igelnarr.free.frigelnarr.free.fr/Etude_MIR_Windows_NIA.docx · Web viewActive Directory est un annuaire basé sur LDAP et Kerberos permettant de créer un domaine. Contrairement

MIR Intranet Windows

Etude MIR Intranet Windows

P32 - Groupe 2 Page 1


TABLE DES MATIÈRES1. Rappel des besoins..........................................................................................62. Etude de l’existant...........................................................................................7

2.1 Site de Jouy-en-josas..................................................................................72.2 Site de Saint-Emilion..................................................................................72.3 Site de Menton...........................................................................................72.4 Répartition des utilisateurs........................................................................7

3. Administration du reseau windows..................................................................93.2 presentation d’active directory..................................................................93.3 architecture d’active directory...................................................................9

3.3.1 Dimensionnement d’active directory.................................................103.3.2 architecture du domaine et des sites................................................133.3.3 Répartition des rôles FSMO...............................................................163.3.4 Niveaux fonctionnels du domaine et de la forêt................................183.3.5 organisation hierarchique d’active directory.....................................21

3.4 DNS & DHCP............................................................................................223.4.1 DNS...................................................................................................233.4.2 DHCP.................................................................................................23

3.5 EXploitation d’active directory.................................................................243.5.1 Délégation des droits........................................................................243.5.2 Distribution Automatique des certificats...........................................24

4. Messagerie – Rappel des besoins...................................................................254.1 Messagerie – Solutions............................................................................26

4.1.1 Microsoft Exchange 2007..................................................................264.1.2 Aspects utilisateurs...........................................................................264.1.3 Aspects administrateurs....................................................................284.1.4 Rôles du serveur Exchange 2007......................................................294.1.5 Accès et mobilité...............................................................................304.1.6 Sécurité et cycle de vie des messages..............................................31

4.2 IBM Lotus.................................................................................................334.3 Comparaison de ces deux solutions.........................................................34

5. Infrastructure Exchange.................................................................................355.1 Matériel....................................................................................................35



5.2 Licences pour Windows Server 2003.......................................................395.3 Licences pour Exchange 2007.................................................................405.4 Messagerie des postes utilisateurs..........................................................405.5 Coût de la solution de messagerie Exchange..........................................40

6. Serveur de fichiers.........................................................................................416.1 Rappel des besoins..................................................................................416.2 Solution proposée....................................................................................41

6.2.1 Système de fichiers distribués DFS (version 2).................................416.2.2 Architecture DFS...............................................................................42

7. FIREWALL.......................................................................................................437.1 Description..............................................................................................437.2 Solutions Firewall.....................................................................................43

7.2.1 Checkpoint UTM-1 1050....................................................................437.2.2 Cisco ASA 5540.................................................................................447.2.3 ISA Server 2006.................................................................................45

7.3 Choix de la solution : ISA Server 2006.....................................................467.3.1 Proxy.................................................................................................467.3.2 Besoins pour dimensionnement du Proxy.........................................477.3.3 Reverse Proxy....................................................................................487.3.4 Configuration ISA Server 2006..........................................................487.3.5 Serveur VPN......................................................................................48

8. Travail collaboratif.........................................................................................498.1 Windows SharePoint Services..................................................................49

8.1.1 Objectifs............................................................................................498.1.2 Intégration avec Microsoft Office.......................................................498.1.3 Sécurité.............................................................................................50

9. Infrastructure WAN........................................................................................519.1 Introduction.............................................................................................519.2 Transfix....................................................................................................519.3 Equant IP VPN..........................................................................................539.4 Oleane VPN..............................................................................................55

9.4.1 Fonctionnalités..................................................................................559.5 Accès nomade : Business Everywhere.....................................................569.6 Téléphonie IP / VoIP.................................................................................56



9.7 Accès Internet..........................................................................................589.8 Coût de la solution WAN..........................................................................59

9.8.1 Oléane VPN........................................................................................599.8.2 Business Talk IP Centrex...................................................................599.8.3 Accès Internet...................................................................................599.8.4 Business Everywhere.........................................................................59

10. Gestion des mises à jour sécurité...............................................................6010.1 System Center Configuration Manager 2007 (SCCM 2007)..................6010.2 Windows Server Update Services (WSUS) 3.0......................................6110.3 Solution choisie....................................................................................6210.4 Mise en oeuvre.....................................................................................62

11. Gestion des certificats................................................................................6411.1 Principe.................................................................................................6411.2 Solution préconisée..............................................................................6511.3 Mise en place........................................................................................66

12. Messagerie instantanée..............................................................................6712.1 Office Communications Server 2007 et son client Communicator 2007

6712.2 Open Fire et son client Spark................................................................6712.3 Solution retenue...................................................................................6812.4 Mise en oeuvre.....................................................................................68

13. Messagerie unifiée......................................................................................7013.1 Principe.................................................................................................7013.2 Exchange 2007 SP1 & Office Communications Server 2007.................7013.3 Interfaçage entre Exchange 2007 SP1, Office Communications Server 2007 et le PABX................................................................................................70

14. Gestion du serveur d’impression................................................................7214.1 Principe.................................................................................................7214.2 Choix des imprimantes.........................................................................7214.3 Mise en place........................................................................................75

15. Système de supervision..............................................................................7615.1 Nagios...................................................................................................76

15.1.1 Présentation...................................................................................7615.1.2 Fonctionnement.............................................................................76



15.1.3 Alertes............................................................................................7715.2 System Center Operation Manager 2007..............................................77

15.2.1 Présentation...................................................................................7715.2.2 Configuration..................................................................................77



1. RAPPEL DES BESOINS

L’étude MIR Intranet Windows complète les études suivantes :

MIR Infrastructure RéseauMIR MessagerieMIR SécuritéMIR Intranet Linux

Cette étude est donc le dernier jalon du projet MIR qui formera ensuite une étude finale appelée MIR Intégration et consistant à la mise en place de l’étude globale.

Notre proposition doit comprendre plusieurs points importants tels que :

Mise en place d’un réseau Windows en prenant en compte le contexte géographique de l’entreprise.La migration des serveurs d’infrastructures, des serveurs applicatifs et des postes de travail ne doivent pas se faire en même temps. Les postes NT4 de Jouy-en-Josas devront être conservés.L’architecture cible devra être basée sur du Microsoft Windows Server 2003 R2, la sécurité devra être maximale, l’administration devra être facilitée, et une délégation des droits devra être élaborée.Les serveurs d’infrastructures regrouperont les rôles Active Directory, DNS, DHCP et WINS en fonction des besoins. La tolérance aux pannes devra être prise en considération.La forêt Active Directory devra être placée au plus haut niveau fonctionnel possible. Un nivellement par le bas doit être étudié pour permettre de conserver les postes NT4.La rédaction de schémas sous Visio est demandée pour mettre en évidence le fonctionnement du réseau et de l’architecture Active Directory.Mise en place de serveurs de fichiers intégrant un mécanisme de réplication (différent de celui d’Active Directory).Mise en place d’un serveur d’impression et mécanisme de localisation des imprimantes.Mise en place d’une messagerie collaborative, réception de messages téléphoniques et de télécopies dans la boite aux lettres. Facilité de gestion du client de messagerie et de la réservation de salles de réunion. La mobilité des clients devra être prise en compte.La partie Internet permettra un accès sélectif des clients pouvant accéder au Web. De même, cette partie intègre un pare feu, un serveur mandataire ainsi qu’un serveur VPN.Un système de surveillance des processus critiques devra être proposé.



2. ETUDE DE L’EXISTANT

2.1 SITE DE JOUY-EN-JOSAS

Le site de Jouy-en-Josas est un nouveau site, par conséquent il ne possède pas de réseau Windows, de postes de travails, de serveurs, etc. L’étude comprendra donc l’achat de tous les équipements nécessaires pour l’activité de l’entreprise.

2.2 SITE DE SAINT-EMILION

Le site de Saint-Emilion possède un réseau Windows, un PDC (Primary Domain Controller) sous NT4 ainsi que des postes de travail sous NT4 ainsi que sous 98SE. 20 nouveaux postes sous Windows XP sont à prévoir. Le parc sera hétérogène est comprendra des postes sous Windows ainsi que sous Linux.

2.3 SITE DE MENTON

Le site de Menton vient est nouveau, il ne possède pas de réseau Windows. Il n’y a que 5 machines sous Windows XP, le reste des postes de travail seront sous Linux.

2.4 RÉPARTITION DES UTILISATEURS

Comme vous nous l’aviez indiqué, l’estimation de la croissance salariale est de 20% sur 5 ans. Voici un tableau permettant de visualiser la répartition des utilisateurs sur les différents sites ainsi que les systèmes d’exploitation.

Sites Nombre d’utilisateur

s

Augmentation

prévisionnelle

Postes sous Windows

Postes sous Linux

Jouy-en-Josas 251 30 251 XP 0

Saint-Emilion 120 30

60 NT420 98SE XP

40



Menton 80 30 5 XP 75

Explication du calcul pour l’augmentation prévisionnelle :

Il y a 451 utilisateurs et une augmentation estimée à hauteur de 20%.

451 * 20% ~ 90 90 / 3 = 30

En divisant les 90 salariés estimés par le nombre de sites, on obtient 30 utilisateurs supplémentaires sur chaque site.



3. ADMINISTRATION DU RESEAU WINDOWS

3.2 PRESENTATION D’ACTIVE DIRECTORY

Active Directory est un annuaire basé sur LDAP et Kerberos permettant de créer un domaine. Contrairement aux domaines sous NT4, la structure de la base de données est hiérarchisée. Grâce à cette hiérarchisation, il est possible de créer des domaines et des sous domaines. Ces arborescences de domaines forment la forêt, celle-ci intègre un schéma qui donne le format des objets qui la compose. La base de données Active Directory respecte les propriétés ACID (Atomicité, Cohérence, Isolation & Durabilité).

De même, Active Directory permet l’ajout, création et suppression d’objets depuis n’importe quel contrôleur de domaine. En effet, la notion de serveur primaire et de secours ont été abandonnés au profit de cette architecture multi-maître, beaucoup plus souple et permettant de ménager directement les liens WAN dans le cas des multi-sites. Active Directory intègre la gestion des droits (ACL), des mécanismes de réplication par plage horaire et s’appuie sur les DNS pour la localisation des machines, etc. Dans un souci de sécurité, Active Directory permet également de créer des stratégies de groupes autorisant l’accès ou non à certaines fonctionnalités ou tâches d’administration.

3.3 ARCHITECTURE D’ACTIVE DIRECTORY

Du fait de l’organisation de notre client et de la situation géographique de ses différents sites, il est nécessaire de mettre en place plusieurs contrôleurs de domaine afin de fournir une infrastructure cohérente face aux besoins exprimés, sécurisée et robuste. L’étude de cette architecture s’appuie sur les éléments fournis par le Directeur des Systèmes d’Informations du groupe CFG.

Grâce aux outils tel que ADsizer, nous avons définis l’architecture globale d’Active Directory. Compte tenu des besoins du client et la localisation des sites, certains aspects de l’architecture doivent être étudiés minutieusement afin de délivrer une infrastructure opérationnelle et efficace.



3.3.1 DIMENSIONNEMENT D’ACTIVE DIRECTORY

Le dimensionnement d’Active Directory est traité dans un document connexe, ce document fait partie des livrables. Nous nous appuyons dessus pour vous proposer une architecture fiable et robuste. Grâce aux éléments que vous nous avez fournis lors de notre réunion informelle, nous avons pu dimensionner l’infrastructure Active Directory grâce à notre savoir faire et à des outils tel qu’ADsizer.

L’outil ADsizer nous a permis de connaitre les besoins en termes de matériels et d’utilisation du réseau. Le tableau suivant regroupe les composants physiques nécessaires pour un contrôleur de domaine.

