INNOVATIVE TECHNOLOGY

Transcription

1 Brian Grenon Michaël Canette Thomas Lizic INNOVATIVE TECHNOLOGY PROJET EVOLUTION GMSI 2012 Octobre 2013

2 Sommaire Introduction L entreprise BMT et son projet informatique Présentation de l entreprise Organigramme Présentation du projet Cahier des charges Windows Server 2008 R Linux Debian Application Solution retenue La virtualisation des serveurs Choix de l éditeur Présentation de l infrastructure virtualisée de BMT Les mécanismes à forte valeur ajoutée de l infrastructure virtualisée Schémas de l infrastructure Solution de tolérance de panne Organisation Mise en place de l infrastructure Plan d adressage IP Convention de nommage des postes Installation de VMware sur les serveurs physiques Installation de VMware ESXI Installation de VSphere client Installation de VCenter Création de pools de ressources Mise en place des serveurs Windows Installation de Windows Server 2008 R Installation du Contrôleur de Domaine principal DNS Active Directory Contrôleur de Domaine Secondaire Serveur DHCP Serveur d impression

3 Serveur de fichier Réponses aux exigences du cahier des charges Sécurité Impressions Connexions aux lecteurs réseau Connexions réseau Stratégie locale Accès à distance des postes utilisateurs Installation des serveurs Linux Installation de Debian Serveur Samba et intégration au domaine Serveur NFS Client NFS Réplication Serveur FTP sécurisé et anonyme Serveur DHCP Serveur Web (apache+mysql) Serveur GLPI Intranet et Base de données MCD (Modélisation Conceptuelle de Données) : MLD (Modèle de Liaison de Données) Présentation de l Intranet Scripting Remontée des lecteurs réseau Remontée automatique des informations relatives aux postes utilisateurs Conclusion Annexes Devis matériel Cluster de serveurs ESX dans VCenter Migration d une VM avec VMotion dans un cluster de serveurs ESX Utilisation de Veeam Backup Fichiers de configuration Linux

4 Introduction Le projet Evolution fait suite au projet Start dans lequel nous devions mettre en place le câblage et les équipements réseau sur un nouveau site. A présent, le but de ce projet est de proposer et d installer une architecture de serveurs sous Windows et linux ainsi qu un intranet incluant une base données. Pour réaliser ce projet nous avons un cahier des charges défini par un audit d une SSII et par la Directeur Administratif et Financier (DAF). 1. L entreprise BMT et son projet informatique 1.1. Présentation de l entreprise Créée le 15 avril 2010, BMT est une entreprise spécialisée dans la conception et la fabrication de casques audio professionnels et de consoles de mixage dédiées à la sonorisation. BMT est en pleine expansion et représente un effectif de 90 personnes, l entreprise vient de s installer dans des nouveaux locaux mieux adaptés au développement de son activité Organigramme 1.3. Présentation du projet La société est maintenant installée dans des nouveaux locaux, trois bâtiments qui regroupent l ensemble de l activité. Après le câblage du site et l installation de nouveaux équipements informatiques, BMT a besoin de structurer son système d information, en effet il n y a pas de centralisation des données du parc informatique, il n y a pas de gestion de droits utilisateurs ni de stockage de données partagé. Il s agit pour l équipe informatique d installer une infrastructure système grâce à la mise en place de serveurs permettant de gérer l utilisation des ressources de l entreprise par les utilisateurs et le parc informatique et installer un intranet permettant de consulter les informations relatives aux postes informatiques 3

5 1.4. Cahier des charges Suite à l audit d une SSII, Le cahier des charges relatif au projet se compose des éléments suivants : Choix et installation d une infrastructure de serveurs sous Windows server 2008 et Linux Debian et mise en place d une base de données regroupant les informations relatives aux postes de travail Windows Server 2008 R2 Windows Server 2008 R2 est un système d exploitation serveur permettant de mettre en place différents rôles et services au sein d un réseau. DNS (Domain Name Service) : configurer les zones et prévoir une solution de tolérance de panne. Service d annuaire Active Directory. Sécurité : les mots de passe utilisateurs devront répondre aux exigences de complexité et comporter 8 caractères minimum. Impressions : 1 imprimante pour chaque service nommée Print_nom du service. Une imprimante réseau pour tout le monde (les services Produit A et B ne peuvent imprimer qu entre 8 heures du matin et 17 heures). La direction est prioritaire sur toutes les impressions et les utilisent 24/24. Le service informatique a contrôle total sur toutes les impressions. M me LAPORTE et M lle ADA (les assistantes des services SAV et direction peuvent imprimer chez les Services Informatique, Service Produit A et B. Connexions réseau : Mme BEZIAT, ELLA, AYO et ACIEN ne peuvent se connecter qu entre 08 heures et 18 heures et à 19 heures elles doivent être déconnectées (elles sont du service Produit A). Aucun salarié sauf la direction, le SAV et l informatique ne peut se connecter entre 20 heures et 07 heures du matin. Stratégie locale : En dehors de la direction, des services informatique, personne ne peut installer de logiciels sur sa machine ni modifier l heure. Les lecteurs disquette et CD sont désactivés sur les postes des services Produit A et B. Les services Produit A et B, SAV ne peuvent parcourir ou ouvrir les dossiers ou fichiers à partir d une disquette ou d un disque compact. Gestion de l espace disque : Chaque utilisateur a droit à 5 Go sur le disque. Mettre les alertes en cas dépassement. Connexion aux lecteurs réseau : Chaque service doit avoir un répertoire nommé «Communservice» qui sera attribué à chacun des salariés lors de sa connexion réseau. A l intérieur de chaque répertoire, vous créerez un dossier pour chaque salarié (contrôle total sur celui-ci et aucun accès sur ceux des collègues). Seuls la direction et l informatique peuvent y accéder en plus (juste lire pour la direction). Attribuer un dossier de base à 2 users locaux au choix. Attribuer un dossier de base à 2 users du domaine au choix. Planifier 2 audits au hasard. Configurer au moins 3 journaux à 3 jours. Désactiver le moniteur d évènements. 4

6 Accès à distance : Tous les postes doivent être accessibles à distance Tolérance de panne (au niveau de chaque machine et de tout le domaine) : Prévoir une solution de tolérance de panne, la justifier et l expliquer Donner une liste de matériels prévus et les coûts associés. Scripts : Créer des scripts facilitant l administration des serveurs. Créer des scripts définissant l environnement propre à chaque utilisateur Linux Debian Linux Debian est un système open source nécessitant peu de ressources pour fonctionner de manière optimum, il complète Windows Server dans ses fonctionnalités. Même si Debian peut assurer tous les services proposés par Windows Server, il est plutôt utilisé pour mettre en place un serveur web, un server ftp ou pour partager des ressources avec un réseau Microsoft. Premier serveur : Partage de ressources Windows via samba serveur. serveur NFS Option : serveur DHCP. Deuxième serveur : Service FTP (sécurisé et anonyme). Option : service HTTP (intranet PHP MySQL) avec visualisation des caractéristiques techniques et logiciel des autres machines du parc informatiques. Client NFS avec sauvegarde automatique des ressources de l'autre serveur Application Le modèle de données sera réalisé en sortie du module base de données relationnelle. Utilisateurs de l application développée : Les membres du service informatique (en mode gestion). Les utilisateurs du parc informatique (en mode consultation). Fonctionnalités souhaitées : En mode consultation : Consulter la liste des postes décris par : les noms/prénoms d utilisateur, le nom du local, les caractéristiques de l UC. Pour chaque poste, offrir la possibilité de consulter : la fiche liste des écrans associés au poste, la liste des imprimantes associées au poste. Permettre la recherche multicritères de poste : utilisateur, local, mémoire vive, disque dur. En mode gestion : Enregistrer/modifier/supprimer des utilisateurs. Enregistrer/modifier/supprimer des locaux. Enregistrer/modifier/supprimer des écrans. Enregistrer/modifier/supprimer des imprimantes. 5

