OU=Informatique,ou=Utilisateurs,ou=DomainEVOLV,dc=EVOLV,DC=local"}

"Administration" {$office = "OU=Administration,ou=Utilisateurs,ou=DomainEVOLV,dc=EVOLV,DC=local"}

"Direction" {$office = "OU=Direction,ou=Utilisateurs,ou=DomainEVOLV,dc=EVOLV,DC=local"}

"Default" {$office = $null}

}

New-ADUser -Name $nom -SamAccountName $UNP -GivenName $fname -Surname $lname -Path $office -Department $dept -changePasswordAtLogon $false -PasswordNeverExpires $false -AccountPassword (ConvertTo-SecureString -AsPlainText "Azerty01" -Force) -Enabled $true

echo "Utilisateur ajouté : $nom"

}

#******************Création des Groupes************************

New-ADGroup -Name GRP-Direction -GroupScope Global -GroupCategory Security -Path "OU=Globaux,ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADGroup -Name GRP-Administration -GroupScope Global -GroupCategory Security -Path "OU=Globaux,ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADGroup -Name GRP-Produit_1 -GroupScope Global -GroupCategory Security -Path "OU=Globaux,ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADGroup -Name GRP-Produit_2 -GroupScope Global -GroupCategory Security -Path "OU=Globaux,ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADGroup -Name GRP-Informatique -GroupScope Global -GroupCategory Security -Path "OU=Globaux,ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

New-ADGroup -Name GRP-SAV -GroupScope Global -GroupCategory Security -Path "OU=Globaux,ou=Groupes,ou=DomainEVOLV,dc=EVOLV,dc=local"

foreach ($user in $users){

$fname= $user.firstName

$nom= $user.firstName +" "+ $user.lastName

$lname= $user.lastName


Nos Solutions


$dept= $user.department


$office= $user.office

#********Ajout des utilisateurs de Direction dans leurs groupes********************

if ($office -eq "Direction"){

Add-ADGroupMember -Identity 'GRP-Direction' -Members $UNP

}

#********Ajout des users de Administration dans leurs groupes********************

if ($office -eq "Administration"){

Add-ADGroupMember -Identity 'GRP-Administration' -Members $UNP

}

} #Fin de la boucle

Les administrateurs auront également la possibilité de prendre la main à distance via l’outil ‘Bureau à distance’ RDP (Remote Desktop Protocol) sur les postes utilisateurs et sur les serveurs pour optimiser les temps de maintenance et d’assistance.

II. Le système

A. Un système virtualisé Traditionnellement les entreprises faisaient le choix d’une machine physique par système. Le problème étant dans ce cas, que la multiplication des services pour diversifier et étendre l’activité d’une entreprise devenait très couteuse par l’achat de machine assurant ces nouveaux services. Cela demandait de l’entretient et de la maintenance supplémentaire, une consommation électrique augmentée, une consommation d’espace supplémentaire et la réévaluation du système de refroidissement.

De plus, l’utilisation d’un tel système n’exploitait pas toutes les ressources mise à leurs dispositions (15% utilisation moyenne des ressources de la machine).

Aujourd’hui nous avons à notre disposition une technologie, la virtualisation, qui permet de gommer ces inconvénients tout en réduisant les coûts.

Les bénéfices de la virtualisation sont nombreux :

L’investissements pour ce type d’architecture et de son renouvellement est grandement diminué du fait de la réduction du nombre de machines nécessaires.

Nos Solutions


L’utilisation de l’ensembles des ressources de la machine pour virtualiser plusieurs systèmes engendre une réduction conséquente de la consommation électrique, qui en informatique, est un budget à ne pas négliger.

La rapidité de déploiement et de portabilité de systèmes virtuels (transfert de VM) en fait une solution très viable pour mettre en place une infrastructure fonctionnelle compatible avec le PRA (Plan de Reprise de l’Activité).