Recommandations ADsizer (Hardware)Type de processeur Pentium II 400 MhzNombre de processeurs 1Quantité de RAM 512 MoType de disques durs Disque dur 10 000 RPM et 8ms de

latenceSystème RAID 2 disques durs en RAID 1 (miroir)

Le tableau ci-dessous donne une estimation de la bande passante nécessaire sur le contrôleur de domaine.

Recommandations ADsizer (Réseau)Emission 75,09 Kbits/sRéception 48,14 Kbits/s

ADsizer se base sur Windows Server 2000 pour estimer l’aspect physique et réseau du contrôleur de domaine. Les différentes études ont montré que Windows Server 2003 était plus performant que Windows Server 2000, cependant il est maintenant impossible de trouver des machines avec un pentium II. C’est pourquoi le contrôleur sera quelque peu surdimensionné.

Le contexte de la société Aristote avec ses trois sites et ses environnements hétérogènes impliquent l’utilisation de plusieurs contrôleurs de domaine. En effet, Pour des raisons de sécurité et d’optimisation de la bande



passante, il est judicieux de placer les contrôleurs de domaine de façon judicieuse.

Pour des raisons de coûts de maintenance, l’infrastructure sera centralisée en grande partie à Jouy-en-Josas. D’une part parce qu’elle regroupe le plus grand nombre de population et d’autre part parce que la plupart des postes de travail possèdent Windows. Les interconnexions étant chères, il est important d’en minimiser l’utilisation et d’optimiser leur exploitation.

Voici un schéma représentant le placement géographique des contrôleurs de domaine au sein d’Aristote :

L’architecture que nous vous proposons reposera sur trois contrôleurs de domaine, deux sur le site principal Jouy-en-Josas et un à Saint-Emilion. Etant donné qu’il n’y a que deux utilisateurs ayant des postes de travail sous Windows, il n’est pas judicieux d’y placer un contrôleur de domaine. En effet, les différentes études n’ont pas encore prévu une intégration des postes Linux dans un environnement Windows. De ce fait, cette possibilité sera envisagée lors de MIR Intégration.

Nous vous recommandons deux contrôleurs de domaine sur le site de Jouy-en-Josas afin que l’infrastructure soit parfaitement redondante et pour fournir de meilleurs temps de réponse. Le site de Saint-Emilion possède 120 utilisateurs et par conséquent, il est recommandé d’y installer un contrôleur de domaine pour diminuer l’utilisation des interconnexions.





AD1

Il s’agit du serveur principal, il n’aura pas pour vocation de stocker des fichiers utilisateurs. Par conséquent, il a un besoin restreint en espace disque. Les disques durs seront en RAID 1.

HP ProLiant DL320 G5 (418045-421)

Caractéristiques

- Processeur Intel® Xeon® 3060 bicœur à 2,40 GHz

- 1 Go de RAM (1 x 1 Go) de mémoire en standard

- 2 Disques durs maximum- Pas de contrôleur RAID en

standard- Garantie 3 ans

900 € HTAdaptateur de bus hôte HP

347786-B21Contrôleur RAID SAS HP PCI-X 8

ports

100 € HT

HP 72GB 3G SAS 15K SFF DP HDD - 418371-B21*

374,35 € HT x 2

Total 1 748.70 € HT*1) 2 disques en RAID 1 pour le système d’exploitation.

AD2, AD3 & Files

Il s’agit de contrôleurs de domaine en plus d’être des serveurs de fichiers, contrairement à AD1, ils ont besoin d’espace de stockage pour les répertoires personnels des utilisateurs.

HP ProLiant DL320s (415900-421) Caractéristiques


http://h10010.www1.hp.com/wwpc/fr/fr/sm/WF06c/A1-1355565-12422620-12422620-12422800-12422800-64857799.html




- 12 disques durs maximum avec contrôleur RAID inclus

- Garantie 3 ans

2 150 € HT

HP 72GB 3G SAS 15K SFF DP HDD - 418371-B21*1

374,35 € HT x 2


320,87 € HT x 5

Total 4 503.05 € HT*1) 2 disques en RAID 1 pour le système d’exploitation.

*2) Ces 5 disques durs serviront au stockage des données utilisateurs. Nous préconisons un RAID 5 (car plus performant qu’un RAID 1) composé de 5 disques durs de 146 Go. La taille utile est de 584 Go, ce qui permet aisément d’allouer 1 Go à chaque utilisateur.

Voici les coûts pour l’acquisition des licences Windows 2003 Server Edition Standard :

Produit Prix unitaire Quantité totalWindows 2003 Standard 32 bits

745 € HT 4 2980 € HT

3.3.2 ARCHITECTURE DU DOMAINE ET DES SITES

Pour simplifier l’administration, nous avons opté pour un seul domaine Active Directory coupé en deux sites. Pour les raisons évoqués ci-dessus, il n’y aura pas de contrôleur de domaine à Menton, les deux sites seront Jouy-en-Josas et Saint-Emilion. Menton sera donc rattachée au site de Jouy-en-Josas au niveau d’Active Directory.

Le schéma ci-dessous représente le domaine Active Directory, il est composé de deux sites Active Directory correspondant aux sites physiques de Jouy-en-Josas et de Saint-Emilion :



Les contrôleurs de domaine communiquent entre eux pour mettre à jour leur réplique de la base d’annuaire. Les réplications intra-sites sont gérés automatiquement par Active Directory, en effet, les mises à jour ne sont pas compressées et elles sont fréquentes (grâce au protocole RPC over IP), par défaut toutes les 5 minutes.

En ce qui concerne les réplications inter-sites, ce sont les administrateurs qui créent les sites et génèrent les liens. Les mises à jour sont compressées (approximativement 80%). Le mécanisme de réplication introduit des serveurs de tête de pont, ce sont des serveurs partenaires situés sur des sites différents. Ces serveurs communiquent entre eux afin de transmettre les mises à jour, ils sont élus automatiquement (en fonction du GUID) mais peuvent être désignés manuellement.



Deux protocoles sont proposés pour la réplication inter-sites :

RPC (Remote Procedure Call)SMTP (Simple Mail Transfert Protocol)

Nous vous conseillons RPC car il peut être utilisé sur n’importe quel site ou domaine alors que SMTP ne fonctionne que sur des contrôleurs de domaine étant dans des domaines différents.



3.3.3 RÉPARTITION DES RÔLES FSMO1

Active Directory intègre des mécanismes pour gérer l’annuaire. Certaines fonctionnalités ne doivent pas être mises sur plusieurs contrôleurs de domaine sous peine d’avoir des crashs. De même que certains rôles ne peuvent pas cohabiter sur une seule et même machine. Une répartition des rôles est donc indispensable pour la stabilité de l’annuaire.

Voici dans ce tableau les cinq rôles composant Active Directory ainsi que leurs spécificités :

Rôles FSMO Fonction EmplacementContrôleur de schéma Ajouts, modifications et

suppressions des définitions des classes d’objets et de leurs attributs. Mise à jour vers les autres DC

Unique au sein de la forêt

Maître d’attribution des noms de domaines

Attribution des noms de domaines au sein de la forêt

Unique au sein de la forêt

Maître d’infrastructure

Gestion du déplacement des objets et mise à jour des références concernant les objets fantômes.

Au sein d’un domaine

Maître RID Allocation des blocs d’identificateurs relatifs à chaque contrôleur de domaine du domaine. Les EID servent à la création des objets.

Unique Au sein d’un domaine

Emulateur PDC Compatibilité avec les contrôleurs de domaine NT et mécanisme de réplication vers les BDC. Gestion du verrouillage des comptes utilisateurs et des changements de mot de passe. Mécanismes de synchronisation horaire des contrôleurs de domaine.

Unique au sein d’un domaine

1 Flexible Single Master Operation (FSMO



Compte tenu des spécificités de chaque rôle, il est important de souligner la nécessité de déplacer les rôles en fonction de l’infrastructure. Voici les recommandations de Microsoft sur le sujet :

Placer le maitre RID et l’émulateur PDC sur le même site Active Directory car se sont des partenaires de réplication directs. Ils peuvent également être placés sur le même contrôleur de domaine.Le maître d’infrastructure ne doit pas être catalogue global sinon il ne peut pas faire son travail (Mise à jour des objets fantômes). Cependant, il y a deux exceptions, d’une part dans les forêts à domaine unique. D’autre part, dans une forêt multi-domaine où il existe un catalogue global dans chaque domaine.Le maître d’attribution des noms de domaines doit être catalogue global si l’on veut créer de grands enfants.

En plus des rôles FSMO, il existe le catalogue global qui stocke une réplique partielle de tous les objets du domaine et d’autres domaines de la forêt ainsi que les partitions schéma et configuration. Il est interrogé pour les recherches d’objets (utilisateurs, imprimantes, etc.), et permet aux utilisateurs de s’identifier dans le domaine. C’est pourquoi, il est recommandé de placer un catalogue global sur chaque site, en cas de problème avec une interconnexion, les utilisateurs d’un site distant pourront toujours s’identifier.

Dans le cas de notre client Aristote, il s’avère intéressant de bien définir les rôles sur les serveurs afin d’optimiser les réplications. Voici un schéma représentant la répartition des rôles et du placement des catalogues globaux compte tenu des recommandations de Microsoft :



Un seul des contrôleurs (AD1) de domaine situé à Jouy-en-Josas possèdera les rôles contrôleur de schéma et maître d’attribution des noms de domaine. Le second serveur de Jouy-en-Josas (AD2) abritera les trois autres rôles à savoir : maître d’infrastructure, maître RID et Emulateur PDC. Le dernier contrôleur (AD3) se verra attribuer les rôles suivants : Maître RID et Maître d’infrastructure. Deux serveurs (AD1 et AD3) seront catalogue global, de ce fait chaque site pourra travailler en cas de coupure de l’interconnexion.

3.3.4 NIVEAUX FONCTIONNELS DU DOMAINE ET DE LA FORÊT

Les domaines et les forêts Active Directory ont plusieurs niveaux fonctionnels, par défaut le niveau fonctionnel du domaine est « Windows Server 2000 mixte ». Ce niveau fonctionnel permet une compatibilité avec les domaines NT4 contenant des PDC et des BDC ainsi qu’avec les contrôleurs de domaine sous Windows Server 2000.



Le niveau fonctionnel par défaut de la forêt est « Windows 2000 ». Ces niveaux fonctionnels d’origine ne possèdent pas la richesse des fonctionnalités des autres niveaux fonctionnels. Nous allons vous présenter les différents niveaux ainsi que les caractéristiques qui les composent.

Le tableau ci-dessous concerne les niveaux fonctionnels pour le domaine :

Niveaux fonctionnels DC concernés CaractéristiquesWindows 2000 mixte

NT4, 2000 & 2003

- Ce niveau fonctionnel permet la communication entre les BDC NT4, Les DC Windows Server 2000 et 2003.

Windows 2000 natif

2000 & 2003

- Les groupes universels peuvent être des groupes de distribution et de sécurité (seulement distribution pour 2000 mixte).

- L’imbrication des groupes dans d’autres groupes est possible pour les groupes de distribution et de sécurité (seulement distribution en 2000 mixte).

- Les groupes universels peuvent contenir n’importe quel utilisateur, compte d’ordinateur, groupe universel ou global des domaines de la forêt ou d’autres forêts (si relation d’approbation inter-forêts).

- La conversion des groupes est possible. (ex groupe global vers groupe universel).

Windows 2003 2003 uniquement - Changement du nom du contrôleur de domaine.

- Mot de passe sur l’objet InetOrgPerson, cela s’avère utile dans le cadre d’une migration d’un annuaire LDAP vers



Active Directory.- Historique des

connexions des utilisateurs grâce à l’attribut LastLogonTimeStamp.

Le tableau suivant présente les niveaux fonctionnels pour la forêt :

Niveaux fonctionnels DC concernés CaractéristiquesWindows 2000

NT4, 2000 & 2003- Compatibilité avec les

BDC NT4, les contrôleurs de domaine Windows Server 2000 et 2003.