7 Enregistrer un poste en sélectionnant un utilisateur existant, un local existant, un ou plusieurs écrans existant, une ou plusieurs imprimantes existantes, et en saisissant les caractéristiques de l UC ainsi que la date de début d utilisation. Modifier un poste. Supprimer un poste. Remarques : Le mode consultation est accessible à tous les utilisateurs. Le mode gestion est interdit aux utilisateurs non membre du service informatique Solution retenue Afin de répondre aux mieux aux exigences du cahier des charges, nous allons mettre en place six serveurs sous Windows Server 2008 R2 et cinq serveurs sous Linux Debian. Sur chaque serveur les différents rôles et fonctionnalités seront activés et installés pour obtenir un réseau d entreprise sécurisé et unifié. Plutôt que d acquérir sept machines, nous avons optés pour une solution de virtualisation des serveurs. Deux puissants serveurs de production ainsi qu un serveur de stockage assureront la totalité de l infrastructure physique du réseau La virtualisation des serveurs Cette technologie permet à un ordinateur physique, originalement destiné à exécuter un seul système d exploitation, d héberger et exécuter en parallèle plusieurs instances de systèmes d exploitation différents. Principe : Sur toute machine physique, une couche hardware est présente. Cette couche représente l ensemble des périphériques matériels nécessaires au bon fonctionnement de l ordinateur. Il existe de nombreux types de périphériques, tels que le processeur, la mémoire, les cartes réseau et les disques durs, et pour chaque périphérique, il existe de nombreux constructeurs différents. Les technologies de virtualisation ajoutent une nouvelle couche à l architecture classique en lieu et place du système d exploitation. Cette couche est appelée Hyperviseur. Un hyperviseur opère entre la couche matérielle et les différents conteneurs qui lui sont ajoutés. Chaque conteneur, également appelé machine virtuelle, contient une instance d un système d exploitation et une ou plusieurs applications. La couche de virtualisation simule des périphériques virtuels pour chaque machine virtuelle et s occupe de faire le lien entre les périphériques virtuels et les périphériques physiques. Un hyperviseur peut faire tourner simultanément de nombreux systèmes d exploitation de tous types (Windows, Linux, Unix/BSD ), qui plus est, pour chaque machine virtuelle, un jeu de pilotes génériques est spécifié. Ainsi quelle que soit la couche matérielle sur laquelle l hyperviseur est installé, les machines virtuelles fonctionneront sans avoir besoin du pilote du constructeur. Et un changement de matériel n aura aucune incidence sur les machines virtuelles. Les schémas ci-dessus représentent les deux types d architecture de serveurs, l architecture virtuelle est composée de l hyperviseur (VMware) en lieu et place du système d exploitation de l architecture classique Architecture classique Architecture Virtuelle 6

8 Avantages de l architecture virtuelle : Les bénéfices dégagés par l utilisation des technologies de virtualisation sont multiples, nous décrirons ici les principaux. Consolidation : La virtualisation permet au service informatique d optimiser l utilisation de ses ressources physiques en utilisant le principe des machines virtuelles. En effet, il n est pas rare d observer des machines physiques dont l utilisation n excède pas 10% de leurs capacités réelles. Réduction du TCO (Total Cost of Ownership) : Les dépenses en matériel informatique sont une problématique en entreprise. En effet si un matériel est amorti sur 5 ans, une fois amorti, le serveur arrive en fin de vie et a besoin d être remplacé. Ce cycle de vie est considérablement réduit par la recherche et le développement conduisant à une innovation rapide dans le secteur informatique. La loi de Moore, vérifiée depuis 1973, stipule que la puissance des processeurs double tous les 18 mois, le matériel est donc en plus de souvent être sous-utilisé, rapidement obsolète. Continuité d activité : Au travers des fonctionnalités introduites par la virtualisation, il est possible d améliorer la continuité d activité en améliorant considérablement la tolérance de panne et la haute disponibilité. Optimisation de la qualité de service : Déployer un serveur opérationnel est une tâche lourde dans une architecture classique, impliquant de nombreux acteurs et demandant beaucoup de temps. La virtualisation met en place des processus facilitant cette opération et le déploiement de nouvelles machines virtuelles ne nécessite plus que quelques minutes. Il devient donc facile de déployer de nouveaux serveurs pour s adapter aux besoins de l entreprise Choix de l éditeur Le marché des solutions de virtualisation est un marché extrêmement concurrentiel. Les principaux acteurs composant ce marché sont Vmware, Citrix et Microsoft. Nous avons opté pour une solution de l éditeur VMware car elle est la plus avancée, et ce, dans plusieurs domaines. Notamment au niveau de la gestion de la mémoire, qui permet, entre autres, de l allouer en fonction de l intensité d utilisation et du besoin d une VM. Le serveur Vsphère a été confronté à un serveur hyper v, simplement en terme de performance. Le scénario testé était le suivant : 30 machines virtuelles, avec 2 cœurs chacune et 4go de ram. Le graphique suivant est le résultat en termes d opérations par minutes : 7

9 En termes de performances, Vmware est en avance, mais ce n est pas tant pour ces gains, assez substantiels, que nous avons choisi cette solution. C est plutôt pour la capacité d adaptation du logiciel, en effet, la solution de virtualisation de Vmware offre une très grande tolérance. Dans un second scenario, il y avait 24 machines virtuelles et 6 nouvelles ont été créées afin de mettre en difficultés les performances des solutions. Il en a résulté que hyper-v perdait 3.3% de ses performances globales alors que Vsphère gérait mieux ses performances pour voir son résultat augmenter sensiblement de 11%. En résumé, Hyper-v se contente de gérer le matériel, alors que le Vsphère l optimise et distribue la puissance en fonction de la demande. Ceci induit une réduction des coûts en électricité, non sensible mais notable tout de même, ainsi qu une réduction du stress des parties hardware du serveur donc une longévité plus grande. Cependant il aurait tout à fait été possible de proposer une solution à base d hyperv, mais dans d autres circonstances. Du fait que la moitié de notre parc de serveurs soit sous Debian, il ne nous semblait pas judicieux d utiliser un hyperviseur venant de Microsoft Présentation de l infrastructure virtualisée de BMT Les serveurs ESX : Pour mettre en place la nouvelle infrastructure de serveurs virtualisés, nous avons choisis d utiliser deux serveurs physiques HP Proliant sur lesquels sera installé l Hyperviseur. Chez VMware l Hyperviseur est une base Linux, il s appelle VSphere ESXI, son installation s effectue en barre métal, c est à dire, directement sur la machine. Sur un poste connecté en réseau aux serveurs ESXI, nous installerons l outil de gestion de virtualisation VSphere Client, cette application permet de créer et gérer les Machines Virtuels (VM), de piloter les ressources des ESXI et de gérer l espace de stockage. Chaque serveur ESXI de marque HP, est équipé de deux disques durs montés en Raid 1 (miroir) et d une alimentation redondante, permettant d apporter un premier niveau de tolérance de panne. Stockage partagé : Les serveurs ESXI utilisent leur puissance de calcul pour faire fonctionner les VM, mais les données qui les constituent se situent sur un serveur de stockage séparé. Les deux serveurs ESXI accèdent aux VM sur le serveur de stockage via une liaison haute vitesse en fibre optique, ce type de serveur est un SAN (Storage Area Network). Nous avons choisi un SAN HP P2000 comportant 12 disques de 300 Go pour un total de 3,6 To. 8

10 Les VM sont stockées sur un ou plusieurs Datastore, chaque ESXI prend en charge la gestion d un Datastore et doit être capable, en cas de défaillance de l autre serveur, de prendre en charge tous les Datastores du SAN (cf. migration à chaud et Haute disponibilité de l infrastructure, cf. tolérance de panne). Sauvegarde des VM et des fichiers : Grâce au logiciel de sauvegarde Veeam Backup, nous avons la possibilité de répliquer et restaurer nos VM jusqu au niveau des fichiers. Acquisition future : Afin d avoir une infrastructure optimale prenant en charge la sauvegarde Veeam sur un support externe, nous prévoyons l acquisition future, en accord avec le DAF, d un serveur de stockage DAS ainsi que d un petit serveur complémentaire sur lequel sera installé Veeam Backup. Veeam utilisera alors le serveur DAS pour stocker une sauvegarde complète des VM. Cette acquisition est évaluée à environ 5000 et sera réparti sur l exercice comptable de l année prochaine Les mécanismes à forte valeur ajoutée de l infrastructure virtualisée Les différentes solutions des éditeurs de virtualisation présentent certains mécanismes en commun. Ces mécanismes, à forte valeur ajoutée, constituent l un des principaux attraits pour ces technologies. Nous allons maintenant définir ces différents mécanismes et expliquer en quoi ils sont synonymes de valeur ajoutée pour l entreprise : Migration de serveurs à chaud Le mécanisme de migration de serveurs à chaud permet à l administrateur de déplacer ses machines virtuelles d un hôte vers un autre sans interruption de service. Dans le cadre d une architecture classique, ce mécanisme consisterait à réaliser une copie carbone d un serveur, puis à l appliquer sur un autre. Cela implique une interruption de service et généralement des problèmes liés à la couche hardware qui, différente de l originale, peut-être entrainer erreurs ou d incompatibilités. Dans une architecture virtuelle, ces barrières sont levées par l utilisation de pilotes hardware génériques indépendants du matériel du serveur hôte. Ce mécanisme, illustré sur le schéma ci-dessous, facile les opérations de maintenance des serveurs dans la mesure où il est possible de libérer totalement un serveur hôte de ses machines virtuelles pour réaliser une mise à niveau matérielle par exemple. Migration de VM à chaud avec VMware VMotion 9

