RMD CONSULTANTS INSPECTION ACADEMIQUE VAL-DE-MARNE TABLE DES MATIERES

Transcription

1 2010 PROJET : REFONTE DU S.I RMD CONSULTANTS NGUYEN Bao RANJIT Ramanesh CHAISSAIGNE Mickaël 01/08/2010

2 TABLE DES MATIERES 1. PRESENTATION Les acteurs L'inspection académique RMD CONSULTANTS LA DEMANDE Avant projet Note de cadrage (voir annexe) Cahier des charges fonctionnel général Audit Présentation de la solution envisagée Architecture fonctionnelle Environnement technique Environnement commercial Analyse des risques Choix de solutions et propositions d une solution Analyse approfondie de la solution Faisabilité, conditions de mise en œuvre Budget du projet Calendrier du projet Durée Missions du responsable de projet Modalités de reporting MISE EN ŒUVRE PROJET Méthodologie Paramétrages fonctionnels Mise en exploitation Plan de reprise d activité (PRA) Tests et recettes Formation et documentations BILAN DE PROJET ANNEXES R M D C O N S U L T A N T S Page 2

3 1. PRESENTATION Ce document à pour but de répondre à l appel d offre frcé par l Inspection Académique du Val de Marne qui souhaite renouveler l infrastructure informatique de l IA et des établissements de second degré (lycées et collèges) Les acteurs L'inspection académique L inspection académique, direction des services départementaux de l Education Nationale est l'échelon départemental. Elle gère l'organisation scolaire, les personnels, essentiellement ceux de l'enseignement primaire, la scolarité et vie scolaire, l'organisation des examens et concours, etc. L'inspection Académique est un service déconcentré de l'etat qui a pour mission de faire appliquer et d'adapter au niveau départemental les objectifs nationaux de la politique éducative. Mission des services de l Inspection académique Sous l'autorité du recteur de l'académie de Créteil, l'inspecteur d'académie et ses services sont chargés de mettre en œuvre la politique de Education nationale dans les écoles primaires et les établissements du second degré du département. L'action quotidienne des services s'articule autour de 3 missions essentielles : Gérer la scolarité des élèves Gérer les moyens d'enseignement Gérer les personnels enseignants du premier degré Organigramme du siège de l Inspection Académique du Val-de-Marne R M D C O N S U L T A N T S Page 3

4 Quantification du projet : Collèges : 150 Lycées : 50 Siège : 1 RMD CONSULTANTS INSPECTION ACADEMIQUE VAL-DE-MARNE Le projet réponse à la demande de l Inspection Académique est ambitieux car il concerne la totalité du département. Il est également complexe par la quantité des sites concernés (200 établissements + le siège) cependant RMD CONSULTANTS à le savoir faire et les compétences pour mener à bien ce projet RMD CONSULTANTS RMD CONSULTANTS est une société prestataire de services dans le domaine de l informatique dédiée au secteur professionnel. Situés à Joinville-Le-Pont (94), nous proposons nos services dans toute l Île de France vous permettant ainsi de vous adresser à un interlocuteur unique, disponible, compétent et réactif. Ainsi, nous vous proposons nos solutions en informatique, maintenance, sauvegarde, etc.. Grâce à un service d'ingénierie compétent et dynamique, RMD CONSULTANTS étudie avec vous tous vos besoins liés aux nouvelles technologies de l information et de la communication et vous accompagne dans la réalisation de vos projets et de vos objectifs. Ensemble, nous ferons de votre système d information un outil fiable et sûr. RMD CONSULTANTS vous apporte son expertise technique pour le déploiement, la gestion et la maintenance de votre parc informatique. Nous sommes présents dans l Île de France. Nous proposons un service d'infogérance destiné aux entreprises qui souhaitent développer un parc d'un ou plusieurs serveurs intranet, extranet ou internet. Vous disposez du savoir-faire d'un professionnel réactif aux moments voulus pour accompagner les utilisateurs au quotidien. Enfin, nous pouvons prendre en charge vos besoins en formation. R M D C O N S U L T A N T S Page 4

5 Présentation de nos activités Méthodes : * Définition de vos besoins * Constitution d une équipe projet dédiée avec un interlocuteur unique (Chef de projet expérimenté) * Rédaction de cahiers des charges * Elaboration d'une solution * Etude, budget et financement * Déploiement, installation sur site * Mise en place et intégration de la solution * Formation * Maintenance et mises à jour * Télémaintenance * Préconisations d évolution système et réseau Nos prestations informatiques * Audit de votre parc informatique * Maintenance sur site * Formation logiciels bureautique, applications métiers * Intervention à distance télémaintenance * Prêt de matériel en cas de panne * Rapports d'intervention Nos engagements : * Un service et des solutions personnalisées * Mise à disposition de spécialistes pour évaluer vos besoins et vous recommander nos solutions les mieux adaptées à vos besoins. * Des services élaborés selon vos besoins et vos impératifs. R M D C O N S U L T A N T S Page 5

6 Organigramme RMD CONSULTANTS Nos références : R M D C O N S U L T A N T S Page 6

7 2. LA DEMANDE RMD CONSULTANTS INSPECTION ACADEMIQUE VAL-DE-MARNE La demande formulée par l Inspection Académique est l évolution de l infrastructure informatique des établissements du second degré. Elle veut permettre aux lycéens et collégiens d avoir accès aux outils numériques pour parfaire leur éducation, mais aussi créer un espace communautaire dans chaque établissement et faciliter l échange d informations au niveau administratif entre l académie et les établissements. Pour cela, l IA a défini les objectifs suivants : 1. Assurer l interconnexion de tous les établissements scolaires de l Académie du Valde-Marne à Internet et au siège. 2. Restructurer le système d information de l Académie. 3. Renouveler le parc informatique de tous les sites de l Inspection Académique Avant projet Note de cadrage (voir annexe) Une note de cadrage nous a été fournie par Sejiane SOCCALIGAM (MOA). Elle a été présentée à RMD SOLUTION, étudiée par Bao NGUYEN et Mickaël CHASSAIGNE (chefs de projet), puis validé par Ramanesh RANJIT (MOE) Expression des besoins Cahier des charges fonctionnel général Rappel des objectifs : Assurer la connexion de tous les établissements scolaires de l Académie à Internet et au siège Restructurer le système d information de l Académie du Val-de-Marne Renouveler le parc informatique de tous les sites de l Inspection Académique du Valde-Marne : sièges et établissements scolaire Fonctionnalités à couvrir : Centralisation des bases de données, de la messagerie, des applicatifs, etc. Liaison permanente entre les établissements et l inspection académique Tolérance aux pannes Répartition de charges Sauvegardes Monitoring (serveurs, flux) Plan de reprise d activité Procédures Scripts Accès distant Certificats ou carte à puce Services réseaux de bases Authentification LDAP Formation administrateurs des districts R M D C O N S U L T A N T S Page 7

8 Antivol Prévision des évolutions (trafic WAN, effectifs etc.) Dissociation des réseaux élèves / administrations Restrictions des accès Eléments quantitatifs : nombre de personnes Inspection Académique : 85 Enseignants : 9000 Personnels administratifs : 2300 Elèves : Analyse de l existant : Infrastructure datant de 2002 Hétérogénéité et disparité du parc informatique Vétusté du matériel administratif Réseaux en WORKGROUP Aucun système de messagerie, SGBDR, applicatif répertorié Contraintes en termes de fonctionnement : Une interruption de service ne pourra se faire qu en Juillet et Août Volume important de sites : 150 collèges et 50 lycées Les collèges et lycées Schéma de l architecture des établissements scolaires (collèges et lycées) R M D C O N S U L T A N T S Page 8

9 L Inspection Académique Schéma de l architecture de l inspection académique du Val-de-Marne DMZ LAN Après analyse du cahier des charges fourni par la MOA, nous réalisons qu il y a des interrogations sur plusieurs points : Le nombre total de postes dans chaque établissement Le nombre de postes par service S il y a existence d une salle serveur Les logiciels utilisés La présence d une connexion Internet S il y a des postes réutilisables (renouvelés récemment, upgradés ) Pour répondre à ces questions il nous faudra réaliser un audit. R M D C O N S U L T A N T S Page 9

10 Audit Suite au manque d information nécessaire au bon déroulement du projet, avec l accord de Sejiane SOCCALIGAM (MOA), une réalisation d audit a été réalisée dans la période du 19 avril 2010 au 3 mai 2010 par la société METACORP. Voici les résultats pour les matériels et logiciels informatiques : R M D C O N S U L T A N T S Page 10

11 Les points importants concernant les résultats ci-dessus sont : 5 collèges n ont pas de connexion Internet La plupart des établissements n ont pas de salle serveur Le parc est complètement hétérogène tant au niveau matériel que logiciel Il y a en tout et pour tout 32 postes récupérables (HP DC5800) Voici les résultats pour les services présents et le nombre de postes dans les différents établissements ainsi que dans l Inspection Académique : L audit maintenant terminée, RMD CONSULTANTS peut désormais proposer des solutions adéquates à l infrastructure existante. Par ailleurs, cet audit permet de mettre en évidence la vétusté de l infrastructure informatique des établissements et de l inspection académique. Ainsi, avec l accord de la MOA il faudra également effectuer des travaux d améliorations (câblage, salles climatisées pour les serveurs etc.) afin de permettre une qualité et des performances optimales de la nouvelle infrastructure réseau. Il n y a par contre aucun administrateur réseau dans les établissements. Actuellement, ce sont des professeurs qui s occupent de la maintenance du réseau. Il a été convenu avec la MOA que des administrateurs de districts seront nommés et affectés à la mise en œuvre du projet. R M D C O N S U L T A N T S Page 11

12 2.3. Présentation de la solution envisagée Architecture fonctionnelle Schéma de l interconnexion des sites L interconnexion des sites sera assurée par l ouverture de 8 lignes e-sdl au niveau de l inspection académique. Chaque ligne accueillera la liaison avec 25 établissements. En cas de panne de l une des lignes : L administrateur réseau basculera le routeur connecté à la ligne défailfrte sur la ligne de secours. En cas de panne matérielle : L administrateur réseau remplacera le routeur concerné par un spare qui sera préalablement préconfiguré. R M D C O N S U L T A N T S Page 12

13 Schéma de l architecture des établissements scolaires (collèges et lycées) Il n y a pas de différences significatives entre les collèges et les lycées au niveau de l infrastructure réseau excepté le nombre de postes. Ce schéma est donc représentatif de la solution envisagée pour les établissements du second degré. La particularité des établissements est la présence des VLAN pour séparer le réseau administration de celui des élèves. R M D C O N S U L T A N T S Page 13

14 Schéma de l architecture de l Inspection Académique La particularité de l Inspection Académique réside dans le fait que chaque établissement va utiliser le lien VPN pour récupérer les s. Qui sont centralisés dans ses locaux. De ce fait, afin de permettre un monitoring optimal et pour éviter toute baisse des performances, les utilisateurs de l Inspection Académique disposeront d une connexion ADSL dédiée. Contrairement aux établissements, il n y a pas de VLAN ici. Il n y a que des administratifs. Avec les schémas présentés ci-dessus, l Inspection Académique apparaît maintenant comme le noyau de l infrastructure réseau qui va mettre mise en place. Par conséquent, l évolution commencera par elle. R M D C O N S U L T A N T S Page 14

15 Environnement technique L audit avait déterminé qu il y avait actuellement : Collèges : 150 * 18 = 2700 postes Lycées : 50 * 81 = 4050 postes Inspection Académique : 90 postes Soit un total de 6840 postes. Il n y a pas de serveur à proprement dit (système exploitation serveur) mais uniquement une station de travail faisant office de serveur de fichier. Les établissements travaillent ainsi en WORKGROUP. Dans un premier temps, voici l évolution de postes que la MOE préconise : De ce fait, le nombre de postes devraient alors être : Collèges : 150 * 30 = 4500 postes Lycées : 50 * 120 = 6000 postes Inspection Académique : 110 postes Soit un total de postes. Avec une augmentation du nombre de poste de 55%, chaque utilisateur aura son propre poste ce qui évitera les «roulements» comme c est le cas aujourd hui (des utilisateurs se partagent des postes selon leurs jours de présences). A noter également que cette préconisation comporte dans postes en spare. Qui permettront de palier aux pannes et à l évolution des effectifs. R M D C O N S U L T A N T S Page 15

16 Afin de répondre aux besoins de centralisation des données, d authentification, de tolérance aux pannes et de sauvegardes, chaque établissement comprendra : La modification d infrastructure réseau se fera au niveau de l Inspection Académique qui devra maintenant centraliser le système de tous les établissements ainsi que celui de ses propres utilisateurs : Inspection Académique : 85 Enseignants : 9000 Personnels administratifs : 2300 Elèves : Un total de boîtes aux lettres. Le nombre de serveurs, pratiquement multiplié par 40 ne sera forcément pas sans conséquences. En effet, à l heure actuelle, la salle serveur de l Inspection Académique n est absolument pas en mesure d accueillir une telle architecture. Il est IMPERATIF de procédé aux travaux de rénovation, climatisation et de câblages en priorité. Un non respect de cette condition pourra affecter grandement le déroulement du projet. R M D C O N S U L T A N T S Page 16

17 Outre la partie matérielle, il y a aussi la partie logicielle à prendre en compte. Ci-dessous, un récapitulatif des logiciels, applications spécifiques existantes : L infrastructure réseaux datant de 2002, il faudra complètement changer les systèmes d exploitation de tous les postes et serveur. Pour ainsi éviter tout problème de compatibilité. Par ailleurs, il faut noter la présence de postes en version «Home». Or, avec une authentification LDAP expressément demandée, ce n est pas compatible. Contrairement à l existant, la nouvelle architecteur réseau comportera des systèmes d exploitation Linux pour les pare-feu et les proxys. En ce qui concerne les applicatifs utilisés, une mise à jour des versions sera à prévoir afin qu elles puissent être migrée vers les nouveaux postes/serveurs qui les hébergeront. La volumétrie des sites étant très importante (201 : 200 établissement + le siège), RMD CONSULTANTS mettra à disposition pour ce projet, 33 personnels techniques : Administrateurs systèmes et réseaux : 25 Ils s occuperont principalement de la configuration (serveurs, switchs etc.) tant matérielle que logicielle. Techniciens réseaux : 31 Ils seront principalement en charge de la mise en place et de la configuration des stations de travail, imprimantes, photocopieurs, HUB etc. R M D C O N S U L T A N T S Page 17