Windows 2003

2003 uniquement

- Amélioration de la réplication des catalogues globaux

- Possibilité de désactivation des attributs (attributs défunts).

- Approbation de forêts- Changement de noms de

domaines.- Augmentation du

nombre de sites maximal (de 300 à 3000).

- Etc.

Comme vous nous l’avez demandé dans le cahier des charges, nous vous proposons de définir le plus haut niveau fonctionnel pour votre domaine et forêt Active Directory. La migration de votre PDC NT4 situé à Saint-Emilion aura pour but de le mettre à jour vers un serveur Windows 2003. De ce fait, il n’y aura que des contrôleurs sous Windows Server 2003, cela nous permet donc de placer le domaine et la forêt au niveau fonctionnel « Windows 2003 » avec toutes les fonctionnalités évoluées.



3.3.5 ORGANISATION HIERARCHIQUE D’ACTIVE DIRECTORY

Voici l’organisation de l’arbre Active Directory pour le domaine de notre client Aristote.

Voici un schéma synthétisant l’exploitation des utilisateurs, des comptes d’ordinateurs et des groupes dans Active Directory :



3.4 DNS & DHCP

Voici la répartition des serveurs DNS et DHCP que nous vous proposons. Comme il était demandé dans le cahier des charges, nous avons optimisé les placements des services en fonction des rôles des serveurs et de leur situation géographique :



3.4.1 DNS

Les DNS sont indispensables au fonctionnement d’Active Directory, ces services sont partenaires, les contrôleurs de domaine y sont renseignés. Nous préconisons l’utilisation des DNS intégrés dans Windows Server 2003. Les services DNS seront activés sur chaque contrôleur de domaine à savoir : AD1, AD2 et AD3.

3.4.2 DHCP

Le serveur DHCP attribue la configuration réseau aux postes clients, les serveurs et les imprimantes ont un adressage statique (une plage leur est réservée sur chacun des serveurs DHCP). Voici les pools d’adresses disponibles sur chacun des sites :

Sites Début du pool Fin du pool Durée du bailJouy-en-Josas 172.16.0.0 172.16.1.254 8 joursSaint-Emilion 172.17.0.0 172.17.0.254 8 joursMenton 172.18.0.0 172.18.0.254 8 jours

Sites Début de réservation Fin de réservationJouy-en-Josas 172.16.100.0 172.16.100.254



Saint-Emilion 172.17.100.0 172.17.100.254Menton 172.18.100.0 172.18.100.254

3.5 EXPLOITATION D’ACTIVE DIRECTORY3.5.1 DÉLÉGATION DES DROITS

Voici une procédure pour donner la possibilité de créer des utilisateurs :

Dans le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory », cliquez sur l'unité d'organisation choisie (ex : admins).Cliquez avec le bouton droit sur admins, puis cliquez sur « Déléguer le contrôle ». L'Assistant Délégation de contrôle s'affiche. Cliquez sur Suivant. Dans la page « Utilisateurs ou groupes », cliquez sur « Ajouter », sur « Avancé », puis sur « Rechercher ». Accédez à l’utilisateur choisi, puis double-cliquez dessus. Cliquez ensuite sur OK. Cliquez sur Suivant pour continuer.Dans la page « Tâches à déléguer », sous « Déléguer les tâches courantes suivantes », cliquez sur « Crée, supprime et gère les comptes d'utilisateurs «. Cliquez sur Suivant pour continuer.Un résumé s’affiche pour vérifier les paramètres, cliquez sur « Terminer » pour valider la délégation.

3.5.2 DISTRIBUTION AUTOMATIQUE DES CERTIFICATS

Via la console « Utilisateur et ordinateur Active Directory », puis dans « Configuration ordinateur », « Paramètres Windows », « Paramètres de sécurité », puis « Stratégies de clé publique ». Faites ensuite un clic droit sur Paramètres de demande automatique de certificat, et enfin sélectionnez Nouveau / Demande automatique de certificat… Vous lancerez un assistant pour choisir le certificat. Il ne vous reste plus qu'a lier votre GPO à une unité d'organisation contenant vos serveurs afin de déployer vos certificats.



4. MESSAGERIE – RAPPEL DES BESOINS

Le client Aristote a trois sites répartis dans différents lieux en France : Jouy-en-Josas, Menton et Saint Emilion. Il souhaite bénéficier pour ces trois sites d’un système de messagerie collaborative et unifiée complet et performant.

La solution devra s’intégrer parfaitement dans la nouvelle organisation informatique de l’entreprise ainsi que dans l’environnement de travail des utilisateurs. Ce système de messagerie doit pouvoir gérer, en plus bien entendu de la messagerie, les agendas des utilisateurs ainsi que leurs contacts, et doit également pouvoir leur permettre de gérer leurs tâches. Il faut également que les utilisateurs aient la possibilité d’effectuer des demandes de réunions entre eux.

Les utilisateurs doivent pouvoir utiliser des espaces de stockage de messages qui doivent être accessibles à certaines personnes autorisées et qui doit avoir une gestion de cycle de vie : il doit par exemple être possible d’automatiser la destruction d’anciens messages après un certain délai.

Le système de messagerie collaborative doit être capable d’aider les différents utilisateurs à organiser des réunions en leur proposant des dates et heures adaptés aux plannings des invités à la réunion ainsi que des ressources disponibles (salle de réunion, vidéoprojecteur, etc.) En fonction des disponibilités des personnes et des ressources, cela permet d’optimiser le la planification d’une réunion.

Le client de messagerie doit pouvoir s’installer et être maintenu relativement facilement, avec des procédures simples de création de profil ou de modification. Les utilisateurs devront également pouvoir recevoir télécopies et messages téléphoniques dans leur boite au lettre électronique.

Il est également nécessaire que les utilisateurs bénéficient d’un moyen d’accès à leur boite aux lettres depuis des postes nomades équipés du client de messagerie, ou d’un navigateur web. Il faut également que certains utilisateurs puissent accéder à leur boite aux lettres, contacts et agenda depuis leur assistant informatique de poche, et ce avec une distribution immédiate des courriels sécurisée.



4.1 MESSAGERIE – SOLUTIONS4.1.1 MICROSOFT EXCHANGE 2007

Exchange Server 2007 est la solution de messagerie proposée par Microsoft. Ce système intègre tous les nouvelles technologies actuelles : messagerie collaborative, gestion des ressources, accès multiples, auto-configuration, messagerie instantanée ainsi que la téléphonie et représente avec d’autres outils de Microsoft tout un écosystème pour l’entreprise.

Pour cette nouvelle mouture, Microsoft a travaillé autour de trois axes principaux: l’efficacité opérationnelle (qui permet une administration plus aisée du système de messagerie grâce par exemple à l’auto-configuration des comptes de messagerie), la sécurité et l’hygiène de la messagerie (protection des données par la mise en place de solutions anti-virus, anti-spyware tierces) et enfin les fonctions des utilisateurs (configuration simplifiée, espace collaboratif, besoin de mobilité, téléphonie intégrée).

Couplé à son client Outlook 2007 qui gère donc la réception de courriers, ainsi que la gestion des ressources (calendriers, salles de réunions, matériels, etc.) et contacts, Microsoft Exchange 2007 se révèle être un partenaire très complet et efficace.

4.1.2 ASPECTS UTILISATEURS

De nombreux changements ont été apporté côté utilisateur sur l’ensemble Microsoft Exchange 2007 / Office 2007.

Outlook Web Access

La nouvelle version d’Outlook Web Access a été simplifiée afin d’avoir un aspect très similaire à celui du client Outlook 2007, permettant à un utilisateur de ne pas être déstabilisé en passant de l’un à l’autre. Il permet également de gérer des notifications d’absence du bureau, et de gérer la suppression ou le blocage de périphériques mobiles perdus ou



voles. La recherché dans les contacts et l’annuaire d’entreprise a également été améliorée.

Concierge de calendrier

Le concierge de calendrier permet de gérer les réunions et rendez-vous pour toutes les boites aux lettres. La création de ceux-ci est simplifiée et se fait aussi bien via Outlook 2007 qu’Outlook Web Access. Le concierge de calendrier sait identifier la meilleure plage horaire en fonction des disponibilités des différents invités, ainsi que celle des ressources nécessaires.

Autres aspects

La fonction AutoDiscover permet à un utilisateur de configure son client de messagerie de lui-même en fournissant uniquement au client son adresse e-mail.

Il est également possible d’afficher des documents joints directement depuis un navigateur, voir d’y accède de façon transparent à travers un partage ou un site SharePoint.

Le client Outlook 2007 a été amélioré depuis sa version précédente et pensé pour s’intégrer parfaitement avec Microsoft Exchange 2007. Il dispose d’un moteur de recherche permettant de trouver des informations instantanément, la gestion du calendrier et des ressources disponibles, avec l’aide du concierge de calendrier de Microsoft Exchange 2007 précédemment mentionné.





4.1.3 ASPECTS ADMINISTRATEURS

Microsoft Exchange 2007 dispose d’un nouveau moteur d’installation, fonctionnant à partir de Windows Powershell et utilisant le moteur MSI 3 grâce auquel les mises à jour peuvent être gérées par Microsoft Update et donc WSUS par exemple, simplifiant donc le déploiement de mises à jour.

De plus, l’installateur vérifie au préalable la présence ou non des pré-requis avant de lancer l’installation, et valide également l’infrastructure présente (schéma Active Directory, niveau du domaine, etc.) afin d’éviter d’installer le produit sur une architecture non fonctionnelle ou un serveur non prêt.

L’installation se fait facilement, depuis une interface graphique compréhensible, et qui indique également les étapes à suivre après l’installation.

En plus de cette installation graphique, il est tout à fait possible d’effectuer une installation entièrement automatisée à l’aide de commandes précises, et également de déléguer l’installation du système à un autre utilisateur.

L’administration a également considérablement évolué. Elle repose maintenant sur l’Exchange Management Console (EMC), qui utilise la MMC 3 de Microsoft.



Toutes les actions possibles peuvent être effectuées en plus de l’interface depuis une invite de commande Microsoft Powershell, accessible directement depuis la console EMC: il s’agit de l’Exchange Mangement Shell, base sur Powershell et le Framework .Net. Grace à cela, il est possible d’automatiser tous les aspects de l’administration de Microsoft Exchange 2007. Cependant, il ne faut pas négliger que certaines tâches administrative ne sont accessible que par cette invite de commande.

Ce que l’on voulait faire à l’époque sur Microsoft Exchange 2003 nécessitait des connaissances de VB Script et était fastidieux alors que sous Microsoft Exchange 2007 il n’est pas nécessaire de s’y connaître en script, et c’est beaucoup plus court et compréhensible.

4.1.4 RÔLES DU SERVEUR EXCHANGE 2007

Depuis l’avènement d’Exchange 2007, les différents rôles des serveurs de messagerie Exchange ont été repensé afin d’accroître la sécurité du réseau ainsi que de la messagerie. Dorénavant, ce ne sont plus trois rôles mais cinq qui peuvent êtres répartis sur plusieurs machines.

Le rôle serveur de boites aux lettres (Mailbox Server) : ce serveur contient les boites aux lettres des utilisateurs ainsi que les dossiers publics. Il gère les accès des clients MAPI et s’intègre encore mieux avec Active Directory en proposant des fonctionnalités plus riches.

Le rôle serveur d’accès client (Client Access Server) : cette machine gère les accès distants ou mobiles en permettant aux utilisateurs ayant un PDA de consulter leur messagerie. En effet, c’est elle qui prend en charge Outlook Web Access, ActiveSync et les protocoles standards IMAP4 et POP3. Elle prend également en charge différents services tels qu’Autodiscover et Web.

Le rôle serveur de messagerie unifiée (Unified Messaging) : ceci est la grande nouveauté d’Exchange, car ce serveur permet de rassembler la messagerie électronique et vocale ainsi que la télécopie en une seule boite aux lettres, consultable par un client de messagerie mais également par téléphone. Il est raccordé au PABX de l’entreprise.

