Download - Case Cloud-Windows -ver 41a
Techno.bel
Case Study FURNITURE.COM
7 Octobre 2014
Grégorio Matias
Release 4.1a
©Copyright Matias Consulting Group sprl, 2014.
Case Study Page 1
Table des Matières
Introduction ................................................................................................................................................................................2
Partie 1 : Réseau .......................................................................................................................................................................3
Partie 2 : Virtualisation ...............................................................................................................................................................8
Partie 3 : E-Monitoring ............................................................................................................................................................ 10
Partie 4 : Windows ................................................................................................................................................................. 11
Partie 5 : Annexes .................................................................................................................................................................. 24
Case Study Page 2
Introduction
La société « furniture.com » est en charge de la vente de meubles de bureau à très haute valeur ajoutée. Elle est actuellement répartie sur 4 pays : Belgique (quartiers généraux), la France, l’Italie et l'Espagne où elle est particulièrement bien développée avec 3 succursales. Nous supposons que cette société au niveau informatique ne possède rien puisqu’elle résulte d’un rassemblement, et il vous est demandé de mettre en œuvre les desideratas du client à savoir :
- Une infrastructure réseau locale et internationale - Une infrastructure de sécurité locale et internationale - Une Infrastructure de virtualisation VMware/Hyper-V et de redondance locale et internationale - Une Infrastructure Windows/Exchange internationale
Un travail intensif de design a été réalisé par une société de consultance externe, tout en tenant compte du matériel déjà existant et des contraintes multiples de cette société. Le résultat de ce design se trouve dans ce document. Vous venez d’être engagé par cette société en qualité de « Cloud System Engineer », et il vous revient donc la tâche de mettre en œuvre ce design de manière concrète.
Case Study Page 3
Partie 1 : Réseau
Nous pouvons percevoir que dans ce schéma, la localisation des implantations est très précise et que la sortie sur Internet est unique et centrée sur Bruxelles, qui est le siège central. On y a défini tout le plan d’adressage pour les différents sites. Les utilisateurs autorisés des différents sites devront avoir la possibilité de faire du « client to gateway » pour leurs sites respectifs. Voici le schéma :
Case Study Page 4
A. Interconnexions des sites principaux Pour le « Cloud » reliant les quatre sites principaux à savoir Bruxelles, Paris, Rome et Barcelone, il vous est demandé de déployer un full « mesh VPN » sécurisé. De plus, le firewall (SSG140) sur le site de Bruxelles gérera la sortie sur internet et sera configuré en HA.
IPSEC TunnelGateway to Gateway
Full Mesh
SSG5SSG5
SSG5
SSG140
Internet
VPN Tunnel
Case Study Page 5
B. Architecture réseau du site central - Bruxelles
Catalyst 2960 SERIES
MODE
SYSTRPSMASTRSTATDUPLXSPEED
1X
2X
11X
12X
1 2 3 4 5 6 7 8 9 10 11 12
19X
20X
13 14 15 16 17 18 19 20
21
9X
10X
22 23 24
Cisco 2960
Catalyst 2960 SERIES
MODE
SYSTRPSMASTRSTATDUPLXSPEED
1X
2X
11X
12X
1 2 3 4 5 6 7 8 9 10 11 12
19X
20X
13 14 15 16 17 18 19 20
21
9X
10X
22 23 24
Cisco 2960
Etherchannel
HA
CISCO AIRONET 1200 I WIRELESS ACCESS POINT
AP 1200NAS italie
Belgique(BE)
Vlan 1 : 10.3.0.0 /24Vlan 2 : 10.3.1.0 /24Vlan 3 : 10.3.2.0 /24Vlan 4 : 10.3.3.0 /24
Vlan 5 : 10.3.4.0 /24
Serveur italien
CISCO AIRONET 1200 I WIRELESS ACCESS POINT
AP 1200
Pour des raisons de sécurité, le NAS utilisé ne sera pas accessible directement par les clients.
Le routage inter-vlan sera géré par le firewall. Sur le switch de la Belgique, le vlan 1 sera réservé aux serveurs de la Belgique, le vlan 2 sera réservé aux machine client belges, le vlan 3 sera attribué à l’accès wifi sécurisé et le Vlan 4 sera destiné au wifi guest. Les Vlans devront être déportés sur tous les Switch. Les autres vlans répondront à des besoins futurs.
