mir intranet-windows

Transcription

2011
Gayral Bastien
Teneur Jérôme
Promé Rudy
Desseaux Vincent
Hamon Arnaud
Delahaie Jérôme
[MIR INTRANET-WINDOWS]
Ce document est une étude des produits de Microsoft répondant aux besoins de la société Aristote. Il
détaille les différents choix techniques préconisés par notre équipe d’experts pour un meilleur
fonctionnement du système d’information de notre client.
MediaNetWork
Versions du document
Version
1.0
1.1
1.2
Modifications apportées
Première version du document
Correction orthographique
Refonte de la mise en page
Date
26/01/2010
27/01/2010
28/01/2011
2
MediaNetWork
Equipe MediaNetwork
Cette étude a été réalisée par l’équipe de MediaNetwork :





Gayral Bastien (Chef de projet)
Teneur Jérôme
Promé Rudy
Desseaux Vincent
Hamon Arnaud
 Delahaie Jérôme
3
MediaNetWork
Sommaire
1
Partie 1 : Conception d’Architecture (Jérôme Teneur) ................................................................. 11
1.1
Rappel du contexte et des besoins........................................................................................ 11
1.2
Présentation Active Directory ............................................................................................... 11
1.3
Pré requis............................................................................................................................... 12
1.3.1
Répartition géographique ............................................................................................. 12
1.3.2
Répartition des utilisateurs ........................................................................................... 12
1.3.3
Infrastructure Active Directory existante ...................................................................... 12
1.4
Présentation du nouvel environnement ............................................................................... 13
1.4.1
Windows Serveur 2008r2 .............................................................................................. 13
1.4.2
Active Directory (2008r2) .............................................................................................. 13
1.5
Domaine et forêt Active Directory ........................................................................................ 14
1.5.1
Catalogue global ............................................................................................................ 14
1.5.2
Répartition des rôles Active Directory (FSMO) ............................................................. 15
1.5.3
Réplications ................................................................................................................... 15
1.5.4
Représentation organisationnelle d’Aristote ................................................................ 16
1.6
Organisation de l’annuaire Active Directory ......................................................................... 17
1.6.1
Groupes d'utilisateurs ................................................................................................... 17
1.6.2
Stratégie de groupe ....................................................................................................... 18
1.6.3
Organisation Fonctionnelle des OU............................................................................... 19
1.6.4
Mise en place de RODC ................................................................................................. 20
1.6.5
Gestion des sites et services .......................................................................................... 21
1.7
Processus d’administration (Vincent Desseaux) ................................................................... 22
1.7.1
Rappel des besoins ........................................................................................................ 22
1.7.2
Déclaration des équipes informatiques et affectation des groupes ............................. 22
1.7.3
Déclaration des droits à attribuer dans Active Directory pour chaque groupe ............ 23
1.7.4
La gestion de la création de stratégies de groupe ........................................................ 24
1.7.5
L’octroi du droit Administrateur Local pour les équipes informatiques ....................... 25
1.7.6
L’utilisation du bureau à distance ................................................................................. 25
1.8
Sauvegarde et récupération d’urgence Active Directory (Rudy Promé) ............................... 26
1.8.1
1.8.2
Sauvegarde des contrôleurs de domaine ...................................................................... 26
1.8.3
Présentation de l’utilitaire de sauvegarde Windows Server Backup ............................ 26
4
MediaNetWork
1.8.4
Quel serveur sauvegarder ?........................................................................................... 26
1.8.5
Précisions sur la méthode de sauvegarde dite « incrémentielle » ............................... 27
1.8.6
Emplacement des sauvegardes ..................................................................................... 27
1.8.7
Conclusion ..................................................................................................................... 28
1.9
Plan de récupération d’urgence (Rudy Promé) ..................................................................... 28
1.9.1
Rappel ............................................................................................................................ 28
1.9.2
Intérêt de la récupération d’urgence ............................................................................ 28
1.10
Estimation des coûts ............................................................................................................. 29
1.11
Haute disponibilité (Jérôme Teneur et Rudy Promé) ............................................................ 30
Active Directory et Hyper-V........................................................................................................... 30
Répartition DNS ............................................................................................................................. 30
1.12
Dimensionnement hardware et Coûts .................................................................................. 31
Hardware ....................................................................................................................................... 31
Coûts .............................................................................................................................................. 31
1.13
Conclusion ............................................................................................................................. 32
1.14
Architecture DNS (Rudy Promé) ............................................................................................ 33
1.14.1
1.14.2
Nom de domaine ........................................................................................................... 33
1.14.3
Plan de nommage des postes ........................................................................................ 33
1.14.4
Serveurs primaires et secondaires ................................................................................ 34
1.14.5
Configuration des clients ............................................................................................... 34
1.14.6
Schéma d’intégration .................................................................................................... 35
1.15
2
Le service DHCP (Vincent Desseaux) ..................................................................................... 36
1.15.1
1.15.2
Introduction ................................................................................................................... 36
1.15.3
Présentation du plan d’adressage employé .................................................................. 37
1.15.4
Présentation du service DHCP ....................................................................................... 38
1.15.5
Les fonctionnalités liés à DHCP ..................................................................................... 38
1.15.6
Architecture du serveur DHCP....................................................................................... 39
Partie 2 : Mise en place de la solution réseau Microsoft Windows .............................................. 40
2.1
Partages de fichiers (Bastien Gayral)..................................................................................... 40
2.1.1
Besoins du client............................................................................................................ 40
2.1.2
Introduction ................................................................................................................... 40
2.1.3
Windows Storage Serveur ............................................................................................. 40
5
MediaNetWork
2.1.4
Serveur de fichiers ......................................................................................................... 42
2.1.5
Choix du SAN (Storage Area Network) .......................................................................... 42
2.1.6
Volumétrie ..................................................................................................................... 42
2.1.7
Architecture ................................................................................................................... 43
2.2
Estimation des coûts ............................................................................................................. 44
2.2.1
2.3
Coûts matériels et logiciels ............................................................................................ 44
Gestion de contenu de l’entreprise (Jérôme Delahaie) ........................................................ 45
2.3.1
Besoins du client............................................................................................................ 45
2.3.2
Solutions disponibles sur le marché .............................................................................. 45
2.3.3
Solution retenue ............................................................................................................ 47
2.3.4
Architecture proposée................................................................................................... 47
2.4
Système d’impression (Arnaud HAMON) .............................................................................. 50
2.4.1
2.4.2
Introduction ................................................................................................................... 50
2.4.3
Gestion des imprimantes et des serveurs d’impression ............................................... 50
2.4.4
Implémentation de la gestion de la localisation des imprimantes ............................... 50
2.4.5
Architecture de la solution ............................................................................................ 51
2.4.6
Coûts de la solution ....................................................................................................... 52
2.5
Système de messagerie et de communications (Rudy Promé) ............................................. 53
2.5.1
2.5.2
Choix du serveur de messagerie.................................................................................... 53
2.5.3
Implémentation des rôles Exchange ............................................................................. 54
2.5.4
Application cliente de messagerie................................................................................. 55
2.5.5
Synchronisation des appareils mobiles ......................................................................... 55
2.6
Haute disponibilité (Rudy Promé) ......................................................................................... 56
2.6.1
Introduction ................................................................................................................... 56
2.6.2
Partage de charge .......................................................................................................... 56
2.6.3
Gestion des bases de données d’Exchange ................................................................... 56
2.7
Messagerie collaborative (Bastien Gayral) ............................................................................ 58
2.7.1
Microsoft Office Communications Server 2007 ............................................................ 58
2.7.2
Conclusion ..................................................................................................................... 59
2.7.3
Architecture mise en place ............................................................................................ 60
2.8
Schéma physique d’intégration (Rudy Promé) ...................................................................... 61
2.9
Estimation des coûts (Bastien Gayral et Rudy Promé) .......................................................... 62
6
2.9.1
Coûts matériels et logiciels ............................................................................................ 62
2.9.2
Coûts humains ............................................................................................................... 62
2.10
3
Applications métiers (Arnaud HAMON) ................................................................................ 63
2.10.1
2.10.2
Introduction ................................................................................................................... 63
2.10.3
Présentation de la solution ........................................................................................... 63
2.10.4
Architecture de la solution ............................................................................................ 64
2.10.5
Partie 3: Utilisation de l'accès Internet (Bastien Gayral)............................................................... 67
3.1
Introduction ........................................................................................................................... 67
3.2
Exigences ............................................................................................................................... 67
3.3
Comparatif de produits ......................................................................................................... 67
3.3.1
ISA Serveur 2006 ........................................................................................................... 67
3.3.2
Forefront TMG (Threat Management Gateway) ........................................................... 68
3.4
Microsoft Forefront Threat Management Gateway ............................................................. 68
3.4.1
Pare-feu ......................................................................................................................... 68
3.4.2
Proxy .............................................................................................................................. 68
3.5
4
MediaNetWork
Forefront Unified Access Gateway ........................................................................................ 69
3.5.1
Mise à jour des correctifs .............................................................................................. 71
3.5.2
Sauvegardes des liens Wan ........................................................................................... 71
3.6
Architecture de la solution proposée .................................................................................... 71
3.7
Choix de la gamme ................................................................................................................ 72
3.8
Coûts matériels et logiciels.................................................................................................... 72
Gestion du cycle de vie des postes de travail (Vincent Desseaux) ................................................ 73
4.1
Rappel des besoins ................................................................................................................ 73
4.2
Introduction ........................................................................................................................... 73
4.3
Comparatif de solutions ........................................................................................................ 73
4.3.1
LANDesk Management Suite ......................................................................................... 73
4.3.2
System Center Configuration Manager ......................................................................... 74
4.3.3
Architecture de System Center Configuration Manager ............................................... 75
4.3.4
Système de déploiement d’images ............................................................................... 76
4.3.5
Schéma d’Infrastructure mis en œuvre ......................................................................... 78
Pré requis....................................................................................................................................... 78
4.3.6
7
5
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON) .......................................... 80
5.1
Rappel des besoins ................................................................................................................ 80
5.2
Introduction ........................................................................................................................... 80
5.3
Comparatif de solutions ........................................................................................................ 80
5.4
Solution d’aide à l’exploitation d’infrastructure ................................................................... 80
5.5
Architecture de la solution .................................................................................................... 85
5.5.1
Configuration minimale d’un client pour installer un agent ......................................... 85
5.5.2
Configuration des serveurs de base de données .......................................................... 86
5.5.3
Configuration serveur SCOM Reporting ........................................................................ 86
5.5.4
Configuration serveur SCOM ......................................................................................... 86
5.6
6
7
MediaNetWork
Coûts de la solution ............................................................................................................... 86
Hyper-V (Jérôme Teneur) .............................................................................................................. 88
6.1
Présentation du produit ........................................................................................................ 88
6.2
Pourquoi virtualiser ? ............................................................................................................ 88
6.3
Recommandation matériel : .................................................................................................. 88
6.4
Principe de fonctionnement .................................................................................................. 88
6.5
Hyper-V dans aristote.lan ...................................................................................................... 89
Annexes ......................................................................................................................................... 96
8
MediaNetWork
Introduction
Contexte
Le holding CFG, leader dans l’industrie spatiale, a demandé à sa filiale MediaNetWork de réalisé une
solution technique la plus conforme aux besoins exprimés par le client « Aristote » comprenant les
éléments économiques et financiers ainsi que la réalisation du prototype.
Cette étude a été réalisée dans le cadre du projet MIR (Moyens Informatiques de Réseaux). Pour
rappel, le projet MIR est composé de six parties, chacune traitant un domaine spécifique et distinct
du système d’information global, hormis MIR 6 qui est l’intégration de chacun des systèmes étudiés
de MIR 1 à MIR 5.






MIR 1 : Infrastructure Réseau de Communication
MIR 2 : Sécurité du Système
MIR 3 : Architecture de messagerie
MIR 4 : Infrastructure Linux
MIR 5 : Intranet Windows.
MIR 6 : Intégration Réseaux et Systèmes
Ce document contient l’expertise de la partie du projet global MIR, consacrée à la conception de la
solution, au déploiement et à l'exploitation d'un réseau Microsoft Windows (MIR 5 : Intranet
Windows).
Contexte géographique
La société Aristote emploie est présente sur le marché des énergies renouvelables. Actuellement,
Aristote est constitué de quatre sites distants, Orsay, Bayonne, Bruxelles et Sophia Antipolis et
environ 800 personnes. Elle envisage une croissance de 20% de ses effectifs en 5 ans que nous
prenons en compte dans l’étude.
9
MediaNetWork
BRUXELLES
Lien 20 Mb/s
Liens 2 Mb/s
Accès Internet
ORSAY
MPLS
BAYONNE
SOPHIA ANTIPOLIS
Rappel général des besoins
L'entreprise cliente veut se doter d'un système informatique basé en particulier sur une
infrastructure Réseau Microsoft Windows avec un annuaire d'entreprise et de sécurité, un système
de messagerie collaborative et de communications temps réel, des processus d'administration des
ressources, des procédures de déploiements, différents systèmes de ressources partagées, des accès
à Internet via un proxy cache et un portail d'entreprise fédérateur. Afin de faciliter l'exploitation des
infrastructures, un système de gestion des opérations est demandé.
10
MediaNetWork
1 Partie 1 : Conception d’Architecture (Jérôme Teneur)
1.1 Rappel du contexte et des besoins
Dans le cadre du projet MIR (Moyens Informatiques et Réseaux), vous souhaitez la mise en place
d’un annuaire regroupant l’ensemble de ses locaux afin de disposer d’une administration centralisée
de ses utilisateurs. Cette Annuaire sera aussi la base pour l’intégration d’un système de messagerie
et de communication commun au sein de l’entreprise.
1.2 Présentation Active Directory
« Active Directory (AD) est la mise en œuvre par Microsoft des services d'annuaire LDAP pour les
systèmes d'exploitation Windows. L'objectif principal d'Active Directory est de fournir des services
centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système
Windows. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et
l'installation de mises à jour critiques par les administrateurs. Active Directory répertorie les éléments
d'un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les
dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources
partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de
distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources
répertoriées. »
Source : http://fr.wikipedia.org/wiki/Active_Directory
Figure 1 - Illustration Active Directory
Partie 1 : Conception d’Architecture (Jérôme Teneur)
11
MediaNetWork
1.3 Pré requis
1.3.1 Répartition géographique
Il nous est important de savoir où et comment Aristote est géographiquement implantée, pour
répondre aux questions concernant l’implantation de la structure Active Directory. En effet, nous
nous baserons sur cette répartition pour optimiser la gestion du service d’annuaire au travers des
liaisons inter-sites. Nous avons donc quatre sites distants :