Le rôle serveur de transport de périmètre (Edge) : ce serveur fait office de passerelle SMTP et se situe dans une DMZ, il permet de réduire la surface d’attaque et combine une protection virale et anti-pourriel. Il route les



messages de l’extérieur vers le serveur de transport Hub. Afin d’identifier les destinataires une réplique locale d’Active Directory applicative (ADAM) est stockée sur la machine. Cette réplique est unidirectionnelle : en effet, le serveur de transport Edge n’a pas la possibilité de mettre à jour les informations contenues sur les contrôleurs de domaine Active directory. Ceux sont les contrôleurs de domaine qui mettent à jour la réplique locale de manière régulière. De plus, les messages sont analysés et le serveur réalise des actions de quarantaine, de suppression, etc. en fonction des paramètres renseignés.

Le rôle serveur de transport Hub (Hub Transport) : ce serveur route les messages qui lui sont envoyés du serveur de transport Edge et il envoie au serveur de transport Edge les messages destinés aux messageries externes. Il applique des règles de filtrage pour que mes émissions/réceptions soient conformes. Il joue aussi un rôle sécurisant sur l’hygiène des messages car on peut aussi y introduire un antivirus pour vérifier l’intégrité des messages.

4.1.5 ACCÈS ET MOBILITÉ



L’accessibilité n’a pas été oubliée dans cette version d’Exchange. Les utilisateurs peuvent désormais se connecter aussi bien à l’intérieur du réseau local qu’a l’extérieur grâce au protocole RPC sur HTTP d’Outlook Anywhere.

Effectivement l’interface OWA (Outlook Web Access) qui a été totalement refaite dans cette version 2007 permet de se connecter, de partout dans le monde, à sa boîte aux lettres, de changer son calendrier ou de mettre à disposition des fichiers qui se trouvent sur le réseau sans avoir à déployer une connexion sécurisée VPN.

La grande nouveauté est de pouvoir consulter sa boîte ou même changer des rendez-vous de son calendrier en passant par son téléphone portable ou poste fixe.

Grâce à ActiveSync, apparu avec Exchange 2003, les assistants informatiques de poche ne sont pas en reste puisqu’ils peuvent synchroniser leur mails, calendrier, tâches, contacts … grâce aux connexions GPRS ou 3G (connexion Internet à haut débit depuis le réseau GSM). Si les Smartphones utilisent Windows Mobile 6, ils pourront intégrer les fonctions de découverte automatique (autodiscover) et l’accès direct aux partages des fichiers de l’entreprise à travers ces connexions.

4.1.6 SÉCURITÉ ET CYCLE DE VIE DES MESSAGES



Avec Exchange Server 2007, Microsoft a voulu frapper fort en termes de sécurité. Celle-ci a été implémentée à trois niveaux différents que nous allons développer : la sécurité structurelle, la sécurité logicielle et la sauvegarde des données.

4.1.6.1 Sécurité structurelle

L’architecture de base a été complètement revue et les serveurs Exchange n’ont plus seulement deux mais cinq rôles, comme vu précédemment, ce qui offre une grande souplesse d’installation.

Cela permet, tout d’abord, de mettre en place un serveur de périmètre Edge qui aura pour fonction de s’occuper de l’hygiène de la messagerie (contre les virus et pourriels) mais aussi permettra de limiter les risques d’attaques sur la messagerie de l’entreprise.

Ces rôles permettent également la prise en compte des nouvelles lois françaises, qui sont une problématique nouvelle car elles imposent des règles strictes de lecture et conservations des e-mails, ainsi que de journalisation. Cette problématique est résolue en faisant passer systématiquement les messages par un serveur Hub.

4.16.2 Sécurité logicielle

L’implémentation de certificats numériques signés à clés publiques est utilisée pour vérifier que son titulaire et bien celui qu’il prétend être et protéger les données contre le vol ou la falsification. Deux choix sont proposés par Exchange 2007 : le certificat auto-signé, qui est le plus simple et gratuit mais aussi le certificat signé par une autorité de certification de l’entreprise ou un tiers de confiance qui est la solution la plus sécurisée mais requiert donc une architecture de certificats ou l’achat de certificats auprès d’une entité tierce.

4.1.6.3 Sauvegarde des données

Avec Microsoft Exchange 2007, le stockage des données utilisateurs s’effectue au sein d’une base commune pour plusieurs utilisateurs. Dans cette mouture la notion de redondance est très importante. Jusqu'à présent assurée par la mise en place des serveurs en clusters, Microsoft propose désormais deux solutions LCR (Local Continuous Replication) et CCR (Cluster Continuous Replication) qui permettent une reprise rapide, parfois automatique, en cas d’incident des bases de données. Cela permet de résoudre le problème de la fragilité ou point de défaillance (Single Point of Failure) de l’ancien système des clusters où les différentes bases étaient partagées entre les différentes machines misent en clusters.



4.1.6.4 Cycle de vie des messages

La gestion des enregistrements de messagerie (MRM) dans Exchange 2007 permet de conserver les messages en conformité avec les lois en cours en France, et d’automatiser la suppression de contenu obsolète.

En effet, avec Exchange 2007 apparait la notion de dossiers gérés, permettant à l’administrateur d’appliquer des stratégies sur ces dossiers en fonction de différents critères. Les utilisateurs classifient leurs messages dans leur client, et en fonction des stratégies appliquées ceux-ci seront supprimés ou conservés en fonction de critères de temps par exemple. Il est également possible d’appliquer des quotas aux dossiers de stockage.

Microsoft Exchange 2007 permet donc la gestion complète du cycle de vie directement sans devoir comme par le passé avoir recourt à une solution logicielle d’un éditeur tiers.

4.2 IBM LOTUS

IBM propose depuis maintenant plusieurs années une messagerie collaborative nommée Lotus. Cette messagerie est multiplateforme au niveau matériel (pSeries, xSeries et zSeries concernant les serveurs IBM) ainsi qu’au niveau des systèmes d’exploitation, en effet, le serveur Lotus Domino peut être installé sur AIX, Windows, Linux et encore d’autres systèmes d’exploitation. Son client de messagerie, Notes, peut être installé sur Windows comme Linux ou OSX.

Lotus Notes intègre un client de messagerie, un agenda/calendrier et un navigateur. Il est possible d’y ajouter une messagerie instantanée nommée Sametime, ainsi que de développer des applications collaboratives (qui peuvent faire office d’ERP) grâce aux langages LotusScript et JavaScript. Ces applications spécifiques peuvent être développées à l’aide de Domino Designer, compatible uniquement avec Windows.



Le serveur Lotus Domino peut faire office de serveur LDAP mais peut également s’appuyer sur un annuaire Active Directory afin de gérer les comptes de boite aux lettres. Les échanges entre le client Notes et le serveur Domino peuvent être cryptés jusqu’à 1024 bits ce qui confère un niveau de sécurité élevé. Le serveur Domino peut également intégrer Quickplace, qui est un logiciel permettant de gérer des espaces de travail de manière collaborative. Concernant la consultation de la messagerie via le web, la solution Domino Web Access permet de mettre cela en place avec des protocoles standards (IMAP et POP3)

4.3 COMPARAISON DE CES DEUX SOLUTIONS

Lotus Notes/Domino possèdent de nombreuses qualités pour les applications collaboratives : en effet, il est possible de développer des applications très diverses et c’est cela qui fait sa véritable puissance.

Cependant, il possède des inconvénients conséquents. Tout d’abord, il faut des développeurs compétents pour créer les applications collaboratives et cela représente un coût non négligeable en temps comme en argent, augmentant rapidement le TCO. Ensuite, Lotus Notes est un client certes très puissant mais aussi très austère et beaucoup d’utilisateurs sont rebutés par l’interface lourde et complexe qu’il propose. La formation sous Lotus prend davantage de temps que celle pour Outlook qui est généralement plus connu car il est livré dans sa version Express sous Windows XP.

D’autre part, Lotus Notes est très gourmand en ressources et la plupart des utilisateurs lui reprochent sa lourdeur en comparaison à Outlook. Par ailleurs, en se basant sur le cahier des charges, un constat s’impose : Lotus ne répond pas aux besoins en matière de messagerie unifiée et cela signifie qu’il faudrait donc y adjoindre d’autres solutions tierces, ce qui rendrait l’ensemble moins homogène et donc moins facile à administrer et augmenterait les couts. Pour toutes ces raisons, nous vous recommandons donc une solution basée sur Microsoft Exchange 2007 qui répondra à vos besoins.



5. INFRASTRUCTURE EXCHANGE

Plusieurs possibilités sont possibles pour la mise en œuvre de l’architecture Microsoft Exchange 2007 : allant du simple serveur –avec son serveur de périmètre Edge- à des serveurs dans chaque site.

Pour simplifier l’administration des serveurs et réduire les coûts de déploiement, nous avons préféré ne pas les répartir sur les différents sites de l’entreprise. En effet, il sera plus aisé pour d’administrer les serveurs localement à Jouy-en-Josas, ne serait-ce qu’en cas de défaillance matérielle. Cependant, certes architecture dépend totalement du bon fonctionnement des interconnexions entre les sites : en effet, si la liaison vers Jouy-en-Josas venait à ne plus fonctionner, les utilisateurs des sites de Menton ou de Saint Emilion se retrouveraient privés de messagerie, ce qui ne doit pas pouvoir arriver. Les liens de secours assureront donc la continuité de service en cas de coupure, avec les serveurs ISA qui se chargeront automatiquement de monter les liaisons de secours si les liaisons principales venaient à défaillir.

5.1 MATÉRIEL

Concernant les ressources requises, voici dans ce tableau les recommandations de Microsoft en termes de CPU et de RAM pour les différents rôles :

Rôle CPU recommandée RAM recommandéeBoite aux lettres (MBX) 4 Cores 2 Go + 3,5* Mo par

utilisateurServeur d’accès client (CAS) 4 Cores 1 Go/CoreMessagerie unifiée (UM) 4 Cores 1 Go/CoreTransport Hub 4 Cores 1 Go/CoreTransport Edge 2 Cores 1 Go/CoreServeur (MBX, CAS, UM, HUB) 4 Cores 4 Go + 3,5 Mo par

utilisateur

Les 3,5 Mo de RAM pour chaque utilisateur correspondent à une utilisation modérée de la messagerie soit environ 20 envois / 80 réceptions par jour. Les processeurs doivent être compatibles avec les technologies EMT64 ou AMD64 car Exchange n’existe qu’en version 64 bits (version commerciale).



L’architecture d’Exchange proposée nécessite 3 serveurs Exchange 2007 :

Un serveur ayant les rôles Mailbox, Client Access Server, transport Hub et Unified Messaging. Ce serveur abritera donc les boites aux lettres des utilisateurs, il permettra également la communication avec les périphériques mobiles et la consultation des messageries depuis un navigateur. Étant donné les nombreux rôles qui lui sont attribués, la machine devra posséder la configuration suivante : CPU quadri-cœur, 4 Go de RAM de base et 3,5Mo par utilisateur. En prévoyant 20% d’effectifs en plus, la masse totale des salariées représenterait environ 550 personnes. Par conséquent, il faut 2 Go (3,5*550=1925) de RAM supplémentaire. Concernant la taille des boites aux lettres, nous prévoyons de définir un quota de 100 Mo, qui pourra être augmentée selon les besoins et les collaborateurs. Pour permettre un espace de stockage optimal tout en préservant la sécurité de vos données, nous vous préconisons la mise en place de 4 disques durs de 146 Go en RAID 5.

