Techno.bel

Case Study FURNITURE.COM

7 Octobre 2014

Grégorio Matias

Release 4.1a

©Copyright Matias Consulting Group sprl, 2014.

Case Study Page 1

Table des Matières

Introduction ................................................................................................................................................................................2 

Partie 1 : Réseau .......................................................................................................................................................................3 

Partie 2 : Virtualisation ...............................................................................................................................................................8 

Partie 3 : E-Monitoring ............................................................................................................................................................ 10 

Partie 4 : Windows ................................................................................................................................................................. 11 

Partie 5 : Annexes .................................................................................................................................................................. 24 

Case Study Page 2

Introduction

La société « furniture.com » est en charge de la vente de meubles de bureau à très haute valeur ajoutée. Elle est actuellement répartie sur 4 pays : Belgique (quartiers généraux), la France, l’Italie et l'Espagne où elle est particulièrement bien développée avec 3 succursales. Nous supposons que cette société au niveau informatique ne possède rien puisqu’elle résulte d’un rassemblement, et il vous est demandé de mettre en œuvre les desideratas du client à savoir :

- Une infrastructure réseau locale et internationale - Une infrastructure de sécurité locale et internationale - Une Infrastructure de virtualisation VMware/Hyper-V et de redondance locale et internationale - Une Infrastructure Windows/Exchange internationale

Un travail intensif de design a été réalisé par une société de consultance externe, tout en tenant compte du matériel déjà existant et des contraintes multiples de cette société. Le résultat de ce design se trouve dans ce document. Vous venez d’être engagé par cette société en qualité de « Cloud System Engineer », et il vous revient donc la tâche de mettre en œuvre ce design de manière concrète.

Case Study Page 3

Partie 1 : Réseau

Nous pouvons percevoir que dans ce schéma, la localisation des implantations est très précise et que la sortie sur Internet est unique et centrée sur Bruxelles, qui est le siège central. On y a défini tout le plan d’adressage pour les différents sites. Les utilisateurs autorisés des différents sites devront avoir la possibilité de faire du « client to gateway » pour leurs sites respectifs. Voici le schéma :

Case Study Page 4

A. Interconnexions des sites principaux Pour le « Cloud » reliant les quatre sites principaux à savoir Bruxelles, Paris, Rome et Barcelone, il vous est demandé de déployer un full « mesh VPN » sécurisé. De plus, le firewall (SSG140) sur le site de Bruxelles gérera la sortie sur internet et sera configuré en HA.

IPSEC TunnelGateway to Gateway

Full Mesh

SSG5SSG5

SSG5

SSG140

Internet

VPN Tunnel

Case Study Page 5

B. Architecture réseau du site central - Bruxelles

Catalyst 2960 SERIES

MODE

SYSTRPSMASTRSTATDUPLXSPEED

1X

2X

11X

12X

1 2 3 4 5 6 7 8 9 10 11 12

19X

20X

13 14 15 16 17 18 19 20

21

9X

10X

22 23 24

Cisco 2960

Catalyst 2960 SERIES

MODE

SYSTRPSMASTRSTATDUPLXSPEED

1X

2X

11X

12X

1 2 3 4 5 6 7 8 9 10 11 12

19X

20X

13 14 15 16 17 18 19 20

21

9X

10X

22 23 24

Cisco 2960

 

 

Etherchannel

HA

CISCO AIRONET 1200 I WIRELESS ACCESS POINT

AP 1200NAS italie

Belgique(BE)

Vlan 1 : 10.3.0.0 /24Vlan 2 : 10.3.1.0 /24Vlan 3 : 10.3.2.0 /24Vlan 4 : 10.3.3.0 /24

Vlan 5 : 10.3.4.0 /24

Serveur italien

CISCO AIRONET 1200 I WIRELESS ACCESS POINT

AP 1200

Pour des raisons de sécurité, le NAS utilisé ne sera pas accessible directement par les clients.

