Discussion :

[T@kniX]

Salut tout le monde.

Je fais des recherches sur les différentes étapes pour mettre en place un réseau d'entreprise mais je ne trouve que des informations parcellaires et je ne sais pas trop comment orienter mes recherches.

J'imagine un serveur central sur lequel sont stockés les comptes utilisateurs, tous les fichiers et par lequel passe les connexions internet (afin de pouvoir bloquer des sites, etc.).
Le serveur serait sous Windows Server 2008 et les postes clients sous Windows 7.

J'ai déjà fait des tests à grand coups de machines virtuelles mais j'ai du mal à avancer.

D'après ce que j'ai compris, il faut créer les comptes utilisateurs dans Active Directory, on peut créer des groupes pour gérer assez finement les permissions des différents utilisateurs (selon les services par exemple) ; GPO et tout ça.
Apparemment on peut installer des programmes directement à partir du serveur sur les postes clients.

Par contre j'ai besoin d'aide sur d'autres points.
En particulier, j'aimerai que chaque utilisateur possède un dossier personnel sur le serveur (accessible uniquement pour lui) qui servirai de dossier "Mes documents".
Également, je voudrais faire des dossiers réseaux, disons par service. Ainsi les responsables du service aurait un accès total sur son contenu et par exemple certains autres utilisateurs n'auraient accès qu'en lecture.

Ensuite, comment faudrait-il brancher et configurer le serveur pour qu'il "filtre" les connexions internet ? Que faut-il comme matériel réseau (la connexion s'effectue par une freebox, certains postes seront câblés, d'autres en wifi ; j'imagine qu'il faut au moins un switch et un routeur wifi).

J'ai également vu dans une entreprise où j'ai travaillé, lorsque mon accès a été créé, j'avais également une adresse mail et Outlook été déjà configuré (avec carnet d'adresse contenant les mails des gens du service, etc.). Comment faire ça ?

Je suis actuellement un peu dans le flou et je ne trouve pas beaucoup d'informations claires sur le sujet.

Merci d'avance à ceux qui prendront le temps de me guider dans mes recherches.

[Michaël]

Salut,
Pourquoi Windows 2008 pour un nouveau réseau ? A moins que ce soit à cause d'une incompatibilité avec un produit, autant prendre 2008r2

Quelle est la dimension de l'entreprise ? Peut-être qu'un serveur sbs peut suffire Ca aurait l'avantage de résoudre un tas de problèmes d'un coup

Pour le reste des questions : il est déconseillé de tout mettre sur un seul serveur (sauf sbs).
Pour la question des dossiers personnels style mes docs, tu peux créer un répertoire personnel quand t'ajoutes un nouvel utilisateur (ou l'ad le fait pour toi). Par gpo, il faudra activer la redirection du répertoire mes documents vers ton serveur de fichiers.

Pour le filtrage du réseau, tu as plusieurs techniques :

• proxy transparent : voici le schéma du réseau :
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  internet<->modem/routeur<----->serveur proxy<------->utilisateurs
             192.168.1.254       192.168.1.1           192.168.9.x

  les postes utilisateurs récupèrent leur configuration ip via dhcp, celle-ci indique la passerelle 192.168.1.1. Ton serveur proxy (configuré en mode transparent) va intercepter toutes les communications à destination d'internet et là tu pourras faire le filtrage (bloquage de tous les ports vers l'extérieur, filtrage des requêtes http, etc). L'avantage de cette solution, c'est que tous les postes de ton réseau sans exception passeront par le proxy et seront donc filtrés.
• Proxy pas transparent : la passerelle donnée par le dhcp pourra être nulle. Les clients devront spécifier à la main l'adresse du proxy ou alors tu peux mettre en place wpad pour que les navigateurs détectent le proxy automatiquement. Si t'as des utilisateurs qui connaissent un peu l'informatique, ils pourront passer outre (sauf si tu bloques toutes les communications sur ton modem/routeur à part pour le proxy).

Au niveau du produit, tu as le choix entre ftmg (ou isa qui ne tourne que sous windows 2003) ou des solutions du style squid (qui tourne sous linux). Pour squid, tu peux très bien créer une machine virtuelle

Pour le problème de filaire ou sans fil... oublie tout de suite le routeur wifi. Tu vas plus galérer à le configurer qu'autre chose et surtout ça va coûter de l'argent pour quelque chose que tu n'utiliseras pas à 100%. Il faut donc utiliser des points d'accès wifi. Ces points d'accès seront directement connectés sur les switchs où sont les postes filaires. Attention à la sécurité ! Sans fil veut dire que n'importe qui peut y accéder. Il faudra donc mettre un wpa2 fort : la clé doit faire au moins 20 caractères alphanumériques qui ne signifient rien (=attaquable uniquement en bruteforce donc très très très long). Le mieux étant de mettre en place un radius avec 802.1x mais c'est plus compliqué.