11 Haute disponibilité de l infrastructure Le mécanisme de migration à chaud présenté ci-dessus représente la pierre angulaire de la haute disponibilité de l infrastructure. En effet dès lors qu une panne survient sur l un des serveurs hôtes de l infrastructure, il est possible de définir des actions automatiques pour garantir la continuité de service. Ces actions consistent principalement à isoler le serveur hôte défaillant en migrant les machines virtuelles qu il héberge sur le reste des serveurs sains de l architecture disposant de ressources suffisantes pour garantir une qualité de service suffisante. L administrateur peut ainsi définir différentes actions à réaliser comme le déplacement des machines virtuelles vers de nouveaux serveurs hôtes, l arrêt des machines virtuelles supportant une interruption de service de manière à optimiser l allocation des ressources disponibles sur les serveurs restants. Le schéma ci-dessous illustre ce principe. Resource Pool VMware ESX VMware ESX VMware ESXi Operating Server Failed Server Illustration du principe de Haute disponibilité. Operating Server Gestion des ressources énergétiques Si nous avons vu précédemment que le mécanisme de migration à chaud permet de garantir une automatisation des procédures à appliquer en cas de panne matérielle sans influer sur la disponibilité des serveurs, il introduit également la possibilité de mieux gérer les ressources énergétiques de l infrastructure. Concrètement, l infrastructure est capable de répartir intelligemment les ressources disponibles entre les différentes machines virtuelles. Dans le cas où les serveurs hôtes disposeraient de ressources non-utilisées, l infrastructure réagit en repositionnant automatiquement les machines virtuelles pour garantir une utilisation optimale de la ressource. Les serveurs libérés de leurs machines virtuelles sont positionnés dans un état d hibernation en attendant une nouvelle montée en charge ou un besoin supplémentaire en ressources pour se réveiller. Ce mécanisme est illustré dans le schéma suivant avec trois serveurs ESX. 10

12 Gestion des sauvegardes Un autre point fort de l infrastructure virtuelle face à une architecture classique est la gestion des sauvegardes. Dans une architecture classique, il n est pas rare de voir cohabiter de multiples solutions différentes, sur des supports différents (stockage en réseau, bande magnétique ). Cela induit la mise en place de procédures différentes selon le cas de figure face auquel l administrateur se trouve confronté lors de la restauration d une sauvegarde. La virtualisation permet de gérer de manière intelligente les mécanismes de sauvegardes, en effet les machines virtuelles se présentant sous la forme de fichier, leur sauvegarde s en trouve facilitée. Le mécanisme de snapshot illustre à lui seul la facilité déconcertante avec laquelle il est possible de réaliser une copie de sauvegarde. De même, la restauration d une sauvegarde ultérieure d une machine virtuelle ne nécessite pas plus de quelques minutes. Progammation des Backups via VMware Vcenter Server VMware ESXi & ESX Création d un Snapshot Données dupliquées et stockées Gestion des correctifs L application des correctifs et mises à jour sur l ensemble de l infrastructure est également facilitée par la virtualisation. En effet il est possible de définir différentes politiques de sécurité, au niveau des serveurs hôtes et également des machines virtuelles. Ainsi l administrateur peut définir des critères d application des correctifs sur l ensemble de l architecture virtuelle. Lors de l application de correctifs sur un serveur hôte, il peut également spécifier qu aucune machine virtuelle ne doit se situer sur cet hôte durant l opération. De cette manière, l éventuel redémarrage du serveur après installation des correctifs n a aucune incidence sur la disponibilité des machines virtuelles. Gestion de la sécurité La sécurisation du système informatique est l un des combats quotidiens de l administrateur. En effet celuici doit régulièrement consulter les rapports de mise à jour des définitions de virus, auditer l ensemble du parc informatique à la recherche de failles qui mettraient en péril la pérennité de l architecture. Il arrive également que l administrateur jongle avec une multitude d outils différents mis en place au fil de l eau ce qui représente un challenge supplémentaire. 11

13 La virtualisation lui permet de définir une politique de sécurité propre au serveur hôte qui va jouer le rôle de pare-feu et filtrer le trafic de l intégralité des machines virtuelles de l infrastructure. L administrateur peut ainsi définir des zones de confiance et les règles de filtrage permettant d intercepter et bloquer les éventuelles attaques sur l une des machines virtuelles. Gestion du réseau Autre grand avantage de la virtualisation, la gestion du réseau se trouve considérablement facilitée. Les serveurs devenant virtuels, les appareils d interconnexion sont supprimés et remplacés par une couche logicielle faisant office de commutateur. Ce commutateur virtuel permet d interconnecter les machines virtuelles des différents serveurs hôtes et comporte la plupart des mécanismes de gestion avancée du réseau comme la norme 801.1q. Virtual Switch 10 GigE L ensemble de ces mécanismes démontrent que la solution d une infrastructure virtualisée présente un avantage considérable par rapport à une architecture classique. Elle fournit une solution de tolérance de panne puissante en apportant de la haute disponibilité sans interruption de service. Notre solution d infrastructure a, certes, un coût plus important qu une solution basée uniquement sur des serveurs physiques, mais les avantages procurés compensent largement ce coût. De plus l infrastructure virtualisée s inscrit d avantage dans le temps dans la mesure où elle offre des possibilités d évolution ne nécessitant pas l achat d un nouveau serveur, il suffit, en effet, de créer une nouvelle machine virtuelle et d installer un nouveau système d exploitation serveur. 12

14 Schémas de l infrastructure Infrastructure des serveurs physiques : Infrastructure des serveurs virtuels : Infrastructure des serveurs virtuels 13

15 Solution de tolérance de panne Nous avons vu les principes de la virtualisation des serveurs, ainsi que les mécanismes à haute valeur ajoutée apportés par cette technologie. Notre solution de tolérance de panne s appuie en majorité sur ces mécanismes, mais également sur la redondance matérielle de nos équipements. Redondance matérielle : 2 serveurs ESXI avec sur chacun d eux : 2 disques durs configurés en Raid 1 et double alimentation. Serveur SAN : 12 disques durs configurés en Raid 5+1 et double alimentation. VMware VSphere High Availability (HA): HA fournit la disponibilité nécessaire à la plupart des applications des machines virtuelles, quels que soient le système d exploitation et les applications qui s y exécutent. HA assure une protection par basculement régulière et économique contre les pannes matérielles et les dysfonctionnements du système d exploitation au sein de l environnement virtualisé. HA permet de : surveiller les machines virtuelles et les hôtes VSphere afin de détecter les pannes matérielles et les dysfonctionnements du système d exploitation client ; redémarrer sans intervention humaine les machines virtuelles sur d autres hôtes VSphere du cluster, en cas de panne de serveur ; réduire les périodes d interruption des applications en redémarrant automatiquement les machines virtuelles s il détecte un dysfonctionnement du système d exploitation. Lorsqu'un serveur hôte est défectueux et que ce système reconnait ce fait, toutes les machines virtuelles qui sont résidentes sur ce serveur sont automatiquement redémarrées sur un autre serveur hôte. Attention : Si un serveur de fichier était résident sur cette machine physique défectueuse, certains changements effectués par un usager pourraient être perdus. Cette méthode de recouvrement peut éviter à un administrateur de système d'avoir à le faire manuellement et, de plus, permet un retour du serveur en ligne dans la minute qui suit la défectuosité du serveur hôte mais il faut être conscient qu'il est possible que de l'information soit perdue dans le processus. VMware FT (Fault Tolérance): Fault Tolerance assure une disponibilité de 100% pour nos machines virtuelles, et une disponibilité permanente des applications en cas de panne des serveurs, en créant une instance fantôme active d une machine virtuelle qui correspond toujours à l état actuel de la machine virtuelle principale. En cas de panne matérielle, FT déclenche automatiquement le basculement pour empêcher toute interruption de service et perte de données. À la suite du basculement, FT crée automatiquement une machine virtuelle secondaire pour protéger l application en continu. 14

16 Pas de Reboot VMware ESXI VMware ESXI Failed Server Operating Server Sauvegarde automatisée avec Veeam Backup : Après étude du marché des solutions de sauvegardes adaptées à la virtualisation par les éditeurs de logiciels, notre choix s est porté sur Veeam Backup & Replication. Veeam Backup propose de multiple outils, de sauvegarde, réplication, et restauration. C est l éditeur de sauvegarde de machines virtuelles le plus reconnu, et le plus utilisé de par les professionnels de la virtualisation. Bien que d autres solutions existent, nous n avons pas retrouvé de solutions permettant notamment de sauvegarde de VM Complète, en cours de fonctionnement, le déplacement ponctuel de machine à chaud. Son interface simplifiée permettra à toutes ressources du service informatique, ou d un prestataire de gérer aisément les sauvegardes. Veeam propose également une version Free Edition, mettant à disposition, quant à elle, moins de fonctionnalité que la version complète. Dans notre infrastructure, nous avons déjà mis en place plusieurs services nous permettant de respecter la tolérance de panne, et également, de respecter une reprise d activité maximale de 48h, demande formulée par le Directeur Administratif et Financier. Veeam, en complément de nos stratégies de sauvegarde, sera le point final d une solution de haute disponibilité comme celle que nous avons mise en place, il est également le gestionnaire le plus rapide dans son domaine d application, mais aussi le plus simple à mettre en place et le plus léger. En effet celui-ci, ne déploie pas d agents au travers du réseau et ne surcharge ainsi pas les communications, donc le travail de nos collaborateurs. Veeam permet de restaurer des VM entières ou uniquement certains fichiers à l intérieur d une VM, cette fonctionalité garanti aux utilisateurs de pouvoir récupérer des fichiers supprimés par erreur. Les jobs de sauvegardes sont configurés pour intervenir durant la nuit, et permettront en cas d incident de répondre à la demande de reprise d activité, tout en économisant sur une solution payante. 15