18 Environnement commercial Ce projet étant du domaine de l informatique, les possibilités de partenariat avec les différents acteurs (grossistes, constructeurs) sont conséquentes. Néanmoins, afin d avoir des tarifs minimalisés, des garanties de pannes et de stocks au vu de la quantité de matériels à commander, RMD CONSULTANTS a confié la partie commerciale à Kelly BENJAMIN (Direction Financière) qui s est tournée vers les deux principaux constructeurs informatiques : DELL et Hewlett Packard. Des négociations ont été faites et c est DELL qui a été retenu pour des offres plus compétitives et des garanties en cas de pannes plus adaptées. Voici un récapitulatifs des avantages DELL : Licences offertes pour les serveurs Les écrans, claviers et souris pour les serveurs sont également offerts En cas de panne matérielle intervention en H+4 Une possibilité d avoir des PC installés en usine selon une configuration logicielle définie par nos soins Service d installation en rack possible (pour les onduleurs) Analyse des risques Le principal risque pour ce projet d envergure est les délais. Avec une contrainte d interruption de service possible uniquement durant juillet et août il faut avoir un maximum de garantie sur les délais : Les travaux : Bien plus important à l Inspection Académique que pour les établissements car c est par elle que l on commence. Il faut s assurer que les travaux de modernisation de la salle serveur soient impérativement finis en temps et en heure. Effectivement, l interruption de service ne pourra se faire que durant les deux mois des vacances scolaires. Un retard lors de cette étape entraînerait un retard sur l ensemble du projet. Les livraisons : Autre point sensible du projet. Avec la quantité conséquente de postes à commander, il est évident que toutes les commandes ne seront pas livrés en même temps, d ailleurs ce n est pas notre souhait car il y a des tâches à priorisées. Néanmoins, il est vital que les délais de livraisons soient respectés. Encore, plus celle des serveurs qui sont le noyau de la nouvelle infrastructure. Le personnel : Une donnée à ne pas négliger. Personne n est à l abri d une absence pour une quelconque raison. Et sur un projet d une échelle si importante, il faut prévoir du personnel pour pallier aux absences. Chaque personne ayant un rôle bien précis, il faudra en plus s assurer que la personne remplaçante soit apte à remplir le rôle de l absent. R M D C O N S U L T A N T S Page 18

19 L espace disponible : En effet, le matériel reçu devra faire l objet d un stockage pour des questions de sécurité. Il faut prévoir des espaces capables d accueillir un nombre important d emballages. Le temps de travail : Chaque personne, se verra attribué des tâches. Ces tâches, auront une durée définie. Mais il est évidemment que lors de certaines configurations, mises en place il y aura un problème d ordre physique, logique qui fera que la tâche prendra du retard. Il faudra alors s assurer que le retard de cette tâche aura un impact minimal le calendrier du projet. Panne, livraison incomplète : Un risque moindre mais à prendre, tout de même en considération. Nous ne seront également pas à l abri d une commande qui serait arrivée incomplète, ou encore d un matériel livré qui serait défectueux ou non conforme à nos besoin. Ainsi, il faudra passer les rassembler les commandes selon le lieu et les tâches où les intervenant doivent agir. Aussi, le contrôle à la réception doit être effectué afin de ne pas avoir de mauvaise surprise lors du déballage. Accès aux bâtiments : Les interventions qui se dérouleront les soirs, week-end ou encore pendant la fermeture des vacances scolaires ne devront pas être perturbées par l absence du personnel administratif. Il faut absolument que les techniciens aient accès aux bâtiments, salles afin de pouvoir effectuer les tâches qui leur sont assignés. Pour chaque établissement et le siège, il est important que notre personnel dispose d un accès total aux locaux. Grâce à une personne de l administration présente pendant les vacances, en ayant les clés, les codes d accès etc. Les horaires : Certaines tâches seront effectuées en pleine journée. Bien sûr, les utilisateurs seront prévenus si cela les concernes directement (remplacement de leur poste par exemple) ou indirectement (changement switchs par exemple). Dans ces cas là, il faut faire en sorte que les utilisateurs aient bien conscience qu à l heure indiquée, ils ne soient pas en cours d utilisation de leur ordinateur, de fichiers sur le réseau etc. Pour ne pas retarder la tâche. R M D C O N S U L T A N T S Page 19

20 Choix de solutions et propositions d une solution Pour rappel, voici la liste des besoins fonctionnels exprimés par la MOA ainsi que les solutions techniques possibles et notre choix parmi les solutions disponibles. Centralisation de la base de données utilisateurs : SQL Server 2008 : des bases de données existantes sous SQL Server 2000 sont déjà existantes, et comme une migration est prévue sur SQL Server 2008, nous créerons également une nouvelle base de données comportant les utilisateurs. Par ailleurs, il y aura également une réplication Active Directory. Gestion du système de messagerie de tous les établissements : La centralisation du système de messagerie des établissements se fera par l hébergement de toutes les boîtes sur les serveurs de l Inspection Académique. Les établissements y auront accès selon deux méthodes possibles : Hosted Exchange : ici, le serveur exchange est configuré de la sorte à pouvoir être accessible si bien en POP3, SMTP et IMAP4. Il fonctionne comme un webmail (c'est-à-dire qu il est lié à un nom de domaine) mais est configurable via les clients de messagerie (Outlook). -Configuration difficile -Coût élevé +Accessible partout à tant que l utilisateur dispose d une connexion Internet. Exchange via VPN : avec l interconnexion des sites en permanence entre les établissements et l Inspection Académique, c est cette solution qui a été choisie. +Aucun coût supplémentaire pour la mise en place +Aucune configuration particulière à effectuer +Webmail -Si plus de connexion VPN, pas de mails, même si la connexion Internet fonctionne Solution choisie : Exchange via VPN. Tolérance aux pannes / PRA : En cas de panne, ou de défailfrce, l impact sur le réseau doit être minimal pour permettre aux utilisateurs de pouvoir continuer à travailler. Trust bi-dsl : en ce qui concerne la tolérance aux pannes au niveau des lignes ADSL, c est le FAI Nerim qui a été choisi car il propose une offre «Trust bi-dsl» qui permet de basculer sur une seconde ligne de secours si la première tombe en panne. Avec une garantie de la gestion du temps de rétablissement (GTR) de 4h. Clustering : des baies de serveurs lames en cluster permettent une répartition de charge mais aussi une réplication de données si l un des serveurs venait à être indisponible (pfrtage, panne etc.) Redondance : des switchs, des alimentations, des serveurs (via des disques en RAID) Onduleurs : protège les postes, périphériques et serveurs contre les surtensions et les coupures de courants afin de permettre aux utilisateurs /administrateurs de sauvegarder leur travail et d éteindre normalement les stations de travail / serveurs. R M D C O N S U L T A N T S Page 20

21 Sauvegardes externes : c est le fait de sauvegarde ses données à l extérieur, via un prestataire principalement. -Coût très élevé (dépend de la volumétrie des données) -Dépendance vis-à-vis du prestataire +Sauvegardes protégées en cas d incendie Sauvegardes internes : les sauvegardes se feront sur bandes. +Coût du matériel +Sauvegardes disponible immédiatement +Protection assurée contre les incendies si les sauvegardes sont stockées en extérieurs Solution choisie : clustering + redondance + onduleurs + sauvegardes internes. Contrôle des flux et supervision : Pour la mise en place d une solution de supervision des flux et des serveurs, nous optons avons le choix entre deux solutions Linux. Zabbix : logiciel permettant de surveiller le statut de divers services réseau, serveurs et autres matériels réseau. +Simple à utiliser +Interface graphique complexe, personnalisation des vues possibles +La plupart des plug-ins sont préinstallés -Beaucoup de plug-ins superficiels, inutiles Nagios : application permettant la surveillance système et réseau. Elle surveille les hôtes et services spécifiés, alertant lorsque les systèmes vont mal et quand ils vont mieux. C'est un logiciel libre sous licence GPL. -Utilisation complexe +Rapide d accès (via SSH notamment) +Stable +Interface de visualisation simple -Interface visuelle inexistante, tout en ligne de commande. Mais possibilité d avoir une interface WEB en le combinant avec Centreon. Centreon : logiciel de surveilfrce et de supervision réseau, fondé sur le moteur de récupération d'information libre Nagios. +Plus simple à utiliser que Nagios +Interface simple, permet d administrer pratiquement tous les services du logiciel -Impossibilité de personnaliser les vues pour avoir uniquement les informations dont nous avons besoin. Solution choisie : Nagios. Accès aux ressources du siège depuis l extérieur pour les utilisateurs : VPN : en configurant une connexion VPN, les collaborateurs auront accès aux ressources du siège après s être authentifiés au préalable, comme s ils étaient présents dans les locaux. Prévisions de l évolution des effectifs et du traffic WAN de 15% : Effectifs : poste supplémentaires prévus (en spare) WAN : dégroupage, changement de forfait pour un débit plus élevé R M D C O N S U L T A N T S Page 21

22 Authentification LDAP, services réseau de base (DNS, DHCP) : Pour ce besoin, bien que les distributions LINUX permettent de remplir ces différents rôles, nous optons pour des serveurs WINDOWS Server 2008 en domaine, sur lesquels nous avons l habitude de travailler qui plus est, permettent une configuration plus simple de ces services. Boîte aux lettres pour les élèves, enseignants et administratifs : Ayant des serveurs WINDOWS Server 2008, c est tout naturellement que nous nous portons sur EXCHANGE 2007 pour héberger les différentes boîtes aux lettres. Automatisation des connexions à ressources partagées : Selon le profil de l utilisateur, il n aura pas accès à des ressources différentes. Il faudra alors pouvoir mettre en place des solutions pour automatiser l accès à ces ressources. Procédures : -Nécessite une rédaction -La réussite dépend également de l utilisateur Scripts : -Rapide à mettre en place -S exécute automatiquement Solution choisie : scripts. Besoin général de fiabilisation et de sécurisation de l ensemble des systèmes : Serveurs : protection des serveurs dans des salles dédiées avec accès restreint. Clients : mise en place d antivol Procédures : rédaction de procédures d utilisation et d administration Faciliter l ajout de machines, périphériques ou logiciels sur le réseau : Procédures : d installation, de mise en place, configuration Serveur WDS : pour cela, il faut une normalisation des modèles de machines Dissociation des réseaux élèves / administration : VLAN : permet une administration centralisée tout en empêchant l utilisateur d un réseau à avoir accès aux ressources d un réseau autre que le sien. Sécurisation des ressources / ouvertures de sessions : Cartes à puce : liée à un certificat, la carte à puce devient le moyen d'identification personnelle -Coût (cartes + lecteurs de cartes) +Installation lourde mais pas forcément complexe -Si l utilisateur oublie la carte il ne peut pas s authentifier NAP : est une technique pour contrôler l'accès au réseau d'un ordinateur en se basant sur la santé de son système. +Pas de coût (intégré à Windows Server Difficile à mettre en place +Invisible pour l utilisateur Solution choisie : NAP. R M D C O N S U L T A N T S Page 22

23 Routage : Small Business RVS400 : Le routage du réseau se fera grâce aux routeurs que l on installera à l Inspection Académique et dans chaque établissement. Pare-feu / Proxy : Afin de respecter les contraintes de sécurité et des horaires de connexion (notamment dans les établissements) nous nous sommes tournés vers deux pare-feu sous Linux. IPCop : pare-feu sous distribution Red-Hat. +Proxy -Pas de gestion de la haute disponibilité +QoS +Filtrage et sécurité via add-on -Interface Web non intuitive PFSense : pare-feu sous distribution FreeBSD. -Proxy disponible si l on ajoute Squid +Gestion de la haute disponibilité +QoS +Filtrage et sécurité disponible via Squid +Interface Web facile à utiliser Solution choisie : PFSense+Squid. Interconnexion des établissements avec le siège : La nouvelle infrastructure impose une centralisation de la messagerie et de la base de données utilisateurs. Ainsi, une liaison permanente est nécessaire entre les établissements et le siège afin de permettre des échanges constants. Liens dédiés : ligne louée à un prestataire (généralement un FAI). -Coût très élevé en raison du nombre d établissement -Dépendance vis-à-vis du prestataire +Gain de temps car le prestataire fait la mise en place des lignes, du matériel et leur configuration -Débit garantie car ligne dédiée Tunneling : configuration des routeurs pour créer une liaison VPN entre eux +Coût faible (ouverture des lignes + abonnement) +Gestion des liaisons en interne -Débit plus faible, car ligne non dédiée +Mise en place plus rapide Solution choisie : Tunneling. Prévention contre les virus et les spams : C est l éditeur Symantec qui a été retenu pour couvrir ce besoin car nous sommes partenaire certifié et bénéficions également de tarifs avantageux. Symantec Endpoint Protection : antivirus Symantec Mail Security : antispam R M D C O N S U L T A N T S Page 23

24 Analyse approfondie de la solution Maintenant que le choix des solutions a été réalisé pour répondre aux différents besoins exprimés par la MOA, la MOE va analyser les aboutissants de chaque solution choisie. Cependant, seules les étapes ayant des spécifications importantes seront analysées. Tunneling : permet l interconnexion des établissements au siège de façon permanente. Connexion des établissements : les besoins étant principalement descendants (download) nous avons optés pour des connexions de base, ADSL (18Mb). Néanmoins, afin de garantir une tolérance aux pannes, nous avons souscrit à l offre «Trust bi-dsl» qui permet de basculer sur une ligne de secours si la première tombe en panne. Connexion à l Inspection Académique : un point névralgique de la nouvelle architecture. En effet, le système de messagerie sera désormais centralisé entièrement au siège ce qui implique l ouverture de 9 lignes SDL (20Mb) pour garantir des débits ascendants et descendants raisonnable. En détail, voici la répartition de la charge : -Un lien de secours pour la tolérance aux pannes / 8 = 25 établissements par lien. Après analyse, le débit semble relativement faible pour l ensemble des établissements mais il ne faut pas oublier que tous les établissements n interrogeront pas les serveurs du siège simultanément et en continue. Exchange : système de messagerie. Centralisation du système de messagerie : la solution la plus complexe à mettre en œuvre dans ce projet, principalement en raison de la présence du nombre conséquent de boîtes aux lettres à héberger au niveau des serveurs : Inspection Académique : 85 Enseignants : 9000 Personnels administratifs : 2300 Elèves : Donc, un total de boîtes mails. Bien entendu, cette centralisation est liée à la mise en place des liens VPN. Effectivement, les clients de messagerie iront chercher leurs mails via la liaison vers le siège qui héberge tous les mails. En ce qui concerne la répartition des boîtes mails, elle se fera comme suit : Une boîte mail de 50Mo pour les élèves Une boîte mail de 100Mo pour les administratifs et enseignants (avec des variations possibles selon le rôle occupé) Un serveur dédié pour les enseignants. Un serveur pour les utilisateurs du sièges et les administratifs. Ayant prévu (celui du siège) serveurs de messagerie, il nous reste donc boîtes aux lettres à répartir sur les 39 serveurs restants (nous ne comptons pas celui réservé pour les enseignants). Il y aura donc 5642 boîtes mails par serveur. Bien entendu, tout ce système devra être évidemment être tolérant aux pannes. R M D C O N S U L T A N T S Page 24

