View
0
Download
0
Category
Preview:
Citation preview
PROJET
EVOLUTION
GMSI APL 13
Novembre 2019
Diter Rémi
Mangenot Rémy
Savonnière Rémy
Dron Jean-Gabriel
Table des matières Contexte ........................................................................................................................................................................... 8
CYC – Customize Your Car ............................................................................................................................................ 8
L’entreprise............................................................................................................................................................... 8
Organigramme .......................................................................................................................................................... 8
Analyse de la situation avant le Projet ..................................................................................................................... 8
Nos différentes tâches.............................................................................................................................................. 9
Charte Graphique ........................................................................................................................................................... 11
Marge : ................................................................................................................................................................... 11
Nos logos : .............................................................................................................................................................. 11
................................................................................................................................................................................ 11
Choix des locaux techniques / Répartition des utilisateurs ........................................................................................... 12
Réseau ............................................................................................................................................................................ 15
Plan d’adressage IP ..................................................................................................................................................... 15
Réseau physique ......................................................................................................................................................... 16
Choix des équipements réseau .................................................................................................................................. 17
Analyse de nos besoins en termes de ressources ...................................................................................................... 21
Introduction .................................................................................................................................................................... 23
Installation de Windows Server 2016 ......................................................................................................................... 24
Installation de base (Serveur physique) ..................................................................................................................... 24
Active Directory .............................................................................................................................................................. 25
Organisation de notre AD ........................................................................................................................................... 25
Gestion des identifiants ................................................................................................................................................. 25
Intégration des utilisateurs ........................................................................................................................................... 26
DHCP ............................................................................................................................................................................... 26
Définition d’une plage IP ............................................................................................................................................... 26
Installation et configuration ......................................................................................................................................... 27
Configuration du DNS .................................................................................................................................................... 28
Contexte ...................................................................................................................................................................... 28
Prérequis ........................................................................................................................................................................ 28
Configuration .............................................................................................................................................................. 28
Tolérance aux pannes ................................................................................................................................................. 31
Insertion dans le domaine .............................................................................................................................................. 31
Contexte ...................................................................................................................................................................... 31
Mise en place ............................................................................................................................................................... 31
Création d’un utilisateur local ................................................................................................................................... 31
Insertion dans le domaine ................................................................................................................................................ 32
Insertion dans le bon OU ............................................................................................................................................ 32
Vérification de fonctionnement ................................................................................................................................ 33
Sécurité ........................................................................................................................................................................... 34
Contexte ...................................................................................................................................................................... 34
Stratégie de comptes ................................................................................................................................................... 34
Modification de la stratégie de mot de passe............................................................................................................ 34
Modification de la stratégie de verrouillage de compte ........................................................................................ 34
Bonnes pratiques de sécurité ....................................................................................................................................... 35
Verrouillage BIOS ............................................................................................................................................................. 35
Connexions réseaux ..................................................................................................................................................... 36
Contexte ...................................................................................................................................................................... 36
Restriction de l’accès au réseau. ................................................................................................................................ 36
Déconnexion automatique des sessions. ...................................................................................................................... 37
Stratégie locale ............................................................................................................................................................. 39
Contexte ...................................................................................................................................................................... 39
Mise en place ............................................................................................................................................................... 39
Restriction de modification de l’heure ..................................................................................................................... 39
Restriction d’installation de logiciels ............................................................................................................................... 40
Désactivation des lecteurs disquette & CD ................................................................................................................... 41
Restrictions de navigation sur supports externes ..................................................................................................... 43
Organisation de l’AD et des GPO................................................................................................................................... 44
Application et vérification de fonctionnement ............................................................................................................ 44
Audits / Journaux / Moniteur d’évènements .............................................................................................................. 45
Audits ........................................................................................................................................................................... 45
Journaux ...................................................................................................................................................................... 46
Moniteur d’évènements ............................................................................................................................................. 46
Tolérance aux pannes .................................................................................................................................................... 47
Définition ..................................................................................................................................................................... 47
Évaluation des risques de pannes ................................................................................................................................ 47
Gestion des risques........................................................................................................................................................ 48
Disponibilité ................................................................................................................................................................... 48
Contrôleur de domaine secondaire .......................................................................................................................... 49
DNS .............................................................................................................................................................................. 50
DHCP ............................................................................................................................................................................ 50
Utilisation de Scripts ....................................................................................................................................................... 52
Qu’est-ce que la notion de script ? En quoi est-ce utile ? ................................................................................................ 52
Utilisation de PowerShell ............................................................................................................................................. 52
Création des OU ....................................................................................................................................................... 54
Importations des comptes ........................................................................................................................................ 54
Linux serveurs ..................................................................................................................................................................... 56
Installation et configuration de Debian .......................................................................................................................... 56
Installation de DEBIAN sur une VM ............................................................................................................................... 56
Mise à jour des sources & paquets ......................................................................................................................... 57
Modification du fichier sources ................................................................................................................................... 57
Mise à jour des paquets ............................................................................................................................................ 57
Intégration de Linux dans un AD ................................................................................................................................ 58
Installation des services.......................................................................................................................................... 58
Attribution d’une IP fixe ................................................................................................................................................ 58
Configuration du fichier Host et resolv.conf .................................................................................................................. 58
Configuration des services ............................................................................................................................................ 59
Configuration NTP ....................................................................................................................................................... 59
Configuration Samba .................................................................................................................................................. 60
FTP .............................................................................................................................................................................. 60
Configuration .......................................................................................................................................................... 60
Installation du rôle ................................................................................................................................................... 60
Configuration du rôle ............................................................................................................................................. 61
Fonctionnement ...................................................................................................................................................... 61
Connexion anonyme ............................................................................................................................................... 61
Connexion sécurisée avec un utilisateur............................................................................................................... 62
Serveur NFS ........................................................................................................................................................... 62
Installation .................................................................................................................................................................... 62
Configuration sur le client ............................................................................................................................................ 63
Serveur HTTP ............................................................................................................................................................ 63
Explications ............................................................................................................................................................... 63
Configuration .......................................................................................................................................................... 63
Installation du rôle ................................................................................................................................................... 63
Fonctionnement ...................................................................................................................................................... 64
Plan des baies de brassage ........................................................................................................................................... 0
Système d’information ..................................................................................................................................................... 1
Configuration du Wifi ................................................................................................................................................... 2
Sécurité ............................................................................................................................................................................. 5
Pare-Feu ....................................................................................................................................................................... 5
Stratégies des mots de passe ....................................................................................................................................... 6
Solution de monitoring des disques S.M.A.R.T ............................................................................................................ 7
HDDScan ................................................................................................................................................................... 7
Speccy (ccleaner) ...................................................................................................................................................... 7
Defraggler ................................................................................................................................................................. 9
Solution de sauvegarde .................................................................................................................................................. 11
Monitoring des évènements réseau .............................................................................................................................. 12
Solution de partage de fichiers pour le comité d’entreprise ......................................................................................... 14
Comparatif des prestataires ........................................................................................................................................... 15
Les entreprises............................................................................................................................................................ 15
Choix du prestataire ................................................................................................................................................... 15
Choix des copieurs ...................................................................................................................................................... 16
Prix .............................................................................................................................................................................. 17
Emplacement des copieurs ........................................................................................................................................ 18
Configuration du serveur d’impression .......................................................................................................................... 19
Les bases ..................................................................................................................................................................... 19
Recherche ............................................................................................................................................................... 19
Serveur d’impression .............................................................................................................................................. 20
IP des copieurs ........................................................................................................................................................ 24
Partage dans Windows ........................................................................................................................................... 24
Postes Clients ................................................................................................................................................................. 25
Spécification 1 ............................................................................................................................................................ 25
.................................................................................................................................................................................... 25
Spécification 2 ............................................................................................................................................................ 27
Spécification 3 ............................................................................................................................................................ 28
Logiciel de prise en main à distance ............................................................................................................................... 30
TeamViewer................................................................................................................................................................ 30
Pourquoi ? .............................................................................................................................................................. 30
Utilisation ............................................................................................................................................................... 30
Prix .......................................................................................................................................................................... 31
Solution de vidéo-conférence ........................................................................................................................................ 32
........................................................................................................................................................................................ 32
La suite Office 365 ProPlus ......................................................................................................................................... 32
Teams ......................................................................................................................................................................... 32
Application...................................................................................................................................................................... 34
Mode gestion pour le SI ............................................................................................................................................. 34
Les différentes tables ................................................................................................................................................. 36
Relations entre les tables ........................................................................................................................................... 37
.................................................................................................................................................................................... 37
Mode de consultation pour les utilisateurs :.............................................................................................................. 38
.................................................................................................................................................................................... 38
.................................................................................................................................................................................... 39
.................................................................................................................................................................................... 39
.................................................................................................................................................................................... 40
Menu .......................................................................................................................................................................... 42
Ressources par Bâtiments .......................................................................................................................................... 43
.................................................................................................................................................................................... 43
Informations liées au poste de travail ........................................................................................................................ 44
.................................................................................................................................................................................... 44
.................................................................................................................................................................................... 44
Informations Personnels CYC ..................................................................................................................................... 45
.................................................................................................................................................................................... 45
.................................................................................................................................................................................... 45
Informations liées à chaque poste de l’entreprise ..................................................................................................... 46
.................................................................................................................................................................................... 46
.................................................................................................................................................................................... 46
Tableau Gestion des Coûts ............................................................................................................................................. 47
........................................................................................................................................................................................ 47
Annexe ................................................................................................................................................................................ 49
Lecteur de bandes .................................................................................................................................................. 58
Bandes LTO-6 Ultrium ............................................................................................................................................ 60
NAS Synology CE ..................................................................................................................................................... 61
Serveur HPE Proliant DL 380 x2 .............................................................................................................................. 64
Serveur HPE Proliant DL360 x2 ............................................................................................................................... 65
Châssis Aruba ......................................................................................................................................................... 66
Module 24 ports châssis Aruba x4 ......................................................................................................................... 67
Module 8 SFP châssis Aruba x2 .............................................................................................................................. 68
Module de management J9827A Châssis Aruba .................................................................................................... 68
Armoire informatique AR2400FP1 x2..................................................................................................................... 69
Switch HP 48 Ports POE Manageable x1 J9772A .................................................................................................... 69
Switch 24 ports POE Manageable x2 J9854A ......................................................................................................... 69
Switch 8 Ports POE Manageable J258A .................................................................................................................. 70
Module SFP x20 ...................................................................................................................................................... 70
Borne Wifi x9 .......................................................................................................................................................... 70
Configuration du serveur RADIUS pour les informaticiens .................................................................................... 70
Choix du NAS CE et configuration .......................................................................................................................... 74
Configuration du WSUS pour les informaticiens .................................................................................................... 78
Contexte
CYC – Customize Your Car
L’entreprise
Créer en 1987, CYC est une entreprise qui est devenue la référence dans le domaine de
l’automobile en France. Principalement axée sur la rénovation de véhicule ancien grâce à
son service de rénovation. Elle est devenue la 1ére entreprise à recevoir le label E.V.P
pour cette même catégorie. Mais également depuis 2005, elle propose un service de
personnalisation des véhicules afin de les rendre uniques.
Organigramme
Analyse de la situation avant le Projet
Le service informatique de l’entreprise CYC est charger du nouveau Projet voulu par la direction. Celui-ci
nommé « Projet Évolution » sera donc l’occasion pour notre service d’effectuer de nouvelles tâches dans
l’amélioration continue de notre entreprise.
Nous sommes chargés par la direction d’effectuer le déménagement de notre entreprise vers un nouveau
site. Une ancienne base militaire, celle-ci possède déjà une infrastructure réseau. Selon le choix de la
direction aucun autre travaux n’est prévu donc nous ne pouvons effectuer d’autres travaux pour changer
l’infrastructure existante.
Nous avons reçu le plan du site, il y a 4 bâtiments en plus du parking couvert. Pour le bâtiment principal, le
rez-de-chaussée est occupé par la salle d’exposition, du restaurant d’entreprise et les bureaux sont à l’étage.
Les bâtiments Aile Nord et Aile Sud sont identiques et possèdent un atelier au rez-de-chaussée et les bureaux
à l’étage.
Directeur général
Responsable RENO
Service RENO (40)
Responsable PERSO
Service PERSO (30)
Responsable SAV
Assistante
DAF
Service Administratif
(10)
Service Informatique (4)
Assitante de direction
Nous n’avons pas plus d’information pour le magasin à cet instant.
Pour l’ensemble des bâtiments, les canalisations passent dans les faux-planchers et les circuits électriques et
télécoms passent dans les faux plafonds.
Nos différentes tâches
Besoin d’un plan d’adressage IP optimisé par rapport aux besoins de l’entreprise. Justifier et chiffrer le choix
des baies de brassage + Choix des locaux techniques
Le prestataire se chargera du raccordement des locaux. Il aura besoin des schémas des baies de brassage,
des serveurs dispos, du nb de prises qu’il lui faudra, où placer les prises, la qté de câbles dont il aura besoin.