Orsay
Bayonne
Sophia Antipolis
Bruxelles
A noter également que le cœur du système d’information se trouvant à Orsay, nous y trouverons
une architecture en mesure de gérer une charge très importante, et de garantir une forte tolérance
de pannes.
1.3.2 Répartition des utilisateurs
La direction d’Aristote envisage une croissance conséquente de ses effectifs d’environ 20% en 5 ans.
Actuellement, le dimensionnement de ses effectifs est le suivant :
Orsay Bayonne Sophia-Antipolis Bruxelles TOTAL
Direction Générale
40
4
1
15
60
Administrative et Financière
30
10
0
5
45
Commerciale et Marketing
70
16
4
25
115
Etudes
255
20
10
40
325
Production
5
130
65
75
275
TOTAL
400
180
80
160
820
L’entreprise dispose à ce jour de 820 employés, dont 400 sur le site d’Orsay, 180 à Bayonne, 80 à
Sophia-Antipolis et 160 à Bruxelles.
1.3.3 Infrastructure Active Directory existante
Le cahier des charges à notre disposition n’exprimant pas de besoins liés à une intégration et à un
système d’annuaire existant, nous partons du postula que toute l’architecture doit être refaite. Cela
en vu du replacement total du système d’annuaire actuellement en place.
12
MediaNetWork
1.4 Présentation du nouvel environnement
1.4.1 Windows Serveur 2008r2
Nous avons choisi de baser la nouvelle architecture de l’annuaire sur le système d’exploitation de
Microsoft Windows serveur 2008r2 Entreprise Edition 64bits. Ce système apporte de nombreux
avantages :
 Son niveau de sécurité est renforcé (grâce au chiffrement, au contrôle d’accès et au
renforcement de l’OS)
 Un niveau de flexibilité important (apporté par la virtualisation, par l’accès à distance aux
applications et au déploiement accéléré)
 Un degré de contrôle amplifié (administration des serveurs simplifiée, service de
déploiement Windows)
En choisissant ce produit, votre entreprise investit dans une solution pérenne (garantie sur 5ans) et
évolutive car elle permet la mise en œuvre des technologies nouvelles et à venir. Au-delà de l’avance
de phase technologique, votre entreprise réduit également son coût d’exploitation, de mise en
œuvre et donc son TCO (Total Cost Ownership).
1.4.2 Active Directory (2008r2)
Active Directory, dans sa version 2008, apporte son lot de nouveautés. Etant le cœur de votre
architecture, il est important de le maîtriser et d’en connaitre tous les composants.
On y retrouvera notamment de nouveaux assistants plus complets, une optimisation du service de
réplication, un nouveau concept de contrôleur en lecture seul (RODC) pour la DMZ d’Orsay ou encore
pour le site de Sophia-Antipolis, ainsi que la possibilité de définir plusieurs stratégies de mot de passe
dans un même domaine.
Enfin on notera une modification importante du fonctionnement liée aux GPO, les nouveaux
paramètres d'audit ainsi que la sauvegarde avancée à l'aide des clichés.
Niveaux fonctionnels du domaine et de la forêt Active Directory
Le choix des niveaux fonctionnels du domaine et de la forêt est important car il ne pourra être
rétrogradé un fois mis en place. Il permet au domaine et à la forêt de disposer de fonctionnalités
supplémentaires comme par exemple la corbeille Active Directory qui offre la possibilité de restaurer
des objets supprimés.
Comme nous proposons d’utiliser Windows Server 2008 R2 pour l’ensemble des contrôleurs de
domaine au sein de la forêt, nous optons pour le niveau fonctionnel du domaine et de la forêt le plus
élevé, à savoir Windows Server 2008 R2.
13
MediaNetWork
1.5 Domaine et forêt Active Directory
Problématique
Apporter une évolution profonde à l'architecture système, en prenant compte des objectifs à court et
moyen terme tout en se focalisant sur les contraintes de la société.
Nous allons donc dans cette partie traiter de l’architecture fonctionnelle d’Active directory, en
définissant notamment la position des différents sites dans le domaine vsn-aristote.lan.
Pour résumer nous devons prendre en compte les paramètres suivants :
 Pas de filiale
 Quatre sites
 Six services
Ces trois informations nous permettent de proposer une architecture qui ne se basera que sur un
seul domaine dans une unique forêt. La gestion des sites distants se fera en deux points :
 Au travers d’OU nommées pour chaque site permettant d’y classer les utilisateurs et stations
 Au travers des sites et services Active Directory
Grâce à une organisation de ce type nous garantissons:
 Une optimisation des réplications inter-sites
 Une meilleure gestion des flux grâce à l’association des sites à un sous-réseau IP
 Une meilleure gestion du mode dégradé si l’un des DC était inaccessible
 Une plus grande flexibilité pour la délégation des droits administratifs
Nous devons ensuite prendre en considération le nombre d’utilisateurs, ainsi que leur répartition
géographique, afin d’implémenter le nombre de serveurs appropriés.
Tout d’abord le site d’Orsay et ses 400 utilisateurs. Ce site est très sensible, nous devons donc
garantir une disponibilité permanente. De plus, le nombre d’utilisateurs étant très conséquent nous
mettre en place un système de haute disponibilité.
Les autres sites distants ont un nombre d’utilisateurs variant entre 80 et 180. Ces sites se verront
équipés d’un contrôleur de domaine, et assureront une continuité de services en cas de crash, grâce
aux contrôleurs d’Orsay (les flux seront donc reroutés au travers de la liaison WAN).
Enfin, grâce aux nouvelles fonctionnalités offertes par Windows server 2008r2, nous allons pouvoir
envisager de mettre en place un système autonome en lecture seule dans la DMZ.
1.5.1 Catalogue global
Dans une infrastructure Active Directory, un catalogue global est un contrôleur de domaine qui
contient tous les objets de la forêt, avec pour chacun de ces objets, seulement les attributs les plus
utilisés. Un catalogue global est donc nécessaire pour la recherche d’objets au sein d’une forêt
contenant plusieurs domaines.
Comme nous proposons pour Aristote une forêt Active Directory à domaine unique, l’utilisation de la
fonction de catalogue global n’est à priori pas requise. Néanmoins, avec l’utilisation d’Exchange 2010
14
MediaNetWork
comme système de messagerie, la fonction de catalogue global est requise sur au moins un
contrôleur de domaine par site.
1.5.2 Répartition des rôles Active Directory (FSMO)
Il existe 5 rôles FSMO. Ces 5 rôles sont nécessaires au bon fonctionnement de nos domaines/forêts.
Chacun de ces rôles ne peut être hébergés que par des contrôleurs de domaine et non par des
serveurs membres. Ils ont également des étendues différentes et des domaines de réplication
différents. On distingue parmi les 5 rôles :
FSMO
Maître d'attribution
des noms de domaine
Emplacement
Unique au sein
d'une forêt
Rôle
Inscription de domaines dans la
forêt
DC désigné
ORS-SRV-AD1
Contrôleur de schéma
Unique au sein
d'une forêt
Gère la modification du schéma
Active Directory
ORS-SRV-AD1
Maître RID
Unique au sein d'un
domaine
Distribue des plages RID pour les ORS-SRV-AD2
SIDs
Maître d'infrastructure
Unique au sein d'un
domaine
Unique au sein d'un
domaine
Gère le déplacement des objets
ORS-SRV-AD2
Synchroniser l’heure, modifier
les mots de passe, verrouiller les
comptes
ORS-SRV-AD2
Emulateur PDC
Ces rôles ne peuvent être assurés en haute disponibilité car ils sont uniques soit au sein de la forêt
soit au sein du domaine. En cas de crash d’un contrôleur assurant un ou plusieurs rôles, ce ou ces
plusieurs rôles doivent être transférés manuellement à un autre contrôleur de domaine disponible.
1.5.3 Réplications
Les services de domaine Active Directory emploient une méthode de réplication différée multimaître.
Un contrôleur de domaine communique les modifications apportées à l’annuaire à un deuxième
contrôleur de domaine qui les communique ensuite à un troisième, et ainsi de suite, jusqu’à ce que
tous les contrôleurs de domaine aient reçu les modifications. Pour parvenir au meilleur équilibre
possible entre la réduction de la latence de réplication et la réduction du trafic, la topologie de site
contrôle la réplication Active Directory en faisant la distinction entre la réplication qui a lieu au sein
d’un site et la réplication qui a lieu entre les sites distants.
À l’intérieur des sites, la réplication est optimisée pour aller le plus vite possible : les mises à jour de
données déclenchent la réplication et les données sont envoyées en évitant la surcharge requise par
la compression des données. À l’inverse, la réplication entre sites est compressée pour réduire au
minimum le coût de transmission sur les liaisons de réseau étendu.
15
MediaNetWork
1.5.4 Représentation organisationnelle d’Aristote
Figure 2 - Schéma organisationnel du domaine vsn-aristote.lan
Au travers de ce schéma, nous retrouvons toutes les informations relatives au domaine vsnaristote.lan. Nous avons par exemple la répartition des contrôleurs de domaine au sein des sites
distants, ainsi que la répartition des rôles FSMO.
16
MediaNetWork
1.6 Organisation de l’annuaire Active Directory
1.6.1 Groupes d'utilisateurs
Les utilisateurs peuvent être distingués par leur site géographique de travail et leur direction
d’appartenance. Visuellement ils seront classés par site géographique, logiquement nous pourrons
les administrer en fonctions de leur site géographique mais également en fonction de leur direction.
Ainsi les différentes OU permettrons de classer les utilisateurs :
Figure 3 - OU sites
Ensuite, chaque utilisateur se verra placé dans un groupe permettant de
définir sa direction d’appartenance. Ces groupes permettront de distinguer
les utilisateurs, de leur attribuer des configurations dédiées à leurs activités,
ou encore de leur donner des droits d’accès spécifiques aux ressources de
l’entreprise (accès en lecture/écriture/exécution sur des partages de
fichiers).
Figure 4 - Groupes
L’avantage premier de ces groupes est de simplifier considérablement la maintenance et
l'administration du réseau.
Enfin on notera qu’Active Directory met en œuvre deux types de groupes : groupes de distribution et
groupes de sécurité. Vous pouvez utiliser les groupes de distribution pour créer des listes de
distribution de courriers électroniques et les groupes de sécurité pour affecter des autorisations à
des ressources partagées.
17
MediaNetWork
1.6.2 Stratégie de groupe
Les stratégies de groupe peuvent être considérées en trois phases distinctes - Création de la stratégie
de groupe, Liaison des stratégies de groupe et Application des stratégies de groupe.
Dans un premier temps, nous attirons votre attention sur le fait que Windows server 2008 r2
introduit une nouvelle manière de gérer les stratégies de groupe. En effet, celle-ci se fait maintenant
au travers d’une console spécifiquement dédiée à la gestion des GPO et qui s'appelle GPMC (Group
Policy Management Console).
Voici la majeure partie des GPO que nous allons ainsi déployer (les OU des sites distants auront la
même arborescence qu’Orsay) :
Figure 5 - Stratégie de groupe
Le schéma ci-dessus montre bien la manière dont les GPO seront
appliquées sur chaque OU. Attention cependant, il ne s’agit que
d’une représentation fonctionnelle. En réalité toutes ces GPO
seront regroupées dans « objet de stratégie groupe » sous la
forme ci-contre :
Figure 6 - Illustration GPO
18
MediaNetWork
1.6.3 Organisation Fonctionnelle des OU
Figure 7 - Organisation Fonctionnelle des OU
19
MediaNetWork
1.6.4 Mise en place de RODC
La notion de RODC, c‘est à dire de « Read Only Domain Controller » est apparue avec Windows
server 2008r2. Il s’agit donc, comme son nom l’indique d’une base de données Active Directory en
lecture seule. Exceptés les mots de passe utilisateurs, un RODC a une copie de l'intégralité des objets,
attributs, classes... d'un AD normal. Evidemment, un poste ne peut en revanche pas modifier celui-ci.
Les demandes en lectures sont honorées, tandis que les demandes d'écriture sont transférées à un
« vrai » DC, comme par exemple ceux d’Orsay.
Cette nouvelle technologie offre de nombreux avantage. Dans notre cas, cela nous permettra de :
 Filtrer les attributs : Parce que certains attributs sont critiques bien que n'étant pas des mots
de passe, il est préférable de ne pas les héberger sur un RODC, au cas où celui-ci serait volé
ou compromis. Pour cela vous pouvez ajouter cet attribut à la liste des attributs filtrés, afin
de ne pas le répliquer sur les RODC de la forêt
 Réplication unidirectionnelle : Puisqu'aucun changement ne peut être fait sur un RODC, les
DC standards partenaires de réplication ne rapatrient pas de changements (PULL) depuis
ceux-ci. Autrement dit, aucune modification d'un utilisateur malicieux ne peut être répliquée
vers le reste de la forêt (Ce qui permet également de réduire la consommation de bande
passante)
 Séparation des rôles d'administration : Cette séparation permet de déléguer les droits locaux
d'administration d'un RODC, sans octroyer au compte concerné de droits sur le domaine en
entier. On parle bien sûr d'administration basique, comme le changement d'un driver, ou
l'authentification locale sur la machine, pas de création d'utilisateurs
 DNS en lecture seule : Il est possible d'installer DNS sur un RODC, et celui-ci sera capable de
répliquer toutes les partitions applicatives
Nous pourrons donc implémenter des RODC à deux niveaux :
DMZ d'Orsay
Tout d’abord dans la DMZ où il permettra de maîtriser les flux AD en direction du LAN. Ainsi des
services tel que l’Exchange Edge pourrons interroger l’AD sans avoir à emmètre de requêtes vers le
LAN. Nous renforçons donc la notion de DMZ et minimisant sa dépendance au LAN et en renforçant
son autonomie.
Sophia Antipolis
Sophia Antipolis est un site à part entière car il est dédier à la production et il ne compte que 80
employés. En partant de ce postulat, nous avons émis l’hypothèse qu’un seul administrateur
informatique sera en charge de ce site. Ses besoins administratifs sont ainsi (grâce à RODC) réduits
au maintien fonctionnel de l’infrastructure, facilitant ainsi son rôle.
Cette proposition n’est qu’optionnelle. Le site de Sophia Antipolis pouvant tout à fait se voir
implémenté un AD comme les autres sites.
20
MediaNetWork
1.6.5 Gestion des sites et services
Vous pouvez utiliser le composant logiciel enfichable Sites et services Active Directory pour gérer les
objets spécifiques aux sites qui implémentent la topologie de réplication inter-site. Ces objets sont
stockés dans le conteneur Sites dans les services de domaine Active Directory (AD DS, Active
Directory Domain Services).
Nous pouvons donc distinguer les sites
Active Directory et y associer les
contrôleurs de domaine correspondant.
Ces associations auront un rôle
primordial dans la gestion des
réplications. En effet nous allons
optimiser les réplications en fonction de
l’état des liens entre des contrôleurs de
domaine.
Figure 8 - Sites et services
Enfin, l’association d’un sous-réseau IP à
un site Active Directory sera très
importante pour l’optimisation des flux
inter-site. En effet, si un utilisateur vient
interroger un contrôleur, ce dernier
vérifiera l’adresse réseau source afin de
rediriger l’utilisateur vers le contrôleur le
plus proche de lui.
21
MediaNetWork
1.7 Processus d’administration (Vincent Desseaux)
1.7.1 Rappel des besoins
Notre client Aristote souhaite limiter l’utilisation du groupe « Administrateur du domaine »,
« Administrateur du schéma » et « Administrateur de l’entreprise » en mettant en place une
stratégie de délégation de l’administration Active Directory et prenant en compte les éléments
suivant :
 La direction informatique disposera en cas d’urgence des accès utilisateurs compris dans ces
groupes
 Les équipes informatiques d’administration seront situées sur chaque site avec une
compétence limitée au site et auront le moins de privilèges possible
 Il sera impossible d’installer des logiciels sur les contrôleurs de domaine du site mais
pourront le faire sur les serveurs membres et ordinateurs du site
 Les équipes informatiques de chaque site ne pourront ajouter/supprimer/modifier des objets
stratégies de groupes, mais ont la possibilité d’une part d’attribuer des stratégies de groupes
existantes sur une unité d’organisation pouvant être administrée par eux, et d’autre part
d’effectuer l’analyse des jeux de stratégies résultants
 Les équipes informatiques pourront utiliser les services de bureau à distance pour se
connecter sur les contrôleurs de domaines et les serveurs membres de leur site respectif
 Les équipes informatiques pourront effectuer n’importe quelle opération sur les ressources
partagées
Dans cette partie d’étude, nous vous présenterons la déclaration des équipes informatiques
dans Active Directory ainsi que leurs privilèges et leurs droits en fonction des besoins exprimés.
1.7.2 Déclaration des équipes informatiques et affectation des groupes
Afin de dissocier l’administration informatique par site, en sachant que tous les sites sont membres
du même domaine, il convient de mettre en place des groupes pour les équipes informatiques de
chaque site, ainsi qu’un groupe destiné à la direction informatique. Ces groupes seront présents dans
la OU « Groupes » contenue elle même dans la OU « Administrateur ». Nous pouvons donc énumérer
les groupes suivants ainsi que le type d’utilisateur adéquat devant y être rattaché:
Nom du groupe
direction_informatique
administrateur_Orsay
administrateur_Bayonne
administrateur_SophiaAntipolis
administrateur_Bruxelles
Membres
Utilisateurs de la direction informatique
Utilisateurs de l’équipe informatique d’Orsay
Utilisateurs de l’équipe informatique de Bayonne
Utilisateurs de l’équipe informatique de Sophia Antipolis
Utilisateurs de l’équipe informatique de Bruxelles
Afin de faciliter l’octroi de certains droits communs aux groupes destinés aux équipes informatiques,
nous proposons de mettre en place un groupe supplémentaire qui contiendra comme membre les
quatre groupes informatiques.
22
Nom du groupe
equipes_informatiques
MediaNetWork
Membre de
administrateur_Orsay
administrateur_Bayonne
administrateur_SophiaAntipolis
administrateur_Bruxelles
Connexion des comptes utilisateurs membre des groupes « Equipes Informatiques » et
« Direction Informatique »
Afin que les comptes utilisateurs puissent se connecter depuis le contrôleur de domaine, il convient
de déclarer dans les stratégies de sécurité locale (gpedit.msc) du contrôleur de domaine, les groupes
autorisés à établir une ouverture de session de manière locale. Cependant et aux vu des attentes
d’Aristote, nous proposons de déclarer les groupes « Equipes Informatiques » et « Direction
Informatique » membre du groupe « Opérateurs de serveur ». En effet, ce groupe qui est intégré
par défaut dans Windows Server dispose de privilèges très limités tels que la non installation de
logiciels/rôles sur le domaine, l’impossibilité de modifier des paramètres de configuration sur les
postes du domaine, ou bien encore la lecture seule sur les consoles de management.
Nom du groupe
Membre de
Opérateurs de serveur
1.7.3 Déclaration des droits à attribuer dans Active Directory pour chaque
groupe
Pour autoriser les groupes précédemment créés à effectuer toutes les opérations Active Directory
dans leur site, nous devons créer des règles de sécurité sur les OU correspondant à chaque site et
définir les droits qu’on leur octroi dans la OU. Ces droits s’appliquent à des utilisateurs ou groupes du
domaine et sont principalement des droits :
 de lecture/écriture, de création/suppression sur les objets pouvant être contenus dans l’OU
 de création/suppression de lien d’un objet stratégie de groupe
 d’effectuer des analyses des jeux de stratégies résultants au niveau de l’OU
Deux méthodes permettent d’attribuer ces ACL dans les OU :
 L’assistant de délégation de contrôle
 Dans les paramètres de sécurité de l’OU (Nécessite d’afficher les fonctionnalités avancées
d’Active Directory)
Les deux méthodes permettent une configuration aussi complète l’une que l’autre, cependant nous
pouvons conseiller l’utilisation de l’assistant de délégation de contrôle lors d’une création de
délégation, et la méthode manuelle lors de modifications et suppressions.
Les équipes informatiques se verront octroyer un contrôle total sur l’OU de leur site ainsi qu’un droit
de lecture/écriture sur l’OU « groupes » afin qu’ils puissent ajouter les utilisateurs de leur site
comme membre d’un des groupes y étant contenu, et auront implicitement qu’un droit de lecture
23
MediaNetWork
sur les autres objets et conteneur du domaine. Ils devront également pouvoir créer des utilisateurs
membre de l’équipe informatique de leur site, pour cela il convient de leur donner le droit de
lecture/écriture sur leur groupe respectif. La direction informatique aura quand à elle un contrôle
total depuis la racine du domaine et pourra donc en conséquence, administrer à n’importe quel
niveau le domaine « vsn-aristote.lan ». L’ensemble des droits précédemment cités devront pouvoir
s’étendre aux conteneurs et objets sous jacent de l’OU qui se voit les droits appliqués. Ci-dessous le
tableau permettant de reprendre l’ensemble des OU à appliquer et à qui elles doivent être
octroyées :
Type
d’objet
Domaine
OU
OU
OU
OU
OU
Groupe
Groupe
Groupe
Groupe
Nom canonique de l’objet
Membres
vsn-aristote.lan
vsn-aristote.lan/Orsay
administrateurs_Orsay
vsn-aristote.lan/Bayonne
administrateurs_Bayonne
vsn-aristote.lan/Sophia
administrateurs_SophiaAntipolis
vsn-aristote.lan/Bruxelles
administrateurs_Bruxelles
vsn-aristote.lan/Groupes
vsn-aristote.lan/Administrateurs/
administrateurs_Sophia
administrateurs_SophiaAntipolis
Droit
Contrôle
total
Contrôle
total
Contrôle
total
Contrôle
total
Contrôle
total
Lecture/
écriture
Lecture/
écriture
Lecture/
écriture
Lecture/
écriture
Lecture/
écriture
Ci-joint en annexe la procédure des étapes pour la délégation de l’administration Active Directory.
1.7.4 La gestion de la création de stratégies de groupe
Pour qu’un utilisateur puisse créer, modifier ou supprimer des objets de stratégie de groupe, il faut
que celui-ci soit membre du groupe « Propriétaires créateurs de la stratégie de groupe », qui est
présent dans le conteneur « Builtin ». Dans notre cas, seul le groupe « direction_informatique » y
sera membre et sera donc à même de mettre à disposition aux équipes informatiques des stratégies
de groupes.
Nom du groupe
Direction_informatique
Membre de
Propriétaires créateurs de la stratégie de groupe
24
MediaNetWork
1.7.5 L’octroi du droit Administrateur Local pour les équipes informatiques
Il est demandé que les équipes informatiques puissent installer des logiciels sur les serveurs
membres et ordinateurs de leur site. Pour permettre ce genre d’opération, il faut que les groupes des
équipes informatiques soient membre d’un groupe « Administrateur ».
Le groupe « Opérateurs de serveur » n’étant pas membre du groupe « Administrateur » et devant
limiter l’utilisation des groupes « Administrateur du domaine», « Administrateur du schéma» et
« Administrateur du domaine», nous proposons que les groupes correspondant aux équipes
informatiques ne soit pas membre d’un groupe Administrateur présent sur les contrôleurs de
domaine, mais membre du groupe « Administrateur » de chaque machine locale du site qu’ils
gèrent.
Pour ce faire, il convient de mettre en place une stratégie de groupe pour chaque site, qui ajoutera
sur chaque poste étant intégré dans l’OU correspondant au site, le groupe de l’équipe du site comme
étant membre du groupe « Administrateur » de la machine se voyant appliquer la règle. Le groupe
« direction_informatique » devra de même disposer d’une stratégie identique, mais celle-ci s’étendra
sur tous les sites.
Ci-joint en annexe un modèles de stratégies de groupe à mettre en place pour la direction
informatique et l’équipe informatique d’Orsay, le résultat attendu sur un ordinateur client d’Orsay,
ainsi qu’un schéma permettant de définir les stratégies de groupe à appliquer et à quel niveau du
domaine.
1.7.6 L’utilisation du bureau à distance
Il est demandé que les équipes informatiques puissent utiliser les services de bureau à distance pour
se connecter sur les contrôleurs de domaine et les serveurs membres de leur site respectif. Pour cela,
il convient que :
 sur chaque contrôleur de domaine et serveur membre, le service de bureau à distance soit
activé
 les groupes d’utilisateurs autorisés à établir une ouverture de session sur le serveur soit
déclaré
 que les groupes d’utilisateurs concernés soient membre du groupe « Utilisateurs du Bureau à
distance »
L’activation du service et la déclaration des groupes autorisés à ouvrir une session se feront par le
biais de stratégies de groupe déployées sur les OU contenant l’ensemble des serveurs d’un site. La
déclaration des groupes d’utilisateurs membre du groupe « Utilisateurs du Bureau à distance » se
fera quand à elle de manière manuelle dans Active Directory.
Ci-joint en annexe les modèles de stratégies de groupe à mettre en place ainsi qu’un schéma
permettant de définir les stratégies de groupe à appliquer et à quel niveau du domaine.
25
MediaNetWork
1.8 Sauvegarde et récupération d’urgence Active Directory (Rudy
Promé)
Bien que nous prévoyons la mise en place un cluster de contrôleurs de domaine sur le siège
d’Aristote, il est fortement recommandé de planifier régulièrement des sauvegardes de ces
contrôleurs de domaine complets avec tous leurs services liés à Active Directory, qu’il s’agisse :