HP ProLiant DL380 G5 (418315-421) Description2 Processeurs Intel® Xeon® 5160 bicœur à 3 GHz EMT644 Go de RAM en standard + 2 Go supplémentaires4 disques durs AS SFF HP 146 Go 3G 10 000 tr/min2 interfaces réseau GigabitRack 2U

Lien pour description plus détaillée : http://h10010.www1.hp.com/wwpc/fr/fr/sm/WF06b/1045-1051-369685-369685-12083335-12568354-77545343.html

Désignation du produit

Prix unitaire Quantité Prix

HP ProLiant DL380 G5 (418315-421) 4 566 € 1 4 566 €

Disque Dur HP SAS 146 Go 10000 rpm 340 € 4 1 360 €

Kit mémoire HP 2 Go DIMM DDR2 PC2 5300

340 € 1 340 €


http://h10010.www1.hp.com/wwpc/fr/fr/sm/WF06b/1045-1051-369685-369685-12083335-12568354-77545343.html

http://h10010.www1.hp.com/wwpc/fr/fr/sm/WF06b/1045-1051-369685-369685-12083335-12568354-77545343.html


(2 x 1 Go)Sous total 6 266 €



Un serveur ayant uniquement le rôle Unified Messaging pour permettre une redondance du service car la téléphonie est capitale dans une entreprise. Les recommandations restent les mêmes que pour le serveur précédent et il faut un serveur ayant quatre cœurs et 4 Go de RAM. Concernant l’espace de stockage, nous vous recommandons 4 disques durs de 73 Go en RAID 5 pour conserver l’intégrité de vos données en cas d’une panne d’un disque tout en permettant des performances optimales (bien meilleures en qu’en RAID1).

HP ProLiant DL360 G5 (416566-421) Description2 Processeurs Intel® Xeon® 5160 bicœur à 3 GHz EMT642 Go de RAM en standard + 2 Go supplémentaires4 disques durs AS SFF HP 72,8 Go 3G 10 000 tr/min2 interfaces réseau GigabitRack 1U




HP ProLiant DL360 G5 (416566-421) 4 072 € 1 4 072 €

Disque Dur HP SAS 72,8 Go 10000 rpm 225 € 4 900 €

Kit mémoire HP 2 Go DIMM DDR2 PC2 5300 (2 x 1 Go)

340 € 1 340 €

Sous total 5 312 €



Un serveur abritant le rôle de transport Edge. La configuration requise est d’un CPU à deux cœurs ainsi que de 2 Go de RAM. L’espace de stockage requis n’étant pas important nous vous proposons de mettre 2 disques durs de 73 Go en RAID1.

HP ProLiant DL360 G5 (416565-421) Description1 Processeur Intel® Xeon® 5160 bicœur à 3 GHz EMT641 Go de RAM en standard + 2 Go supplémentaires2 disques durs AS SFF HP 72,8 Go 3G 10 000 tr/min2 interfaces réseau GigabitRack 1U




HP ProLiant DL360 G5 (416565-421) 2 510 € 1 2 510 €

Disque Dur HP SAS 72,8 Go 10000 rpm 225 € 2 450 €

Kit mémoire HP 2 Go DIMM DDR2 PC2 5300 (2 x 1 Go)

340 € 1 340 €




5.2 LICENCES POUR WINDOWS SERVER 2003

Les serveurs de messagerie seront installés sur des plateformes Microsoft Windows 2003 Server. Voici les versions qui devront être installés en fonction des rôles Exchange.

Le serveur abritant le Microsoft Exchange 2007 ayant le rôle de transport Edge aura une version Standard car il requière peu de processeur et de RAM.

Les deux autres serveurs Exchange 2007 auront la version Entreprise car ils ont besoin de plus de RAM. De plus, nous préférons laisser une certaine marge pour augmenter la capacité des processeurs et de la RAM pouvant être géré, en cas de besoin.

Les serveurs Exchange 2007 auront une version 64 bits du système d’exploitation car ce produit dans sa version 2007 fonctionne uniquement sur des systèmes 64 bits. (la version 32 bits étant uniquement réservé à des tests et ne devant pas être mise en production)

Tableau récapitulatif des versions de Windows en fonction des rôlesRôles Exchange CAS, UM, MBX, Hub Windows 2003 Enterprise 64 bitsRôle UM Windows 2003 Enterprise 64 bitsRôle Edge Windows 2003 Standard 64 bits

Désignation du produit Prix unitaire

Quantité Prix

Windows 2003 Enterprise 64 bits 3 000 € 2 6 000 €Windows 2003 Standard 64 bits 745 € 1 745 €

Sous total5 745

€



5.3 LICENCES POUR EXCHANGE 2007

Désignation du produit Prix unitaire Quantité PrixExchange 2007 + 5 CAL 1 209 € 1 1 209 €Exchange 2007 – 5 CAL équipements 422 € A définir A définirExchange 2007 – 5 CAL utilisateurs 428 € 91 38 948 €

Sous total 40 157€

Concernant les quantités des licences pour les utilisateurs, étant donné que vous possédez 451 collaborateurs cela 91 packs de licences vendues par 5 (451/5 = 90,2).

Nous avons opté pour l’achat de Microsoft Live Communication Server 2005 en version open licence car le prix des licences utilisateurs étant de 23 euros environ, votre entreprise ne s’y retrouverait pas. En effet, il est plus avantageux de ne pas devoir racheter des licences au fur et à mesure et cela est plus onéreux (451*23 = 10373 €)

5.4 MESSAGERIE DES POSTES UTILISATEURS

Désignation du produit Prix unitaire Quantité Prix

Microsoft Office 2007 Pro 243 € 451 109 593 €Sous total 109 593€

Nous avons choisi Office 2007 Professionnel pour les utilisateurs car il comprend toute une suite de logiciels indispensables : Word, Excel, PowerPoint, etc. et il intègre également Outlook 2007 qui utilisera pleinement les fonctionnalités de la messagerie Exchange 2007.

5.5 COÛT DE LA SOLUTION DE MESSAGERIE EXCHANGE

Equipements et produits PrixServeur Exchange 2007 (MBX, CAS, UM et Hub) 6 266 €Serveur Exchange 2007 (UM) 5 312 €Serveur Exchange 2007 (Edge) 3 330 €Licences Windows 2003 Server 6 745 €Licences Exchange 2007 40 157€Licences messagerie utilisateurs 109 593 €

Total 171 403€



La solution s’élève à 171 403€ avec un environnement Exchange 2007 hétérogène et à la pointe de la technologie, bénéficiant de ce qui se fait de mieux à ce jour en matière de messagerie en milieu professionnel.



6. SERVEUR DE FICHIERS

6.1 RAPPEL DES BESOINS

Le client Aristote a deux types de besoins en ce qui concerne le stockage de fichiers : d’une part un système de partage de fichiers distribué sur les trois sites, répliquant entre les sites les fichiers de d’entreprises standards (modèles, documents qualité, processus de ventes, etc.) afin de ne pas gâcher de ressources WAN lors de l’accès à ces fichiers.

6.2 SOLUTION PROPOSÉE6.2.1 SYSTÈME DE FICHIERS DISTRIBUÉS DFS (VERSION 2)

Le système de fichiers distribués DFS permet d’avoir un espace de noms virtuel indépendant de l’espace physique de stockage. Il permet également d’avoir une disponibilité optimale à travers ses fonctions avancées de réplication et localisation.

Cependant le système DFS datant d’avant Windows Server 2003 R2 n’était vraiment pas optimisé dans le cadre d’une utilisation multi-sites : en effet, la synchronisation est lente, l’administration de serveurs de fichiers distants n’est pas vraiment aisée et les interconnexions sont parfois saturées par DFS. Ces problèmes de réplication viennent du protocole employé pour la réplication : FRS, qui n’est pas suffisamment optimisé pour être employé dans le cadre d’une bande passante limité.

De ce constat est née la version 2 de DFS, présente dans Windows Server 2003 R2.

Cette version bénéficie d’une nouvelle console d’administration exploitant la MMC 3 de Microsoft et est capable de générer des rapports HTML pour connaître l’état des réplications, permette d’afficher un rapport de santé de la réplication et permettre la maintenance du service. Cette nouvelle console permet également de gérer finement les planifications de réplication et de définir des priorités.

La plus importante nouveauté de cette version de DFS est la mise en œuvre d’un nouveau protocole de réplication nommé DFS-R (DFS Replication), ainsi qu’un nouveau protocole de compression qui se nommé RDC (Remote Differential Compression).



Le protocole RDC ne va répliquer que ce qui a été modifié dans un fichier (le delta) au lieu de répliquer le fichier complet systématiquement. De ce fait, une petite modification sur un fichier volumineux permettant d’avoir une réplication très peu couteuse en bande passante, alors qu’avec les versions précédentes c’est tout le fichier volumineux qui aurait été à nouveau transféré.

6.2.2 ARCHITECTURE DFS

Le système DFS n’est pas très gourmand en ressources systèmes et s’intégrera donc parfaitement au sein des serveurs Active Directory de Jouy-en-Josas et Saint Emilion.

Cependant, le site de Menton n’en ayant pas, il faudra lui ajouter un serveur de fichiers.



7. FIREWALL

7.1 DESCRIPTION

Un firewall a pour rôle de protéger un point d’accès du réseau, généralement l’accès WAN. En effet, Internet représente des risques à cause de la circulation de vers, de virus, etc. De plus, une connexion au réseau Internet est également un point d’entrée pour d’éventuels pirates. C’est pourquoi il est nécessaire de protéger les différents points d’accès réseaux pouvant compromettre l’intégrité du système d’informations de l’entreprise.

Voici un rappel des besoins exprimés :

Navigation Internet sécuriséSolution avec filtrage de la couche 7 OSI (filtrage applicatif)Accès Extranet sécurisé pour les utilisateurs nomadesPublication d’un WebmailSystème proxyServeur VPN

7.2 SOLUTIONS FIREWALL

Voici différentes solutions afin de sécuriser les accès Internet.

7.2.1 CHECKPOINT UTM-1 1050

Caractéristiques de l’UTM-1 :

Détection d’intrusion (IDS), prévention d’intrusion (IPS) module SmartDefense

Antivirus intégré de Computer Associates Filtrage des flux (P2P, Messagerie instantanée, Web …) Par Feu applicatif Gestion de la QOS (Qualité de Service) en option Protection contre les spywares Prise en charge VPN (authentification RADIUS, mot de passe, LDAP,

certificat) Nombre d’utilisateurs illimités (500 maximum recommandés) Administration centralisée ne nécessitant pas d’outils complémentaires



Checkpoint UTM-1 1050 Description

Débit du pare feu : 1Gbit/s

Débit du VPN : 250 Mbit/s

VLAN : 256 Max

Capacité du Disque Dur : 80 Go

Ports RJ45 10/100/1000 : 4

Garantie 2 ans

Lien pour description plus détaillée :

http://www.noxs.fr/documentation/checkpoint/utm-1_check_point.pdf


Checkpoint UTM-1 1050 10 625 € 1 10 625 €


7.2.2 CISCO ASA 5540

Caractéristiques du Cisco ASA 5540 :

Gestion de la QOS (Qualité de Service) Server VPN Filtrage applicatif Haute disponibilité Filtrage dynamique ASA (Adaptive Security Algorithm) Suivi des échanges



Cisco ASA 5540 Description

Débit du pare feu : 650 Mbit/s

Débit du VPN : 325 Mbit/s

VLAN : 200 Max

Capacité du Disque Dur : 80 Go

Ports Gigabit Ethernet : 4

Ports Fast Ethernet : 1

Lien pour description plus détaillée :

http://www.cisco.com/web/FR/documents/pdfs/guides/Cisco_ASA5500-Fichetechnique.pdf


Cisco ASA 5540 9 662 € 1 9 662 €


7.2.3 ISA SERVER 2006

Authentification LDAP, RADIUS, Active Directory Routage, translation d’adresse Haute disponibilité Serveur Proxy Publication site web et Webmail Filtre applicatif : ISA gère la couche 7 du modèle OSI



Désignation du produit Prix unitaire

Quantité Prix

Microsoft ISA Server 2006 Standard 1 475 € 1 1 475 €

Windows 2003 Standard R2 32 bits 745 € 1 745 €


7.3 CHOIX DE LA SOLUTION : ISA SERVER 2006

La solution firewall retenue est ISA Server 2006. Ce choix est fonction de plusieurs critères. Le premier critère est le coût. En effet, ISA server se trouve être la solution la moins coûteuse tout en répondant parfaitement aux besoins du cahier des charges. De plus, ISA Server intègre la fonction de proxy, ce qui n’est pas le cas de la solution Checkpoint. Dernier avantage, ISA Server s’intègre parfaitement dans l’architecture Microsoft que nous proposons, surtout en termes de publication d’application comme la messagerie Exchange ou encore l’accès a l’extranet.