Création d’une maquette fonctionnelle de l’architecture réseau (Packet Tracer)
Serveurs :
Windows = Serveur principal : Besoin du service DNS, DHCP, redondance.
Linux = Serveur secondaire : Besoin du service DNS, DHCP, redondance.
Les deux serveurs doivent communiquer entre eux, l’un prend le pas sur l’autre en cas de panne
Besoin d’une stratégie de mot de passe forte pour les comptes utilisateurs correspondant aux critères de
l’ANSSI
Plages horaires pour les connexions au réseau selon les utilisateurs
Les solutions de stockage de masse doivent être paramétrées en RAID pour la récupération des données.
Monitoring des évènements de disques SMART
Les données de configuration AD seront sauvegardées sur le serveur Linux
Stratégies locales pour protéger les postes
Système de sauvegarde local + cloud
Supervision :
Mettre en place une solution de supervision des équipements réseau
Mise en œuvre :
Configuration servers / Environnement de travail > Scripting
Impressions :
Une imprimante par service (faire un comparatif et retenir une solution) noir et blanc
Voir où situer les imprimantes
Une imprimante couleur a dispo de tout le monde + Plage horaire spécifique pour les services RENO et
PERSO
Pas de plage horaire pour la direction, leurs impressions doivent aussi passer devant celles des autres
Gérer les droits aux impressions des utilisateurs
Mettre en place un serveur d’impression pour gérer les priorités
Organisation des données :
Création d’un dossier partage de 200Go sur le serveur Linux en NFS. Données archivées tous les soirs à
20H30 puis vidé ensuite (conservation des archives 3 semaines avant destruction)
Dossier CommunService de 100Go avec journalisation des évènements + audits planifiés
Dossier perso de 50Go accessible que par l’utilisateur concerné pour tous les utilisateurs + système d’alerte à
partir de 90% d’occupation du dossier.
Chaque répertoire stocké sur serveur Linux SAMBA
Hébergement du serveur FTP sous Linux, limité à 1To max, pas de sauvegarde, besoin d’être authentifier
pour déposer un fichier (penser à chiffrer les mots de passe)
Postes clients :
Mise à niveau du parc + Solution de prise en main à distance
Justifier les prix, choisir les solutions les plus adaptées aux besoins des utilisateurs
Besoin d’une solution de prise en main à distance
Besoin d’une solution de vidéo-conférence
Application :
Deux modes d’administration
Un pour le SI en DEV et un pour les utilisateurs en PROD
Le but est d’y intégrer la liste des postes, leurs emplacements, leur type etc.,
Les écrans qui y sont reliés, les imprimantes
Y inclure une recherche multicritère
Charte Graphique
La charte graphique de notre entreprise reprend l’ensemble des éléments que doit contenir chacun des documents
produits par l’ensemble de la société.
Marge :
Format A4 pour ce document.
Nos logos :
Nos polices d’écriture :
TITRE 1 : LIBERATION SANS / TAILLE 26 / GRAS / BLEU FONCE / RVB 47 84 150
Titre 2 : LIBERATION SANS / TAILLE 20 / GRAS / BLEU CLAIR / RVB 142 170 219
Titre 3 : LIBERATION SANS / TAILLE 16 / VERT CLAIR / RVB 168 208 141
Titre 4 : Liberation Sans / Taille 14 / Noir (Automatique)
Texte : Public sans / Taille 12 / Noir (Automatique)
Choix des locaux techniques / Répartition des
utilisateurs
Nous avons fait le choix de situer nos équipements informatiques au niveau des étages de chaque bâtiment
afin de limiter au mieux les risques de dégâts liés aux intempéries.
Pour le bâtiment principal nous avons choisi le local D, car c’est le seul qui était assez éloignées des arrivées
d’eau à cet étage. De plus il est assez proche d’une grande salle dans lequel l’équipe informatique peut
s’installer. L’avantage est qu’en cas de problème dans la salle serveur, le SSI peut s’y rendre rapidement.
Pour les ailes secondaires, nous avons choisi par élimination le local C.
En effet le local D ne présentait pas une ouverture de porte favorable puisque celle-ci s’ouvre vers l’extérieur
au milieu d’un couloir ce qui fait qu’en cas de modification dans la salle serveur par les informaticiens, une
partie du couloir serait complètement bloquée. Le local E quant à lui possède une fenêtre ce qui n’est pas
recommandé pour l’installation d’un local informatique.
BP 1er étage 21 Bureaux
3 locaux techniques
1 salle de réunion
BP100 – BP215
41 RENO | 4 INFO | 2 DG
Annexes 1er étage
15 bureaux 3 locaux techniques
31 PERSO
AN100-AN175
38 prises brassées
Pour ce qui est des sauvegardes elles pourront être stockées dans un local technique de l’aile Sud. De ce fait,
si un incendie venait à se déclarer dans un des bâtiments, s'ensuivent une perte de nos données, nos
sauvegardes devraient être épargnées.
Pour éviter les problèmes d’inondation, nous devons placer nos machines aux étages des bâtiments.
Réseau
Plan d’adressage IP
Pour notre réseau afin de pouvoir agrandir sa taille et sa sécurité nos différentes plages d’adresses ne sont
pas à la suite.
Nous avons choisi la plage d’adressage 10.0.0.0/20 afin d’avoir un réseau avec des adresses privées.
Pour plus de sécurité le réseau sur lequel se trouve nos serveurs est sur une plage différente de nos différents services.
Réseau physique
Pour notre réseau physique nous avons privilégié un réseau ayant une bonne tolérance aux pannes avec une
topologie maillée pour plus de sécurité sur notre réseau.
De cette façon nous espérons pouvoir toujours garantir un accès à nos utilisateurs si l’un de nos équipements
vient à tomber en panne.
Choix des équipements réseau
Bâtiment principal
Matériel Prix Quantité Specs
Armoire informatique 42 U 1000 HT 1 Baie 42U
HPE ProLiant DL380 Gen10
– 2U 3950 HT 1
2 Xeon Gold 2,3 GHz
16 cœurs / 64 Go
RAM / GigE /
Alimentation
redondante
HPE ProLiant DL360 Gen10
– 1U 5 560 HT 1
2x Xeon Gold 2,3
GHz 12 cœurs / 32
Go RAM / GigE,
10GigE, 25 Gigabit
LAN / Alimentation
redondante
HPE StoreOnce 15 000 1 Appliance de
sauvegarde
HPE StoreEver 2500 1 Lecteur de bandes
Châssis Aruba 5406R – 4U 1450 HT 1 Vide
Module supplémentaire
châssis Aruba 950 HT 4 Module 24 ports
Module supplémentaire
châssis Aruba 2500 HT 2 Module 8 SFP
Module supplémentaire
châssis Aruba 700 HT 1
Module de
management
Pare Feu 11 000 HT 1
Pare Feu online /
150 Licences
Antivirus
Onduleur Eaton 9px – 2U 1300 HT 2 Durée de batterie
jusqu’à 68 minutes
Climatisation Daikin
FTXC60B 1300 HT 1 /
Total bâtiment principal 53 860 €
Aile Nord
Matériel Prix Quantités Specs
Armoire
informatique 42 U 1000 HT 1 Baie 42U
HPE ProLiant DL380
Gen10 – 1U 3950 HT 1
2x Xeon Gold 2,3
GHz 16 cœurs / 64
Go RAM / GigE /
Alimentation
redondante
HPE ProLiant DL360
Gen10 – 2U 5 560 HT 1
2x Xeon Gold 2,3
GHz 12 cœurs / 32
Go RAM / GigE,
10GigE, 25 Gigabit
LAN / Alimentation
redondante
Switch HP Aile Nord 2200 1 48 ports + 4 SFP /
POE / Manageable
Onduleur Eaton 9px
– 2U 1300 2
Durée de batterie
jusqu’à 68 minutes
Climatisation Daikin
FTXC60B 1300 1 /
Total aile Nord 16 610€
Autres bâtiments
Matériel Prix Quantité Specs
Switch HP Aile Sud 885 1 24 ports + 4 SFP /
POE / Manageable
Switch HP Magasin 885 1 24 ports + 4 SFP /
POE / Manageable
Switch HP Gardien 250 1 8 Ports + 2 SFP / POE
/ Manageable
Baies murales 198 3 Attache murale / 9U
Module SFP 200 20 /
Onduleur Eaton
Magasin
1300 1 Durée de batterie
jusqu’à 68 minutes
Point d’accès sans fil 252 3 2,4 et 5GHz,
802.11ac, POE,
jusqu’à 1167 Mbps
Câbles RJ45 [Stock) 8 200 /
Total autres bâtiments 10 270 €
Total final 80 240 €
Licences Windows Server :
Le choix des licences Windows dépend aujourd’hui du nombre de cœurs utilisés par la machine physique.
Une licence Windows server coûte 882$ pour la version standard pour 8 cœurs. Nous avons donc calculé les
besoins que l’on aurait en termes de cœurs pour choisir les bonnes licences. Pour notre serveur principal
contenant le plus de machines virtuelles, et en nous basant selon les préconisations Windows pour que
chaque rôle ou service puisse tourner correctement, nous en avons déduit que nous avions besoin de 16
cœurs minimum. Cela n’inclut pas nos besoins futurs, nous avons donc décidé de prévoir une marge de
sécurité en cas de développement des applications métier. Nos serveurs Windows peuvent aller jusqu’à 32
cœurs physiques au total (2x16 cœurs), comme nous n’avons besoin que de 16 cœurs pour le moment, nous
avons acheté 2 licences Windows Server pour chaque serveur. Si nous voulons créer d’autres machines
virtuelles dans le futur, nous devrons penser à prendre d’autres licences Windows (licences additionnelles). Il
n’est pas nécessaire de les prendre tout de suite car cela engendrerait des frais inutiles car nos machines ont
déjà de quoi fonctionner correctement.
Ci-dessous nous pouvons retrouver un tableau édité par Microsoft avec les tarifs des licences standard et
datacenter.
Analyse de nos besoins en termes de ressources
Serveur Services Mémoire
Ram requise
Marge
supplémentai
re
Total RAM
Requise Cores
Disque
dur
Dagobah
ADDS
DNS
DHCP
Windows
DC
WSUS
0,5Go
0,5 Go
0,5 Go
4 Go
0,5 Go
4 Go
x4
x2
x2
x2
x4
x2
2 Go
1 Go
1 Go
8 Go
2 Go
8 Go
2 Core
1 Core
1 Core
1 Core
1 Core
1 Core
32 Go
Endor Debian +
DNS 0,5 Go x4 2 Go 1 Core 10 Go
Geonosis Debian +
DHCP 0,5 Go x4 2 Go 1 Core 10 Go
Hoth
Serveur
d’impression
+
Debian
1 Go
2 Go
x4
x2
4 Go
4 Go
4 Cores
1 Core
40 Go
Mustafar Debian +
Zabbix 0,5 Go x4 2 Go 2 Cores 10 Go
Kamino Serveur de
fichiers 4 Go x2 8Go 4 Cores 6 TO
Hyperviseur 1
28 Go RAM | 15 Cores
Hyperviseur 2
8 Go RAM | 4 Cores
Par sécurité en cas de forte demandes futur, nous allons doubler les ressources ce qui nous permettra d’être
prêt en cas de forte demande sur nos serveurs.
C’est pourquoi le choix de 2 serveurs se justifie. Il est donc nécessaire d’avoir un hyperviseur avec 64 Go de
RAM disponible, et un autre de 32 Go de RAM disponible
Pour les licences Windows, nous avons 2 serveurs qui ont besoin de 15 cœurs chacun, nous avons donc
besoin de 4 licences Windows Server 2016 (4x8coeurs=30 cœurs et il nous restera 2 cœurs en plus). 2
licences pour un serveur et 16 cœurs, et 2 autres pour le second serveur avec 16 cœurs.
Coût total des licences Windows Server 2016 : 4 x 882 USD = 3528 USD = 3,201.64 €
Nous pouvons mettre en place 2 baies informatique. L’une dans le bâtiment principal et l’autre dans un
bâtiment secondaire en réplication continue. Chaque machine physique sera assez puissante pour faire
tourner plusieurs machines virtuelles simultanément. Nous avons fait le choix d’ouvrir une machine virtuelle
pour quasiment chaque fonctionnalité à installer à des fins de sécurité.
Nous aurons donc une VM pour
- L’active Directory et le DNS et le DHCP
- Le DHCP Debian
- Le DNS Debian
- Le serveur d’impression
- Zabbix Debian
- Le serveur de fichier
Ces machines virtuelles seront installées sur deux hyperviseurs. L’intérêt des hyperviseurs est de pouvoir
répliquer les données sur les machines de l’aile Nord, et de bénéficier des ressources des deux machines en
les mutualisant.
Les données d’entreprise seront enregistrées sur une machine physique qui lui est propre puis seront
répliquées sur une autre machine dans une aile secondaire
Ces données seront ensuite inscrites sur bandes. Les bandes seront changées chaque semaines et
entreposées dans un troisième bâtiment.
Nous avons donc 7 machines physiques à manager.