25 Tolérance aux pannes : ce sont les moyens mis en œuvre afin de permettre une continuité de service en cas de pannes (logicielles, matérielles, coupure électrique etc.) Trust bi-dsl : identiquement que dans les établissements, le siège aura sa connexion ADSL (18Mb) de la même façon afin de ne pas subir ou engendrer des ralentissements sur les liens VPN. Onduleurs : les onduleurs clients.prévus pour éviter les coupures et les surtensions ont 6 prises au total (3 pour la prévention des coupures, 3 pour la prévention des surtensions). En ce qui concerne les onduleurs serveurs, une seule connectique garantie la protection des deux pannes. A noter également qu un onduleur serveur tiendra à environ 30 minutes s il y a coupure alors que le client ne tiendra que 10 minutes. Redondances : au niveau des connexions ADSL / SDL, l interruption de service est minimisé par la présence d un lien de secours que ce soit à l Inspection Académique ou dans les établissements. Pour les périphériques, notamment les switchs c est la mise en place d une topologie en cascade avec l activation du spanning tree protocol (STP) qui permet d éviter les boucles sur le réseau. Pour les serveurs, c est la mise en place du RAID 5 qui prend en charge la panne d un des disques sans pour autant engendrer une interruption de serveur et une perte des données. La mise en place de clusters est également une solution prévue. Clustering : le cluster, constitué de deux serveurs au minimum (appelé aussi nœuds) et partageant une baie de disques commune, pour assurer une continuité de service et/ou repartir la charge de calcul et/ou la charge réseau. Voici le schéma représentant les clusters : R M D C O N S U L T A N T S Page 25

26 Afin de mettre l architecture en cluster il nous faudra comme suit : -3 baies pouvant accueillir 16 serveurs lame (en rack) chacune -Sur chaque baie, il y aura deux switchs (en rack toujours) en cascade - Les deux premières baies seront identiques en terme de matériels connectés et d utilisation des serveurs (2 switchs, 14 serveurs mails) -La dernière baie quant à elle, comportera 3 serveurs «différents» : le serveur fonctionnel du siège (AD, DHCP, DNS, Exchange : siège + administratifs, Antispam, IIS), le serveur d applications (IIS, Sage, Bodet, SharePoint, SQL SRV2K8, WSUS) et le serveur mail dédié aux enseignants. Ce qui nous fait : 28 serveurs mails pour les premières baies + 11 serveurs mails sur la dernière baie. Soit un total de 39 serveurs mails réservés pour les élèves. Voici les avantages de la mise en place de clusters : augmenter la disponibilité faciliter la montée en charge permettre une répartition de la charge faciliter la gestion des ressources (par exemple, l ajout d un serveur ou son remplacement ne nécessite pas une interruption de service) Sauvegardes internes : afin d avoir une garantie de récupération des données en cas de perte, nous avons optés pour un NAS (serveur de fichiers) qui sera en RAID5, sauvegardé par un lecteur de bandes. En ce qui concerne les données systèmes (banques d informations Exchange, les bases de données SQL, system state etc.) c est un serveur dédié (Data Protection Manager) qui les sauvegardera. Pour assurer une sécurité supplémentaire, lui aussi, sera ensuite sauvegarder par un lecteur de bandes. Centralisation de la base de données utilisateurs : en plus d être une exigence de la MOA, nous avons besoin, afin de créer les boîtes mails des utilisateurs d avoir leurs coordonnées (au moins les noms et prénoms). Mise en place d une base de données : convenu avec la MOA et garantie par celle-ci, chaque établissement possède un document sous format EXCEL contenant son personnel administratif, ses enseignants et les élèves inscrits. Par conséquent, avec la mise en place d un SQL Server 2008, il nous suffira de faire un import de ce fichier dans la base nouvellement créé. Concernant la base de données du personnel de l Inspection Académique, une base est déjà existante sous SQL Server Il suffit donc de migrer la base vers le nouveau serveur. Contrôle des flux et supervision : Nagios a été choisi pour prendre en charge la solution de supervision du trafic et des ressources utilisées pour prévoir toute montée en charge ainsi qu une évolution possible des effectifs. Monitoring : Nagios, sera connecté au cœur du réseau. C'est-à-dire qu il sera entre le réseau de serveurs lames, le réseau de clients (avec leur connexion ADSL locale) et les liaisons VPN. Ce qui permettra de superviser les flux Internet (ADSL + VPN) ainsi que le trafic au niveau des échanges avec les serveurs. Toute montée en charge sera donc détectée et pourra être sujet à une répartition plus équitable entre les liens / serveurs. R M D C O N S U L T A N T S Page 26

27 Authentification LDAP, services réseau de base (DNS, DHCP) : les besoins ici sont essentiels afin de mettre une architecture sécurisée et centralisée. Authentification LDAP : c est par le biais d un Windows Server 2008 en domaine que cela se fera. En effet, chaque personne aura un compte utilisateur et chaque poste sera sur le domaine. Ainsi, aucun accès aux ordinateurs ne sera possible sans une authentification validée par le serveur. DNS : serveur local : au niveau des établissements, le DNS n aura qu une entrée concernant le cluster qui hébergera ses mails. Il effectuera également sa mission principale qui est la résolution des adresses Internet. DNS : serveurs sièges : pour le siège, le serveur DNS contiendra les entrées de tous les serveurs afin de permettre un traitement plus rapide des requêtes. Et donc une charge moindre sur le réseau. DHCP : c est un point important du projet car il y a beaucoup de postes et à priori, il faudra un adressage adéquat pour contenir tous ces postes. Néanmoins, avec l architecture prévue, tous les postes ne seront pas sur le «même» réseau à proprement parler. En effet, la liaison VPN se faisant grâce au un routeur celui-ci recevra donc une adresse IP du réseau du siège permettant ainsi aux postes locaux de récupérer les mails. L adressage IP choisi est donc celui-ci : Siège : avec un masque en Un réseau de classe B est prévu pour le siège car il y a bon nombre de serveurs mais surtout, il faut un adressage IP permettant de supporter l évolution des effectifs et de l infrastructure réseau. Par ailleurs, pour faciliter l administration, nous créerons un sous-réseau contenant les adresses IP distribués pour le VPN : avec en masque en cet adressage IP permet d avoir 510 hôtes par sous-réseau. Etablissement : avec un masque en Un réseau de classe C est donc privilégié car il n y a pas plus de 200 postes par établissements. Faciliter l ajout de machines, périphériques ou logiciels sur le réseau : étant donné qu il n y a qu un seul administrateur par district, pour des besoins de gestion du temps efficace, lorsqu il y a de nouveaux matériels/logiciels à mettre en place il faudra automatiser l opération le plus possible. Logiciels : tout ce qui est installation / configuration d un logiciel peut être facilitée par la mise en place de procédure étape par étape. Ces procédures seront transmises aux différents administrateurs et validées par la MOA. Matériels : c est là que la normalisation est obligatoire. En effet, lorsque les tous premiers ordinateurs seront mis en place, il faudra en faire des images (selon les modèles et le profil de l utilisateur) qui seront mises sur un serveur de déploiement (ici WDS). Ainsi, lors de la mise en place du nouveau matériel, l image va être déployée et permettra alors au poste «clonée» d avoir tout le nécessaire pour être fonctionnel sur le réseau dans un lapse de temps réduit (l administrateur n aura pas à intervenir lors de l installation de l image sur la machine). R M D C O N S U L T A N T S Page 27

28 Sécurisation des ressources / ouvertures de sessions : la protection des ressources passe par l activation de la fonctionnalité NAP (Network Access Protection) du serveur en place. Network Policy Server : pour permettre en place le NAP, il faut configurer le service NPS. Ainsi, la protection du réseau sera assurée en configurant les options suivantes : -Le contrôle d accès par VPN : En rendant le service d accès distant (RRAS, Routing and Remote Access Server) de Windows Server 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clients distants. La configuration est relativement aisée puisqu il suffit d utiliser une authentification par PEAP (Protected-Extensible Authentification Protocol). La mise en quarantaine s effectuera à l aide de filtres IP configurés sur le serveur NPS. -Le contrôle d accès par certificat : Ici, l accès ne sera plus filtré au point d entrée du réseau (DHCP, VPN etc) mais ce sera chaque machine qui décidera en fonction de sa configuration si elle peut ou non communiquer avec des hôtes non conformes. Son principe de fonctionnement à part impose un composant supplémentaire pour fonctionner : l autorité d enregistrement de santé (Health Registration Authorities, HRA). Le rôle de cette autorité est de fournir un certificat de santé aux clients conformes avec les règles inscrites sur le serveur NPS. Ce certificat est un certificat numérique disposant de deux rôles : l authentification du client et la preuve de la conformité. L avantage de ce système de certificat est qu il suffira à un client de présenter son certificat à un hôte distant pour lui prouver que son état de santé à été déclaré conforme par le serveur NPS. Cette méthode est la plus sécurisée car elle permet d obtenir une infrastructure sécurisée par IPSec qui se base aussi sur l état de santé du client pour la phase d authentification. Pare-feu : la politique de l Education Nationale étant très sensible, il faut absolument contrôler les accès à Internet (horaires et sites web visités). PFSense + Squid : le pare-feu qui fera également office de proxy permettra le contrôle sur : -Le contenu (sites de téléchargements, streaming etc.) : se fera en filtrant les ports utilisés (pour le streaming notamment) ou avec les adresses des sites. -Les horaires de connexion : se fera en fonction de l adresse IP source. La présence de VLAN facilitera la tâche car au niveau de la connectique, les élèves et administratifs seront branchés sur des switchs différents. Donc des adresses IP différentes. R M D C O N S U L T A N T S Page 28

29 Prévention contre les virus et les spams : en bloquant l accès à des sites potentiellement dangereux, nous diminuons les risques de virus, mais nous ne somme pas entièrement à l abri. Idem pour les spams. Ainsi, deux solutions vont être mises en place. Symantec Endpoint Protection : Elle intègre en toute transparence des technologies majeures telles qu'un antivirus, un antispyware, un pare-feu, la prévention d'intrusion et le contrôle des périphériques et des applications. L administration centralisée est de plus possible grâce à un agent géré par une console de gestion. Symantec Mail Security : se greffe au système de messagerie Exchange et offre les solutions suivantes : -Protection contre les virus, les vers d'envoi en masse, les chevaux de Troie, le spam, les spywares, le phishing et les attaques de déni de service -Filtrage de contenu du courrier électronique basé sur des politiques prédéfinies, des expressions courantes, des critères liés aux pièces jointes et l'identification du "true file type". -La console de gestion fournit des fonctions centralisées de configuration de politiques de groupes de serveurs, de notifications, d'alertes et de génération de rapports Faisabilité, conditions de mise en œuvre La faisabilité d un projet d une telle envergure sera déterminée selon plusieurs critères comme les moyens humains, financiers, techniques etc. Ces critères peuvent être délimités en «rôle» pour chaque intervenant du projet : R M D C O N S U L T A N T S Page 29

30 Les moyens humains : ce sont principalement la main d œuvre du projet. -Pour la MOA, ce sont les personnes supervisant le projet et validant nos préconisations, procédures, début/fin d étapes etc. Mais également le personnel des sites. En effet, les utilisateurs des sites seront mis à contribution notamment pour la sauvegarde de leurs données. Tandis que les administrateurs de districts seront là pour nous assister et prendre en main les outils mis en place. -Pour la MOE, ce sont les personnes s occupant tant de la partie logistique du projet (gestion/affectation des ressources, édition des pfrnings, des reportings etc.) mais également le personnel technique chargé de la mise en place du projet (installations physiques/logicielles, paramétrages, configuration etc.) Pour la partie logistique, RMD CONSULTANTS met à disposition un responsable de projet et deux chefs de projets. Pour la partie technique, 11 administrateurs réseaux et 22 techniciens assureront le bon déroulement de la mise en œuvre des solutions. Sur certaines tâches tels que les audits (qui concernant un volume important de sites : 201), des ressources humaines supplémentaires devront être prises en compte. Les moyens techniques : qui sont possibles par le biais des fournisseurs. Les moyens techniques peuvent être différenciés selon ces catégories : -Le matériel (postes, périphériques etc.) -Les logiciels (licences, antivirus, antispam etc.) -Les équipements de sécurité (pour les salles serveurs, caméras, antivol etc.) -Les formations (en effet, un des besoins exprimé par la MOA est lié à l aptitude des administrateurs de districts à être autonome sur la nouvelle architecture quand celle-ci sera terminée et lorsque RMD CONSULTANTS n interviendra donc plus dessus. -Ne pas oublier les CDI qui sont en fait le personnel. En effet en cas d un besoin de ressources supplémentaires, nous passerons par des fournisseurs (agences d intérim, sociétés de prestations etc.) Les moyens financiers : l état de l architecture existante est tel que les besoins de fonctionnalités techniques exprimées par la MOA ne sont pas possible sans changer et modifier la totalité de l infrastructure réseau existante. Restructurer une telle quantité de matérielle et logicielle ne comporte pas uniquement des risques techniques (de compatibilité principalement) mais également de coûts. Ainsi, il faut s assurer que les solutions techniques envisagées prennent en compte : -L Education Nationale a des prix préférentiels sur les licences -Avec les quantités commandées, des remises importantes seront effectuées -Il faut veiller à respecter le budget tout en choisissant du matériel capable à gérer la charge d un réseau avec une centralisation d un système de messagerie comportant des centaines de milliers de boîtes aux lettres. Ne pas oublier également qu il y a une prévision d évolution de 15% des effectifs et que l Education Nationale ne compte pas renouveler le matériel fraichement remplacé avant quelques années. Il faut garantir des performances optimales sur la durée. R M D C O N S U L T A N T S Page 30

31 La faisabilité du projet est donc en corrélation directe avec la capacité qu à RMD CONSULTANTS à choisir ses partenaires, gérer le temps, les ressources et respecter le budget afin d apporter des solutions fiables et de qualités permettant de répondre pleinement aux attentes de la MOA. La mise en œuvre des solutions ne pourra donc se faire que si : -La prise en compte des risques a été faite : quelles sont les difficultés auxquelles il faut s attendre dans le déroulement du projet et les moyens de les prévenir, -Tous les besoins ont été répertorié (humains, financiers, techniques) -Toutes les étapes ont été définies par la MOE et validées par la MOA A partir de là, le projet est prêt pour passer en phase de mise en œuvre Budget du projet Ci-dessous les tableaux récapitulatifs des dépenses à engager afin de permettre la mise en œuvre de la restructuration du système informatique. Le budget couvre les éléments suivants pour les 3 types de sites (collèges, lycées, siège) Matériel (postes, imprimantes etc.) Logiciel (applications, systèmes d exploitation etc.) Infrastructure (câblage, audit etc.) R M D C O N S U L T A N T S Page 31

32 ,50 TOTAL MATERIEL ,00 TOTAL LOGICIEL ,00 TOTAL MAIN D ŒUVRE ,50 TOTAL BUDGET R M D C O N S U L T A N T S Page 32

33 Calendrier du projet Ci-dessous, le calendrier global du projet établi par les chefs de projet Durée Afin de réaliser la restructuration du système d information du siège de l Académie du Valde-Marne et des établissements du second degré, il nous a fallu 137 jours. Du 8 mars au 15 septembre Missions du responsable de projet La mission du responsable de projet consiste à piloter un projet informatique, de son idée de départ au déploiement généralisé. Les tâches du chef de projet sont nombreuses : Définition du projet, recensement des besoins ; Elaboration du cahier des charges ; Chiffrage du coût du projet ; Encadrement de l'équipe de réalisation ; Suivi et reporting de l'avancement du projet, en termes de qualité, de coût et de délai ; R M D C O N S U L T A N T S Page 33

