2. Case Study Page 1
Table des Matières
Introduction................................................................................................................................................................................2
Partie 1 : Réseau.......................................................................................................................................................................3
Partie 2 : Virtualisation...............................................................................................................................................................8
Partie 3 : E-Monitoring............................................................................................................................................................ 10
Partie 4 : Windows ................................................................................................................................................................. 11
Partie 5 : Annexes.................................................................................................................................................................. 24
3. Case Study Page 2
Introduction
La société « furniture.com » est en charge de la vente de meubles de bureau à très haute valeur ajoutée. Elle est
actuellement répartie sur 4 pays : Belgique (quartiers généraux), la France, l’Italie et l'Espagne où elle est
particulièrement bien développée avec 3 succursales.
Nous supposons que cette société au niveau informatique ne possède rien puisqu’elle résulte d’un
rassemblement, et il vous est demandé de mettre en œuvre les desideratas du client à savoir :
- Une infrastructure réseau locale et internationale
- Une infrastructure de sécurité locale et internationale
- Une Infrastructure de virtualisation VMware/Hyper-V et de redondance locale et internationale
- Une Infrastructure Windows/Exchange internationale
Un travail intensif de design a été réalisé par une société de consultance externe, tout en tenant compte du
matériel déjà existant et des contraintes multiples de cette société. Le résultat de ce design se trouve dans ce
document.
Vous venez d’être engagé par cette société en qualité de « Cloud System Engineer », et il vous revient donc la
tâche de mettre en œuvre ce design de manière concrète.
4. Case Study Page 3
Partie 1 : Réseau
Nous pouvons percevoir que dans ce schéma, la localisation des implantations est très précise et que la
sortie sur Internet est unique et centrée sur Bruxelles, qui est le siège central. On y a défini tout le plan
d’adressage pour les différents sites. Les utilisateurs autorisés des différents sites devront avoir la
possibilité de faire du « client to gateway » pour leurs sites respectifs.
Voici le schéma :
5. Case Study Page 4
A. Interconnexions des sites principaux
Pour le « Cloud » reliant les quatre sites principaux à savoir Bruxelles, Paris, Rome et Barcelone, il
vous est demandé de déployer un full « mesh VPN » sécurisé.
De plus, le firewall (SSG140) sur le site de Bruxelles gérera la sortie sur internet et sera configuré en
HA.
IPSEC Tunnel
Gateway to Gateway
Full Mesh
SSG5SSG5
SSG5
SSG140
Internet
VPN Tunnel
6. Case Study Page 5
B. Architecture réseau du site central - Bruxelles
Catalyst 2960 SERIES
MODE
SYST
RPS
MASTR
STAT
DUPLX
SPEED
1X
2X
11X
12X
1 2 3 4 5 6 7 8 9 10 11 12
19X
20X
13 14 15 16 17 18 19 20
21
9X
10X
22 23 24
Cisco 2960
Catalyst 2960 SERIES
MODE
SYST
RPS
MASTR
STAT
DUPLX
SPEED
1X
2X
11X
12X
1 2 3 4 5 6 7 8 9 10 11 12
19X
20X
13 14 15 16 17 18 19 20
21
9X
10X
22 23 24
Cisco 2960
Etherchannel
HA
CISCO AIRONET 1200 I WIRELESS ACCESS POINT
AP 1200
NAS italie
Belgique(BE)
Vlan 1 : 10.3.0.0 /24
Vlan 2 : 10.3.1.0 /24
Vlan 3 : 10.3.2.0 /24
Vlan 4 : 10.3.3.0 /24
Vlan 5 : 10.3.4.0 /24
Serveur italien
CISCO AIRONET 1200 I WIRELESS ACCESS POINT
AP 1200
Pour des raisons de sécurité, le NAS utilisé ne sera pas accessible directement par les clients.
Le routage inter-vlan sera géré par le firewall. Sur le switch de la Belgique, le vlan 1 sera réservé aux
serveurs de la Belgique, le vlan 2 sera réservé aux machine client belges, le vlan 3 sera attribué à l’accès
wifi sécurisé et le Vlan 4 sera destiné au wifi guest. Les Vlans devront être déportés sur tous les Switch.