Le routage inter-vlan sera géré par le firewall. Sur le switch de la Belgique, le vlan 1 sera réservé aux serveurs de la Belgique, le vlan 2 sera réservé aux machine client belges, le vlan 3 sera attribué à l’accès wifi sécurisé et le Vlan 4 sera destiné au wifi guest. Les Vlans devront être déportés sur tous les Switch. Les autres vlans répondront à des besoins futurs.

Case Study Page 6

D. Interconnexions du site de Paris

Pour des raisons de sécurité :

La zone de Paris sera séparée de celle de « Nice et Bordeaux » via le firewall Le NAS utilisé pour la publication du cloud privé Français ne sera pas accessible directement par

les clients

Le routage inter-vlan sera géré par le Juniper. Sur le switch de Nice et bordeaux, le vlan 1 sera réservé aux serveurs de Nice, le vlan 2 sera réservé aux serveurs de Bordeaux. Sur les switch de Paris, le vlan 1 sera réservé aux serveurs de Paris, le vlan 2 sera réservé aux clients de Paris, le vlan 3 sera attribué à l’accès wifi Guest.

CISCO AIRONET 1200 I WIRELESS ACCESS POINT CISCO AIRONET 1200 I WIRELESS ACCESS POINT

Etherchannel

 

Case Study Page 7

E. Interconnexions du site de Barcelone

Le routage inter-vlan sera géré par le firewall. Le vlan 1 sera réservé aux serveurs. Les Vlans devront être déportés sur tous les switchs. Les autres vlans répondront à des besoins futurs.

EX4200

EX4200

Cisco 2960

SSG5

6 VLANs dont 2 gérés par le FWVlan 1 : 10.1.0.0/28Vlan 2 : 10.1.0.32/28

4 VLANs gérés par le switchVlan 3 : 10.1.0.96/28Vlan 4 : 10.1.0.128/28Vlan 5 : 10.1.0.160/28Vlan 6 : 10.1.0.192/28

Espagne(ES)

Etherchannel

Case Study Page 8

Partie 2 : Virtualisation

A. Description La Société souhaite mettre en œuvre deux « Cloud privés » reposant sur les techniques de Virtualisation basées sur VMware VSphere 5 et Hyper-V. Pour ce faire, elle va procéder par phase. Dans un premier temps, les serveurs de Nice et Bordeaux seront déportés vers le Cloud privé VMware situé à Paris. Et le serveur Italien sera déporté vers le cloud privé Hyper-v situé à Bruxelles. Si les résultats sont concluants, le reste des serveurs suivront dans un projet ultérieur.

B. Architecture Voici les recommandations à suivre concernant l’infrastructure VMware:

Possibilité pour des raisons de maintenance ou de défaillance de la machine physique d’être déplacé facilement de machine en machine

Pouvoir avoir une haute disponibilité même si baisse de performance (SLA 99,9%) Redondance sur 3 machines physiques Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces

machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS italien afin d’y stocker les images ISO. Cette partition sera partagée entre les 3 machines physiques.

L’administrateur devra être prévenu par mail si o Le CPU et la RAM dépasse 80% o Une machine virtuelle tombe en panne o La capacité de stockage sur le NAS est inférieure à 15% o Une machine physique est défaillante

Seul l’administrateur du domaine furniture.com pourra gérer l’ensemble des serveurs de manière centralisée. L’administrateur du domaine furniture.it pourra gérer les serveurs physiques mais pas de manière centralisée.

Voici les recommandations à suivre concernant l’infrastructure Hyper-V:

Possibilité pour des raisons de défaillance d’être déplacé facilement de machine en machine via la technique de l’hyper-v replica.

Redondance entre 2 machines physiques Une fois les machines physiques installées, il n’y aura plus d’accès physique à ces

machines. En conséquence, il vous est demandé de créer une partition de 300Go sur le NAS français afin d’y stocker les images ISO. Cette partition sera partagée entre les 2 machines physiques.