34 Modalités de reporting Tout au long du projet, des réunions auront lieu avec la MOA afin d analyser l avancement du projet (Ce qui a été fait, ce qui reste à faire, les difficultés etc.). Voici les dates de réunions : 18/03/2010 Avant projet 01/04/2010 Validation F.A.I 15/04/2010 Préparation 03/05/2010 Audit 12/05/2010 Validation Ste câblage 13/05/2010 Vérification nouvelle connexion 19/05/2010 Commande matériels 23/06/2010 Récupération de données / Pré-migration 28/06/2010 Câblage 31/08/2010 Déploiement 15/09/2010 Bilan A la fin de chaque grande phase du projet, des rapports seront établis. Cela permet de montrer le bon déroulement du projet, de vérifier si les objectifs sont bien atteints, d illustrer les objectifs mais aussi permettre au MOA d avoir un œil sur le projet. Dans le cas contraire, si des retards ou des problèmes apparaissent, des solutions peuvent être envisagé rapidement. Différents rapports peuvent être établis, comme par exemple : - Vu d ensemble du projet - Activité en cours - Coûts - Affectations - Charge de travail - Personnalisé R M D C O N S U L T A N T S Page 34

35 3. MISE EN ŒUVRE PROJET Après validation des différents points mentionnés antérieurement par la MOA, la mise en œuvre du projet peut aller commencer. Elle s effectuera selon plusieurs points qui seront définis ci-contre Méthodologie Ce sont les grandes lignes du projet, les étapes. Elles peuvent être schématisées comme suit : La mise en œuvre des solutions se fera dans un premier temps à l Inspection Académique car celle-ci centralisera le système de messagerie de tous les établissements. Par conséquent, il faut mettre en place cette architecture en priorité afin de permettre à tous les sites de pouvoir s y interconnectés. Il y a deux parties distinctes : La liaison des sites avec le siège La restructuration du système informatique Ces deux parties sont sujettes à la même méthodologie. C'est-à-dire analyser ce qui est déjà présent : Pour les interconnexions c est voir combien de lignes Internet existent déjà Pour la refonte du S.I c est le nombre de postes/logiciels existants et combien sont réutilisables Ensuite, le nombre demandé, tant en ligne SDL qu en matériel/logiciel étant important, il est préférable de faire un appel d offre afin de faire jouer la concurrence. Par la suite, il nous suffira de sélectionner le fournisseur/prestataire qui répond le plus à nos attentes en termes de qualité de services, délai de livraison, quantité en stock, délai d activation, tolérance aux pannes etc. Tout en ayant des tarifs compétitifs. Il y a néanmoins une particularité pour la restructuration du S.I. En effet, contrairement à la mise en place et l activation des lignes SDL qui est assurée par le prestataire la refonte du S.I nécessite des procédures, formation etc. Afin de permettre aux administrateurs du siège et des districts de pouvoir assurer la maintenance et le développement de l architecture mis en place. R M D C O N S U L T A N T S Page 35

36 Cette pérennité sera garantie de plusieurs manières : -Les procédures : durant la mise en œuvre des solutions il sera primordial de rédiger des procédures. En effet, durant cette étape ce sont les intervenants de la MOE qui effectueront les installations et paramétrages des systèmes, il faut alors s assurer d avoir une documentation retraçant les étapes de ces configurations afin de permettre aux administrateurs de pouvoir prendre la main facilement sur ces systèmes en cas de pannes (système à réinstaller, modifier suite à un pfrtage etc.) ou encore d évolution de l architecture (ajout d un serveur, d un poste etc.). -Le déploiement : point important au niveau de la gestion du temps des administrateurs de districts. Chaque administrateur se verra confier la gestion de 20 établissements. Donc, lorsque celui-ci doit intervenir pour ajouter, remplacer un poste ou un logiciel il doit être capable de le faire dans les plus brefs délais. Ainsi, la mise en place d automatismes permettra à celui-ci un gain de temps considérable pour ces tâches tout en minimisant les risques d erreur (niveau configurations notamment). -Les tests : avant toute mise en production, même d un matériel/logiciel déployé via une image, il faut réaliser des tests. Par conséquent, dans le but de vérifier le bon fonctionnement du matériel/logiciel des tests à effectuer seront définis. -Les formations : bien qu il y ait la présence de procédures permettant aux administrateurs de configurer, paramétrer les différents éléments du réseau, il faut garder à l esprit que les administrateurs ont des compétences et connaissances différentes. Le besoin en formation des intervenants est donc inévitable afin d assurer une maintenance de qualité des différentes infrastructures informatique en les formant aux outils mis en place. -La communication : de plus, pour ne pas mettre les administrateurs de districts et du siège «devant le fait accompli», durant la phase d installation et configuration des systèmes, les intervenants de la MOE seront assistés par ceux de la MOA pour pallier à tout manque d informations. En effet, ces derniers pourront alors exprimer leurs besoins ce qui permettra de rédiger les procédures répondant le plus possible à leur technicité. Voici un schéma détaillé des éléments nécessaires à la mise en œuvre du projet : R M D C O N S U L T A N T S Page 36

37 3.2. Paramétrages fonctionnels Cette partie est consacrée à la configuration des nouveaux systèmes qui seront mis en place. A noter que seuls les paramétrages avec une installation particulière seront mis ici. Pour toutes les installations «par défaut» des annexes seront jointes. Migration Active Directory : Nous devons tout d abord commencer par mettre à jour le schéma de l Active Directory de production : Adprep /forestprep Une fois le schéma à jour, nous allons préparer les domaines à l aide de la commande : Adprep /domainprep Cette commande doit être exécutée sur le contrôleur de domaine ayant le rôle : «Infrastructure Master». R M D C O N S U L T A N T S Page 37

38 Les domaines doivent être mis à jour pour pouvoir installer des contrôleurs de domaines en lecture seule. Exécutez cette commande sur un contrôleur de domaine du domaine. Adprep /rodcprep Ces étapes effectuées, nous pouvons maintenant installer le premier contrôle de domaine Windows Server Pas de grande particularité au niveau de l installation si ce n est qu il faut joindre une forêt existante : R M D C O N S U L T A N T S Page 38

39 Le nom du domaine doit apparaître : L installation terminée et le nouveau contrôleur de domaine redémarré, il faut transférer les rôles FSMO. Rôle Schéma Master Cliquez sur exécuter puis tapez la commande suivante afin de rendre disponible le snap-in de gestion du Schéma Active Directory : Regsvr32 schmmgmt.dll. Ensuite, cliquez sur «Exécuter» puis tapez «MMC». Ajouter ensuite le snap-in «Active Directory Schema». Connectez-vous ensuite au nouveau contrôleur de domaine en faisant un clic droit sur «Active Directory Schema»cliquez sur «Changer de contrôleur de domaine» et sélectionnez le nouveau contrôleur de domaine puis cliquez sur «OK». Cliquez ensuite sur «Maîtres d opérations». Faites alors «Changer» afin de récupérer le rôle Schéma Master sur ce nouveau contrôleur de domaine. Rôle Maître de Nommage De la même façon mais à l aide de la console «Domains and trusts» nous allons déplacer le rôle de maître de Nommage. Changer de contrôleur de domaine puis sélectionnez «Operations Master». R M D C O N S U L T A N T S Page 39

40 Rôles RID, Infrastructure Master et PDC Ces rôles peuvent être récupérés à l aide la même console, «Utilisateurs et Ordinateurs Active Directory». Faites un clic droit sur le nom de votre domaine et sélectionnez «Operations Master». Sur chaque Onglet (pour chaque rôle) cliquez sur «Changer» puis validez la modification. Les rôles FSMO maintenant transférés, nous pouvons désinstaller l ancien contrôleur de domaine. Désinstallation d Active Directory sur les anciens contrôleurs de domaine A partir d un contrôleur de domaine à supprimer, cliquez sur «Exécuter» puis tapez «DCPROMO». Un avertissement apparaît alors : Notre nouveau contrôleur de domaine est un catalogue global, nous pouvons donc ignorer cette erreur et cliquer sur «OK». Cliquez sur «Suivant» SANS cocher «ce serveur est le dernier contrôleur de domaine de ce domaine». Une fois les contrôleurs de domaine uniquement sous Windows 2008, nous pouvons augmenter le niveau des domaines et forêts en Windows R M D C O N S U L T A N T S Page 40

41 Migration Exchange 2000 : Afin de préparer le schéma de la forêt pour exchange Server 2007, exécuter la commande suivante : setup /PrepareAD. Pour vérifier si cette étape a été exécutée avec succès, assurez-vous qu il y a une nouvelle unité d organisation (OU) dans le domaine racine nommé Groupes de sécurité Microsoft Exchange. Cette UO doit contenir les nouveaux groupes de sécurité universels Exchange suivants : Après cette vérification effectuée, nous pouvons installer le nouveau serveur Exchange Lors de l installation, le seul point important concerne cette fenêtre : R M D C O N S U L T A N T S Page 41

42 Cliquer sur «Browse» puis sélectionner le serveur Exchange 2000 auquel le serveur Exchange 2007 va se connecter pour le routage de mails entre les organisations Exchange 2000 et A ce stade, les deux architectures coexistent. Le déploiement est donc terminé. Il faut maintenant passé à la migration des données. Stratégies de destinataires Nous devons tout d abord mettre à jour les stratégies de destinataires. Afin de mettre à jour la «Default Policy», exécuter la commande suivante Set- AddressPolicy Identity «Default Policy» -ForceUpgrade IncludedRecipients «Allrecipients». Une fois la commande exécutée, vérifier le résultat à l aide de la commande Get- AddressPolicy Identity «Default Policy» fl. Création des connecteurs Pour cela, nous devons aller dans la console exchange sous : Microsoft Exchange puis «Organization Configuration» et «Hub Transport» Aller dans l onglet «Send Connectors». R M D C O N S U L T A N T S Page 42

43 Pour créer un nouveau connecteur, sélectionner «New Send Connector», entrer le nom du connecteur dans le champ «Name» puis sélectionner un connecteur de type Internet afin de router les mails à l aide de la résolution DNS. A cette fenêtre choisir l option de routage vers un smart hosts et entrer l adresse IP de ce serveur (Il y a un serveur Edge en place). Validez les paramètres et faire la création du connecteur. R M D C O N S U L T A N T S Page 43

44 Migration des boîtes aux lettres Les deux serveurs Exchange 2000 et 2007 coexistant, nous voyons les boîtes aux lettres des deux serveurs dans la console : Il suffit alors de sélectionner les boîtes aux lettres à migrer, faire un clic droit et cliquer sur «Move Mailbox» et choisir la nouvelle base Exchange. On valide et les boîtes aux lettres sont à présent migrées sur le nouveau serveur de messagerie. Nous pouvons donc supprimer le connecteur de groupe de routage qui permettait aux deux serveurs de coexister et désinstaller l Exchange R M D C O N S U L T A N T S Page 44

45 Migration SQL Server 2000 : Contrairement aux migrations Active Directory et Exchange, ici, nous commençons par installer le nouveau serveur SQL Une fois le serveur SQL installé, il faut installer le composant «SQL Server 2008 Upgrade Advisor» via le DVD. Après avoir lancé le programme, il faut procéder entrer le nom de l instance SQL Server 2000 et choisir les fonctionnalités à analyser : Ensuite, en rentrer les identifiants de l instance on obtient un rapport qui suit : R M D C O N S U L T A N T S Page 45

46 Sauvegarder la base SQL Server 2000 Dans un premier temps, il faut empêcher les utilisateurs de pouvoir mettre la base à jour pendant la sauvegarde. Ce sera possible en mettant la base de données en mode «Lecture seule». Restauration de la base vers SQL Server 2008 Pour cela, il faut ouvrir la console «SQL Server Management Studio», se connecter à l instance SQL 2008 et restaurer la base SQL Il ne reste alors plus qu à enlever le base en «Lecteur seule» et à mettre la base de données compatible avec SQL Server 2008 (niveau 100). R M D C O N S U L T A N T S Page 46

47 Installation de PFSense : FreeBSD détecte le nombre de carte réseau et attribue des noms à celles ci. Si vous voulez créer des DMZ, (zone démilitarisée: zone se trouvant entre deux firewalls) il faut les ajouter dans Optional interface juste après. Sinon taper sur entrer. Choisissez donc quelle interface sera le FR et l autre le WAN (ici FR: lnc0, WAN: lnc1). Pour l auto-détection de l interface FR sélectionner la lettre Q (clavier en qwerty) et valider. Connecter le câble ethernet sur l interface. Faire la même opération pour l interface WAN. FreeBSD charge ensuite et nous entrons dans le menu. Nous allons donc passer à l installation sur le disque dur en tapant le choix «99». R M D C O N S U L T A N T S Page 47

48 L installation qui va suivre se fait en acceptant toutes les options par défaut. Il suffit d accepter toutes les demandes (formatage si nécessaire et création de la partition). Une fois l installation terminée, redémarrez la machine. A présent, il faut donner une adresse IP au routeur. Pour cela, dans le menu de PFSense, tapez le choix 2 Set FR IP address. Entrer alors l adresse IP correspondant à votre FR. Nous allons configurer PFSense via l interface Web. Connectez une machine sur la carte réseau de PFSense (coté FR, tout est bloqué coté WAN par défaut). Ouvrez ensuite votre navigateur Web, puis entrez Entrez ensuite le login (par défaut admin, mot de passe : pfsense). Par défaut, PFSense intègre déjà le paquet SquidGuard (pour les filtres URL). Néanmoins, afin de pouvoir configurer les autorisations d accès selon certains horaires, il faut installer le paquet Squid. Pour cela, il faut procéder comme suit : aller dans le menu «System», puis choisir «Packages» et cliquer sur «+ (Add)» sur le menu de droite. L installation terminée nous pouvons alors passer à la configuration de Squid et SquidGuard. Configuration Squid / SquidGuard : Configuration de Squid Pour configurer squid simplement, il faut éditer le fichier de configuration /etc/squid/squid.conf. Voilà ce que nous allons modifier : http_port 8080 Le port par défaut qu utilise Squid est le port 3128, mais nous opterons pour le port Configuration des ACLs Passons aux Access Control List. On commence par définir tout ce qui existe sur le réseau, tout ce qu on va vouloir utiliser pour ensuite pour ensuite créer les règles d autorisation d accès. R M D C O N S U L T A N T S Page 48

49 Nous pouvons laisser les ACLs par défaut : Mais il est tout de même judicieux de rajouter cette ligne pour permettre uniquement notre réseau d accéder au proxy Squid : acl mon_reseau src / En plus des directives par défaut de http_access, on ajoute : Configuration de SquidGuard On commence par éditer le fichier de configuration /etc/squidguard.conf. Les deux lignes suivantes définissent le répertoire contenant la base de données ainsi que le répertoire de logs : Ensuite, il faut récupérer la dernière version de la base de données sur le site de SquidGuard et décompressez le fichier dans le répertoire indiqué par la directive dbhome grâce à la commande : tar xzvf blacklists.tgz Le résultat de cette commande crée un répertoire appelé blacklists (ou listes noires) qui contient des sous-répertoires au nom on ne peut plus explicite. Généralement, chaque sousrépertoire contient trois fichiers : domains, urls, expressions (basé sur des expressions rationnelles) R M D C O N S U L T A N T S Page 49