Les autres vlans répondront à des besoins futurs.
7. Case Study Page 6
D. Interconnexions du site de Paris
Pour des raisons de sécurité :
La zone de Paris sera séparée de celle de « Nice et Bordeaux » via le firewall
Le NAS utilisé pour la publication du cloud privé Français ne sera pas accessible directement par
les clients
Le routage inter-vlan sera géré par le Juniper. Sur le switch de Nice et bordeaux, le vlan 1 sera réservé
aux serveurs de Nice, le vlan 2 sera réservé aux serveurs de Bordeaux.
Sur les switch de Paris, le vlan 1 sera réservé aux serveurs de Paris, le vlan 2 sera réservé aux clients de
Paris, le vlan 3 sera attribué à l’accès wifi Guest.
CISCO AIRONET 1200 I WIRELESS ACCESS POINT CISCO AIRONET 1200 I WIRELESS ACCESS POINT
Etherchannel
8. Case Study Page 7
E. Interconnexions du site de Barcelone
Le routage inter-vlan sera géré par le firewall. Le vlan 1 sera réservé aux serveurs. Les Vlans devront être
déportés sur tous les switchs. Les autres vlans répondront à des besoins futurs.
EX4200
EX4200
Cisco 2960
SSG5
6 VLANs dont 2 gérés par le FW
Vlan 1 : 10.1.0.0/28
Vlan 2 : 10.1.0.32/28
4 VLANs gérés par le switch
Vlan 3 : 10.1.0.96/28
Vlan 4 : 10.1.0.128/28
Vlan 5 : 10.1.0.160/28
Vlan 6 : 10.1.0.192/28
Espagne(ES)
Ether
chan
nel
9. Case Study Page 8
Partie 2 : Virtualisation
A. Description
La Société souhaite mettre en œuvre deux « Cloud privés » reposant sur les techniques de
Virtualisation basées sur VMware VSphere 5 et Hyper-V. Pour ce faire, elle va procéder par phase.
Dans un premier temps, les serveurs de Nice et Bordeaux seront déportés vers le Cloud privé VMware
situé à Paris. Et le serveur Italien sera déporté vers le cloud privé Hyper-v situé à Bruxelles. Si les
résultats sont concluants, le reste des serveurs suivront dans un projet ultérieur.
B. Architecture
Voici les recommandations à suivre concernant l’infrastructure VMware:
Possibilité pour des raisons de maintenance ou de défaillance de la machine physique d’être
déplacé facilement de machine en machine
Pouvoir avoir une haute disponibilité même si baisse de performance (SLA 99,9%)
Redondance sur 3 machines physiques
Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces
machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS
italien afin d’y stocker les images ISO. Cette partition sera partagée entre les 3 machines
physiques.
L’administrateur devra être prévenu par mail si
o Le CPU et la RAM dépasse 80%
o Une machine virtuelle tombe en panne
o La capacité de stockage sur le NAS est inférieure à 15%
o Une machine physique est défaillante
Seul l’administrateur du domaine furniture.com pourra gérer l’ensemble des serveurs de
manière centralisée. L’administrateur du domaine furniture.it pourra gérer les serveurs
physiques mais pas de manière centralisée.
Voici les recommandations à suivre concernant l’infrastructure Hyper-V:
Possibilité pour des raisons de défaillance d’être déplacé facilement de machine en machine
via la technique de l’hyper-v replica.
Redondance entre 2 machines physiques
Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces
machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS
français afin d’y stocker les images ISO. Cette partition sera partagée entre les 2 machines
physiques.
Le smtp relay sera virtualisé dans un ESXi en Belgique et vu l’importance des mails pour la société, il
est conseillé de créer une autre VM sur une autre machine physique et de s’assurer que si la première
VM tombe, on puisse recevoir et envoyer les mails via la deuxième VM.
Le serveur de management des ESXi sera virtualisé dans les ESXi correspondants.