La centralisation de plusieurs systèmes virtuels sur une seule machine physique facilite grandement la gestion et la maintenance informatique, occasionnant un gain de temps conséquent pour les administrateurs.

Voici un tableau de comparaison des deux solutions sur quelques critères :

Pour 8 Systèmes Serveur physique Serveur Virtuel

Nombre de machine 8 1

Consommation électrique + +++

Couts + ++

Vitesse de remplacement en cas de DRP

+ +++

Encombrement + +++

Gestion et maintenance + +++

B. Le matériel Pour assurer les fonctions énoncées plus haut nous devons faire l’acquisition de deux serveurs de virtualisation. Nous répartirons les VM (machines

virtuelles) assurant les fonctions sur les deux serveurs, afin d’être en accord avec le plan de redondance et le PCA.

Le matériel à déployer pour la nouvelle infrastructure virtuelle comprend plusieurs équipements périphériques indispensable au bon fonctionnement de l’infrastructure serveur :

Pour la réalisation de cette infrastructure nous avons choisi différents équipements.

Pour les appareils actifs nous avons choisi la marque Cisco car nous sommes formés sur leurs systèmes et que leur marque est gage de qualité et fiabilité.

Nos Solutions


Nous avons choisi pour les switches qui nous serviront de cœur de réseau des Cisco C-3750x-24-s. Ils possèdent 24 ports SFP accueillant la fibre optique, ils gèrent également la QOS et peuvent être managés. En cas d’évolution du site ces switches peuvent être ‘stackés’ pour augmenter leurs capacités.

Pour les switches auxiliaires qui feront le lien entre les serveurs et les cœurs de réseau, nous avons choisi des Cisco C-2960x-24-T. Ils possèdent 24 ports

gigabit RJ45 et 4 ports SFP pouvant accueillir la fibre optique.

Pour le choix des routeurs qui feront le lien entre l’extérieur (internet) et le réseau local de l’entreprise, Nous avons choisi des Cisco 3925/k9. Ils permettent de raccorder l’arrivée du FAI aussi bien en cuivre qu’en fibre optique, ce qui permet une continuité de service en cas d’interruption d’une des arrivées du FAI. Le router est également optimisé pour la voix et la vidéo ce qui permet d’assurer une qualité de service. Il est également équipé d’un firewall Cisco pour assurer la sécurité du réseau.

Pour les baies SAN (Storage Area Network) et les serveurs nous avons choisi HP, qui est une marque de qualité avec un service après-vente

réactif, et permettant la modularité de ses équipements afin d’avoir des produits au plus proche de nos besoins et attentes.

C. La répartition des fonctions par VM Pour des raisons d’uniformité, de longévité et de sécurité, il faut prendre en considération que tous les serveurs virtuels seront déployés sous ces versions :

Serveurs Windows : version 2016

Serveurs Linux : Debian 9

Nos Solutions


Pour supporter les différentes fonctions nous devons déployer plusieurs serveurs virtuels, 8 pour être précis :

Un serveur Contrôleur de Domain principal (DC1)

Un serveur DC secondaire (DC2)

Un serveur de fichiers principal (VFS1)

Un serveur de fichiers secondaire (VFS2)

Un serveur d’impression (PRINT)

Un serveur DHCP (dhcp)

Un serveur FTP (ftp)

Un serveur NFS/SAMBA (nfs)

D. La répartition des VM sur les serveurs En accord avec le schéma suivant nous avons réparti les différentes VMs sur les deux serveurs de virtualisation ESX1 et EXS2. Cette répartition a fait l’objet d’une étude pour concevoir la meilleure solution pour équilibrer la charge et réduire au maximum l’impact sur la production en cas de panne éventuelle. Ainsi les DC1 et DC2, ainsi que les VFS1 et VFS2 sont répartis respectivement sur les ESX1 et ESX2.