50 Configurer les types de blacklists Dans le fichier SquidGuard.conf, on peut créer des zones pour chaque type de sites qu on désire bloquer. On indique les fichiers que SquidGuard doit prendre en compte et l url de redirection. Il est d ailleurs judicieux de créer une page de redirection afin d informer l utilisateur de ce qui lui arrive. dest porn { domainlist urllist expressionlist redirect } dest/porn/domains dest/porn/urls dest/porn/expressions Créer des adresses sources En se basant sur l adressage IP, nous pouvons facilement créer des profils utilisateurs, un profil serveurs et un profil eleves : src serveurs { ip } src utilisateurs { ip } src eleves { ip } Créer des ACLs Les ACLs sont les droits d accès associés aux adresses sources. Supposons que nous désirions autoriser internet pour les serveurs sans aucune restriction, interdire les sites contenus dans la base porn aux utilisateurs et interdire totalement internet aux élèves : acl { serveurs { pass all } utilisateurs { pass!porn all } eleves { pass none } default { pass none } } R M D C O N S U L T A N T S Page 50

51 L instruction default en fin de directive permet de créer des ACLs pour tout ce qui ne rentre pas dans les ACLs définis précédemment, Le point d exclamation devant le mot «porn» signifie différent de, les autorisations se lisent de gauche à droite. Pour les utilisateurs, vous devez lire : autoriser ce qui est différent du contenu de la liste porn, puis tout le reste. Profil horaire Afin de n autoriser les élèves à se connecter uniquement selon des plages horaires spécifiques, il faudra procéder comme suit : Nous pouvons envisager une définition des horaires dans le squidguard.conf : time refu_elev { weekly 08:00-12:00 weekly 14:00-18:00 weekly saturdays sundays } # matin # après-midi # week-end Ainsi, pour exécuter la règle : eleves within refu_elev { pass none } else { pass any } En utilisant l attribut within, l ACL signifie : Pendant les horaires refusés aux élèves (refu_elev), ne rien laisser passer et en dehors de ces horaires, laisser tout passer. R M D C O N S U L T A N T S Page 51

52 Création du tunnel VPN sur les routeurs Cisco Small Business RVS400 : Après avoir configuré le routeur pour lui affecter une adresse IP, nous allons configurer le tunnel VPN via l interface WEB : Vous arriverez alors sur menu suivant : Il faut bien s assurer que : Local Secure Group a bien l adressage IP local. Remote Secure Group a bien l adressage IP distant. Remote Secure Gateway a bien l adresse IP WAN. Encryption and Authentication sont paramétrés identiquement sur le routeur local et distant. Pre-Shared Key and Key Life Time sont paramétrés identiquement sur le routeur local et distant. R M D C O N S U L T A N T S Page 52

53 Configuration des VLANs sur les switchs Dell PowerConnect 28xx : Après avoir configuré le switch pour lui affecter une adresse IP, nous allons configurer le tunnel VPN via l interface WEB : Pour accéder au menu de paramétrage des VLANS, dans le menu de gauche, il faut aller sur VLAN Membership. Plusieurs options apparaissent alors : Show VLAN Liste et affiche les informations relatives aux VLANs comme le VLAN ID ou le nom du VLAN. VLAN Name Nom du VLAN qui est défini lors de la création. Unauthorized Users Autorisations d accès aux VLANs pour les utilisateurs Remove VLAN Suppression de VLANs Pour créer un VLAN il suffit de cliquer sur Add en haut à droite. R M D C O N S U L T A N T S Page 53

54 Mise en place des VLANs par port Pour créer des VLANs par port il faut aller sur «Port Settings» dans le menu de gauche : Voici les options qui s affichent : Port Le numéro de port appartenant au VLAN. PVID (1-4095) Assigne un VLAN ID aux paquets non tagués. Les valeurs possibles vont de 1 à Le VLAN 4095 est réservé au VLAN écarté, ce qui signifie que tous les paquets en provenance de ce VLAN sont supprimés. Frame Type Type de paquet accepté par le port. Les valeurs possibles sont : o Admit Tag Only Seulement les paquets tagués passent sur le port. o Admit All Tous les paquets (tagués ou non) passent sur le port. Ingress Filtering Active ou désactive l option Ingress filtering sur le port. Ingress filtering ne relais pas les paquets destinés aux VLANs sur les ports qui ne font pas parti de ces VLANs. Une fois le port affecté au VLAN souhaité, faire «Apply Changes». Pour voir la table des ports assignés aux différents VLANs, il faut cliquer sur «Show All» en haut à droite : R M D C O N S U L T A N T S Page 54

55 3.3. Mise en exploitation Audit : L audit a été effectué par un prestataire externe, METACORP. Il s est occupé d auditer les dix districts pendant les vacances scolaires du 19 au 30 avril L audit du siège a effectué par deux techniciens de RMD CONSULTANTS du 19 au 23 avril L audit devait porter sur : - Nombre de postes et modèle - Nombre périphériques et modèle - Nombre de composants réseaux et modèle - Salles serveurs (existantes? à améliorer?) - Câblage - Connexion ADSL (existante? débit?) - Volumétrie des données sur les serveurs - Logiciels Ainsi, des fiches d audit furent rédiger et transmises au prestataire qu ainsi à nos techniciens pour répondre à nos besoins de l existant. Une fois les audits effectués, les fiches nous ont été retournées et nous avons pu analyser l existant et établir un compte-rendu. Nouvelle connexion internet : Siège et District 1-10 Après avoir sélectionné un fournisseur, nous lui avons passé commande des lignes à mettre à disposition. Après l activation de ces lignes et l installation du modem fournisseur par l un de ses intervenants, un technicien (RMD CONSULTANTS) par équipe effectue du 29 avril au 12 mai 2010 l installation physique du modem (routeur VPN) et teste le débit au siège et dans les districts. N.B : Etant donné qu il y n a pas de date fixe d activation de la ligne ADSL par le fournisseur, nous laissons celui-ci installer son modem afin de garantir une continuité de service. Nous remplaçons ensuite son modem pour mettre un routeur qui assurera la connexion ADSL et liaison VPN. Réception des commandes : Les commandes furent livrées du 26 mai au 8 juin Ne pouvant pas assurer le stockage du matériel (commandes trop volumineux), nous avons aiguillé les commandes dans les différents établissements. Ainsi nous effectuons un gain de temps puisque, lors du déplacement de nos équipes de techniciens, les commandes seront sur place. Mais également un gain «d argent» car il n y aura pas besoin de transférer les commandes dans les établissements concernés (via transporteurs). La mise en place d une équipe pour réceptionner les commandes apparaissaient trop onéreuses pour l Inspection Académique. Ainsi c est accueil de chaque établissement qui s occupa de réceptionner les commandes de matériels. Le personnel de l accueil a été suffisamment qualifié pour vérifier si la commande correspond au bon de livraison. Le stockage du matériel a été effectué dans des locaux libres a proximité des salles de cours, bureaux et salles serveurs (si l établissement en dispose une). R M D C O N S U L T A N T S Page 55

56 Préparation migration : Siège et District 1-10 Ne pouvant pas effectuer le déploiement et migration pendant la même période, une prémigration fut effectuée du 9 au 22 juin Nous avons décidé d envoyer nos équipes pour récupérer les serveurs et switchs réceptionnés par l accueil. Les techniciens ont mis en place un partage de fichier sur le serveur afin de permettre aux utilisateurs de sauvegarder leurs données. Ils ont également rédigé une procédure d utilisation du partage de fichier (quelles données sauvegardées et comment le faire) pour éviter les surcharges de données sur le serveur de fichiers. Une pré-migration des serveurs fut aussi réalisée sur les nouveaux serveurs. C est-à-dire : - Extraction des bases à importer, - Installation des services réseaux, - Installation des outils système et réseaux, etc. - Transfert des données sauvegardées antérieurement vers les nouveaux serveurs Et enfin, nos équipent ont terminé leurs tâches en configurant les nouveaux switch destinés à accueillir les nouveaux câbles réseaux (anciennement en méga vers du giga). La migration des serveurs entraînant une interruption de service, nous devions procéder à ces tâches qui permettent de diminuer la durée de l arrêt des serveurs lors du déploiement. Renouvellement des câbles : Le câblage des différents sites d exploitation est en Mégaoctet et c est un câblage datant de l année Face à l émergence de l évolution informatique, les applications et les données exigent des débits de transfert de plus en plus importants. Pour remédier à ce problème, il a fallu renouveler les câbles. Ainsi nous passons d un câblage catégorie 5 à 6. Nous permettant ainsi d avoir un réseau interne en Gigaoctet. La société SARL CONNECTOUT, s est occupé du renouvellement des câbles pendant la période du 17 mai au 25 juin Ne pouvant pas intervenir pendant les horaires de travail des établissements, elle a dû s employé de 17 à 23 heures. Le nombre de câbles actifs étant faible, il n y avait pas de problème dans l avancement du câblage. Déploiement Siège et District 1-10 : L une des parties possédant le plus de contrainte est le déploiement des postes clients. Car, dans un premier temps, nous devions agir sans impacter l exploitation. Et dans un second temps, permettre aux utilisateurs d avoir des outils prêts à l emploi pour la rentrée. Le déploiement s est déroulé du 2 juillet au 30 août Une société de récupération de matériel informatique, SARL BRAKSTAR, a été présente dès les premiers jours de déploiement. Elle se débarrasse du matériel obsolète, hors service ou qui sera remplacé. Un technicien a étiqueté et débranché le matériel à récupérer. SARL BARKSTAR, muni d une équipe efficace pour ne pas ralentir le déploiement, s occupeadu débarras complet (matériels, câbles, manuels etc.). Pendant l intervention de SARLK BRASKTAR, nos intervenants ont eu la tâche de vérifier les câblages (nombre, état de fonctionnement) pour ainsi mettre en place les périphériques de connexion réseau (switchs principalement). R M D C O N S U L T A N T S Page 56

57 Suite à l intervention de la société de récupération du matériel, les salles ont été libérées et nos techniciens ont pu alors aller chercher le nouveau matériel dans les différentes salles de stockages afin de les mettre en place. Parallèlement, les administrateurs se sont occupés de la mise en route des nouveaux serveurs (pré installés) et ont effectuée les dernières configurations des services. Ils ont alors importés les données (base de données, fichiers etc.) exportées antérieurement, et ont alors arrêté les serveurs existant. Ils avaient également pour mission d installer et configurer les routeurs, et pare-feu (sur une machine récupérée). Les anciens serveurs ont alors été débranchés lorsque nous nous sommes assuré que tous les services et applications étaient fonctionnels et surtout qu il n y avait pas de perte de données. Après avoir dans un premier temps, configurer plusieurs postes (de différents modèles) selon une configuration de bases avec les applications et paramétrages définis, les techniciens ont pu créer les images correspondantes à chaque modèle de machine et les transférer aux administrateurs afin que ceux-ci puissent les intégrés aux serveurs d images (WDS). Le déploiement de ces images a été effectué lorsque les postes furent installés physiquement dans les différents bureaux. A noter que pour éviter tout conflit de nom de machine sur le réseau, les postes n ont pas étés intégrés au domaine lors de la création de l image de référence. Étant donné qu il n y avait pas de manipulation à faire sur les machines lors du déploiement des images, les techniciens ont pu installer les imprimantes en réseau ainsi que les bornes WiFi dans les locaux définis (Centre de Documentations et d Informations). Et enfin, nos équipes effectuèrent divers tests pour vérifier le bon fonctionnement. Ainsi à la rentrée scolaire les utilisateurs ont leurs outils informatiques déjà disponibles. Ci-dessous, une note concernant le rôle de chaque intervenant ainsi que l organisation des effectifs. Rôle chefs de projet : - Analyse de la demande - Validation MOA - Dépouillement et sélection de l offre - Planification audit - réunion - Organisation équipe - Recette définitive Rôles techniciens : - Audit siège (pour l équipe siège) - Installation modems - Tests et vérifications - Installation postes (physique et logicielle) - Installation imprimantes - Installation et configuration Wifi - Tests R M D C O N S U L T A N T S Page 57

58 Rôles ingénieurs : - Analyse de la demande - Rédaction solutions - Rédaction CDC audit - Dépouillement et sélection offres audit - Rédaction CDC FAI - Dépouillement et sélection offres FAI - Rédaction CDC matériel - Dépouillement des offres et sélection de l'offre du matériel - Rédaction CDC câblage - Dépouillement des offres et sélection de l'offre câblage - Organisation équipe - Réunion Rôles administrateurs réseaux : - Réunion (pour expliquer les solutions techniques) - Pré-migration et installation des serveurs - Configuration des switchs - Remplacement anciens serveurs - Installation configuration routeurs / pare-feu - Tests - Documentations et procédures Organisation des équipes : Il y a 11 équipes de techniciens dédiées à la mise en exploitation du projet et il y a également 11 sites d exploitations : le siège et dix districts (composer chacun de 20 établissements). Composition des équipes : L équipe affectée au siège est composé de 2 administrateurs et d un technicien. Les équipes affectées au 10 districts sont composées de 2 administrateurs et 3 techniciens. R M D C O N S U L T A N T S Page 58

59 3.4. Plan de reprise d activité (PRA) Nous avons élaboré un plan de reprise d activité qui permet d assurer en cas de crise majeure ou importante du centre informatique la reconstruction de son infrastructure et la remise en route des applications supportant l'activité de l Inspection de l Académie du Val De Marne. Pour assurer un bon PRA, nous avons imaginés les éventualités suivantes qui pourrait causer un arrêt d activité sur l Inspection Académique tels que : - Panne de serveurs - Une coupure d électricité - Un incendie Pour les pannes d un serveur, nous avons mis en place une architecture redondante. Elle permettra lorsqu une des ressources d un serveur tombera en panne aux autres ressources de reprendre le relais afin de laisser le temps aux administrateurs du système de remédier à l avarie. En outre, dans le cas d une panne matérielle tel que les serveurs, les éléments matériels fautifs seront «extractibles à chaud» c'est-à-dire qu ils seront extrais puis remplacés sans interruption de service. Dans le cas d une coupure d électricité, nous avons mis en place un système d onduleur au siège de l inspection académique ainsi que dans les établissements. Les onduleurs choisis ont été conçus pour assurer la continuité de l activité lors d une panne d électricité. Dans notre cas nous avons pris un dispositif de 2700W avec une intensité de 500 AH et une tension de 230V. Ce dispositif qui se charge de s enclencher lors d une panne électrique, permet d assurer un bon fonctionnement des appareils électriques en toute sécurité. L onduleur émettra un bip sonore lorsqu il prendra le relai électrique. Et finalement dans le cas où il y aurait un incendie, une inondation ou encore un attentat à l Inspection Académique du Val De Marne, pour ne pas perdre les données les sauvegardes qui seront sur bandes, seront stockées à l extérieur. R M D C O N S U L T A N T S Page 59