Le smtp relay sera virtualisé dans un ESXi en Belgique et vu l’importance des mails pour la société, il est conseillé de créer une autre VM sur une autre machine physique et de s’assurer que si la première VM tombe, on puisse recevoir et envoyer les mails via la deuxième VM. Le serveur de management des ESXi sera virtualisé dans les ESXi correspondants. Toute autre machine, hormis celles qui sont définies dans ce case, que vous jugerez utile dans les sites de Belgique, France devra être virtualisée.

Case Study Page 9

C. Bureau à distance L’entreprise souhaite pouvoir bénéficier des avantages du « Terminal Server » qui permettra de publier des environnements complets sur le site de Paris pour les utilisateurs de Bordeaux et de Nice. Il doit être permis à tous les utilisateurs de Bordeaux et de Nice d’obtenir un environnement complet de travail avec toutes les applications nécessaires. Ceux-ci seront accessibles aux utilisateurs depuis leur station. La liste des applications incluses dans leur environnement pour tous les utilisateurs des sites de Nice et Bordeaux est :

Winzip Office 2013 (avec outlook possédant une configuration automatique vers leur mailbox) Adobe Acrobat Reader Tous les logiciels de sécurité nécessaires (ex. antivirus, …)

Afin d’assurer une certaine redondance au niveau TS, il est demandé de créer une ferme de « terminal serveur » située à Paris et composée des serveurs MS3 et MS4.

Case Study Page 10

Partie 3 : E-Monitoring Monitorer à l’aide de Solarwinds Orion sur un Windows server 2012R2 tous les composants matériels :

Switch Routeur Firewall

Ce monitoring se fera en protocole SNMP et sur le site de Bruxelles.

Case Study Page 11

Partie 4 : Windows

I. Description

Nous supposons que cette société au niveau informatique ne possède rien et il vous est demandé de mettre en œuvre les desideratas du client à savoir une "Windows 2012R2 Forest" internationale. Pour tous les aspects de messagerie et de travail collaboratif, le client a décidé d'utiliser Exchange 2013 et donc une "Exchange Organisation" internationale elle aussi. La société pense donc déployer 12 DC et 4 serveurs membres répartis sur l’ensemble des sites de la forêt. II. Schéma Logique à obtenir

Ayant fait appel à un consultant, la société "furniture.com" a reçu de celui-ci la structure logique globale de l'Active Directory à obtenir, dont voici le schéma :

furniture.com

furniture.es

sales.furniture.es logistica.furniture.esfurniture.fr

admin.furniture.fr marketing.furniture.fr

DC1DC2

DC3DC4

DC5DC6

DC7DC8DC9

DC10 DC11

DC12

furniture.it

Dans ce schéma, les "DC" représentent les "Domain Controller" dans chacun des domaines.

Case Study Page 12

III. Interconnexions entre les Localisations Géographiques

Ayant compris les recommandations du consultant externe, la société "Furniture.com" a négocié auprès d'un provider présent dans les 4 pays, des connexions réseau entre ses localisations assez importantes et donc coûteuses. Voici le schéma :

Barcelone

BelgiqueHQ

Madrid

Valencia

Malaga

Nice

Bordeaux

MPLSCLOUD

MPLSCLOUD

MPLSCLOUD

Paris

50 Mbits

15 Mbits

6 Mbits

15 Mbits

4 Mbits

2 Mbits

2 Mbits

DC1DC2

DC12

DC3DC4

DC8DC9

DC7

DC6

DC5

DC10DC11

MS1

MS3

MS4

MS2

Italie15 Mbits

Nous pouvons percevoir que dans ce schéma, la localisation des "Domain Controller" est très précise.