Toute autre machine, hormis celles qui sont définies dans ce case, que vous jugerez utile dans les sites
de Belgique, France devra être virtualisée.
10. Case Study Page 9
C. Bureau à distance
L’entreprise souhaite pouvoir bénéficier des avantages du « Terminal Server » qui permettra de
publier des environnements complets sur le site de Paris pour les utilisateurs de Bordeaux et de Nice.
Il doit être permis à tous les utilisateurs de Bordeaux et de Nice d’obtenir un environnement complet
de travail avec toutes les applications nécessaires. Ceux-ci seront accessibles aux utilisateurs depuis
leur station.
La liste des applications incluses dans leur environnement pour tous les utilisateurs des sites de Nice
et Bordeaux est :
Winzip
Office 2013 (avec outlook possédant une configuration automatique vers leur mailbox)
Adobe Acrobat Reader
Tous les logiciels de sécurité nécessaires (ex. antivirus, …)
Afin d’assurer une certaine redondance au niveau TS, il est demandé de créer une ferme de « terminal
serveur » située à Paris et composée des serveurs MS3 et MS4.
11. Case Study Page 10
Partie 3 : E-Monitoring
Monitorer à l’aide de Solarwinds Orion sur un Windows server 2012R2 tous les composants matériels :
Switch
Routeur
Firewall
Ce monitoring se fera en protocole SNMP et sur le site de Bruxelles.
12. Case Study Page 11
Partie 4 : Windows
I. Description
Nous supposons que cette société au niveau informatique ne possède rien et il vous est demandé de
mettre en œuvre les desideratas du client à savoir une "Windows 2012R2 Forest" internationale. Pour
tous les aspects de messagerie et de travail collaboratif, le client a décidé d'utiliser Exchange 2013 et
donc une "Exchange Organisation" internationale elle aussi.
La société pense donc déployer 12 DC et 4 serveurs membres répartis sur l’ensemble des sites de la
forêt.
II. Schéma Logique à obtenir
Ayant fait appel à un consultant, la société "furniture.com" a reçu de celui-ci la structure logique
globale de l'Active Directory à obtenir, dont voici le schéma :
furniture.com
furniture.es
sales.furniture.es logistica.furniture.esfurniture.fr
admin.furniture.fr marketing.furniture.fr
DC1
DC2
DC3
DC4
DC5
DC6
DC7
DC8
DC9
DC10 DC11
DC12
furniture.it
Dans ce schéma, les "DC" représentent les "Domain Controller" dans chacun des domaines.
13. Case Study Page 12
III. Interconnexions entre les Localisations Géographiques
Ayant compris les recommandations du consultant externe, la société "Furniture.com" a négocié auprès
d'un provider présent dans les 4 pays, des connexions réseau entre ses localisations assez importantes et
donc coûteuses. Voici le schéma :
Barcelone
Belgique
HQ
Madrid
Valencia
Malaga
Nice
Bordeaux
MPLS
CLOUD
MPLS
CLOUD
MPLS
CLOUD
Paris
50 Mbits
15 Mbits
6 Mbits
15 Mbits
4 Mbits
2 Mbits
2 Mbits
DC1
DC2
DC12
DC3
DC4
DC8
DC9
DC7
DC6
DC5
DC10
DC11
MS1
MS3
MS4
MS2
Italie
15 Mbits
Nous pouvons percevoir que dans ce schéma, la localisation des "Domain Controller" est très précise.
14. Case Study Page 13
IV. Exchange Organisation
Comme la société ne possède pas beaucoup de moyens en termes de serveurs, certains "Domain
Controller" ont été choisis pour devenir des serveurs Exchange, à savoir :
- MS1, MS2 qui hébergeront les utilisateurs belges et italiens
- DC3 qui hébergera des utilisateurs de Barcelone et Madrid
- DC5 qui hébergera des utilisateurs de Malaga
- DC8 qui hébergera tous les utilisateurs français
De plus, comme ceux-ci sont situés dans des localisations géographiques différentes, le routage des mails
se fera selon le schéma suivant:
MS2
DC8
Internet
DC3MS1
MAIL
RELAY
DMZ 2
DC5
15. Case Study Page 14
Etant donné l’importance accordée au mail pour les utilisateurs belges, il vous est demandé d’établir une
redondance des mails sur le site Belge.