De l’annuaire d’Active Directory
Des rôles clés de l’Active Directory (notamment le rôle PDC)
Des GPO
Du rôle DHCP
Du rôle DNS
1.8.2 Sauvegarde des contrôleurs de domaine
Sachant que l’infrastructure Active Directory de notre client sera basée sous Windows Server 2008
R2, nous allons utiliser la fonctionnalité de sauvegardes présente au sein du système d’exploitation
lui-même. Il s’agit de Windows Server Backup qui depuis Windows Server 2008 vient complètement
remplacer NTBackup et propose donc une toute nouvelle technologie de sauvegarde.
1.8.3 Présentation de l’utilitaire de sauvegarde Windows Server Backup
Windows Server Backup se base sur la sauvegarde de volumes complets ou de blocs à contrario de
NTBackup qui lui, était basé sur les fichiers. Nous allons utiliser la méthode de sauvegarde de
volumes (grâce au service VSS : Volume Shadow Copy Service) car celle-ci permettra une restauration
plus facile et rapide en cas de problèmes techniques et de besoin de récupération d’urgence.
Un autre avantage est que, comme il s’agit d’un logiciel enfichable dans une console MMC, il dispose
de fonctions de prise en main complète à distance.
Le volume sauvegardé, si plusieurs volumes il y a sur les contrôleurs de domaines, sera bien sûr celui
qui contient l’annuaire Active Directory (donc le fichier NTDS.dit) et les GPO (dans le dossier SYSVOL)
ainsi que la configuration de tous les autres rôles installés sur le contrôleur de domaine.
1.8.4 Quel serveur sauvegarder ?
Dans un premier temps, il est nécessaire de préciser que suite aux paramètres de réplication multimaître définis précédemment, nous allons sauvegarder un seul serveur parmi les deux d’Orsay étant
donné qu’ils sont parfaitement identiques, en dehors de leurs rôles qui, pour rappel, sont définis
comme suit1 :
1
Image tirée du schéma de la forêt d’Aristote (par Jérôme Teneur)
26
MediaNetWork
Figure 9 - Rappel des rôles FSMO sur Orsay
Plus précisément, nous sauvegarderons celui qui dispose du rôle FSMO émulateur PDC donc l’AD2
car c’est un rôle indispensable au bon fonctionnement de l’architecture Active Directory, notamment
par exemple au niveau de l’authentification des utilisateurs. De plus, sachant qu’il n’y a qu’un seul
domaine dans la forêt de notre client, il n’y a donc qu’un seul émulateur PDC. Si ce rôle tombe, alors
ça met notre client hors activité car aucun collaborateur ne pourra s’authentifier sur le réseau.
1.8.5 Précisions sur la méthode de sauvegarde dite « incrémentielle »
La sauvegarde sera incrémentielle, c’est à dire qu’il y aura une toute première sauvegarde complète
du volume et que les suivantes seront seulement les différences entre la précédente sauvegarde
complète du volume et le volume tel qu’il est au moment de cette sauvegarde. Ceci permet
d’économiser énormément de bande passante sur le réseau car il y aura peu de données en transit
une fois la sauvegarde primaire effectuée et d’économiser de la place sur le disque dur du serveur de
fichiers stockant les sauvegardes.
Enfin, si l’espace disque du serveur de fichiers est saturé, Windows Server Backup se chargera de
supprimer les plus anciennes sauvegardes afin de libérer de l’espace de disque pour permettre une
nouvelle sauvegarde. Il y a donc une rotation automatique des sauvegardes du contrôleur de
domaine.
Nous paramètrerons la sauvegarde incrémentielle afin qu’elle s’enclenche toutes les nuits à 1 heure
du matin en semaine. Et nous planifions également une sauvegarde complète cette fois-ci le week
end. Cette planification s’effectue dans la console MMC via un logiciel enfichable.
1.8.6 Emplacement des sauvegardes
Nous allons également programmer les sauvegardes sur partage réseau. Un serveur de fichiers sera
donc nécessaire pour les accueillir. Celui-ci sera situé à Bayonne, le second plus gros site d’Aristote
pour des raisons de précaution. En effet, l’intérêt d’avoir des sauvegardes sur le même emplacement
que le serveur sauvegardé lui-même est moindre puisqu’en cas de gros incident imprévisible
(incident météorologique très important comme des inondations par exemple), le serveur de
sauvegarde serait alors dans le même état que le serveur sauvegardé, c'est-à-dire complètement
inutilisable et donc il n’y aurait aucun moyen de récupérer une quelconque information ou
configuration du serveur en question.
27
MediaNetWork
Voici un schéma représentant alors la mise en place du serveur de sauvegardes :
Figure 10 - Schéma de la mise en place du serveur de sauvegardes
1.8.7 Conclusion
Notre solution de sauvegarde se révèle alors à la fois efficace car elle est économique en bande
passante grâce à sa fonction incrémentielle et pérenne avec la rotation des sauvegardes
automatique.
1.9 Plan de récupération d’urgence (Rudy Promé)
1.9.1 Rappel
Lors de l’étude de l’architecture réseau de notre client en MIR 1, nous avions abordé le sujet de
l’interconnexion des sites distants via un réseau MPLS. Pour assurer une continuité de service même
en cas de rupture d’un lien, nous avions doublé les liens des sites distants du cœur de réseau (Orsay)
avec un lien WAN de secours. Le site d’Orsay lui possède deux liens WAN vers le réseau MPLS pour la
redondance2. De ce fait, les chances qu’il n’y ait aucune connexion entre les sites distants sont
quasiment nulles.
De plus, le site d’Orsay est équipé d’un cluster de contrôleurs de domaine. De ce fait, si l’un des deux
tombe, l’autre prend immédiatement l’intégralité de la charge de travail ce qui assure une continuité
d’activité, bien que moins efficace sans le partage de charge.
1.9.2 Intérêt de la récupération d’urgence
Tout ce système de sauvegarde lié à une méthode de récupération d’urgence va permettre
d’effectuer des opérations de maintenance très rapidement car reconfigurer de A à Z un contrôleur
de domaine est une tâche très lourde et minutieuse.
Une mauvaise manipulation de la part de l’administrateur sur le contrôleur de domaine 2 pourrait
engendrer l’émulateur PDC inactif, donc une entreprise complètement hors service. Ce problème
peut-être rapidement résolu en activant le rôle émulateur PDC sur le contrôleur de domaine 1 bien
heureusement. Bien entendu, la sauvegarde ici va permettre de restaurer rapidement le DC2
(Domain Controller 2) et donc de réactiver la haute disponibilité en peu de temps. Tout ceci sera
2
Vous pouvez vous référer à l’annexe « Interconnexion des sites distants » dans sauvegarde et récupération d’urgence
Active Directory (Rudy Promé) en fin de rapport
28
MediaNetWork
quasiment transparent pour les utilisateurs (ils percevront au pire quelques latences lors de leur
authentification au réseau par exemple).
Mais dans le cas où le cluster complet se verrait hors d’usage, un administrateur activera alors le rôle
PDC et tous les autres rôles si nécessaire sur le contrôleur de domaine 3 (à Bayonne, étant donné que
c’est le second site le plus important d’Aristote), afin d’assurer une continuité d’activité de notre
client. La sauvegarde va, ici encore, permettre la restauration complète du cluster plus rapidement
qu’en procédant à une reconfiguration manuelle intégrale.
La procédure de récupération est décrite en annexe3.
1.10 Estimation des coûts
Matériellement parlant, la solution se révèle au final relativement peu coûteuse puisque les seuls
investissements seront un serveur de fichiers avec un espace de stockage suffisamment conséquent.
Nous préconisons un minimum de 2 To afin d’assurer un nombre de sauvegardes suffisamment
conséquent. Ceci avec 5 disques durs de 500 Go installés et configurés pour fonctionner en RAID5
(afin d’assurer la pérennité des données même en cas de crash de deux disques durs
simultanément), pour un coût total de 150 € hors taxes.
La technologie de Windows Server Backup en elle même est comprise dans Windows Server 2008, il
n’y a donc aucun coût supplémentaire pour celle-ci en dehors donc d’une licence Windows 2008 R2 à
2 000 €. Nous recommandons donc un serveur HP ProLiant DL120 à 1 350 € hors taxes.
L’investissement à prévoir est donc de l’ordre de 5 K€ hors taxes.
Sur le plan humain, nous préconisons un minimum de trois administrateurs acceptant les astreintes
afin de planifier entre eux une rotation de celles-ci. Il est indispensable qu’ils acceptent les astreintes
afin de pouvoir assurer une reprise d’activité même le week end ou la nuit. Pour rappel, le coût d’un
administrateur est évalué à 2 000 € brut par mois.
3
Vous pouvez vous référer à l’annexe « Processus de récupération » dans sauvegarde et récupération d’urgence Active
Directory (Rudy Promé) en fin de rapport
29
MediaNetWork
1.11 Haute disponibilité
Active Directory et Hyper-V
La configuration et le dimensionnement des serveurs Hyper-V pour des performances optimales sont
facteurs de nombreux paramètres.
On retiendra dans un premier temps que le service Active Directory ne sera pas virtualisé du fait de
son rôle centrale dans l’architecture. En effet le service Active Directory fonctionnera en trio avec
DNS et DHCP sur un même système hôte. Tous les trois constituent le cœur du système
d’information, et sont de ce fait placés en redondance pour garantir la haute disponibilité.
De plus la virtualisation complexifie l’infrastructure ce qui de facto engendre un coût administratif
plus important mais aussi et surtout cela amoindri les performances du système d’information,
notamment lors des piques I/O (généralement le matin, à la pause déjeuné et le soir)
Répartition DNS
Le tourniquet DNS (Round robin) : Permet d’inscrire dans le DNS plusieurs adresses IP pour un même
nom d’hôte. Une fois cette fonction activée, le serveur DNS va séquentiellement renvoyer aux clients
faisant une demande de résolution de nom sur cet hôte une adresse réseau différente.
Ainsi lorsqu’un client demandera l’IP du DC associé au domaine vsn-aristote.lan, il se verra renvoyer
soit l’adresse de ORS-SRV-AD1 ou celle de ORS-SRV-AD2.
La répartition peut se faire de plusieurs manières. Dans notre cas, nous opterons pour la technique la
plus simple, à savoir la répartition cyclique, distribuant les IP à tour de rôle.
Attention également, tous les contrôleurs de domaine étant inscrit en tant que tel dans les
enregistrements DNS, nous pouvons nous retrouvé avec des scénarios contre-productifs. En effet, si
les utilisateurs venaient à emprunter le lien WAN pour joindre le DC qui leur a été retourné, nous
aurions une charge inutile de la bande passante inter-site. Pour cela, une autre technologie
intervient : la gestion des sites et services Active Directory. Cette dernière permet en effet d’associer
un sous-réseau IP à un site Active Directory. Or chaque contrôleur de domaine étant placé dans un
site Active Directory, nous avons donc implicitement une association entre sous-réseaux IP et
contrôleurs de domaine. C’est grâce à cette association qu’un contrôleur de domaine peut indiquer à
un utilisateur établissant une connexion, qu’il peut avoir un accès plus rapide et performant via un
autre contrôleur de domaine situé sur son propre site.
30
MediaNetWork
1.12 Dimensionnement hardware et Coûts
Hardware
Le dimensionnement de l’espace disque se fait par le biais de nombreux facteurs :
 Il nécessite une taille importante pour le dossier SYSVOL : La mise en place de 1000
utilisateurs prend 1 Giga-octets
 Il est aussi nécessaire de laisser 500 Mo d’espace disque pour les fichiers log de transaction
 Il est conseillé de mettre en place un RAID 1 (miroir) afin de prévenir à un éventuel crash
d’un disque dur
 Si le contrôleur de domaine a la fonction de catalogue global, il sera nécessaire de prévoir
l’espace disque supplémentaire
Sachant que les contrôleurs de domaines auront les rôles FSMO, dont la fonction de catalogue global
ou tête de pont, il sera nécessaire de dimensionner les serveurs avec une configuration plus
importante.
Pour cela, nous conseillons d’opter pour des serveurs HP de type :
HP ProLiant DL380 G6 Performance - Xeon X5550 2.66 GHz
PRIX : 6000€ H.T.
2 x Intel Xeon X5550 / 2.66 GHz ( Quad Core )
12 Go (installé) / 144 Go (maximum) - DDR3
SDRAM - 1333 MHz - PC3-10600
RAID ( Serial ATA-150 / SAS ) - PCI Express x8 (
Smart Array P410i avec BBWC 512 Mo )
Adaptateur réseau - Ethernet, Fast Ethernet,
Gigabit Ethernet - Ports Ethernet : 4 x Gigabit
Ethernet
A noter, nous pouvons envisager la virtualisation du RODC situé dans la DMZ d’Orsay.
Coûts
Produits
Serveur HP
Licence Windows server 2008r2
Prix unitaire
6000
2000
Nombre de produits
5
6
Prix Total
30000
12000
42000
Les prix sont affichés en € H.T.
Nous estimons le coût de cette infrastructure Active Directory Windows server 2008r2 à environ
42 000 €.
31
MediaNetWork
1.13 Conclusion
La majorité des services s’appuie sur Active Directory, la communication unifiée, le travail
collaboratif, des services de sécurité... C’est donc une référence pour gérer efficacement les
utilisateurs, les ordinateurs, les groupes, les imprimantes, les applications et autres objets de
l’annuaire, à partir d’un emplacement centralisé.
Notre choix s’est tourné vers une restructuration de votre architecture existante vers un domaine
unique. Cette solution vous permettra d’atteindre une architecture évolutive, simple
d’administration et d’exploitation mais également sécurisée et s’intégrant parfaitement avec
l’ensemble de votre structure.
Enfin, dans le cadre de l’augmentation de ses activités, Aristote prévoit une hausse de ses effectifs de
l’ordre de 20% dans les 5 ans. Dans ce cadre, l’infrastructure que nous vous avons proposé permettra
de gérer une charge allant jusqu’à 1000 utilisateurs.
32
MediaNetWork
1.14 Architecture DNS (Rudy Promé)
Comme il est stipulé dans le cahier des charges de concentrer tous les services d’infrastructures sur
les contrôleurs de domaine et dans la logique du fonctionnement de l’Active Directory, Il y aura un
serveur DNS pour chaque Active Directory (donc sur la même machine) car :
 Le DNS est nécessaire pour localiser les contrôleurs de domaine
 Il est également indispensable pour pouvoir ouvrir une session utilisateur sur le réseau
Il sera donc intégré à l’annuaire afin d’accroître la sécurité lors de mises à jour de configuration et de
réplication de zones entre contrôleurs de domaine.
1.14.2 Nom de domaine
Comme indiqué dans le cahier des charges, le nom de domaine de notre client devra correspondre à
« vsn-aristote ». Pour se faire, nous utiliserons deux suffixes :
 .lan : pour tout le réseau interne d’Aristote
 .eu : pour sa visibilité depuis l’extérieur
L’utilisation de ces deux suffixes nous permettra de dissocier très simplement ce qui sera donc
accessible depuis l’extérieur et l’intérieur.
Compte tenu du nombre d’utilisateurs de notre entreprise cliente, la mise en place d’une forêt à
plusieurs domaines est inutile et engendrerait des complications d’administration ou de mise en
place de relations de confiance entre les contrôleurs de domaine. Il n’y aura donc qu’un seul
domaine dans la forêt : vsn-aristote.lan.
1.14.3 Plan de nommage des postes
Afin d’identifier les postes le plus efficacement possible, il est nécessaire d’appliquer une règle de
nommage des postes utilisateurs et des serveurs en fonction du site où ils se situent.
Lieux
Orsay
Bayonne
Sophia Antipolis
Bruxelles
Préfixe en
fonction
du site
ORS
BAY
SOP
BRU
Nature
(précédée d’un
tiret - )
SRV (serveur) ou
DMZ
(serveur
placé en DMZ) ou
CLT (poste client)
Type (précédé d’un tiret - )
Suffixe
(collé au
type)
Pour les serveurs : AD (Active Directory) Déterminé
ou EXCH (Exchange) ou FILES (Fichiers)…
par
un
Pour les clients en fonction de leur numéro
direction : DG (générale) ou DC…
« XXX »
33
MediaNetWork
Voici quelques exemples pour mieux comprendre en mettant en application le tableau ci-dessus :
 Pour un serveur Exchange situé à Orsay, dans la DMZ, il s’appellera donc : ORS-DMZ-EXCH1
(Serveur Exchange numéro 1 de la DMZ par exemple). Son FQDN4 sera donc : ORS-DMZEXCH1.vsn-aristote.lan
 Pour un poste client de la direction commerciale de Bayonne, il s’appellera donc : BAY-CLTDC32 (Poste numéro 32 par exemple). Son FQDN sera donc : BAY-CLT-DC32.vsn-aristote.lan
Ainsi, nous pouvons identifier rapidement les postes et leur emplacement.
1.14.4 Serveurs primaires et secondaires
Il ne doit y avoir qu’un et un seul serveur DNS primaire sur Aristote puisqu’il n’y a qu’un seul
domaine. Ce serveur primaire sera le serveur ORS-SRV-AD1 du cluster de contrôleurs de domaine
d’Orsay.
Les cinq autres contrôleurs de domaine auront eux des services DNS dits secondaires (y compris celui
de la DMZ, car les serveurs de la DMZ en ont besoin pourra localiser le contrôleur de domaine). Ceci
dans le but d’optimiser la bande passante des liens WAN et d’assurer la continuité des résolutions de
requêtes DNS même en cas de rupture d’un de ces liens sur un site quelconque (plus de précisions au
chapitre ci-dessous sur la configuration des clients).
1.14.5 Configuration des clients
Les clients se verront attribués les adresses IP des serveurs DNS grâce au serveur DHCP comme suit :
Site
DNS primaire
DNS secondaire
DNS alternatifs restants
Orsay
Bayonne
172.16.0.5
172.17.0.5
172.16.0.6
172.16.0.5
172.17.0.5 ; 172.18.0.5 ; 172.19.0.5
172.16.0.6 ; 172.18.0.5 ; 172.19.0.5
Sophia Antipolis
172.18.0.5
172.16.0.5
172.16.0.6 ; 172.17.0.5 ; 172.19.0.5
Bruxelles
172.19.0.5
172.16.0.5
172.16.0.6 ; 172.17.0.5 ; 172.18.0.5
Grâce à cette configuration, si l’un des serveurs DNS tombe hors service ou même si deux serveurs
s’arrêtent, la résolution des requêtes est prise en charge par le DNS secondaire ou un des DNS
alternatif si le secondaire ne répond pas. Les clients sont assurés d’avoir une réponse à toutes leurs
requêtes.
4
Fully Qualified Domain Name : Le nom complet DNS du poste
34
MediaNetWork
1.14.6 Schéma d’intégration
Sachant que les serveurs DNS sont intégrés à Active Directory, il n’y a une disparition du fichier
d’enregistrements DNS. En effet, tout est intégré dans l’annuaire Active Directory (le fichier
NTDS.DIT).
Par conséquent, il n’y aura aucun transfert de zone. Les mises à jour entre serveurs DNS se feront
grâce à la réplication bidirectionnelle sur le site d’Orsay (au niveau du cluster de contrôleurs de
domaine) mais également sur les sites de Bayonne et Bruxelles. Quant au site de Sophia-Antipolis,
celui-ci n’a qu’une réplication unidirectionnelle étant donné qu’il s’agit d’un RODC, il ne mettra donc
jamais à jour les autres serveurs DNS, mais il recevra les mises à jour depuis Orsay. Le
fonctionnement du DNS de la DMZ sera identique à celui de Sophia Antipolis pour cause de RODC
également.
Voici ci-dessous le schéma de l’architecture DNS :
Figure 11 - Schéma architecture DNS
35
MediaNetWork
1.15 Le service DHCP (Vincent Desseaux)
Dans le cadre de notre étude, il nous est demandé de mettre en place une solution permettant aux
stations du site d’obtenir via un serveur DHCP, leur configuration IP.
Conformément aux besoins énoncés par Aristote, il convient que ce service soit intégré sur les
serveurs d’infrastructure.
Dans cette partie d’étude, nous vous présenterons :




La fonction même de DHCP et les avantages qu’apporte cette solution
Le plan d’adressage mis en place pour Aristote sur chaque site.
Les différentes fonctionnalités qui y sont liées
L’intégration de ce service sur les serveurs d’infrastructure
1.15.2 Introduction
Le protocole IP suppose la pré-configuration de chaque ordinateur connecté au réseau avec les
paramètres TCP/IP adéquats, ce qu’on appelle plus communément l’adressage statique. Sur des
réseaux de grandes dimensions ou étendues, où les modifications du plan d’adressage interviennent
souvent, l’adressage statique engendre une lourde charge de maintenance et de nombreux risques
d’erreurs, notamment des conflits d’adressage.
DHCP (Dynamic Host Configuration Protocol) est un protocole réseau dont le rôle est d’assurer la
configuration automatique des paramètres IP d’une station, notamment en lui affectant
automatiquement une adresse IP et un masque de sous-réseau, il est l’extension même du protocole
BOOTP. Mais DHCP ne s’arrête pas là, il peut aussi configurer bon nombre d’options telles que
l’adresse de la passerelle par défaut, ou bien encore des serveurs de noms DNS. Les spécifications de
ce protocole sont définies par les RFC 2131 (Dynamic Host Configuration Protocol) et RFC 2132
(DHCP Options and BOOTP Vendor Extensions).
Dès lors qu’on met en place une infrastructure réseau de moyenne ou grande taille tel qu’un réseau
local d’entreprise, il est indispensable de s’appuyer sur DHCP pour attribuer les configurations IP des
stations. Elle permet une plus grande souplesse lors de la modification d’un paramètre commun à
toute les stations telle que l’adresse IP de la passerelle ou bien encore l’adresse IP d’un serveur de
nom DNS.
Dans un NOS Windows, cette fonction est réalisée dans une très majeure partie au moyen du service
DHCP proposé par les systèmes d’exploitation Windows Server. Etant le produit le plus largement
utilisé et étant fiable et robuste, nous ne reviendrons pas sur le choix de ce produit.
36
MediaNetWork
1.15.3 Présentation du plan d’adressage employé
Notre plan d’adressage IP a pour base les adresses privées de classe B (172.16.0.0/16 à
172.31.255.255/16). Afin que la solution reste évolutive, on se verra attribuer une adresse réseau de
classe B en utilisant le 2ème octet pour différencier chaque site. Seule la DMZ se verra attribuée d’un
espace d’adressage privé de classe A, à savoir le réseau 10.0.0.0/8. Ci-dessous un récapitulatif des
réseaux de chaque site à mettre en place.
Site
Orsay
Bayonne
Sophia Antipolis
Bruxelles
Itinérant
DMZ d’Orsay
Adresse Réseau
172.16.0.0
172.17.0.0
172.18.0.0
172.19.0.0
172.20.0.0
10.0.0.0
Masque de sous réseau
255.255.0.0
255.255.0.0
255.255.0.0
255.255.0.0
255.255.0.0
255.0.0.0
Afin de dissocier au mieux le flux de chaque service et d’organiser l’espace d’adressage, il est décidé
de créer des sous réseaux pour chaque site en fonction des directions. Nous utiliserons
intégralement le 3ème octet pour cet usage, ainsi le masque de sous réseau sera de 255.255.255.0
pour chaque direction de chaque site.
Sachant également que les sous réseaux mis en place pour un site sont sur le même réseau physique,
il convient de mettre en place également une politique de VLAN. Ce choix implique l’utilisation de
relais DHCP, dont nous verrons son utilité. Ci-dessous l’ensemble des sous réseaux que nous allons
déployer et l’affectation des N° de VLAN pour chaque site.
Type de direction
Serveurs
Générale
Administrative et
Financière
Commerciale et
Marketing
Etudes
Production
Adresse de sous
réseau
172.X.0.0/24
172.X.1.0/24
172.X.2.0/24
Vlan ID
Orsay
Vlan 2
Vlan 3
Vlan 4
Vlan ID
Bayonne
Vlan 102
Vlan 103
Vlan 104
Vlan ID Sophia
Antipolis
Vlan 202
Vlan 203
Vlan 204
Vlan ID
Bruxelles
Vlan 302
Vlan 303
Vlan 304
172.X.3.0/24
Vlan 5
Vlan 105
Vlan 205
Vlan 305
172.X.4.0/24
172.X.5.0/24
Vlan 6
Vlan 7
Vlan 106
Vlan 107
Vlan 206
Vlan 207
Vlan 306
Vlan 307
37
MediaNetWork
1.15.4 Présentation du service DHCP
DHCP fonctionne sur le modèle client-serveur : un serveur, qui détient la politique d'attribution des
configurations IP, envoie une configuration donnée pour une durée donnée, à un client donné.
Lorsqu'un client initialise un accès à un réseau TCP/IP, le processus d'obtention du bail IP se déroule
en 4 requêtes, à savoir les requêtes DHCP Discover, DHCP Offer, DHCP Request et DHCP ACK. DHCP
utilise le port UDP N°67 coté serveur, et le port UDP N°68 coté client.
Ci-joint en annexe de plus amples sur le Déroulement d’attribution d’une adresse par DHCP.
1.15.5 Les fonctionnalités liés à DHCP
Le relai DHCP
Les clients contactent les serveurs DHCP à l'aide d'une diffusion pour obtenir une configuration IP. Or
dans une architecture inter-réseau, nous devrions théoriquement installer un serveur DHCP par sousréseau, ce qui induit la multiplication d’un même service et par la même, du risque d’erreurs liées
aux configurations à mettre en place.
La RFC 3046 (DHCP Relay Agent Information Option) pallie à ce problème en intégrant une
spécification concernant la redirection des paquets DHCP vers un serveur se situant sur un réseau
logique distant. Cette fonction est de nos jours, et dans la majeure partie des cas, prise en charge par
les routeurs, ce que nous préconisons pour notre client Aristote. Cette fonctionnalité sera déployée
sur chaque site afin de relayer les requêtes clientes qui n’appartiennent pas au même Vlan que celui
affecté au(x) serveur(s).
La haute disponibilité et la répartition de charge
Depuis la version du système 2008 serveur, le service DHCP supporte le partage de charge
conformément à la RFC 3074 (DHC Load Balancing Algorithm). Cet algorithme permet :
 à plusieurs serveurs DHCP de répartir les adresses IP en fonction d'une stratégie de
distribution
 de mettre en place une stratégie de haute disponibilité
Par défaut, la technique pour assurer un partage de charge équitable repose sur un algorithme
permettant aux serveurs DHCP d'allouer une adresse en fonction de la parité de l'adresse MAC du
client. En effet, le premier serveur allouera une adresse IP si le résultat de l'adresse MAC est pair,
l'autre serveur le fera si le résultat est impair. Les deux services communiquent également entre eux
pour :
 informer des octrois de bail
 s’assurer du bon fonctionnement de chaque serveur
 se répartir les plages d’adresses pouvant être alloués
Si un serveur DHCP est en panne, le serveur qui reste opérationnel est averti de la défection de son
pair et stoppe le partage de charge, il répondra donc à toutes les requêtes clientes. Une fois le
serveur DHCP de nouveau disponible, l’algorithme de répartition et le partage de charge des
adresses reprennent leur court.
38
MediaNetWork
1.15.6 Architecture du serveur DHCP
Comme énoncé dans les contraintes d’Aristote, nous implémenterons un serveur DHCP sur chaque
serveur d’infrastructure, soit sur chaque contrôleur de domaine des sites. En ce qui concerne le site
d’Orsay, sachant que nous disposons de deux serveurs contenant Active Directory et, qu’avec ses 400
collaborateurs, il est le site le plus à même d’être confronté à de la montée en charge importante,
nous proposons d’effectuer du partage de charge sur les étendues de ce site.
Etant donné que le plan d’adressage ce compose de sous-réseaux délimités par des VLAN, il convient
de mettre en place un relai DHCP sur chaque site. Celle-ci sera intégrée sur un des routeurs de
chaque site.
En ce qui concerne les options de configuration, il convient de mettre en place les informations de
base et nécessaire à tout bon fonctionnement dans une architecture informatique d’entreprise. Le
tableau ci-dessous récapitule les paramètres requis pour le bon fonctionnement de chaque site, à
savoir les paramètres du routeur et des serveurs DNS employés.
Site
Orsay
Passerelle (X pour
chaque sousréseau)
172.16.X.254
Orsay : Réseau
Itinérant
Bayonne
172.20.X.254
Sophia
Antipolis
Bruxelles
172.18.X.254
172.17.X.254
172.19.X.254
DNS (par ordre de préférence)
172.16.0.5 ; 172.16.0.6 ; 172.17.0.5 ;
172.18.0.5 ; 172.19.0.5 ;
172.17.0.5 ; 172.16.0.5 ; 172.16.0.6 ;
172.18.0.5 ; 172.19.0.5 ;
172.18.0.5 ; 172.16.0.5 ; 172.16.0.6 ;
172.17.0.5 ; 172.19.0.5 ;
172.19.0.5 ; 172.16.0.5 ; 172.16.0.6 ;
172.17.0.5 ; 172.18.0.5 ;
Etendu
d’adressage
dynamique
172.16.X.50 à
172.16.X.200
172.20.X.50 à
172.20.X.200
172.17.X.50 à
172.17.X.200
172.18.X.50 à
172.18.X.200
172.19.X.50 à
172.19.X.200
D’autres paramètres peuvent être définit tel que le suffixe DNS à utiliser, à savoir dans notre cas
« vsn-aristote.lan », ou bien encore le serveur de temps (NTP) à utiliser pour la synchronisation de
l’horloge système.
39
MediaNetWork
2 Partie 2 : Mise en place de la solution réseau Microsoft
Windows
2.1 Partages de fichiers (Bastien Gayral)
2.1.1 Besoins du client
Il est demandé de s'appuyer sur les nouvelles technologies disponibles avec Windows Server pour la
gestion des partages et des serveurs de fichiers. Les dossiers personnels ainsi que les dossiers de
services disposeront d'un système de gestion de quota par répertoire ainsi que d'un système
permettant de filtrer les types de fichiers stockés dans ces répertoires.
En outre, l'analyse en matière de serveurs de fichiers fait apparaître deux types de besoins :
 Un partage de fichiers distribués permettant d'installer sur chaque site un répliqua des dossiers
partagés pour ce qui concerne les fichiers d'entreprises (modèles, documents qualités, processus
de ventes, etc...) ceci afin de permettre que chaque utilisateur d'un site puisse trouver sur son
site les documents désirés sans utilisation des liaisons WAN. Les dossiers des utilisateurs
nomades pourront être intégrés dans ce système de fichiers distribués. Ce système de fichiers
devra utiliser pour la réplication des données un mécanisme différent de celui utilisé par la
réplication Active Directory 2003.
 Un système permettant le partage d'informations et le travail d'équipe sur les documents. Ce
système devant être accessible facilement même au travers d'un lien WAN. Un système de ce
type devra être installé pour chaque direction (organisation de l'entreprise) dans chaque site.
2.1.2 Introduction
Le serveur et le partage de fichier sont des éléments essentiels dans une entreprise. Il est nécessaire
que ces ressources soit disponible à tout moment et depuis n’importe quel endroit. De plus, avec
l’arrivée de services de collaboration, le travail en équipe devient plus convivial et permet un gain de
temps considérable car il n’y plus de question de distance. Microsoft propose un produit dédié,
appelé Windows Storage Server.
2.1.3 Windows Storage Serveur
Présentation
Windows Storage Server est basé sur Windows Server 2008. Il est spécialement conçu pour la gestion
du stockage et du partage de fichiers. Il permet un rapide de 27% par rapport à Windows 2008
Server. Il propose de nombreuses fonctionnalités essentielles à votre installation.
SIS (Single Instance Storage)
Le service SIS libère automatiquement l’espace disque en supprimant les fichiers redondants sur le
serveur de fichier ce qui permet un gain de place à hauteur de 30%.
Partie 2 : Mise en place de la solution réseau Microsoft Windows
40
MediaNetWork
DFS (Distributed File System)
DFS (Distributed File System) est un système de fichiers logique. Il utilise des liens, appelés « espaces
de noms », qui servent à pointer sur des répertoires partagés disposés sur différents serveurs pour
permettre une meilleure gestion des partages. Ainsi les utilisateurs ne voient pas les répertoires
auquels ils n’ont pas accès. Les partages DFS peuvent être publiés en tant qu’objet volume dans
Active Directory et on peut en déléguer l’administration en utilisant le service Active Directoy. Les
Réplicas permettent de diminuer la charge réseau ainsi un utilisateur qui souhaite se connecter à un
partage, est automatiquement redirigé vers un des serveurs disponibles. Ceci permet en cas de
panne de disposer d’un serveur de secours.
Figure 12 Fonctionnement DFS
Contrairement à Active Directory 2003 qui utilisait le service de réplication de fichiers FRS, le
nouveau moteur de réplication DFS multimaître prend en charge la planification de la réplication et la
gestion de la bande passante. La réplication DFS utilise un nouvel algorithme de compression nommé
Remote Differential Compression (RDC). Cette technologie met à jour les fichiers sur les réseaux
longue distance à bande passante limitée en répliquant uniquement les modifications nécessaires.
File Server Resource Manager (FSRM)
La console File Server Ressource Manager est un composant logiciel configurable à partir d'une MMC
(Microsoft Management Console). Elle permet de s’informer sur la gestion du stockage des serveurs,
de gérer les emplacements de stockage à l’aide de rapports, d'appliquer des quotas sur des volumes
et des dossiers et de faire de la restriction de fichiers en fonction de son extension.
Windows Sharepoint Services (WSS)
L'application WSS 3.0 (Windows Sharepoint Services) de Microsoft est une extension gratuite de
Windows Storage Server. Elle permet le partage d'informations et le travail d’équipe à travers une
interface simple. Elle permet aux utilisateurs de déposer des articles, des liens ou tout autre
document et de collaborer ensemble sur leurs documents et les gérer eux-mêmes. Nous en parlerons
de façon plus approfondie dans le prochain chapitre « gestion du contenu de l’entreprise ».
41
MediaNetWork
Interopérabilité
Windows Storage Server 2008 R2 est doté d’une interopérabilité UNIX/Windows. Cette solution
prend en charge, en mode natif, les clients Linux et UNIX, authentifie les utilisateurs sur différentes
plateformes et partage les fichiers et les données sur plusieurs systèmes d'exploitation.
2.1.4 Serveur de fichiers
Un serveur de fichiers permet la centralisation et la gestion des données d’une entreprise. Windows
serveur 2008 R2 a un rôle prévu à cette fonctionnalité.
2.1.5 Choix du SAN (Storage Area Network)
Il existe trois technologies pour créer un réseau dédié au stockage :
 Fiber Channel est réputé performant mais cher. Elle est la plus mature et la plus ancienne des
technologies SAN et offre un débit de 4 Gbits/s. Mais elle est complexe à mettre en œuvre
 iSCSI est plus économique et offre de bonnes performances mais n'excède pas 1 Gbit/s
puisque qu'il repose sur du Gigabit Ethernet
 SAS (Serial Attached SCSI), créé il y a trois ans, il reste peu connu. Elle offre des débits de 3 à
12 Gbits/s mais il existe peu de commutateur
D’après ce comparatif, nous avons opté pour la technologie iSCSI qui est une technologie peu chère,
performante, évolutive et correspond parfaitement à vos besoins.
2.1.6 Volumétrie
Sur les serveurs de fichiers, nous ciblons principalement deux usages :
 Espaces partagés par direction
 Stockage des répertoires personnels des utilisateurs
Le premier est un usage régulier sur toute la journée, les utilisateurs consultant et utilisant les
documents de manière aléatoire.
Quand au deuxième usage, il est un peu plus complexe. En effet, on peut distinguer deux grosses
périodes de très forte charge, qui sont le matin à la connexion des utilisateurs et le soir à la
déconnexion. Pour prévoir ces montées en charge dans notre solution, nous recommandons un
serveur de fichiers Windows Server 2008 sur chacun des sites pour permettre la réplication de
fichiers DFS et une rapidité d’accès aux données de l’entreprise. Ces réplications seront faites le soir
entre 20h et 7h00 du matin pour optimiser la bande passante.
Nous avons défini des quotas de partages par service comme vous pouvez le voir dans le tableau cidessous.
Service
Quantité
5
Utilisateurs
1000
Espace alloué / répertoire
10 Go
2 Go avec 50Mo de rappel
Espace Total
50Go
500Go
42
MediaNetWork
Note : Cette définition des quotas par répertoire est théorique et peux à tout moment être modifiée
suivant les besoins des utilisateurs et des directions.
Avant toute chose, rappelons que les performances d’un serveur de fichiers sont principalement
impactées par le réseau et les disques.
Le tableau ci-dessous montre le pourcentage d’utilisateurs par site et par direction. Il nous permet de
déduire la volumétrie.
Voici une estimation de la volumétrie de vos données par site :
Site
Capacité estimé
Orsay
1,5To
Bayonne
1To
Bruxelles
1To
Sophia Antipolis
500 Go
Capacité conseillé
3To
2To
2To
1To
Nous conseillons de doubler la capacité estimée pour permettre une grande souplesse de la gestion
des fichiers et ainsi permettre à vos utilisateurs une capacité idéale pour travailler. Pour éviter la
perte de données, nous recommandons la technologie RAID 5 avec l’usage de cinq disques pour avoir
3 disques de spare permettant la défaillance de 2 disques simultanément.
2.1.7 Architecture
Compte tenu des besoins du client, nous proposons de mettre en place un serveur de fichiers
Windows Serveur 2008 avec un répliqua des données sur chaque site. Comme le site d’Orsay
concentre plus de la moitié des utilisateurs, nous placerons un cluster sur ce site afin de permettre
une haute disponibilité et une redondance des liens.
43
MediaNetWork
Figure 13 - Architecture de la solution préconisée
2.2 Estimation des coûts
Tous les prix indiqués sont une approximation des coûts réels et sont exprimés hors taxes. Nous
prenons en compte dans les coûts les 20 % d’augmentation d’employés de notre client pour les cinq
années à venir.
2.2.1 Coûts matériels et logiciels
Produit
HP ProLiant DL120
Windows Server 2008 R2 Entreprise
Windows Storage Server 2008 R2
SAN HP X1500 8To
Total
Prix unitaire
1 350 €
2000€
0
5000€
Nombre
3
3
0
2
Prix total
4050€
6 000 €
0
10000€
15000€
Windows Storage Server 2008 R2 n’est vendu qu’en appliance, son coût est compris dans l’achat de
la baie SAN de HP. Le coût des équipements et logiciels est de 15 K€.
44
MediaNetWork
2.3 Gestion de contenu de l’entreprise (Jérôme Delahaie)
2.3.1 Besoins du client
Le client Aristote nous a exprimé des besoins de gestion de contenu qui sont les suivants :
 Gestion de documents avec flux de travail de validation et de signature
 Gestion des enregistrements pouvant être des liens, des courriels ou des listes avec
possibilité de flux de travail
 Gestion des formulaires pour permettre l’intégration au flux de travail
 Gestion du contenu web
 Moteur de recherche et portail
 Scalabilité
2.3.2 Solutions disponibles sur le marché
Microsoft Office Sharepoint Server (MOSS)
Microsoft Office Sharepoint Server 2010 est une solution qui permet la gestion de contenu de
l’entreprise. Il permet la gestion du contenu web, la gestion des documents, la gestion des
formulaires et la gestion des sites personnels. Ce service s’articule autour de trois types de serveurs :
 Le serveur web
 Le serveur d’applications
 Le serveur de base de données
Cette solution a une très forte scalabilité. En effet, si le besoin évolue sur un certain type de serveur,
Office Sharepoint Server nous offre la possibilité d’ajouter des serveurs de ce type et ainsi constituer
une ferme de serveurs pour répondre à ce nouveau besoin.
Un autre point fort de cette solution réside dans le fait que le support Microsoft est très performant
et sur le marché de l’emploi il est plus simple de trouver quelqu’un ayant des compétences sur Office
Sharepoint Server et .NET. Cette facilité à trouver des ressources nous permettra de réduire les coûts
de maintenance en ayant la possibilité de faire jouer la concurrence.
Le point faible de cette solution est le coût matériel important. En effet, il est préconisé d’utiliser au
minimum trois machines physiques différentes pour chacun des services (web, applications et base
de données).
45
MediaNetWork
Open Text ECM Suite
Open Text ECM Suite est un outil de travail collaboratif historique sur le marché des ECM. Tout
comme MOSS, cet outil permet de prendre en charge tous les besoins de notre client Aristote. Le
schéma suivant permet de voir le principe de fonctionnement de cette solution :
Figure 14 - Schéma de fonctionnement d'Open Text ECM Suite
Comme on peut le voir sur le schéma cette solution s’articule autour de différents services :
 Open Text Enterprise Process Services : c’est la brique de gestion de flux de travail et de
gestion des processus métier
 Open Text Enterprise Library : c’est le référentiel qui permet la gouvernance et la gestion de
conformité de tous les types de contenus à l’échelle de l’entreprise.
 Open Text User Experience Services : permet de fournir un service homogène quelque soit le
moyen d’accès et d’utilisation du contenu (des portails, des interfaces web, des applications
bureautiques ou des appareils mobiles).
Cette solution peut s’adapter à un large contexte d’entreprise en termes d’architectures de
messagerie, de bases de données et d’applications métier.
IBM Enterprise Content Management
IBM Enterprise Content Management est l’outil de gestion de contenu d’entreprise d’IBM. Il permet
la gestion du contenu, des processus et de la conformité. Combiné à la solution FileNet, cet outil
permet la gestion de flux de travail. Malheureusement le besoin d’Aristote en matière de gestion du
contenu web n’est pas assuré par ce produit IBM. Cette solution est très fortement liée à Lotus Notes
qui n’est pas le système de messagerie que nous avons retenu.
46
MediaNetWork
EMC Documentum
EMC Documentum est la solution proposée par EMC (leader mondial du stockage) à la
problématique de gestion de contenu de l’entreprise. Cet outil permet de satisfaire tous les besoins
d’Aristote néanmoins, il nécessite la mise en place de serveurs n’étant pas sous environnement
Windows et il ne peut donc pas être retenu.
Oracle Content Management
Oracle Content Management est la solution proposée par Oracle pour la gestion de contenu de
l’entreprise. Ce produit répond parfaitement aux besoins d’Aristote mais il n’est pas disponible pour
des serveurs sous environnement Windows.
2.3.3 Solution retenue
Comme on a pu le constater le marché de la gestion de contenu est un marché très important, où de
nombreux acteurs se livrent une bataille sans merci. La solution que nous retenons dans le contexte
de cette MIR Windows est la solution proposée par Microsoft, Office Sharepoint Server 2010. Elle
nous permet de respecter les besoins d’Aristote tout en permettant une grande scalabilité et un coût
de maintenance moins élevé. La solution Open Text ECM Suite a été écartée car elle nécessite une
étude plus approfondie, irréalisable dans le temps imparti.
2.3.4 Architecture proposée
Windows Sharepoint Fundation et Office Sharepoint Server 2010
Microsoft Office Sharepoint Server (MOSS) s’appuie sur le remplaçant de Windows Sharepoint
Services (WSS) qui est Windows Sharepoint Fundation (WSF), pour fournir les fonctionnalités de
travail collaboratif et de gestion de contenu.
Le module Active Directory Rights Management Services (AD RMS) permet la gestion des droits
numériques par MOSS. Il est disponible sans coûts supplémentaires sur Windows Server 2008 R2.
Windows Sharepoint Foundation permet la mise en place de flux de travail mais nécessite une
connaissance approfondie en développement .NET.
Pré-requis matériel
Microsoft Office Sharepoint Server 2010 nécessite une machine dotée de la configuration matérielle
suivante :
 pour les serveurs web et les serveurs d’application
Composant
Processeur
Mémoire RAM
Espace disque
Minimum requis
4 cœurs en 64bits
8 Go
80 Go
47
MediaNetWork
 pour les serveurs de base de données
Composant
Processeur
Mémoire RAM
Espace disque
Minimum requis
4 ou 8 cœurs en 64bits
8 ou 16 Go
80 Go
Pré-requis logiciels
L’installation d’Office Sharepoint Server 2010 nécessite d’avoir installé la mise à jour KB979917 : QFE
for Sharepoint Issue. Ensuite, en exécutant l’outil de préparation, les éléments suivants seront
installés :












