Ralis par

COMPTE RENDU
PPE2
Compte rendu du second PPE portant sur la mise en place des
services Active Directory, partage de fichiers, DHCP, DNS et
supervision ainsi que leur redondance.
Table des matires
Sommaire............................................................................................................... 1
I. Introduction...................................................................................................... 2
II. Analyse du cahier des charges.........................................................................3
III. Solutions proposes...................................................................................... 5
IV. Ralisation technique et recette de tests......................................................6
V. Conclusion........................................................................................................ 9

Sommaire
 I. Introduction

Dans le cadre des projets dvolution de linfrastructure informatique de lhpital

Hippocrate, et en accord avec la direction de lhpital, nous avons procd la
ralisation du second projet de mise en place. Aprs la configuration de la base
du cur de rseau, nous avons ralis limplantation des premiers services
rseau.
Voici dans les grandes lignes, les services implanter :

Contrleur de domaine (LDAP et DNS)

Serveur de fichiers
Serveur DHCP (LINUX)
Serveur de supervision (LINUX)

Ce shma montre le
cur de rseau de
lhpital Hippocrate sur le
site de Versailles.
Dans lencadr rouge se
trouve la reprsentation
du Vlan20. Il est ddi a
accueillir les serveurs qui
sur lesquels nous avons
install les services
rseaux demands. Dun
point de vue matriel,
nous disposons dun
serveur Fujitsu possdant
deux disques de 500Go
monts en RAID 1.
Lhyperviseur ESXI a t
install dessus. En
complment, une baie de
disque QNAP disposant de
quatre disques d1 To a t install en RAID 10.
Dun point de vue
logique, voici le shma du
VLAN 20
II. Analyse du cahier des charges

Lanalyse du cahier des charges sera prsent service par service

1. Contrleur de domaine

Ce service est destin permettre lauthentification, la gestion des

permissions, et lapplication des stratgies ainsi que le rfrencement et la
hirarchisation des ressources de lhpital Hippocrate.
Le service DNS est coupl au service dannuaire LDAP.

La stratgie de mot de passe du domaine exige est la suivante :

Le nom de domaine retenu est versailles.hippocrate.org.

De plus, il est demand que le script de logon des utilisateurs dfinisse les
permissions NTFS via un fichier texte.

La haute disponibilit du service est galement impose.

2. DHCP

A la demande de la direction de lhpital, ce service devait tre intgr

dans un environnement UNIX.
Chaque sous rseau (sous rserve quil faille des configurations DHCP)
doivent possder leur propre pool de distribution.
La haute disponibilit est galement exige.

3. Serveur de fichiers

Chaque utilisateur authentifi doit pouvoir bnficier de 5Go de stockage

personnel sur un emplacement rseau. Cette limite est porte 10Go pour
les chirurgiens.
Il est galement demand de restreindre laccs aux dossiers partags de
la manire suivante
 Il est galement demand de penser amliorer les performances du
service et dassurer encore une fois la haute disponibilit.
4. Supervision
La supervision a pour but davoir en temps rel une surveillance de diffrents
lments du rseau pour pouvoir ragir au mieux en cas de risque pour la
continuit de service ou la remise en tat des services.
Pour cela, il est demand davoir un serveur ddi sous Unix permettant de
monitorer lensemble du rseau Versailles.
III. Solutions proposes

Comme prcdemment, nous allons reprendre point par point les services
mettre en place et les solutions techniques apports par nos quipes.
1. Contrleur de domaine
Tout dabord, nous avons choisi dutiliser des serveurs Microsoft Windows
2012R2.
Ces machines nauront pour rles et fonctionnalits que dtre contrleurs de
domaine et serveur DNS. Ainsi, pour la haute disponibilit, nous avons choisi
dinstaller le premier serveur sur le serveur ESXI et le second sur la Baie de
disque.
La fort versailles.hippocrate.org a t cre et une relation dapprobation
bidirectionnelle a t mise en place entre les deux serveurs.
La modlisation de lActive Directory est la suivante :
Les serveurs DC se sont aussi vu corriger au mieux leur heure synchroniser celle
des machines du domaine en attendant dimplmenter NTP.
2. DHCP
Le choix de lOS sest port sur Debian 8. Le paquet utilis pour le service DHCP
est isc-dhcp-server. Cest un logiciel qui prend en charge la fois la distribution
de configuration IP et le failover pour la continuit de service.
Nous avons conclu que tous les sous-rseaux devaient tre configurs
lexception des VLAN 20, 30, 40 et 50.
En effet, le vlan 2 accueil les serveurs qui sont en configuration statique. Le vlan
30 est ddi la tlphonie et le pool DHCP sera la charge de lIPBX. Le Vlan 40
nest pas trait car il sagit de la DMZ. Quant au VLAN 50, il est utilis pour
connecter les switches de cur au routeur.
Dans un souci damliorer les performances, nous avons galement dcid
dutiliser la fonction split du paquet isc-dhcp-server qui permet de partager un
pool dadresses IP.
3. Serveur de fichiers
Le serveur de fichier utilise un systme Microsoft 2012R2.
La gestion des partages et des permissions peut donc tre gr via des
permissions NTFS. Pour assurer la redondance et lamlioration des
performances, nous avons dcid dimplanter DFS entre nos deux serveurs ce qui
assure galement la haute disponibilit.
Comme demand, un script soccupera dattribuer les permissions NTFS sur les
dossiers partags. Les permissions de partages seront gres via les groupes
dfinis dans lActive Directory pour affiner les permissions effectives.
 4. Supervision
Pour la supervision, nous avons choisi dutiliser Eye Of Network en version 4.
Voici le plan des matriels, status, et services superviser :