17 2. Organisation Afin d organiser au mieux notre travail pour l élaboration et la conduite du projet, nous avons utilisé le logiciel Microsoft Project. Nous avons découpé les phases d élaboration du projet en tâches, puis nous avons réparti l exécution de ces tâches sur chacun de nous. Pour chaque tâche nous avons établi un calendrier en évaluant le temps nécessaire pour son exécution. Microsoft Project permet de suivre l avancement du projet de manière graphique. Voici les tâches et leur répartition. 16

18 3. Mise en place de l infrastructure 3.1. Plan d adressage IP Nous avons établi un plan d adressage IP pour l ensemble de notre réseau comprenant les serveurs, les postes de travail et les périphériques. Adresse réseau : /23 Masque de sous réseau : Passerelle : Adresse de diffusion (broadcast) : Adresses d hôtes disponibles : (2 9 )-2= à Avec 90 personnes sur le site, nous avons une étendue adresses suffisantes pour le paramétrage des serveurs DHCP, de plus nous avons la capacité de répondre à une augmentation de l effectif sans changer l adressage IP. Plan d adressage : Serveurs : à (adresses fixes hors DHCP) Imprimantes : à (adresses fixes hors DHCP) Etendue DHCP 1 - Windows 2008 : à Etendue DHCP 2 - Debian : à Par précaution, l adressage des serveurs commence à la 11 éme adresse disponible, nous avons également une réserve de 53 adresses Convention de nommage des postes Afin d identifier plus facilement les serveurs et les périphériques, nous avons convenu d une convention de nommage. Serveurs : nous les identifions en fonction du type de service installé. Exemple : SRV-DCP : Serveur contrôleur de domaine principal Nous savons que c est un serveur Windows car il est placé dans un pool de ressources Windows créée sous VMware. Postes de travail : nous avons nommé les postes selon le type de machine (ordinateur de bureau ou portable), suivi d une abréviation pour le service accompagné d un numéro incrémentiel. Les informations relatives à l emplacement ou au système d exploitation sont disponibles dans la base de données des postes de travail. Exemple : LAP-DIR-02 : ordinateur portable (laptop) de la direction n 2 DESK-SAV-01 : ordinateur de bureau (desktop) du SAV n 1 WKS-PRDA-05 : station de travail (workstation) du produit A n 5 Imprimantes : nous utilisons Print suivi du nom du service qui l utilise. Exemple : Print_Direction : imprimante de la direction. 17

19 3.3. Installation de VMware sur les serveurs physiques Pour mettre en place la solution de virtualisation VMware, nous devons installer l Hyperviseur ESXI sur chaque serveur de production Installation de VMware ESXI 5.1 L hyperviseur s installe à partir d un DVD ou d une clé USB, il peut également être déployé dans un réseau existant via le protocole PXE. Nous utiliserons l installation par DVD. Au lancement de l installation, il suffit de suivre les instructions d installation. Le programme se charge 18

20 Une fois chargé ESXI scanne le matériel puis demande sur quel disque dur il doit s installer. Il faut alors définir la langue et renseigner un mot de passe pour le compte administrateur root. Puis on valide l installation en appuyant sur F11. Une fois terminé, il reste à configurer l adresse IP l ESXI et les DNS du réseau. Une fois configuré, l ESXI est managé à l aide de VSphere Installation de VSphere client Nous allons maintenant installer le client VSphere sur un poste. Pour récupérer le client VSphere il suffit de se connecter à un des serveurs ESXi 5.1 avec un navigateur en indiquant son adresse IP : 19

21 A partir de la fenêtre, on télécharge VSphere Client. Une fois téléchargé, on lance l installation. L installation terminée, il suffit de se connecter à l un des ESX ou à un serveur VCenter dont nous verrons l installation plus loin. 20

22 On accède ensuite à la fenêtre d administration de l ESX. VSphere permet de piloter entièrement un hôte ESX : répartition de charge, puissance de calcul, création de VM, de Datastores, etc Installation de VCenter De la même que pour l installation de VSphere Client, il faut télécharger le VCenter. On peut l installer de deux manières : Soit sur une machine virtuelle avec un OS serveur comme Windows Server Soit sur une VM indépendante, cette version est appelée VCenter Appliance. Nous avons installé VCenter Appliance. Une fois le VCenter appliance installé, il faut finir la configuration, il est nécessaire de passer par une connexion web. L'adresse IP de l'appliance a été donnée par un service DHCP. Nous allons la passer en statique et indiquer également les paramètres réseau. Lorsque VCenter est correctement paramétré, on y accède à l aide du VSphere Client, l intérêt ici est de pouvoir gérer plusieurs ESX, en effet, le VCenter gère des clusters de serveurs ESX. 21

23 Création de pools de ressources Les pools de ressources VMware (qui font partie intégrante de VMware vcenter Server) créent des pools logiques partagés de ressources processeur et mémoire dans un cluster VMware DRS garantissant un certain niveau de disponibilité à des groupes d utilisateurs spécifiques. Il est très facile d ajouter, de supprimer ou de réorganiser les pools de ressources en fonction des besoins métier ou des changements internes à l organisation. On peut facilement attribuer d avantage de ressources processeur et de mémoire vive sur un pool dont les besoins requièrent plus de disponibilité et de performance. Les pools de ressources sont isolés les uns des autres : les modifications effectuées dans l un d eux sont sans incidence sur les pools non concernés. Nous avons créé des pools de ressources par type de VM (Windows et Linux) et par site, avec la même allocation de puissance, selon les besoins d autres pools pourront être créé. Voici un exemple de pools dans VCenter : 22

24 3.4. Mise en place des serveurs Windows Notre infrastructure a besoin d un service de domaine Active Directory, d un serveur DNS, d un serveur DHCP, ainsi que d un serveur de fichiers et d imprimantes. Toutes ces fonctionnalités seront assurées par Windows Server 2008 R2. Nous allons comment l installer et mettre en place les rôles et les services dont nous avons besoin Installation de Windows Server 2008 R2 Afin d installer Windows Server, nous devons au préalable créer une machine virtuelle sur laquelle il sera installé. La création d une VM se fait facilement, il suffit de se connecter au VCenter avec VSphere Client et de lancer le processus de création de la VM. Pour Windows server, nous allons créer une machine comportant les caractéristiques suivantes : 1 processeur à 2 cœurs (2 Vprocesseurs). 4 Go de mémoire vive (toute extension est possible par la suite). Disque dur de 60 Go Carte réseau. Contrôleur USB. Création de la VM : Une fois connecté à l ESX ou au VCenter, on lance la création. On choisit une installation typique et donne un nom à la VM 23

25 On choisit le datastore, la carte réseau, le système d exploitation et l option l option Thin Provision qui permet d optimiser l espace disque en allouant uniquement l espace réellement occupé par la VM et non pas l intégralité du disque virtuel. Une fois la création de la VM terminée, l installation se réalise grâce à un lecteur DVD virtuel sur lequel on monte l image ISO de Windows Server, ensuite le processus est semblable à une installation sur une machine physique. Lancement de l installation. Choix de la version 24

26 Contrat de License et type d installation On sélectionne l installation personnalisée afin de bien choisir le disque dur. L installation de commence 25

27 Une fois l installation terminée, le mot de passe doit être défini. A la première ouverture de session, le gestionnaire de serveur s ouvre et permet de mettre en place les rôles et fonctionnalités. Avant toute utilisation, il faut cependant installer les VMware Tools, ce composant permet d utiliser le serveur avec VSphere Client de manière fluide et permet d optimiser l affichage. Configuration de l adressage réseau : Avant la mise en place des rôles, il faut paramétrer l adresse réseau du server. Nous allons sélectionner une adresse IP fixe, la première adresse disponible pour notre serveur (les dernières adresses de serveurs ont été attribuées aux serveurs physiques). Pour le 1 er serveur : , cette adresse est celle du DNS, puisque le contrôleur de domaine principal sera sur ce serveur. 26

28 Installation du Contrôleur de Domaine principal Pour mettre en place le contrôleur de domaine principal, il faut activer les rôles DNS et Active Directory, pour cela on utilise la commande dcpromo. Nous devons créer un domaine dans une nouvelle forêt, le nom de domaine choisit est bmt.lan. Il faut suivre l assistant de création en définissant certains paramètres. Il faut définir le niveau fonctionnel de la forêt afin d assurer la compatibilité entre les version de Windows server. Tout nouveau domaine créé dans cette forêt fonctionne par défaut au niveau fonctionnel de domaine Windows Server 2008 R2. 27

29 On active ensuite la fonctionnalité DNS. On choisit ensuite l emplacement de la base de données et le mot de passe administrateur de restauration de l annuaire. Les différentes étapes de la création du domaine s'exécutent ensuite automatiquement et le contrôleur de domaine principal est créé. 28