Web Server (IIS) rôle
Application Server rôle
Microsoft .NET Framework version 3.5 SP1
SQL Server 2008 Express with SP1
Microsoft Sync Framework Runtime v1.0 (x64)
Microsoft Filter Pack 2.0
Microsoft Chart Controls for the Microsoft .NET Framework 3.5
Windows PowerShell 2.0
SQL Server 2008 Native Client
Microsoft SQL Server 2008 Analysis Services ADOMD.NET
ADO.NET Data Services Update for .NET Framework 3.5 SP1
A hotfix for the .NET Framework 3.5 SP1 that provides a method to support token
authentication without transport security or message encryption in WCF.
 Windows Identity Foundation (WIF)
Architecture proposée
La recommandation est un serveur par type (web, application et base de données) pour une mise en
production. Ces serveurs seront installés en mode ferme, afin de pouvoir ajouter facilement de
nouveaux serveurs pour faire évoluer la solution en fonction des besoins futurs.
Afin de permettre une utilisation réduite de la bande passante des liens WAN, nous vous proposons
d’utiliser le modèle géo-localisé. Nous aurons donc des fermes sur le site d’Orsay et les clients
utiliseront le lien WAN, ou un VPN pour les nomades, pour accéder au service. La bande passante
sera réduite par rapport à une architecture répartie sur tous les sites, car les flux de
synchronisation/réplication entre les serveurs MOSS sont plus importants que les requêtes des
clients.
La mise en place d’un serveur MOSS en DMZ permettra aux clients nomades d’utiliser le service tout
en assurant la sécurité du service qui sera gérée par le pare-feu.
48
MediaNetWork
Orsay
Internet
Client
Nomade
Serveur
MOSS
DMZ
Client
Bruxelles
VPN
MPLS
Serveur
MOSS
Web
Serveur
SQL
Serveur
MOSS
d’applications
Client
Bayonne
Client
Sophia-Antipolis
Configuration
En version standard, MOSS gère les fonctionnalités suivantes :






Gestion des signatures
Validation de documents
Dématérialisation de documents
Création/Gestion de contenu web
Création/gestion du portail d’entreprise
Moteur de recherches
Pour bénéficier de la gestion de formulaires, il faut installer InfoPath. InfoPath permet à MOSS de
générer les formulaires dans le format XML pour les flux de travail lors de la gestion des signatures et
la validation des documents. L’Alernate Accès Mapping (AAM) permettra les redirections sur le parefeu.
Le rôle AD RMS doit être installé sur le serveur. Cela permettra d’activer les droits RMS dans le centre
de documents de Sharepoint. L’installation de MOSS nécessite également une mise à jour du schéma
Active Directory.
49
MediaNetWork
2.4 Système d’impression (Arnaud HAMON)
Tout d’abord, un haut niveau de confidentialité est demandé pour les données de la Direction
Générale et de la direction Marketing et Commerciale.
Puis, pour le système d’impression, il est demandé :
 De s’appuyer sur les nouvelles technologies disponibles avec Windows Server pour la
gestion des imprimantes et des serveurs d’impression
 Il est demandé d’implémenter la gestion de la localisation des imprimantes
Tout en sachant que la société cliente prévoit d’installer une imprimante laser réseau débit rapide
format A3, A4 par étage de bâtiment ainsi qu’une imprimante couleur format A3, A4, recto verso,
avec agrafage des documents, par bâtiment.
2.4.2 Introduction
Sur Windows Server 2008 R2, on peut partager des imprimantes sur un réseau et centraliser les
tâches de gestion des serveurs grâce au rôle de Gestion de l’impression.
2.4.3 Gestion des imprimantes et des serveurs d’impression
La Gestion de l’impression permet la gestion de plusieurs imprimantes et/ou serveurs d’impression.
Elle va permettre de:
 Migrer des imprimantes vers d’autres serveurs d’impression
 Surveiller les files d’attente à l’impression et de recevoir des notifications lorsque ces
files d’attente arrêtent de traiter les travaux d’impression
 Déployer des connexions à des imprimantes à l’aide d’une stratégie de groupe (GPO)
2.4.4 Implémentation de la gestion de la localisation des imprimantes
Afin de gérer la localisation des imprimantes, on va mettre en place une règle de nommage de celleci :
Site géographique (avec
le type d’objet : donc IMP
pour imprimante)
BAY-IMP
BRU-IMP
ORS-IMP
SOP-IMP
Le numéro de l’étage Le
modèle
de
(Précédé d’un tiret) l’imprimante (Précédé
d’un tiret)
0
LASER
1
COULEUR
2
(On les nommera ainsi vu
3
que les modèle ne nous
on pas encore été
communiqué)
Exemple : BAY-IMP-2-COULEUR
50
MediaNetWork
Grâce à cela, les utilisateurs comme les administrateurs localiseront les imprimantes.
Ensuite, le gestionnaire d’impression va permettre suite à l’installation d’une imprimante de la
répertorier dans l’active Directory. Ceci va permet aux utilisateurs de les localiser et les installer plus
facilement grâce à la mise en place de droits sur les différents imprimantes avec de gérer les
affichages pour les utilisateurs.
Pour finir, à partir de l’AD, on pourra installer les imprimantes à partir de stratégies de groupe. C’est
pourquoi, au cours de l’installation des imprimantes sur le serveur d’impression, il est conseillé
d’installer les pilotes 32 bits et 64 bits des imprimantes. De plus, si besoin est, il sera utile de mettre
en place le service Line Printer Daemon (installe et démarre le serveur d’impression TCP/IP, LPDSVC),
permettant aux ordinateurs UNIX ou à d’autres ordinateurs qui utilisent le service LPR (Line Printer
Remote) d’imprimer sur des imprimantes partagées sur ce serveur.
2.4.5 Architecture de la solution
Légende
Internet
= Serveur d’impression
Clients
= Clients
MPLS
Clients
ORS-SRV-IMP
Orsay
BAY-SRV-IMP
Clients
Bayonne
SOP-SRV-IMP
Clients
Sophia
Antipolis
BRU-SRV-IMP
Clients
Bruxelles
Figure 15 - Schéma de la solution d’impression
L’infrastructure aura un serveur d’impression sur chaque site afin de limiter l’utilisation de bande
passante entre les sites distant. Or, certains sites s’entendent sur 2, voir 3 bâtiments, mais la bande
passante étudiée durant la MIR Réseaux est amplement suffisante afin d’avoir un bon
fonctionnement au sein de chaque site du service d’impression.
Pré-requis
Comme on peut le voir sur le schéma de la solution globale, nous mettrons en place 4 serveurs
d’impression dont la configuration sera identique :
51
Hardware/Freeware
Système d’exploitation
Processeur
Mémoire
Espace Disque
MediaNetWork
Minimum
Windows Server 2008 R2
X64 2GHz (Windows Server 2008 R2 n’est
disponible quand version 64Bits)
4 Gb (Afin de supporter l’OS et la charge
susceptible d’avoir)
50 Go (Pour prendre en compte l’installation de
l’OS + les mises à jour + les pilotes des
imprimantes)
2.4.6 Coûts de la solution
Licences
Afin de mettre en place 4 serveurs d’impression, il faut acheter 4 licences Windows Server 2008 R2
Edition Standard coutant chacune 800 €. Aucun autre supplément de licences ou logiciel n’est
nécessaire pour mettre en place cette infrastructure.
Coûts de déploiement
Face aux pré-requis matériels des machines et à l’impact sur la production, une solution de
virtualisation de ces serveurs peut-être envisagée, réduisant ainsi les coûts matériels. Autrement, 4
serveurs d’une valeur de 1 000 € chacun doivent être à prévoir.
Pour la phase de déploiement, comprenant l’installation du serveur, l’intégration des imprimantes au
serveur, ainsi que la mise en place de droits, il faut compter 15H/Homme par serveur, soit un total de
60H/Homme.
Coûts liés à l’administration
L’administration de ce système d’impression est la migration d’imprimantes ou l’ajout de celle-ci ou
les droits de celle-ci, soit 2H/Homme par semaine pour l’administration de ce système.
Récapitulatif
Coût unitaire
Licence
Windows 800 €
Server 2008 R2 Edition
standard
Serveur
1 000 €
Installation complète 15H/Homme
d’un serveur
Quantité
4
Prix total
3 200 €
4
4
4 000 €
60H
52
MediaNetWork
2.5 Système de messagerie et de communications (Rudy Promé)
Avant de démarrer l’étude de l’architecture de messagerie, il est nécessaire de rappeler les besoins
de notre client Aristote afin que les propositions des outils et logiciels à mettre en œuvre soient
cohérentes.
Il faudra donc être en mesure d’assurer le bon fonctionnement des points suivants :
 Intégration de l’architecture de messagerie dans l’organisation informatique et dans
l’interface des utilisateurs
 Gestion des agendas
 Gestion des contacts personnels
 Gestion des tâches
 Gestion des réunions (en fonction des plannings des invités et des ressources disponibles)
 Possibilité de créer des zones de stockages de message accessibles à certaines personnes
autorisées avec une gestion du cycle de vie
 Réception des messages téléphoniques et des télécopies dans les boîtes aux lettres
(messagerie unifiée)
 Intégration d’un système de communication en temps réel
 Possibilité d’organiser du travail collaboratif et du partage d’application
 Un accès aux messages et au travail collaboratif simple depuis n’importe quel endroit à
l’aide :
 D’un client de messagerie lourd sur les postes utilisateurs (fixes et portables)
 D’un accès depuis l’extérieur de l’entreprise via un navigateur Web (pour les postes
n’appartenant pas à l’entreprise, donc des postes quelconques connectés à Internet)
 D’un accès également depuis un Smartphone ou PDA
Le tout se doit évidemment d’être sécurisé, d’avoir une haute disponibilité et la distribution des
courriers immédiate.
2.5.2 Choix du serveur de messagerie
Nous ne reviendrons pas sur un comparatif de produit très complet étant donné que nous l’avions
déjà effectué lors de l’étude de votre architecture de messagerie en MIR 3. Toutefois, vous pouvez
5
vous référer à l’annexe « comparatif des serveurs de messagerie » pour comprendre comment nous
avons procéder dans nos choix.
Nous mettrons en place une solution basée sur Microsoft Exchange Server 2010. Pour rappel, il met à
disposition de tous les utilisateurs, une boîte de messagerie, un calendrier et un agenda. La
messagerie unifiée est également présente. Les messages sont accessibles à distance depuis
n’importe où, même depuis la passerelle Internet. Toutes ces fonctions de base sont nécessaires
pour notre client.
5
Annexe « comparatif des serveurs de messagerie » dans architecture de messagerie et de
travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport
53
MediaNetWork
D’un point de vue sécurité, l’envoi et la réception de mail sont cryptés grâce à SSL afin d’assurer la
confidentialité. La haute disponibilité est assurée grâce à une réplication des bases de données avec
la technologie DAG (Data Availability Group).
Quant à son administration, elle se veut centralisée dans une console de gestion dite EMC (Exchange
Management Console) qui exécute des commandes PowerShell en arrière plan.
Nous répondons ainsi déjà à un grand nombre de pré requis sur l’architecture de messagerie de
notre client.
En annexe « Règles de la messagerie pour les utilisateurs6 », vous trouvez plusieurs informations
complémentaires notamment le plan de nommage des comptes utilisateurs ainsi que les quotas des
mails autorisés par direction.
2.5.3 Implémentation des rôles Exchange
Le produit de Microsoft a une méthode de fonctionnement bien spécifique. Celui-ci se caractérise
par cinq rôles qui sont :