Répartition des VM par serveur 1

III. Les protections

A. Un système de redondance physique Pour la redondance physique nous avons prévu plusieurs couches de protections. La première couche consiste à doubler tous les matériels actifs et les interconnexions. Pour l’exposer, nous avons réalisé un schéma physique du raccordement des différents équipements et de la redondance.

Nos Solutions


Schéma de redondance physique 1

En cas de défaillance d’un matériel ou d’une interconnexion, la production ne serait pas impactée car les flux ne seront pas interrompus. Le coût de ce système de redondance est plus élevé mais compense largement un arrêt de production de plusieurs heures, et permet en plus de cela d’offrir des opportunités d’évolution sans achats supplémentaires.

La deuxième couche de protection se situe au niveau des baies de stockage SAN. En plus d’être doublées et synchronisées, les disques durs qu’elles contiennent sont pour chacune des bais en protocole RAID 6 + 2. C’est-à-dire que le système de stockage est capable d’encaisser la panne d’une baie complète ou la panne de 2 disques simultanément sur chacune des baies, soit un total de 4 disques en une seule fois. Il y a également 2 disques par baies réservés exclusivement pour prendre le relais automatiquement des disques

Nos Solutions


en panne et ainsi retourner rapidement à un état de stockage sans échec. La perte de 2 nouveaux disques par baie devient donc de nouveau possible sans perte de données et d’arrêt de production.

Ces principes offrent un temps confortable aux administrateurs pour remplacer les disques en panne sans prendre le risque d’une réelle défaillance.

B. Un système de redondance logique Le système de redondance logique est également implémenté en couches.

La première couche de redondance est liée à la répartition des VMs sur les deux serveurs, avec le protocole Cluster activé. Le fonctionnement de serveurs virtuels en cluster est le suivant :

Serveurs en cluster 1

Une communication bilatérale permanante est établie entre l’ESX1 et l’ESX2. L’ESX2 qui ne contient pas la VM primaire DC1 intérroge l’ESX1 qui contient la VM primaire DC1, et attend une réponse sur son état. Si la réponse est positive rien ne se passe. Si la réponse d’état est négative, l’ESX2 va immédiatement lire les données sur la baie de stockage SAN 1 ou 2 et va remonter instantanément la VM primaire DC1’’ dans son état le plus récent.

Cette interrogation d’état ainsi que le protocole de restauration sont à double sens et se réalisent pour l’ensemble des VMs des ESX1 et ESX2.

Nos Solutions


C. Un système de sécurité Concernant le système de sécurité, l’intégralité des équipements, enfermé dans des salles verrouillées (projet START), sera protégé par des ‘mot de passe’ de forte complexité et les connexions à distances sur ces mêmes équipements seront cryptées via un canal SSH (SecureShell).

Les accès aux équipements sera exclusivement réservé aux administrateurs et les ‘mot de passe’ seront changés régulièrement.

Des bannières indiqueront clairement que l’accès aux équipements est strictement réservé aux administrateurs habilités et que toute tentative d’accès par une personne non autorisée fera l’objet de poursuites et de sanctions graves.

D. Un système de sauvegarde

1) VEEAM Backup et Réplication

Comme solution de sauvegarde des données nous avons choisi le logiciel « Veeam ». Celui-ci nous permettra de sauvegarder les données utilisateurs mais aussi les données serveur sur des disques physiques (comme nos baies SAN par exemple), dans un dossier réseau partagé, ou encore sur le Cloud.

Comme le montre le schéma ci-contre :

De plus il permettra une restauration en cas de perte des données.

Veeam est un logiciel efficace et complet car il possède en plus, plein d’options supplémentaires pensées pour les besoins d’entreprises. Par exemple il permet une automatisation des sauvegardes qui seront incrémentielles permettant de gagner du temps ainsi que de l’espace de stockage.

Nos Solutions


Pour rappel une sauvegarde incrémentielle est une sauvegarde qui, à partir d’une première sauvegarde, va venir compléter cette dernière afin de garder la sauvegarde « à jour ».

