Case Cloud-Windows -ver 41a

272 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
272
Sur SlideShare
0
Issues des intégrations
0
Intégrations
14
Actions
Partages
0
Téléchargements
2
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Case Cloud-Windows -ver 41a

  1. 1. Techno.bel Case Study FURNITURE.COM 7 Octobre 2014 Grégorio Matias Release 4.1a ©Copyright Matias Consulting Group sprl, 2014.
  2. 2. Case Study Page 1 Table des Matières Introduction................................................................................................................................................................................2  Partie 1 : Réseau.......................................................................................................................................................................3  Partie 2 : Virtualisation...............................................................................................................................................................8  Partie 3 : E-Monitoring............................................................................................................................................................ 10  Partie 4 : Windows ................................................................................................................................................................. 11  Partie 5 : Annexes.................................................................................................................................................................. 24 
  3. 3. Case Study Page 2 Introduction La société « furniture.com » est en charge de la vente de meubles de bureau à très haute valeur ajoutée. Elle est actuellement répartie sur 4 pays : Belgique (quartiers généraux), la France, l’Italie et l'Espagne où elle est particulièrement bien développée avec 3 succursales. Nous supposons que cette société au niveau informatique ne possède rien puisqu’elle résulte d’un rassemblement, et il vous est demandé de mettre en œuvre les desideratas du client à savoir : - Une infrastructure réseau locale et internationale - Une infrastructure de sécurité locale et internationale - Une Infrastructure de virtualisation VMware/Hyper-V et de redondance locale et internationale - Une Infrastructure Windows/Exchange internationale Un travail intensif de design a été réalisé par une société de consultance externe, tout en tenant compte du matériel déjà existant et des contraintes multiples de cette société. Le résultat de ce design se trouve dans ce document. Vous venez d’être engagé par cette société en qualité de « Cloud System Engineer », et il vous revient donc la tâche de mettre en œuvre ce design de manière concrète.
  4. 4. Case Study Page 3 Partie 1 : Réseau Nous pouvons percevoir que dans ce schéma, la localisation des implantations est très précise et que la sortie sur Internet est unique et centrée sur Bruxelles, qui est le siège central. On y a défini tout le plan d’adressage pour les différents sites. Les utilisateurs autorisés des différents sites devront avoir la possibilité de faire du « client to gateway » pour leurs sites respectifs. Voici le schéma :
  5. 5. Case Study Page 4 A. Interconnexions des sites principaux Pour le « Cloud » reliant les quatre sites principaux à savoir Bruxelles, Paris, Rome et Barcelone, il vous est demandé de déployer un full « mesh VPN » sécurisé. De plus, le firewall (SSG140) sur le site de Bruxelles gérera la sortie sur internet et sera configuré en HA. IPSEC Tunnel Gateway to Gateway Full Mesh SSG5SSG5 SSG5 SSG140 Internet VPN Tunnel
  6. 6. Case Study Page 5 B. Architecture réseau du site central - Bruxelles Catalyst 2960 SERIES MODE SYST RPS MASTR STAT DUPLX SPEED 1X 2X 11X 12X 1 2 3 4 5 6 7 8 9 10 11 12 19X 20X 13 14 15 16 17 18 19 20 21 9X 10X 22 23 24 Cisco 2960 Catalyst 2960 SERIES MODE SYST RPS MASTR STAT DUPLX SPEED 1X 2X 11X 12X 1 2 3 4 5 6 7 8 9 10 11 12 19X 20X 13 14 15 16 17 18 19 20 21 9X 10X 22 23 24 Cisco 2960     Etherchannel HA CISCO AIRONET 1200 I WIRELESS ACCESS POINT AP 1200 NAS italie Belgique(BE) Vlan 1 : 10.3.0.0 /24 Vlan 2 : 10.3.1.0 /24 Vlan 3 : 10.3.2.0 /24 Vlan 4 : 10.3.3.0 /24 Vlan 5 : 10.3.4.0 /24 Serveur italien CISCO AIRONET 1200 I WIRELESS ACCESS POINT AP 1200 Pour des raisons de sécurité, le NAS utilisé ne sera pas accessible directement par les clients. Le routage inter-vlan sera géré par le firewall. Sur le switch de la Belgique, le vlan 1 sera réservé aux serveurs de la Belgique, le vlan 2 sera réservé aux machine client belges, le vlan 3 sera attribué à l’accès wifi sécurisé et le Vlan 4 sera destiné au wifi guest. Les Vlans devront être déportés sur tous les Switch. Les autres vlans répondront à des besoins futurs.