Serveur Rôle Distribution
Alderaan Routeur /
Coruscant Hyperviseur
Dagobah AD + DNS + DHCP Windows
Endor DNS Debian
Geonosis DHCP Debian
Hoth Serveur d'impression Debian
Mustafar Zabbix Debian
Gamora Hyperviseur
Kamino Serveur de fichiers Debian
Korasa Réplication Gamora
Tatooine Réplication Coruscant
Falcon Serveur de sauvegarde StoreOnce
Chaque couleur représente une machine physique
Cette solution serait optimisée en termes de sécurité, nous aurions 2 salles serveur qui seraient répliquées ce
qui en cas de panne nous permettrai de basculer sur une autre machine.
Nous avons fait le choix de serveurs en rack car ils sont plus faciles à entreposer que des serveurs tour. Nous
aurions pu faire le choix de serveurs lame, nous avons estimé que cela était avantageux dans un esprit de
compacter au maximum les composants, mais les machines que nous avons choisies doivent tourner 24h/24,
nous avons donc privilégié des baies assez hautes pour pouvoir espacer nos machines et donc favoriser
l’aération et leur refroidissement.
Nous en avons doté deux de 64 Go de mémoire car nos machines doivent être capable de faire tourner un
hyperviseur sur lequel plusieurs machines virtuelles seront lancées en simultané.
Nous en avons doté deux autres de 32 Go de mémoire pour les mêmes raisons à ceci près que ces deux
machines ne serviront que de serveur de stockage des données, d’où la réduction de mémoire vive. Si le
besoin se fait ressentir dans les années à venir, il reste tout de même possible de rajouter de la mémoire
dans les deux serveurs.
Nous avons fait le choix de 4 serveurs HPE ProLiant DL380 et DL360 car ils correspondaient à nos besoins en
termes de ressources énoncés précédemment et peuvent être améliorés si nécessaire.
Nous trouverons en annexe le descriptif détaillé de toutes les machines physiques.
Introduction
La grande majorité des rôles et fonctionnalités qui seront utilisés dans le cadre de l’amélioration de notre
infrastructure implique l’utilisation de la version « Serveur » d’un système d’exploitation.
De ce fait, nous utiliserons « Microsoft Windows Server ».
Installation de Windows Server 2016
Installation de base (Serveur physique)
Lors de l’installation de Windows Server 2016, deux options s’offrent à nous : l’installation avec une interface
graphique ou en mode Core (installation minimale).
Choix du type d'installation
Le mode Core se présente en ligne de commande ce qui donne l’avantage de puiser très peu de ressources. Il
y a moins de composants installés, ce qui allège le système et améliore la sécurité en donnant moins de
points d’entrées au serveur.
Notre choix s’est cependant porté sur une installation avec une interface graphique, nos machines sont
suffisamment puissantes pour le supporter. De plus l’équipe technique est plus à l’aise avec cette interface.
Nous pouvons également repasser en mode Core grâce à une commande Powershell dans le cas où nous
aurions besoin de plus de performances pour nos serveurs.
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart
Le reste de l’installation se déroule de manière classique. Nous choisissons un mot de passe Administrateur
conforme à notre stratégie de sécurité. Pour les prochaines connexions nous utiliserons nos comptes
personnels pour plus de sécurité.
Active Directory
Organisation de notre AD
Concernant notre AD, nous avons fait le choix de l’organiser de la manière suivante :
Organisation des OU
Figure 21 - Convention de nommage des identifiants
Nous avons choisi de séparer les entités Ordinateurs des entités Utilisateurs. Cette méthode nous semble plus efficace en terme d’organisation mais aussi pour le déploiement des GPO Ordinateurs/Utilisateurs. Cette organisation permet également de limiter les niveaux d’arborescence des OU.
Concernant les groupes, nous avons utilisés l’OU par défaut « Groupes ». Nous n’avons pas suffisamment de
groupes de sécurité pour déployer une arborescence particulière.
Quelques exemples de groupes
La quasi-totalité des groupes contient les salariés de chaque service. Nous n’avons pas actuellement
d’administration avancée pour justifier la création de groupes spécifiques.
Gestion des identifiants
Concernant les identifiants, nous avons choisi la convention suivante :
<Première lettre du prénom><nom de famille complet>
Intégration des utilisateurs
Les utilisateurs seront intégrés dans l’AD via le script développé par le service informatique, à partir d’un
fichier CSV.
DHCP
L’application d’un protocole de configuration dynamique des hôtes (DHCP) nous permet d’assurer une
configuration automatique des adresses IP sur notre parc. Il attribue automatiquement une adresse IP et un
masque de sous-réseau à une machine connectée sur le réseau.
Définition d’une plage IP
Nous avons défini dans la partie adressage IP une plage réservée au DHCP, voici un rappel concernant cette
plage :
Utilisation Plage
Attribution Nombre d’IP Première IP Dernière IP
Administration 10.0.1.1 10.0.1.30 DHCP 30
Informatique 10.0.1.52 10.0.1.65 DHCP 14
Personalisation 10.0.1.82 10.0.1.143 DHCP 62
Renovation 10.0.1.162 10.0.1.223 DHCP 62
Attribution des adresses IP
Installation et configuration
Ce dernier sera donc installé sur le serveur WINSRV1.
Installation du rôle
Une fois notre service DHCP installé sur le serveur, nous pouvons commencer la configuration de ce dernier.
Nous avons la possibilité de créer une nouvelle étendue en IPv46 dans le gestionnaire DHCP. Nous allons
appeler cette dernière « Adresses hôtes ». Suite à cela, il est important de définir une plage IP qui sera
distribuée en fonction de notre adressage. Il est possible d’y ajouter des exclusions.
Configuration du DNS
Contexte
Le serveur DNS (Domain Name System) va jouer un rôle d’annuaire, lorsqu’un ordinateur va chercher à en
joindre un autre sur le réseau le serveur DNS va lui fournir la bonne adresse IP de celui-ci. En effet il permet
de faire la relation entre le nom d’un ordinateur et son adresse IP.
Rappel du cahier des charges :
Configurer les zones.
Prévoir une solution de tolérance aux pannes et la justifier.
Prérequis
Pour l’installation du rôle DNS il est impératif d’avoir au préalable renommé son serveur ainsi que d’avoir
configuré son adresse IP fixe.
Après avoir ajouté les rôles et fonctionnalités, ici AD DS et DNS nous allons passer à la configuration du DNS.
Configuration
Dans le gestionnaire DNS nous allons configurer une nouvelle zone primaire puisque notre serveur est
l’unique source d’information pour le DNS. Les deux autres options sont dans le cas d’une multitude de
serveurs DNS.
Figure 30 - Création d'une nouvelle zone
Figure 31 - Configuration d'une nouvelle zone
La zone directe sera nommée comme notre domaine : northernlights.local.
Puis la zone de recherche inversée en indiquant les trois premiers octets de notre réseau :
Figure 32 - Configuration de la zone (IPv4)
Figure 33 - Configuration de la zone
Nous pouvons ensuite choisir de mettre à jour le DNS de manière dynamique sécurisé ou manuellement.
Nous allons ici autoriser les mises à jours dynamiques sécurisées.
Figure 34 - Configuration de la zone
Figure 35 - Fin de la configuration
Toujours dans le gestionnaire DNS, dans les propriétés de notre serveur il faut activer les mises à jours
PTR.
Un enregistrement PTR (pointer record) est ce qui va associer une adresse IP à un nom d’hôte. C’est la
recherche inversée, le contraire de la recherche directe qui associe le nom d’hôte en adresse IP.
Figure 36 - Activation PTR
Figure 37 - Activation PTR
Bien que la recherche inversée ne soit pas indispensable, elle peut être utile dans le cas d’application
sécurisées demandant la validation des adresses IP.
Dans les propriétés de notre serveur nous indiquons son adresse IP comme récepteur des requêtes DNS.
Nous fixons ensuite l’adresse DNS sur le serveur.
Figure 38 - Configuration du serveur pour le DNS
Figure 39 - Configuration DNS du serveur
Nous pouvons à présent vérifier dans le gestionnaire DNS que nos machines remontent bien avec leurs
noms et leurs IP.
Figure 40 - Vérification de fonctionnement
Figure 41 - Vérification de fonctionnement
Tolérance aux pannes
La tolérance aux pannes sera gérée par la solution globale de réplication et de tolérance aux pannes.
Insertion dans le domaine
Contexte
L’insertion dans le domaine d’une machine client permet aux utilisateurs de se connecter avec leur
compte AD créé préalablement par le service informatique.
Mise en place
L’insertion dans le domaine s’effectue dans le panneau de configuration : « informations système
générales » où nous allons pouvoir changer le nom de l’ordinateur et le groupe de travail, ou domaine
dans notre cas. Avant de mettre l’ordinateur dans le domaine nous allons commencer par créer
l’utilisateur local puis vérifier si le rôle DHCP est bien effectif sur celui-ci.
Création d’un utilisateur local
Création du compte local
Ce compte local sera utile pour d’éventuelles interventions sur le poste en local. Nous avons choisi un nom
d’utilisateur unique ainsi qu’un mot de passe qui n’est connu que du service informatique. Dans la très
grande majorité des cas, ce compte Admin local sera créé lors de la masterisation du poste.
Vérification du fonctionnement du DHCP
l'IP de la machine
Avec un ipconfig nous pouvons vérifier que la machine entre bien dans la classe d’adresse IP choisie pour les
postes client. De plus, nous avons l’assurance que le poste est bien raccordé au réseau de notre entreprise.
Nous allons pouvoir maintenant l’ajouter au domaine sans problèmes technique.
Insertion dans le domaine
Nous avons préalablement changé le nom de l’ordinateur par un nom conforme à notre convention de
nommage, nous allons pouvoir indiquer le nom de notre domaine puis valider la configuration.
Devenir membre d'un domaine
Insertion dans le bon OU
Retournons maintenant sur notre serveur contrôleur de domaine afin de mettre ce nouvel ordinateur dans
l’OU (Unité d’organisation) qui lui est destiné.
Nous pouvons trouver ce nouvel élément dans l’OU global « Computer » de l’active directory, en faisant un
clic droit on choisit donc « déplacer » et nous allons sélectionner le bon OU dans cet exemple nous voulons
l’insérer dans l’OU « SAV » des « ordinateurs »
Déplacement de l'ordinateur dans le conteneur
Vérification de fonctionnement
Nous allons vérifier le bon fonctionnement à la fois de la mise en domaine mais également de notre Active
Directory en nous connectant avec un utilisateur. Ici c’est le service « SAV « qui est concerné.
Connexion de l'utilisateur Vladimir GUEIZE
Ipconfig avec le compte utilisateur dans le domaine
Nous pouvons effectivement vérifier avec un ipconfig que l’on est bien connecté avec le compte vgueize et
que nous sommes bien dans le domaine northernlights.local.
Sécurité
Contexte
Nous devons respecter les exigences du cahier des charges :
Le mot de passe doit correspondre aux exigences de complexité.
8 caractères minimum.
Dans notre AD, nous allons donc définir la stratégie de mot de passe afin de s’assurer que chaque utilisateur
possède un mot de passe correspondant aux exigences de complexité et de sécurité.
Stratégie de comptes
Modification de la stratégie de mot de passe
La modification de la stratégie de mot de passe s’effectue dans l’éditeur de gestion des stratégies de groupe.
Elle se situe dans les paramètres de sécurité de la configuration d’ordinateur.
Modification de la stratégie de mot de passe
Les stratégies appliquées sont les suivantes :
Paramètres de la stratégie
Concernant les exigences de complexité, Windows Server définit la stratégie comme étant active nativement.
Nous devons donc simplement modifier la longueur minimale du mot de passe afin de la faire passer de 7 à 8
caractères. La durée de vie d’un mot de passe sera de 90 jours.
Modification de la stratégie de verrouillage de compte
Paramètres de la stratégie
Afin d’optimiser la sécurité des comptes utilisateurs, nous avons choisi de limiter les tentatives d’ouverture
de session. En cas d’échec, suite à la troisième tentative, le compte sera verrouillé pour une durée de 15
minutes.
Bonnes pratiques de sécurité
Nous allons également diffuser à l’ensemble des salariés des consignes de sécurité et de bonnes pratiques :
Les mots de passe des différents logiciels, boîtes mails devront respecter ces consignes :
Minimum 8 caractères (12 caractères minimum recommandés).
Présence d’au moins une majuscule, un caractère spécial et un caractère numérique.
Aucun mot du dictionnaire ou nom propre ne sera utilisé.
Chacun veillera également à ne pas inscrire les mots de passe en clair sur des post-it, papiers, carnets,
documents quelconque. Il ne sera pas communiqué de mot de passe en clair par e-mail.
Les identifiants resteront strictement personnels.
Verrouillage BIOS
Les BIOS de chaque machine seront modifiés pour éviter l’installation d’un OS à partir d’une clé USB
Bootable. Nous mettrons également un mot de passe dans ce BIOS pour éviter toute modification.