Veeam prend en charge tous types de données à condition que le superviseur (VMWare ou Hyper-V) prenne en charge l’OS ou l’application déployé sur les VM.

2) Son fonctionnement

Ensuite Veeam respecte la règle de sauvegarde du 3-2-1. Cette règle conventionnelle établit par des experts veut que nous fassions 3 copies de sauvegarde sur 2 médias différents dont 1 sur site distant.

Veeam se démarque de ses concurrents par notamment la restauration.

Premièrement Veeam permet de faire des tests de restauration pour tester ce que l’on a sauvegardé via « SureBackup ». Cette fonctionnalité permet de démarrer directement la VM depuis sont archive de backup, évitant ainsi de restaurer au préalable la VM pour se rendre compte que la sauvegarde a été corrompue ou autre.

Ce logiciel permet aussi une restauration dite « multi-niveaux », c’est-à-dire qu’à partir d’une archive de sauvegarde, il est possible de restaurer toute une VM, seulement quelques fichiers de VM.

Niveau restauration applicative, Veeam contrairement à beaucoup d’autre outils de restauration, prend en charge un bien plus large panel d’application compatible avec une restauration.

Ensuite Veeam permet aussi une réplication inter-machines. Le moteur de réplication est le même que celui du Backup. En revanche au contraire de celui-ci qui enregistre sur le serveur cible de sauvegarde, la réplication sera directement ciblée sur une machine.

VEEAM est disponible en trois packs :

Le Pack Standard à 650€

Le Pack Entreprise à 1300€

Le Pack Entreprise Plus à 2000€

Nous choisirons le Pack “Entreprise Plus” pour jouir de toutes les fonctionnalités avancées de VEEAM. Notamment les accélérations WAN pour permettre des sauvegardes sur tout type de support plus rapide.

3) CONFIGURATION DE VEEAM

Une fois le logiciel installé sur le serveur qui gèrera les sauvegardes, il nous faut choisir le superviseur qui qui gèrera les VM exclusivement sur ce superviseur. Il faudra donc créer deux architectures mais basiquement la

Nos Solutions


configuration est la même nous ne traiterons donc qu’un seul exemple. Ici nous utiliserons VMWare Vsphere.

Après ce choix il faudra renseigner le serveur qui s’occupe de gérer cette architecture.

Il se peut que par la suite il vous demande d’installer un certificat, accepter puis continuer. Une fois la création finie, vous serez redirigé sur le menu et il faudra ensuite aller dans “Backup Repository” puis “Add repository”. Ce menu permettra de renseigner où seront stockées les sauvegardes.

Nos Solutions


Un pop-up s’ouvrera pour configurer les différentes options, le nom du dossier, le type du serveur qui gèrera les sauvegardes, renseigner le serveur lui-même, le lieu du dossier de sauvegarde, le “Mounth Server” (basiquement le même serveur), et puis la fin de l’installation.

Nos Solutions


Nos Solutions


Enfin on renseignera le serveur proxy dans l’onglet “Backup Proxy” et “Add Proxy”.

Maintenant que le lieu de sauvegarde est créé, il nous suffit d’ajouter la planification. Pour cela aller dans l’onglet “Backup et Réplication” (en bas à gauche) puis ajouter un “Backup Job”.

Nos Solutions


Une fois la pop-up ouverte la configuration et quasiment la même que pour la configuration des serveurs vue précédemment. A quelques exceptions que nous allons voir. La fenêtre suivante nous demande d’ajouter un groupe de machines. Ce sont les machines qui seront sauvegardées.

Pour cela cliquer sur “Add”.

Une nouvelle fenêtre s’ouvre alors il suffit via l’arborescence de choisir le groupe ou la machine que l’on souhaite sauvegarder.