Pour la configuration auto d'outlook, c'est parce que vous étiez en exchange 2007+outlook 2007 avec autodiscover. Le client outlook interroge l'ad qui lui retourne l'adresse mail de l'utilisateur (user@monentreprise.fr), outlook prend le domaine mail (monentreprise.fr) et tente de trouver le serveur autodiscover.monentreprise.fr. Il s'agit d'un service web permettant à outlook de télécharger automatiquement toute la configuration nécessaire pour se connecter à exchange. Si tu ne prends pas de sbs, je te conseille 2008r2+exchange 2010 (ça fonctionnera très bien avec outlook 2007). Ca te coûtera aussi cher au niveau des licences mais en exploitation, ça sera bien mieux

[T@kniX]

Salut et merci beaucoup pour ta réponse

Il s'agira en effet de 2008 R2, pardon pour cette imprécision

Concernant la taille de l'entreprise, il s'agit dans un premier temps de mettre cela en place au siège soit une trentaine de postes.
Cependant, dans un futur plus ou moins proche, il s'agirait de faire rejoindre ce réseau (par VPN je suppose) par les différents sites de l'entreprise, comptons une centaine de postes.
Je suppose que tu vas me dire que SBS suffit pour cette taille mais j'ajoute qu'il y a également une volonté d'apprentissage de windows server

Que conseillerais-tu comme "division" entre différents serveurs ?
Style un serveur avec AD, DNS, DHCP, etc. et un serveur pour les fichiers ?
Autre chose ?

Je vais regarder pour les dossiers perso, merci.

Le proxy transparent me semble une bonne idée. Tu penses qu'il faut une machine séparée pour jouer ce rôle ou alors ça peut être la machine avec AD et tout ?

Merci pour les conseils sur le wifi.

Merci aussi pour les infos sur exchange, je vais faire des recherches.

[Michaël]

Volonté d'apprentissage c'est bien mais ça a un coût non négligeable. D'un autre côté, tu n'auras pas à passer de sbs vers windows server si t'es en dépassement de licence

Pour revenir aux questions : je fais ad+dns+dhcp sur le même serveur, ça pose pas de problèmes. Si tu ne veux pas t'embêter avec un serveur de fichiers supplémentaire, tu peux le mettre sur l'ad mais il ne faut pas que ce soit des gros fichiers (genre cao&co) sinon les perfs du serveur vont être moyennes.

Pour le proxy, je te déconseille de mettre ça sur l'ad : ça va causer direct avec le net donc très déconseillé (pour la sécurité de ton réseau). Pour squid, il faut de toute façon une machine différente (qu'elle soit virtuelle ou physique). Pour squid, un petit serveur suffit (genre un bi-p3 avec 1go de ram) pour le filtrage d'url et de contenu. Tu auras un réseau comme ça :
internet<-->modem/routeur<-->proxy/firewall<-->réseau lan avec serveurs+clients

Pour exchange, je vais te devancer Il ne faut pas le mettre sur l'ad. En maquette pour économiser un serveur, tu peux mais tu auras des problèmes (notamment lors de redémarrage de serveur).

[T@kniX]

Merci encore pour tes réponses

Pour le proxy, ok je comprend bien le risque de sécurité.

Pour Exchange ça te paraît indispensable d'avoir un serveur différent de AD ?
Quels sont concrètement les problèmes que l'on peut rencontrer ?
Parce qu'un serveur ça coûte quand même plutôt cher non ? ^^

Faut-il des serveurs très performants (et donc très coûteux) ? Pour AD ? Pour Exchange ?

Et ensuite pour les fichiers, déjà il ne s'agit pas de gros fichiers (suite office, pdf, images, quasiment que des choses bien classiques). Selon toi on pourrait donc les mettre sur le même serveur que l'AD ?
Pourquoi pas sur celui Exchange ? Ça permettrait d'éviter les problèmes avec Exchange et le séparant de AD et peut-être d'améliorer les perfs (en considérant que Exchange est moins gourmand que AD et le reste ; c'est le cas où je suis à côté de la plaque ?).