Mailbox (sur une machine membre du domaine)
Transport EDGE (sur une machine non-membre du domaine, à placer dans la DMZ)
Transport HUB (sur une machine membre du domaine)
Accès Client (CAS) (sur une machine membre du domaine)
Messagerie Unifiée (UM) (sur une machine membre du domaine)
Le tableau ci-dessous va décrire de façon synthétique ces différents rôles ainsi que leur emplacement
au sein de l’architecture d’Aristote :
Rôles
Mailbox
Transporteur EDGE
Transporteur HUB
Explications
Héberge toutes les boîtes aux lettres et
dossiers publics. Mais ne gère pas le
transport des messages, elle a besoin d’un
serveur de transport HUB
Assure tous les échanges de mails sortants
ou entrants du réseau interne, c’est une
passerelle SMTP
Inclut un anti-spam, gère les règles de
répudiations et le filtrage de contenu
Tous les courriers électroniques doivent
passés par ce serveur afin d’être délivrés (y
compris les courriers locaux), car ce rôle
permet le routage des messages, la
conversion des formats si nécessaire et la
journalisation
Les flux internes sont chiffrés par TLS
Il intègre également un anti-spam
Emplacement
Présentes sur les quatre sites
Cependant la Mailbox d’Orsay
sera installée en cluster pour
assurer une haute disponibilité
Présent uniquement dans la
DMZ d’Orsay
Seront installés sur les quatre
sites afin qu’il n’y ait pas de
surcharges de flux sur les
réseaux
WAN
pour
les
messages
inter-sites.
Plus
exactement
ils
seront
implantés sur les mêmes
serveurs que les Mailbox et
ainsi en cluster sur le site
d’Orsay
6
Annexe « Règles de la messagerie pour les utilisateurs » dans architecture de messagerie et
de travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport
54
Accès Client (CAS)
Messagerie Unifiée (UM)
MediaNetWork
Sert de passerelle à tous les clients non
MAPI (qui proviennent d’Outlook Web
Access (dorénavant Outlook Web App),
d’ActiveSync, d’Outlook Anywhere, des
protocoles POP3 et IMAP4)
Stocke au même emplacement les emails,
fax et les messages vocaux de façon unifiée
depuis un client Outlook ou un mobile
Offre des fonctions de répondeur
téléphonique, de réception des fax et
l’utilisation d’Outlook Voice Access
Présents sur tous les sites
également, sur le même
serveur que les Mailbox et
transporteurs HUB. Donc en
cluster sur le site d’Orsay
Nécessitant une forte bande
passante, les serveurs UM
seront eux aussi présents sur
tous les sites d’Aristote
Tous les Exchange 2010 nécessaires seront installés physiquement sur des serveurs HP ProLiant DL120
et aucun ne seront virtualisés.
2.5.4 Application cliente de messagerie
Les postes de notre client seront équipés du client lourd Microsoft Outlook 2010. Etant donné qu’il
s’agit du client de messagerie officiel de Microsoft, la cohabitation se fera sans aucune difficulté.
Il intègre tout ce qui est nécessaire aux collaborateurs : les agendas, contacts, la messagerie. Et le
tout se synchronise parfaitement à Exchange Server 2010, c'est-à-dire que toute modification d’un
planning, d’une tâche ou d’un contact effectué sur un client Outlook se verra synchronisée vers les
serveurs Exchange.
Les mails se synchronisent en natif avec le protocole propriétaire d’Exchange, sans passer par les
protocoles POP, IMAP et SMTP. Ceux-ci sont donc chiffrés.
Il fonctionne également en adéquation avec Communicator, ce qui permet de voir le statut des
contacts en temps réel et est compatible avec SharePoint.
Il dispose de plus d’une interface très claire et intuitive afin de favoriser une utilisation rapide et
efficace pour les utilisateurs.
2.5.5 Synchronisation des appareils mobiles
La synchronisation des appareils mobiles se fera à l’aide d’ActiveSync (Plus de détails en fonction du
type de mobile en annexe)7. Il permet la synchronisation des messages, des agendas, des calendriers
et des contacts en temps réel.
Celui-ci est inclus dans Microsoft Exchange Server 2010 et ne nécessite en aucun cas l’achat de
licences supplémentaires.
ActiveSync est requis sur le serveur Exchange pour les configurations de tous les terminaux.
7
Annexe « Synchronisation des appareils mobiles » dans architecture de messagerie et de
travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport
55
MediaNetWork
2.6 Haute disponibilité (Rudy Promé)
2.6.1 Introduction
Exchange 2010 va nous permettre d’assurer une sécurité au niveau des Mailbox grâce à sa fonction
DAG8 (Database Availability Group) sans avoir à utiliser à proprement dit un cluster Microsoft. Etant
lié aux Mailbox, il se met en place sur toutes les machines qui en contiennent le rôle (donc sur tous
nos serveurs Exchange à l’exception de celui dans la DMZ).
Nous devons donc garantir notamment les points suivants :
 Chaque utilisateur de chaque site doit accéder à ses emails même en cas de rupture du lien
MPLS avec le siège
 Limiter la consommation en termes de bande passante
 Un système fonctionnel même en cas de crash d’un serveur
2.6.2 Partage de charge
Concernant l’utilisation des CAS, nous envisageons une répartition de charge matérielle. Celle-ci
fonctionnant sur une base de NAT inversée, le principe est d’envoyer tous les flux réseaux vers une IP
virtuelle qui va se charger via une translation d’adresse de rediriger les données vers un membre du
cluster.
Ainsi nous aurions des utilisateurs qui iraient récupérer leurs emails à l’adresse 10.10.10.10, cette
demande serait ensuite redirigée dynamiquement vers soit le serveur1 (10.10.10.11) soit le serveur2
(10.10.10.12).
2.6.3 Gestion des bases de données d’Exchange
Combien de bases de données ?
Afin de défragmenter les bases de données de mails plus rapidement et de regrouper ensemble les
bases des utilisateurs ayant des quotas de mails journaliers identiques et des boîtes mails de même
taille, nous allons créer cinq bases de données. Soit, une par direction d’Aristote :





Direction Générale (DB-1)
Direction Administrative et Financière (DB-2)
Direction Commerciale et Marketing (DB-3)
Direction Etude (DB-4)
Direction Production (DB-5)
8
Pour plus de détails sur le DAG, voir l’annexe « Principe du fonctionnement du DAG » dans architecture de messagerie et
de travail collaboratif (Bastien Gayral et Rudy Promé) en fin de rapport
56
MediaNetWork
Répartition des bases de données suivant les Mailbox d’Aristote
Dernier point, la répartition et le nombre de serveurs dans l’architecture logique globale a été
déterminé de la manière suivante :
Figure 16 - Architecture logique Exchange CAS/DAG
Attention, il s’agit ici d’une représentation logique, en réalité, les services CAS et DAG d’un site
seront sur une même machine physique.
Nous préconisons ainsi de mettre en place des serveurs Exchange sur chaque site pour deux raisons :
 Une meilleure gestion des flux réseau (et ainsi une économie en bade passante)
 Réduction des effets de latences lors de la synchronisation des clients (type Outlook)
De plus en ayant choisi de créer une base de données par direction, chaque serveur aura une base
active (représentée en vert sur le schéma ci-dessus). Ce qui nous permettra d’associer une base
active à la direction la plus représenté (en nombre d’utilisateurs) pour un site. Par conséquent :
 les deux serveurs d’Orsay auront pour bases actives la direction Commerciale et Marketing et
la direction Etude
 le serveur de Sophia Antipolis aura la base de la direction Administrative et Financière
 le serveur de Bayonne aura la base active de la direction Générale
 le serveur de Bruxelles aura la base active de la direction Production
Nous avons donc au travers de cette architecture, garantie la pérennité de l’information mail ainsi
que la haute disponibilité pour les utilisateurs.
57
MediaNetWork
2.7 Messagerie collaborative (Bastien Gayral)
2.7.1 Microsoft Office Communications Server 2007
Présentation
Microsoft Office Communications Server (OCS) 2007 est un produit qui intègre des moyens de
communication en temps réel. Cette solution est conforme à vos besoins puisqu’elle permet :




la détection de la présence des utilisateurs
la conférence Web (partage de données, audio et vidéo)
la messagerie instantanée et les conversations audio/vidéo
l'intégration d'utilisateurs distants
Une nouvelle version d’OCS est sortie en septembre dernier, appelée OCS Lync. Nous ne
recommandons pas ce produit car il n’apporte pas de nouveautés supplémentaires pour les besoins
de votre entreprise. De plus, ce produit est très récent donc nous préférons nous baser sur un
produit sûr et qui a déjà fait ses preuves avec le temps.
Détection de présence
La présence est un rôle important en entreprise. Elle permet à un utilisateur de savoir à l’avance si
l’utilisateur distant est prêt à communiquer. Ces informations de présence sont définies
automatiquement en fonction de votre calendrier Outlook, de vos activités sur votre ordinateur ou
de vos appels en cours.
Conférence Web
Ce terme recouvre des applications de travail collaboratif en temps réel accessibles au travers du
navigateur. L'organisateur a besoin d'un logiciel client spécifique. Il peut préparer une réunion
virtuelle, ce qui consiste à lancer des invitations et envoyer des documents et questionnaires (afin de
réaliser des sondages). Il pourra modérer la réunion en contrôlant les interventions ou l'affichage des
documents présentés.
Les principales fonctionnalités sont :





le partage de documents, de tableaux blancs, de tableurs ou de présentations…
la prise de contrôle à distance
la messagerie instantanée
la réalisation de sondages
l’enregistrement des réunions (envoyé à chaque participant)
Messagerie instantanée et conférence Audio/Vidéo/Data
Avec le client Communicator, vos utilisateurs ont la possibilité de communiquer en temps réel entre
eux. Vos collaborateurs peuvent avoir une conversation, effectuer de la vidéo et/ou simplement
discuter.
58
MediaNetWork
Accès client
Microsoft Office Communication Server 2010 supporte quatre clients de messagerie instantanée et
de collaboration de données et audio/vidéo pour les utilisateurs internes et externes : - Microsoft
Office Communicator 2007 - Microsoft Client Office Live Meeting - Microsoft Web Communicator
2007 - Microsoft Mobile Communicator 2007
Office Communicator
Microsoft Office Communicator 2007 R2 est le principal logiciel client pour Office Communications
Server 2007 R2. Office Communicator prend en charge l'envoi et la réception d'appels, des
fonctionnalités de présence, de messagerie instantanée et de conférence.
Client Office Live Meeting
Le client Microsoft Office Live Meeting est un client de collaboration de données et audio/vidéo (A/V)
pour Office Communications Server et le service Microsoft Live Meeting hébergé. Il permet aux
utilisateurs de participer à des réunions.
Communicator Web Access 2007 R2
Office Communicator Web-Access 2007 (OWA) est une application cliente pour OCS. Il est possible de
l’utiliser à partir de n’importe quel navigateur web et sur tous les systèmes d’exploitation. En
utilisant Office Communicator Web Access 2007, vous pouvez accéder aux fonctionnalités de
messagerie instantanée, tout en disposant des notions de présence des utilisateurs.
L’avantage est qu’il n’est pas nécessaire d’avoir un logiciel client approprié ou une connexion VPN.
Les utilisateurs peuvent se connecter à OWA à l’intérieur de la société ou en dehors. Pour cela, ils
doivent indiquer l’adresse URL du serveur Office Communications Server qui lui fournit le service
Web Access approprié.
2.7.2 Conclusion
Cet outil va améliorer le travail d’équipe de vos utilisateurs en permettant la réalisation de
conférence, de réunion audio et/ou vidéo de plusieurs collaborateurs distants simultanément et de
n’importe où. De plus, la messagerie instantanée apporte un gain de temps dans la recherche
d’information entre utilisateurs. OSC a été développé pour tout ces besoins et s’adapter facilement à
une installation.
59
MediaNetWork
2.7.3 Architecture mise en place
Office Communication Server 2007 est constitué d’un grand nombre de rôles. Les rôles Active
Directory, SQL et le serveur frontal sont les trois rôles indispensables dans une architecture OCS.
Nous allons détailler chaque rôle l’un à la suite de l’autre afin de mieux appréhender cette
infrastructure Office Communications Server 2007.
 Serveur Frontal : ce serveur gère la connexion des utilisateurs à OCS, l’initialisation des
communications et le suivi des états de présence
 SQL : le serveur SQL stocke l’état des utilisateurs, les planifications et la configuration d’OCS
 Directeur : permet l’authentification des utilisateurs externes
 Serveur Edge d’accès : ce rôle, placé dans la DMZ, permet de donner accès à l’infrastructure
aux utilisateurs ne figurant pas à l’intérieur de la société. Grâce à ce rôle, il n’est plus
nécessaire de monter un réseau VPN pour se connecter
 Serveur Edge de conférence web : ce rôle s’installe également dans la DMZ de l’entreprise. Il
permet de faire transiter le trafic des conférences web
 Serveur Edge de conférence A/V : ce rôle est identique au précédent, mais gère les
informations vidéo et audio
 Serveur Communicator Web Access : ce rôle permet à des utilisateurs d’OCS de se connecter
à partir d’un navigateur web et d’ainsi disposer des fonctions de messagerie instantanée,
comme si la personne disposait du programme Office Communicator
La plate-forme que nous mettrons en place reposera uniquement sur des serveurs Windows 2008 R2.
Vos utilisateurs seront équipés :
 de la messagerie instantanée avec le client Office Communicator
 du client Office Live Meeting pour la collaboration de données et audio/vidéo
 pour les utilisateurs externes ou mobiles des clients Communicator Web-Access 2007 et
Communicator Mobile
Pour mettre en œuvre cette infrastructure, nous mettrons en place un serveur OCS 2007 R2 sur
chaque site et un serveur OCS avec les rôles Edge d’accès, de conférences web et de conférence
Audio/Vidéo dans la DMZ d’Orsay
Nous choisissons l’édition Edition Enterprise car l'édition standard est adaptée à une maquette et la
version Enterprise est adaptée à grande échelle.
60
MediaNetWork
2.8 Schéma physique d’intégration (Rudy Promé)
Voici le schéma physique d’intégration de toute l’architecture de messagerie et de travail collaboratif
regroupant toutes les informations :
Figure 17 - Schéma d'intégration architecture de messagerie et de travail collaboratif
Légende :







EDGE : Transporteurs EDGE
HUB : Transporteurs HUB
MAILBOX : Boîtes aux lettres
CAS : Serveurs d’accès clients
UM : Serveurs de messagerie unifiée
AD : Contrôleurs de domaine (Cluster sur Orsay)
OCS : Serveurs Office Communications Server
PC Client : Postes des collaborateurs équipés d’Outlook 2010 et Communicator
(Tous les serveurs nécessaires à OCS ne sont pas représentés sur ce schéma pour des questions de
lisibilités)
61
2.9
MediaNetWork
Estimation des coûts (Bastien Gayral et Rudy Promé)
Tous les prix indiqués sont une approximation des coûts réels et sont exprimés hors taxes. Nous
prenons en compte dans les coûts les 20 % d’augmentation d’employés de notre client pour les cinq
années à venir.
2.9.1 Coûts matériels et logiciels
Produit
Microsoft Exchange Server 2010
Exchange Client Access
HP ProLiant DL120
Microsoft OCS 2007 R2 Enterprise Edition
Licences OCS clients
Passerelles Dialogic Media Gateway
Total
Prix unitaire
2 500 €
50 €
1 350 €
2 800 €
100 €
1 000 €
Nombre
10
1 000
15
5
1 000
4
Prix total
10 000 €
50 000 €
20250 €
14000 €
100 000 €
4 000 €
198 250 €
Le coût des équipements et logiciels est de 198 K€.
2.9.2 Coûts humains
Pour le bon fonctionnement de votre réseau et pour éviter des coupures ou des pertes de données,
nous allons planifier deux types d’intervenant :
 Des techniciens qui s’occuperont des résolutions des incidents et du déploiement des postes
de vos utilisateurs
 Des administrateurs sur chaque site pour la mise en œuvre de la solution retenue.
Nombre d'utilisateurs
Nombre de techniciens
Nombre d'administrateurs
Orsay
400
4
2
Bayonne
180
2
1
Sophia
80
1
1
Bruxelles
160
2
1
Total
820
9
5
Le coût d’un technicien est évalué à 1 500 € et le coût d’un administrateur à 2 000 € mensuel. Le total
des coûts humains s’élève à 94 K€ l’année.
Nous estimons cette solution d’architecture de messagerie et de travail collaboratif à un coût
d’environ 294 K€ hors taxes.
62
MediaNetWork
2.10 Applications métiers (Arnaud HAMON)
Sachant que ces applications pourront être à la fois utilisées à l’intérieur comme à l’extérieur
de l’entreprise (et cela en toute sécurité), le client souhaite que les applications métiers ne soient pas
déployées localement sur les postes client. Il attend qu’on lui propose une architecture permettant
de répondre à ses besoins.
2.10.2 Introduction
Etant donné les attentes du client, une solution centralisée des applications métiers avec des
accès pour chaque utilisateur correspond à ce qu’il recherche. Pour cela, on utilisera le rôle Remote
Desktop Services sur Windows Server 2008 R2 permettant le partage et la gestion d’applications et
de bureaux à distance.
2.10.3 Présentation de la solution
Dans la solution Remote Desktop Services, 2 rôles vont être utilisés :
 Remote Desktop Session Host permet aux utilisateurs d’ouvrir des bureaux à distance
afin de lancer des applications, sauvegarder des fichiers et avoir accès aux ressources du
réseau
 Remote Desktop Web Access permet de mettre un accès WEB sur lequel les utilisateurs
vont pouvoir s’authentifier et lancer des applications sans qu’il soit installé ou qu’ils aient
à installer les applications sur leur machine local, ou bien d’ouvrir un bureau à distance
Tout d’abord, il faut indiquer que :

chaque utilisateur aura un partage réseau individuel et un partage réseau pour sa
direction
 Un VPN sera mis en place pour les utilisateurs nomades
Grâce à ces 2 rôles, on va pouvoir mettre en place un portail WEB (https://serverRD/RDweb ) basé
sur IIS. Celui-ci sera accessible en interne et par le VPN qui pourra être mis en place par les
utilisateurs nomades. Le rôle Remote Desktop Web Access va permettre de publier les applications
métiers tel que la chaîne Office (Word, Excel, PowerPoint, Visio, Project) tout en gardant l’avantage
de ne pas à installer le logiciel sur les machines clientes ou bien donner la possibilité d’ouvrir une
session de Bureau à distance. L’autre le rôle (Remote Desktop Session Host) est indispensable, car
c’est lui qui va gérer les ouvertures Remote Desktop pour les applications et les bureaux à distance
ainsi que les droits RemoteApp afin que les utilisateurs puissent utiliser et voir sur le portail WEB
leurs applications métiers en fonction de leur direction ou spécificité métier. A ce moment là, ce sera
au choix de l’utilisateur d’utiliser simplement l’application métier dont il a besoin ou d’ouvrir une
session Remote Desktop Protocol (RDP).
63
MediaNetWork
Etant dans les 2 cas une session RDP, l’utilisateur aura donc accès à ses partages de fichiers :
 Pour le bureau à distance, il aura directement accès aux partages
 Lorsqu’il utilisera simplement une application, pour ouvrir ou sauvegarder un fichier, il aura
accès à ces partages et dossiers distants et non aux documents de la machine locale
 Et l’utilisation d’un VPN, par les utilisateurs nomades, rendra sécurisé l’utilisation des
applications.
2.10.4 Architecture de la solution
Légende
Internet
Clients
= Serveur d’applications
Clients
nomades
= Client interne ou nomade
MPLS
ORS-SRV-APPS
Orsay
BAY-SRV-APPS
Clients
Bayonne
SOP-SRV-APPS
Clients
Sophia
Antipolis
BRU-SRV-APPS
Clients
Bruxelles
Figure 18 - Schéma de la solution d’applications métiers
Tout d’abord, le premier choix fut de ne pas centraliser en un seul et unique site le serveur
d’applications. Ce choix s’explique par l’utilisation de la bande passante pour faire du RDP, soit 64
Kbits/s minimum, 128Kbits/s afin d’avoir théoriquement des performances correctes, tout en
sachant que ce sont les valeurs pour l’upload du serveur d’applications. Effectivement, les liens SDSL
MPLS qui ont été choisis au cours de la MIR Réseau et même si aujourd’hui, on choisissait de les
upgrader, cela ne suffirait pas en terme de débit pour que les utilisateurs des sites distants puissent
communiquer correctement avec le serveur.
Ensuite, il a été fait comme choix de ne pas dédier un serveur pour les clients nomades mais de les
faire se diriger vers le serveur d’Orsay, afin de ne pas traverser le réseau MPLS.
Puis, la possibilité de réduire le nombre de serveurs et de ne mettre que 2 ou 3 serveurs au lieu de 4
pouvait être envisagé, seulement, les besoins en ressources matérielles sont telles, qu’il est
préférable de répartir la charge, ce que l’on va étudier dans le chapitre suivant qui concerne les prérequis.
64
MediaNetWork
Pré-requis
L’objectif ici, est d’évaluer la mémoire physique nécessaire à chaque serveur afin d’assurer un service
correcte. Prenons en compte dans les calculs les 20% d’augmentation d’effectif) et 50% des
utilisateurs utilisent leurs applications métiers en même temps. De plus, une session RDP nécessite
environ 300 Mo de mémoire sur le serveur.
Eléments
Orsay
(480 Bayonne (216 Sophia
Bruxelles (192
consommateurs collaborateurs) collaborateurs) Antipolis
(96 collaborateurs)
de Mémoire de
collaborateurs)
RAM
Système
1Go
1Go
1Go
1Go
d’exploitation
(Windows Server
2008 R2)
Applications
3Go
3Go
3Go
3Go
métier
(Suite
Office)
RDP
240*300Mo =
108*300Mo=
48*300Mo= 15Go 96*300Mo= 29Go
72Go
32Go
Total de mémoire
76Go
36Go
20Go
34Go
nécessaire
Configuration de la machine sur lequel on adaptera la mémoire physique en fonction du site
Hardware/Freeware
Système d’exploitation
Processeur
Mémoire
Espace Disque
Minimum
X64 2GHz (Windows Server 2008 R2 n’est disponible quand version
64Bits)
Se référencer au tableau au dessus.
500 Go (Pour prendre en compte l’installation de l’OS + les mises à jour +
les applications)
65
MediaNetWork
Licences
Afin de mettre en place 4 serveurs d’applications, il faut acheter 4 licences Windows Server 2008 R2
Edition Entreprise coûtant chacune 2800€. Il faudra voir avec Microsoft afin d’obtenir 500 Licences
RDP.
Face aux pré-requis matériels des machines et à l’impact sur la production, une solution de serveurs
physiques sera mis en place.
Pour la phase de déploiement, comprenant l’installation du serveur, l’installation des applications
métiers, ainsi que la mise en place de droits, il faut compter 35H/Homme par serveur, soit un total de
140H/Homme.
L’administration de ce système est en autre, la mise à jour des applications métiers, des droits
utilisateurs, soit 5H/Homme par semaine pour l’administration de ce système.
Récapitulatif
Licence
Windows
Entreprise
Serveur
Installation complète
d’un serveur
Coût unitaire
2800€
Quantité
4
Prix total
11200€
1000€
35H/Homme
4
4
4000€
140H
66
MediaNetWork
3 Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
3.1 Introduction
Le premier objectif est la mise en place d'un accès Internet plus fluide et tout en contrôlant les accès
des utilisateurs (utilisateur autorisé ou non). De plus, il serait souhaitable, si l'architecture le permet,
qu'un système de sauvegarde des liens WAN soit disponible au travers d'Internet. Cet accès devra
permettre aux utilisateurs nomades d'accéder aux services définis dans la partie 2 depuis les moyens
extérieurs spécifiés (cybercafé, domicile, poste nomade, téléphone mobile, ...)
Le second objectif est l'implémentation d'une solution de mise à jour automatique de correctifs de
sécurité sans intervention des utilisateurs et cela le plus rapidement possible tout en permettant la
validation de ces correctifs par les administrateurs. Cette fonctionnalité pourra être couplée avec la
partie 4, le cas échéant.
Le troisième objectif est la mise en place d'une solution intranet/extranet générale couvrant
l'ensemble de l'entreprise. Cet Extranet devra être seulement accessible de l'extérieur de l'entreprise
aux collaborateurs uniquement avec un très haut degré de sécurité (aucune saisie d'un compte et
d'un mot de passe). Il aura pour cible le système de gestion de contenu d'entreprise (E.C.M.) défini
plus haut.
3.2 Exigences
L'entreprise cliente a choisi la mise en place d'un système proxy et pare feu (y compris couche OSI 7
avec filtres applicatifs).
Il n'est pas souhaitable qu'un client nomade ait à mettre en place une quelconque connexion autre
qu'un simple accès Internet pour pouvoir se connecter aux services de l'entreprise.
En cas d'oubli, un utilisateur pourra, depuis un poste connecté au réseau Internet non géré (IE
considéré comme potentiellement dangereux) ou un téléphone portable, accéder simplement en
lecture seulement à ses documents personnels ou au contenu des sites d'équipe dont il fait partie.
3.3 Comparatif de produits
3.3.1 ISA Serveur 2006
ISA Serveur 2006 est une passerelle de sécurité de Microsoft. C’est un produit réputé et mature qui à
su se mettre à jour au fil du temps.
Les principales fonctionnalités d’ISA Server 2006 sont:






Pare-feu avec filtrage applicatif
Fonction de reverse proxy et publication web interne
Gestion du trafic SSL
Authentification extensible
Prise en charge du réseau privé virtuel (VPN) avec gestion de la quarantaine
Règles détaillées pour la gestion du trafic et le respect des stratégies
Partie 3: Utilisation de l'accès Internet (Bastien Gayral)
67
MediaNetWork
 Assistant de configuration et de publication des serveurs applicatifs (messagerie, portail)
 Cache web.
3.3.2 Forefront TMG (Threat Management Gateway)
Forefront Threat Management Gateway dispose de toutes les fonctionnalités de son successeur, Isa
Serveur et apporte d’importantes évolutions.