  7. 7. Case Study Page 6 D. Interconnexions du site de Paris Pour des raisons de sécurité :  La zone de Paris sera séparée de celle de « Nice et Bordeaux » via le firewall  Le NAS utilisé pour la publication du cloud privé Français ne sera pas accessible directement par les clients Le routage inter-vlan sera géré par le Juniper. Sur le switch de Nice et bordeaux, le vlan 1 sera réservé aux serveurs de Nice, le vlan 2 sera réservé aux serveurs de Bordeaux. Sur les switch de Paris, le vlan 1 sera réservé aux serveurs de Paris, le vlan 2 sera réservé aux clients de Paris, le vlan 3 sera attribué à l’accès wifi Guest. CISCO AIRONET 1200 I WIRELESS ACCESS POINT CISCO AIRONET 1200 I WIRELESS ACCESS POINT Etherchannel  
  8. 8. Case Study Page 7 E. Interconnexions du site de Barcelone Le routage inter-vlan sera géré par le firewall. Le vlan 1 sera réservé aux serveurs. Les Vlans devront être déportés sur tous les switchs. Les autres vlans répondront à des besoins futurs. EX4200 EX4200 Cisco 2960 SSG5 6 VLANs dont 2 gérés par le FW Vlan 1 : 10.1.0.0/28 Vlan 2 : 10.1.0.32/28 4 VLANs gérés par le switch Vlan 3 : 10.1.0.96/28 Vlan 4 : 10.1.0.128/28 Vlan 5 : 10.1.0.160/28 Vlan 6 : 10.1.0.192/28 Espagne(ES) Ether chan nel
  9. 9. Case Study Page 8 Partie 2 : Virtualisation A. Description La Société souhaite mettre en œuvre deux « Cloud privés » reposant sur les techniques de Virtualisation basées sur VMware VSphere 5 et Hyper-V. Pour ce faire, elle va procéder par phase. Dans un premier temps, les serveurs de Nice et Bordeaux seront déportés vers le Cloud privé VMware situé à Paris. Et le serveur Italien sera déporté vers le cloud privé Hyper-v situé à Bruxelles. Si les résultats sont concluants, le reste des serveurs suivront dans un projet ultérieur. B. Architecture Voici les recommandations à suivre concernant l’infrastructure VMware:  Possibilité pour des raisons de maintenance ou de défaillance de la machine physique d’être déplacé facilement de machine en machine  Pouvoir avoir une haute disponibilité même si baisse de performance (SLA 99,9%)  Redondance sur 3 machines physiques  Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS italien afin d’y stocker les images ISO. Cette partition sera partagée entre les 3 machines physiques.  L’administrateur devra être prévenu par mail si o Le CPU et la RAM dépasse 80% o Une machine virtuelle tombe en panne o La capacité de stockage sur le NAS est inférieure à 15% o Une machine physique est défaillante  Seul l’administrateur du domaine furniture.com pourra gérer l’ensemble des serveurs de manière centralisée. L’administrateur du domaine furniture.it pourra gérer les serveurs physiques mais pas de manière centralisée. Voici les recommandations à suivre concernant l’infrastructure Hyper-V:  Possibilité pour des raisons de défaillance d’être déplacé facilement de machine en machine via la technique de l’hyper-v replica.  Redondance entre 2 machines physiques  Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS français afin d’y stocker les images ISO. Cette partition sera partagée entre les 2 machines physiques. Le smtp relay sera virtualisé dans un ESXi en Belgique et vu l’importance des mails pour la société, il est conseillé de créer une autre VM sur une autre machine physique et de s’assurer que si la première VM tombe, on puisse recevoir et envoyer les mails via la deuxième VM. Le serveur de management des ESXi sera virtualisé dans les ESXi correspondants. Toute autre machine, hormis celles qui sont définies dans ce case, que vous jugerez utile dans les sites de Belgique, France devra être virtualisée.