Redondance
MS1 MS2
16. Case Study Page 15
IV. Demandes
A. Organisation de la Société
Afin de faciliter la gestion des utilisateurs, la société a décidé d’établir une structure basée sur les
départements de chaque pays ou ville. Voici les départements :
Furniture.com
Administration
HR
Management
Furniture.es
Administration
Comptabilité
Sales.furniture.es
Sales
Marketing
Logistica.Furniture.es
IT
IT Process
IT Helpdesk
Furniture.fr
Administration
HR
Management
Admin.furniture.fr
IT
Central Computing
IT Helpdesk
Marketing.furniture.fr
Sales
Marketing
Post-Warranty Services
17. Case Study Page 16
Marketing.furniture.it
Sales
Marketing
Post-Warranty Services
B. Utilisateurs
Dans chaque Windows Domain, des utilisateurs devront être créés avec la structure suivante :
Furniture.com
First Name Username UPN Département VPN Wifi
U1-COM U20-
COM
U1-COM … U1-COM@techno.com
…
Administration Oui Oui
U21-COM U40-
COM
U21-COM … U21-COM@techno.com
…
HR Non Non
U41-COM U50-
COM
U41-COM … U41-COM@techno.com
…
Management Oui Oui
Furniture.es
First Name Username UPN Département VPN Wifi
U1-SP U40-SP U1-SP … U1-SP@techno.com
…
Administration Oui Oui
U41-SP U50-SP U41-SP … U41-SP@techno.com
…
Compta Non Non
Sales.furniture.es
First Name Username UPN Département
U1-SALES-SP U40-
SALES-SP
U1-SALES-SP … U1-SALES-SP@techno.com
…
Sales
U41-SALES-SP U50-
SALES-SP
U41-SALES-SP
…
U41-SALES-SP@techno.com
…
Marketing
18. Case Study Page 17
Logistica.furniture.es
First Name Username UPN Département
U1-IT-SP U20-IT-SP U1-IT-SP … U1-IT- SP@techno.com
…
IT
U21-IT-SP U40-IT-SP U21-IT-SP … U21-IT-SP@techno.com
…
IT Process
U41-IT-COM U50-IT-SP U41-IT-SP … U41-IT-SP@techno.com
…
IT Helpdesk
Furniture.fr
First Name Username UPN Département VPN Wifi
U1-FR U20-FR U1-FR … U1-FR@techno.com
…
Administration Oui Non
U21-FR U40-FR U21-FR … U21-FR@techno.com
…
HR Non Non
U41-FR U50-FR U41-FR … U41-FR@techno.com
…
Management Oui Oui
Admin.furniture.fr
First Name Username UPN Département
U1-TIC-FR U20-TIC-FR U1-TIC-FR … U1-TIC-
FR@techno.com
…
IT
U21-TIC-FR U40-TIC-FR U21-TIC-FR … U21-TIC-
FR@techno.com
…
Central Computing
U41-TIC-FR U50-TIC-FR U41-TIC-FR … U41-TIC-
FR@techno.com
…
IT Helpdesk
Marketing.furniture.fr
First Name Username UPN Département
U1-SALES-FR
U20-SALES-FR
U1-SALES-FR … U1-SALES-
FR@techno.com
…
Sales
U21-SALES-FR
U40-SALES-FR
U21-SALES-FR … U21-SALES-
FR@techno.com
…
Marketing
U41-SALES-FR
U50-SALES-FR
U41-SALES-FR … U41-SALES-
FR@techno.com
…
Post-Warranty Services
19. Case Study Page 18
furniture.it
First Name Username UPN Département
U1-SALES--IT U20-SALES-
IT
U1-SALES-IT … U1-SALES-
IT@techno.com
…
Sales
U21-SALES-IT
U40-SALES-IT
U21-SALES-IT … U21-SALES-
IT@techno.com
…
Marketing
U41-SALES-IT
U50-SALES-IT
U41-SALES-IT … U41-SALES-
IT@techno.com
…
Post-Warranty Services
C. Groupes
Tous les "security groups" nécessaires devront être créés.