30 DNS Nous avons activé le DNS, c est un service de résolution de noms qui transforme les noms d ordinateurs en adresses IP. A l aide de DNS, un nom d hôte complet peut être résolu en adresse IP, ce qui permet aux ordinateurs de se retrouver réciproquement. Les zones DNS Zone de recherche directe : nous avons une zone de recherche directe sur le domaine bmt.lan installée lors de la création du contrôleur de domaine. Zone de recherche inversée : DNS propose également un processus de recherche inversée, dans lequel les clients utilisent une adresse IP connue et recherchent un nom d ordinateur sur la base de cette adresse. Une recherche inversée assume la forme d une question du type «Pouvez-vous me donner le nom DNS de l ordinateur qui utilise l adresse IP ?». DNS n a pas été conçu initialement pour prendre en charge ce type de requête. L un des problèmes liés à la prise en charge du processus de requête inversée est la différence dans la façon dont l espace de noms DNS organise et indexe les noms et la façon dont les adresses IP sont affectées. Une requête inversée prendrait trop longtemps et exigerait trop de traitement pour être réellement utile. Pour résoudre ce problème, un domaine spécial, le domaine in-addr.arpa, a été défini dans les normes DNS et réservé dans l espace de noms DNS Internet afin de fournir un moyen fiable et pratique d effectuer des requêtes inversées. Pour créer l espace de noms inversé, des sous-domaines dans le domaine in-addr.arpa sont formés, à l aide du classement inversé des nombres dans la notation décimale séparée par des points des adresses IP. 29

31 Active Directory Les zones DNS ont été définies, nous pouvons administrer l Active Directory. Nous avons d abord créé des Unités d Organisation (UO), afin d organiser au mieux notre domaine. Au cas d expansion de l entreprise vers d autres sites, nous avons créé l UO BMT-GRENOBLE. Puis nous avons créé des UO par services. Nous avons également créé les comptes utilisateurs, les groupes de sécurité de domaine globaux et les groupes de sécurité de domaine locaux. 30

32 Contrôleur de Domaine Secondaire Par sécurité, sur un autre serveur Windows 2008, nous installons un deuxième contrôleur de domaine, sur lequel l annuaire Active Directory et le DNS du contrôleur principal sont répliquées. Le processus de création est le même à la différence que nous choisissons de créer domaine à partir d une forêt existante. Nous avons défini le DNS secondaire sur l adresse IP Serveur DHCP Sur un troisième serveur, nous activons le rôle DHCP à partir du gestionnaire de serveur. 31

33 Nous avons défini un pool d adresse avec l étendue suivante : à Nous n avons pas réalisé de réservations d adresses car nous avons défini des adresses en dehors du scope DHCP pour les serveurs et les imprimantes. Nous n avons pas utilisé les exclusions dans la mesure où l autre serveur DHCP est configuré sous Linux Debian, les deux étendues d adresses se complètes et sont suffisamment larges pour couvrir les besoins de l entreprise Serveur d impression Sur un quatrième serveur nous installons le rôle de serveur d impression via le gestionnaire de serveur. 32

34 L installation du rôle terminé, il faut installer l imprimante localement sur le serveur en utilisant la section «Périphériques et imprimantes» du panneau de configuration. Nous avons installé une imprimante par service nommé «Print_nom_du_service». Lorsque toutes les imprimantes sont installées, nous pouvons gérer les paramètres d impression. 33

35 Nous allons ensuite déployer les imprimantes selon le service de l utilisateur. Le déploiement est effectué par GPO (Group Policy Object), ou stratégie de groupe. On peut voir dans la dernière colonne le nom de la stratégie de groupe. Toutes les stratégies de déploiement ont été appliquées à l UO Utilisateurs puis pour chaque GPO, on choisit le groupe auquel elle s applique. 34

36 Serveur de fichier Sur un cinquième serveur, nous installons le rôle de serveur de fichier, comme pour les autres rôles, nous utilisons le gestionnaire de serveur pour mettre en place le rôle. Au préalable, nous avons créé un deuxième disque dur virtuel que l on ajoute à la VM, le disque est ensuite formaté et utilisé pour le partage de fichiers. Le partage est nommé Commun_Service sur lequel nous pourrons appliquer les droits NTFS pour gérer l accès aux fichiers par les utilisateurs. Pour cela nous avons appliqué la méthode ADGLP qui consiste à inclure des groupes de domaines globaux dans des groupes de domaines locaux afin de déterminer le niveau d accès à des objets du domaine. 35

37 3.5. Réponses aux exigences du cahier des charges Sécurité Nous avons défini les exigences de complexité du mot de passe utilisateurs le nombre de caractères minimum à 8, en modifiant GPO établie par défaut sur l ensemble du domaine. Pour cela, il faut passer par le gestionnaire de stratégies de groupes Impressions Pour mettre en place les paramètres demandés, nous avons installé des imprimantes logiques et des groupes de sécurités. Les imprimantes logiques permettent d établir une configuration spécifique sur une imprimante en utilisant le même port, elle est ensuite assignée à un groupe de sécurité. Priorité de la Direction sur toutes les impressions. Pour établir une priorité des impressions pour la direction sur toutes les imprimantes, nous devons créer une imprimante logique par service attribué au groupe Direction avec une priorité de

38 Contrôle total de l Informatique sur toutes impressions. Nous avons paramétré la sécurité des imprimantes avec un contrôle total au groupe de sécurité Print_Informatique_CT ayant comme membre le Groupe global Informatique. Possibilité d imprimer qu entre 8h00 et 17h00 pour les services Produits A et B. Nous avons installé une imprimante logique (rattachée à l imprimante Print_Commun), sur laquelle nous avons défini des heures de connections. Cette imprimante a ensuite été déployée pour les utilisateurs concernés grâce aux groupes de sécurité. Les assistantes SAV et Direction peuvent imprimer chez les Services Informatique, Produit A et B. De la même manière que pour les autres exigences, nous avons installé deux imprimantes logiques rattachées respectivement aux imprimantes Informatique et Produit A et B. Ces imprimantes sont ensuite déployées pour les utilisateurs concernés via GPO Connexions aux lecteurs réseau Nous avons établi 3 connexions aux lecteurs réseau : Lecteur personnel de 5 Go pour chaque utilisateur Chaque utilisateur a un lecteur personnel de 5 Go dont lui seul a l accès, (hormis le service informatique). Nous avons créé un répertoire nommé Users sur le serveur de fichiers, nous avons ensuite indiqué le chemin réseau du répertoire suivi de la variable %username%, dans les paramètres du compte utilisateur, dans l Active Directory, à l onglet Profil/dossier de base et nous avons attribué la lettre U. Le dossier personnel est automatiquement créé sur le serveur de fichiers. 37

39 Nous avons ensuite délimité un quota de 5 Go sur le dossier Users avec une alerte lorsque l espace de stockage a atteint 90 % d utilisation. Ainsi à chaque ouverture de session d un utilisateur, le lecteur personnel U suivi du nom de l utilisateur est disponible. Lecteur Commun_Service Sur ce lecteur nous avons le partage établi grâce au rôle de serveur de fichiers. Il regroupe un répertoire par service, ainsi que des dossiers et des sous dossiers. Tout le monde peut voir les répertoires de chaque service, mais chaque utilisateur n a accès qu au répertoire de son service, la Direction peut accéder à tous les répertoires an lecture et à son répertoire Commun_Direction en modification (lecture, écriture). Enfin, l Informatique a le contrôle total sur tous les dossiers. A sein de chaque dossier, nous avons également établi des droits d accès différent, par exemple pour les managers. Tous ces accès sont gérés par les droits NTFS par l intermédiaire des groupes de sécurité, comme nous l avons expliqué précédemment, nous avons utilisé la méthode ADGLP. Grâce à cette méthode nous pouvons facilement donner l accès à des dossiers et des fichiers à certains utilisateurs et en interdire l accès à d autres Dans le cas d un accès à des répertoires ou des dossiers, nous avons créé des groupes de domaine locaux afin de déterminer le type d accès : lecture, écriture ou contrôle total, sur l objet concerné. Nous plaçons ensuite un groupe global en tant que membre d un groupe local pour l accès à la ressource. 38

40 Nous pouvons voir ici, les groupes de domaine locaux : Gestion de la sécurité sur le dossier Commun_Prod_B : Lecteur partagé Samba Nous avons mis en place un dossier de partage nommé Partage_Commun, ce partage est en fait hébergé par un serveur Linux, il a particularité de donner l accès à des utilisateurs dans un environnement Windows. 39

41 Sur ce lecteur, nous avons également créé des dossiers par services et nous avons géré les droits d accès en utilisant les Groupes Globaux. Remontée des lecteurs sur les postes utilisateurs Les lecteurs réseaux Commun_Services et Partage_Commun sont mappé automatiquement à chaque ouverture de session d un utilisateur. Pour cela, nous utilisons un script vbs et une GPO d ouverture de session.. Pour que le script de mappage réseau en VBs fonctionne nousdevons modifier la base de registre des postes utilisateurs en créant la clé suivante : EnableLinkedConnections avec une valeur DWord décimale défini à 1. 40