Déploiement et administration
Filtrage d’URL
Inspection du trafic sortant HTTPS
Support du protocole de VPN SSL Secure Socket Tunneling Protocol (SSTP)
Intégration avec l’offre Forefront Protection Suite (nom de code « Stirling ») avec le support
de la technologie SAS (Security Assessment Sharing)
Forefront TMG est la solution pare-feu la plus adaptée à votre l’entreprise L’inspection HTTPS est
devenue indispensable dans le domaine de la sécurité informatique. Outre les nombreuses
fonctionnalités que cette solution propose, elle est optimisée pour sécuriser les derniers produits de
Microsoft tels que vos serveurs de messagerie, Exchange 2010 et OCS 2007 R2 et vos serveurs de
gestion de contenu, SharePoint 2010.
3.4 Microsoft Forefront Threat Management Gateway
Comme nous l’avons vu dans le comparatif, Forefront TMG est une passerelle de sécurité possédant
de nombreuses fonctionnalités de protection contre les attaques provenant d’Internet. Nous allons
présenter dans cette partie les fonctionnalités nécessaires aux besoins du client.
3.4.1 Pare-feu
Forefront reprend les mêmes fonctionnalités qu’ISA en termes de pare-feu multicouche. Il va
améliorer la sécurité de votre réseau grâce notamment à son filtrage du trafic au niveau des paquets,
des circuits et des applications.
Avec l’arrivée du SSL, les proxys et les pare-feu étaient incapable de voir les données échangées.
Actuellement, de nombreux logiciels utilisent cette solution comme Outlook 2003/2007, Terminal
Server, Messageries instantanées, Client VPN, Logiciel P2P. Une nouveauté de Forefront est de
permettre d’analyser l'intérieur d'un tunnel HTTPS qui est établie entre le navigateur client et un site
Web sur Internet. En effet, Forefront va agir comme un « Man in the Middle », c'est-à-dire qu’il va se
placer entre le site HTTPS et le client, il va déchiffrer le SSL, inspecter le contenu et va certifier les
requêtes lui-même vers le client. Ces actions sont totalement transparentes pour le client.
3.4.2 Proxy
Comme nous l’avons détaillé dans la Mir Sécurité, Forefront TMG possède la fonctionnalité de proxy.
Elle permet d’authentifier vos utilisateurs en s’appuyant sur l’Active Directory pour l’accès vers
l’extérieur. Ainsi les utilisateurs non autorisés ne pourront pas se connecter à Internet. La fonction
« cache » va enregistrer les pages Internet les plus consultées sur votre serveur ce qui va permettre à
68
MediaNetWork
ce dernier d’aller chercher directement les fichiers enregistrés plutôt que de les générer. Cela va
donner un accès plus rapide à vos utilisateurs et libèrera les ressources de votre proxy.
Comme il était demandé dans la Mir Réseaux, nous allons configurer les serveurs proxy de la façon
suivante :
Direction, Finance et Marketing
Etude, PDG, Financier
Production
Accès http
Accès Total
Aucun
3.5 Forefront Unified Access Gateway
Présentation
Forefront Unified Access Gateway est le produit de sécurité de Microsoft pour les accès distants.
Comme montre le tableau ci-dessus, Forefront UAG dispose de fonctionnalités supplémentaires à
TMG. Deux fonctionnalités, SSO et DirectAccess, sont essentielles à l’infrastructure de votre réseau
pour être conforme avec les besoins exprimés.
Reverse proxy
La fonctionnalité reverse proxy de Forefront va permettre à vos utilisateurs d’accéder depuis
l’extérieur à vos serveurs internes en transmettant indirectement les requêtes qui lui sont adressées.
69
MediaNetWork
Elle va protéger vos serveurs internes en les plaçant derrière ce serveur sécurisé et prévu pour
encaisser des grosses charges de trafic. Ce point d'entrée unique proxy permet un contrôle des accès
aux applications Web et de simplifier l'établissement de règles sur le firewall du site. Ainsi,
l'utilisation d'un reverse proxy permet d'envisager une répartition des applications Web par serveur
en fonction des besoins.
Le premier avantage est qu’il ne possède qu'une seule adresse visible : celle du reverse proxy. Les
serveurs Web frontaux placés derrière dispose d'une adresse locale, ce qui a pour avantage de ne pas
multiplier la réservation de plages d'adresses et donc les coûts. Le reverse proxy va se charger seul
d'attribuer pour une requête Web, une adresse locale d'un serveur interne, puis en sens inverse de
transférer la réponse à l'internaute en mémorisant son adresse Web par le biais du protocole NAT.
De plus, cela consiste à pouvoir changer de manière transparente son architecture serveurs en
interne sans impact sur l'adressage IP Internet. Grâce au reverse-proxy, le serveur Web est protégé
des attaques directes de l'extérieur, ce qui renforce la sécurité du réseau interne. D'autre part, la
fonction de cache du reverse-proxy va permettre de soulager la charge du serveur pour laquelle il est
prévu.
Microsoft Forefront UAG utilise les AAM (Alternate Access Mappings) de Microsoft Office SharePoint.
C'est-à-dire lorsque vous êtes sur votre réseau local (Intranet), votre serveur Sharepoint est
accessible depuis l’URL du type http. Cependant, depuis l’extérieur, il est nécessaire de faire un
mapping entre l'adresse Internet de votre serveur et l'adresse de votre serveur interne (intranet).
C’est pourquoi nous utiliserons le reverse proxy de Forefront qui va mapper l’adresse
https://extranet.vsn-aristote.eu vers l’adresse de votre serveur interne. L’utilisation de la fonction
AAM va permettre une meilleure réécriture d'url et surtout l'utilisation de composants plus lourds
(Word, Excel, ..) pour permettre d’éviter des erreurs depuis un réseau distant.
SSO
L’authentification de vos utilisateurs se fera à l’aide d’un certificat, généré par le serveur PKI,
enregistré sur la machine cliente. Forefront va permettre à l’aide de l’Active Directory d’autoriser ou
d’interdire l’accès à utilisateur. A l’aide de l'authentification unique (Single Sign-On ou SSO), il va
permettre à vos utilisateurs de ne procéder qu'à une seule authentification pour accéder à plusieurs
applications informatiques ou sites Web. Aucun login ou mot de passe ne sera demandé à vos clients
nomades.
Pour améliorer la sécurité, comme nous l’avons vu dans le chapitre précédent, nous placerons un
serveur MOSS dans la zone démilitarisée derrière le reverse proxy de Forefront UAG pour sécuriser
les serveurs internes en cas d’attaque. Si un certificat est révoqué, par exemple en cas de perte de la
clé privée, l'identifiant du certificat numérique sera ajouté à une liste de certificats révoqués pour
informer les applications qu'elles ne doivent plus faire confiance à ce certificat. Les applications
seront informées en quasi temps réel de l'état du certificat, l’utilisateur ne pourra plus se connecter
et devra faire une demande de certificat.
DirectAccess
Forefront UAG est aussi le serveur permettant la mise en place de DirectAccess dans un
environnement de production. DirectAccess est la nouvelle technologie d’accès distant, transparent
70
MediaNetWork
et total accès à l’ensemble des ressources de l’entreprise. Cette technologie permet d’étendre le
réseau de l’entreprise au poste nomade, pour fournir les mêmes services (partage de fichiers, accès
aux applications, ouverture de session sur le domaine …) que sur le réseau interne.
Tous les ordinateurs portables voulant utiliser la technologie DirectAcces devra obligatoirement être
sur un environnement Windows 7.
Stratégie de sécurité
Pour les stratégies de sécurité des accès distant, nous distinguons deux cas :
 L’utilisateur utilise un ordinateur de l’entreprise contenant un certificat
 L’utilisateur utilise un équipement considéré comme potentiellement dangereux
Dans le premier cas, l’utilisateur aura le droit de lecture et d’écriture sur ses documents et
applications.
Dans le second cas, Forefront va mettre les clients VPN en quarantaine conformément aux stratégies
de limite qui limitera les droits en lecture seulement aux documents personnels et au contenu des
sites d’équipe dont l’utilisateur fait partie.
Nous mettrons en place une limitation de l’accès au VPN par utilisateur dans le cas ou un poste
nomade serait contaminé par des virus permettant ainsi d’exclure cet utilisateur lorsqu’une alerte est
détectée.
3.5.1 Mise à jour des correctifs
La mise à jour des correctifs sera détaillée dans la partie 4, « Gestion du cycle de vie des postes de
travail ».
3.5.2 Sauvegardes des liens Wan
Pour la sauvegarde des liens Wan nous avons prévu de mettre 2 serveurs Forefront TMG sur le site
d’Orsay permettant ainsi le basculement en cas de perte ou de disfonctionnement d’un des serveurs.
Cela permettra aussi la continuité de votre système informatique.
3.6 Architecture de la solution proposée
Comme vous pouvez le voir sur la figure suivante, nous proposons de mettre en place sur le site
d’Orsay deux serveurs Forefront pour la redondance, le partage de charge et haute disponibilité et
un serveur sur chacun des autres sites.
71
MediaNetWork
3.7 Choix de la gamme
La solution Forefront TMG 2010 est disponible en trois éditions :
 Standard
 Entreprise (pour le déploiement de fermes de serveurs assurant les fonctions de pare-feu ou
de cache)
 MBE (Medium Business Edition, pour les entreprises de moins de 300 postes)
Il existe aussi Forefront TMG Web Protection Service qui apporte le filtrage d’URL et peut compléter
les 3 éditions de TMG 2010 mais il s’agit d’un abonnement mensuel supplémentaire. Nous ne
recommandons pas cette solution.
Nous proposons l’édition Entreprise car elle bénéficie de fonctionnalités supplémentaires nécessaires
à votre installation.
3.8 Coûts matériels et logiciels
Produit
Microsoft Forefront TMG
Microsoft Forefront UAG
Windows 2008 serveur
HP ProLiant DL120
Total
Prix unitaire
5 900 €
5 900 €
800 €
1 350 €
Nombre
5
1
5
5
Prix total
29500€
29500€
4000€
6750€
40 250 €
72
MediaNetWork
4 Gestion du cycle de vie des postes de travail (Vincent
Desseaux)
4.1 Rappel des besoins
Il est demandé de mettre en œuvre un système de déploiement d’images sur les postes de travail
destiné à l’installation de logiciels utilisés dans l’entreprise. La solution doit également permettre le
déploiement d’applications de façon simplifiée ainsi que l’automatisation des tâches, la gestion des
configurations et du changement, la gestion de la mise en conformité légale ainsi que la gestion des
politiques de sécurité. De plus la solution devra être capable de répondre à la problématique de
distribution de patches de sécurité.
4.2 Introduction
La gestion de postes de travail implique la mise à disposition des applications et services de
l’entreprise ainsi que l’assurance d’avoir un fonctionnement optimal et sécurisé des systèmes
informatiques. A l’heure où le rythme d’évolution d’un environnement informatique est de plus en
plus croissant, on constate que cette tâche nécessite un temps de travail proportionnellement plus
important à cette évolution.
Dans cette partie d’étude, nous vous présenterons les différentes solutions possibles, les
fonctionnalités et l’intégration d’une des solutions proposées dans l’infrastructure de notre client
Aristote.
4.3 Comparatif de solutions
Deux grandes solutions existent dans ce milieu, l’une étant proposée par Microsoft et
répondant au nom de « SCCM » pour « System Center Configuration Manager », et l’autre proposée
par « LANDesk » et répondant un nom de « LANDesk Management Suite » dont une brève
présentation y est faite ci-dessous.
4.3.1 LANDesk Management Suite
« LANDesk Management Suite » est une suite de logiciels de gestions de systèmes reprenant
en grande partie les fonctionnalités destiné à gérer de grands parcs d’ordinateurs sur systèmes
Windows. Il permet :








la prise de main à distance
la gestion de correctifs
l’automatisation de tâches
la télédistribution d’applications
l’inventaire matériel et logiciel
la gestion de la conformité
l’administration des politiques de sécurité
le déploiement de systèmes d’exploitation complets
Gestion du cycle de vie des postes de travail (Vincent Desseaux)
73
MediaNetWork
4.3.2 System Center Configuration Manager
« System Center Configuration Manager » (ou bien encore SCCM) est un logiciel de gestion de
systèmes englobant l’ensemble des fonctionnalités de son concurrent, mais se démarque sur
certains point.
L’un des grands atouts de ce produit est qu’il répond à la problématique des postes nomades
qui sont susceptibles de se connecter au réseau de l’entreprise depuis différents sites. Si le client
n’est pas sur son site, il peut y recevoir les informations de son serveur sans pour autant télécharger
ce qui lui est destiné sur ce même serveur, il peut utiliser le point de distribution local du site, ce qui
limite l’impact sur l’utilisation de la bande passante, notamment dans le cas de l’infrastructure
d’Aristote sur les liens Intersites (Réseaux MPLS).
De plus, la communauté présente autour de ce produit est très conséquente et dynamique, ce
qui est tout de même un atout majeur dans le cas de dysfonctionnement. On note également une
évolution constante du produit par l’éditeur, et qui plus est plus récemment, en adéquation avec les
attentes des clients suite aux différentes remarques remontées sur les lacunes du produit, ce qui
nous insiste à confirmer la dynamique du produit.
Enfin dernier point, celui-ci s’appui pour sur les outils déjà proposé par Microsoft (« WDS »
pour le déploiement de système d’exploitation ou bien encore « WSUS » pour la distribution de
patch de sécurité)
Tableau Récapitulatif et choix de la solution
Fonctionnalité
System Center
Configuration
Manager
LANDesk
Management
Suite
Prise de main à distance
Gestion de correctifs
Automatisation de tâches
Télédistribution d’applications
Inventaire matériel et logiciel
Gestion de la conformité
Administration des politiques de sécurité
Déploiement de systèmes d’exploitation complets
Gestion des postes nomades
Gestion évolué des correctifs de sécurité
Même si les deux produits remplissent les fonctions demandées par Aristote, notre choix se
porte en toute logique sur « System Center Configuration Manager » car sa dynamique et les
différentes fonctionnalités supplémentaires tel que la gestion des nomades en font un réel plus et
correspond à ce qu’on est en droit d’attendre d’une telle solution. La version actuelle de SCCM et la
version 2007 SP2. Nous nous appuierons donc sur cette version pour notre cas d’étude.
74
MediaNetWork
4.3.3 Architecture de System Center Configuration Manager
SCCM 2007 s’appuie sur le fonctionnement d’une architecture multi-tiers, qui consiste en
l’utilisation de plusieurs composants (produits), pour établir une architecture type. Ci-dessous une
ébauche de l’architecture type de SCCM 2007.
Comme nous pouvons le constater, SCCM s’appuie sur SQL Server qui est le système de gestion
de bases de données relationnelles de Microsoft. Celle-ci contiendra notamment l’ensemble des
informations des postes clients (Reporting, Configuration Matérielle, état du déroulement des
applications distribués, etc).
WSUS (Windows Server Update Services) et WDS (Windows Deployment Services) sont des
services Microsoft, l’un sert au déploiement des mises à jour de sécurité tandis que l’autre gère le
déploiement des images sur les postes.
Le client interagit au moyen d’un agent installé sur son poste. Il permet en outre de
communiquer avec SCCM pour les remontées d’informations, les notifications de mises à jour, les
notifications de déploiement d’applications, etc. Celui-ci peut être déployé à partir de SCCM.
L’architecture de SCCM 2007 se présente sous la forme de sites.
Trois types de sites existent :
 Le site primaire
 Le premier à être installé et le seul dans une infrastructure SCCM, il est le point
névralgique de l’infrastructure et y fait autorité
 Il est le seul à communiquer avec la base de données SQL Server où sont stockées les
configurations et informations de SCCM, aussi bien pour la lecture que pour l’écriture
 Les outils d’administration sont également installés sur le site primaire, c’est donc à partir
de lui que l’administration s’opère
 Site secondaire
 Un site secondaire est rattaché au site primaire
 Il ne communique pas directement avec la base de données, les informations qu’il
rapporte sont donc transférées au site principal qui lui-même, traitera les informations
 L’administration se fait par le biais de la console du site principale
 Le site secondaire ne nécessite pas de seconde licence SCCM
 Point de distribution de branche
 Permet le stockage de paquets destinés aux clients sur les sites distants. Il peut être utile
dans une petite infrastructure car il réduit la complexité de la hiérarchie de sites
75
MediaNetWork
Pour notre client Aristote, nous proposons de mettre en place le site primaire sur Orsay car il
est le site disposant du plus grand nombre d’utilisateurs (400 collaborateurs), et donc par la
conséquence, est l’endroit géographique le mieux adapté pour optimiser et limiter la globalité des
flux transitant sur l’ensemble du réseau d’Aristote (notamment pour les limiter les flux se rapportant
aux transferts d’informations des sites secondaires vers le site primaire). La base de données SQL
Server se trouvera également sur Orsay sur une autre machine qui aura pour rôle de stocker
l’ensemble des bases de données présentent de l’entreprise.
Pour les sites annexes, à savoir Bayonne, Sophia Antipolis et Bruxelles, nous préconisons le
déploiement de sites secondaires.
Nous ne proposons pas d’implémenter de points de distribution de branche, le déploiement
d’un site secondaire ne nécessite pas l’achat d’une licence supplémentaire et que les ressources
nécessaires pour faire fonctionner ce service ne sont pas beaucoup plus importantes. En revanche, il
peut apporter un intérêt plus grand dans le cas d’une congestion au niveau des services SCCM d’un
site, du par exemple à l’augmentation du personnel. Mais là encore et en prenant en compte les
prévisions d’augmentation du personnel de 20% qui apporterait l’effectif d’Orsay de 400 à 480
collaborateurs, l’utilisation d’un point de distribution de branche ne représente que très peu
d’intérêt.
Ci-joint en annexe le schéma représentatif de l’architecture SCCM 2007 proposée pour notre
client Aristote.
4.3.4 Système de déploiement d’images
SCCM s’appuie sur le service WDS, successeur du service RIS (Remote Installation Services), qui
permet le déploiement d’images sur les postes de travail par l’intermédiaire du réseau via le PXE, qui
lui-même permet de charger au démarrage de la machine une image depuis le réseau.
PXE nécessite un serveur DHCP capable de fournir les informations permettant de le contacter,
ainsi qu’un serveur TFTP. Il convient aussi de savoir que le port d’écoute utilisé par PXE pour
l’échange des informations PXE est le port UDP 4011. De même, il est indispensable que les postes
clients disposent d’une carte réseau prenant en charge le boot PXE, ce qui est le cas en règle
générale.
L’image que nous ferons charger sur le réseau n’est autre que Windows PE, qui est
l’environnement de pré-installation Windows. Elle permet d'effectuer des opérations sur une
machine telle que de la maintenance (destruction des partitions existantes, formatage, re-création
des partitions, etc.). Dans notre cas, Windows PE sera utilisé pour établir la liaison avec le serveur
WDS qui diffusera les images.
76
MediaNetWork
Déploiement d’applications
Le déploiement d’applications est géré nativement par SCCM et se distribue par l’intermédiaire
de package déployé sur un point de distribution. Dans ce point de distribution, il convient de définir
la collection de postes devant disposer du package. Il est possible de suivre le déploiement au travers
du reporting ou bien encore les messages de statut.
Il est également possible de spécifier des critères d’exigences pour l’installation de
l’application comme par exemple la configuration matérielle ou bien encore un groupe d’utilisateurs
autorisé à recevoir cette application. Il est bien entendu possible de planifier le déploiement
d’applications.
Gestion des configurations et du changement
La gestion des configurations et du changement est elle aussi géré nativement par SCCM. Les
clients via leurs agents, transmettent diverses informations sur le matériel au serveur SCCM auquel
ils sont rattachés. Ces informations sont inscrites ensuite dans la base de données afin de pouvoir les
consulter et établir des rapports sur l’état des configurations des postes.
Gestion de la conformité et des politiques de sécurité
La gestion de la conformité et des politiques de sécurité s’établisse grâce à la fonction NAP qui
est une technologie proposé par Windows Server 2008 visant à protéger de l’accès réseau un poste
n’étant pas conforme avec les règles de sécurité de l’entreprise, telle que :





la présence d’un antivirus à jour
la présence de certains patchs de sécurité
le fonctionnement du pare feu du poste
le compte d’utilisateur employé
le domaine auquel le poste est rattaché
Lorsqu’un client pénètre sur le réseau de l’entreprise ou qu’il tente d’accéder à des ressources,
il devra fournir son état de santé. Si le client est conforme aux politiques de sécurité, il aura accès aux
ressources de l’entreprise et s’il est non conforme, il sera mis dans une zone de quarantaine et ne
pourra accéder aux ressources que s’il devient de nouveau conforme aux politiques de sécurité.
Distribution de patches de sécurité
SCCM s’appuie sur le moteur du service WSUS pour récupérer les mises à jour de sécurité
Microsoft. Une fois que WSUS a récupéré les mises à jour, SCCM les distribue aux clients. WSUS sera
donc mis en place que sur le site d’Orsay et le serveur SCCM d’Orsay les distribuera aux serveurs
SCCM secondaires qui pourront ensuite déployer les mises à jour de sécurité aux serveurs et clients
de leur site.
Concernant la récupération des mises à jour, le service WSUS d’Orsay pointera sur les serveurs
officiels Microsoft pour récupérer l’ensemble des patchs voulus et effectuera ses synchronisations de
préférence la nuit.
77
MediaNetWork
4.3.5 Schéma d’Infrastructure mis en œuvre
Ci- dessous le schéma représentatif de la répartition des services sur chacun des sites.
Pré requis
Exigence générale :
 Une modification du schéma de l’annuaire AD est nécessaire pour tenir aux exigences de
SCCM.
 Une base de données de type Microsoft SQL server (2005 ou 2008) doit être disponible par le
serveur SCCM primaire
Exigence du serveur :
Pour mettre en place SCCM sur un serveur, il est nécessaire au préalable qu’il :





dispose du système d’exploitation Windows Server 2008/2008 r2
soit membre domaine Active Directory de l’entreprise
ait le service WSUS et IIS (Serveur Web) avec la fonction WebDAV d’installé
Le service NAP/NPS
dispose d’une partition système ainsi qu’une seconde partition dédiée à WSUS et doivent
être formatées avec le système de fichiers NTFS
 minimum 1 Go d'espace libre sur la partition système
 minimum 2 Go d'espace libre sur le volume où les fichiers de base de données seront
stockés
 au moins 20 Go d'espace libre sont nécessaires sur le volume où le contenu sera stocké
et 30 Go sont recommandés.
78
MediaNetWork
Licences SCCM
Il existe 3 types de licences



licence SCCM serveur pour le serveur d’administration (seulement le primaire)
licence SCCM ML (Management Licence) par système d’exploitation serveur supervisé.
licence SCCM CML (Client Management Licence) par système d’exploitation poste de travail
supervisé.
Selon l’architecture présentée, il nous faudra une licence SCCM pour le serveur d’Orsay et
autant de licence SCCM CML que de postes et serveurs dans l’entreprise. Concernant la licence SCCM
ML, nous décidons d’en intégrer un seul sur le serveur. Ainsi pour administrer la solution, nous
proposons d’utiliser le bureau à distance comme énoncé dans les besoins concernant les processus
d’administration.
Coûts de déploiement divers
 4 serveurs ayant des disques durs d’une quantité suffisante afin d’y stocker l’ensemble des
mises à jours. Deux disques durs en RAID 1 de 500 Go par serveur seront suffisants pour y
stocker l’ensemble des mises à jour et des applications à déployer.
 4 licences Windows Server 2008 R2 Edition Standard (800€ la licence soit un total de 3200 €)
 La mise en place de la solution, l’application d’une batterie de test ainsi que sa validation
représente un coût humain de 48 heures/homme et par serveur, soit un total de 192
heures/homme que nous allons arrondir à 200.
Sachant que le produit a pour objectif d’automatiser au mieux les tâches liées à la gestion du
cycle de vie des postes informatique, l’administration de façon courante sera relativement brève.
Cependant, le coût peut être très variable dans le cas de mise en place d’une installation
automatisée, la mise à disposition de pilotes, la publication de logiciels ou bien encore la mise en
place de politiques de sécurités. Mais ces tâches restent toutefois relatives à des tâches ponctuelles
non courantes.
Nous préconisons ainsi l’utilisation d’un administrateur dédié exclusivement à l’exploitation de
ce produit. Il devra disposer de compétences moyennes en réseau et de bonne connaissance dans la
gestion de parc informatique ainsi qu’en sécurité. Le coût annuel de ce technicien est estimé à 30K€.
Récapitulatif
Produit
Licence SCCM 2007
Licence SCCM 2007 ML
Licence SCCM 2007 CML
Serveurs
Licence Windows Server 2008 r2 Standard
Total
Prix unitaire
580€
160€
40€
1000€
800€
Nombre
1
1
820+Serveurs
4
4
Prix total
580€
160€
32800€
4000€
3200€
40740€
79
MediaNetWork
5 Partie 5 : Aide à l’exploitation des infrastructures (Arnaud
HAMON)
5.1 Rappel des besoins
L’objectif de cette phase d’étude est de mettre en place un système de supervision permettant :




