Discussion :

[sassssou]

Bonjour,

Dans un réseau composé d'une vingtaine de poste (windows 10 et windows 7), 2 serveurs dédiés pour une application accessible par touts les postes du réseau local, 2switch, un modem, un IPbx et un routeur. Les postes sont équipé d'un antivirus monoposte.
Comment faire pour faciliter et centraliser la gestion du réseau?
1- Acquisition d'un serveur,
2- Installation de vMware
3- Installation et configuration de D'une VM windows server
4- Création du non de domaine
5- création des groupes d'utilisateurs et des Vlan
6- gestion des authentifications et des droits d'accès
7- Configuration d'un contrôleur de domaine
8- création des serveurs d'impression,, de fichiers......

Quel est la bonne démarche à entreprendre pour bien mener la mise en place de windows server avec les fonctionnalitées requises pour la gestion du réseau, et du coté des postes utilisateurs, qu'est ce qu'on doit faire? la version de windows que je doit avoir c'est windows server 2019 avec 20 licences CAL c'est ça? est ce qu'il serai nécessaire de réinstaller windows dans les postes utilisateurs? et qu'on est il du coté des deux serveurs dédiée pour l'utilisation d'une application, peuvent ils être isolé j'esssaye de réfléchir, mais je n'ai pas assez de connaissance dans ce domaine, pourriez vous me conseiller svp? La démarche à suivre pour une réorganisation d'un réseau ayant des postes en exploitation.

Merci infiniment.

[Incorporated]

Bonjour,

Cela fait beaucoup de points abordés en un message si court.

Je vais essayer de répondre du mieux que je peut.

Ce que je vous conseillerai sur une infrastructure qui aujourd'hui n'est pas encore construite :

Pour la partie système :
- Je ferai effectivement l'acquisition d'un serveur de type hyperviseur (VMWare par exemple) afin de pouvoir installer plusieurs VM (machine virtuelle) dessus. Ce qui permettrai de stocker votre contrôleur de domaine, et vos serveurs applicatifs réunis dans 1 seule machine et qui plus est, sera extensible dans le cas où de nouveaux serveurs seront nécessaire.
- Sur cet hyperviseur, j'installerai un DC qui contiendra un active directory, un DNS et un DHCP (il est possible de séparer le DHCP si nécessaire)
- J'installerai ensuite un second DC afin d'avoir une redondance dans le cas ou le premier serveur rencontrerai un dysfonctionnement.
- Une fois les DC installer, avant d'intégrer les ordinateurs aux domaines, il va falloir préparer l'AD en créant les différents OU nécessaires au fonctionnement (réfléchissez bien à l'arborescence que vous voulez donner car une mauvaise organisation aura des impacts négatifs dans l'avenir). Ensuite je créerai les différents utilisateurs dans l'AD, et je configurerai les groupes qui seront rattachés aux utilisateurs (Je conseil une gestion des groupes imbriqués : https://www.netwrix.fr/active_direct...anagement.html).
- Je créerai un serveur de fichier avec une configuration des droits NTFS sur les dossier partagés pour les utilisateurs. Par exemple un dossier "Home" qui sera dédié aux profils utilisateurs et un dossiers "partage" qui sera présent pour gérer les dossiers d'un service
- Je configurerai les différentes GPO pour par exemple mapper des lecteurs réseaux ou pour configurer des accès personnalisés pour qu'un utilisateur ne puisse pas faire tel ou tel action.
- Pour les CAL, vous avez 2 possibilité : les CAL utilisateurs, cela correspond donc au fait qu'un utilisateur doit accéder à un serveur (comme un serveur de fichier par exemple) et les CAL Ordinateur, il s'agit donc d'un ordinateur qui à le droit d'accéder à un serveur. Vous me direz peut-être, mais quel différence ? Et bien si vous avez plusieurs utilisateurs qui utilisent le même poste informatique, imaginons 10 personnes utilisent le poste 1 et bien une CAL ordinateur sera plus rentable que de payer 10 CAL utilisateurs.
- Vous n'aurez pas besoin de réinstaller Windows sur les postes utilisateurs, il vous suffira de les ajouter au domaine précédemment créé sur le DC et les GPO s'appliqueront sur le poste. Je vous conseil d'ajouter une GPO qui va ajouter un groupe AD que vous aurez créé qui contiendra les administrateurs informatiques dans le groupe administrateur local des postes clients (Soyez prudent sur l'attribution des droits administrateurs)
- J'ajouterai une VM pour une gestion centraliser des Antivirus des postes utilisateurs ou bien une gestion des antivirus en mode SAAS avec un système hébergé dans le Cloud
- J'ajouterai un système de filtrage URL pour protéger les utilisateurs des sites malveillants. par exemple installation d'un Squid sur un Linux.
- J'ajouterai aussi un serveur d'impression toujours en VM.
- Une fois l'environnement monté, j'essaierai de migrer les 2 serveurs applications en VM sur votre Hyperviseur mais la question c'est de savoir quels sont ces applications ?

Pour la partie réseau :
- Configuration des différents Vlans sur les switchs
- Sécurisation des switchs avec les bonnes pratiques
- Installation d'un pare-feu et configuration de celui-ci, vu le nombre de poste, j'utiliserai un PFSense qui est Open Source.

Je ne sais pas si vous avez les connaissances en ce qui concerne l'installation et la configuration de tout ceci ?

