Bonjour,
Je travaille dans un bureau d'étude technique, nous sommes actuellement une petite dizaine, et on prévoit de continuer à grandir progressivement dans les années qui arrivent. J'ai hérité de la gestion du parc informatique car je suis le plus "geek" de la bande, j'ai des bonnes bases de programmation mais je n'ai aucune formation en administration réseau. Notre architecture réseau actuelle a été mise en place il y a plusieurs années par une personne qui a depuis quitté l'entreprise et nos besoins ont évolué depuis. Nous réfléchissions à faire évoluer cette architecture et j'aimerai avoir quelques conseils.
Voici notre architecture actuelle :
- Un routeur :
- Nous avons deux connexions internet (Fibre + Adsl), il permet de faire la bascule de l'un vers l'autre en cas de perte de la fibre
- Il gère le VPN
- Un serveur qui tourne sous Debian, avec plusieurs conteneur LXC qui gèrent différents service :
- Controller de domaine Active Directory Samba4 + LDAP/DNS/DHCP
- Un pare-feu
- Un service de backup des postes de travail des membres de l'équipe
- Les ordinateurs de chaque membre de l'équipe
- Un ordinateur avec une application métier pour lequel nous avons une licence unique. Les membres de l'équipe peuvent se connecter en RDP sur ce poste avec leur compte Active Directory et utiliser l'application.
- Une imprimante partagée
- Des téléphones IP
Cette architecture a été mise en place il y a plusieurs années, à une époque où on avait des besoins différents :
- Le serveur avait un conteneur pour héberger une application web pour des clients (d'où la redondance de connexion internet). Nous n'offrons plus ce type de service, le conteneur est actuellement désactivé.
- Les postes de travail des membres de l'équipe étaient des postes fixes connectés en permanence en LAN, et un disque réseau commun était monté à la connexion. On est maintenant tous passés sur des portables, qui sont souvent utilisés en télétravail, et nous n'utilisons plus le disque réseau, tout passe par Dropbox.
- De la même manière, le backup ne sert plus à rien : nous mettons tout sur Dropbox.
- Je suppose qu'initialement, l'ancien responsable ne donnait que des droits limités aux différents utilisateurs. Actuellement, chaque utilisateur est administrateur sur sa machine. On sensibilise à la sécurité informatique quand un nouveau arrive, une suite de sécurité est activée sur chaque machine, mais on est plutôt dans la confiance.
Jusqu'à présent cette architecture fonctionne, mais elle est compliquée et nous avons un nouveau besoin :
- Nous grandissons et nous avons besoin d'un second poste avec l'application métier. Pour pouvoir l'installer sur 2 postes, il faut passer en architecture client + serveur :
- Nous devons installer une application serveur qui contient une base de données, qui doit être accessible en permanence. Cette application serveur n'existe qu'en version Windows, donc impossible de l'installer sur Debian. Une machine assez puissante avec un SSD est recommandée.
- Malheureusement, le logiciel métier n'a pas de licences "dynamiques" qui permettrait à chacun d'installer un client sur sa propre machine. Il faut donc deux postes de travail sous Windows sur lesquels installer deux clients de l'application métier. Les membres de l'équipe pourront se connecter en RDP sur ces postes pour travailler.
- Si on conserve notre architecture réseau actuelle, on a donc besoin d'acheter 2 nouvelles machines : une pour le serveur d'application, qui doit être connectée en permanence sur sa session en plus du serveur existant, et une autre pour le second client.
- Le serveur Debian n'est plus mis à jour, je ne maitrise pas bien la gestion des conteneurs et je ne sais pas bien le gérer :
- Actuellement, cette machine ne sert que pour le contrôleur de domaine Active Directory et pour le pare-feu. C'est une machine relativement puissante, et elle n'est donc pas vraiment exploitée à son plein potentiel.
- La fonction pare-feu / DNS / DHCP pourrait être assurée par notre routeur, mais visiblement le fait d'avoir le contrôleur de domaine Samba demande une configuration particulière et on a pas réussi à faire fonctionner Samba lorsque le DHCP est assuré par le routeur, donc on a restauré la configuration initiale et limité le routeur à la fonction VPN.
Nos besoins actuels en terme de réseau sont les suivants :
- Permettre à chacun d'accéder à Internet quand il est sur site !
- Permettre à chacun d'utiliser l'imprimante / scanner
- Permettre à chacun de se connecter sur un des postes de travail avec l'application métier depuis sa propre machine, y compris via VPN.
Le problème étant posé, voici mes questions :
- Selon vous, est-ce que nos besoins actuels justifient l'utilisation d'un controleur de domaine local ? Nous n'avons pas vraiment besoin que n'importe qui puisse se connecter sur n'importe quelle machine, nous n'utilisons plus de partage réseau, et chaque utilisateur est administrateur de sa machine. J'ai l'impression que rien ne justifie l'utilisation d'un domaine.
- Nous avons un abonnement Microsoft 365, et j'ai vu qu'il incluait Azure Active Directory. Je n'arrive pas bien à comprendre les possibilités que ça offre. J'ai pas l'impression que ça permette de se passer d'un contrôleur de domaine en local, mais ce serait plus simple si c'était le cas.
- Est-ce qu'une architecture de réseau local plus simple, sans domaine, pourrait permettre de répondre à ces 3 besoins ? Je me demande si la connexion RDP sera possible sans domaine. Voilà ce que j'ai en tête :
- Passage de tous les sercices réseau actuellement gérés par le serveur Debian sur le routeur (DNS/DCHP)
- Suppression du domaine. Passage de tous les ordinateurs sur un groupe de travail commun, avec un utilisateur local unique sur chaque machine.
- Formatage du serveur Samba actuel, installation de Windows à la place, avec l'application serveur métier.
- Création d'utilisateurs locaux spécifiques sur chacune des 2 machines métiers, avec des droits utilisateurs limités. Les identifiants de ces utilisateurs sont donnés aux membres de l'équipe.
- Est-ce que vous avez une autre proposition d'architecture qui permettrait de répondre à ces 3 besoins tout en exploitant mieux le matériel dont on dispose ?
Merci d'avance pour votre aide !
Partager