  10. 10. Case Study Page 9 C. Bureau à distance L’entreprise souhaite pouvoir bénéficier des avantages du « Terminal Server » qui permettra de publier des environnements complets sur le site de Paris pour les utilisateurs de Bordeaux et de Nice. Il doit être permis à tous les utilisateurs de Bordeaux et de Nice d’obtenir un environnement complet de travail avec toutes les applications nécessaires. Ceux-ci seront accessibles aux utilisateurs depuis leur station. La liste des applications incluses dans leur environnement pour tous les utilisateurs des sites de Nice et Bordeaux est :  Winzip  Office 2013 (avec outlook possédant une configuration automatique vers leur mailbox)  Adobe Acrobat Reader  Tous les logiciels de sécurité nécessaires (ex. antivirus, …) Afin d’assurer une certaine redondance au niveau TS, il est demandé de créer une ferme de « terminal serveur » située à Paris et composée des serveurs MS3 et MS4.
  11. 11. Case Study Page 10 Partie 3 : E-Monitoring Monitorer à l’aide de Solarwinds Orion sur un Windows server 2012R2 tous les composants matériels :  Switch  Routeur  Firewall Ce monitoring se fera en protocole SNMP et sur le site de Bruxelles.
  12. 12. Case Study Page 11 Partie 4 : Windows I. Description Nous supposons que cette société au niveau informatique ne possède rien et il vous est demandé de mettre en œuvre les desideratas du client à savoir une "Windows 2012R2 Forest" internationale. Pour tous les aspects de messagerie et de travail collaboratif, le client a décidé d'utiliser Exchange 2013 et donc une "Exchange Organisation" internationale elle aussi. La société pense donc déployer 12 DC et 4 serveurs membres répartis sur l’ensemble des sites de la forêt. II. Schéma Logique à obtenir Ayant fait appel à un consultant, la société "furniture.com" a reçu de celui-ci la structure logique globale de l'Active Directory à obtenir, dont voici le schéma : furniture.com furniture.es sales.furniture.es logistica.furniture.esfurniture.fr admin.furniture.fr marketing.furniture.fr DC1 DC2 DC3 DC4 DC5 DC6 DC7 DC8 DC9 DC10 DC11 DC12 furniture.it Dans ce schéma, les "DC" représentent les "Domain Controller" dans chacun des domaines.
  13. 13. Case Study Page 12 III. Interconnexions entre les Localisations Géographiques Ayant compris les recommandations du consultant externe, la société "Furniture.com" a négocié auprès d'un provider présent dans les 4 pays, des connexions réseau entre ses localisations assez importantes et donc coûteuses. Voici le schéma : Barcelone Belgique HQ Madrid Valencia Malaga Nice Bordeaux MPLS CLOUD MPLS CLOUD MPLS CLOUD Paris 50 Mbits 15 Mbits 6 Mbits 15 Mbits 4 Mbits 2 Mbits 2 Mbits DC1 DC2 DC12 DC3 DC4 DC8 DC9 DC7 DC6 DC5 DC10 DC11 MS1  MS3  MS4 MS2 Italie 15 Mbits Nous pouvons percevoir que dans ce schéma, la localisation des "Domain Controller" est très précise.