7.3.1 PROXY

Internet étant un réseau dangereux en raison des nombreuses menaces que l’on peut y trouver, il est important de mettre en place un serveur mandataire (proxy) pour renforcer la sécurité de votre réseau local. Un serveur mandataire exécute les requêtes des clients voulant accéder au Web, de ce fait le contenu peut être filtré, analysé et dans les cas où le contenu est prohibé ou contient du code malicieux, le serveur ne renvoie pas les informations au destinataire. De plus, le serveur mandataire permet de journaliser les accès, on peut donc faire des statistiques sur l’utilisation de l’accès Internet. Il permet également de rendre anonyme les utilisateurs mais aussi de mettre en cache les pages consultées afin de diminuer l’utilisation de la bane passante de la connexion Internet.

Un serveur mandataire est donc indispensable à votre entreprise pour les diverses raisons énumérées. Il doit bien entendu supporter l’identification unique (SSO) pour répondre à vos besoins.



7.3.2 BESOINS POUR DIMENSIONNEMENT DU PROXY

Pour rappel, voici un tableau reprenant les droits des utilisateurs en matière d’accès à Internet :

Accès http uniquement : directions générales, financières et commerciales. (Sauf PDG et DAF qui ont un accès total)

Accès total pour la direction des études Pas d’accès pour la direction de la production

Type d’accès Accès http Accès total

Jouy-en-Josas 119 130 + PDG + DAF

Saint-Emilion 2 10

Menton 1 5

Sous total 122 utilisateurs 147 utilisateurs



Au total, cela représente 269 utilisateurs du serveur mandataire.

7.3.3 REVERSE PROXY

Un reverse proxy permet également de protéger le réseau en faisant office de relais entre les utilisateurs et les serveurs web d’une entreprise. Ce mécanisme de transmission indirecte des requêtes évite les attaques frontales des serveurs, cela permet aussi de procéder à la mise en cache des pages consultées afin de soulager les serveurs web.

Tout comme le serveur mandataire, le reverse proxy doit permettre l’identification unique des utilisateurs (SSO).

7.3.4 CONFIGURATION ISA SERVER 2006

L’architecture de la solution est une architecture à « trois pattes ». Il y a une zone extérieure, une zone interne, et une DMZ (Zone démilitarisée). Le firewall joue le rôle de passerelle entre ces zones.

7.3.5 SERVEUR VPN

ISA Server 2006 jouera le rôle de serveur VPN afin de permettre aux utilisateurs nomades d’accéder aux ressources de l’entreprise. Il est donc nécessaire de mettre en place une authentification pour ces utilisateurs.

Pour une question de sécurité, ISA Server ne doit pas être intégré au domaine. Il faut donc mettre en place une solution pour qu’ISA puisse communiquer avec l’annuaire de l’entreprise. La solution retenue est



d’installer un server RADIUS. De cette manière, ISA sera capable de contacter le serveur RADIUS et point important, le trafic sera chiffré.



8. TRAVAIL COLLABORATIF

Il est demandé dans le cahier des charges un système permettant le partage d’informations et le travail d’équipe sur les documents. Ce système devra également être accessible au travers des liens WAN. Afin de répondre à ce besoin de travail collaboratif, la solution retenue est Windows SharePoint Services.

8.1 WINDOWS SHAREPOINT SERVICES

Windows SharePoint Services est un outil fournit avec Windows Server 2003 qui permet aux entreprises d’optimiser la productivité des équipes. En effet, cet outil permet à chaque employé de rester en contact avec l’entreprise en ayant un accès aux documents et aux informations dont il a besoin. Windows SharePoint Services se présente sous la forme d’un site Web accessible depuis n’importe quel navigateur.

8.1.1 OBJECTIFS

L’avantage principal de Windows SharePoint Services est la mise en place d’un site collaboratif dont les objectifs principaux sont :

Optimisation de la circulation de l’information pour les différents services de l’entreprise.Meilleure gestion des documents.Solution de collaboration pour le partage de l’information et des documents en assurant leur suivi.

8.1.2 INTÉGRATION AVEC MICROSOFT OFFICE

Windows SharePoint Services s’intègre parfaitement avec les outils Microsoft Office comme Word, Excel, Powerpoint, Project mais aussi Outlook. En effet, des espaces de travail sont mise en place qui permettent alors d’envoyer et modifier des documents stockés dans des sites SharePoint. Avec Outlook 2007, il est possible d’afficher des calendriers et des listes de contacts stockés dans des sites SharePoint.



SharePoint sera mis en relation avec le serveur de messagerie Exchange. Grâce à cette interaction, des alertes messageries seront envoyées aux utilisateurs. Un message électronique sera envoyé aux utilisateurs concernés par la modification ou l’ajout de document sur l’espace de travail collaboratif.

8.1.3 SÉCURITÉ

L’accès au site SharePoint est sécurisé par l’utilisation de certificats. L’utilisation de certificats est nécessaire pour plusieurs raisons :

Permet de garantir l’identité du serveur.Permet de garantir l’intégrité des données échangéesSécuriser les échanges entre l’utilisateur et le serveur Web



9. INFRASTRUCTURE WAN

9.1 INTRODUCTION

Il est nécessaire de faire une étude sur les solutions WAN existante afin de pouvoir interconnecter les différents sites de votre entreprise. Il existe beaucoup de services WAN différents tel que les Liaisons Louées, Frame Relay, xDSL, etc … Ces offres proposent des services spécifique et il est donc nécessaire de faire une analyse précise de vos besoins afin d’opter pour la meilleure solution. L’étude comparative se portera sur les offres d’Orange.

9.2 TRANSFIX

Transfix offre des liaisons louée numériques adaptable au besoin du client en termes de garantie et de débits. L’avantage de cette offre est la mise à disposition d’une liaison de type permanent. Cette caractéristique correspond à votre besoin d’avoir un service 24h/24 et 7j/7.

Voici les principaux atouts de cette offre :

Une solution clé en main Les équipements sont fournis, l’installation et la maintenance sont également assurées.

Un niveau de service élevé

Une couverture nationale Liaison permanente capable de véhiculer tous types de flux (données, voix et images) entre vos sites situés en France métropolitaine.

Des garanties de service - Une indisponibilité maximale de service de 13 heures ouvrables par an - Un service après-vente (du lundi au samedi, de 8h à 18h) capable de

mettre en œuvre rapidement vos demandes d'évolutions de débit - Un service de supervision proactive, du lundi au samedi, de 8h à 18h - Une Garantie de Temps de Rétablissement en 4 heures, du lundi au

samedi de 8h à 18h - Une Garantie de Temps de Rétablissement en 4 heures, 24h/24 et 7j/7

(en option)

Choix de débits en fonction du budget Le prix de l'abonnement mensuel est forfaitaire. Il est calculé en fonction du type de débit utilisé et de la distance à vol d'oiseau entre les sites à relier.



L’offre Transfix offre des avantages intéressant mais le coût d’une liaison de ce type est très élevé. En effet, les frais d’installation sont élevés. Voici un tableau des tarifs :

Débit de la liaison Frais de mise en service

64 – 128 Kbit/s 600 €

256 Kbit/s 1060 €

512 Kbit/s 1500 €

1024 – 1920 Kbit/s 2200€

L'abonnement mensuel couvre la mise à disposition d'une liaison louée numérique permanente, son exploitation et sa maintenance. Il est calculé en fonction du type de débit utilisé et de la distance à vol d'oiseau entre les sites à relier.

Débit de la liaisonAbonnement mensuel

1 à 10 km 11 à 50 km 51 à 300 km Plus de 300 km

64 Kbit/s 230 € 315 € 450 € 550 €

128 Kbit/s 275 € 375 € 540 € 660 €

256 Kbit/s 575 € 785 € 1125 € 1300 €

512 Kbit/s 590 € 920 € 1310 € 1980 €

1024 Kbit/s 620 € 975 € 1460 € 2600 €

1920 Kbit/s 665 € 1025 € 1530 € 2800 €

Voici les distances à vol d’oiseau qui sépare les différents sites :



Sites Distance

Jouy-en-Josas <-> Menton 689.53 km

Jouy-en-Josas <-> St Emilion 466.78 km

Pour assurer un débit suffisant pour les différents flux (notamment la VoIP), il faut opter pour une liaison 2 Mbit/s. En prenant en compte les frais d’installation plus le prix de l’abonnement mensuel, voici le coût de la solution :

Sites Distance Frais d’installation Abonnement

Jouy-en-Josas <-> Menton 689.53 km 4400 € 2800 €

Jouy-en-Josas <-> St Emilion 466.78 km 4400 € 2800 €

Total Mensuel 14400 €

La solution Transfix avec une Liaison Louée est une solution très fiable et performante. L’inconvénient reste son prix très élevé. De plus ces solutions de Liaisons Louées tendent à être remplacées par la technologie xDSL qui est beaucoup moins coûteuse.

9.3 EQUANT IP VPN

Cette offre est basée sur la technologie xDSL. Equant IP VPN utilise le réseau public, c’est pourquoi des VPN intersites sont mis en place. Ces VPN permettent de sécuriser les communications. Equant IP VPN permet d’échanger sur un réseau unique les flux voix et données entre les sites en France comme a l’étranger. Voici les principales caractéristiques de l’offre :

Une solution clé en main Prise en compte de la conception, l'exploitation et la maintenance de votre réseau.

Gestion optimale des flux Solution prête pour la VoIP.



Sécurité élevée Garantie d’un haut niveau de sécurité.Voici un le tableau récapitulatif des tarifs pour l’offre Equant IP

VPN pour un contrat de 3 ans :

Débits Frais de mise en service Abonnement mensuel

1 Mbit/s SDSL 95 % Offert 310 €

2 Mbit/s SDSL 95% Offert 510 €

2 Mbit/s SDSL 95% HSRP Offert 700 €



2 Mbit/s SDSL 100% HSRP Offert 1050 €

(HSRP : Hot Standby Routing Protocol. Assure la redondance des routeurs)

Voici le coût de cette offre pour votre entreprise :

Sites Débits Abonnement

Jouy-en-Josas 2 Mbit/s 100 % HSRP 1050 €

St Emilion 2 Mbit/s 100 % HSRP 1050 €

Menton 2 Mbit/s 100 % HSRP 1050 €

Total Mensuel 3150 €

Cette offre est beaucoup plus avantageuse au niveau du coût. Malgré cela, nous optons pour la solution Oleane VPN.



9.4 OLEANE VPN9.4.1 FONCTIONNALITÉS

Oléane VPN est une solution Intranet/Internet/VoIP complète et évolutive permettant de fédérer les flux de l’entreprise sur un réseau privé sécurisé et performant. Voici les principales caractéristiques de cette offre :

Solution complète et évolutive Messagerie, Internet/Intranet, mobilité, VoIP. Choix du niveau de service qui correspondant aux besoins.

Sécurité Architecture de réseau privé, physiquement séparé de l’Internet.

Garantie de service Engagement de disponibilité du service supérieur à 99.8% et rétablissement en moins de 4 heures.

Voici un tableau récapitulatif des tarifs pour l’offre Oleane VPN pour une durée de trois ans :

Débits Frais de mise en service Abonnement mensuel

2 Mbit/s SDSL 700 € 510 €

4 Mbit/s SDSL 900 € 980 €

8 Mbit/s SDSL 1100 1500



9.5 ACCÈS NOMADE : BUSINESS EVERYWHERE

Les utilisateurs nomades devront avoir un accès Internet lors de leurs déplacements que ce soit avec un pc portable ou avec un PDA. Ils devront également accéder à la messagerie de l’entreprise. L’option choisie est l’offre Business Everywhere.