Une gestion complète des évènements
Une surveillance et des alertes proactives
Des fonctions de création de rapports et d’analyse de tendances
D’identifier avant qu’ils ne s’aggravent les problèmes survenant dans l’environnement
informatique
L’outil devra permettre en outre d’améliorer l’efficacité des opérations informatiques via des
pratiques éprouvées pouvant être facilement mises en œuvre et de faciliter le travail du personnel
informatique et des dirigeants grâce au partage d’informations critiques relatives au niveau de
service et aux performances.
5.2 Introduction
Alors que les entreprises développent leurs activités, embauchent du personnel et déploient de
nouvelles applications et de nouveaux services, leur environnement informatique se complique et
devient plus délicat à administrer. Par conséquent, une augmentation des coûts et de la complexité
empêche les services informatiques d'apporter une vraie valeur ajoutée à l’organisation.
Nous allons commencer par comparer les produits du marché de la supervision puis présenter la
solution qui a été retenue et finir par intégrer cette solution à la solution globale.
5.3 Comparatif de solutions
Il existe 4 grands de l’industrie de la supervision, CA, IBM, HP et BMC, proposant des solutions très
puissantes et adaptées à des environnements très hétérogènes (Linux, Windows, AIX, Solaris, …).
Seulement, ces solutions ont été développées pour de grosses infrastructures ou dans le but d’être
utilisé avec des infrastructures mutualisées. Cependant, Windows a développé sa propre solution
System Center Operations Manager 2007 (SCOM) permettant l’aide à l’exploitation d’infrastructure
quelque soit la volumétrie de l’environnement Windows. Elle sera donc utilisée sachant que les
serveurs déployés sont spécifiquement Windows.
5.4 Solution d’aide à l’exploitation d’infrastructure
System Center Operations Manager 2007 R2 est une solution de supervision informatique
permettant la surveillance des services de bout en bout en assurant la surveillance des applications,
de l’infrastructure. L’objectif de SCOM est de simplifier l’administration de leur environnement
informatique. Son atout est que SCOM exploite les connaissances des équipes Serveur, Client et
Application de Microsoft pour accélérer la résolution des problèmes.
Partie 5 : Aide à l’exploitation des infrastructures (Arnaud HAMON)
80
MediaNetWork
System Center Operations Manager 2007 offre la possibilité de personnaliser et d’étendre les
niveaux de service de l’environnement informatique donnant une visibilité totale sur l’état de
fonctionnement et les performances de leur infrastructure informatique.
Grâce à cette solution, l’objectif sera d’obtenir un fonctionnement sans interruption et en respectant
les niveaux de service définis pour le client Aristote. SCOM 2007 constitue une solution unifiée de
supervision et d'administration pour vos systèmes et applications Microsoft.
Cluster OM DB SQL
DB Reporting SQL
Server SCOM
Server SCOM Reporting
Console ou console WEB
Agent
Agent
Figure 19 - Schéma de l'infrastructure SCOM
Voici l’infrastructure SCOM qui sera mise en place. On y retrouve les 6 grands éléments qui
permettront de répondre au cahier des charges du client :
 Le serveur System Center Operations Manager qui collectera les différentes informations
et métriques des serveurs supervisés
 Le cluster OM DB SQL qui sera alimenté par le serveur SCOM de collecte. En cluster, car
les métriques ne doivent pas être perdu
 Le serveur SCOM Reporting qui générera les rapports et les historiques de l’infrastructure
réseau
 Le base DB Reporting SQL qui sera alimenté par le serveur SCOM Reporting afin de
mettre en place des modèles de reporting et contiendra tout les reporting qui auront été
générés
 Et un client lourd (Console) ou une interface WEB (console WEB) afin de manager le
serveur SCOM et l’utiliser
Nous allons maintenant expliquer comment cette infrastructure SCOM répond aux attentes du client.
81
MediaNetWork
Une gestion complète des évènements
SCOM va superviser l’état des principaux composants système :
 Supervision des performances du système
 Les interfaces réseau
 Attributs du système
 CPU
 Mémoire physique
 Mémoire Virtuelle
 Espace disque
 Supervision des applications
 Les services et processus
 Les configurations principales
 Résolution de noms
 Services WEB
 Supervision de domaines uniques, multiples et sans relations d’approbation, ainsi que des
sites distants.
 Supervision de systèmes physiques comme virtuels
Et tout ceci en temps réel afin d’aider les administrateurs à détecter tout problème pouvant
entrainer dégradation des performances ou coupure de certains services de l’environnement
informatique. SCOM a une forte capacité à monter en charge.
Il est possible si besoin est, d’obtenir les versions des bibliothèques de chaque système
d’ exploitation grâce à Operations Manager 2007 Croos Platform Extensions. SCOM s’appuie sur des
modèles de service et des packs d'administration spécialisés fournis par des partenaires Microsoft
pour élargir les capacités de surveillance d'Operations Manager aux infrastructures et applications
tierces, comme les plateformes Oracle, Apache, SAP, UNIX et Linux, et les infrastructures réseaux.
Une surveillance et des alertes proactives
Tout d’abord, afin d’avoir une plus grande efficacité, SCOM permet à ses utilisateurs de n’avoir qu’un
seul et même outil de supervision pour les différentes plates-formes (Microsoft, Unix, Linux),
simplifiant ainsi la centralisation des alertes.
Ensuite, l’outil permet de mettre en place des seuils d’alerte (ou de surveillance) ayant comme
impact :
 La diminution des alertes, car si des alertes remontent est qu’elles sont inutiles car c’est
un comportement normal d’un serveur ou service. L’objectif étant de dépolluer la
console de supervision et d’être plus réactif sur les alertes plus pertinentes
 La prévention de problèmes, tel qu’un espace disque. Facilitant la mise en place d’actions
et résoudre avant le problème d’espace disque et qu’il ne soit à aucun moment plein
Cette supervision proactive de SCOM sur l’infrastructure informatique permet de vérifier la
disponibilité et le bon fonctionnement de celle-ci et en cas de besoin prévoir les actions nécessaires
afin d’éviter une possible coupure de services.
82
MediaNetWork
Des fonctions de création de rapports et d’analyse de tendances
SCOM inclut Operations Manager 2007 Reporting. Il permet de générer des rapports en s’appuyant
sur une base de données SQL. On mettra donc OM 2007 Reporting en place dans notre infrastructure
de supervision pour pouvoir finir les rapports demandés par le client.
Les rapports sont plus au moins détaillés qui identifient et analysent les tendances à partir de
l’historique des données. Ils permettent, entre autre, d’établir l’état de santé de l’infrastructure
informatique et les administrateurs pourront s’appuyer sur ses rapports afin :
 De mettre en place des projets ou des actions de mises en œuvre
 De prioriser certaines interventions
 D’entreprendre les démarches de demande de financement d’équipements et licences
en s’appuyant sur les rapports et l’impact que l’état actuel d’équipements ou de
l’infrastructure peut avoir sur la production
Identifier les problèmes dans l’environnement informatique avant qu’ils ne s’aggravent
Comme vu précédemment dans les chapitres :
 Une surveillance et des alertes proactives
 Des fonctions de création de rapports et d’analyse de tendances
SCOM va permettre de remonter des alertes proactives afin que le problème n’ait lieu ou qu’il ne
s’aggrave, et les rapports qui seront générés à l’aide de SCOM Reporting avec lequel les
administrateurs vont pouvoir s’appuyer pour réaliser les actions nécessaires pour résoudre ou
prévenir d’un problème. Les deux points traités précédemment permettent de répondre à la
problématique client qui était de mettre en place une solution permettant d’identifier les problèmes
avant qu’ils ne s’aggravent.
Amélioration de l’efficacité des opérations informatiques
Effectivement, tous les points vu précédemment, aide à améliorer l’efficacité des opérations
informatiques en optimisant les remontés d’alertes, grâce aux rapports et à une interface unique de
centralisation.
System Center Operations Manager 2007 propose la possibilité de mettre en place des accès sur les
rôles permettant ainsi de limiter les accès à certaines vues et tâches de la console, et donc de
permettre à chaque intervenant sur des opérations informatiques d’avoir une vue spécifique à ces
besoins.
Les packs mis à disposition par Microsoft proposent d’intégrer à SCOM de nouveaux rapports plus
sophistiqués, et des environnements de création de rapports très personnalisable, apportant plus de
finesse au dépannage et à la planification. Grâce à ses vues plus orientées services et des rapports de
disponibilité, les informations nécessaires à l'identification et à la résolution rapide des problèmes
critiques seront d’autant plus pertinentes.
Si le client le demande par la suite, il sera possible d’étendre la supervision de l’infrastructure
informatique aux postes client et par conséquent réduirait les coûts de support.
83
MediaNetWork
Alimentation d’une base de connaissance
Comme on peut l’observer sur le schéma de l’infrastructure SCOM qui sera mise en place, le serveur
de collecte (SCOM) alimente un cluster SQL afin :
 D’historier les différentes métriques qui ont été relevées
 De sauvegarder un historique des alertes émises par SCOM
 De permettre au serveur SCOM Reporting de réutiliser toutes les données stockées sur la
base afin de reproduire ces reporting
Tous ceci afin de contribuer à une réduction de coûts et d’amélioration de l’efficacité de leur
environnement informatique.
Supervision des éléments extérieur
System Center met à disposition des packs d’administration qui sont des modules de base qui
élargissent les fonctionnalités d'Operations Manager 2007 aux systèmes d'exploitation, applications
et autres composants technologiques. Un pack d’administration (Management Pack) contient la
connaissance approfondie pour découvrir, surveiller, diagnostiquer, créer des rapports de dépannage
et résoudre les incidents pour un composant technologique. Les packs d'administration pour de
nombreux produits non Microsoft tels que Linux, Oracle, SAP et pour du matériel réseau ou serveur
sont produits et proposés par des partenaires de Microsoft. Il existe plus d'une centaine de packs
d'administration de partenaires Microsoft qui couvrent la plupart des technologies utilisées
aujourd'hui par les organisations.
L’outil SCOM va donc nous permettre de répondre à un besoin qui été de pouvoir en autre superviser
des éléments extérieurs à Windows en utilisant les packs d’administration xSNMP permettant la
supervision d’éléments réseau.
Interface WEB
SCOM vous permet de surveiller vos services informatiques, à travers une console WEB qui est
fournit par SCOM. Seulement il faut savoir que la console WEB est purement utilisée pour la
surveillance sachant tout de même que c’est seulement depuis la version R2 que l’explorateur de
santé a été intégré dans la console WEB. Pour toute la partie administration réelle, la console (Client
lourd) est nécessaire.
Agents sur les serveurs ou postes clients à superviser
Il existe 2 méthodes afin de déployer les agents de supervision sur un équipement :
 La première est la manière la plus basique qui est de se connecter à chaque équipement
et d’installer l’agent directement
 La deuxième est optimisée grâce à l'utilisation de l’Active Directory et du système
d'exploitation Windows pour une découverte facile des systèmes. On automatise ainsi le
déploiement à distance et plus sécurisé des agents, lesquels se connectent
automatiquement aux serveurs d’administration pour déployer les stratégies appropriées
84
MediaNetWork
5.5 Architecture de la solution
Internet
Clients
Serveurs
Cluster OM DB SQL
MPLS
DB Reporting SQL
ORS-SRV-SCOM-R
ORS-SRV-SCOM
Orsay
Serveurs
Clients
Bayonne
Serveurs
Clients
Sophia
Antipolis
Serveurs
Clients
Bruxelles
Figure 20 - Schéma de la solution SCOM
Sur le schéma n’est pas représenté la console ou console WEB, car on peut l’installer où l’on souhaite
ainsi que les agents qui seront installés sur les équipements que l’administration voudra superviser.
Pré-requis
5.5.1 Configuration minimale d’un client pour installer un agent
Pré-requis
Processeur
Mémoire
Espace disque disponible
Windows Installer
Minimum
X86, X64, IA64
30 Mo
Version 3.1
85
MediaNetWork
5.5.2 Configuration des serveurs de base de données
Pré-requis
Processeur
Mémoire
Version Système d’exploitation
Base de données
Minimum
X86 2Ghz
X64 3Ghz
4Gb
500Go
SQL 2005 SP1 Minimum
5.5.3 Configuration serveur SCOM Reporting
Pré-requis
Processeur
Mémoire
Minimum
X86 2Ghz
X64 3Ghz
4Gb
160Go
5.5.4 Configuration serveur SCOM
Pré-requis
Processeur
Mémoire
Power Shell
Office 2003
Minimum
X86 2Ghz
X64 3Ghz
4Gb
160Go
Version 1
Avec .NET Programmability Support
5.6 Coûts de la solution
Licences
Afin de mettre en place la solution SCOM, on va utiliser 5 licence Windows Server 2008 R2 Editon
Entreprise coûtant chacune 2800€.
Ensuite, Il existe 3 types de licences pour la solution SCOM :
 une licence SCOM serveur pour le serveur d’administration
 une licence SCOML (Operations Management Licence) par système d’exploitation serveur
supervisé
 une licence SCOML (Operations Management Licence) par système d’exploitation poste de
travail supervisé
Il nous faudra donc 1 licence SCOM pour le serveur d’administration. Actuellement, le client n’a pas
explicitement demandé de superviser les postes de travail. Il faudra donc compter autant de licences
SCOML que de serveurs dans l’infrastructure informatique du client.
86
MediaNetWork
Pour la phase de déploiement, comprenant l’installation des serveurs, le déploiement des agents
ainsi que la personnalisation de l’interface, il faut compter un total de 200H/Homme.
L’administration de la solution demande 10H /Homme par semaine, mais l’analyse des alertes et la
mise en place des rapports demande une autre personne mais celle-ci à temps plein.
Récapitulatif
Coût unitaire
Licence
Windows 2800€
Entreprise
Serveur
1000€
Installation complète 200H
de la solution
Quantité
4
Prix total
11200€
4
1
4000€
200H
87
MediaNetWork
6 Hyper-V (Jérôme Teneur)
6.1 Présentation du produit
Hyper-V sert à la virtualisation de serveur ou de client. Il ne fonctionne que sous la version 64 bit
avec un CPU adapté à la virtualisation. Contrairement à Vmware, il n’est capable de faire tourner que
des OS Microsoft.
6.2 Pourquoi virtualiser ?
La Virtualisation présente de nombreux avantages :




Réduction des coûts d’acquisition du matériel
Réduction de la consommation électrique et de la place occupée par les serveurs
Simplification la mise en place de plateformes de test ou de production
Augmentation de la disponibilité des serveurs avec une reprise d’activité plus rapide que
pour une machine physique…
 Réduction du coût total de possession ou TCO (Total Cost of Ownership)
6.3 Recommandation matériel :




Plusieurs cartes réseaux dont une toujours disponible en dehors de la Virtualisation
De la Ram en conséquence avec une fréquence et un bus élevé
Des disques durs très rapides pour limiter les temps d’accès
Un CPU adapté à la virtualisation comme les Core I7 de chez Intel
6.4 Principe de fonctionnement
Nous ne rentrerons pas dans les détails de fonctionnement de la virtualisation. Cependant nous
rappelons que Hyper-V est un hyperviseur, fonctionnant comme un système hôte sur lequel les
machines virtuelles sont montées. De plus hyper-V (dans sa version server 2008r2) fonctionne en
hyperviseur micronoyau, ce qui en définitif garantie la segmentation des VM jusqu’au niveau des
drivers, et ainsi leur stabilité.
VM 1
(« Parent »)
VM2
(« Enfant »)
VM3
(« Enfant »)
Driver
Driver
Driver
Hyperviseur
Hardware
Hyper-V (Jérôme Teneur)
88
MediaNetWork
6.5 Hyper-V dans aristote.lan
La première préconisation mise en avant par Microsoft est la nécessité de renforcer la puissance de
calcul et la mémoire mise à disposition pour tous les serveurs virtuel. Ce qui, pour des
applications/services à usage « normal », garantira le non-amoindrissement des performances
ressenties par l’utilisateur final.
Cependant, comme précisé dans le chapitre « Active Directory », nous ne préconisons pas, dans le
cadre de votre infrastructure, d’utiliser Hyper-V pour virtualiser le service d’annuaire (embarquant
également le DNS et le DHCP).
Les autres services pourront être virtualisés sans réelles contraintes liées à leurs interactions
mutuelles. Par exemple si nous venions à virtualisé un serveur Exchange 2010, IIS 7.0 + SQL Server
2005, et une application métier, tout cela dans un workflow soutenu, nous préconiserions une
configuration hardware de ce type :
 2 Quad-Core Intel @ 3,16 GHz
 12 Go de RAM (ECC)
 16 disques internes RAID HBA (16 x 146 Go 10 000 RPM en SAS)
 Array 1 (OS parent) : 2 disques en RAID 1
 Array 2 (OS enfant + data) : 2 disques en RAID 1
 Array 3 (Exchange Data) : 2 disques en RAID 1
 Array 4 (Exchange Logs) : 2 disques en RAID 1
 Array 5 (IIS Data & SQL Server) : 3 disques en RAID 5
 Array 6 (OS enfant IIS) : 2 disques en RAID 1
 Array 7 (OS enfant AppMetier) : 2 disques en RAID 1
 Hot Spare : 1 disque
Hardware préconisé
Comme décrit ci-dessus, pour le fonctionnement des machines virtuelles nous avons besoin d’une
configuration hardware conséquente. Dans ce cas nous conseillons :
HP ProLiant DL380 G6 Performance - Xeon X5550 2.66 GHz
PRIX : 6000€ H.T.
2 x Intel Xeon X5550 / 2.66 GHz ( Quad Core )
12 Go (installé) / 144 Go (maximum) - DDR3
SDRAM - 1333 MHz - PC3-10600
RAID ( Serial ATA-150 / SAS ) - PCI Express x8 (
Smart Array P410i avec BBWC 512 Mo )
Adaptateur réseau - Ethernet, Fast Ethernet,
Gigabit Ethernet - Ports Ethernet : 4 x Gigabit
Ethernet
89
MediaNetWork
A titre comparatif
Un tel system permet d’héberger au moins quatre machines virtuelle. Dans le cas d’une
infrastructure non-virtualisé nous aurions eu besoin (pour des performances équivalentes) d’au
moins quatre HP Proliant DL360 G6 (2000€/server). Nous réalisons ainsi une économie minimale de
2000€ sur le hardware pour délivrer les quatre services.
Evolutivité
Un dernier avantage qu’il nous parait important de relever, est la possibilité depuis Windows server
2008 r2 de clusteriser les hyperviseurs. Le Failover Clustering permettra via le Live Migration de
répondre à des problématiques de support contre des évènements non planifiés. Le Live Migration
permet de déplacer à chaud des applications d’un serveur à un autre sans interruption de service.
90
MediaNetWork
Conclusion
L’objectif de cette étude était de proposer une solution pérenne, évolutive et sécurisé d’une
infrastructure Windows comprenant :