20. Case Study Page 19
D. Ressources
Les ressources sont multiples mais peuvent être résumées de la manière suivante :
- Share par département
- Homedirectory
- Accès depuis l’extérieur
- Wifi
Share par département
Chaque département aura un répertoire auquel tous les membres pourront y accéder en modification. De
plus, le directeur du département (le premier user de la liste de chaque département), aura un dossier où il
pourra y déposer des données et tous les membres du département y accéder en lecture.
L'accès devra se faire par mapping créé par script associé à une GPO et mappant une arborescence unique
par domaine :
Furniture.com S:
Furniture.es T:
Sales.furniture.es U:
Logistica.furniture.es V:
Furniture.frW:
Admin.furniture.frX:
Marketing.furniture.frY:
furniture.itZ:
Ajouté à cela, tous les membres du département "Furniture.com – Management", auront accès à tous les
share de tous les autres groupes et domaines.
Homedirectory
Chaque user aura un homefolder se trouvant sur un serveur de son domaine et limité à 100MB.
L'accès à celui-ci ne sera pas réalisé par mapping, mais par redirection du répertoire "My Documents".
Un réplica de la structure et des données devra se trouver sur le deuxième DC de chaque domaine lorsque
cela est possible.
21. Case Study Page 20
Accès depuis l’extérieur
L’accès aux ressources depuis l’extérieur se fera via une SSL box située dans la DMZ1. Celle-ci devra
supporter tous les utilisateurs de toute la forêt 2012. Cependant, en fonction des utilisateurs de chaque
domaine, ils auront accès à différentes ressources :
Furniture.com Accès à l’owa + DFS + Push Mail sur Iphone
Furniture.es Accès à l’owa + DFS
Sales.furniture.es Accès à l’owa
Logistica.furniture.es Accès à l’owa
Furniture.fr Accès à l’owa + DFS
Admin.furniture.fr Accès aux serveurs membre TS
Marketing.furniture.fr Accès aux serveurs membre TS
Furniture.it Accès à l’owa + DFS
Cette SSL devra être en redondance avec une deuxième SSL en cluster.
Donc le basculement devra se faire de manière automatique et invisible pour les utilisateurs.
WIFI
L’entreprise demande de mettre en place un accès wifi pour ses utilisateurs. Pour ce faire, elle compte
déployer 2 AP par pays.
Cependant, ayant bien compris les problèmes de sécurité que cela entraîne, elle a décidé de créer 2 types
d’accès :
Pour les utilisateurs internes :
o L’authentification se fait sur base de
PEAP – EAP-TLS
Appartenance à un groupe (cfr liste des users)
o Le chiffrement se fait sur base de WPA2 – enterprise
o Il y en a 1 pour tous les pays
Pour les utilisateurs externes :
o L’authentification se fait sur base d’un portail web
o Il y en a 1 par pays
Etant donné que le nombre d’AP est important, il vous est demandé d’utiliser un Wireless Controller sur
le site belge afin de les configurer de manière centralisée .
22. Case Study Page 21
E. Exchange
L'infrastructure Exchange devra être configurée pour répondre aux demandes suivantes :
1. Adress E-mail
L'adresse e-mail générée pour tous les users sera du type :
username@furniture.com
Ou username@furniture.fr
Ou username@furniture.es
Ou username@furniture.it
Suivant le pays dans lequel les utilisateurs sont créés.
2. Address List
Il faudra générer une "address list" par département différent.