Case Study Page 13

IV. Exchange Organisation

Comme la société ne possède pas beaucoup de moyens en termes de serveurs, certains "Domain Controller" ont été choisis pour devenir des serveurs Exchange, à savoir :

- MS1, MS2 qui hébergeront les utilisateurs belges et italiens - DC3 qui hébergera des utilisateurs de Barcelone et Madrid - DC5 qui hébergera des utilisateurs de Malaga - DC8 qui hébergera tous les utilisateurs français

De plus, comme ceux-ci sont situés dans des localisations géographiques différentes, le routage des mails se fera selon le schéma suivant:

MS2

DC8

Internet

DC3MS1

MAILRELAY

DMZ 2

DC5

Case Study Page 14

Etant donné l’importance accordée au mail pour les utilisateurs belges, il vous est demandé d’établir une redondance des mails sur le site Belge.

Redondance

MS1 MS2

Case Study Page 15

IV. Demandes

A. Organisation de la Société

Afin de faciliter la gestion des utilisateurs, la société a décidé d’établir une structure basée sur les départements de chaque pays ou ville. Voici les départements : Furniture.com Administration HR Management

Furniture.es Administration Comptabilité

Sales.furniture.es Sales Marketing

Logistica.Furniture.es IT IT Process IT Helpdesk

Furniture.fr Administration HR Management

Admin.furniture.fr IT Central Computing IT Helpdesk

Marketing.furniture.fr Sales Marketing Post-Warranty Services

Case Study Page 16

Marketing.furniture.it Sales Marketing Post-Warranty Services

B. Utilisateurs

Dans chaque Windows Domain, des utilisateurs devront être créés avec la structure suivante :

Furniture.com

First Name Username UPN Département VPN Wifi U1-COM U20-COM

U1-COM … U1-COM@techno.com …

Administration Oui Oui

U21-COM U40-COM

U21-COM … U21-COM@techno.com …

HR Non Non

U41-COM U50-COM

U41-COM … U41-COM@techno.com …

Management Oui Oui

Furniture.es

First Name Username UPN Département VPN Wifi U1-SP U40-SP U1-SP … U1-SP@techno.com

… Administration Oui Oui

U41-SP U50-SP U41-SP … U41-SP@techno.com …

Compta Non Non

Sales.furniture.es

First Name Username UPN Département U1-SALES-SP U40-SALES-SP

U1-SALES-SP … U1-SALES-SP@techno.com …

Sales

U41-SALES-SP U50-SALES-SP

U41-SALES-SP …

U41-SALES-SP@techno.com …

Marketing

Case Study Page 17

Logistica.furniture.es

First Name Username UPN Département U1-IT-SP U20-IT-SP U1-IT-SP … U1-IT- SP@techno.com

… IT

U21-IT-SP U40-IT-SP U21-IT-SP … U21-IT-SP@techno.com …

IT Process

U41-IT-COM U50-IT-SP U41-IT-SP … U41-IT-SP@techno.com …

IT Helpdesk

Furniture.fr

First Name Username UPN Département VPN Wifi U1-FR U20-FR U1-FR … U1-FR@techno.com

… Administration Oui Non

U21-FR U40-FR U21-FR … U21-FR@techno.com …

HR Non Non

U41-FR U50-FR U41-FR … U41-FR@techno.com …

Management Oui Oui

Admin.furniture.fr

First Name Username UPN Département U1-TIC-FR U20-TIC-FR U1-TIC-FR … U1-TIC-

FR@techno.com …

IT

U21-TIC-FR U40-TIC-FR U21-TIC-FR … U21-TIC-FR@techno.com …

Central Computing

U41-TIC-FR U50-TIC-FR U41-TIC-FR … U41-TIC-FR@techno.com …

IT Helpdesk

Marketing.furniture.fr

First Name Username UPN Département U1-SALES-FR U20-SALES-FR

U1-SALES-FR … U1-SALES-FR@techno.com …

Sales

U21-SALES-FR U40-SALES-FR

U21-SALES-FR … U21-SALES-FR@techno.com …

Marketing

U41-SALES-FR U50-SALES-FR

U41-SALES-FR … U41-SALES-FR@techno.com …

Post-Warranty Services

Case Study Page 18

furniture.it

First Name Username UPN Département U1-SALES--IT U20-SALES-IT

U1-SALES-IT … U1-SALES-IT@techno.com …

Sales

U21-SALES-IT U40-SALES-IT

U21-SALES-IT … U21-SALES-IT@techno.com …

Marketing

U41-SALES-IT U50-SALES-IT

U41-SALES-IT … U41-SALES-IT@techno.com …

Post-Warranty Services

C. Groupes

Tous les "security groups" nécessaires devront être créés.