Business Everywhere offre un accès grâce à l’utilisation des réseaux EDGE, 3G, 3G+ et Wi-Fi :

- 98% de la population en EDGE, - 66% en 3G et 3G+, - 30 000 hotspots Orange wifi access

Voici le tableau des tarifs :

Type de forfaits Prix d’achat unité Abonnement mensuel

5 Heures 69 € 30 €

10 Heures 69 € 50 €

20 Heures 69 € 70 €

Illimité 69 € 70 €

Nous avons opté pour le forfait de type illimité pour que les utilisateurs nomades puissent toujours accéder aux ressources de l’entreprise.

9.6 TÉLÉPHONIE IP / VOIP

Il est indispensable pour une entreprise d’intégrer la téléphonie IP. Avec la technologie SDSL, il est possible de transporter de nombreux flux (données, vidéos, voix …) c’est pourquoi il est important de prioriser les flux. En effet sans cette fonctionnalité, les conversations téléphoniques risquent d’être fortement dégradées. Il faut donc mettre en place de la qualité de service.



La qualité de service (QoS) est indispensable pour le bon fonctionnement de la téléphonie. Les flux voix seront donc prioritaires par rapport aux autres flux.

Afin de mettre en place la VoIP dans votre entreprise, nous avons choisi de souscrire à la solution externalisée Business Talk IP Centrex.

Cette solution offre tous les services d’un autocommutateur sans nécessiter d’équipements sur site.

Voici un tableau des tarifs de l’offre en fonction du nombre de téléphones nécessaire :

Type Abonnement mensuel Commentaires

Voix IP Centrex 2 canaux 12 € 4 téléphones












Afin de pouvoir couvrir les besoins de l’entreprise nous optons pour une solution Voix IP Centrex 30 canaux et une Voix IP Centrex 20 canaux.

9.7 ACCÈS INTERNET

Pour offrir l’accès Internet à l’entreprise, nous avons choisi de rester sur une offre d’Orange. L’offre retenue est Business Internet. Il s’agit d’une offre basée sur la technologie SDSL offrant donc des débits symétriques.

Cette offre se décline en 2 versions :

- Business Internet Classic- Business Internet Cisco.

La version retenue est Business Internet Cisco offrant des routeurs Cisco, ce niveau de services vous permet notamment de mettre en œuvre la priorisation de flux.

Voici un tableau récapitulant les tarifs en fonction des débits.

Type de forfait Frais de mise en service Abonnement mensuel

1 Mbit/s SDSL 0 € 480 €

2 Mbit/s SDSL 0 € 595 €

4 Mbit/s SDSL 0 € 1110 €

Nous avons retenu le forfait 4 Mbit/s afin d’assurer une navigation convenable pour les utilisateurs.



9.8 COÛT DE LA SOLUTION WAN9.8.1 OLÉANE VPN

Débits Frais de mise en service Abonnement mensuel Total

Jouy-en-Josas <-> St Emilion

4 Mbit/s SDSL900 € 980 € 1880 €

Jouy-en-Josas <-> Menton

4 Mbit/s SDSL900 € 980 € 1880 €

Total 3760

9.8.2 BUSINESS TALK IP CENTREX

Type Abonnement mensuel Total

Voix IP Centrex 20 canaux 105 € 105 €

Voix IP Centrex 30 canaux 160 € 160 €

Mise en service par site 300 900

9.8.3 ACCÈS INTERNET

Type de forfait Frais de mise en service Abonnement mensuel

4 Mbit/s SDSL Offert 1110

9.8.4 BUSINESS EVERYWHERE

Type de forfaits Prix d’achat unité Abonnement mensuel

Illimité 69 € 70 €

(Prix pour un utilisateur)



10. GESTION DES MISES À JOUR SÉCURITÉ

10.1 SYSTEM CENTER CONFIGURATION MANAGER 2007 (SCCM 2007)

SCCM, successeur de SMS (Systems Management Server) 2003 SP3, est un logiciel Microsoft, qui a été développé autour de quatre axes :

Gestion de parcs, grâce au regroupement de données par les inventaires matériel et logiciel Le déploiement et l’installation d’applications en tout genre Une gestion et une prise en charge avancée des ressources mobiles Gestion et suivi des correctifs de sécurité

Cela va donc bien plus loin que la simple gestion des mises à jour de sécurité, c’est en fait un outil d’administration du parc informatique. Pour un grand parc informatique, la part de la maintenance peut représenter jusqu'à 70% du coût d’un système. Les économies réalisées représentent donc un gain non négligeable. Des entreprises telles que DELL l’utilise pour gérer ses 13 000 serveurs et 100 000 ordinateurs autour du globe. Son prix est d’environ 10 000€ avec des licences clientes pour 500 postes.



10.2 WINDOWS SERVER UPDATE SERVICES (WSUS) 3.0

WSUS, provenant également de l’éditeur Microsoft, ne gère que les mises à jour de sécurité des produits Microsoft et depuis peu d’autres logiciels d’autres compagnies. Cette seconde génération de logiciel de déploiement de mises à jour qui remplace Software Update Services (SUS) a été étoffée en permettant aux machines de posséder les dernières mises à jour des systèmes d’exploitation (Windows 2000, XP et 2003) tout en limitant l’utilisation de la bande passante vers internet. En effet, c’est ici qu’est le point fort de cette solution : ce n’est plus tous les ordinateurs qui vont devoir accéder à internet pour télécharger les mises à jours, mais simplement un serveur qui les redistribuera ensuite aux machines clientes.

Toutes ces opérations peuvent être effectuées grâce à une console d’administration accessible via une console MMC qui remplace l’ancienne interface http ou https (avec cryptage ssl) pour plus de sécurité. On pourra donc créer des groupes qui pourront définir plusieurs profils d’ordinateurs, en fonction de la nécessité d’installer certaines mises à jour en priorité ou pas. Plusieurs options sont donc paramétrables comme « approuver la détection » ou « approuver l’installation ».

Cela permet notamment à l’administrateur de choisir quelles mises à jour installer sur quel poste et de laisser l’utilisateur installer cette mise à jour, une fois qu’il a terminé son travail. Cela permet aussi de prendre en compte la problématique de redémarrage des serveurs en créant plusieurs groupes en fonction qu’ils puissent être redémarrés automatiquement ou pas



10.3 SOLUTION CHOISIE

Pour une structure de la taille de notre client Aristote, notre choix se portera sur la solution WSUS 3.0. Celle-ci à l’avantage d’être gratuite et tout à fait suffisante car elle remplie parfaitement toutes les conditions évoquées dans le cahier des charges qui nous a été remis.

10.4 MISE EN OEUVRE

Plusieurs solutions existent pour la mise en place de cette solution, mais de part l’architecture du réseau que nous proposons, avec une seule et unique connexion à internet, nous allons utiliser 2 serveurs synchronisés. L’un se situera à Jouy-en-Josas et sera le serveur amont et l’autre à Saint-Emilion et sera le serveur aval (un autre serveur WSUS pourra être virtualisé à Menton dans le futur selon les besoins car il n’y que 5 postes sous Windows XP pour le moment). Le serveur amont téléchargera les mises à jour et les distribuera à un (des) serveur(s) aval(s). La méthode utilisera donc un mode autonome qui permettra au serveur aval de gérer sa propre base de groupe d’utilisateurs. Nous ajouterons aussi des enregistrements DNS pour permettre aux utilisateurs nomades de télécharger leurs mises à jour à partir du serveur WSUS le plus « proche » d’eux.



Selon les besoins de notre client, pour garantir un maximum de sécurité, nous pourrons envisager de faire de l’équilibrage de charge (deux serveurs WSUS sur chaque site) se qui permet de répartir la charge mais aussi et surtout introduit la tolérance aux pannes (l’un des serveurs prend le relais si l’autre vient à dysfonctionner). On utilisera dans ce cas un serveur SQL à part.



11. GESTION DES CERTIFICATS

11.1 PRINCIPE

Pour commencer, il est important de rappeler la différence entre clé publique et clé privé. Une clé publique est une clé qui peut-être envoyé sur le réseau pour chiffrer des informations. Une clé privé est une clé qui sera conservée par son seul utilisateur et lui permettra de déchiffrer des informations.

Une infrastructure à clés publiques ou Public Key Infrastructure (PKI) utilise les certificats numériques (voir exemple ci-dessous) qui reposent sur 3 grands principes :

Le cryptage des données : Cela permet de s’assurer que seul le destinataire pourra déchiffrer le message

La signature numérique : Cela permet la non-répudiation des données, ce qui veut dire qu’on est sûr que l’émetteur du message est bien celui qu’il prétend être.

Contrôle de l’intégrité des données : Cela permet de s’assurer que le message n’a pas été altéré pendant son transport

Celle-ci se compose de quatre éléments essentiels

Une Autorité d'Enregistrement (Registration Authorities) : c'est cette autorité qui aura pour mission de traiter les demandes de certificat émanant des utilisateurs et de générer les couples de clés nécessaires (clé publique et clé privée). Son rôle peut s'apparenter à la préfecture lors d'une demande de carte d'identité. Une Autorité de Certification (Certification Authorities) : elle reçoit de l'Autorité d'Enregistrement les demandes de certificats accompagnées de la clé publique à certifier. Elle va signer à l'aide de sa clé privée les certificats, un peu à la manière de la signature de l'autorité sur une carte d'identité. Il s'agit du composant le plus critique de cette infrastructure en raison du degré de sécurité requis par sa clé privée. Une Autorité de Dépôt (PKI Repositories) : il s'agit de l'élément chargé de diffuser les certificats numériques signés par la CA sur le réseau (privé, Internet, etc). Les utilisateurs de la PKI : ce sont les personnes effectuant des demandes de certificat mais aussi ceux qui souhaitent vérifier l'identité d'un certificat qu'ils ont reçu.





L’autorité de certification (CA) peut être réalisée en interne ou confiée à une société externe tel que Verisign par exemple.

La CA gère donc la distribution et le renouvellement des certificats machines et utilisateurs. C’est elle aussi qui gère les listes de révocation où se trouvent tous les certificats qui ont été révoqués par leur propriétaire ou par une personne habilitée.

La CA peut-être soit une autorité racine soit une autorité secondaire. Une architecture à plusieurs niveaux permet à l’autorité racine d’approuver des autorités secondaires et de se déconnecter du réseau pour empêcher qu’un individu puisse voler sa clé privé qui est essentiel pour « signer » les certificats.

11.2 SOLUTION PRÉCONISÉE

Pour notre client Aristote, nous préconisons l’emploi d’une autorité de certification (CA) externe. Cela aura pour but de procurer un recours juridique et financier (à hauteur de 250 000€) en cas de problème. Cependant, vu le prix élevé de ces organismes spécialisés (environ 2500€ pour un certificat SSL), nous pensons implémenter cette solution directement sur un serveur Windows 2003 et laisser l’équipe d’administration réseau gérer les certificats.



11.3 MISE EN PLACE

Nous allons utiliser le service de certificat de Windows 2003

Server pour faire de l’un de nos serveurs l’autorité racine de l’entreprise, ce qui nous permettra de diffuser des certificats aux utilisateurs, aux ordinateurs et aux autres services qui l’utilisent (ISA, OWA, EXCHANGE, OCS …). Nous utiliserons des GPOs pour les distribuer automatiquement.



12. MESSAGERIE INSTANTANÉE

12.1 OFFICE COMMUNICATIONS SERVER 2007 ET SON CLIENT COMMUNICATOR 2007

Office Communications Server et Communicator 2007 sont les logiciels de messagerie instantanée dans la gamme de Microsoft. Ils ont été développés pour permettre aux différents employés et collaborateur de l’entreprise de pouvoir communiquer en temps réel, grâce au texte, au son et à la vidéo, sans avoir à attendre une réponse par e-mail. La détection de statut, leur permet de savoir qui est en ligne et de pouvoir les joindre dès qu’ils sont connectés, que se soit à partir du logiciel Communicator ou même dans n’importe quel application utilisé par l’entreprise.