Case Study Page 6
D. Interconnexions du site de Paris
Pour des raisons de sécurité :
La zone de Paris sera séparée de celle de « Nice et Bordeaux » via le firewall Le NAS utilisé pour la publication du cloud privé Français ne sera pas accessible directement par
les clients
Le routage inter-vlan sera géré par le Juniper. Sur le switch de Nice et bordeaux, le vlan 1 sera réservé aux serveurs de Nice, le vlan 2 sera réservé aux serveurs de Bordeaux. Sur les switch de Paris, le vlan 1 sera réservé aux serveurs de Paris, le vlan 2 sera réservé aux clients de Paris, le vlan 3 sera attribué à l’accès wifi Guest.
CISCO AIRONET 1200 I WIRELESS ACCESS POINT CISCO AIRONET 1200 I WIRELESS ACCESS POINT
Etherchannel
Case Study Page 7
E. Interconnexions du site de Barcelone
Le routage inter-vlan sera géré par le firewall. Le vlan 1 sera réservé aux serveurs. Les Vlans devront être déportés sur tous les switchs. Les autres vlans répondront à des besoins futurs.
EX4200
EX4200
Cisco 2960
SSG5
6 VLANs dont 2 gérés par le FWVlan 1 : 10.1.0.0/28Vlan 2 : 10.1.0.32/28
4 VLANs gérés par le switchVlan 3 : 10.1.0.96/28Vlan 4 : 10.1.0.128/28Vlan 5 : 10.1.0.160/28Vlan 6 : 10.1.0.192/28
Espagne(ES)
Etherchannel
Case Study Page 8
Partie 2 : Virtualisation
A. Description La Société souhaite mettre en œuvre deux « Cloud privés » reposant sur les techniques de Virtualisation basées sur VMware VSphere 5 et Hyper-V. Pour ce faire, elle va procéder par phase. Dans un premier temps, les serveurs de Nice et Bordeaux seront déportés vers le Cloud privé VMware situé à Paris. Et le serveur Italien sera déporté vers le cloud privé Hyper-v situé à Bruxelles. Si les résultats sont concluants, le reste des serveurs suivront dans un projet ultérieur.
B. Architecture Voici les recommandations à suivre concernant l’infrastructure VMware:
Possibilité pour des raisons de maintenance ou de défaillance de la machine physique d’être déplacé facilement de machine en machine
Pouvoir avoir une haute disponibilité même si baisse de performance (SLA 99,9%) Redondance sur 3 machines physiques Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces
machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS italien afin d’y stocker les images ISO. Cette partition sera partagée entre les 3 machines physiques.
L’administrateur devra être prévenu par mail si o Le CPU et la RAM dépasse 80% o Une machine virtuelle tombe en panne o La capacité de stockage sur le NAS est inférieure à 15% o Une machine physique est défaillante
Seul l’administrateur du domaine furniture.com pourra gérer l’ensemble des serveurs de manière centralisée. L’administrateur du domaine furniture.it pourra gérer les serveurs physiques mais pas de manière centralisée.
Voici les recommandations à suivre concernant l’infrastructure Hyper-V:
Possibilité pour des raisons de défaillance d’être déplacé facilement de machine en machine via la technique de l’hyper-v replica.
Redondance entre 2 machines physiques Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces
machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS français afin d’y stocker les images ISO. Cette partition sera partagée entre les 2 machines physiques.
Le smtp relay sera virtualisé dans un ESXi en Belgique et vu l’importance des mails pour la société, il est conseillé de créer une autre VM sur une autre machine physique et de s’assurer que si la première VM tombe, on puisse recevoir et envoyer les mails via la deuxième VM. Le serveur de management des ESXi sera virtualisé dans les ESXi correspondants. Toute autre machine, hormis celles qui sont définies dans ce case, que vous jugerez utile dans les sites de Belgique, France devra être virtualisée.
Case Study Page 9
C. Bureau à distance L’entreprise souhaite pouvoir bénéficier des avantages du « Terminal Server » qui permettra de publier des environnements complets sur le site de Paris pour les utilisateurs de Bordeaux et de Nice. Il doit être permis à tous les utilisateurs de Bordeaux et de Nice d’obtenir un environnement complet de travail avec toutes les applications nécessaires. Ceux-ci seront accessibles aux utilisateurs depuis leur station. La liste des applications incluses dans leur environnement pour tous les utilisateurs des sites de Nice et Bordeaux est :
Winzip Office 2013 (avec outlook possédant une configuration automatique vers leur mailbox) Adobe Acrobat Reader Tous les logiciels de sécurité nécessaires (ex. antivirus, …)
Afin d’assurer une certaine redondance au niveau TS, il est demandé de créer une ferme de « terminal serveur » située à Paris et composée des serveurs MS3 et MS4.