Connexions réseaux
Contexte
Voici, pour rappel, les exigences du cahier des charges concernant les connexions réseaux.
Mme BEZIAT, ELLA, AYO et ACIEN ne peuvent se connecter qu’entre 08 heures et 18 heures et à 19 heures
elles doivent être déconnectées. (Elles sont du service Produit A)
Aucun salarié, sauf la direction, le SAV et l’informatique ne peuvent se connecter entre 20 heures et 07 heures
du matin.
Restriction de l’accès au réseau.
Suivant le cahier des charges, nous allons appliquer une plage horaire d’accès sur plusieurs utilisateurs.
Restrictions demandées
Actuellement, la restriction peut être définie manuellement via les propriétés des utilisateurs au sein de
l’Active Directory.
Afin de ne pas perdre de temps nous allons créer un script BATCH qui, avec la liste des utilisateurs exportée
en CSV, va nous permettre de modifier les plages horaires plus rapidement.
Script de restrictions de connexions
Analyse des commandes :
FOR /F : parcours des fichiers.
Skip=1 : ignore la première ligne du fichier (la première ligne correspond au nom des colonnes). Tokens=1 : le
jeton utilisé pour la boucle For.
Delims=, : permet d’indiquer le délimiteur des valeurs du CSV.
Nous utilisons donc la commande Net USER avec l’option /time pour gérer l’heure à laquelle l’utilisateur
va pouvoir se connecter.
Une fois le script exécuté, nous allons définir à la main les quelques exceptions.
Il est possible d’effectuer cette opération à la main, c’est ce que nous allons faire pour les utilisateurs de la
plage 8h/18h.
L’option est disponible dans les propriétés de compte de l’utilisateur.
Mise en place des restrictions horaires
Déconnexion automatique des sessions.
Jusqu’à maintenant, notre politique interdit l’ouverture de session en dehors de la plage horaire souhaitée. Il
est possible d’effectuer une déconnection de l’utilisateur si ce dernier dépasse ses heures.
Nous allons attribuer une GPO pour la majorité du parc :
Configuration de la GPO
Nous allons exclure les utilisateurs se situant sur la plage 8h/18h. En effet, l’option de fermeture de
session sera planifiée pour 19h.
Pour cela, nous allons utiliser une GPO attribué à un groupe de sécurité : « GSS-FermerSession »
La GPO en question est une tâche planifiée qui va se contenter d’exécuter un batch au moment voulu.
Le Script est constitué d’un Shutdown -l.
Configuration du script
Planification du script
Stratégie locale
Contexte
Il nous est demandé d’appliquer certaines restrictions concernant l’utilisation du matériel informatique afin
de prévenir, notamment, des failles de sécurité internes.
Voici, pour rappel, les éléments du cahier des charges à mettre en œuvre :
En dehors de la direction, des services informatiques, personne ne peut installer de logiciels sur sa
machine ni modifier l’heure.
Les lecteurs disquette et CD sont désactivés sur les postes des services Produit A et B.
Les services Produit A et B, SAV ne peuvent parcourir ou ouvrir les dossiers ou fichiers à partir d’une
disquette ou d’un disque compact.
Mise en place
Concernant ces items, nous allons mettre en place des GPO8.
Les GPO (Group Policy Objects), appelées également stratégies de groupe, sont des fonctions permettant la
gestion d’un parc informatique dans un environnement Active Directory. Les entreprises utilisent les
stratégies de groupe pour restreindre les actions et risques potentiels comme l’accès à certains dossiers, le
verrouillage de fonctions Windows, ou autres…
La configuration de ces GPO s’effectue dans Windows Server, via l’outil Gestion de stratégie de groupe.
Restriction de modification de l’heure
En dehors de la direction, des services informatiques, personne ne peut modifier l’heure.
Cette première GPO est spécifique. Nous devons spécifier quels sont les utilisateurs disposant du droit de
modification de l’heure système. Par défaut, seuls les administrateurs et le service local peuvent effectuer
cette modification.
Nous avons donc créé deux groupes de sécurité dans notre AD, un groupe Direction et un autre DSI (Service
informatique). Ce sont ces groupes qui seront ajoutés dans cette GPO. Ainsi, les deux membres de ces
groupes auront autorité à modifier l’heure système.
Afin de garder un AD lisible, nous avons créé une unité d’organisation Groupes
Concernant la GPO, étant donné qu’elle concerne tout le parc informatique et tous les utilisateurs, nous
pouvons la placer à la racine du domaine. Cette GPO concerne la configuration de l’ordinateur.
Nous créons tout d’abord la GPO :
Création de la GPO
Ensuite, nous intégrons les groupes / utilisateurs concernés :
Ajout des utilisateurs / groupes
Lors d’une tentative de modification de l’heure, si l’utilisateur n’est pas dans le groupe autorisé, une
élévation sera demandée, et la modification sera donc impossible.
Restriction d’installation de logiciels
En dehors de la direction, des services informatiques, personne ne peut installer de logiciels sur sa machine.
Cette GPO sera intégrée à chaque OU concernée par la restriction, l’utilisation des groupes de sécurité n’est
pas nécessaire.
Windows recommande de placer cette GPO dans les OU Ordinateurs et Utilisateurs pour garantir son
efficacité maximale.
Une élévation sera nécessaire si l’utilisateur n’est pas autorisé à installer des logiciels.
Note : Nous créons également une GPO comprenant un script PowerShell qui désactivera le Windows Store
intégré à Windows 10.
GPO : Restriction d'installation de logiciels
Concernant la désactivation du Windows Store, nous allons créer une GPO à l’ouverture de la session
utilisateur qui exécutera un script PowerShell.
Configuration de la GPO : Configuration Utilisateur / Stratégies / Paramètres Windows / Scripts (Ouverture /
Fermeture de session) / Ouverture de Session > Scripts PowerShell
Script PowerShell - Suppression Windows Store
Désactivation des lecteurs disquette & CD
Les lecteurs disquette et CD sont désactivés sur les postes des services Produit A et B.
Cette GPO concerne la configuration de l’ordinateur.
Concernant cette GPO, nous avons procédé différemment. Après quelques recherches sur Internet, nous
avons constaté que la gestion de cette demande par GPO est problématique. Nous avons donc trouvé un
article sur le support de Microsoft qui fournit une solution plus aisée pour gérer la désactivation de ces
lecteurs.
HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
By default, Group Policy does not offer a facility to easily disable drives containing removable media, such as USB ports, CD- ROM
drives, Floppy Disk drives and high capacity LS-120 floppy drives. However, Group Policy can be extended to use customised settings
by applying an ADM template. The ADM template in this article allows an Administrator to disable the respective drivers of these
devices, ensuring that they cannot be used.
(https://support.microsoft.com/en-us/help/555324)
L’opération consiste donc à générer un fichier .adm à partir du code source fourni par cette page. Ce fichier
.adm sera ensuite injecté dans l’éditeur de stratégies de groupe, afin d’ajouter ces critères dans le catalogue
des paramètres disponibles. Il ne restera ensuite qu’à créer la GPO en utilisant ces nouveaux paramètres.
Note : Le code source ne sera pas recopié dans ce rapport, étant donné que nous n’en sommes pas les
auteurs. Il est présent dans le lien Microsoft ci-dessus.
Nous avons donc la possibilité, grâce à ce fichier .adm, de désactiver les éléments suivants :
Lecteur disquette (Désactivation du driver flpydisk.sys)
Lecteur CD/DVD (Désactivation du driver cdrom.sys)
Lecteur disquette haute-capacité (Désactivation du driver sfloppy.sys)
Ports USB (Désactivation du driver usbstor.sys)
GPO : Désactivation CD/DVD & Disquettes
Le statut Enabled applique la stratégie en désactivant le support. Le statut Disabled réactive le driver et donc
le support. Ainsi, sur un PC hôte, nous pouvons constater que la GPO est bien active :
GPO active
Restrictions de navigation sur supports externes
Les services Produit A et B, SAV ne peuvent parcourir ou ouvrir des dossiers ou fichiers à partir d’une disquette
ou d’un disque compact.
Contrairement à la GPO précédente, celle-ci s’active sur la partie Utilisateurs. Windows intègre par défaut un
paramètre adapté à cette situation. La GPO sera configurée sur les OU demandées.
La GPO
Lors d’une tentative d’accès, le message d’erreur confirme la restriction de navigation dans ces supports :
Figure 60 - GPO activée
Organisation de l’AD et des GPO
Nous aurons donc l’organisation suivante. La GPO concernant le changement de l’heure sera placée à la
racine de notre AD, tandis que les autres GPO seront classées en fonction des restrictions données dans le
cahier des charges.
AD et GPO "Ordinateurs"
AD et GPO "Utilisateurs"
Application et vérification de fonctionnement
Afin de forcer un poste à appliquer une GPO, nous pouvons utiliser la commande gpupdate /force. De même,
une vérification des GPO actives peut être faite avec l’utilitaire GPResult.
Audits / Journaux / Moniteur d’évènements
Le cahier des charges exigeait d’autres éléments :
Planifier 2 audits au hasard.
Configurer au moins 3 journaux à 3 jours.
Désactiver le moniteur d’évènements.
Audits
Nous allons configurer les 2 audits suivants :
Auditer l’ouverture de session
Auditer le verrouillage de sessions
AUDIT D’OUVERTURE DE SESSION (Description Microsoft) :
Ce paramètre de stratégie vous permet d’auditer les événements générés par les tentatives d’ouverture de session de compte d’utilisateur sur
l’ordinateur.
Les événements de cette catégorie sont liés à la création de sessions et se produisent sur l’ordinateur ayant fait l’objet d’un accès. Pour une session
interactive, l’événement d’audit de sécurité est généré sur l’ordinateur sur lequel le compte d’utilisateur a ouvert une session. Pour une session réseau,
telle que l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur l’ordinateur qui héberge la ressource.
Les événements suivants sont inclus :
- Tentatives d’ouverture de session réussies
- Échecs d’ouverture de session.
Tentatives d’ouverture de session à l’aide d’informations d’identification explicites. Cet événement est généré lorsqu’un processus tente d’ouvrir une
session en spécifiant de manière explicite les informations d’identification de ce compte. Cela se produit le plus souvent dans les configurations de
connexion par fichier de commandes, telles que les tâches planifiées, ou lors de l’utilisation de la commande RUNAS.
Des identificateurs de sécurité (SID) ont été filtrés et n’ont pas été autorisés à ouvrir une session.
Volume : Faible sur un ordinateur client. Moyen sur un contrôleur de domaine ou un serveur réseau.
Valeur par défaut sur les éditions Client : Réussite.
Valeur par défaut sur les éditions Serveur : Réussite, Échec.
AUDIT DE VERROUILLAGE DE COMPTE (Description Microsoft) :
Ce paramètre de stratégie permet d’auditer les événements générés par une tentative infructueuse de connexion à un compte verrouillé.
Si vous configurez ce paramètre de stratégie, un événement d’audit est généré lorsqu’un compte ne peut pas se connecter à un ordinateur pour
cause de verrouillage du compte. Les audits de succès enregistrent les tentatives réussies et les audits d’échec les tentatives infructueuses.
Les événements d’ouverture de session sont essentiels pour comprendre l’activité des utilisateurs et détecter les attaques potentielles.
Volume : Faible.
Par défaut : Succès.
La configuration se fait via une GPO (Placée à la racine de notre domaine) :
GPO Audits
Journaux
Nous devons configurer 3 journaux à 3 jours. Cette configuration se fait également via une GPO placée à la
racine de notre domaine :
Figure 74 - GPO Journaux
Moniteur d’évènements
Nous désactivons le moniteur d’évènements sur les postes clients. Néanmoins, nous le conservons sur le
serveur afin de garder un historique des actions et évènements sur ce serveur. L’administration en sera
facilitée. Cette GPO est également placée à la racine de notre domaine.
Moniteur d'évènements
Tolérance aux pannes
Définition
La tolérance aux pannes est une méthode de conception d’une architecture permettant à un système de
continuer à fonctionner, éventuellement de manière réduite en mode dégradé, au lieu de tomber
totalement en panne, quand l’un de ses composants ne fonctionne pas correctement.
Évaluation des risques de pannes
Le but de la tolérance aux pannes est d’éviter la perte de productivité et d’argent/bénéfices en cas
d’anomalie sur un élément du système. Une évaluation des risques est nécessaire. Ces origines peuvent être
diverses :
Origine physique (Naturelle ou criminelle)
o Désastre naturel (inondation, séisme, incendie)
o Conditions environnementales (intempéries, hygrométrie, température)
o Panne matérielle ou du réseau
o Défaillance électrique
Origine humaine (Fortuite ou intentionnelle)
o Erreur de conception (Bug logiciel, mauvais dimensionnement du réseau)
o Anomalie de sécurité
Origine opérationnelle
o Bug ou dysfonctionnement logiciel
o Malveillance intentionnelle
Gestion des risques
Dans notre entreprise, nous pouvons classer les éléments selon les schémas suivants. Le but est de réduire
au maximum les risques de panne de chaque élément.