Il sera aussi possible dans ce menu de choisir un serveur si la VM souhaitée n’est pas sur le serveur local.

Nos Solutions


Ensuite nous pourrons indiquer un serveur, un lieu de stockage (celui définit au préalable).

Pour finir le dernier point intéressant de cette configuration réside dans l’onglet “Schedule”, qui nous permettra de spécifier une plage horaire et une fréquence à laquelle lancer une sauvegarde automatique.

Nos Solutions


Puis poursuivre l’installation jusqu’à la fin.

Une fois tout cela paramétré, les sauvegarde se feront.

Budget


Budget

Pour la Mise en place de cette infrastructure serveur nous avons alloué 76 500 euros. Cette somme a été répartie entre les catégories suivantes :

Licences ;

Serveurs ;

Matériels Actifs ;

Main d’œuvre.

Indicateurs de suivi



I. Scrum /suivi de charge/timeline

Produit Tâches Poids Acteur A faire En cours A valider Validé FinalisésÉtude préliminaire (A) Quantifier les besoins matériels 3 Equipe Tech O 3

A1 Déterminer le niveau de redondance matériel/logiciel 2 Florent O 2A2 Choix du système de sauvegarde et des stratégies 3 Alexian O 3A3 Fixer la répartition et le nombre de VM Serveurs 3 Alec O 3A4 Choisir et commander le matériel en fonction 3 Pierre O 3

Paramètres de gestion (B) Définition de la structure des partages de fichiers 3 Alexian O 0B1 Tableau de gestion des droits, quotas, restrictions 3 Alec O 0B2 Tableau des stratégies (sécurité, restrictions, etc…) 3 Alec O 0

Déploiement matériel "C" Reception du matériel 1 Equipe Tech O 0C1 Installation physique des serveurs 5 Pierre O 0C2 Tests d'intégrité matériel 2 Alexian O 0

Déploiement des Services (D) Installation des VM et des OS 5 Florent O 0D1 Mise en place du Controleur de Domaine 3 Florent O 0D1 Mise en place du serveur DHCP 13 Florent O 0D1 Mise en place de l'AD & création des utilisateurs 3 Pierre O 0D2 Configuration des stratégies de groupe 5 Alec O 0D2 Mise en place du serveur de fichiers 5 Alexian O 0D2 Configuration des stratégies et des droits de partage & Tests 8 Pierre O 0D2 Mise en place du serveur d'impression 3 Florent O 0D2 Configuration des stratégies d'impression & Tests 5 Alec O 0D2 Mise en place du serveur NFS 5 Pierre O 0D2 Configuration des stratégies NFS/Linux & Tests 8 Pierre O 0D2 Mise en place du serveur SFTP 5 Alexian O 0D2 Configuration des stratégies SFTP & Tests 5 Florent O 0

Services d'administration "E" Déploiement des services de suivi et de contrôle des serveurs 8 Equipe Tech O 0E1 Création des outils d'automatisation (scripts) 13 Pierre O 0E2 Tests des outils d'administration 3 Alec O 0

Système de sauvegarde (F) Installation du système de sauvegarde 8 Florent O 0F1 Paramétrage des stratégies 5 Alexian O 0F2 Tests de sauvegarde 3 Equipe Tech O 0F3 Simulation de pertes de données et tests de restauration 3 Florent O 0

Tests finaux (G) Simulation de panne, Tests de redondance matériel / logiciel 5 Equipe Tech O 0…. 152 129 9 0 14 14

0

20

40

60

80

100

120

140

Suivi de charge projet

A faire En cours A valider Validé



II. Diagramme de PERT

Le PERT ci-dessous est lié au tableau de répartition des tâches ci-dessus.

Les sections répertoriées par lettre entre les deux éléments sont liées entre-elles.