42 Planification des audits Nous avons planifié audit sur l accès au dossier de partage Commun_Direction en cas d échec. Nous avons également planifié une stratégie d audit sur les échecs de connexion aux comptes via une GPO. Configurer 3 journaux à 3 jours Nous avons configuré la durée de stockage du journal système dans le journal des événements à 3 jours en modifiant la stratégie de groupe par défaut. Désactivation du moniteur d événement. Nous avons désactivé manuellement le moniteur d événement sur chaque serveur en utilisant la commande gpedit.msc avec la fonction Exécuter du menu Démarrer. On accède alors à l éditeur de stratégie de groupe locale. On déroule les menus suivants : Configuration ordinateur / Modèle d administration / system. On désactive ensuite l affichage du moniteur d événement de mise hors tension Connexions réseau Certains utilisateurs ont des connexions restreintes au réseau selon des plages horaires. Pour paramétrer les heures de connexions, il faut accéder au comptes utilisateurs dans la console Active Directory, on peut sélectionner plusieurs compte simultanément grâce à la touche Ctrl, sur l onglet compte on peut définir les horaires d accès. De même, on peut donner un accès total à certains utilisateurs comme l Informatique, le SAV et la Direction. 41

43 Ces paramètres empêchent la connexion durant la plage horaire définie, mais un utilisateur déjà connecté peut le rester une fois l horaire de connexion dépassée. C est la raison pour laquelle nous avons mis en place une GPO forçant la déconnexion lorsque les horaires de connexion expirent Stratégie locale Installation de logiciels et modification de l heure : par défaut Windows Server 2008 interdit à tout utilisateur qui n est pas membre du groupe administrateur d installer ce logiciel ou de modifier l heure. Nous avons néanmoins établi deux GPO permettant à la Direction d installer des logiciels ainsi que de modifier l heure. Désactivation des lecteurs CD et disquettes pour les postes des Produits A et B : Cette restriction est mise en place par GPO et s applique uniquement aux membres des groupes Prod. A et Prod. B Accès à distance des postes utilisateurs Afin de pouvoir accéder à tous les postes, nous avons modifié une entrée de registre et nous avons déployé cette modification par GPO à tous les postes utilisateurs. 42

44 3.6. Installation des serveurs Linux Notre infrastructure repose sur un socle de cohabitation entre deux systèmes d exploitation, Windows et Linux. Ces deux systèmes permettent de mettre en place, de façons bien distinctes des solutions qui le sont tout autant. Linux est plus léger en stockage, et en puissance de calcul qu un système d exploitation Windows. Il a été développé pour la stabilité et la continuité d activité. Nous avons été formés pour intervenir sur une majorité de systèmes Linux, qui sont débouchés de la distribution Debian, qui est une des plus utilisées au monde. Debian, jouit également d une grande communauté de développeur et permet ainsi, de façon libre et indépendante de trouver de l aide en cas de blocage. De multiples services seront donc configurés sous Linux Debian. Nous attribuons une possibilité d utilisation de mémoire vive (mémoire de calcul) de 512Mo pour une machine Linux, alors que Windows en demande un minimum de 2Go. Et les services de cohabitation Windows/Linux, permettant de gérer les droits des utilisateurs sur les répertoires Communs aux services sont stockés sur les serveurs Linux Installation de Debian 7 Debian est un système d exploitation Linux bien connu du milieu professionnel considéré comme l un des systèmes les plus stables au monde. Il est gratuit, open source, et téléchargeable dans un fichier ISO (image) sur le site de debian : Cette image peut ensuite être gravée sur un CD afin d installer le système ; ou être utilisée directement comme un cd dans n importe quelle machine virtuelle. 43

45 Il faudra prendre la précaution d analyser la combinaison d amorçage du bios de la machine pour savoir si celle-ci pour démarrer ou non sur notre CD virtuel. Une fois l image chargée, le programme d installation de Debian démarre : L installation nécessite de bien faire attention à quelques points afin de ne pas avoir à la refaire, par la suite. Le programme nous proposera de multiples options d installation, pour plus de souplesse et de rapidité, nous n utiliserons pas l interface graphique. Nous sélectionnons donc «Install», afin d arriver à la fenêtre suivante. Debian nous demande alors de choisir la langue voulue ; nous avons choisi le Français, afin d avoir l intégralité de tous les manuels des programmes sous Debian en français. 44

46 Immédiatement après, Debian, nous demande de choisir la configuration du clavier, ce qui par défaut pour nous sera le Français également, en latin9. Immédiatement après, Debian va passer en revue l intégralité du matériel de votre ordinateur, ici, de notre machine virtuelle. Hormis si celui-ci est très récent, Debian dispose d une large bibliothèque de données, dans laquelle nous retrouvons immédiatement tous les drivers de notre machine. En cas de problème de compatibilité, nous installerons les VmsTools de Vmware, afin de pouvoir faire fonctionner parfaitement notre VM. Matériel chargé, Debian, passe en revue la configuration réseau de notre VM, c est-à-dire qu il va charger une adresse IP afin de communiquer sur le réseau. Si un serveur DHCP existe, la configuration sera faite automatiquement. Sinon il faut la faire manuellement : Config automatique en DHCP 45

47 Config manuelle I Réseau configuré, matériel chargé, l installateur demande désormais le nom de la machine, désormais notre serveur. Suivant notre convention SRV-*-*. Exemple : SRV-SMB-NFS. Nous devons maintenant configurer le nom et les mots de passe des utilisateurs. Par défaut, pour travailler, nous utilisons le compte root. En prenant bien soin de faire des manipulations dont nous sommes certains, car nous connaissons bien les risques d une utilisation continuelle d un compte root, comme, par exemple des suppressions de données accidentelles. C est la raison pour laquelle avant chaque manipulation, nous effectuons un Snapshot, de manière à retourner à l état initial de la machine. Un autre compte utilisateur est demandé par sécurité, nous avons donc crée un compte BMT. 46

48 Debian vous demande ensuite de sélectionner le fuseau horaire, qui par défaut sera celui de Greenwich, car nous avons choisi la langue Française. Une fois l horloge configuré, l installateur vous demande de choisir où le système de fichier sera monté et d en choisir les partitions. Une partition étant une agrégation d espace du disque dur réservé à un système de fichier, nous avons donc le choix de faire de multiples partitions, bien qu une limitation de 4 partitions primaires existent. Il s agit donc maintenant d affilié à la bonne partition les bons systèmes de fichiers, donc la bonne arborescence du système Debian. Dans notre maquette virtualisée, nous ne retrouvons pas de grand besoin de diviser l intégralité des points de montage. Aussi nous installerons le système à partir de racine, par défaut. 47

49 Exemple d utilité de partition séparée : /dev est un point de montage de périphérique, sur une partition à part, cela permet de multiples gestions bien distincte du système lui-même. Nous utiliserons le système de fichier «ext3» bien reconnu par les systèmes Linux, et le point de montage sera la racine «/». Nous n aurons donc que deux partitions : L intégration d une partition swap est très importante. Le swap est une partition spéciale, qui utilise l espace disque pour soutenir un éventuel manque de mémoire vive. Un système dont le disque est plein, est beaucoup moins performant en écriture, et un espace d échange, nommé Swap, permet de pallier à cela. Toutes ces manipulations de partitionnements des disques nous permettrons d avoir un système stable et ordonné. 48

50 Pour finir, l utilitaire de partitionnement nous fera un récapitulatif de l installation : Et vous demandera de confirmer la fin de partitionnement des disques : Une fois mis en place, l installation du système de base commence, et nous n avons plus qu à attendre que le système copie l intégralité des données sur notre disque dur virtuel. 49

51 Afin de finaliser l installation de notre Debian, il ne nous restera qu à configurer l utilitaire de paquets et les logiciels de base du système. Debian repose sur un système de sources, qui permet d aller piocher dans une liste les différents paquets (morceaux) de logiciels dont nous auront besoin. Par sécurité, nous avons constitué un fichier que nous importerons dans les serveurs par la suite et qui nous permettra d avoir une multitude de sources disponibles. Par défaut Debian, demande s il faut utiliser un miroir à travers le réseau, pour mettre à jour tous ses paquets, nous n en aurons pas besoin à cet instant. Ce système propose également des logiciels de base à installer, comme un environnement graphique. Qui dans notre cas, est inutile, et non voulu pour de raison de puissance, et de stabilité. Nous choisirons ensuite en fonction des besoins, par exemple, un serveur Samba ne demande pas les mêmes logiciels qu un serveur web. 50

52 L installation se poursuit donc, et sera bientôt finalisée : Avant tout démarrage, une dernière demande concernera le GRUB, programme de démarrage des partitions dites d exploitation de Linux. Nous accepterons de l installer, afin qu il gère le démarrage de notre système. Installation finie, nous allons pouvoir démarrer nos serveurs et commencer à configurer les services, afin de réaliser le cahier des charges. 51