  14. 14. Case Study Page 13 IV. Exchange Organisation Comme la société ne possède pas beaucoup de moyens en termes de serveurs, certains "Domain Controller" ont été choisis pour devenir des serveurs Exchange, à savoir : - MS1, MS2 qui hébergeront les utilisateurs belges et italiens - DC3 qui hébergera des utilisateurs de Barcelone et Madrid - DC5 qui hébergera des utilisateurs de Malaga - DC8 qui hébergera tous les utilisateurs français De plus, comme ceux-ci sont situés dans des localisations géographiques différentes, le routage des mails se fera selon le schéma suivant: MS2 DC8 Internet DC3MS1 MAIL RELAY DMZ 2 DC5
  15. 15. Case Study Page 14 Etant donné l’importance accordée au mail pour les utilisateurs belges, il vous est demandé d’établir une redondance des mails sur le site Belge. Redondance MS1 MS2
  16. 16. Case Study Page 15 IV. Demandes A. Organisation de la Société Afin de faciliter la gestion des utilisateurs, la société a décidé d’établir une structure basée sur les départements de chaque pays ou ville. Voici les départements : Furniture.com  Administration  HR  Management Furniture.es  Administration  Comptabilité Sales.furniture.es  Sales  Marketing Logistica.Furniture.es  IT  IT Process  IT Helpdesk Furniture.fr  Administration  HR  Management Admin.furniture.fr  IT  Central Computing  IT Helpdesk Marketing.furniture.fr  Sales  Marketing  Post-Warranty Services
  17. 17. Case Study Page 16 Marketing.furniture.it  Sales  Marketing  Post-Warranty Services B. Utilisateurs Dans chaque Windows Domain, des utilisateurs devront être créés avec la structure suivante : Furniture.com First Name Username UPN Département VPN Wifi U1-COM  U20- COM U1-COM … U1-COM@techno.com … Administration Oui Oui U21-COM  U40- COM U21-COM … U21-COM@techno.com … HR Non Non U41-COM  U50- COM U41-COM … U41-COM@techno.com … Management Oui Oui Furniture.es First Name Username UPN Département VPN Wifi U1-SP  U40-SP U1-SP … U1-SP@techno.com … Administration Oui Oui U41-SP  U50-SP U41-SP … U41-SP@techno.com … Compta Non Non Sales.furniture.es First Name Username UPN Département U1-SALES-SP  U40- SALES-SP U1-SALES-SP … U1-SALES-SP@techno.com … Sales U41-SALES-SP  U50- SALES-SP U41-SALES-SP … U41-SALES-SP@techno.com … Marketing
  18. 18. Case Study Page 17 Logistica.furniture.es First Name Username UPN Département U1-IT-SP  U20-IT-SP U1-IT-SP … U1-IT- SP@techno.com … IT U21-IT-SP  U40-IT-SP U21-IT-SP … U21-IT-SP@techno.com … IT Process U41-IT-COM  U50-IT-SP U41-IT-SP … U41-IT-SP@techno.com … IT Helpdesk Furniture.fr First Name Username UPN Département VPN Wifi U1-FR  U20-FR U1-FR … U1-FR@techno.com … Administration Oui Non U21-FR  U40-FR U21-FR … U21-FR@techno.com … HR Non Non U41-FR  U50-FR U41-FR … U41-FR@techno.com … Management Oui Oui Admin.furniture.fr First Name Username UPN Département U1-TIC-FR  U20-TIC-FR U1-TIC-FR … U1-TIC- FR@techno.com … IT U21-TIC-FR  U40-TIC-FR U21-TIC-FR … U21-TIC- FR@techno.com … Central Computing U41-TIC-FR  U50-TIC-FR U41-TIC-FR … U41-TIC- FR@techno.com … IT Helpdesk Marketing.furniture.fr First Name Username UPN Département U1-SALES-FR  U20-SALES-FR U1-SALES-FR … U1-SALES- FR@techno.com … Sales U21-SALES-FR  U40-SALES-FR U21-SALES-FR … U21-SALES- FR@techno.com … Marketing U41-SALES-FR  U50-SALES-FR U41-SALES-FR … U41-SALES- FR@techno.com … Post-Warranty Services
  19. 19. Case Study Page 18 furniture.it First Name Username UPN Département U1-SALES--IT U20-SALES- IT U1-SALES-IT … U1-SALES- IT@techno.com … Sales U21-SALES-IT  U40-SALES-IT U21-SALES-IT … U21-SALES- IT@techno.com … Marketing U41-SALES-IT  U50-SALES-IT U41-SALES-IT … U41-SALES- IT@techno.com … Post-Warranty Services C. Groupes Tous les "security groups" nécessaires devront être créés.