Un annuaire d’entreprise et de sécurité, des processus d’administration des ressources et de
déploiements (Active Directory)
Un système de messagerie collaborative et de communications temps réel (Exchange et OCS)
Des accès à Internet sécurisé (Forefront TMG)
Des accès à l’entreprise depuis l’extérieure (Forefront UAG)
Un système de gestion des opérations (SCOM)
La solution que nous proposons est entièrement conforme aux cahiers des charges. Nous nous
somme orientés vers les produits les plus récents de Microsoft permettant à votre entreprise
d’accéder aux dernières technologies existantes en termes de sécurités et de haute disponibilité.
91
MediaNetWork
Lexique
ACL: Une ACL est une liste d’Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou
supprimant des droits d'accès à une personne ou un groupe
Adresse MAC : suite de 6 octets représentée sous la forme hexadécimale qui identifie de façon
unique chaque interface réseau
DAG (Data Availability Group) : Système de réplication de bases de données.
DHCP : protocole réseau dont le rôle est d’assurer la configuration automatique des paramètres IP
d’une station
DMZ : pour zone démilitarisée, est un sous-réseau isolé par un pare-feu
iSCSI : (internet SCSI) est un protocole de la couche application permettant le transport de
commandes SCSI sur un réseau TCP/IP.
MAPI (Messaging Application Programming Interface) : Interface de programmation de Microsoft
permettant de créer, transférer, modifier et stocker des courriers électroniques.
MOSS (Microsoft Office Sharepoint Server) est une application de portail web appartenant à la
famille Microsoft Office. C'est une solution de portail collaboratif basé sur les Windows SharePoint
Services de Microsoft.
SAN : En informatique, un réseau de stockage, ou SAN (de l'anglais Storage Area Network), est un
réseau spécialisé permettant de mutualiser des ressources de stockage.
PowerShell : Langage script propriétaire à Microsoft.
PXE : sigle de Pré-boot eXecution Environment, permet à une station de travail de démarrer depuis le
réseau en récupérant une image de système d'exploitation qui se trouve sur un serveur
92
MediaNetWork
Bibliographie
Active Directory
http://technet.microsoft.com/fr-fr/library/cc731331(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc732148(WS.10).aspx
http://technet.microsoft.com/fr-fr/library/cc753423(WS.10).aspx
http://technet.microsoft.com/fr-fr/library/cc770917(WS.10).asp
http://www.agileit.com/Blog/Lists/Posts/Post.aspx?ID=186
http://blog.portail-mcse.net/index.php?post/2008/02/27/Quelques-conseils-et-Best-practices-eninfrastructure
http://blog.le-pi.com/?p=401
http://blog.portail-mcse.net/index.php?post/2008/06/17/Active-Directory-2008-%3A-administrerles-RODC2
http://blog.portail-mcse.net/index.php?post/2008/06/17/Active-Directory-2008-%3A-administrerles-RODC2
DHCP :
http://datatracker.ietf.org/doc/rfc1541/
http://blog.studiographic.nl/?p=219
http://www.ravenreport.com/blog/post/Windows-2008-R2-to-Support-DHCP-Failover.aspx
Options DHCP :
Relai DHCP :
Processus d’administration :
http://blog.portail-mcse.net/index.php?post/2009/03/06/D%C3%A9l%C3%A9gation-dadministration-et-Active-Directory
http://technet.microsoft.com/fr-fr/library/cc778807%28WS.10%29.aspx
http://technet.microsoft.com/fr-fr/library/cc785913%28WS.10%29.aspx
http://technet.microsoft.com/fr-fr/library/dd407882.aspx
Gestion du cycle de vie des postes :
http://it-experiences.com/category/gestion-parc/
http://www.microsoft.com/systemcenter/en/us/configuration-manager/cm-pricing-licensing.aspx
http://www.microsoft.com/france/serveur/system-center/acheter-licence-sccm-2007.aspx
http://www.microsoft.com/france/serveur/system-center/fiches-produits-system-center.aspx#SCCM
http://www.microsoft.com/france/serveur/system-center/SCCM-gestion_configuration_desiree.aspx
http://www.microsoft.com/france/serveur/system-center/configuration-manager.aspx
http://www.labo-microsoft.org/articles/NPS_Configuration/1/Default.asp#_Toc282547324
http://www.labo-microsoft.org/articles/NAPSCCM/2/Default.asp#_Toc278825060
http://www.petenetlive.com/KB/Article/0000300.htm
93
MediaNetWork
http://www.petenetlive.com/KB/Article/0000297.htm
http://www.landesk.fr/
http://www.landesk.fr/Solutions/gestion-des-syst%C3%A8mes-IT/Index.aspx
Architecture DNS
http://www.labo-microsoft.org/articles/network/dns_zone/
http://exchangets.fr/spip.php?article42
http://www.frameip.com/dns/#4_-_Les_zones
Sauvegarde et récupération d’urgence Active Directory
http://support.microsoft.com/kb/324801
http://msdn.microsoft.com/en-us/library/cc770266(v=ws.10).aspx
Etude MIR 1 Réseau MediaNetwork
Etude du projet Tailspin Toys
Forefront TMG
http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?List=02df0e9c-9559-4153-89fc9dd7e7a6baaf&ID=117
http://www.alexgiraud.net/blog/Lists/Categories/Category.aspx?Name=Microsoft%20TMG%202010
http://blogcastrepository.com/blogs/external_news/archive/tags/Forefront+TMG/default.aspx
http://64.4.11.252/fr-fr/library/dd440976.aspx
http://technet.microsoft.com/fr-fr/library/ee207137.aspx
http://www.labo-microsoft.org/articles/forefront_tmg_beta_2/6/
http://www.microsoft.com/france/vision/msdays09/Webcast.aspx?EID=a183cd5f-fae5-445b-a926776bcdc8af03
Architecture de messagerie et travail collaboratif
http://technet.microsoft.com/fr-fr/library/bb676499%28EXCHG.140%29.aspx
http://www.microsoft.com/exchange/2010/fr/fr/whats-new.aspx
http://www.microsoft.com/france/vision/mstechdays10/Webcast.aspx?EID=4d86c7cf-fd6d48a8-8519-bb1dc72c9310
http://technet.microsoft.com/fr-fr/library/dd425160%28office.13%29.aspx
http://www.laboratoire-microsoft.org/articles/win/OWA/
http://www.microsoft.com/exchange/2010/fr/fr/overview.aspx
Documentation AFTI Annexe A / Présentation d’Exchange Server 2007
Etude MIR 3 Messagerie MediaNetwork (nous-mêmes)
94
MediaNetWork
Table des figures
Figure 1 - Illustration Active Directory ..................................................................................... 11
Figure 2 - Schéma organisationnel du domaine vsn-aristote.lan ............................................ 16
Figure 3 - OU sites .................................................................................................................... 17
Figure 4 - Groupes .................................................................................................................... 17
Figure 5 - Stratégie de groupe .................................................................................................. 18
Figure 6 - Illustration GPO ........................................................................................................ 18
Figure 7 - Organisation Fonctionnelle des OU ......................................................................... 19
Figure 8 - Sites et services ........................................................................................................ 21
Figure 9 - Rappel des rôles FSMO sur Orsay ............................................................................ 27
Figure 10 - Schéma de la mise en place du serveur de sauvegardes ....................................... 28
Figure 11 - Schéma architecture DNS....................................................................................... 35
Figure 12 Fonctionnement DFS .............................................................................................. 41
Figure 12 - Architecture de la solution préconisée .................................................................. 44
Figure 13 - Schéma de fonctionnement d'Open Text ECM Suite ............................................. 46
Figure 14 - Schéma de la solution d’impression ...................................................................... 51
Figure 15 - Architecture logique Exchange CAS/DAG .............................................................. 57
Figure 16 - Schéma d'intégration architecture de messagerie et de travail collaboratif ........ 61
Figure 17 - Schéma de la solution d’applications métiers ....................................................... 64
Figure 18 - Schéma de l'infrastructure SCOM .......................................................................... 81
Figure 19 - Schéma de la solution SCOM ................................................................................. 85
Figure 20 - Interconnexion des sites distants........................................................................... 96
Figure 21 - Principes du CAS et DAG ...................................................................................... 100
95
MediaNetWork
7 Annexes
Promé)
7.1.1 Interconnexion des sites distants
Figure 21 - Interconnexion des sites distants
Annexes
96
MediaNetWork
7.1.2 Processus de récupération
Admettons que le contrôleur de domaine disposant du rôle émulateur PDC soit tombé pour cause de
problème matérielle. L’administrateur remplace donc la machine physique. Il est indispensable que
le disque dur du contrôleur de domaine sur lequel nous rétablissons une sauvegarde soit au
minimum de même capacité que la sauvegarde complète qui va être restaurée et que ce disque dur
en question soit vierge. Il n’y aucunement besoin de privilèges administrateurs pour cette
manipulation. La salle contenant les serveurs doit-être bien sûr accessible seulement par les
administrateurs autorisés.
La procédure de récupération se déroule ensuite de cette façon :
 L’administrateur démarre son serveur en bootant directement sur son DVD de Windows
Server 2008
 Il ne lance pas d’installation mais va dans l’outil de récupération de Windows
 Il peut sélectionner l’outil de restauration complète
 Il recherche ensuite sur le réseau l’emplacement du serveur de sauvegardes
 Puis la sauvegarde qu’il va restaurer
 Comme il s’agit en principe d’un serveur du cluster d’Orsay, il s’assure enfin que les deux
serveurs ont repris l’activité normalement, se répliquent parfaitement entre eux et que
le serveur restauré reprend bien le processus de sauvegarde automatique
Grâce à cette méthode, nous assurons une reprise d’activité des plus simples et rapides qui soient.
Annexes
97
MediaNetWork
7.1.3 Comparatif de serveurs de messagerie (Rudy Promé)
Voici un tableau récapitulatif de trois serveurs de messagerie que nous avons étudiés :
Boîte de messagerie
Agenda
Calendrier
Messagerie
instantanée
Base de données
POP
IMAP
SMTP
Cryptage SSL
Support technique
Tolérance de pannes
Clients de messagerie
Messagerie unifiée
Anti-spam
Accès aux mails depuis
l’extérieur
Synchronisation avec
mobiles
Administration
Approximation de prix
(Hors taxes)
Exchange Server
Oui
Oui
Oui
Via Communicator
Novell GroupWise
Oui
Oui
Oui
Intégrée
Kerio Connect
Oui
Oui
Oui
Non
LDAP avec Active
Directory
Oui
Oui
Oui
Oui
Oui
Oui grâce au DAG
Microsoft Outlook,
IBM Lotus Notes
Oui
Oui
Oui
LDAP
LDAP
Oui
Oui
Oui
Oui
Oui
Non
GroupWise Client
Oui
Oui
Oui
Oui
Oui mais pas en France
Oui
Microsoft Outlook
Oui
Oui
Oui
Non
Oui
Oui
Oui
Oui
Oui
Centralisée
50 € par utilisateurs
Centralisée
Centralisée
A première vue, les trois produits se veulent tous très complets et semblent répondre aux besoins
d’Aristote. Le produit que nous avions retenu était, et est toujours Microsoft Exchange 2010 pour les
raisons suivantes.
 D’une part, nous voyons très clairement que les coûts des licences sont largement inférieurs
aux concurrents
 D’autre part, nous éliminons la solution de Novell car il y a des coûts supplémentaires pour la
mise en place d’une solution de tolérance de pannes étant donné qu’elle n’est pas intégrée
au produit
 Enfin, nous préconisons Exchange face à Kerio Connect car ce dernier est encore jeune dans
l’univers Microsoft, son administration semble moins ergonomique. Il ne dispose pas de
support technique en France. De plus, il ne dispose pas de messagerie unifiée
7.1.4 Règles de la messagerie pour les utilisateurs (Rudy Promé)
Plan de nommage des comptes
Afin de créer un annuaire Exchange le plus clair et le plus simple possible, il faut définir une règle de
nommage pour les comptes des utilisateurs de notre client.
Annexes
98
MediaNetWork
Nous proposons donc de définir les comptes de la manière suivante :
 Nom.prénom@nom-de-l’entreprise.com
Par exemple, l’utilisateur Jean Dupont aura une adresse de messagerie comme suit :
 [email protected]
Autorisations et restrictions niveau mails
Nous devons également planifier un espace de stockage nécessaire pour stocker toutes les boîtes aux
lettres des utilisateurs et mettre en place des limites d’envoi afin de ne pas saturer la bande
passante.
Nous prévoyons un espace de stockage de 1 Go par utilisateur, donc par boîte aux lettres. Pour nos
1000 utilisateurs, nous nécessitons donc un espace de stockage de 1 To.
Pour palier aux risques de problèmes de bande passante, voici un tableau récapitulatif des
restrictions au niveau des envois de courriers en prenant en compte les différentes directions qui
composent Aristote :
Limite du nombre d’envoi par jour par utilisateur
Limite de la taille des mails direction générale
Limite de la taille des mails direction administrative et financière
Limite de la taille des mails direction commerciale et marketing
Limite de la taille des mails direction étude
Limite de la taille des mails direction production
Illimité
15 Mo
15 Mo
15 Mo
50 Mo
50 Mo
7.1.5 Synchronisation des appareils mobiles (Rudy Promé)
Windows Mobile
La configuration avec les terminaux équipés de Windows Mobile est très intuitive étant donné qu’il
s’agit du système d’exploitation mobile de Microsoft.
Après avoir renseigner le nom de domaine de l’entreprise, l’adresse du serveur et le nom et mot de
passe de l’utilisateur, il peut alors synchroniser son compte Exchange. Il peut également configuré à
quelle fréquence s’effectuera la synchronisation.
iPhone
La configuration sur iPhone est très simple car elle est déjà présente dans le terminal en lui-même.
Il suffit d’aller dans les réglages de l’iPhone et d’ajouter un compte de messagerie. On peut
sélectionner directement un compte Microsoft Exchange puis il suffit de renseigner l’adresse mail
professionnelle, son nom d’utilisateur précédé du nom de domaine de l’entreprise et le mot de passe
de la messagerie. Il demande ensuite de renseigner l’adresse Internet du serveur Exchange.
Vous pouvez dorénavant synchroniser votre courrier, vos contacts et vos calendriers sur l’iPhone
avec votre compte Exchange configuré.
Annexes
99
MediaNetWork
Android
Même principe que les terminaux précédents. On renseigne les informations indispensables pour
l’identification de l’utilisateur et du serveur puis la synchronisation grâce à ActiveSync sur Exchange
fonctionne automatiquement à la fréquence configurée sur le terminal.
Promé)
7.2.1 Principe de fonctionnement du DAG (Jérôme Teneur)
Le DAG fonctionne de façon très intuitive. Chacune des bases se trouvant dans un DAG sera
répliquée sur l'ensemble des nœuds (qui auront été sélectionnés). La base sera active sur l'un des
serveurs et passive sur les autres serveurs. Ainsi, en cas de perte du serveur actif la base sera
automatiquement remontée sur le serveur passif ayant la synchronisation la plus récente de la base
(de l'ordre de la dizaine de secondes).
Dans le principe de fonctionnement nous aurons donc un cluster de CAS qui viendront lier leurs
bases de données. On peut résumer ce principe de fonctionnement avec le schéma suivant :
Figure 22 - Principes du CAS et DAG
Le cas ci-dessus est typiquement ce que l’on va retrouver sur le site d’Orsay. Ainsi nous aurons deux
serveurs CAS qui intégreront un même DAG. Nous avons ici cinq bases mail, chacune recopiée à
l’identique sur les deux membres du DAG. De ce fait, on peut dire que le système RAID n’est pas
obligatoire pour les bases de données de messagerie (c’est également le discours tenu par
Microsoft). Nous le proposons, au choix du client de prendre la décision finale.
Annexes
100
MediaNetWork
7.3 DHCP (Vincent Desseaux)
7.3.1 Déroulement d’obtention d’un bail DHCP
DHCP Discover: Demande du client d’une
découverte des serveurs DHCP disponible par celuici et demande une première configuration IP. Le
client émet un message de demande de bail IP
(paquet DHCP Discover) qui est envoyé sur le réseau
avec adresse IP source 0.0.0.0 et adresse IP
destination 255.255.255.255.
DHCP Offer: Réponse du/des serveur(s) au message
DHCP Discover du client qui contient les premiers
paramètres de configuration IP. Le(s) serveur(s)
DHCP réponde(nt) en proposant une adresse IP en
fonction des paramètres renseignés dans le fichier
« dhcpd.conf », avec une durée de bail et l'adresse
IP du serveur DHCP par le paquet DHCP Offer.
DHCP Request: Requête du client afin de demander/renouveler son bail pour la configuration IP. Le
client sélectionne le premier paquet DHCP Offer (s'il y a plusieurs serveurs DHCP) reçue et envoie une
demande d'utilisation de cette adresse au serveur DHCP par la trame DHCP Request. Son message
comporte l'identification du serveur sélectionné, qui permet d’informer au serveur DHCP concerné
que son offre a été retenue. Tous les autres serveurs DHCP reçoivent également ce paquet et retirent
donc leurs offres.
DHCP ACK: Réponse du serveur qui valide le bail et lui transmet l’intégralité de sa configuration IP. Le
serveur DHCP sélectionné accuse la réception de la demande précédente et accorde l'adresse en bail
via le paquet DHCP ACK, celui-ci contient également des informations supplémentaires comme le
serveur DNS par défaut ou le nom du domaine par exemple. Ce bail est ensuite enregistré par le
serveur DHCP dans le fichier « dhcdp.leases » qui regroupe l’ensemble des baux affectés par celui-ci.
*Notons que l’ensemble des messages DHCP évoqués sont tous diffusés.
D’autres requêtes DHCP existent également, dont une présentation succincte est faite ci dessous :
Nom
DHCP Decline
DHCP NAK
DHCP Release
DHCP Inform
Annexes
Description
Le client annonce au serveur que l’adresse proposée par le DHCP Offer est déjà
utilisée
Réponse du serveur pour signaler au client que son bail est échu, ou si le client
annonce une mauvaise configuration.
Le client libère son adresse IP
Le client demande des paramètres locaux, il a déjà son adresse IP
101
MediaNetWork
7.3.2 Relais DHCP
No
Source
Destination
Protocol
Info
DHCP
DHCP
DHCP
DHCP
DHCP Discover
DHCP Offer
DHCP Request
DHCP ACK
1
0.0.0.0
255.255.255.255
2
172.16.1.253
255.255.255.255
3
0.0.0.0
255.255.255.255
4
172.16.1.253
255.255.255.255
Capture sur 172.16.1.0 /24
No
1
2
3
4
Source
172.16.1.253
172.16.0.3
172.16.1.253
172.16.0.3
Destination
172.16.0.3
172.16.1.253
172.16.0.3
172.16.1.253
Protocol
DHCP
DHCP
DHCP
DHCP
Info
DHCP Discover
DHCP Offer
DHCP Request
DHCP ACK
Capture sur 172.16.0.0 /24
7.4 Quelques rappels Active Directory (Jérôme Teneur)
Organization Unit (O.U)
Une OU sert principalement à structure l’active directory en rendant de grosse structure plus visible
mais elle sert aussi à appliquer des groupes Policy. Ainsi, comme nous le verrons, l’architecture
proposée s’appuiera notamment sur quatre OU représentant les sites distants.
Les principaux objets
 Les Users
Les users représentent les comptes des utilisateurs mais aussi des services tiers (Exemple :
BackupExec). Il est conseillé de réaliser un compte par utilisateur, un compte par service tiers, deux
comptes pour les administrateurs (Un simple et un admin)
 InetOrgPerson
L’inetOrgPerson est identique a un user classique de Windows et présente les mêmes options mais
ce type d’objet est plus compatible avec les autres annuaires comme ceux de Novel, Mac, etc. Il est
donc plus que conseillé de créer ce type de compte dans les réseaux hétérogènes.
 Computer
Représente une machine ou un serveur. Il s’ajoute automatiquement dans l’active directory lors de
l’ajout dans le domaine.
Annexes
102
MediaNetWork
Les Groupes
Il est principalement destiné à établir des listes d'utilisateurs pour leur attribuer des droits ou des
services. On distingue trois types de groupes :
 Le groupe local : il ne peut comprendre que des utilisateurs de son propre domaine
 Le groupe global : au sein d'un domaine, il est principalement utilisé pour affecter des droits
à des ressources dans un domaine. Il peut comprendre des utilisateurs, des groupes globaux
ou universels, issus du même domaine
 Le groupe universel : disponible depuis la version 2000, permet d'inclure des groupes et
utilisateurs d'autres domaines
Ces groupes nous permettrons de spécifier l’appartenance d’un utilisateur à une direction. Ainsi nous
pourrons lui attribuer des règles spécifiques, monter automatiquement des accès réseaux
correspondant, etc…
Permissions
Les Bultin contiennent tous les groupes de domaines locaux pour attribuer des droits aux utilisateurs
ayant un rôle administratif.
Les plus utilisés :




Entreprise admins : Droit sur l’ensemble de la forêt
Schema admins : Responsable de l’AD
Acompte operators : Création des groupes, users
Server operators : Opération de maintenance mais aucun accès à l’AD
Délégation des droits
Comme son nom l’indique ceci permet de déléguer des rôles dans l’active directory. Une délégation
peut se faire sur une OU, un type d’objet, une tâche, une propriété d’un objet. Pour une question de
sécurité, les OU doivent être bien structuré et les personnes qui auront des rôles déléguer ne
devront jamais avoir la possibilité de s’en ajouter des nouveaux.
Concrètement cela signifie que grâce à cette option nous allons pouvoir déléguer les tâches
administratives des sites distants directement aux administrateurs sur site. Tout ceci sera plus
longuement abordé dans la partie “Processus d'administration”
Annexes
103
MediaNetWork
7.5 Processus d’administration (Vincent Desseaux)
7.5.1 Schéma de déploiement des stratégies de groupes
7.5.2 L’octroi du droit Administrateur Local & l’utilisation du bureau à distance
L’octroi du droit Administrateur Local pour l’équipe informatique d’Orsay :
Annexes
104
MediaNetWork
L’utilisation du bureau à distance pour l’équipe informatique d’Orsay :
Annexes
105
MediaNetWork
7.6 Gestion du cycle de vie des postes de travail (Vincent Desseaux)
Architecture de System Center Configuration Manager
Représentation des flux avec SCCM
Annexes
106
MediaNetWork
Procédure de délégation de l’administration Active Directory
Cette rubrique explique les actions à effectuer pour mettre en place une délégation de
l’administration Active Directory sur Windows Server 2008 r2.
Cette présente procédure est destinée exclusivement aux membres de la Direction Informatique qui
dispose, via leur compte utilisateur, des autorisations nécessaires pour effectuer cette application sur
l’ensemble du domaine.
Avant de commencer:
Il convient que l’opérateur chargé d’établir la délégation d’administration puisse, sur le
contrôleur de domaine via une session de bureau à distance ou de manière locale sur la machine, se
connecter au moyen d’un compte membre de la Direction Informatique (ou bien encore d’un compte
membre du groupe Administrateurs).
Il convient d’avoir une connaissance sur les fondamentaux des systèmes d’exploitation
Windows ainsi qu’une connaissance sur le fonctionnement d’une gestion centralisée des ressources
par Active Directory.
Définition des droits des utilisateurs :
La première étape consiste à créer les
groupes
représentant
chaque
équipe
informatique des sites ainsi que le groupe de la
direction informatique et le groupe « Equipe
Informatique ». Ces groupes sont de type sécurité
global. Ces groupes seront contenu dans la OU
« groupes », elle-même contenu dans la OU
« administrateurs ».
Ensuite, il faut que les groupes représentant les équipes informatiques de chaque site soient
membres du groupe « Equipe Informatique » et que ce groupe et le groupe « Direction
Informatique » soient membre du groupe « Opérateurs de serveurs ».
Une fois ces actions faites, nous pouvons procéder aux tâches de délégations d’administration
pour chaque équipe. Il sera présenté la délégation d’administration du groupe « Direction
Informatique » et du groupe « administrateurs_Orsay ». Nous ne présentons pas la délégation
d’administration des groupes « administrateurs_Bayonne », « administrateurs_Sophia » et
« administrateurs_Bruxelles » qui reprennent en grande partie la procédure faite pour le groupe
« administrateurs_Orsay ».
Délégation des droits d’administration pour le
groupe « administrateur_Orsay »:
1. Ouvrir la console « Utilisateurs et
ordinateurs Active Directory » (Cliquez sur
Annexes
107
MediaNetWork
« Démarrer », « Outils d’Administration », « Utilisateurs et ordinateurs Active Directory »)
2. Sélectionner le conteneur « Orsay » devant être délégué et cliquez sur « Action »,
« Délégation de contrôle… »
3. Sur la fenêtre d’assistant de délégation de
contrôle, cliquez sur suivant, la page vous demandera
alors de sélectionnez le(s) compte(s) d’utilisateurs/
groupe(s).
Ajoutez donc le groupe « administrateurs_Orsay » qui
devra bénéficier d’un octroi de la délégation
d’administration pour le conteneur « Orsay », en
cliquant sur « Ajouter », puis en recherchant et
sélectionnant le(s) utilisateur(s)/groupe(s) voulu.
4. Cliquez sur « suivant », on vous proposera deux
types de configuration, soit définir des tâches
courantes, ou bien des tâches personnalisées.
Sélectionner « Créer une tâche personnalisée
à déléguer » et cliquez sur « suivant ».
Annexes
108
MediaNetWork
5.
Sur cette page, sélectionner « De ce
dossier et des objets qui s’y trouvent. Déléguer aussi la
création de nouveaux objets dans ce dossier » et cliquez
sur « suivant ».
6. Cette page définit les autorisations des objets
pouvant être octroyés dans le conteneur
sélectionné.
Sélectionner « contrôle total » sur le conteneur
correspondant au site qu’ils administrent.
7. Une
fois
les
autorisations
adéquats
sélectionnés, cliquez sur « suivant ». La page
affichée récapitule les droits qui seront
appliqués sur le conteneur pour les
utilisateurs/groupes sélectionnés. Pour valider ces droits, cliquez sur « Terminer ».
8.
Dans
la
console
« Utilisateurs et ordinateurs Active
Directory », cliquez sur « Affichage » et
vérifier
que
les
« Fonctionnalités
avancées » sont bien active. Si ce n’est pas
le cas, veuillez le sélectionner.
9.
Sur
le
conteneur
« Groupes » se situant à la racine du
domaine,
cliquez
sur
« Action »,
« Propriétés »
Annexes
109
MediaNetWork
10.
Cliquez sur « Sécurité » et cliquez
ensuite sur « ajouter », puis en recherchez et
sélectionnez le groupe « administrateurs_Orsay ».
11. Une fois l’ACE créé, cliquez sur
« avancé » et sélectionnez le groupe
précédemment créé et cliquez sur
« Modifier »
12.
Une fenêtre apparait, sur la liste déroulante
« Appliquer à » de l’onglet « Objet », sélectionner « cet objet
et tous ceux descendants » et dans la case à choix multiple
nommé « Autorisations », sélectionner « Ecrire toutes les
propriétés ». Une fois édité, cliquez sur « OK » sur la fenêtre
ainsi que sur la fenêtre « Paramètres de sécurité avancé… » et
« Propriété de… ».
13. Sur l’objet « administrateurs_Orsay » se situant dans le conteneur « Groupes », lui-même
contenu dans l’OU « Administrateurs », cliquez sur « Action », « Propriétés »
14.
Cliquez sur « Sécurité » et cliquez
ensuite sur « ajouter », puis en recherchez et
sélectionnez le groupe « administrateurs_Orsay ».
Annexes
110
MediaNetWork
15. Une fois l’ACE créé, cliquez sur
« avancé » et sélectionnez le groupe
précédemment créé et cliquez sur
« Modifier »
16. Une fenêtre apparait, dans la case à choix multiple nommé
« Autorisations », sélectionner
« Ecrire
toutes
les
propriétés ». Une fois édité, cliquez sur « OK » sur la fenêtre
ainsi que sur la fenêtre « Paramètres de sécurité avancé… »
et « Propriété de… ».
Délégation des droits d’administration pour le groupe « Direction Informatique »:
1.
Ouvrir la console « Utilisateurs et
ordinateurs Active Directory » (Cliquez sur
« Démarrer », « Outils d’Administration »,
« Utilisateurs et ordinateurs Active
Directory »)
2. Sélectionner
le
conteneur
« vsnaristote.lan » devant être délégué et
cliquez sur « Action », « Délégation de
contrôle… »
3. Sur la fenêtre d’assistant de délégation de
contrôle, cliquez sur suivant, la page vous demandera
alors de sélectionnez le(s) compte(s) d’utilisateurs/
groupe(s).
Ajoutez donc le groupe « Direction Informatique » qui
devra bénéficier d’un octroi de la délégation
d’administration pour le conteneur « Orsay », en cliquant
sur « Ajouter », puis en recherchant et sélectionnant le
groupe voulu.
Annexes
111
MediaNetWork
4. Cliquez sur « suivant », on vous proposera
deux types de configuration, soit définir des tâches
courantes, ou bien des tâches personnalisées.
Sélectionner « Créer une tâche personnalisée à
déléguer » et cliquez sur « suivant ».
5. Sur cette page, sélectionner « De ce dossier et
des objets qui s’y trouvent. Déléguer aussi la
création de nouveaux objets dans ce dossier »
et cliquez sur « suivant ».
6. Cette page définit les autorisations des objets
pouvant être octroyés dans le conteneur sélectionné.
Sélectionner « contrôle total » sur le conteneur
correspondant au site qu’ils administrent.
7.
Une fois les autorisations adéquats
sélectionnés, cliquez sur « suivant ». La page affichée
récapitule les droits qui seront appliqués sur le
conteneur pour les utilisateurs/groupes sélectionnés.
Pour valider ces droits, cliquez sur « Terminer ».
Annexes
112

mir intranet-windows

Transcription

Documents pareils

Profil Formations - Diplômes Expérience Projets réalisés

Inventaire du don, ici.

Chants vus le samedi 18 juin 2016

Notre plaquette Informatique

Page 1 Vincent RABAH Mob.: (+33) 6 84 311 804 email : vincent

Télécharger - D2X Expertise

Outils gratuits en ligne - SSi-Conseil Sécurité des Systèmes d

CV 2016.pages - CV de Laurent BOYER

Fiche Technique IMAGénie logiciel

Jean Christophe OLERON