3. Salles de Réunion
Dans chaque capitale, la société possède 3 salles de réunion dont le planning de réservation doit être
soigneusement tenu à jour. Voici les noms :
En Espagne :
Picasso
Dali
Velasquez
En France
Margaux
Pauillac
Pomerol
En Belgique
Tintin
Largo Winch
LadyS
4. Paramètres des boîtes aux lettres
Chaque utilisateur de chaque domaine aura un quota de 1go avec un warrning à 900MB
23. Case Study Page 22
F. Security
La sécurité est au cœur des préoccupations de la société. Dès lors, les mesures suivantes devront être
scrupuleusement suivies :
- Une solution de déploiement d’OS centralisé devrait être mise en place.
- le patching intégral des OS et des applications devra être réalisé. Cependant afin de limiter
l’utilisation de la bande passante, une solution devra être trouvée.
- Demandes particulières du client pour tout le monde sauf pour l'administrateur (et évidemment sur
toutes les machines sauf sur les serveurs) :
pas d'accès à la base des registres
pas d'accès aux lecteurs floppy ni CD Rom/DVD Rom
lock automatique de la machine après 15 minutes
pas d'accès au control panel
pas d'utilisation de stick USB (pas dans le BIOS)
figer le fond d’écran avec une image
Déploiement du certificat du CA + du certificat machine
Personnalisation du bandeau d’internet Explorer + ajout de favoris
- Une architecture de mise à jour centralisée d'Antivirus pour chaque pays et d'une approche multi-
tiers devra être déployée sur base de Symantec Endpoint ainsi que Symantec Mail Security
Fundation for Exchange et Symantec Brightmail Gateway installé sur une machine et situé dans la
DMZ 2
- Le backup intégral de toutes les mailbox et du system state de tous les serveurs se trouvant sur le
site belge devra être déployé sur le DC1. La politique de backup devra être déployée le plus tôt
possible pour sécuriser ce domaine crucial. Le logiciel sera SYMANTEC BACKUP Exec 2014
SP1. De plus, sur les autres sites, le backup devra se faire tous les jours en full sur un NAS local au
site. On doit être capable de revenir 4 semaines en arrière.
La société ne possède qu’une seule « tape library » sur le site Belge et voudrait qu’une fois par
semaine les backups de tous les sites soient copiés sur ces tapes afin de déployer une stratégie du
type « backup to disk to tape ».
- Tous les utilisateurs faisant partie de l’OU Administration ou IT devront avoir une politique de mot
de passe plus élevée pour les domaines de France, Belgique, Espagne :
12 caractères avec une complexité de mots de passe
Historique de 24 mots de passe
Verrouiller après 3 mots de passe incorrects jusqu'à ce que l’administrateur
débloque le compte
24. Case Study Page 23
G. Autres
1. La structure des OUs de chaque domaine, devra tenir compte de la classification des objets par
département, mais aussi sur base de la distribution de package .msi sur les PC. Il y a 2 OS différents
(Win 7 Pro et Win 8.1 pro) et 4 configurations software par OS, et ce dans chaque domaine.
2. Pour donner un peu plus de souplesse aux utilisateurs et pour faciliter le travail du Helpdesk, un
"Volume Shadow Copy" devra être activé pour tous les répertoires des différents départements.
3. Tout au long de l’implémentation de ce case, il vous est demandé de tester votre infrastructure afin
que celle-ci soit complètement opérationnelle et efficiente. Pour ce faire il vous est conseillé de
déployer par pays 2 machines clientes. Celles-ci auront un OS déployé par WDS à partir du site
espagnol. De plus, une machine sera située sur Internet afin de tester les VPNs et la SSL.
4. Afin d’optimiser l’infrastructure, le consultant ayant réalisé l'étude, a souligné l'importance des
points suivants :
une architecture de services réseau supportant toute l'AD avec un maximum
d'autonomie sur chaque site Windows
un déploiement centralisé des différents serveurs achetés tous en Belgique. En
effet, pour des raisons de négociation, tous les serveurs ont été achetés chez le
même fournisseur même s'ils ne sont pas issus du même fabricant.
Une documentation détaillée de tous les serveurs sera demandée à la fin du case
afin d’avoir une vue globale de la situation.