  20. 20. Case Study Page 19 D. Ressources Les ressources sont multiples mais peuvent être résumées de la manière suivante : - Share par département - Homedirectory - Accès depuis l’extérieur - Wifi Share par département Chaque département aura un répertoire auquel tous les membres pourront y accéder en modification. De plus, le directeur du département (le premier user de la liste de chaque département), aura un dossier où il pourra y déposer des données et tous les membres du département y accéder en lecture. L'accès devra se faire par mapping créé par script associé à une GPO et mappant une arborescence unique par domaine : Furniture.com  S: Furniture.es  T: Sales.furniture.es  U: Logistica.furniture.es  V: Furniture.frW: Admin.furniture.frX: Marketing.furniture.frY: furniture.itZ: Ajouté à cela, tous les membres du département "Furniture.com – Management", auront accès à tous les share de tous les autres groupes et domaines. Homedirectory Chaque user aura un homefolder se trouvant sur un serveur de son domaine et limité à 100MB. L'accès à celui-ci ne sera pas réalisé par mapping, mais par redirection du répertoire "My Documents". Un réplica de la structure et des données devra se trouver sur le deuxième DC de chaque domaine lorsque cela est possible.
  21. 21. Case Study Page 20 Accès depuis l’extérieur L’accès aux ressources depuis l’extérieur se fera via une SSL box située dans la DMZ1. Celle-ci devra supporter tous les utilisateurs de toute la forêt 2012. Cependant, en fonction des utilisateurs de chaque domaine, ils auront accès à différentes ressources : Furniture.com  Accès à l’owa + DFS + Push Mail sur Iphone Furniture.es  Accès à l’owa + DFS Sales.furniture.es  Accès à l’owa Logistica.furniture.es  Accès à l’owa Furniture.fr Accès à l’owa + DFS Admin.furniture.fr Accès aux serveurs membre TS Marketing.furniture.fr Accès aux serveurs membre TS Furniture.it Accès à l’owa + DFS Cette SSL devra être en redondance avec une deuxième SSL en cluster. Donc le basculement devra se faire de manière automatique et invisible pour les utilisateurs. WIFI L’entreprise demande de mettre en place un accès wifi pour ses utilisateurs. Pour ce faire, elle compte déployer 2 AP par pays. Cependant, ayant bien compris les problèmes de sécurité que cela entraîne, elle a décidé de créer 2 types d’accès :  Pour les utilisateurs internes : o L’authentification se fait sur base de  PEAP – EAP-TLS  Appartenance à un groupe (cfr liste des users) o Le chiffrement se fait sur base de WPA2 – enterprise o Il y en a 1 pour tous les pays  Pour les utilisateurs externes : o L’authentification se fait sur base d’un portail web o Il y en a 1 par pays Etant donné que le nombre d’AP est important, il vous est demandé d’utiliser un Wireless Controller sur le site belge afin de les configurer de manière centralisée .