Le partage de documents ou d’applications intégré est aussi très appréciable et permet un gain de productivité pour tous les acteurs de l’entreprise.

Fonctionnalités principales :

Communication en temps réel Indicateur de présence Partage de fichiers et

d’applications Accessible en interne et en

externe Vidéoconférences Utilisable sur PDA

12.2 OPEN FIRE ET SON CLIENT SPARK

Logiciel libre de messagerie instantanée, Open Fire utilise le protocole Jabber. Associé à son client Spark, il permet d’être associé à un annuaire LDAP comme Active Directory par exemple. L’installation est aisée grâce à la machine virtuelle Java et il est vraiment simple d’utilisation. Il offre presque toutes les fonctions de Communicator mais il



lui en manque certaines, comme l’indication de présence dans d’autres applications.

Fonctions principales :

Communication temps réel Partage de fichiers et

d’applications Conférences

12.3 SOLUTION RETENUE

La solution retenue est sans conteste Microsoft Office Communications Server 2007 et son client Communicator 2007. Celle-ci est en parfait accord avec les besoins de notre client exprimés dans le cahier des charges et s’intègre parfaitement à la gamme Office et Exchange 2007. Grâce à son appartenance à la gamme OFFICE, nous pourrons aussi le coupler à SharePoint Server et Office Groove Server pour le partage d’applications (tableaux blancs, tableurs, présentations …).

12.4 MISE EN OEUVRE

Nous utiliserons donc des versions standard et entreprise d’OCS, ce qui nous permettra d’avoir toutes les fonctionnalités offertes par ce produit (messagerie instantanée d'entreprise, présence enrichie, voix et



vidéo d'égal à égal, transfert de fichiers, conférence web à plusieurs, partage d'application, solution VoIP par logiciel, gestion des appels).



Ceci permettra également de mettre en place des serveurs Edge de conférence et de téléconférence web sur des serveurs web en dehors des serveurs frontaux pour permettre aux utilisateurs se trouvant en dehors de l’entreprise d’accéder aux conférences internes. Comme nous pouvons le voir sur le schéma ci-dessous, les différents serveurs sont bien séparés avec dans les zones vertes, ceux qui appartiennent au réseau LAN et en jaune, les serveurs EDGE qui font parties du réseau de périphérie aussi appelé zone démilitarisée (DMZ). Les serveurs d’authentification et de certification font partie de l’organisation Active Directory que nous mettrons en place. Un serveur SQL server est également nécessaire pour la version entreprise d’OCS. Nous pourrons aussi utiliser celui-ci pour d’autres services tel que WSUS.



13. MESSAGERIE UNIFIÉE

13.1 PRINCIPE

Tous les professionnels disposent aujourd’hui de plusieurs

« médias » (téléphone fixe, terminal mobile, fax, messagerie électronique, vidéoconférence etc.) pour pouvoir communiquer entre eux. La communication unifiée consiste à regrouper ces différents moyens en une seule et même interface. Cela permet une gestion encore plus précise du temps en vous permettant de voir si vos collègues sont disponibles et surtout par quel biais ils sont joignables. En effet, un seul identifiant suffit pour être contacté par tous les moyens de communication que nous avons décrit précédemment. Il est ainsi possible de poursuivre un échange tout en se déplaçant. La grosse nouveauté étant de pouvoir écouter ces mails à partir d’un simple téléphone. Le serveur Exchange pourra se comporter dans certains cas comme un standard téléphonique en répondant aux différentes communications.

13.2 EXCHANGE 2007 SP1 & OFFICE COMMUNICATIONS SERVER 2007

Grâce à la mise à jour SP1 d’Exchange 2007, le rôle UM (UnifiedMessaging) se combine parfaitement au serveur Office Communications Server 2007 en proposant la gestion des fax et messages vocaux.

13.3 INTERFAÇAGE ENTRE EXCHANGE 2007 SP1, OFFICE COMMUNICATIONS SERVER 2007 ET LE PABX

Comme vu précédemment, Exchange et OCS se complètent très bien.

Ce dernier permet aussi de s’interconnecter avec un PABX pour gérer les communications vocales. Comme l’infrastructure de notre client Aristote possède un PABX, nous allons voir comment assembler ces différents éléments grâce au schéma ci-dessous. Celui-ci montre les relations entre les différents composants de Microsoft : Un client nomade se connecte de Paris en passant par internet et souhaite joindre un collègue qui se trouve à Jouy par exemple. La connexion passe par le firewall ISA server avant d’être transmis au Server Edge qui lui-même le transmet au Serveur Office Communications. Ce dernier à l’aide de l’Active Directory et du serveur Exchange, décide de l’opération à mener.





14. GESTION DU SERVEUR D’IMPRESSION

14.1 PRINCIPE

Notre client Aristote souhaite aussi implémenter la gestion des imprimantes et des serveurs d’impression. Nous allons donc utiliser les ressources proposées par Windows 2003 Server R2 SP1 : la console Print Management. Celle-ci offre une gestion efficace des imprimantes en déployant automatiquement les drivers installés sur le serveur vers les postes clients ou l’installation automatique des imprimantes dès que celles-ci sont connectées au réseau. Grâce aux GPOs, on peu ainsi déployer des stratégies pour installer automatiquement les imprimantes sur le poste client. Enfin, cette console permet d’effectuer une gestion des problèmes d’impression en envoyant des notifications par e-mails en cas de soucis.

14.2 CHOIX DES IMPRIMANTES

Le cahier des charges précise qu’il faut une imprimante débit rapide format A3/A4 par étage et une imprimante couleur format A3/A4, recto verso avec agrafage des pages par bâtiment.

Imprimante par étage :



Brother HL-3260N

Technologie

Laser

Type d'impression Monochrome

Technologie de connectivitéEthernetParallèleEthernet 10/100Base-TX

Vitesse d'impression 32 ppm

Format maximal du support A3 (297 x 420 mm)A4 Legal (216 x 356 mm)

Impression recto-verso Avec impression recto-verso

Prix 700€ environ



Prix total : 700 * 15 étages = 10 500€

Imprimante par bâtiment :

Lexmark C935dtn

Technologie

Laser

Type d'impression Couleur, Monochrome

Technologie de connectivitéEthernetParallèleEthernet 10/100Base-TX

Vitesse d'impression45 ppm noir/blanc

40 ppm couleur

Format maximal du support A3 (297 x 420 mm)A4 Legal (216 x 356 mm)

Impression recto-verso Avec impression recto-verso et agrafes



Prix 4500€ environ

Prix total : 4500 * 5 étages = 22 500€

Prix total pour toutes les imprimantes : 33 000€

14.3 MISE EN PLACE

Nous installerons tous les pilotes des imprimantes sur le serveur d’impression pour les différents systèmes d’exploitation (Linux, Windows) et nous déploierons automatiquement les imprimantes « voisines » sur les machines grâce à des GPOs au niveau des ordinateurs ou des utilisateurs (NT4). Comme cela, même si l’employé change de poste, le poste lui sera toujours reliés à ses imprimantes voisines.

Nous publierons aussi celles-ci dans l’annuaire Active Directory, avec en description leur localisation, ce qui permettra aux utilisateurs de tout de suite savoir où se situe l’imprimante.



15. SYSTÈME DE SUPERVISION

15.1 NAGIOS15.1.1 PRÉSENTATION

Nagios est un outil de supervision complet et perfectionné. Il permet la supervision et la remonté d’alertes sur des équipements réseaux comme des serveurs, et permet également d’en superviser les services.

Il est composé de trois éléments : un ordonnanceur, une interface web et des sondes.

15.1.2 FONCTIONNEMENT

L’ordonnanceur, moteur planifiant l’ordonnancement des vérifier ainsi que les actions à prendre en cas d’incident : déclenchement d’alertes, escalade, voir exécution de scripts permettant d’automatiser le règlement d’un problème.

L’interface web est la partie graphique de l’outil, qui permet aux administrer de superviser l’ensemble du réseau via une interface complète, permettant entre autres de visualiser les problèmes en cours et de faire du reporting comme d’indiquer la disponibilité d’un système ou service.

Les sondes sont des programmes ou simples scripts permettant de vérifier l’état des périphériques ou services supervisés. Ces sondes sont généralement spécifiques à ce qu’elles doivent tester : disponibilité d’un serveur, état d’un service, charge réseau, mémoire vive ou espace disque disponibles, etc. Les possibilités sont infinies étant données qu’il est possible de créer soi-même des scripts, ou d’utiliser ceux disponibles au sein de la communauté Nagios.

Nagios bénéficie de sondes actives passives : en effet selon les besoins et la charge que peut représenter la supervision de par exemple un service, il est possible d’avoir Nagios qui va directement contrôler le service en question régulièrement, ou bien d’avoir une sonde sur le serveur ou se situe le service qui d’elle-même va remonter au serveur Nagios son statut.



15.1.3 ALERTES

En fonction de critères préalablement choisis, lors d’un incident différents situations peuvent se présenter : Nagios peut déclencher d’autres tests en fonction d’une escalade définie, initier l’exécution de scripts ou tout simplement alerter un ou des administrateurs en fonction de critères de date et heure. Les alertes peuvent être envoyées par courrier comme par SMS à l’aide d’une passerelle GSM ou par d’autres moyens variés (alerte sonore par exemple).

15.2 SYSTEM CENTER OPERATION MANAGER 200715.2.1 PRÉSENTATION

SCOM est le remplaçant de MOM 2005, il permet de superviser les services critiques de l’entreprise, des serveurs, des équipements réseaux, etc. La surveillance est proactive et permet de soulager les administrateurs qui peuvent réagir avant que les problèmes surviennent ou tout du moins réagir à temps. Les grands constructeurs comme Microsoft, HP, Cisco, et beaucoup d’autres fournissent des packs d’administration pour gérer les différents équipements et services.

L’avantage par rapport à Nagios réside dans ces packs d’administration qui permettent de surveiller l’état des services comme Active Directory, DNS, DHCP, IIS, SharePoint, Exchange et tant d’autres. Le système de surveillance repose sur des agents. Par ailleurs, Nagios ne s’installe que sur des machines Linux, étant donné les besoins de notre client, Nagios n’harmoniserait pas l’architecture ciblée.

15.2.2 CONFIGURATION

L’architecture de SCOM 2007 est basée le Root Management Server qui s’appuie sur une base de données SQL 2005. Dans un souci de coût pour cette architecture, nous nous appuierons sur la base de données SQL 2005 déjà proposé avec WSUS 3.0. Le Root Management Server est le point central de management. Voici la configuration recommandée :

Un processeur x86 ou x64 d’au moins 2 Ghz (2 dual Core conseillé dans les documentations d’architecture)2 Go de RAM recommandé (8 Go d’après les documentations d’architecture)12 Go de disque dur minimum

Voici ce que nous préconisons comme serveur pour héberger SCOM 2007 :



HP ProLiant DL320 G5 (418045-421)

Caractéristiques



- 2 Disques durs maximum- Pas de contrôleur RAID en

standard- Garantie 3 ans

900 € HTAdaptateur de bus hôte HP

347786-B21Contrôleur RAID SAS HP PCI-X 8

ports

100 € HT


374,35 € HT x 2

Mémoire DDR2 de marque HP 432804-B21

Kit mémoire HP DDR2 PC2 5300 ECC avancée 1 Go sans tampon (1 x

1 Go 2 rangs)

70 € HT

Total 1 444,35 € HT*1) 2 disques en RAID 1 pour le système d’exploitation.




Documents

igelnarr.free.frigelnarr.free.fr/Etude_MIR_Windows_NIA.docx · Web viewActive Directory est un annuaire basé sur LDAP et Kerberos permettant de créer un domaine. Contrairement