Voici les sources de problèmes potentiels :
Gestion des risques - SERVEURS
Gestion des risques - POSTES CLIENTS
Disponibilité
Nous pouvons classifier les différentes classes de disponibilité en fonction de la durée estimée de
l’indisponibilité des équipements sur une période d’une année.
Classes de disponibilité (Base 1 année = 8760 heures)
Note : Toutes les sources de risques ne seront pas traitées dans ce dossier. Nous nous focalisons
uniquement sur la partie INFORMATIQUE.
Nous allons viser une disponibilité de niveau « Haute disponibilité ».
Contrôleur de domaine secondaire
La mise en place d’un contrôleur de domaine secondaire assure la tolérance aux pannes en cas de panne du
serveur principal contenant l’Active Directory (AD DS). De cette manière, si le serveur principal tombe en
panne, le système reste utilisable.
La configuration d’un contrôleur de domaine secondaire se fait de la manière suivante : Sur un second
serveur (Opérations non détaillées ici car déjà vues précédemment) :
- Installation du Windows Server.
- Configuration de ce serveur en IP fixe (Comme pour le premier serveur).
- Nommage du serveur en respectant la convention de nommage.
- Installation du rôle AD DS.
Nous allons ensuite promouvoir ce serveur en tant que contrôleur de domaine :
Configuration Post-Déploiement
Nous devons ajouter ce serveur à un domaine existant puis ajouter notre domaine et les informations
d’identification de l’administrateur du domaine :
Ajout à un domaine existant
Toutes les autres options sont laissées par défaut jusqu’à la configuration finale du contrôleur de domaine.
Une fois la configuration achevée, nous pouvons voir que le serveur est désormais membre du domaine en
tant que contrôleur de domaine.
DNS
Le serveur est membre du domaine
La réplication DNS permet d’assurer une continuité de service en cas de panne du serveur principal avec le
DNS principal.
Lors de la mise en place d’un contrôleur de domaine secondaire, la zone DNS est automatiquement
répliquée.
Il n’y a donc aucune configuration spécifique à faire dans le cas présent, étant donné que le serveur
secondaire est déjà membre du domaine. Une tentative de configuration d’une zone de DNS secondaire se
solde par un échec car le serveur détecte que la zone existe déjà.
Configuration d'une zone secondaire
Configuration d'une zone secondaire
DHCP
Concernant le DHCP, nous allons effectuer une réplication du premier serveur vers le second en utilisant le
mode « Serveur de secours ».
Nous devons commencer par l’installation du rôle DHCP (Déjà présenté dans ce document) pour ensuite
configurer le basculement :
Sur le serveur principal, il faut sélectionner l’étendue IPv4 et configurer un basculement :
Figure 105 - Configurer un basculement
Après avoir sélectionné l’étendue à basculer, il faut ensuite choisir le serveur de secours (serveur partenaire)
:
Figure 106 - Choix du serveur partenaire
Vient ensuite la configuration du basculement :
- Nous sélectionnons le mode « Serveur de secours ».
- 5% des IP réservées le seront pour le serveur de secours.
- Le basculement sera protégé par un mot de passe.
Configuration du basculement
Une fois la confirmation obtenue, nous pouvons voir sur le second serveur que l’étendue est bien active.
Figure 108 - Étendue DHCP active sur le serveur secondaire
Utilisation de Scripts
Qu’est-ce que la notion de script ? En quoi est-ce utile ?
L’intérêt d’un script réside dans la sa capacité à manipuler les fonctionnalités d’un environnement
informatique d’une manière automatisée.
Pour cela, le script va être rédigé dans un langage qui lui est propre. Par exemple, nous allons utiliser du
PowerShell afin d’automatiser une tâche d’intégration d’utilisateurs dans un domaine. De nos jours il existe
une multitude de langages, Java, PHP, C++, Python, Rubis etc...
Ces derniers peuvent être classé en deux catégories :
- Langages interprétés
- Langages compilés
Un langage dit « Interprété » est tout simplement une méthode de script qui nécessite une traduction. Ce
dernier étant différent d’un langage machine, l’utilisation d’un programme auxiliaire sera nécessaire afin de
traduire au fur et à mesure les instructions du programme (Script).
A l’inverse, un programme compilé va être directement traduit par un programme de compilation afin de
générer un fichier qui sera autonome. Une sorte de fichier exécutable qui sera compris par la machine.
En quoi l’utilisation de script pourrait nous être utile ?
La réponse est simple, l’utilisations de scripts nous offrent :
- Gain de temps
- Évite les erreurs « humaines »
- Automatisation des tâches
Utilisation de PowerShell
Nous allons maintenant utiliser PowerShell afin de faciliter l’intégrations d’utilisateurs au sein d’un domaine.
Pour ce faire, nous allons utiliser une liste des employées enregistré sous le format « .csv » (Comma-
separated values, données tabulaires sous forme de valeurs séparées par des virgules/ points virgules).
La liste est constituée de la manière suivante :
Constitution de notre base de données (CSV)
Maintenant lançons notre environnement d’écriture de script PowerShell ISE. Actuellement, notre AD est totalement vierge. Il va nous falloir intégrer dans notre script la création des O.U afin d’y importer nos utilisateurs. Puis définir une règle afin d’intégrer ces derniers dans la bonne O.U.
Premièrement, nous allons importer les modules ActiveDirectory et Mircrosoft.Powershell.security. Et sans
oublier, notre CSV contenant les informations.
Création des OU
Nous pouvons créer nos OU en répétant cette commande pour chaque services (voir le chapitre sur
l’organisation de l’AD) :
Importations des comptes
Pour chaque utilisateur du fichier csv, nous allons déclarer une variable :
Il est maintenant important de vérifier dans quelle OU sera notre utilisateur en utilisant la catégorie Service
de notre CSV. Il est tout à fait possible de faire cette vérification avec un enchainement de « If - elseif » mais
dans notre cas, nous allons utiliser la commande « switch ».
Il est maintenant possible de créer nos utilisateurs, la variable « $Service » créée ci-dessus nous sera utile
pour le chemin cible.
Il est tout à fait possible que la commande en question rencontre un problème quelconque, il serait alors
appréciable d’avoir un visu sur la finalité de notre commande.
Pour cela nous allons utiliser les instructions « try » et « catch ».
Voici donc notre code :
Instructions "Try" & "Catch"
Notre script étant terminé, il nous suffit de l’exécuter.
Contrôle du Script PowerShell
LINUX SERVEURS Cette partie regroupe tous les éléments du cahier des charges correspondant à la partie Linux Server.
Installation et configuration de Debian
Installation de DEBIAN sur une VM
Nous allons maintenant définir la procédure d’installation d’une machine sous DEBIAN.
Je tiens à préciser que sous Hyper-V la seule contrainte est liée au choix de génération de la machine. Afin
d’éviter des erreurs de compatibilités nous allons choisir la première génération.
Choix de génération de VM
Menu de boot
L’installation en soit est assez simple. Nous allons y définir le nom de la machine, sa configuration réseaux,
choix de partition (cryptée ou non) et l’installation de GRUB.
Si la machine est actuellement connectée au réseau il est tout à fait possible d’y effectuer une mise à jour
des paquets en choisissant une des sources proposées au cours de l’installation.
Afin d’assurer la sécurité de notre machine, une manipulation est nécessaire afin de contrôler les accès et le
démarrage du GRUB par un mot de passe. Cette dernière est disponible dans les procédures.
Mise à jour des sources & paquets
Afin de s’assurer que les packages s’installent correctement sur notre serveur, il convient de mettre à jour un
fichier sources.
Modification du fichier sources
Nous devons modifier le fichier sources.list avec un éditeur de texte (Ici, nous utiliserons NANO) :
Sur le site officiel du support Debian, nous avons récupéré les URL des sources à ajouter dans notre
fichier.
Modification du fichier sources
Mise à jour des paquets
Il suffit ensuite de mettre à jour les paquets existants avec la commande suivante :
Ainsi, nous pourrons installer tous nos rôles sans problèmes.
Intégration de Linux dans un AD
Installation des services
L’intégration d’un serveur Linux dans un A.D nécessite l’installation de plusieurs services :
- Kerberos
- Samba - Winbind - NTP
Nous allons donc utiliser la commande suivante :
Attribution d’une IP fixe
Nous allons maintenant définir une adresse statique pour notre serveur Linux.
Pour cela nous modifions notre fichier de configuration réseaux :
Il est nécessaire de relancer le service afin d’y appliquer nos modifications.
Configuration du fichier Host et resolv.conf
Nous allons maintenant modifier notre fichier host afin d’y renseigner le domaine. Et renseigner dans le
resolv.conf l’adresse IP de notre contrôleur de domaine / DNS.
Modification du fichier host :
Modification du resolv.conf :
Configuration des services
Kerberos est un protocole d’authentification réseau. Ce protocole repose sur l’utilisation de tickets, ce
qui nous permet de contacter notre contrôleur de domaine de manière sécurisée.
Configuration du krb5.conf
Nous allons appliquer des paramètres sur plusieurs sections :
- [libdefaults]
- [realm]
- [domain_realm]
Configuration NTP
NTP (Network Time Protocol) permet de synchroniser notre serveur Linux à notre contrôleur de
domaine, en y indiquant l’adresse IP de ce dernier dans le fichier de configuration.
Nous allons configurer notre NTP.conf
Configuration Samba
Samba est le protocole de partage de dossiers dans un réseau local.
Modification du fichier conf.
Nous modifions certains paramètres :
- Workgroup afin d’y renseigner notre AD.
- Security, afin de définir le mode de sécurité ADS pour Active directory.
- Idmap uid et gid permet l’attribution d’ID pour les groupes venant de l’Active Directory.
- Winbind enum permet l’affichage des utilisateurs et les groupes de l’Active Directory.
- Winbind separator, lettre ou caractère séparant le nom du groupe du nom de domaine.
- Winbind offline logon permet l’utilisation de samba même si l’AD dysfonctionne.
FTP
Le service FTP (File Transfer Protocol) permet de stocker des données sur un stockage réseau. Le FTP
est pratique car l’utilisateur peut se connecter sur un serveur de fichiers distant sans passer par du
mappage réseau sous Windows.
Configuration
Sur notre serveur Linux, il faut préalablement faire les opérations suivantes :
- Configuration réseau de notre serveur (IP Fixe)
- Modification du fichier Sources (Source des paquets & mises à jour Debian)
Installation du rôle
L’installation du rôle se fait via une ligne de commande, après être passé en mode Root :
Ensuite, il faut entrer la commande d’installation du package :
Configuration du rôle
Lorsque le package est installé, toute la configuration se fait dans un fichier spécifique :
Autoriser la connexion anonyme :
Authentification des utilisateurs système et autorisation de téléchargement/envoi de fichiers :
Sécurisation du FTP / Activation du SSL (SFTP) :
Fonctionnement
Pour le test de fonctionnement, nous utilisons un Client FTP : FileZilla.
Ce client sera installé sur un poste client (Sous Windows 10). Nous pourrons nous connecter à notre
serveur FTP par ce moyen :
- Connexion anonyme
- Connexion sécurisée avec un utilisateur enregistré
Connexion anonyme
Nous utilisons les paramètres suivants :
Figure 131 - Connexion anonyme
Connexion
Connexion sécurisée avec un utilisateur
Nous avons un utilisateur : nlights
Connexion SSH Sécurisée
Connexion
Arborescence du serveur et affichage du dossier personnel
Serveur NFS
Installation
Le serveur NFS (Network File System) est le protocole de partage de répertoires par réseau. Il permet
d’accéder à des fichiers distants.
Nous allons l’installer grâce à la commande apt install.
Nous allons ensuite créer le répertoire en éditant le fichier /etc/exports de notre serveur Linux, nous
utilisons la commande nano.
Configuration du répertoire
C’est ici que nous allons nommer notre répertoire par exemple nlights ici partagé à l’ordinateur NLIGHTS-
SAV-001 nous lui autorisons la lecture et l’écriture : rw. Root_squash est la configuration de base qui
n’autorise pas les droits root sur le répertoire partagé.
Après l’enregistrement des configurations nous pouvons relancer le service NFS.
Le serveur est correctement configuré, nous pouvons aller sur le client afin de récupérer ce répertoire
partagé.
Configuration sur le client
Dans la connexion au lecteur réseau nous indiquons l’adresse IP de notre serveur linux 192.168.1.243 dans
notre cas puis le nom du répertoire partagé que nous avons donné sur le serveur linux.
Connexion au répertoire partagé
Serveur HTTP
Explications
Nous allons mettre en place un serveur Web. Ce serveur utilisera Apache qui est le serveur web le plus
couramment utilisé sur Linux. Nos ordinateurs clients pourront se connecter sur cette interface Web
(Intranet).
Ce serveur Web n’a pas vocation à être accessible de l’extérieur, dans l’immédiat.