IV. Ralisation technique et recette de tests

Pour faire suite au premier projet, nous avons rsolu deux objectifs non atteints.
Le premier point a t de mettre en place le VLAN 50 dans le but datteindre le
routeur. Les routes, les IP et le vlan ont t cres et utilises. Nous avons russi
atteindre Internet depuis tous les VLAN.
Le second point tait un souci de routage d la configuration de linterlan avec
Paris. En utilisant un port Lan du Zyxel au lieu dun Wan, nous avons rsolu le
problme.
Une correction a par ailleurs t apporte sur les passerelles de chaque sous
rseau. Nous avons modifi les routes sur le routeur puis dit les configurations
de tous les vlan sur le switch de cur pour que la passerelle soit en 10.78.XX.254
dans le but de rpondre au cahier des charges.
Nous avons dfini une premire estimation des ressources ncessaires
linstallation de chacune des machines en respectant les limites techniques du
serveur VER-SER-ESXI01. (Notamment la RAM)

Pour installer les Systmes dexploitation, nous avons fourni aux techniciens une
check liste standard dactions raliser (une Windows et une linux Debian).
Une fois renomms, adresses, , le contrleur de domaine VER-SER-DC01 sest
vu installer la fonctionnalit contrleur de domaine . La fort a alors t cre.
Les autres serveurs ont t intgrs au domaine. Le second serveur DC a t
configur galement. Enfin, les techniciens ont cr la relation dapprobation
bidirectionnelle entre les deux serveurs. La synchronisation des objets sest alors
faite. Les techniciens ont alors pu commencer travailler sur les scripts de
cration des objets.
En parallle, le serveur de fichiers a t configur. Les partages ont t crs.
Les permissions NTFS dfinis. Pour les permissions de partage, il a fallu attendre
la cration des groupes dans lActive Directory. En attendant, le service WSUS a
t install sur le volume DATA qui hberge galement le stockage. Nous avons
aussi cr un partage cach nomm Info$ pour mettre en place la politique de
management des connaissances. Les procdures, sauvegardes de configurations
et informations utilises y ont t sauvegards en plus du Google Drive utilis.
Pour la scurit des mots de passe, un logiciel de gestion de mot de passe
scuris a t install. Il sagit DEnPass.
A ct de cela, les serveurs DHCP ont t configurs. Ils nont pas encore t
intgrs au domaine. Mais ils peuvent cependant fonctionner en standalone. Le
service SSH a t implment pour un accs distant scuris avec interdiction
dutiliser lutilisateur Root. Peu aprs, lauthentification forte UNIX a t dploye
sur ces machines via la gnration de certificats avec Key-Gen. La configuration
DHCP sest faite de la manire suivante.

authoritative; # Paramtrage du failover du DHCP Master

failover peer "versailles" {

primary ; # Dclare ce serveur comme master.

address 10.78.20.4 ; # Adresse du serveur master.

port 520 ; # Port d'coute du serveur master.

 peeraddress 10.78.20.10 ; # Adresse du serveur slave.

peer port 520 ; # Port d'coute du serveur slave.