Case Study Page 10
Partie 3 : E-Monitoring Monitorer à l’aide de Solarwinds Orion sur un Windows server 2012R2 tous les composants matériels :
Switch Routeur Firewall
Ce monitoring se fera en protocole SNMP et sur le site de Bruxelles.
Case Study Page 11
Partie 4 : Windows
I. Description
Nous supposons que cette société au niveau informatique ne possède rien et il vous est demandé de mettre en œuvre les desideratas du client à savoir une "Windows 2012R2 Forest" internationale. Pour tous les aspects de messagerie et de travail collaboratif, le client a décidé d'utiliser Exchange 2013 et donc une "Exchange Organisation" internationale elle aussi. La société pense donc déployer 12 DC et 4 serveurs membres répartis sur l’ensemble des sites de la forêt. II. Schéma Logique à obtenir
Ayant fait appel à un consultant, la société "furniture.com" a reçu de celui-ci la structure logique globale de l'Active Directory à obtenir, dont voici le schéma :
furniture.com
furniture.es
sales.furniture.es logistica.furniture.esfurniture.fr
admin.furniture.fr marketing.furniture.fr
DC1DC2
DC3DC4
DC5DC6
DC7DC8DC9
DC10 DC11
DC12
furniture.it
Dans ce schéma, les "DC" représentent les "Domain Controller" dans chacun des domaines.
Case Study Page 12
III. Interconnexions entre les Localisations Géographiques
Ayant compris les recommandations du consultant externe, la société "Furniture.com" a négocié auprès d'un provider présent dans les 4 pays, des connexions réseau entre ses localisations assez importantes et donc coûteuses. Voici le schéma :
Barcelone
BelgiqueHQ
Madrid
Valencia
Malaga
Nice
Bordeaux
MPLSCLOUD
MPLSCLOUD
MPLSCLOUD
Paris
50 Mbits
15 Mbits
6 Mbits
15 Mbits
4 Mbits
2 Mbits
2 Mbits
DC1DC2
DC12
DC3DC4
DC8DC9
DC7
DC6
DC5
DC10DC11
MS1
MS3
MS4
MS2
Italie15 Mbits
Nous pouvons percevoir que dans ce schéma, la localisation des "Domain Controller" est très précise.
Case Study Page 13
IV. Exchange Organisation
Comme la société ne possède pas beaucoup de moyens en termes de serveurs, certains "Domain Controller" ont été choisis pour devenir des serveurs Exchange, à savoir :
- MS1, MS2 qui hébergeront les utilisateurs belges et italiens - DC3 qui hébergera des utilisateurs de Barcelone et Madrid - DC5 qui hébergera des utilisateurs de Malaga - DC8 qui hébergera tous les utilisateurs français
De plus, comme ceux-ci sont situés dans des localisations géographiques différentes, le routage des mails se fera selon le schéma suivant:
MS2
DC8
Internet
DC3MS1
MAILRELAY
DMZ 2
DC5
Case Study Page 14
Etant donné l’importance accordée au mail pour les utilisateurs belges, il vous est demandé d’établir une redondance des mails sur le site Belge.
Redondance
MS1 MS2
Case Study Page 15
IV. Demandes
A. Organisation de la Société
Afin de faciliter la gestion des utilisateurs, la société a décidé d’établir une structure basée sur les départements de chaque pays ou ville. Voici les départements : Furniture.com Administration HR Management
Furniture.es Administration Comptabilité
Sales.furniture.es Sales Marketing
Logistica.Furniture.es IT IT Process IT Helpdesk
Furniture.fr Administration HR Management
Admin.furniture.fr IT Central Computing IT Helpdesk
Marketing.furniture.fr Sales Marketing Post-Warranty Services
Case Study Page 16
Marketing.furniture.it Sales Marketing Post-Warranty Services
B. Utilisateurs
Dans chaque Windows Domain, des utilisateurs devront être créés avec la structure suivante :
Furniture.com
First Name Username UPN Département VPN Wifi U1-COM U20-COM
U1-COM … [email protected] …
Administration Oui Oui
U21-COM U40-COM
U21-COM … [email protected] …
HR Non Non
U41-COM U50-COM
U41-COM … [email protected] …
Management Oui Oui
Furniture.es
First Name Username UPN Département VPN Wifi U1-SP U40-SP U1-SP … [email protected]
… Administration Oui Oui
U41-SP U50-SP U41-SP … [email protected] …
Compta Non Non
Sales.furniture.es
First Name Username UPN Département U1-SALES-SP U40-SALES-SP
U1-SALES-SP … [email protected] …
Sales
U41-SALES-SP U50-SALES-SP
U41-SALES-SP …
Marketing
Case Study Page 17
Logistica.furniture.es
First Name Username UPN Département U1-IT-SP U20-IT-SP U1-IT-SP … U1-IT- [email protected]