Configuration
Sur notre serveur Linux, il faut préalablement faire les opérations suivantes :
- Configuration réseau de notre serveur (IP Fixe)
- Modification du fichier Sources (Source des paquets & mises à jour Debian)
Installation du rôle
L’installation du rôle se fait via une ligne de commande, après être passé en mode Root :
Ensuite, il faut entrer la commande d’installation du package :
Fonctionnement
Nous pouvons désormais nous connecter sur notre serveur Apache, à partir d’un navigateur Web
sur un poste client :
Page d'accueil par défaut du serveur Aâche
Le site pourra être modifié via l’utilisation d’un client FTP pour l’upload des pages web.
Le fichier de configuration se situe dans le répertoire : /etc/apache2/apache2.conf
13/11/19 - V1.0 1
Système d’information
Maintenant que nos données sont bien entreposées et sauvegardées, il devient nécessaire de
s’intéresser à la façon dont celles-ci sont accessibles. Le schéma ci-dessous résume la façon dont
nos machines vont communiquer entre elles sur le réseau
Chaque commutateur possède une double liaison fibrée au cas où une des deux lignes venait à
tomber, il y en aurait une de secours. Les prises réseau sont reliées aux différents commutateurs
qui eux-mêmes sont reliés au châssis HP dans le bâtiment principal.
13/11/19 - V1.0 2
Configuration du Wifi
Afin de permettre à nos utilisateurs d’accéder à l’internet dans nos bâtiments nous devons faire le
choix de matériel de qualité. Néanmoins nous devons faire attention à ce que notre réseau Wifi ne
soit pas trop puissant afin qu’il ne soit pas détectable à plus de quelques mètres de nos locaux.
L’idéal serait de ne couvrir que les bâtiments et que la couverture extérieure ne soit que très peu
assurée.
Nous avons fait le choix de ne mettre des points d’accès Wifi qu’à des endroits stratégiques afin de
réduire au maximum la captation de notre SSID en dehors de nos locaux. Nous aurions pu choisir
de dissimuler notre SSID mais nous avons jugé que ce serait plus simple pour nos utilisateurs s’ils
pouvaient le trouver d’eux même plutôt que d’avoir à le saisir manuellement. L’accès au réseau
Wifi reste tout de même limité avec la mise en place d’un mot de passe sécurisé.
Ci-dessous nous pouvons retrouver le rayon d’impact de notre réseau Wifi sur notre site. Chaque
bâtiment dispose d’une couverture Wifi totale grâce à la norme 802.11ac qui permet d’avoir des
débits convenables dans un rayon de 15m autour du point d’accès sur une fréquence 5Ghz.
13/11/19 - V1.0 3
Nous avons choisi un modèle performant de chez Netgear, notre revendeur proposait une offre moins
chère pour un package de 3 points d’accès sans fil. Nous avons donc pris 3 fois la même offre pour couvrir
13/11/19 - V1.0 4
la totalité de notre site et en avons eu pour 756 €
Nous avons accès à l’internet mais nous devons aussi configurer notre point d’accès afin que n’importe qui
ne puisse pas s’y connecter. Nous avons donc choisi de mettre en place un serveur RADIUS (Remote
Authentication Dial-In User Service) qui consiste à authentifier les utilisateurs qui se connectent au
réseau. Une procédure d’installation du serveur RADIUS est disponible en annexe pour les
informaticiens. Pour les utilisateurs, ils n’ont qu’à simplement rentrer leur login et mot de passe
Windows afin d'accéder à l’internet car RADIUS est un protocole de connexion directement liée à
l’Active Directory. De ce fait nous avons une traçabilité de qui fait quoi sur le réseau.
13/11/19 - V1.0 5
Sécurité
Pare-Feu
Pour la sécurité de notre parc informatique le choix du logiciel c’est basé sur ce tableau comparatif d’un
organisme indépendant :
(Source : https://www.av-test.org/fr/antivirus/entreprise-windows-client/)
13/11/19 - V1.0 6
Notre choix c’est principalement orienté sur deux solutions :
- Kaspersky Endpoint Security 11
- Symantec Endpoint Protection 14
Finalement nous avons décidé de nous porter sur la solution Kaspersky afin de protéger à la fois nos
serveurs et nos postes client.
Kaspersky est polyvalent, ayant un parc hétérogène il s’accorde parfaitement à notre SI. Il offre une
protection aux machines Windows, Linux et Mac.
La console d’administration étant installé sur le serveur physique permettra aux informaticiens ayant un
accès sur cette dernière a exécuté des actions tels que :
- Remonter une licence à distance
- Paramétré des stratégies de sécurité
- Installer l’antivirus sur un poste à distance
- Scan du réseau (trouver une machine grâce à son IP)
En effet ce dernier protège et détecte des comportements suspects, il permet de définir des stratégies de
sécurité et d’administration du poste utilisateurs. Tant d’avantages qui nous ont fait choisir cette solution.
Stratégies des mots de passe
Chaque collaborateur est responsable de l’usage qu’il fait des ressources informatiques de la société.
Les recommandations fournies par la direction des systèmes d’information sont les suivantes :
- L’utilisateur doit choisir son mot de passe en mélangeant caractères alphanumériques et chiffres.
- Le mot de passe doit être minimum de 8 caractères, Incluant 1 majuscule,1 minuscule, ainsi que 2
chiffre minimum.
- Si possible, l’utilisateur est prié de changer régulièrement son mot de passe afin d’éviter d’éventuel vol
de mot de passe.
- Les mots de passe sont personnels et ne doivent pas être communiqués à un tiers, les mots de passe
ne doivent également aucunement être écrit.
13/11/19 - V1.0 7
Solution de monitoring des disques S.M.A.R.T
Afin de rester opérationnel dans la gestion de nos données et afin d’anticiper des pannes
éventuelles, il est nécessaire d’avoir un outil qui nous permettre de suivre l’état de santé de nos
disques durs. Si un disque dur venait à ne plus fonctionner, nous pourrions préparer son
remplacement, plutôt que de tomber dénue au dernier moment
Nous avons testé plusieurs solutions
HDDScan
Cette solution semble être complète et répond à nos besoins. Elle nous permet d’analyser nos disques durs
un à un mais aussi de contrôler leur température et d’effectuer certains tests de lecture et d’écriture pour
voir s’ils répondent correctement.
Speccy (ccleaner)
Cet outil est gratuit et offre une interface claire et concise des informations. On peut y retrouver
différentes informations comme l’OS, le CPU, la RAM allouée à la machine ainsi que le statut des disques
durs
13/11/19 - V1.0 9
Defraggler
C’est une autre solution qui se rapproche de Speccy qui permet d’afficher l’état du disque pour voir les
zones qui sont utilisées ou non
13/11/19 - V1.0 10
Nous avons fait le choix d’utiliser Speccy qui permet d’avoir une vue sur les disques dur et de leur état de
santé, mais aussi car il peut nous donner une idée plus générale des autres composants utilisés sur une
machine physique en nous remontant l’état de la RAM utilisée, ou des processeurs grâce à des graphiques
dynamiques.
13/11/19 - V1.0 11
Solution de sauvegarde
Les sauvegardes sont probablement le point le plus important dans une infrastructure IT car elles
sont l’ultime moyen de récupération de données au cas où un problème surviendrait.
Il existe différents types de sauvegarde :
L’incrémentielle, celle qui utilise le moins d’espace disque car elle s’appuie sur les modifications de
la sauvegarde incrémentielle précédente et n’enregistre que ce qui a été modifié ou nouvellement
ajouté. C’est aussi la plus difficile à restaurer car il faudra restaurer la dernière sauvegarde
complète, puis restaurer toutes les incrémentielles jusqu’au jour qui nous intéresse afin de
récupérer les données qui nous intéressent. C’est aussi la moins fiable des 3 solutions, ce qui fait
que si un problème devait survenir sur nos données, nous ne sommes pas forcément sûr de
pouvoir les restaurer correctement. Ce n’est donc pas une option envisageable pour notre
entreprise.
La différentielle, celle qui permet de sauvegarder rapidement les données par rapport à une
sauvegarde totale car elle n’a besoin de restaurer qu’une sauvegarde complète puis celle du jour
concerné.
La complète, celle qui sauvegarde les données en totalité, mais qui est onéreuse car c’est celle qui
prend le plus d’espace et de temps selon la quantité de données à sauvegarder et à restaurer.
Nous avons choisi de faire une sauvegarde différentielle, elle est plus sécurisée qu’une sauvegarde
incrémentale, mais aussi car elle sera plus rapide qu’une sauvegarde complète, c’est donc le bon
compromis entre sécurité des données et rapidité.
Nous avons opté pour le schéma suivant afin de réaliser nos sauvegardes :
Lundi Mardi Mercredi Jeudi Vendredi
Sauvegarde
Différentielle
Sauvegarde
Différentielle
Sauvegarde
Différentielle
Sauvegarde
Différentielle
Sauvegarde
complète
Une fois nos données installées sur nos serveurs, il devient important de les sauvegarder. Elles les
sont dans un premier temps grâce à la réplication sur le serveur de l’aile nord mais ce n’est pas
suffisant, il est nécessaire d’installer d’autres mesures pour parer à toute éventualité. Dans cette
optique nous avons décidé de faire l’acquisition d’une Appliance de sauvegarde StoreOnce
proposée par HPE. L’avantage de cette Appliance est qu’elle peut gérer les jobs de sauvegarde
pour les envoyer dans un premier temps dans un lecteur de bande StoreEver Ultrium et ainsi nous
pouvons avoir une sauvegarde physique de nos données qui seront entreposées dans l’Aile Sud,
mais elle peut aussi les sauvegarder en ligne sur un cloud sécurisé d’HPE nous garantissant des
données restaurables à 100%.
13/11/19 - V1.0 12
Le descriptif du matériel se trouve en annexe
Coût total des sauvegardes :
Nom Prix Quantité
Appliance StoreOnce + Cloud 15 000€ 1
Lecteur de bandes StoreEver
Ultrium
2 500€ 1
Cassettes LTO 22€ 8
Total sauvegardes 17 676 €
Monitoring des évènements réseau
L’intérêt de la mise en place d’une solution de monitoring est d’avoir un suivi sur l’état actuel du
réseau et nous permet d’anticiper d’éventuelles pannes matérielles ou logicielles. C’est un outil
qui permet de définir l’état de santé d’un système d’information. Nous avons fait le choix de 3
solutions de monitoring et avons cerné quelques avantages et inconvénients qui nous ont permis
de choisir la solution la plus adaptée.
Comparatif solution monitoring
Nagios XI Zabbix Icinga
Avantage Grande variété de
plugins qui vont
chercher des données
Reporting
Gestion de panne /
Notification par e-
Cartographie du
réseau
Monitoring réseau
Monitoring serveur
Monitoring d’application
Monitoring de services
Wiki / Forum
Notification par e-mail
Solution complète
Compatible MySQL,
Oracle
Webinars
Documentation claire
User Friendly
Pour Linux server
Notification par e-mail
13/11/19 - V1.0 13
Inconvénients Peu intuitif
Besoin d’un plugin
pour chaque
fonctionnalité à
installer
Possibilité d’encrypter le
trafic entre le serveur et
les autres machines via
TLS (certificat ou clé
partagée)
Peu intuitif, installation
limitée à un nombre de
serveur
Prix Gratuit sans support
ou maintenance,
Maintenance et
support 2400$ pour
100 installations
Gratuit – Open Source Payant, pour la solution la
moins chère, un seul
serveur est disponible
pour 500 hôtes
1 seul contact en cas de
problème, support payant
Satisfaction
utilisateur
82% 97 % 84 %
Nous avons fait le choix d’utiliser Zabbix que l’on installera sur une VM Debian afin d’avoir une
remontée des différents évènements sur le réseau et nos machines. C’est une solution complète
et sécurisée qui permet de surveiller l’état du réseau mais aussi des serveurs et autres éléments
grâce à des graphiques dynamiques montrant l’état des ressources utilisées et qui possède une
vaste base de connaissance pour nous guider en cas de problème. C’est une solution libre qui
n'inclut aucun coût, ce qui est un plus pour une entreprise telle que la nôtre. Un agent sera installé
sur chaque serveur qui remontera les informations à la machine Debian.
13/11/19 - V1.0 14
Solution de partage de fichiers pour le comité
d’entreprise
Le comité d’entreprise a besoin d’un espace dans lequel stocker ses documents afin de pouvoir les
transmettre à tous les utilisateurs de l’entreprise. Comme c’est quelque chose qui doit être
accessible à tous et qui ne concerne que le CE, il n’est pas judicieux d'implémenter cette solution
dans notre infrastructure c’est pourquoi nous avons choisi de fournir un NAS Synology au CE qui
serait configuré par le SSI et qui serait indépendant du reste de l’infrastructure.
Synology offre la possibilité de créer un partage de fichiers sécurisé. Nous pouvons lier ce NAS à
notre Active Directory grâce à une liaison LDAP en l’ajoutant au domaine cyc.loc. De ce fait, tous
les utilisateurs qui possèdent une session dans notre entreprise n’ont qu’à se connecter avec leurs
mêmes identifiants et mot de passe, les groupes autorisés à se connecter sur le NAS étant Domain
Admins et Domain Users. Les représentants du CE n’ont ensuite plus qu'à créer les dossiers qu’ils
souhaitent partager et le SSI peut gérer la partie autorisations de lecture ou d’écriture.