60 3.5. Tests et recettes A la fin de chaque phase, des essaies ont été effectués afin de vérifier la conformité (vérification de bon fonctionnement : VBF) du livrable spécifié dans le cahier des charges. Les tests utilisés sont des jeux d'essais fonctionnels : ils reproduisent des situations concrètes afin de tester l'aptitude générale de la solution choisie. Ces essaies ont été alors présentés à la MOA puis validés par celle-ci. La recette correspondante à cette étape a donc été établie et soumise à la MOA pour validation. Une fois la nouvelle infrastructure en place une vérification du service régulier (VSR) a été mise en œuvre. Vérification au cours de laquelle, toutes les pannes, anomalies ou incidents sont rapportés dans un cahier d'incidents. Voici la liste des tests à réaliser : Montée en charge Liaison VPN Redondance Réplication Sauvegarde Plan de reprise d activité A noter que selon la phase du projet, des tests ne seront pas réalisables (exemple, le PRA qui ne peut être fait qu à partir du moment où la totalité de l architecture est en place). Enfin, le cahier d incidents et le rapport des vérifications ont été transmis à la MOA pour validation. Après analyse, celle-ci a validés les documents. Ainsi, la recette définitive a été réalisée et validée par l Inspection Académique du Val-de-Marne Formation et documentations La refonte du système d information offrant un grand nombre de nouveautés tant au niveau matériels qu au niveau logiciels, il a été impératif de former les administrateurs du siège et des différents districts afin qu ils puissent assurer une maintenance complète de la nouvelle infrastructure tout en étant compétant en cas d incidents. La formation fut donnée par RMD CONSULTANTS du 31 août 2010 au 15 septembre Cette formation portait sur : Matériels (Raids, redondance etc.) Logiciels / Services (WDS, WSUS, SQL Server 2008 etc.) Systèmes d exploitation (Windows, Linux) Procédures (PRA, installations, configurations etc.) En ce qui concerne les documents techniques ils se trouvent en annexes. R M D C O N S U L T A N T S Page 60

61 4. BILAN DE PROJET Les derniers essais étant réalisés et la recette définitive validée par la MOA, la refonte du système d information des établissements et du siège de l académie du Val-de-Marne est donc intégralement mise en place. Ce projet fut complexe en termes de technicité et logistique. Techniquement, l infrastructure en place datant de 2002 il a fallu faire évoluer cette architecture dans sa globalité (matériel, connectivité, applications). Par ailleurs afin d apporter les solutions les plus appropriées aux besoins exprimés nous avons dû prendre en compte la compatibilité des applicatifs et services déjà en place. D un point de vue logistique, la difficulté résidait dans les points suivants : Géographique : nous avons dû travailler dans 200 établissements et un siège dispatchés dans l ensemble du département du Val-de-Marne. Ce qui nous a amené à nous déplacer régulièrement au sein du département. Personnels : il a fallu une organisation adaptée à la quantité de sites à restructurer, permettant de gérer la charge de travail tout en respectant les domaines de compétences requis. Horaires : certaines tâches doivent être effectuées pendant les vacances scolaires et sans impacter les utilisateurs. Malgré ces difficultés, nous avons pu atteindre les objectifs définis dans le cahier des charges. Les marges de délais établies sur le planning, nous ont permis de mieux faire face aux retards de livraisons rencontrées tout au long du projet. Nous avons également mieux gérer les accidents de tâches (retards, bugs, etc.) Le budget n étant pas adapté au coût total de l ensemble des solutions à mettre en œuvre, une revue à la hausse a été faite. En effet, la MOA n avait pas pris en compte les coûts collatéraux liés au projet tels que les travaux de câblages et les audits. Finalement ce projet a offert à RMD CONSULTANTS d élargir ses domaines de compétences en gestion de projet de grande envergure. Ainsi, notre partenariat avec l Inspection Académique du Val-de-Marne nous donne l opportunité de nous développer sur le marché des Réseaux et Télécoms. R M D C O N S U L T A N T S Page 61

62 5. ANNEXES RMD CONSULTANTS INSPECTION ACADEMIQUE VAL-DE-MARNE Cachier des charges MOA Présentation de L entreprise L'inspection académique, direction des services départementaux de l'éducation nationale est l'échelon départemental. Elle gère l'organisation scolaire, les personnels, essentiellement ceux de l'enseignement primaire, la scolarité et vie scolaire, l'organisation des examens et concours, etc. Ici nous associerons la structure de l inspection à celle du Val de Marne. Présentation du Projet Contexte d origine : L éducation nationale ayant voté la mise en place du plan numérique, consistant à doter les établissements du second degré (collèges et lycées publics) des outils numériques (ordinateurs, accès haut débit ), a choisi l académie de Créteil comme référence, avant de déployer son projet sur l ensemble des académies du territoire. En effet dorénavant, il s agit non seulement de proposer aux étudiants des outils numériques pour parfaire leur éducation, mais aussi de créer un espace communautaire dans chaque établissement (mail, chat, intranet, échange de fichiers), et de faciliter l échange d informations au niveau administratif entre l académie et les établissements. Le siège de l inspection académique est localisé dans la région Parisienne. Toutes les ressources essentielles à l activité de l IA (Inspection Académique) y sont centralisées : Base de données (élèves, professeurs, logistique, comptabilité.), messagerie, applicatifs, etc. On y dénombre 85 personnes. Au niveau des effectifs, on compte aux alentours de élèves, enseignants, personnels administratifs, le tout dans 200 établissements (150 collèges et 50 lycées). Ainsi, la nouvelle infrastructure devra permettre d établir une liaison permanente en L IA et chaque établissement. Infrastructure existante : L infrastructure siège de l académie datant de 2002, il dispose composants suivants : Base de données utilisateurs, environnement Windows Active Directory 2000 Services réseau : DNS, DHCP, routage, firewall, internet Système de messagerie exchange 2000 Services web et d applications : intranet, extranet, comptabilité, base de donnée (MySQL, SQL server 2000), etc. R M D C O N S U L T A N T S Page 62

63 Concernant les établissements, ils sont équipés de manière assez aléatoire et disparate. Nous pouvons tout de même noter qu en général ils disposent d une connexion internet, accessible uniquement dans les bureaux administratifs et dans les bibliothèques ou CDI (Centre de Documentation et d Information). La plupart des machines équipant les services administratifs et les salles informatiques (concernant certaine filière pour les lycées), sont obsolètes. Enfin l environnement dans chaque établissement est basé sur le système d exploitation windows (2000 ou xp) en groupe de travail, et en moyenne on dénombre un serveur de fichiers par établissement. Aucun système de messagerie centralisée, de SGBDR ou de serveurs d application n a été répertorié dans les établissements. Les besoins : -L IA du Val de Marne : Dans un premier temps il faudra restructurer le siège de L IA afin de permettre aux établissements d être connectés en permanence au siège sans interruption, et de prévoir une évolution futur des effectifs et du trafic Wan de 15%. En effet l IA devra héberger la base de données utilisateurs de tous les effectifs, ainsi que gérer le système de messagerie de tous les Établissements, vous jugerez utile la migration ou pas. Aussi il devra être mis en place une tolérance aux pannes de la solution envisagée (sauvegarde, haute disponibilité ), et d anticipé d éventuel surcharge sur les liens distants, par un contrôle régulier des flux. Enfin, l accès aux ressources du siège devra être disponible par les collaborateurs disposant de connexion internet, sans pour autant mettre en danger l intégrité des données internes vis-à-vis de l extérieur. -Les Établissements : L infrastructure informatique étant remise à neuf, la mise en place de tous les services basiques devra avoir lieu : DHCP, DNS, routage, firewall etc. au niveau de chaque Établissement. Du point vue de l organisation de l administration des Établissements, il faudra dorénavant que chaque utilisateur (enseignants, élèves, personnel administratif ) s authentifie par le biais d un annuaire LDAP. Le déploiement de stratégies et de paramètres au niveau des utilisateurs devra être facilité et différencié au niveau des districts et en fonction des différents Établissements. Un administrateur sera désigné au niveau de chaque district. L attribution de droits et d autorisations aux utilisateurs devra être possible et adapté aux besoins de l IA. Ainsi la nouvelle infrastructure devra permettre à chaque utilisateur d accéder à sa messagerie électronique (académie), L intégrité des boites aux lettres des utilisateurs devra être assurée par des sauvegardes régulières, par une protection des intrusions et par un blocage des mails non sollicités. L accès à la messagerie de chaque Établissements, devra être également fonctionnel et sécurisé pour les utilisateurs disposant d une connexion internet. R M D C O N S U L T A N T S Page 63

64 Tous les serveurs et services réseaux devront être tolérants aux pannes et les interruptions de services devront êtres minimum. De plus une supervision de ces serveurs devra être mise en place. Tout arrêt d activité ou incident devra être remonté aux administrateurs concernés. Une panne des serveurs de messageries, de base de données ou d authentification devront entrainer une interruption quasi-nulle, pour ne pas entrainer une perte d activité. Une mesure régulière des points vitaux des serveurs et du réseau sera effectué afin d anticiper tout goulet d étranglement. La sauvegarde de ces données devra avoir lieux très régulièrement et une reprise d activité devra être possible même en cas d incendie, inondation etc Une procédure ou une automatisation des connexions aux ressources sur les serveurs devra être établie afin d en faciliter l accès aux utilisateurs de l IA. Dans chaque Établissements, il va falloir dans un premier temps, rénover les postes de travail concernant l administratif, ainsi que ceux équipant les salles informatiques. Ensuite il faudra équiper trois salles supplémentaires, pouvant accueillir jusqu à 30 poste de travail. Les lieux d études (bibliothèque, CDI) quant à eux devront disposer dorénavant d une dizaine de poste de travail. Toutes ces nouvelles installation devront répondre à des exigences de sécurité, afin d éviter toute détériorations, casse, vol du matériel. Une procédure de déploiement rapide et efficace des postes élèves devra être mise en place. De même une méthode d installation de toute nouvelle application sur l ensemble du parc devra être définie. Contraintes : Le projet doit avoir le moins d impact possible sur l activité de L IA. Si une fermeture partielle doit avoir lieu, elle ne pourra être envisageable que pendant les vacances scolaires d été, à savoir les mois de juillet et d aout En outre concernant la sécurité, il sera impératif de dissocier les réseaux de l administration et ceux des élèves. Aussi une stratégie de planification de certains accès devra être paramétrée, de telles sortes que par exemple : les élèves n accèdent pas à internet pendant les heures de cours, mais seulement pendant les pauses ou bien dans les lieux d étude (bibliothèque, CDI). Enfin concernant l authentification des utilisateurs, il faudra mettre en place un système électronique fiable et sécurisé par le biais de certificats et/ou cartes à puce. L enveloppe mis à disposition du ou des prestataires de services s élèvera à révisable. R M D C O N S U L T A N T S Page 64

65 Export/Import utilisateurs Active Directory en.csv : Le principe de l exportation d objets est basé sur l enregistrement de leur nom unique dans l Active Directory en enregistrant leur chemin LDAP dans le fichier généré. L entête du fichier est composé du nom des attributs séparés par des virgules, et dans l ordre de présentation dans le fichier : DN,UserPrincipalName,SamAccountName,TelephoneNumber, etc. Voici un exemple d objet : CN=Adeline,OU=Compta,DC=accreteil,DC=fr",Adeline,Adeline@ac-creteil.fr, Exportation CSVDE fonctionne par défaut en mode exportation. Aussi, la commande csvde f test.csv exportera tous les objets de l Active Directory dans le fichier test.csv. Il crée également le fichier de log csv.txt recensant le succès ou l échec de l exportation de chaque objet. Dans ce fichier test.csv se situe dorénavant le chemin LDAP de chaque objet Active Directory exporté ainsi que tous les attributs relatifs à ces objets. Voici à titre d exemple la ligne concernant le compte d un objet utilisateur : "CN=Adeline, OU=Compta,DC=ac-creteil, DC=fr",,,,,,,,4,,,,,,,,,,,,,"CN=Adeline, OU=recherche, DC=ac-creteil, DC=fr", "CN=Person, CN=Schema, CN=Configuration, DC=ac-creteil, DC=fr", user, X'b33c98106ae77748b e4c4d', X' e36248dde8e41ca837d ',,, Adeline,,,,,, 2846,2783,, Z, Z,, "CN=Administrateurs, CN=Builtin, DC=ac-creteil, DC=fr", , 1, 0, 0, 0, Adeline, 0, Adeline, Adeline, 0, , 1, 513, , Adeline, , 512, Adeline@ac-creteil.fr,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Toutes ces lignes réunies forment l architecture des objets de l Active Directory. Il est alors possible d adapter ce fichier ou de l utiliser tel quel pour l importer dans un autre Active Directory. R M D C O N S U L T A N T S Page 65

66 Importation Le but de l importation est donc de faciliter la création d objets au sein de l Active Directory. Il parait évident qu une ligne telle que celle décrite ci-dessus n est pas très intuitive et qu on ne saurait la créer «à la main». Fort heureusement, on peut ne placer dans le fichier d importation que les attributs qui nous intéresse pour la création d un objet. En haut du fichier, à la première ligne, il faut concevoir les entêtes d importation. C'est-à-dire qu il faut indiquer à csvde quels sont les attributs LDAP qui vont être renseignés. Les attributs sont placés à la suite les uns des autres, séparés par des virgules, sans espace. Le dernier attribut ne doit pas se terminer par une virgule ni par un espace, auquel cas, une erreur d importation serait provoqué. Les attributs les plus souvent utilisés sont les suivants : DN : Nom absolument unique de l objet (ex : «CN=axel,OU=recherche,DC=labomicrosoft,DC=lan" ) distinguishedname : Nom unique de l objet = Même information que dans le DN ObjectClass : Identifie le type d objet à importer dans l active Directory. UserPrincipalName : Le nom LDAP complet, c'est-à-dire login@domain SamAccountName : Le login DisplayName : Nom d usage UserAccountControl : Compte activé (512) ou verrouillé (514). A noter cependant qu il n est pas nécessaire de tous les renseigner, et l ordre n est pas forcément à respecter (exception faite de DN qui doit être présente et obligatoirement en première position) Une fois le fichier souhaité créer, il suffit d exécuter l utilitaire csvde.exe comme suit : Csvde i f <nom du fichier.csv> Erreurs d importation : File not found : Fichier d importation non trouvé. Vérifier que le path est correct et que le fichier est indiqué avec son extension DN invalid : Signifie que la syntaxe du DN n est pas correcte. Bad Attribut : Mauvais attribut dans l entête, ou un espace est présent dans l entête. Inexistent OU : Un objet importé dans une OU spécifique doit l être dans une OU déjà crée. R M D C O N S U L T A N T S Page 66

67 Importation.csv dans SQL Server 2008 : Antérieurement, nous avons vu comment il fallait procéder pour migrer une base de données. Maintenant, nous allons voir comment importer des fichiers.csv. En effet, le siège doit héberger la base utilisateurs de tous les établissements. Les administrateurs de districts feront donc un export en.csv de l Active Directory que nous importerons alors dans différentes bases SQL. Pour les tests d importation, on considère que le fichier est nommé «CSVTest» : BULK INSERT CSVTest FROM 'c:\csvtest.txt' WITH ( FIELDTERMINATOR = ',', ROWTERMINATOR = '\n' ) GO --Check the content of the table. SELECT * FROM CSVTest GO --Drop the table to clean up database. SELECT * FROM CSVTest GO A noter que les champs de la table doivent correspondre aux données extraites dans le fichier.csv. R M D C O N S U L T A N T S Page 67