Case Study Page 19

D. Ressources

Les ressources sont multiples mais peuvent être résumées de la manière suivante :

- Share par département - Homedirectory - Accès depuis l’extérieur - Wifi

Share par département Chaque département aura un répertoire auquel tous les membres pourront y accéder en modification. De plus, le directeur du département (le premier user de la liste de chaque département), aura un dossier où il pourra y déposer des données et tous les membres du département y accéder en lecture. L'accès devra se faire par mapping créé par script associé à une GPO et mappant une arborescence unique par domaine :

Furniture.com S:\ Furniture.es T:\

Sales.furniture.es U:\

Logistica.furniture.es V:\ Furniture.frW:\ Admin.furniture.frX:\ Marketing.furniture.frY:\ furniture.itZ:\

Ajouté à cela, tous les membres du département "Furniture.com – Management", auront accès à tous les share de tous les autres groupes et domaines. Homedirectory

Chaque user aura un homefolder se trouvant sur un serveur de son domaine et limité à 100MB. L'accès à celui-ci ne sera pas réalisé par mapping, mais par redirection du répertoire "My Documents". Un réplica de la structure et des données devra se trouver sur le deuxième DC de chaque domaine lorsque cela est possible.

Case Study Page 20

Accès depuis l’extérieur L’accès aux ressources depuis l’extérieur se fera via une SSL box située dans la DMZ1. Celle-ci devra supporter tous les utilisateurs de toute la forêt 2012. Cependant, en fonction des utilisateurs de chaque domaine, ils auront accès à différentes ressources :

Furniture.com Accès à l’owa + DFS + Push Mail sur Iphone

Furniture.es Accès à l’owa + DFS

Sales.furniture.es Accès à l’owa

Logistica.furniture.es Accès à l’owa Furniture.fr Accès à l’owa + DFS Admin.furniture.fr Accès aux serveurs membre TS Marketing.furniture.fr Accès aux serveurs membre TS Furniture.it Accès à l’owa + DFS

Cette SSL devra être en redondance avec une deuxième SSL en cluster. Donc le basculement devra se faire de manière automatique et invisible pour les utilisateurs. WIFI L’entreprise demande de mettre en place un accès wifi pour ses utilisateurs. Pour ce faire, elle compte déployer 2 AP par pays. Cependant, ayant bien compris les problèmes de sécurité que cela entraîne, elle a décidé de créer 2 types d’accès :

Pour les utilisateurs internes : o L’authentification se fait sur base de

PEAP – EAP-TLS Appartenance à un groupe (cfr liste des users)

o Le chiffrement se fait sur base de WPA2 – enterprise o Il y en a 1 pour tous les pays

Pour les utilisateurs externes : o L’authentification se fait sur base d’un portail web o Il y en a 1 par pays

Etant donné que le nombre d’AP est important, il vous est demandé d’utiliser un Wireless Controller sur le site belge afin de les configurer de manière centralisée .

Case Study Page 21

E. Exchange

L'infrastructure Exchange devra être configurée pour répondre aux demandes suivantes : 1. Adress E-mail

L'adresse e-mail générée pour tous les users sera du type :

username@furniture.com Ou username@furniture.fr Ou username@furniture.es Ou username@furniture.it Suivant le pays dans lequel les utilisateurs sont créés.