Tu aurais des exemples de serveurs qui seraient adaptés pour chaque usage (AD, proxy, etc.) ?

Tant qu'on parle hardware, tu as des suggestions pour tout ce qui est switch, point d'accès ?
Considérons qu'il faudrait un switch au niveau des serveurs pour interconnecter les serveurs et quelques postes. Et un second switch plus loin pour d'autres postes. Chaque switch doit avoir un point d'accès wifi.

Je suppose que le second switch est simplement relié au premier ? Il n'y a pas une histoire de faire des sous-réseau différents ?
Ensuite, pour le proxy je suppose qu'il faut deux cartes réseaux, une pour le brancher sur la box et une sur le switch non ?

Désolé si j'ai beaucoup de question mais c'est un peu flou dans ma tête tout ça. Merci de ton aide et de ta patience.

[Michaël]

Exchange ne doit pas être mis avec un AD : ça n'est pas supporté par Microsoft. Si ça n'est pas supporté, c'est qu'il doit bien y avoir une raison Par exemple, un ad sous windows 2003+exchange 2007 => serveur impossible à redémarrer alors qu'un exchange 2007 installé sur un windows 2003 (membre d'un domaine ad) ne pose aucun souci. Je ne connais pas exactement la liste des incompatibilités mais si ça peut éventuellement passer en lab à la maison, en entreprise c'est même pas imaginable

Donc oui ça va coûter plus cher en serveurs et en licences (et encore, tu peux économiser grâce aux licences virtuelles de Windows Server).

Dans ton cas, je dirais qu'il te faut trois serveurs

• un serveur moyen de gamme pour ad/dns/dhcp + serveur de fichiers (un xeon+2 à 4go de ram suffisent vu le nombre d'utilisateurs)
• un serveur moyen de gamme pour exchange (un xeon série 5500 avec 8go de ram et des disques sata qui coûtent peu si tu prends exchange 2010)
• un serveur bas de gamme pour le proxy squid (un vieux bi-p3 avec 1 à 2go de ram suffit) évidemment, impossible d'acheter ça en neuf mais tu vois un peu les énormes ressources nécessaires
• ou un serveur moyen de gamme (avec pas mal de ram) pour le proxy ftmg (ftmg est particulièrement gourmand en proc+ram)

Pour les switchs/points d'accès, le problème se pose différemment. Il faut un switch dédié pour les serveurs et plusieurs switchs pour les utilisateurs. L'emplacement des switchs va dépendre directement du cablâge : il faut essayer de répartir les utilisateurs de manière uniforme sur les switchs. Si possible, il faut relier les switchs en gigabit.
Pour les points d'accès, ça n'est pas un par switch Ca dépend du type de réseau wifi que vous souhaitez. Est-ce que c'est dans toute l'entreprise ? Juste à un endroit particulier (salles de réunion, etc) ? Est-ce que les utilisateurs seront mobiles dans l'entreprise (roaming wifi) ? Si l'entreprise doit être en wifi partout, il va falloir répartir les points d'accès (en prenant compte de l'architecture des locaux). Ca va déjà te donner le nombre de points d'accès nécessaires et leur type. Ces points d'accès doivent-ils être auto-alimentés (avec PoE) ? Ca te précisera encore un peu plus le type des points d'accès et celui des switchs. Ces derniers devront faire PoE si tu veux que tes points d'accès soient auto-alimentés.

Les switchs peuvent être reliés entre eux très simplement MAIS attention aux boucles (pour faire de la redondance par exemple). Pas besoin de sous-réseaux différents à part si tu fais des vlans. L'adressage réseau se réfléchit : il faut prévoir combien de postes tu auras (et donc d'ip requises) afin de bien dimensionner ton adressage réseau dès le début. Ca t'évitera ce genre de problèmes.

Enfin, il faut bien deux cartes réseaux pour le proxy mais la plupart des serveurs (pour ne pas dire tous) sont équipés de deux cartes maintenant.

Pour terminer, un petit conseil : passes tes jours et tes nuits à potasser les documentations de windows server+exchange avant de te lancer pour éviter/limiter la catastrophe sinon c'est la catastrophe assurée dans quelques mois (ça tient deux à trois ans avant que les premiers gros problèmes se manifestent) . Tout apprendre d'un coup est impossible : il faut du temps. Pour que tu puisses déjà te faire la main sur ad, je te conseille de regarder du côté de Microsoft Online Services pour la partie messagerie. Une fois que tu connaitras bien ad, tu pourras installer exchange sans craindre une grosse surcharge de travail