68 Mise en place SharePoint : Nous n effectuerons pas l installation et la configuration de SharePoint. Cette solution étant choisie par la MOA pour la l évolution/gestion de l Intranet et l Extranet du siège qui sera réalisée par un autre prestataire. Mise en place du NAP : En raison de la complexité de la mise en œuvre de la solution, nous ne verrons que les grandes lignes du fonctionnement. La technologie NAP permet de filtrer les machines provenant : se connectant au réseau local (DHCP) se connectant à distance (VPN : Virtual Private Network) se connectant au réseau local avec ou sans DHCP, par l'intermédiaire de certificat d'état (IPSec) R M D C O N S U L T A N T S Page 68

69 NAP en VPN Pour rappel, le VPN permet à un utilisateur distant de se connecteur au réseau de son entreprise en utilisant sa connexion Internet. Cela lui permet d'avoir accès aux ressources locales (imprimantes, serveurs de fichier, messagerie, ) comme ci il était physiquement branché sur le réseau de l'entreprise. La connexion VPN par NAP comporte deux parties : initialisation de la connexion VPN (étapes 1 à 6 du tableau) vérification de l'état de santé du client et prise de décision (étapes 7 à 19 du tableau) Pour bloquer un utilisateur dans la zone réseau restreint, le serveur VPN met en place un système de filtres VPN qui permet d'autoriser la communication uniquement vers les serveurs de remède. Etape Emeteur Récepteur Action Contenu 1 Client VPN Serveur VPN Connexion Etablissement de la connexion VPN (PPTP ou L2TP) 2 QES VPN QEC VPN Envoi Message EAP-Request/Identity 3 QEC VPN QES VPN Envoi 4 QES VPN IAS Envoi Message EAP-Response/Identity (nom d'utilisateur VPN) Message EAP-Response/Identity (nom d'utilisateur VPN) 5 IAS Client VPN Envoi Message EAP-Request/Start 6 Client VPN/IAS IAS/Client VPN Cryptage 7 IAS Client VPN Envoi 8 QEC VPN Agent de quarantaine Demande Négociation du cryptage pour le canal TLS Message PEAP-TLV (demande de la liste SoH) Liste de SoH 9 QEC VPN IAS Envoi Liste de SoH (Message PEAP-TLV) 10 IAS Client VPN Demande Authentification 11 Client VPN IAS Envoi Authentification 12 IAS SHV 15 Serveur de quarantaine Serveur de quarantaine 16 IAS IAS Serveur de quarantaine SHV appropriés Serveur de quarantaine Envoi Envoi Envoi Liste de SoH SoH Liste de SoHResponse IAS Envoi Liste de SoHResponse Prise de décision Comparaison entre SoHResponse et stratégie d'accés réseau R M D C O N S U L T A N T S Page 69

70 17 IAS Client VPN Envoi 18 IAS Serveur VPN Envoi 19 Client VPN Serveur VPN Négociation Décision et liste de SoHResponse (Message PEAP-TLV) Décision (Message RADIUS Access- Accept) et mise en place de filtres si restreint Fin de l'établissement de la connexion VPN Lorsque le client NAP s'est mis à jour, il peut alors refaire une demande pour supprimer les filtres appliqués. Etape Emeteur Récepteur Action Contenu 1 QEC VPN 2 Agent de quarantaine Agent de quarantaine Envoi SHA appropriés Envoi 3 SHA SHA Correction 4 SHA 5 Agent de quarantaine Agent de quarantaine Envoi 6 QEC VPN IAS Envoi 7 IAS 8 9 SHV 10 Serveur de quarantaine Serveur de quarantaine 11 IAS IAS Liste de SoHResponse Liste de SoHResponse Mise en conformité avec la stratégie d'accés réseau Liste de SoH mise à jour QEC VPN Envoi Liste de SoH mise à jour Serveur de quarantaine Envoi SHV appropriés Envoi Serveur de quarantaine Envoi Liste de SoH mise à jour (Message PEAP-TLV) Liste de SoH mise à jour (Message PEAP-TLV) SoH mise à jour Liste de SoHResponse IAS Envoi Liste de SoHResponse Prise de décision 12 IAS Client VPN Envoi 13 IAS Serveur VPN Envoi 14 Serveur VPN Serveur VPN Suppression des filtres Comparaison entre SoHResponse et stratégie d'accès réseau Décision et liste de SoHResonse (Message PEAP-TLV) Décision (Message RADIUS Access-Accept) Suppression des filtres de paquets IP de la connexion VPN R M D C O N S U L T A N T S Page 70

71 NAP avec utilisation d un certificat d état A la différence de la quarantaine DHCP et VPN, la quarantaine IPsec permet d'être appliquée sur chaque ordinateur du réseau. La quarantaine IPsec permet d'ignorer, sur les postes ayant un certificat d'état valide, les communications entrantes envoyées par des postes qui n'ont pas un certificat d'état valide. La quarantaine IPsec divise le réseau en trois zones. Un ordinateur est membre d'une seule zone à la fois. Voici une explication des différentes zones : La zone sécurisée : cette zone comprend les ordinateurs qui ont un certificat d'état valide. Les ordinateurs de cette zone exigent que les communications entrantes utilisent IPsec. La zone frontière : cette zone comprend les ordinateurs qui ont un certificat d'état valide. Cependant, les ordinateurs de cette zone n'exigent pas obligatoirement que les communications entrantes utilisent IPsec. La zone de quarantaine : cette zone comprend les ordinateurs qui n'ont pas de certificats d'état. Il s'agit d'ordinateurs qui n'ont pas effectués de contrôles d'état, qui sont invités sur le réseau ou encore qui ne sont pas compatibles NAP. Les différentes zones communiquent de la façon suivante : Les ordinateurs de la zone sécurisée peuvent communiquer avec les ordinateurs des trois zones. Cependant ils n'accepteront pas les communications établies à partir d'ordinateur de la zone de quarantaine. Prenons un exemple, un ordinateur de la zone sécurisée peut demander un page web située sur un ordinateur qui appartient à la zone de quarantaine mais un ordinateur qui appartient à celle-ci n'aura pas cette possibilité. Les ordinateurs de la zone frontière peuvent aussi communiquer avec les ordinateurs des trois zones et acceptent les communications qui n'utilisent pas IPsec. Généralement, les membres de la zone de frontière incluront seulement le serveur de certificats d'état et les serveurs de stratégie NAP. Les serveurs de la zone frontière doivent être accessibles à partir des clients NAP de la zone de quarantaine, pour exécuter les fonctions correctives et obtenir les certificats d'état, et à partir des ordinateurs sains pour exécuter les fonctions correctives permanentes, renouveler les certificats d'état et gérer les ordinateurs de la zone frontière. Les ordinateurs de la zone de quarantaine peuvent communiquer seulement avec les ordinateurs de la zone frontière et de quarantaine. Cependant, ils acceptent tout de même les communications entrantes des ordinateurs de la zone de sécurité. R M D C O N S U L T A N T S Page 71

72 Ce schéma résume les différentes façons de sécurité entre les trois zones : Ci-dessous deux tableaux. Le premier présente la communication entre le client NAP et le serveur NAP lors de l'établissement de la connexion. Etape Emeteur Récepteur Action Contenu 1 client NAP client NAP Démarre 2 client NAP client NAP Accès réseau 3 QEC 4 QEC serveur de certification d'état serveur de certification d'état Canal HTTPS Envoi pare feu activé, aucune exception le client à accès au réseau et configuration d'adresse IP création du canal https entre le client et le serveur envoi données d'identification et SoH R M D C O N S U L T A N T S Page 72

73 5 serveur de certificat serveur IAS Envoi 6 serveur IAS serveur de quarantaine Envoi 7 serveur de certificat SHV Envoi 8 SHV serveur de quarantaine Envoi 9 serveur de quarantaine IAS Envoi 10 IAS IAS Prise de décision 11 IAS fournisseur RADIUS Envoie réponse 12 serveur de certificat QEC Ipsec Envoi liste SoH ( Message RADIUS Acess- Request) Le serveur IAS reçoit le message RADIUS Access- Request, extrait la liste de SoH des attributs spécifiques au fournisseur RADIUS et la transmet au composant Serveur de quarantaine. recoit la liste et transfert au SHV SHV analyse, construit en envoi SoHResponse liste SoH response compare liste SoHPesponse avec stratégie d'accès réseau configuré envoi RADIUS Access-Accept liste SoHPesponse et emet un certificat d'etat R M D C O N S U L T A N T S Page 73

74 Le schéma suivant montre la communication entre le client NAP et le serveur NAP lors de l'établissement de la connexion : Le deuxième tableau représente un client qui est à jour et qui veut appartenir aux ordinateurs de la zone de sécurité. Etape Emeteur Récepteur Action Contenu 1 QEC Ipsec agent de quarantaine Envoi SohResponse 2 agent de quarantaine SHA Envoi SohResponse 3 SHA SHA Analyse 4 SHA agent de quarantaine Envoi 5 agent de quarantaine QEC Ipsec Collecte et envoi création du canal https entre le client et le serveur SoH mise à jour collecte, crée et envoie la liste de SoH 6 QEC Ipsec IAS Envoi liste SoH 7 serveur de certificat d'état serveur IAS Envoi liste SoH ( message RADIUS Access- Request ) R M D C O N S U L T A N T S Page 74

75 8 serveur IAS Serveur de quarantaine Envoi liste SoH 9 serveur de quarantaine SHV approprié Envoi liste SoH 10 SHV Serveur de quarantaine Envoi SohResponse 11 serveur de quarantaine IAS Envoi SohResponse 12 IAS IAS Prise de décision 13 IAS serveur de certificat d'état Envoi 14 serveur de certificat d'état client NAP Envoi Liste des abréviations utilisées ci-après : NAP : Network Access Protection DHCP : Dynamic Hosts Configuration Protocol VPN : Virtual Private Network IAS : Internet Authentification Service QEC : Quarantine Enforcement Client QES : Quarantine Enforcement Server SHA : System Health Agent SHV : System Health Validator compare liste SoHPesponse avec stratégie d'accès réseau configuré envoi RADIUS Access- Accept liste SoHPesponse et émet un certificat d'etat R M D C O N S U L T A N T S Page 75

76 Script mappage lecteurs réseaux : Afin d automatiser le mappage des lecteurs réseaux nous insérerons les scripts de mappage dans les GPOs. Cependant, dans tous les cas, il faut créer le script (enregistré en.bat) et le placer dans : C:/Windows/SYSVOL/domain/Scripts/ Voici un exemple de script : NET USE H: /DELETE NET USE H: "\\ipserver\home$\%username%" NET USE S: /DELETE NET USE S: "\\ipserver\commun" NET USE T: /DELETE NET USE T: "\\ipserver\compta" Afin d associer un script à une GPO, il faut procéder comme suit : Ouvrir la console des stratégies de groupe : R M D C O N S U L T A N T S Page 76

77 La GPO n étant pas active pour tous les utilisateurs, on crée donc une nouvelle Unité d Organisation (OU) que l on nommera «Test». On fait un clic droit sur l OU et on sélectionne «Create and Link a GPO Here». On nomme alors la GPO que l on souhaite créer. Elle apparaîtra ensuite sous l OU. Et afin de la paramétrer, il faudra l éditer. R M D C O N S U L T A N T S Page 77

78 Le paramétrage qui nous intéresse se trouve dans «User Configuration > Windows Settings > Scripts» : On double clic alors sur «Logon» puis sur «Show files». Une fenêtre s affiche alors et il faut copier le script que l on a placé dans C:/Windows/SYSVOL/domain/Scripts/ R M D C O N S U L T A N T S Page 78

79 On revient alors aux propriétés de «Logon» et on clique sur «Add». On sélectionne alors le script que l on vient de copier. R M D C O N S U L T A N T S Page 79

80 On nomme alors le script et on valide la procédure. R M D C O N S U L T A N T S Page 80

81 Mise en place de Data Protection Manager : Les pré-requis logiciels et matériels à l'installation de DPM 2007 sont les suivants : Windows Server 2003 R2 SP2 Windows PowerShell KB sur le serveur DPM et les clients à protéger IIS non présent sur le serveur hébergeant DPM 2007 Composants Minimum Recommandé Processeur 1Ghz 2,33Ghz QuadCore Mémoire RAM 2Go 4Go Disque Dur Système Disque Dur Stockage des sauvegardes 400Mo pour le programme 900Mo pour la base de données 2650Mo pour le système 1,5 fois la taille des données à protéger 2 à 3Go pour le programme 2 à 3 fois mes données à protéger L'installation du produit est, quant à elle, conventionnelle. Il sera juste à noter que le programme d'installation ajoutera SQL Server 2005 SP2. Détection automatique des ordinateurs Basé sur Active Directory, DPM 2007 inclus une fonctionnalité lui permettant de pouvoir vérifier l'ajout de nouveaux ordinateurs et partages sur le réseau. Ainsi, lorsqu'un nouvel élément est détecté, DPM, via les alertes, nous permettra de l'ajouter en seulement quelques clics. Concernant les nouveaux partages découverts sur le réseau, ceux-ci seront détectés uniquement sur les serveurs membres de groupes de protection existants. Toujours dans les options d'administration, nous allons pouvoir déterminer une heure à laquelle on autorise le système à effectuer une détection automatique des nouveaux ordinateurs sur votre réseau. R M D C O N S U L T A N T S Page 81

82 Les supports de stockage DPM fonctionne grâce à des groupes de protection, qui pourront inclurent différents éléments surveillés. Mais avant de pouvoir procéder à leur création, il nous sera nécessaire de préciser au système DPM le ou les disques qu'il sera autorisé à utiliser pour effectuer ses différentes sauvegardes. En utilisant la directive "Ajouter" dans le volet "Actions", DPM nous proposera une liste des disques disponibles sur le serveur qu'il sera en mesure d'utiliser. R M D C O N S U L T A N T S Page 82

83 PM se sert de ces différents disques pour créer automatiquement des volumes simples sur lesquelles il stockera les réplicas de données à protéger : Les agents DPM effectue ses sauvegardes, ses restaurations et ses synchronisations de réplicas grâce à des agents (incluant un VSSWriter pour le client et un VSSRequestor pour le serveur, nécessaire à la création de clichés instantanés) qui seront à déployés sur les clients à protéger de manière à ce que le serveur DPM puisse correctement communiquer avec eux. Voici la procédure d installation : Section Administration -> Onglet Agents -> Volet Action -> Installer R M D C O N S U L T A N T S Page 83

84 Une fois l ordinateur sur lequel on souhaite installer l agent sélectionné, on saisi les identifiants de connexion. On redémarre alors le client : R M D C O N S U L T A N T S Page 84

85 On voit alors l ordinateur dans la console d administration : Gestion des fichiers Que ce soit l'état du système, de bases de données, de fichiers, la procédure de création du groupe de protection correspondant est sensiblement identique. Seulement quelques paramètres seront susceptibles de changer. Par conséquent, ici, nous ne montrerons que la procédure pour protéger les fichiers. Voici la procédure de configuration : Section Protection -> Actions -> Créer un groupe de protection R M D C O N S U L T A N T S Page 85

86 Une fois les données à sauvegarder sélectionnées, on choisit la méthode de protection : On configure alors la durée de rétention et la fréquence des synchronisations : R M D C O N S U L T A N T S Page 86

87 On vérifie alors l espace disque disponible à la sauvegarde : On paramètre alors le méthode de création de réplica : R M D C O N S U L T A N T S Page 87