Un document de configuration du NAS se trouve en Annexe
13/11/19 - V1.0 15
Comparatif des prestataires
Les entreprises
Nous avons effectué un appel d’offre afin de trouver un prestataire pour notre système
d’impression afin de nous fournir tout d’abord les différents copieurs mais aussi qui nous
assureront de la pérennité de notre infrastructure en nous proposant une maintenance régulière
de celle-ci.
Nous avons retenu 3 entreprises dans le secteur qui nous propose ce service à savoir :
Comparatif Lorraine Repro Est Multicopie Global bureautique Confiance Plus de 10 ans
d’existence Plusieurs agences
Plus de 10 ans d’existence Plusieurs agences
Plus de 10 ans d’existence Plusieurs agences
Prix Positif Positif Moyen Social Avis clients Positif
Avis ex-salariés Aucun Avis clients Positif Avis ex-salariés Positif
Avis clients Positif Avis ex-salariés Aucun
Service Hotline Demande d’intervention Relevé des compteurs
Hotline Demande d’intervention Relevé des compteurs
Hotline Relevé des compteurs
Maintenance Vision des équipements 7j/7 24h/24 Alerte automatique
Vision des équipements 7j/7 24h/24 Alerte automatique
Vision des équipements 7j/7 24h/24 Alerte automatique
Choix
Choix du prestataire
Pour donner suite à ce comparatif nous avons donc choisi Est Multicopie pour effectuer
l’installation de notre infrastructure. Nous avons donc le choix de plusieurs modèles de
photocopieurs de marque Konica Minolta.
13/11/19 - V1.0 16
Choix des copieurs
Nous avons le choix entre 2 modèles de copieurs à savoir :
La suite Business Hub
La suite I-SERIES bizhub
Nous avons choisi la seconde série pour sa modernité, sa rapidité d’impressions mais aussi pour la
sécurité grâce à l’authentification par Active Directory jusqu’à 1000 utilisateurs.
13/11/19 - V1.0 17
Après avoir effectué un comparatif depuis le site du constructeur de Konica Minolta.
Le premier modèle sera largement suffisant pour la demande de nos utilisateurs. Nous allons
également prendre le module de finition afin de séparer les travaux en fonction des différents
pôles.
Pour les caractéristiques principales nous avons retenu :
25 pages par minute en couleur ou en noir et blanc
16.000 à 130.000 copies par mois
Écran tactile simple d’utilisation
Prise en main à distance
Prix
Nous allons pour le moment louer 5 copieurs bizhub C250i pour le prix de : 120€ /mois.
Soit au total 600€ par mois pour les 5 copieurs, et donc 7 200€ pour 1 an.
Les consommables sont pris en charge par Est Multicopie.
Les copieurs seront installés et configurés par Est Multicopie, le SSI installera les copieurs sur les
postes des utilisateurs.
13/11/19 - V1.0 18
Emplacement des copieurs
Les 5 copieurs seront répartis sur 2 bâtiments :
Aile Nord étage
Bâtiment Principal RDC Bâtiment Principal étage
13/11/19 - V1.0 19
Configuration du serveur d’impression
Les bases
Recherche
Pour commencer nous devons voir si le copieur proposé par Est multicopie est bien compatible
sous Linux mais aussi que le pilote est bien disponible pour celui-ci.
Une recherche sur le site linuxfoundation.org permet en effet de voir que le copieur est bien
compatible sous Linux et que les pilotes sont accessibles.
13/11/19 - V1.0 20
Serveur d’impression
Maintenant que nous savons que le copieur est bien compatible avec notre future infrastructure,
nous allons installer et configurer le serveur d’impression.
Il faut installer 2 paquets principaux :
Samba pour fournir les pilotes aux postes Windows
Cups une interface web pour la configuration des copieurs
En premier temps on configure Samba
Nano /etc/samba/smb.conf
13/11/19 - V1.0 21
Il faut ensuite configurer CUPS
Nano /etc/cups/cupsd.conf
Il faut autoriser au compte à se connecter sur l’interface web
Les comptes administrateurs sont ajoutés
Puis on se connecte sur l’interface web
13/11/19 - V1.0 22
On ajoute un copieur et on le partage
On ajoute le pilote du copieur récupéré depuis linuxfoundation.org
13/11/19 - V1.0 23
Et on termine l’installation
Le résultat
Les imprimantes sont bien ajoutées sur un client Linux
13/11/19 - V1.0 24
IP des copieurs
COP01 : 10.0.2.54
COP02 : 10.0.2.55
COP03 : 10.0.2.56
COP04 : 10.0.2.57
COP05 : 10.0.2.58
Partage dans Windows
Nous allons ensuite continuer la configuration de Samba.
Avec la commande :
net rpc rights grant INFO SePrintOperatorPrivilege
Nous allons donner le privilège de gestion des imprimantes au groupe des administrateurs à INFO.
Avec cette commande :
cupsaddsmb -H localhost -U root -v COP01
Nous allons ajouter le copieur 01 dans la liste des imprimantes sur Windows.
13/11/19 - V1.0 25
Postes Clients
Spécification 1
Pour la majorité du personnels le poste de travail est celui-ci-dessus.
Ces specification technique sont les suivantes :
Dalle 15.6’’ HD LED CineCrystal (1366x768, brillant)
Processeur Intel Core i7-4510U Haswell (2.0 GHz, TDP 15W)
Mémoire vive installée (max) 8 Go DDR3L 1600 MHz (16 Go), 2 slots
Espace de stockage 1 To à 5400 tr/min
Carte graphique NVIDIA Maxwell GeForce 840M 2 Go DDR3 dédiés, Intel HD 4400 intégrée au processeur et Optimus
13/11/19 - V1.0 26
Lecteur optique Graveur DVD
Système audio 2 haut-parleurs Dolby Home Theater v4
Webcam Oui, HD 720p CrystelEye HD avec micro
Réseau Wi-Fi b/g/n + Ethernet Gigabit
Bluetooth Oui, Bluetooth 4.0+HS
Lecteur de cartes SD/MMC
Sortie(s) vidéo HDMI (HDCP), VGA
Entrée(s) / Sortie(s) Combo Casque/Micro
USB 2 USB 2.0 + 1 USB 3.0
Système d'exploitation Windows 8.1 64 bits
Batterie Li-Ion 6 cellules 5000mAh 56Whr
Autonomie annoncée Jusqu’à 7 heures
Dimensions (mm) 381.6 x 256 x 25.3-30.3
Poids 2.5 Kg
Autre Clavier chiclet avec pavé numérique, touchpad multi-touch
13/11/19 - V1.0 27
Spécification 2
Pour la direction, le DAF, le SAV, les responsables PERSO et RENO les machines dont nous
disposons sont celle affiché ci-dessus :
Ces spécifications techniques sont les suivantes :
Description du produit Dell Latitude 3590 - 15.6" - Core i5 7200U - 4 Go RAM - 500 Go
HDD
Type de Produit Ordinateur portable
Système d'exploitation Win 10 Pro 64 bits
Processeur Intel Core i5 (7ème génération) 7200U / 2.5 GHz (3.1 GHz) / 3
Mo Cache
Mémoire 4 Go DDR4 (1 x 4 Go)
Stockage 500 Go HDD / 7200 tours/min
Affichage 15.6" WLED 1366 x 768 / HD
Graphique Intel HD Graphics 620
Batterie 4 cellules - jusqu'à 14.9 heures
Dimensions (LxPxH) 38 cm x 25.8 cm x 2.27 cm
Poids 2.02 kg
13/11/19 - V1.0 28
Spécification 3
Pour le service administratif les machines dont nous disposons sont celle affiché ci-dessus :
Ces spécifications techniques sont les suivantes :
Taille RAM 8 GB
Taille du disque dur 250 GB
Version de processeur i3-3220
Nombre de processeur 1
Carte Graphique Intel(R) HD Graphics 4600
Clavier AZERTY
13/11/19 - V1.0 29
Pour chaque ordinateur nous allons rajouter un disque dur SSD de 240 GO avec les configurations
suivantes :
Marque SanDisk
Numéro du modèle de l'article SDSSDA-240G-G26
séries Plus
Couleur Noir
Garantie constructeur Garantie Fabricant : 3 an(s)
Description du clavier Français
Vitesse d'écriture 440 MB/s
Taille du disque dur 240 GB
Technologie du disque dur SSD
Interface du disque dur Serial ATA 600
Type de carte mémoire SSD
Le prix de ce dernier est de 36.25 € ce qui nous fait un total de 2902.5€ pour les 90 postes que
compte CYC
Nous allons faire l’acquisition de 5 postes Acer en plus pour avoir du sépare afin de pouvoir palier
à un éventuelle problèmes au besoin. C’est un achat qui nous coutera : 5x450€ = 2250 €
13/11/19 - V1.0 30
Logiciel de prise en main à distance
TeamViewer
Nous avons choisi TeamViewer comme logiciel de prise en main à distance afin de résoudre les
futurs problèmes de nos utilisateurs.
Pourquoi ?
L’entreprise qui développe TeamViewer existe depuis 2005.
Le produit est également compatible multiplate-forme comme Windows, Linux, Android, iOS, etc.
Le produit peut être installé sur un poste mais il existe aussi en « quick support » qui permet de
l’utiliser sans l’installer.
En termes de sécurité, pour se connecter à une session le destinataire doit aussi avoir le logiciel et
également fournir ses codes d’accès.
Utilisation
Une fois le logiciel démarré, nous devons demander à l’utilisateur de faire de même.
Une fois sur la page principale, il suffit d’enter l’identifiant de
l’utilisateur. Puis son mot de passe. Ils sont générés automatiquement.
L’utilisateur lui transmet ses accès comme
indiqué ci-dessus.
Il ne reste plus qu’à se connecter sur la session
de l’utilisateur.
13/11/19 - V1.0 31
Prix
TeamViewer propose 3 types de solutions pour les entreprises :
Nous allons choisir le Plan Corporate à 124,90€ /mois et prendre 1 seule licence pour le service
informatique. Cette solution est la plus adaptée, elle offre de base 3 utilisateurs en simultanés, il
nous suffit de prendre 1 utilisateur en plus dans l’offre.
L’offre sera donc de 2 329,92€ /an.
13/11/19 - V1.0 32
Solution de vidéo-conférence
La suite Office 365 ProPlus
Notre entreprise dispose d’une licence office 365 ProPlus qui contient un outil de vidéo-
conférence l’outil « TEAMS »
Teams
13/11/19 - V1.0 33
Cet outil permet de créer des groupes de discussion avec un ou plusieurs collègues mais aussi par
services et permet de passer des appels en visio-conférence que ce soit avec des personnes
interne ou externe à l’entreprise.
Exemple d’un appel à un seul collègue :
Exemple de visio-conférence de groupe :
Pour les utilisateurs de linux l’outil est disponible via une interface web et pour ce qui concerne du
client lourd le service informatique proposera des ordinateurs de prêt afin que les utilisateurs
puissent réaliser leur visio-conférence dans de bonne conditions.
13/11/19 - V1.0 34
Application
Mode gestion pour le SI
Pour accéder en mode administrateur il faut cliquer sur la base en maintenant « shift » enfoncé.
L’interface administrateur nous permet de modifier les tables et d’autres paramètres dans la base
13/11/19 - V1.0 36
Les différentes tables
Dans chaque table des modifications, des ajouts ou des suppressions peuvent se faire à partir du
moment où le mode administrateur est activé
13/11/19 - V1.0 37
Relations entre les tables
Avec cette base de données nous avons essayé de rendre le plus complet le nombres de requêtes
qu’un utilisateur pourrait nous demander et la création d’un formulaire avec les différentes
informations dont il aurait besoin serait disponible rapidement.
13/11/19 - V1.0 38
Mode de consultation pour les utilisateurs :
Afin de sécuriser notre base de données et les informations quel contient nous dissimulons tout
menu avec des données essentielles dans des tables pour ce faire nous avons suivis les différentes
étapes ci-dessous :
On décoche les options « afficher volet de navigation » afin de cacher les différentes tables et on
décoche les options « autoriser les menus… »
Ces options servent à ce que nos utilisateurs ne puissent pas avoir accès aux données essentiels et
aux tables qui font fonctionner l’application.
13/11/19 - V1.0 40
On masque par la suite tous les types d’objet afin de garder que les formulaires.
Ensuite nous créons un exécutable pour garantir un accès qu’aux formulaires de la base.
13/11/19 - V1.0 42
De ce fait quand on entre dans le fichier exécutable aucune actions n’est disponible si ce n’est la
lecture de la base
Menu
Pour garantir un Access plus simple à nos utilisateurs un menu à était créer avec différentes
options :
Chaque bouton sur le menu correspond à une requête enregistrée au préalable.
13/11/19 - V1.0 43
Ressources par Bâtiments
Voici deux exemples de résultats que l’on obtient en appuyant sur le premier bouton.