En ce qui concerne la méthode de réorganisation j'appliquerai à première vue celle-ci :

Vu que votre infrastructure est fonctionnel à présent et que vous n'avez pas l'air d'avoir de DC, d'AD, je commencerai par monter toute l'infrastructure système autour de L'AD, GPO, DHCP, le serveur de fichier avec les différents droits utilisateurs, le serveur d'impression et tout ce qui est faisable de monter sans perturber vos utilisateurs.
Dans un second temps, je procéderai à la configuration réseau de manière progressive toujours dans la même optique.

Je tiens également à préciser que vous allez devoir expliquer tout ceci à vos utilisateurs afin qu'ils ne soient pas désorienté par tout ces changements qui risquent de modifier considérablement leur méthode de travail.

Ca fait beaucoup d'informations mais je ne sais pas à quel niveau vous avez des problèmes, en espérant que celles-ci puissent au moins répondre à quelques unes de vos questions.

[chrtophe]

Je rajouterais qu'il est tout à fait possible de monter le serveur d'impression sur le même serveur que l'AD, idem pour le DHCP.

Tout pourras mettre sur le même serveur virtuel ou sur plusieurs tes différents services selon la charge et la conf en terme de ressource de l'hyperviseur.

Pour les VLAN, c'est gérable avec VMWare ou via des switchs physiques, si tu as déjà des switchs avec VLAN, pas spécialement d’intérêts à gérer avec VMWare.

Je pense qu'il y a peu d’intérêt à gérer un second DC à des fins de secours sur le même hyperviseur, sauf à avoir plusieurs services répartis sur plusieurs VM, dans ce cas autant ajouter sur au moins un des autres le rôle de DC . Il pourrait aussi être envisagé d'en faire un sur un ancien serveur physique en secours éventuellement.

Si tu utilises une sauvegarde de type Veeam, tu peux démarrer immédiatement un backup en tant que VM avec l'instant recovery, ce qui rend inutile un second DC sauf cas évoqué plus haut.

Pour le firewall, tu as des boitiers Sophos utilisant pfsense, et je crois que tu peux même faire tourner leur instance en VM, ce qui te permettrais une solution d'utilisation du boitier Sophos en usage normal et utilisation en VM en cas de panne le temps de gérer, par exemple.

Cela va aussi dépendre de l'utilisation, serveur interne ou accessible depuis l’extérieur.

[Incorporated]

Effectivement, je confirme le cas de mentionné par @chrtophe, il est difficile d'établir des cas concrets avec si peu d'information.

Le second DC est inutile si vous autorisez une perte d'accès temporaire de ce service.

Pour cela, il est important d'effectuer une analyse de risque et d'établir des temps "acceptable" sur la récupération d'un service.

Il faut toujours avoir en tête la notion de PCA / PRA lors d'une modification comme celle-ci.

[sassssou]

Bonjour,

Cela fait beaucoup de points abordés en un message si court.

Je vais essayer de répondre du mieux que je peut.

Ce que je vous conseillerai sur une infrastructure qui aujourd'hui n'est pas encore construite :

Pour la partie système :
.........

Merci beaucoup pour toutes ces informations, ça va m'aider au moins à rédiger un cahier des charges parceque je ne maîtrise pas tout ceci, c'est une refonte du système et du réseau Lan, surtout je m'inquiéte pour la perturbation des utilisateurs et le temps que ça va prendre pour la réalisation de ces interventions.

[sassssou]

Je rajouterais qu'il est tout à fait possible de monter le serveur d'impression sur le même serveur que l'AD, idem pour le DHCP.

Tout pourras mettre sur le même serveur virtuel ou sur plusieurs tes différents services selon la charge et la conf en terme de ressource de l'hyperviseur.

Pour les VLAN, c'est gérable avec VMWare ou via des switchs physiques, si tu as déjà des switchs avec VLAN, pas spécialement d’intérêts à gérer avec VMWare.

.....

Merci beaucoup, ça a l'air compliqué... je tiendrai en compte votre réponse.

[tabouret]

Je rajouterais qu'il est tout à fait possible de monter le serveur d'impression sur le même serveur que l'AD.

Mais quand même un peu déconseillé https://msrc.microsoft.com/update-gu...CVE-2021-34527

[sassssou]

...
Il faut toujours avoir en tête la notion de PCA / PRA lors d'une modification comme celle-ci.

Oui, il est tout à fait nécessaire d'établir un PCA / PRA devant une telle situation. je vous remerci beaucoup.

[chrtophe]

Mais quand même un peu déconseillé https://msrc.microsoft.com/update-gu...CVE-2021-34527

Vu le nbre de CVE, on peut dire que c'est déconseillé d’utiliser Wnidows

Dans l'absolu, je mets pas de serveur d'impression, je gère en direct sur l'imprimante/le copieur. Un service en moins à gérer. Mais bien sûrça dépend de la taille du parc et des besoins.

[tabouret]

Vu le nbre de CVE, on peut dire que c'est déconseillé d’utiliser Wnidows

Dans l'absolu, je mets pas de serveur d'impression, je gère en direct sur l'imprimante/le copieur. Un service en moins à gérer. Mais bien sûrça dépend de la taille du parc et des besoins.

Tu m’étonnes il ne se passe pas 3 mois sans qu'il ne se passe une dinguerie avec cet OS lol.
La faille du moment c'est les RPC (donc SMB) https://msrc.microsoft.com/update-gu...CVE-2022-26809 CVSS 9.8 quand même.

Bon on ne va pas se mentir en général on met le spooler d'impression sur l'AD.

[Incorporated]

Bon on ne va pas se mentir en général on met le spooler d'impression sur l'AD.

Je n'ai encore jamais vu ça dans les entreprises où j'ai été donc je ne pense pas que ce soit une généralité