53 Serveur Samba et intégration au domaine Samba est un programme qui permet de partager un dossier avec des ressources Windows. Il s installe très aisément, mais sa configuration demande beaucoup plus de réflexion et de mise en pratique. Conformément à la demande exprimée dans le cahier des charges, nous avons mis en place un serveur Samba nommé : SRV-SMB-NFS. Installation de samba : Debian prêt, nous allons pouvoir configurer notre service Samba afin de partager un répertoire et des ressources avec nos postes Windows. Dans un premier temps, nous allons créer un répertoire, qui accueillera le serveur samba. Celui-ci sera placé dans /home/ et sera nommé /Partage_commun. Nous utliserons donc la commande «mkdir» permettant de créer des répertoires : mkdir /home/partage_commun Une fois ce répertoire créé, nous pouvons commencer l installation de Samba. Nous allons utiliser notre outil de gestion des paquets (APT) avec la commande : apt-get install samba samba-common smbfs Samba : Il s agit du logiciel en lui-même, Samba-common : Il s agit de complément bibliothèques et utilitaires. Smbclient : Permet la connexion client au serveur. (à installer sur les postes clients) Debian, va donc télécharger le package Samba, le «depackager», et ouvrira une interface semi-graphique pour avoir quelques compléments d information. 52

54 Il vous faut préciser le domaine : BMT.lan. Le programme d installation se poursuit et une fois celui-ci terminé, il nous suffira d éditer son fichier de configuration /etc/samba/smb.conf. Un fichier de configuration de partage Samba doit pouvoir ressembler à cela, sans intégration au domaine : Le serveur samba contiendra le répertoire «Partage_Commun» dans lequel nous retrouverons les répertoires communs des différents services de l entreprise. Par exemple, dans le répertoire Partage_Commun, nous retrouverons : Commun_Informatique, ou encore Commun_SAV. Les droits du répertoire Partage_Commun permettent au propriétaire du dossier, (dans notre situation c est l Administrateur de l entreprise), de pouvoir écrire, lire et exécuter tout ce qu il y a dans les répertoires, ainsi que dans ses sous répertoires. Sa valeur octale est de 7, ce qui lui donne les pleins pouvoirs. Unix, le noyau de Linux, fait la distinction entre trois types d autorisation : Les autorisations propriétaires, qui s appliquent au créateur du dossier généralement. Les droits de groupes, pour le groupe ayant des droits sur le répertoire. Et les toutes autres ressources cherchant à faire des opérations sur le dit répertoire. Cependant le dossier Partage_Commun, est un dossier Unix, créé sous Debian, qui donc ne prend pas en charge les droits NTFS de Windows pour ces ressources, ceci implique que nous devons donner les droits d écriture à l administrateur, selon les critères de droits d Unix. Pour que l administrateur du domaine puisse s authentifier sur le serveur Samba, il impératif, que ce dernier se retrouve membre du domaine Windows. Intégration au domaine bmt.lan : Après de multiples renseignements pris auprès de professionnels des intégrations systèmes, nous avons convenu, que cette opération pouvait être fastidieuse et peu stable. Ainsi, nous intégrerons uniquement ce serveur au domaine. Les autres serveurs Linux ne seront pas intégrés afin de garantir la stabilité de nos systèmes. 53

55 Une intégration au domaine requiert d installer les services suivants : Samba, pour la communication avec Windows. Winbind pour la communication avec l Active Directory. Kerberos pour l authenfication, auprès de l annuaire LDAP. Vous trouverez en annexes les différents fichiers de configurations de Samba, Kerberos, Winbind, mais également les différentes configurations réseaux nécessaires, et nominatives d hôtes. Le service Samba étant déjà configuré, nous n avons pas besoin de le réinstaller, cependant nous devrons installer kerberos et winbind pour faire cohabiter nos deux environnements. Le Kerberos : Kerberos est un protocole d authentification LDAP, qui permet l authentification sur le domaine windows. Afin de mettre en place le kerberos, nous allons utiliser la commande suivante : apt-get install krb5-user Sa configuration s effectue à l aide du fichier de configuration krb5.conf situé dans le répertoire /etc/. Voici un exemple de fichier de configuration de kerberos : Vous trouverez le fichier de configuration de notre krb5.conf exacte en annexes. 54

56 Après kerberos, il nous faut installer Winbind, pour la communication avec Windows, cela se fait à l aide de la commande : apt-get install winbind La configuration se fait à l aide du fichier /etc/nsswitch.conf. Voici un exemple de fichier nsswitch.conf valide : Une fois Samba configuré pour le domaine, kerberos pour l authentification et winbind pour la communication, une question s est posée durant notre le montage de notre infrastructure. En effet, nous savons que les tickets délivré par le contrôleur de domaine, sont des tickets kerberos et que leur validité est réglée par le temps provenant des deux serveurs. S ils n ont pas la même heure, les tickets ne peuvent être valides. Par conséquent il est très important que le temps du serveur Debian et celui du contrôleur de domaine soit synchronisés, il faut également que le temps du contrôleur de domaine ne fluctue jamais. Il est donc impératif de le synchroniser à un serveur de temps soit sur internet, soit sur notre ESX. Nous avons choisi de synchroniser le contrôleur de domaine sur l ESX, celui-ci étant neuf, nous n aurons pas de problème de pile time qui serait dessué. Dans une infrastructure en production, nous mettrons en place une synchronisation en ligne. Pour la synchronisation nous utiliserons la commande : ntpdate SRVDC1-BMT afin de synchroniser le client kerberos au serveur kerberos, qui est, le contrôleur de domaine. L intégration au domaine Windows se fait par la commande net ads join administrateur@bmt.lan Nous pourrons lister les utilisateurs et groupes de l annuaire par la commande wbinfo u ou wbinfo g 55

57 Nous avons attribué des droits en lecture et exécution au dossier Partage_Commun, pour le groupe des utilisateurs authentifiés du domaine. Et aucun droit aux personnes ne faisant pas parties du domaine. La valeur octale de Partage_Commun est donc 750. Ainsi, les utilisateurs peuvent s identifier et accéder au partage de notre serveur samba, depuis leurs postes Windows. Les sous dossiers, appartenant aux différents services de l entreprise, ont été créés depuis la main d Administrateur Windows du domaine. Permettant ainsi qu ils soient régies par des droits NTFS, et ainsi donner des droits aux différents groupes globaux Windows, sur le partage Samba. A titre d exemple, le dossier Commun_Informatique se verra attribué des droits en lecture, écriture et exécution au groupe global du service informatique. Voici un récapitulatif des droits attribué aux différents groupes et entités : 56

58 Chaque service appartient à un groupe qui lui est propre. Ce groupe dispose de droits qui déterminent son niveau d accès aux ressources présentes dans les différents répertoires Serveur NFS Client NFS Réplication Un serveur NFS permet de partager tous les fichiers d un répertoire choisi sur un client NFS. Il permet en outre de répliquer un répertoire sur un autre serveur qui est un Client NFS. Dans notre infrastructure, le service NFS est installé sur le même serveur que Samba. La zone de réplication du NFS est d ailleurs le Partage_Commun de Samba lui-même, afin d assurer une sécurité supplémentaire des données. Ce serveur se nomme SRV-SMB-NFS, et est répliqué sur SRV-DEB-RNFS. Nous avons également développé un script permettant d automatiser la réplication NFS de façon journalière, en liant ce script au programme cron.daily ; nous développerons les explications dans la partie relatant des scripts. 57

59 Serveur FTP sécurisé et anonyme Afin de répondre à la demande du cahier des charges dans lequel il est demandé de mettre un serveur pour que les collaborateurs de l entreprise puissent récupérer des fichiers, nous avons choisi de mettre en place Pure-FTPd, un logiciel libre, simple, et bien connu pour son efficacité. Pure-FTPd est une solution sécurisée, par compte d utilisateur prenant en charge des protocoles de cryptage, ou encore la norme de certificats SSL. De cette manière, l intégralité des mots de passe de connexion au serveur FTP sont cryptés sur le réseau, et personne ne pourra les lire de façon intrusive. Pour installer le programme Pure FTPd, nous utiliserons la commande : apt-get install pure-ftpd La configuration de ce programme se fait à l aide du fichier de configuration se trouvant dans le répertoire /etc/pure-ftpd/ et /etc/pure-ftpd/conf/ Dans ces répertoires nous retrouvons de multiples fichiers de configuration permettant la mise en place de comptes anonymes et l importation de certificats SSL. Nous avons donc mis en place un certificat SSL pour plus de sécurité. Nous aurons également la possibilité de créer des utilisateurs virtuels, permettant ainsi de bien dissocier les utilisateurs créés par le service FTP de ceux créés sur le serveur Debian. Si un compte FTP est dérobé, ce compte compromis ne pourra pas mettre en péril le reste du serveur car il ne pourra pas se connecter en tant qu utilisateur du serveur. Un compte anonyme FTPBMT a donc été créé, la possibilité de connexion sans login a été désactivée. Le port de connexion 21 a été redirigé sur le 2121 afin d éviter des tentatives d intrusions par défaut. Il nous a apparu également important que l utilisateur ne puisse pas parcourir l arborescence du serveur FTP, de plus certains fichiers sensibles pouvant contenir des mots de passe ont des autorisations de lecture uniquement réduite au root. 58