… IT
U21-IT-SP U40-IT-SP U21-IT-SP … [email protected] …
IT Process
U41-IT-COM U50-IT-SP U41-IT-SP … [email protected] …
IT Helpdesk
Furniture.fr
First Name Username UPN Département VPN Wifi U1-FR U20-FR U1-FR … [email protected]
… Administration Oui Non
U21-FR U40-FR U21-FR … [email protected] …
HR Non Non
U41-FR U50-FR U41-FR … [email protected] …
Management Oui Oui
Admin.furniture.fr
First Name Username UPN Département U1-TIC-FR U20-TIC-FR U1-TIC-FR … U1-TIC-
IT
U21-TIC-FR U40-TIC-FR U21-TIC-FR … [email protected] …
Central Computing
U41-TIC-FR U50-TIC-FR U41-TIC-FR … [email protected] …
IT Helpdesk
Marketing.furniture.fr
First Name Username UPN Département U1-SALES-FR U20-SALES-FR
U1-SALES-FR … [email protected] …
Sales
U21-SALES-FR U40-SALES-FR
U21-SALES-FR … [email protected] …
Marketing
U41-SALES-FR U50-SALES-FR
U41-SALES-FR … [email protected] …
Post-Warranty Services
Case Study Page 18
furniture.it
First Name Username UPN Département U1-SALES--IT U20-SALES-IT
U1-SALES-IT … [email protected] …
Sales
U21-SALES-IT U40-SALES-IT
U21-SALES-IT … [email protected] …
Marketing
U41-SALES-IT U50-SALES-IT
U41-SALES-IT … [email protected] …
Post-Warranty Services
C. Groupes
Tous les "security groups" nécessaires devront être créés.
Case Study Page 19
D. Ressources
Les ressources sont multiples mais peuvent être résumées de la manière suivante :
- Share par département - Homedirectory - Accès depuis l’extérieur - Wifi
Share par département Chaque département aura un répertoire auquel tous les membres pourront y accéder en modification. De plus, le directeur du département (le premier user de la liste de chaque département), aura un dossier où il pourra y déposer des données et tous les membres du département y accéder en lecture. L'accès devra se faire par mapping créé par script associé à une GPO et mappant une arborescence unique par domaine :
Furniture.com S:\ Furniture.es T:\
Sales.furniture.es U:\
Logistica.furniture.es V:\ Furniture.frW:\ Admin.furniture.frX:\ Marketing.furniture.frY:\ furniture.itZ:\
Ajouté à cela, tous les membres du département "Furniture.com – Management", auront accès à tous les share de tous les autres groupes et domaines. Homedirectory
Chaque user aura un homefolder se trouvant sur un serveur de son domaine et limité à 100MB. L'accès à celui-ci ne sera pas réalisé par mapping, mais par redirection du répertoire "My Documents". Un réplica de la structure et des données devra se trouver sur le deuxième DC de chaque domaine lorsque cela est possible.
Case Study Page 20
Accès depuis l’extérieur L’accès aux ressources depuis l’extérieur se fera via une SSL box située dans la DMZ1. Celle-ci devra supporter tous les utilisateurs de toute la forêt 2012. Cependant, en fonction des utilisateurs de chaque domaine, ils auront accès à différentes ressources :
Furniture.com Accès à l’owa + DFS + Push Mail sur Iphone
Furniture.es Accès à l’owa + DFS
Sales.furniture.es Accès à l’owa
Logistica.furniture.es Accès à l’owa Furniture.fr Accès à l’owa + DFS Admin.furniture.fr Accès aux serveurs membre TS Marketing.furniture.fr Accès aux serveurs membre TS Furniture.it Accès à l’owa + DFS
Cette SSL devra être en redondance avec une deuxième SSL en cluster. Donc le basculement devra se faire de manière automatique et invisible pour les utilisateurs. WIFI L’entreprise demande de mettre en place un accès wifi pour ses utilisateurs. Pour ce faire, elle compte déployer 2 AP par pays. Cependant, ayant bien compris les problèmes de sécurité que cela entraîne, elle a décidé de créer 2 types d’accès :
Pour les utilisateurs internes : o L’authentification se fait sur base de
PEAP – EAP-TLS Appartenance à un groupe (cfr liste des users)
o Le chiffrement se fait sur base de WPA2 – enterprise o Il y en a 1 pour tous les pays
Pour les utilisateurs externes : o L’authentification se fait sur base d’un portail web o Il y en a 1 par pays
Etant donné que le nombre d’AP est important, il vous est demandé d’utiliser un Wireless Controller sur le site belge afin de les configurer de manière centralisée .
