Discussion :

[FlorianC]

Bonjour,

Pour mon premier emploi en tant qu'informaticien (niveau bac +3), je suis informaticien dans une PME qui possède environ 80 utilisateurs. Les ressources étant devenues sous-dimensionnées, un nouveau serveur va bientôt être commandé et la tâche me revient d'architecturer l'ensemble.

Nous possédons actuellement un serveur sous Windows Server 2003 qui gère le domaine (Active Directory), la base de données Microsoft SQL Server 2008 sur laquelle sont stockées les données de l'ERP Sage + celles d'un petit logiciel interne développé par un stagiaire, ainsi que le stockage des données (environ 300Go) et les bureaux à distance (via VPN géré par SFR) de la dizaine d'utilisateurs de l'entité location de notre société (environ 10 utilisateurs).

Le backup des données est géré par un NAS qui récupère toutes les données importantes, toutes les nuits.

Au niveau des besoins, il s'agit principalement de garder tout ça sur un serveur plus performant, mais aussi d'ouvrir le serveur au web pour faire tourner un Exchange et une appli à développer.

J'ai quelques interrogations à ce sujet :
- Est-ce sécurisé/viable de tout avoir sur le même serveur, comme c'est le cas actuellement ?
- Je pensais garder l'ancien serveur pour gérer l'Active Directory et la BDD Sage, en interne. Quant au nouveau serveur, je voudrais séparer l'utilisation interne et externe, en virtualisant deux Windows Server dessus : une "instance" interne qui gérerait le stockage Exchange ainsi que les Datas, et une "instance" externe qui s'occuperait de la partie Web d'Exchange, et du serveur Web. Est-ce une bonne idée ?

Comme vous pouvez le voir, c'est un gros projet qu'on me donne, tout juste sorti de mes études, je demande donc un coup de pouce pour avoir une solution viable et sécurisée.

D'avance merci.

[fregolo52]

- Est-ce sécurisé/viable de tout avoir sur le même serveur, comme c'est le cas actuellement ?

il me semble que non !
je ne suis pas du tout admin, mais j'ai déjà fait des installations de serveurs sur des VMs pour divers tests.
Généralement, Microsoft n'est pas content quand tu installes TSE sur l'AD.
Il est donc préférable de gérer les bureaux à distance sur un autre serveur.

Je pense que garder ton AD sur le serveur existant est une bonne idée. A toi de voir quelles sont les différences de fonctionnalités entre 2008 R2 et 2003 pour savoir si tu dois migrer l'AD.

[kratoce]

Nous possédons actuellement un serveur sous Windows Server 2003 qui gère le domaine (Active Directory), la base de données Microsoft SQL Server 2008 sur laquelle sont stockées les données de l'ERP Sage + celles d'un petit logiciel interne développé par un stagiaire, ainsi que le stockage des données (environ 300Go) et les bureaux à distance (via VPN géré par SFR) de la dizaine d'utilisateurs de l'entité location de notre société (environ 10 utilisateurs).

- Est-ce sécurisé/viable de tout avoir sur le même serveur, comme c'est le cas actuellement ?

Se qu'on ma toujours appris en cours : 1 serveur par service !
Après rien ne t'empêche d'utiliser la virtualisation

[FlorianC]

Généralement, Microsoft n'est pas content quand tu installes TSE sur l'AD.
Il est donc préférable de gérer les bureaux à distance sur un autre serveur.

A voir pour mettre le TSE sur le nouveau serveur, donc.

Se qu'on ma toujours appris en cours : 1 serveur par service !
Après rien ne t'empêche d'utiliser la virtualisation

C'est bien ce que je compte mettre en place mais dans tous les cas, ça implique un achat de serveurs ou de licences Windows Server. Etant dans une entreprise relativement petite, ça représente un surcoût non négligeable, même si des efforts ont été faits pour les licences virtuelles Server 2008 R2. Longue discussion avec le directeur en perspective.



Imaginons donc que l'on prenne un serveur avec Windows Server 2008 R2 Entreprise, ce qui nous offre donc le droit à une installation physique qui gère jusqu'à 4 serveurs virtuels. On aurait donc :
- Une instance Datas pour le stockage de fichiers internes et les services Exchange qui ne nécessitent pas d'accès internet.
- Une instance Web pour le service de la future appli orientée web.
- Une instance BDD Web pour les données de l'appli ci-dessus.
- Une instance pour toute la partie web d'Exchange (réception, antivirus/antispam) + le TSE.
- Le vieux serveur, non ouvert au web qui garderait l'AD et la BDD de Sage (si on peut éviter d'exposer ces données à une attaque via internet, autant en profiter).

* J'ai volontairement regroupé plusieurs services pour ne pas dépasser la limite des 4 instances virtuelles de l'édition Entreprise, mais sinon, la répartition vous semble bonne ?

* Autre question du coup (j'imagine que la réponse est positive) : même si le serveur physique est connecté à internet, on peut configurer l'accès de chaque instance indépendamment ? Le but ici est évidemment de laisser en interne les instances qui ne nécessitent pas d'accès web, pour les protéger des attaques (ici, l'instance Datas / traitements internes Exchange).

[kratoce]

C'est bien ce que je compte mettre en place mais dans tous les cas, ça implique un achat de serveurs ou de licences Windows Server. Etant dans une entreprise relativement petite, ça représente un surcoût non négligeable, même si des efforts ont été faits pour les licences virtuelles Server 2008 R2. Longue discussion avec le directeur en perspective.

C'est toujours le dilemme poser

[FlorianC]

On en arrive donc à l'architecture ci-jointe,

Ma question est donc : est-ce viable de procéder de cette façon ?
Je compte créer, sur notre firewall, des VLAN en fonction des adresses IP, et donc définir les adresses IP des serveurs virtuels pour que chacun soit dans le bon sous réseau virtuel.
Ça me semble un peu trop facile pour que ça marche...

Petite précision au cas où : nous sommes bien évidemment en IP fixe.

[Invité]

Salut,

c'est propre

Steph

[FlorianC]

Salut,

c'est propre

Steph

Merci, ça me rassure par ce que c'est le premier "gros" projet d'architecture réseau auquel je suis confronté donc pas encore très à l'aise.

Ce qui me turlupine, c'est vraiment cette histoire de serveurs virtuels, et surtout le fait de les assigner à des sous réseaux différents alors que le serveur physique sera forcément dans un seul de ces sous réseaux. Aucun soucis avec ça si c'est correctement configuré, vraiment?

[Invité]

Ce qui me turlupine, c'est vraiment cette histoire de serveurs virtuels, et surtout le fait de les assigner à des sous réseaux différents alors que le serveur physique sera forcément dans un seul de ces sous réseaux. Aucun soucis avec ça si c'est correctement configuré, vraiment?

Oui, ta machine physique embarque plusieurs machines virtuelles.
Chaque machine virtuelle fait partie d'un VLAN (donc d'un sous-réseau IP).
Ensuite, tu déploies une ou plusieurs cartes réseaux que tu connectes à des switches en configurant des trunks 802.1q.

Steph

[FlorianC]

Oui, ta machine physique embarque plusieurs machines virtuelles.
Chaque machine virtuelle fait partie d'un VLAN (donc d'un sous-réseau IP).
Ensuite, tu déploies une ou plusieurs cartes réseaux que tu connectes à des switches en configurant des trunks 802.1q.

Steph

Ok, je fouille de ce côté là alors. Merci beaucoup !