-response-delay 60 ; # Temps de non rponse du slave.

max-unacked-updates 10 ;

mclt 3600 ;

split 128 ; # Rpartition des plages d'adresses.

load balance max seconds 3 ;

subnet 10.78.10.0 netmask 255.255.255.0 { #Dclaration du sous rseau

pool{ #Dclaration du pool

failoverpeer "versailles"; # Indique la configuration du failover

optionrouters 10.78.10.254; # Passerelle par dfaut

optiondomain-name-servers 10.78.20.2; # Serveur DNS

range 10.78.10.20 10.78.10.253; # Plage d'adresses IP distribus

default-lease-time 3600 ; # Bail de 1 heure par dfaut

max-lease-time 18000 ; # Bail pouvant aller jusqu' 5 heures

La configuration optiondomain-name-servers ne fonctionne pas. Elle sera remplacer par

option netbios-name-servers 10.78.20.1, 10.78.20.2; pour la prise en charge des

clients Windows.

Enfin, nous avons la supervision. Elle a t mise en place au fur et mesure. Un technicien
a mis en place les bases du serveur savoir crer la VM, installer EyeOfNetwork., nommer
et adresser la machine. Une fois le service de supervision oprationnel, ce dernier s est
charg de superviser et dindiquer la marche suivre chaque technicien en charge de la
configuration des quipements superviser pour mettre en place le protocole SNMP dans
notre communaut (ver-sup). La version choisit pour SNMP est la version 2. Nous avons
donc monitor petit petit chacun des services, matriel et systme qui composent
linfrastructure de Versailles.

Un seuil dalerte a t dfini 60% et dalerte critique 80%. (Indpendament

du service ou matriel, espace disque, charge rseau, adresses IP restantes,
etc)
Enfin, une adresse email commune dalerte a t cre
sio.pee17.massy@gmail.com qui revoie les alertes directement aux
administrateurs.

Sur le serveur de fichiers, nous avons donc cr des partages rseau selon
larborescence suivante :

Dans le rpertoire partage 2 se trouve un rpertoire nomm par nom dOU de

lAD. Chaque ple lexception de DIRECTION 4 sous rpertoires ; un par titre
professionnel.
Les permissions NTFS de partage2 sont laffichage du contenu des dossiers pour
les utilisateurs authentifis et propritaire pour le groupe Admins du domaine.
 Pour les permissions de partage, nous avons
repris notre organisation de lactive directory.
Chaque titre professionnel et service un groupe
GR_service_titrePro
Un groupe GR_CHIRURGIEN englobe tous les
groupes de chirurgiens.
Le groupe GR_Versailles englobe tous les
utilisateurs de lAD.
Voici le tableau des permissions

DFS quant lui a t mis en place de la manire suivante. Copie complte des
dossiers partags sur le second serveur, puis activation du service rplication
DFS sur les deux machines.
La zone DFS est \\versailles\ NomDePartage la rplication a t mise en place
entre les deux. En rgle de synchronisation, nous avons mis une actualisation
chaque nouveaut car il est primordiale pour des mdecins davoir linformation
la plus fiable possible.

RECETTE :

OBJET TEST RESULTAT VALIDATION

ATTENDU
DC check list Contrle manuel Tout OK V
DC Cration OU, GRP, Cration manuelle Cration russit V
USER
DC Synchronisation des Cration dun Rplication sur V
DC objet sur lun. lautre
DC - Script Execution script Rsultat attendu X
DC Intgration de Intgration dune Machine apparut V
machines machine dans AD
DHCP Etat du service Commande Active V
service isc-dhcp-
server status
DHCP Distribution par Test ipconfig Ip dans la bonne V
VLAN /renew par VLAN plage dadresses
et non distribution
dans les plage
hors dhcp
DHCP FailOver Arrt dun serveur Continuit via V
lautre
FS - Partages Smb://ver-ser-fs01 Appparition de V
tous les partages
FS - Permissions Test avec Rsultat prvu X
utilisateurs
autoriss et non
autoris sur tous
les partages
FS - Redondance Arrt dun serveur Continuit via V
lautre
DNS Rsolution de noms Nslookup Ip du Nom rsolu V
Netbios LAN
DNS Rsolution de noms Nslookup IP V
DNS www.google.fr
EoN - Contrle Check vues de Tous les lments V
synthse prsents
EoN - alerte Mise en warning Mails dalerte V
des services puis reus
critique
EoN - Fonctionnement Mise en warning Alertes reus V
des services puis chaque fois
critique de tous
les services

V. Conclusion

Pour conclure, la majorit des services sont totalement oprationnels.

Pour faciliter ladministration, nous avons scuris et diversifi les moyens
daccder aux quipements :
Le routeur est accessible via interface web et en SSH. Les switchs sont encore en
accs console et telnet. Telnet sera dsactiv ds quIOS sera mis jour pour tre
remplacer par SSH.
Quelques ajustements restent faire et la partie script de logon des utilisateurs
et totalement faire mais des bauches ont t dbutes.