Case Study Page 21
E. Exchange
L'infrastructure Exchange devra être configurée pour répondre aux demandes suivantes : 1. Adress E-mail
L'adresse e-mail générée pour tous les users sera du type :
[email protected] Ou [email protected] Ou [email protected] Ou [email protected] Suivant le pays dans lequel les utilisateurs sont créés.
2. Address List Il faudra générer une "address list" par département différent.
3. Salles de Réunion Dans chaque capitale, la société possède 3 salles de réunion dont le planning de réservation doit être soigneusement tenu à jour. Voici les noms : En Espagne :
Picasso Dali Velasquez
En France Margaux Pauillac Pomerol
En Belgique Tintin Largo Winch LadyS
4. Paramètres des boîtes aux lettres
Chaque utilisateur de chaque domaine aura un quota de 1go avec un warrning à 900MB
Case Study Page 22
F. Security
La sécurité est au cœur des préoccupations de la société. Dès lors, les mesures suivantes devront être scrupuleusement suivies :
- Une solution de déploiement d’OS centralisé devrait être mise en place. - le patching intégral des OS et des applications devra être réalisé. Cependant afin de limiter
l’utilisation de la bande passante, une solution devra être trouvée. - Demandes particulières du client pour tout le monde sauf pour l'administrateur (et évidemment sur
toutes les machines sauf sur les serveurs) :
pas d'accès à la base des registres pas d'accès aux lecteurs floppy ni CD Rom/DVD Rom lock automatique de la machine après 15 minutes pas d'accès au control panel pas d'utilisation de stick USB (pas dans le BIOS) figer le fond d’écran avec une image Déploiement du certificat du CA + du certificat machine Personnalisation du bandeau d’internet Explorer + ajout de favoris
- Une architecture de mise à jour centralisée d'Antivirus pour chaque pays et d'une approche multi-
tiers devra être déployée sur base de Symantec Endpoint ainsi que Symantec Mail Security Fundation for Exchange et Symantec Brightmail Gateway installé sur une machine et situé dans la DMZ 2
- Le backup intégral de toutes les mailbox et du system state de tous les serveurs se trouvant sur le site belge devra être déployé sur le DC1. La politique de backup devra être déployée le plus tôt possible pour sécuriser ce domaine crucial. Le logiciel sera SYMANTEC BACKUP Exec 2014 SP1. De plus, sur les autres sites, le backup devra se faire tous les jours en full sur un NAS local au site. On doit être capable de revenir 4 semaines en arrière. La société ne possède qu’une seule « tape library » sur le site Belge et voudrait qu’une fois par semaine les backups de tous les sites soient copiés sur ces tapes afin de déployer une stratégie du type « backup to disk to tape ».
- Tous les utilisateurs faisant partie de l’OU Administration ou IT devront avoir une politique de mot de passe plus élevée pour les domaines de France, Belgique, Espagne :
12 caractères avec une complexité de mots de passe Historique de 24 mots de passe Verrouiller après 3 mots de passe incorrects jusqu'à ce que l’administrateur
débloque le compte
Case Study Page 23
G. Autres
1. La structure des OUs de chaque domaine, devra tenir compte de la classification des objets par département, mais aussi sur base de la distribution de package .msi sur les PC. Il y a 2 OS différents (Win 7 Pro et Win 8.1 pro) et 4 configurations software par OS, et ce dans chaque domaine.
2. Pour donner un peu plus de souplesse aux utilisateurs et pour faciliter le travail du Helpdesk, un "Volume Shadow Copy" devra être activé pour tous les répertoires des différents départements.
3. Tout au long de l’implémentation de ce case, il vous est demandé de tester votre infrastructure afin que celle-ci soit complètement opérationnelle et efficiente. Pour ce faire il vous est conseillé de déployer par pays 2 machines clientes. Celles-ci auront un OS déployé par WDS à partir du site espagnol. De plus, une machine sera située sur Internet afin de tester les VPNs et la SSL.
4. Afin d’optimiser l’infrastructure, le consultant ayant réalisé l'étude, a souligné l'importance des points suivants :
une architecture de services réseau supportant toute l'AD avec un maximum
d'autonomie sur chaque site Windows un déploiement centralisé des différents serveurs achetés tous en Belgique. En
effet, pour des raisons de négociation, tous les serveurs ont été achetés chez le même fournisseur même s'ils ne sont pas issus du même fabricant.
Une documentation détaillée de tous les serveurs sera demandée à la fin du case afin d’avoir une vue globale de la situation.