2. Address List Il faudra générer une "address list" par département différent.

3. Salles de Réunion Dans chaque capitale, la société possède 3 salles de réunion dont le planning de réservation doit être soigneusement tenu à jour. Voici les noms : En Espagne :

Picasso Dali Velasquez

En France Margaux Pauillac Pomerol

En Belgique Tintin Largo Winch LadyS

4. Paramètres des boîtes aux lettres

Chaque utilisateur de chaque domaine aura un quota de 1go avec un warrning à 900MB

Case Study Page 22

F. Security

La sécurité est au cœur des préoccupations de la société. Dès lors, les mesures suivantes devront être scrupuleusement suivies :

- Une solution de déploiement d’OS centralisé devrait être mise en place. - le patching intégral des OS et des applications devra être réalisé. Cependant afin de limiter

l’utilisation de la bande passante, une solution devra être trouvée. - Demandes particulières du client pour tout le monde sauf pour l'administrateur (et évidemment sur

toutes les machines sauf sur les serveurs) :

pas d'accès à la base des registres pas d'accès aux lecteurs floppy ni CD Rom/DVD Rom lock automatique de la machine après 15 minutes pas d'accès au control panel pas d'utilisation de stick USB (pas dans le BIOS) figer le fond d’écran avec une image Déploiement du certificat du CA + du certificat machine Personnalisation du bandeau d’internet Explorer + ajout de favoris

- Une architecture de mise à jour centralisée d'Antivirus pour chaque pays et d'une approche multi-

tiers devra être déployée sur base de Symantec Endpoint ainsi que Symantec Mail Security Fundation for Exchange et Symantec Brightmail Gateway installé sur une machine et situé dans la DMZ 2

- Le backup intégral de toutes les mailbox et du system state de tous les serveurs se trouvant sur le site belge devra être déployé sur le DC1. La politique de backup devra être déployée le plus tôt possible pour sécuriser ce domaine crucial. Le logiciel sera SYMANTEC BACKUP Exec 2014 SP1. De plus, sur les autres sites, le backup devra se faire tous les jours en full sur un NAS local au site. On doit être capable de revenir 4 semaines en arrière. La société ne possède qu’une seule « tape library » sur le site Belge et voudrait qu’une fois par semaine les backups de tous les sites soient copiés sur ces tapes afin de déployer une stratégie du type « backup to disk to tape ».

- Tous les utilisateurs faisant partie de l’OU Administration ou IT devront avoir une politique de mot de passe plus élevée pour les domaines de France, Belgique, Espagne :

12 caractères avec une complexité de mots de passe Historique de 24 mots de passe Verrouiller après 3 mots de passe incorrects jusqu'à ce que l’administrateur

débloque le compte

Case Study Page 23

G. Autres

1. La structure des OUs de chaque domaine, devra tenir compte de la classification des objets par département, mais aussi sur base de la distribution de package .msi sur les PC. Il y a 2 OS différents (Win 7 Pro et Win 8.1 pro) et 4 configurations software par OS, et ce dans chaque domaine.

2. Pour donner un peu plus de souplesse aux utilisateurs et pour faciliter le travail du Helpdesk, un "Volume Shadow Copy" devra être activé pour tous les répertoires des différents départements.

3. Tout au long de l’implémentation de ce case, il vous est demandé de tester votre infrastructure afin que celle-ci soit complètement opérationnelle et efficiente. Pour ce faire il vous est conseillé de déployer par pays 2 machines clientes. Celles-ci auront un OS déployé par WDS à partir du site espagnol. De plus, une machine sera située sur Internet afin de tester les VPNs et la SSL.

4. Afin d’optimiser l’infrastructure, le consultant ayant réalisé l'étude, a souligné l'importance des points suivants :

une architecture de services réseau supportant toute l'AD avec un maximum

d'autonomie sur chaque site Windows un déploiement centralisé des différents serveurs achetés tous en Belgique. En

effet, pour des raisons de négociation, tous les serveurs ont été achetés chez le même fournisseur même s'ils ne sont pas issus du même fabricant.

Une documentation détaillée de tous les serveurs sera demandée à la fin du case afin d’avoir une vue globale de la situation.

Case Study Page 24

Partie 5 : Annexes