III. Diagramme de Gantt

PROJET Début 18/07/2018EVOLUTION Fin 14/12/2018 30

Mise en place d'un réseau & Déploiement du parc informatique mer jeu ven sam dim lun mar mer jeu ven sam dim

Tâches Début Fin DuréeTravailjours/

hommeResponsable

18 07 18

19 07 18

20 07 18

21 07 18

22 07 18

23 07 18

24 07 18

25 07 18

26 07 18

27 07 18

28 07 18

29 07 18

Étude préliminaire (A) 18/07/2018 01/08/2018 14 14Quantifier les besoins matériels 18/07/2018 20/07/2018 3 Equipe TechDéterminer le niveau de redondance matériel/logiciel 23/07/2018 24/07/2018 2 FlorentChoix du système de sauvegarde et des stratégies 24/07/2018 26/07/2018 3 AlexianFixer la répartition et le nombre de VM Serveurs 26/07/2018 28/07/2018 3 AlecChoisir et commander le matériel en fonction 30/07/2018 01/08/2018 3 Pierre

Paramètres de gestion (B) 01/08/2018 10/08/2018 9 9Définition de la structure des partages de fichiers 01/08/2018 03/08/2018 3 AlexianTableau de gestion des droits, quotas, restrictions 06/08/2018 08/08/2018 3 AlecTableau des stratégies (sécurité, restrictions, etc…) 08/08/2018 10/08/2018 3 Alec

Déploiement matériel "C" 13/08/2018 07/09/2018 25 22Reception du matériel 13/08/2018 24/08/2018 12 Equipe TechInstallation physique des serveurs 27/08/2018 31/08/2018 5 PierreTests d'intégrité matériel 03/09/2018 07/09/2018 5 Alexian

Déploiement des Services (D) 10/09/2018 19/10/2018 39 56Installation des VM et des OS 10/09/2018 13/09/2018 4 FlorentMise en place du Controleur de Domaine 17/09/2018 21/09/2018 5 FlorentMise en place du serveur DHCP 24/09/2018 27/09/2018 4 FlorentMise en place de l'AD & création des utilisateurs 24/09/2018 28/09/2018 5 PierreConfiguration des stratégies de groupe 01/10/2018 03/10/2018 3 AlecMise en place du serveur de fichiers 24/09/2018 28/09/2018 5 AlexianConfiguration des stratégies et des droits de partage & Tests 01/10/2018 05/10/2018 5 PierreMise en place du serveur d'impression 01/10/2018 04/10/2018 4 FlorentConfiguration des stratégies d'impression & Tests 08/10/2018 12/10/2018 5 AlecMise en place du serveur NFS 08/10/2018 10/10/2018 3 PierreConfiguration des stratégies NFS/Linux & Tests 15/10/2018 19/10/2018 5 PierreMise en place du serveur SFTP 08/10/2018 11/10/2018 4 AlexianConfiguration des stratégies SFTP & Tests 15/10/2018 18/10/2018 4 Florent

Services d'administration "E" 22/10/2018 09/11/2018 18 15Déploiement des services de suivi et de contrôle des serveurs 22/10/2018 26/10/2018 5 Equipe TechCréation des outils d'automatisation (scripts) 29/10/2018 02/11/2018 5 PierreTests des outils d'administration 05/11/2018 09/11/2018 5 Alec

Système de sauvegarde (F) 29/10/2018 23/11/2018 25 19Installation du système de sauvegarde 29/10/2018 02/11/2018 5 FlorentParamétrage des stratégies 05/11/2018 09/11/2018 5 AlexianTests de sauvegarde 12/11/2018 15/11/2018 4 Equipe TechSimulation de pertes de données et tests de restauration 19/11/2018 23/11/2018 5 Florent

Tests finaux (G) 26/11/2018 14/12/2018 18 19Simulation de panne, Tests de redondance matériel / logiciel 26/11/2018 14/12/2018 19 Equipe Tech

TOTAL 148 154

Annexes


Annexes

IV. Annexe1

Devis du serveur de virtualisation 1