88 On obtient alors un résumé des options configurées : DPM valide alors la configuration : R M D C O N S U L T A N T S Page 88

89 Le groupe de protection apparaît alors dans la console d administration. Récupération des données La récupération est une opération des plus basiques, il faut procéder comme suivant : Aller dans la section «Récupération» Sélectionner l ordinateur client Sélectionner le dossier sauvegardé Sélectionner le(s) fichier(s) à restaurer selon les dates de synchronisation disponibles On définit l emplacement de restauration On choisit alors les options de récupération (si le fichier existe déjà mais est corrompu par exemple : on le remplace ou on restaure une copie qui sera renommée) On lance la restauration R M D C O N S U L T A N T S Page 89

90 Mise en place du clustering Exchange 2007 CCR : La réplication continue en cluster (CCR) dans Microsoft Exchange Server 2007 offre divers avantages sur le clustering disponible dans les versions précédentes d'exchange Server et le cluster à copie unique d'exchange 2007 : Pas de point de défaillance unique La CCR crée une solution en cluster utilisant un modèle de paires active et passive. Ce modèle signifie que toutes les fonctionnalités ou données clés ont une instance active et une instance passive (de sauvegarde). Aucune exigence de stockage partagé Le stockage dans un environnement de réplication continue en cluster n'est pas partagé entre les noeuds du cluster de basculement. Cela facilite l'installation car le stockage ne nécessite aucune configuration avant la formation du cluster. Aucune validation de cluster spécialisé requise pour la configuration matérielle Comme la solution de CCR ne requiert pas de stockage partagé, il n'est pas nécessaire de sélectionner du matériel dans la catégorie de cluster ou la catégorie de cluster dispersé sur le plan géographique du catalogue Microsoft Windows Server. La seule exigence est que les serveurs soient répertoriés comme serveurs autonomes dans le catalogue Windows Server. Comportement de basculement amélioré Les comportements de basculement d'exchange 2007 utilisent deux copies totalement indépendantes des données de journal et de base de données. Cette conception améliore le comportement de récupération global et réduit la probabilité de blocage des opérations de récupération par la même défaillance. Installation simplifiée L'expérience d'installation d'exchange 2007 a été améliorée par rapport aux éditions précédentes. L'installation du serveur de boîtes aux lettres en cluster est désormais combinée avec l'installation du serveur de boîtes aux lettres autonome. Expérience de gestion améliorée L'expérience de gestion a été améliorée en masquant l'administration spécifique aux clusters sous des opérations de serveur de boîtes aux lettres associées. Par exemple, une configuration des groupes de stockage dans Exchange effectue toutes les mises à jour nécessaires vers l'infrastructure hautement disponible utilisée pour gérer le cluster. La gestion est également améliorée parce qu'il n'y a pas d'exigence de stockage partagé. Voici un schéma représentant la fonctionnement du cluster CCR : R M D C O N S U L T A N T S Page 90

91 Mise en place du service de cluster Active Directory Pour la mise en place de la fonctionnalité WSFC (Windows Server Failover Clustering), il va être nécessaire d installer un domaine Active Directory (rôle Active Directory Domain Services sous Windows Server 2008). Cette étape est obligatoire car la configuration du cluster va nécessiter l utilisation d un compte de domaine. Une fois le domaine installé, ajoutez l ensemble des nœuds du cluster au domaine ainsi que les machines hébergeant les services Exchanges. Windows Server Failover Clustering On installe ensuite la fonctionnalité «Failover Clustering» sur les machines qui seront membre du cluster. La fonctionnalité installée, on pourra créer le cluster par l intermédiaire d un assistant. Durant la création, il nous sera possible de valider les éléments les plus fondamentaux pour la mise en place du cluster. C est une fois le cluster créé que l on va choisir son implémentation. R M D C O N S U L T A N T S Page 91

92 Configuration du Quorum MNS (Majority Node Set) à partage témoin L objectif de la haute disponibilité est de maintenir en ligne un service même dans le cas d une défaillance grave aussi bien matériel que logiciel. Il est donc nécessaire de protéger l ensemble des composants dont la panne pourrait conduire à un arrêt du système. Pour cela, la méthode la plus simple est de doubler l ensemble des éléments sensibles. Dans cet esprit, le Quorum MNS (Majority Node Set) à partage témoin à pour charge de répliquer le Quorum qui contient la configuration du cluster sur l ensemble des nœuds du cluster. Pour que le cluster soit en ligne, la majorité absolue des nœuds est nécessaire. Nombre de nœuds du cluster Majorité atteinte à 2 nœuds 2 nœuds 3 nœuds 2 nœuds 4 nœuds 3 nœuds 5 nœuds 3 nœuds 6 nœuds 4 nœuds 7 nœuds 4 nœuds 8 nœuds 5 nœuds Afin d éviter des clusters bloqués par un partage à égalité parfaite du cluster, on ajoute une référence supplémentaire sous la forme d un partage de fichier (NAS) sur une machine qui n est pas membre du cluster. Ce partage contiendra un répertoire et des fichiers témoins pour le cluster et permettra d arbitrer les conflits dans le cas d une connectivité coupée entre les nœuds. R M D C O N S U L T A N T S Page 92

93 Configuration des rôles HUB et CAS (Client Access Server) Ici, pas de configuration particulière, juste un rappel sur les pré-requis. Windows PowerShell Bien que le système de scripting soit présent dans Windows Server 2008, il n est pas installé par défaut. Il sera donc nécessaire d installer cette fonctionnalité par le «Server Manager». Serveur Web IIS L installation du rôle Web Server (IIS) pose lui des soucis de compatibilité qui sont résolus à l aide des composants d émulation d IIS 6 par-dessus IIS7. Exchange 2007 SP1 n étant pas capable de communiquer directement avec les interfaces d IIS7, les composants suivants doivent être installés sur la machine hébergeant le rôle Client Access Server IIS 6 Metabase compatibility IIS 6 Managment console Compression des pages dynamique Méthodes d authentification Configuration du rôle MailBox en cluster Les clusters CCR ne présentent pas de point de faiblesse unique mettant en péril l infrastructure, aucun matériel spécifique ni stockage partagé n est requis. Ils permettent d optimiser les temps et les répercutions du processus de sauvegarde et facilite la mise en place de géo-cluster. Pour l installation des deux nœuds du cluster MailBox, deux composants sont requis. Windows PowerShell Installer cette fonctionnalité via le «Server Manager». Server Web IIS IIS 6 Metabase compatibility IIS 6 Managment console Rôle MailBox en cluster L installation du rôle MailBox se fait via un processus spécifique lié à sa mise en cluster. Il ne vous est donc pas possible de convertir un serveur hébergeant le rôle MailBox classique en cluster hormis en procédant à l installation en parallèle du cluster puis en déplaçant les boîtes. Il faut d abord réaliser l installation du rôle MailBox en cluster actif sur le premier nœud. C est pendant cette installation qu il faudra faire le choix du type de cluster entre SCC et CCR. R M D C O N S U L T A N T S Page 93

94 Configuration du cluster Le principe d un cluster CCR est basé sur le "log shipping" et le "log replay". Le "log shipping" (littéralement "envoi des journaux" ou "chargement des journaux") consiste à envoyer les transactions validées de la base de données du nœud actif vers la base de données du nœud passif. Cette technologie est utilisée de longue date dans d'autres produits Microsoft (on la retrouve par exemple avec SQL Server 2000 & SQL Server 2005). Le "log replay" consiste à valider ces logs sur le nœud passif en les rejouant afin que le contenu des bases des deux nœuds soit identique. R M D C O N S U L T A N T S Page 94

95 Avant le log shipping : RMD CONSULTANTS INSPECTION ACADEMIQUE VAL-DE-MARNE Après le log shipping : CCR maintient donc une copie des banques de boîtes aux lettres (les bases de données) mais aussi des journaux de transactions via le log shipping. Cela diminue de façon importante la durée de restauration des données en cas de crash disque (ou en cas de corruption de la base de données). En effet, si le nœud sur lequel est stockée la base de données de production tombe en panne, le serveur Exchange, bascule automatiquement vers le nœud passif. R M D C O N S U L T A N T S Page 95

96 Le service de réplication Exchange L envoi des fichiers de logs est assuré par le service de réplication Exchange. Ce service a pour tache de transférer les logs entre les nœuds dans le cas d un cluster CCR (Cluster Continuous Replication) mais il est aussi utilisé dans le même esprit du log shipping et log replay avec des implémentations LCR (Local Continuous Replication) ou SCR (Standby Continuous Replication). Le statut de ce service fournit des informations importantes pour l analyse de l état du cluster. Les statuts suivants sont disponibles : Disabled : Le groupe de stockage n a pas de copie configurée ou il n y a pas de nœud passif pour le cluster. Failed : Le groupe de stockage n est que partiellement configuré et la réplication ne peu pas se lancer. Seeding : L envoi des logs est en coursdatabase seeding is in progress Copying : En cours de copie. Stopped : Log copying is stopped Healthy : The CCR copy is healthy and normal, and nothing is blocking or blocked ServiceDown : le service de réplication Exchange de l'ordinateur cible n'est pas accessible sur le réseau. Initializing : le service de réplication Microsoft Exchange sur l'ordinateur cible n'a pas achevé ses vérifications initiales au démarrage. Synchronizing : n'a pas achevé un réamorçage incrémentiel R M D C O N S U L T A N T S Page 96

97 Mise en place de Symantec Mail Security Exchange : Nous mettrons l antispam au niveau du serveur Exchange ayant le rôle Edge (point d entrée des mails). Voici la procédure détaillée de l installation : Lancer le programme d installation Symantec Mail Security (Setup.exe). Le fichier est situé dans le dossier SMSMSE\Install qui se trouve dans le CD. Dans la fenêtre de présentation on clique sur Next. Dans la première fenêtre d installation de Symantec Mail Security on fait Next. In the second Symantec Mail Security Setup Preview panel, click Next. On accepte les termes du contrat de licences. Le dossier de destination de l installation doit être : C:\Program Files\Symantec\SMSMSE\5.0\Server Dans la fenêtre définissant le type d installation on fait Complete. On clique alors sur OK. Ici, la partie configuration : Dans les options de IIS, on decide d arrêter le service Durant l installation. Et on clique sur Next. A la fenêtre de configuration des services WEB, on accepte les valeurs par défaut. Puis on fait Next. Dans la case Notification Address, on laisse l adresse par défaut. A la fenêtre Symantec Enterprise Security Architecture, étant donné que l on a pas de serveur SESA, on choisit de ne pas l activer. Nous avons alors un résumé des options choisis lors de l installation : IP/Name : L adresse IP du serveur s affiche. Port # : Le port 8081 est celui utilisé par défaut pour le service WEB de Symantec Mail Security. Si le port 8081 est déjà utilisé par une autre application, un autre port serait apparu. Une fois les informations validées, on fait Next puis Install. Installation des licences : Dans la fenêtre du dossier contenant le fichier de licences, choisir le chemin puis faire Install. A noter que le fichier de licence peut être situé sur un autre serveur. A la fenêtre LiveUpdate on clique sur Yes pour installer le composant de mises à jour automatique. R M D C O N S U L T A N T S Page 97

98 Mise en place de Symantec Endpoint Protection : Installation serveur -Installer IIS -Définir le port de IIS (par défaut 8014) -Choisir une installation avancée -Définir le nombre de postes gérés par le serveur -Sélectionner l installation d un premier site -Définir le nom du serveur, le port du serveur, port de la console web et le répertoir cible de données -Définir le nom du site -Définir le mot de passe de chiffrement -Sélectionner une base de données intégrée ( < 5000 clients) -Définir le nom de l administrateur, son mot de passe et son adresse mail -La base de données se crée et l installation se termine. Déploiement clients (3 méthodes possibles) -Utilisation du cd d installation : on installe le client de manière autonome puis on rajoute le client dans la gestion du serveur -Utilisation du paquet d installation : une fois la base de données créée, on peut créer un paquet d installation SEP 32 bits et 64 bits. Ce paquet est un fichier exécutable qui effectue une installation gérée par le serveur. -Utilisation de la console de déploiement : cette console permet d installer simultanément d un ou plusieurs postes. Il suffit de sélectionner le paquet d installation (ou bien de la créer) puis ajouter les hôtes concernés par l installation et de lancer l installation. L installation se fera en silencieux (en fond de tâche) et fera une demande de redémarrage a la fin de l installation. R M D C O N S U L T A N T S Page 98

99 Mise en place de la solution Windows Server Update Service : Windows Server Update Services (WSUS) est un service permettant de distribuer les mises à jour pour Windows et d'autres applications Microsoft. WSUS est un serveur local qui se synchronise avec le site public Microsoft Update et permet de contrôler la diffusion des mises à jour dans un parc informatique. Voici les différentes étapes que nous avons suivies pour installer WSUS. Pré-requis Dans notre cas nous allons installer WSUS pour un serveur desservant jusqu'à environ clients. Pour cela le serveur WSUS aura les caractéristiques suivantes : Voici en schéma le type de déploiement du serveur WSUS : Installation du serveur WSUS Dans notre cas, nous avons installés WSUS 3.0 SP2 sur un serveur Windows Une fois lancé l installation de WSUS 3.0 SP2. Nous choisissons l Installation serveur complète avec la Console d administration, on clique sur Suivant, et cochons la case J accepte les termes du contrat de licence. Après avoir Cliqué sur Suivant nous obtenons la fenêtre suivante : et on choisit de stocker les mises à jour localement R M D C O N S U L T A N T S Page 99

100 Ensuite sur la fenêtre ci-dessous, on doit soit choisir utiliser un serveur SQL existant pour stocker la base de données de WSUS ou soit choisir que le programme d installation crée une base de données interne Windows sur le serveur sur lequel on installe WSUS. Dans notre cas nous choisissons d utiliser un serveur SQL Server 2008 distant. On clique ensuite sur Suivant pour que le programme d installation teste la connexion au serveur SQL. Une fois le test réussi, nous obtenons la fenêtre ci-dessous qui permet de configurer le site web IIS qui sera utilisé par WSUS. Dans notre cas le site web par défaut est déjà utilisé et le process d installation propose de créer un nouveau site sur le port 8530 (par défaut). R M D C O N S U L T A N T S Page 100

101 Une fois cliqué sur suivant, l installation du serveur WSUS s achève avec succès. Configuration Une fois l installation terminée, une fenêtre se lance, on vérifie si la case Synchroniser à partir de Windows Update est bien cochée. Ensuite en cliquant sur suivant l interface de configuration tente de se connecter à Microsoft Update. Nous obtenons ensuite la fenêtre ci-dessous avec les différents produits que nous souhaitons mettre à jour. Dans la fenêtre ci-dessous, nous déterminons quels types de mise à jour nous souhaitons télécharger. R M D C O N S U L T A N T S Page 101

102 Maintenant que le type de téléchargement a été choisi, on sélectionne Synchroniser automatiquement et on définit une heure de synchronisation à laquelle WSUS téléchargera les nouvelles mises à jour. Nous pouvons constater sur la fenêtre ci-dessous qu à présent la configuration du serveur WSUS est terminée. R M D C O N S U L T A N T S Page 102