  22. 22. Case Study Page 21 E. Exchange L'infrastructure Exchange devra être configurée pour répondre aux demandes suivantes : 1. Adress E-mail L'adresse e-mail générée pour tous les users sera du type : username@furniture.com Ou username@furniture.fr Ou username@furniture.es Ou username@furniture.it  Suivant le pays dans lequel les utilisateurs sont créés. 2. Address List Il faudra générer une "address list" par département différent. 3. Salles de Réunion Dans chaque capitale, la société possède 3 salles de réunion dont le planning de réservation doit être soigneusement tenu à jour. Voici les noms : En Espagne :  Picasso  Dali  Velasquez En France  Margaux  Pauillac  Pomerol En Belgique  Tintin  Largo Winch  LadyS 4. Paramètres des boîtes aux lettres Chaque utilisateur de chaque domaine aura un quota de 1go avec un warrning à 900MB
  23. 23. Case Study Page 22 F. Security La sécurité est au cœur des préoccupations de la société. Dès lors, les mesures suivantes devront être scrupuleusement suivies : - Une solution de déploiement d’OS centralisé devrait être mise en place. - le patching intégral des OS et des applications devra être réalisé. Cependant afin de limiter l’utilisation de la bande passante, une solution devra être trouvée. - Demandes particulières du client pour tout le monde sauf pour l'administrateur (et évidemment sur toutes les machines sauf sur les serveurs) :  pas d'accès à la base des registres  pas d'accès aux lecteurs floppy ni CD Rom/DVD Rom  lock automatique de la machine après 15 minutes  pas d'accès au control panel  pas d'utilisation de stick USB (pas dans le BIOS)  figer le fond d’écran avec une image  Déploiement du certificat du CA + du certificat machine  Personnalisation du bandeau d’internet Explorer + ajout de favoris - Une architecture de mise à jour centralisée d'Antivirus pour chaque pays et d'une approche multi- tiers devra être déployée sur base de Symantec Endpoint ainsi que Symantec Mail Security Fundation for Exchange et Symantec Brightmail Gateway installé sur une machine et situé dans la DMZ 2 - Le backup intégral de toutes les mailbox et du system state de tous les serveurs se trouvant sur le site belge devra être déployé sur le DC1. La politique de backup devra être déployée le plus tôt possible pour sécuriser ce domaine crucial. Le logiciel sera SYMANTEC BACKUP Exec 2014 SP1. De plus, sur les autres sites, le backup devra se faire tous les jours en full sur un NAS local au site. On doit être capable de revenir 4 semaines en arrière. La société ne possède qu’une seule « tape library » sur le site Belge et voudrait qu’une fois par semaine les backups de tous les sites soient copiés sur ces tapes afin de déployer une stratégie du type « backup to disk to tape ». - Tous les utilisateurs faisant partie de l’OU Administration ou IT devront avoir une politique de mot de passe plus élevée pour les domaines de France, Belgique, Espagne :  12 caractères avec une complexité de mots de passe  Historique de 24 mots de passe  Verrouiller après 3 mots de passe incorrects jusqu'à ce que l’administrateur débloque le compte
  24. 24. Case Study Page 23 G. Autres 1. La structure des OUs de chaque domaine, devra tenir compte de la classification des objets par département, mais aussi sur base de la distribution de package .msi sur les PC. Il y a 2 OS différents (Win 7 Pro et Win 8.1 pro) et 4 configurations software par OS, et ce dans chaque domaine. 2. Pour donner un peu plus de souplesse aux utilisateurs et pour faciliter le travail du Helpdesk, un "Volume Shadow Copy" devra être activé pour tous les répertoires des différents départements. 3. Tout au long de l’implémentation de ce case, il vous est demandé de tester votre infrastructure afin que celle-ci soit complètement opérationnelle et efficiente. Pour ce faire il vous est conseillé de déployer par pays 2 machines clientes. Celles-ci auront un OS déployé par WDS à partir du site espagnol. De plus, une machine sera située sur Internet afin de tester les VPNs et la SSL. 4. Afin d’optimiser l’infrastructure, le consultant ayant réalisé l'étude, a souligné l'importance des points suivants :  une architecture de services réseau supportant toute l'AD avec un maximum d'autonomie sur chaque site Windows  un déploiement centralisé des différents serveurs achetés tous en Belgique. En effet, pour des raisons de négociation, tous les serveurs ont été achetés chez le même fournisseur même s'ils ne sont pas issus du même fabricant.  Une documentation détaillée de tous les serveurs sera demandée à la fin du case afin d’avoir une vue globale de la situation.
  25. 25. Case Study Page 24 Partie 5 : Annexes

×