13/11/19 - V1.0 44
Informations liées au poste de travail
Le deuxième bouton permet de faire un listing des postes avec la personne qui est affecter et
l’emplacement de ce dernier.
13/11/19 - V1.0 45
Informations Personnels CYC
Le troisième bouton permet de faire un récapitulatif de chaque collègue de l’entreprise.
13/11/19 - V1.0 46
Informations liées à chaque poste de l’entreprise
Enfin le dernier bouton permet de faire un récapitulatif complet en fonction du poste que la
personne occupe.
EN APPUYANT SUR LA MAISON L’UTILISATEUR RETOURNE AUTOMATIQUEMENT AU MENU.
13/11/19 - V1.0 47
Tableau Gestion des Coûts
Le coût total de la mise en place des solutions s’élèvent à 99 580€
13/11/19 - V1.0 49
ANNEXE Document de localisation des prises réseau pour la société de raccordement
Bâtiment Principal – Rez-de-chaussée
Bureau Prise Brassage Service
Bureau 1 Resp SAV BP000 Brassée SAV
BP001 Non brassée
Bureau 2 Assistante
SAV
BP002 Brassée SAV
BP003 Non brassée
BP004 Brassée SAV
BP005 Non brassée
Bureau 3
BP006 Brassée ADMINISTRATION
BP007 Non brassée
BP008 Brassée ADMINISTRATION
BP009 Non brassée
BP010 Brassée ADMINISTRATION
BP011 Non brassée
BP012 Brassée ADMINISTRATION
BP013 Non brassée
BP014 Brassée ADMINISTRATION
BP015 Non brassée
Bureau 4
BP016 Brassée ADMINISTRATION
BP017 Non brassée
BP018 Brassée ADMINISTRATION
BP019 Non brassée
BP020 Brassée ADMINISTRATION
BP021 Non brassée
BP022 Brassée ADMINISTRATION
BP023 Non brassée
13/11/19 - V1.0 50
BP024 Brassée ADMINISTRATION
BP025 Non brassée
Bureau 5
BP026 Brassée DAF
BP027 Non brassée
BP028 Brassée DAF
BP029 Non brassée
Local A BP030 Brassée INFO
BP031 Non brassée
Localisation
13/11/19 - V1.0 51
Bâtiment principal – 1er étage
Bureau Prise Brassage Service
Bureau 21
Informatique
BP100 Brassée INFO
BP101 Non brassée
BP102 Brassée INFO
BP103 Non brassée
BP104 Brassée INFO
BP105 Non brassée
BP106 Brassée INFO
BP107 Non brassée
Bureau 1
BP108 Brassée RENO
BP109 Non brassée
BP110 Brassée RENO
BP111 Non brassée
Bureau 2
BP112 Brassée RENO
BP113 Non brassée
BP114 Brassée RENO
BP115 Non brassée
Bureau 3
BP116 Brassée RENO
BP117 Non brassée
BP118 Brassée RENO
BP119 Non brassée
Bureau 4
BP120 Brassée RENO
BP121 Non brassée
BP122 Brassée RENO
BP123 Non brassée
BP124 Brassée RENO
BP125 Non brassée
Bureau 5 BP126 Brassée RENO
13/11/19 - V1.0 52
BP127 Non brassée
BP128 Brassée RENO
BP129 Non brassée
Bureau 6
BP130 Brassée RENO
BP131 Non brassée
BP132 Brassée RENO
BP133 Non brassée
Bureau 7
BP134 Brassée RENO
BP135 Non brassée
BP136 Brassée RENO
BP137 Non brassée
Bureau 8
BP138 Brassée RENO
BP139 Non brassée
BP140 Brassée RENO
BP141 Non brassée
Bureau 9
BP142 Brassée RENO
BP143 Non brassée
BP144 Brassée RENO
BP145 Non brassée
Bureau 10 BP146 Brassée DG
BP147 Non brassée
Bureau 11
BP148 Brassée RENO
BP149 Non brassée
BP150 Brassée RENO
BP151 Non brassée
Bureau 12
BP152 Brassée TOUS
BP153 Non brassée
BP154 Brassée TOUS
BP155 Non brassée
13/11/19 - V1.0 53
Bureau 13
BP156 Brassée RENO
BP157 Non brassée
BP158 Brassée RENO
BP159 Non brassée
Bureau 14
BP160 Brassée RENO
BP161 Non brassée
BP162 Brassée RENO
BP163 Non brassée
Bureau 15
BP164 Brassée RENO
BP165 Non brassée
BP166 Brassée RENO
BP167 Non brassée
Bureau 16
BP168 Brassée RENO
BP169 Non brassée
BP170 Brassée RENO
BP171 Non brassée
Bureau 17
BP172 Brassée RENO
BP173 Non brassée
BP174 Brassée RENO
BP175 Non brassée
BP176 Brassée RENO
BP177 Non brassée
BP178 Brassée RENO
BP179 Non brassée
BP180 Brassée RENO
BP181 Non brassée
Bureau 18 BP182 Brassée RENO
BP183 Non brassée
Local C BP184 Brassée INFO
13/11/19 - V1.0 54
BP185 Non brassée
Local B BP186 Brassée INFO
BP187 Non brassée
Bureau 19
BP188 Brassée RENO
BP189 Non brassée
BP190 Brassée RENO
BP191 Non brassée
BP192 Brassée RENO
BP193 Non brassée
BP194 Brassée RENO
BP195 Non brassée
BP196 Brassée RENO
BP197 Non brassée
Bureau DG BP198 Brassée DG
BP199 Non brassée
Salle de
réunion
BP200 Brassée TOUS
BP201 Non brassée
BP202 Brassée TOUS
BP203 Non brassée
BP204 Brassée TOUS
BP205 Non brassée
BP206 Brassée TOUS
BP207 Non brassée
Salle Serveur
BP208 Brassée INFO
BP209 Non brassée
BP210 Brassée INFO
BP211 Non brassée
BP212 Brassée INFO
BP213 Non brassée
13/11/19 - V1.0 55
BP214 Brassée INFO
BP215 Non brassée
Localisation
Aile Nord – Rez-de-chaussée
Bureau Prise Brassage Service
Local A
AN000 Brassée INFO
AN001 Non
brassée INFO
Local B
AN002 Brassée INFO
AN003 Non
brassée INFO
13/11/19 - V1.0 56
Localisation
Aile Nord – Premier étage
Bureau Prise Brassage SERVICE
Bureau 1 AN100 Brassée PERSO
AN102 Brassée PERSO
Bureau 2 AN104 Brassée PERSO
AN106 Brassée PERSO
Bureau 3 AN108 Brassée PERSO
AN110 Brassée PERSO
Bureau 4 AN112 Brassée PERSO
AN114 Brassée PERSO
Bureau 5 AN116 Brassée PERSO
AN118 Brassée PERSO
Bureau 6 AN120 Brassée PERSO
AN122 Brassée PERSO
Bureau 7 AN124 Brassée PERSO
AN126 Brassée PERSO
Local C AN128 Brassée INFO
AN130 Brassée INFO
Bureau 8 AN132 Brassée PERSO
AN134 Brassée PERSO
Local E AN136 Brassée INFO
AN138 Brassée INFO
Bureau 9
AN140 Brassée PERSO
AN142 Brassée PERSO
AN144 Brassée PERSO
AN146 Brassée PERSO
13/11/19 - V1.0 57
Bureau 10 AN148 Brassée PERSO
AN150 Brassée PERSO
Bureau 11 AN152 Brassée PERSO
AN154 Brassée PERSO
Local D AN156 Brassée INFO
AN158 Brassée INFO
Bureau 12 AN160 Brassée PERSO
AN162 Brassée PERSO
Bureau 13 AN164 Brassée PERSO
AN166 Brassée PERSO
Bureau 14 AN168 Brassée PERSO
AN170 Brassée PERSO
Bureau 15 AN172 Brassée PERSO
AN174 Brassée PERSO
Localisation
13/11/19 - V1.0 69
Armoire informatique
AR2400FP1 x2
Switch HP 48 Ports POE Manageable x1 J9772A
Switch 24 ports POE Manageable x2 J9854A
13/11/19 - V1.0 70
Switch 8 Ports POE Manageable J258A
Module SFP x20
Borne Wifi x9
Configuration du serveur RADIUS pour les informaticiens
Installation :
Installer le rôle Service de stratégie et d’accès réseau sur le serveur
Ajouter le rôle Serveur NPS (Network Policy Server) pour ce service
Terminer
Configuration :
Se rendre dans l’onglet de configuration du serveur NPS
13/11/19 - V1.0 71
Ajouter une nouvelle stratégie réseau
Nommer la stratégie “WIFI”
Type de serveur : Laisser nos spécifié
Cliquer sur Suivant
Sélectionner une condition : Groupe d’utilisateurs
13/11/19 - V1.0 72
Choisir le groupe d’utilisateur “WIFI” (de ce fait seul les utilisateurs appartenant à ce groupe
pourront se connecter au Wifi)
Valider
Sélectionner type de port NAS
Choisir les options suivantes :
Dans la fenêtre Spécifier l’autorisation d’accès” choisir Accès accordé
Dans la fenêtre Configurer les méthodes d’authentification, ajouter une méthode
Sélectionner Microsoft PEAP (Protected EAP)
Dans la fenêtre Configurer les contraintes, laisser par défaut
Le RADIUS est maintenant configuré, il ne reste plus qu’à ajouter les bornes Wifi
13/11/19 - V1.0 73
Adressage IP des antennes Wifi
Nom convivial Adresse IP
Wifi BP 1 10.0.2.85
Wifi BP 2 10.0.2.86
Wifi BP 3 10.0.2.87
Wifi Magasin 10.0.2.88
Wifi Aile Nord 1 10.0.2.89
Wifi Aile Nord 2 10.0.2.90
Wifi Aile Sud 1 10.0.2.91
Wifi Aile Sud 2 10.0.2.92
Wifi Gardien 10.0.2.93
13/11/19 - V1.0 74
Choix du NAS CE et configuration
Le choix des NAS Synology est vaste, nous avons besoin d’un NAS assez puissant pour faire du
RAID. Même si les données du CE ne sont pas des données vitales pour l’entreprise, il reste
nécessaire de les sauvegarder. Comme nos serveurs, nous avons fait le choix d’une sauvegarde en
RAID 6 au cas où 1 voire 2 disques durs viendraient à tomber. Après une comparaison des
différents NAS via l’outil en ligne de Synology, nous avons décidé de choisir le modèle DiskStation
DS918+ qui permet un RAID 6 et qui est bien assez puissant pour un partage de fichiers sur le
réseau.
Il est représenté en vert. Globalement, le NAS se situe à un niveau plutôt élevé de performance
par rapport à ses concurrents sur une catégorie de transfert de fichier sur un dossier partagé et
qu’il est de bon rapport prix/performance.
13/11/19 - V1.0 75
Configuration du NAS CE
Se connecter avec le compte administrator sur le NAS
Ajout du NAS au domaine
Se rendre dans Panneau de configuration > Domaine/LDAP > Domaine
Dans « domaine » rentrer « cyc.loc » et dans DNS Server l’ip de notre serveur DNS 10.0.2.1
Se connecter en tant qu’administrateur du domaine pour valider
Se rendre dans l’onglet Panneau de configuration > Domaine/LDAP > Utilisateurs du domaine
13/11/19 - V1.0 76
Les utilisateurs du domaine devraient remonter
Créer un dossier partagé :
Se rendre dans Dossier Partagé
Sélectionner un dossier partagé et cliquer sur Modifier > Permissions
Choisir Domain User
Les utilisateurs du domaine ont accès au NAS, ils peuvent y accéder via un explorateur de fichier et
récupérer le fichier partagé par le CE dans le dossier concerné.
13/11/19 - V1.0 77
Il est aussi possible d’y accéder en passant par un navigateur et en les faisant télécharger les
fichiers du CE. Pour cela il suffit de renseigner l’IP du NAS dans un navigateur et de s’y connecter
en entrant son login et son mot de passe Windows et les dossiers partagés devraient apparaître
dans Shared Folders
13/11/19 - V1.0 78
Configuration du WSUS pour les informaticiens
Ajout du service WSUS sur le serveur
Configuration
13/11/19 - V1.0 80
Choisir « synchroniser depuis Windows Update » (Si nous avions déjà un serveur de mises à jour,
nous aurions pu récupérer les mises à jour de ce serveur pour les installer sur notre nouveau
serveur de mises à jour)
Choisir la langue des mises à jour
13/11/19 - V1.0 81
Choisir les produits (faire attention à ne choisir que ce qui nous intéresse car les mises à jour
devront ensuite être téléchargées sur le serveur ce qui peut ralentir la connexion et très vite
utiliser de l’espace de stockage)
Cliquer sur Suivant
13/11/19 - V1.0 82
Choisir le niveau de mise à jour que l’on souhaite installer sur les postes ou serveurs
13/11/19 - V1.0 83
Définition de la synchronisation avec Windows Update qui va récupérer les mises à jour 1 fois par
jour
Recommended