60 Serveur DHCP Afin de respecter les bonnes pratiques recommandées par les professionnels de l Administration de système d exploitation, et afin de mettre en pratique ce que nous avons étudié durant nos modules de formation, nous avons mis en place un second serveur DHCP cette fois-ci sous Linux. Ce second serveur DHCP disposera d une plage différente de celle du serveur DHCP sous Windows, mais aura la même fonction, il fournit un service DHCP supplémentaire. Afin d installer le serveur DHCP nous utiliserons la commande : apt-get install isc-dhcp-server La configuration de ce service se fera à l aide du fichier de configuration dhcpd.conf, situé dans le répertoire /etc/dhcpd/. Le serveur DHCP sous linux étant plus rapide, et moins gourmand en ressources que le celui sous Windows, nous avons constaté qu il répond plus rapidement aux requêtes ARP, il attribue donc en priorité les adresses IP aux postes clients. Plage d adresse : à Serveur Web (apache+mysql) Le cahier des charges nous demande de mettre en place une application complète de gestion du parc informatique, et de l introduire sur un serveur Web interne à l organisation, permettant ainsi à nos 59

61 collaborateurs de pouvoir consulter l intégralité du matériel informatique, par localisation ou par appartenance. N ayant pas été formé en langage de programmation HTML, CSS et PHP, nous avons utilisé nos connaissances personnelles et quelques utilitaires pour la réalisation de l application Web. Nous avons développé un intranet reprenant les valeurs écologiques de notre entreprise, tout en gardant un design qui reste dans le schéma de nos produits. Le serveur porte le nom de SRV-DEB-APH, et son adresse IP est la suivante : Cet intranet permet à l utilisateur de se connecter à partir de l adresse L utilisateur a la possibilité trouver plusieurs catégories dont la lecture de la charte informatique, la consultation du parc informatique ou encore de faire d ouvrir des tickets de demandes informatiques, sur un espace web dédié, afin que nous les traitons dès que possibles. L intranet propose deux modes de connexions : un mode de consultation qui permet à l utilisateur de consulter l ensemble du parc informatique, un mode de Gestion qui permet au service informatique de gérer les données retransmises par notre application. Nos connaissances personnelles ne suffisant pas pour réaliser l intégralité de l intranet, nous avons d abord développé le design, le contenu, et avons eu recourt au logiciel PHPrunner pour exploiter la base de données mise en place. Cette base de données contient de multiples tables de données. Ces tables sont consultables grâce au langage SQL que PHPrunner gère très bien. Afin d harmoniser l application, nous avons procéder à l installation de : Apache (pour la lecture web) PHP 5 (pour la lecture du PHP) MySQL (permettant la gestion de la base de données) PHPRunner (pour générer le code Php) Toutes les pages web sont centralisées dans un répertoire se trouvant sur le serveur apache, qui fonctionne sous Debian, comme tous nos linux. Il est disponible depuis la racine du système «/var/www/». Afin d éviter les problèmes d intégration et de compatibilité, et éventuellement de sécurité si cet intranet vient à être publier sur internet un jour, le serveur n est pas intégré au domaine. Nous développerons le descriptif de l application et de la base de données dans la partie 6, Intranet et Base de données. 60

62 Serveur GLPI Afin de répondre aux besoins de l utilisateur de façon organisée, nous avons mis en place sur un de nos serveurs une solution de Gestion Libre de Parc Informatique GLPI. Il s agit d un service, simplement configurable à installer sur notre serveur intranet afin que l utilisateur puisse créer des tickets de demandes informatiques dès qu il rencontrera un problème. L utilisateur peut accéder à ce service au travers de l intranet, en cliquant sur la rubrique «demandes informatiques» 4. Intranet et Base de données Comme nous venons de l expliquer, pour concevoir l application mise en place dans l intranet, nous avons dû recourir à l utilisation de multiples langages de programmation. Nous avons dû étudier le php et son fonctionnement, mais également mettre une place une base de données complète, afin que le code php puisse interroger les bases via du langage SQL, et ainsi afficher les tables demandées par les utilisateurs. Pour la mise en place de la base de données, nous avons eu recours au logiciel Analyse SI, qui nous permet de dessiner une MCD valide, afin de s en inspiré pour le codage MCD (Modélisation Conceptuelle de Données) : Le Modèle conceptuel de données réalisé avec Analyse si. 61

63 4.2. MLD (Modèle de Liaison de Données) Pour élaborer le modèle de liaison de données, nous avons eu recourt à Access, logiciel de la célèbre suite office de Microsoft. En effet Access nous a permis de vérifier le bienfondé de nos clés primaires et étrangères Présentation de l Intranet L intranet de notre entreprise se décompose en plusieurs parties. Comme nous vous l avions expliqué, nous avons développé du html pour le contenu de l intranet. Ce HTML a été développé dans sa version 5, afin que les règles de sécurités soient respectées. Afin de modéliser les couleurs, les images et la mise en page, nous avons codé l intranet à l aide du langage de programmation CSS, lui aussi dans sa version 5. Vous trouverez les différentes pages de programmations HTML/CSS en annexes de ce rapport. 62

64 1. Bouton de retour à la page d accueil. 2. Permet la connexion aux modes de gestion ou de consultation. 3. Permet d accéder à la charte graphique. 4. Permet d accéder au mode de Consultation. 5. Permet d accéder au mode de Gestion. 6. Permet d accéder au serveur de gestion des tickets. Afin d automatiser les recherches des utilisateurs, nous avons donc développé la base de données, présentée ci-dessus. Celle-ci est installée sur le serveur web, et sa gestion est accessible depuis la page : Il suffit ensuite de se connecter directement à l aide de son mot de passe d administration. Les pages de connexions sur l intranet redirigent vers les pages sécurisées générées par le code php. C està-dire que quand vous souhaitez vous connecter pour consulter ou gérer l intranet, vous êtes sur une page sécurisée en php, généré par notre logiciel PHPRunner. L architecture des pages web sera donc la suivante : L utilisateur est en fait sur la page situé dans : /var/www/index.html sur le serveur web. Dès lors que celui-ci rentre dans le mode consultation du parc, il est situé sur la page : /var/www/consultation/index.php pour la page de Gestion, il sera situé sur /var/www/gestion/index.php PHPRunner, permet entre autre de généré des pages automatiquement en fonction de la base de données sur laquelle il travaille, dans notre cas, nous en avons deux identiques, une pour la Gestion et l autre pour la Consultation. Cependant les droits ne sont pas les mêmes. 63

65 En effet le mode de gestion permet d ajouter des ordinateurs, des utilisateurs, des écrans, des salles, des localisations, d en supprimer, et de réaliser d autres opérations encore. Le mode de consultation, lui ne permet de voir les différentes entités du par, de les imprimer, d en exporter la liste ; en revanche aucune modification n est autorisée. 5. Scripting Afin de faciliter et d optimiser la gestion de nos serveurs, nous avons utilisés différents script s en MS- DOS et en VBs Remontée des lecteurs réseau Afin de mapper les lecteurs réseau à chaque ouverture de session, nous avons utiliser une GPO qui lance un script VBs. Le script vérifie les lettres de lecteurs existantes et supprime celles qui sont dans la liste que nous avons spécifié, puis il mappe les lecteurs suivants : P : Partage_Commun Y : Commun_Services 64

66 5.2. Remontée automatique des informations relatives aux postes utilisateurs Nous avons réalisé deux scripts permettant de remonter des informations matérielles sur les postes des utilisateurs et de stocker ces informations dans le fichier out.txt, sauvegardé ici : c:\users\utilisateur\scripts\out.txt. Le premier script en VBs récolte les informations, et le script en.bat permet de les stocker. Ce fichier est sauvegardé à la racine du serveur de fichiers à cet endroit : \\SRVFP-BMT\scripts. Le fichier enregistré porte le nom NetBIOS de la machine. Pour cela nous avons simplement utilisé la variable d environnement %computername% pour éviter la confusion lors de la remontée des informations. Script VBs : Script an batch 65

67 Conclusion La réalisation de ce projet nous a permis de mettre en pratique les connaissances acquises sur Windows Server 2008 et Linux Debian en déployant une infrastructure de serveurs à partir de rien. Nous avons constaté que tout n aboutit pas du premier coup et que l installation de serveurs requiert de l attention et de la compétence. Nous avons également eu l opportunité de mettre en pratique les techniques de virtualisation, ce qui fut très enrichissant et formateur. L infrastructure que nous proposons est une solution fiable, robuste, sécurisée et évolutive. Elle apporte à l entreprise plus de souplesse dans l administration des serveurs et du parc informatique et une meilleure productivité. Elle fournit une tolérance de panne efficace qui limite les interruptions de service. 66

68 Annexes Devis matériel 67

69 Coût du matériel avec l acquisition supplémentaire prévu l année prochaine. 68

70 Cluster de serveurs ESX dans VCenter Migration d une VM avec VMotion dans un cluster de serveurs ESX 69