Architecture siege-ad » Historique » Version 23
Version 22 (Thierry Jambou, 13/12/2016 15:07) → Version 23/26 (Thierry Jambou, 13/12/2016 16:31)
h1. Architecture siege-ad
{{toc}}
h2. Remarque préalable
Dans cette architecture peut éventuellement se "glisser" un eSSL SPC dans la zone LAN. Cette architecture supplémentaire est décrite là : https://dev-eole.ac-dijon.fr/projects/eole-ci-tests/wiki/Architecture_SPC_-_Lan_du_service
h2. Serveurs de la zone LAN
h3. eSSL (serveur amon variante eSSL)
* OS: Eole-Amon , variante eSSL
* Fonctionnalités : pare-feu siege
* Etablissement : vsiege-ad1
* hostname : ssl-siege-01
* domaine : à préciser
* @IP :
* DNS : 10.167.160.3 10.167.160.3 172.22.67.50
* NTP : ntp.e2.rie.gouv.fr
* Nombre d'interfaces à activer : 5
* *Services activés :*
* Clamav--> Non
* DHCP--> Oui (obligatoire si wifi)
* NUT--> Non
* Supervision--> Non
* RVP--> Non
* WPAD--> Non
* Nginx--> Non
* FTP--> Oui
* McAfee--> Non
* PDC-->Non
* WINS-->Non
* *Firewall*
* Modèle de filtrage : 5zones-essl
* Adresse du routeur RIE : 192.168.227.1
* *Interfaces*
* IP eth1 : 192.168.227.61/24
* IP eth2 : 10.200.11.1/24
* IP eth3 : 10.200.12.1/24
* IP eth4 : 10.200.13.1/24
* *Interface eth4 - wifi*
Calcul de la plage DHCP dynamique
Classe d'adresses -> nombre de postes de la plage dynamique : /26 -> 63 ; /27 -> 31 ; /28 -> 15 ; /29 -> 7 ; /30 -> 3 : 29 (7 adresses)
Ensuite, calcul automatique des IP à reporter dans le DHCP (voir ci-dessous)
* *DHCP*
* Adresse réseau de la plage DHCP : 10.200.13.0 10.200.13.1
* Masque de sous-réseau de la plage DHCP : 255.255.255.0 255.255.255.128
* IP basse de la plage DHCP : 10.200.13.248 10.200.13.120
* IP haute de la plage DHCP : 10.200.13.254 10.200.13.127
* Nom de domaine à renvoyer aux clients DHCP : ??? à préciser
* Adresse IP du routeur à renvoyer aux clients DHCP : 10.200.13.1
* Adresse IP du DNS à renvoyer aux clients DHCP : 10.200.13.1
* *Filtrage local*
* Ressources locales
Serveurs eCDL locaux : 10.200.11.4 | 10.20.11.5
Serveurs de partage Netbios (esbl, Windows,...) : 10.200.11.7 | 10.200.12.2 | 10.200.12.3
Serveurs d'applications web, intranet local : 10.200.11.8
Serveur PMAD national (Prise en Main à Distance) : 10.200.11.X à confirmer
* Ressources distantes
Sites distants (subdis, labos,...) : 10.200.20.0/24
* *VPN Nomade*
* Adresses fixes du VPN, accès Bureautique : 192.168.226.50
* Adresses des serveurs, dans le LAN, accessibles depuis les IP fixes Bureautique : 10.200.11.8 | 10.200.11.7
* Adresses fixes du VPN, accès Support Informatique : 192.168.226.51
* Adresses des serveurs, dans le LAN, accessibles depuis les IP fixes Support Informatique : 10.200.11.8 | 10.200.11.7
* Adresses fixes du VPN, accès SPC : 192.168.226.52
* Adresses des serveurs accessibles depuis les IP fixes SPC : 10.200.11.8 | 10.200.11.7
h3. PDC-Seth (serveur maître) *A SUPPRIMER CAR HEBERGE EN CENTRE SERVEUR DONC dans Infra*
* hostname : ad-pdc
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.4
* serveur DNS local, forwarders : DNS nationaux
* OS: Eole-Seth
* Fonctionnalités : contrôleur de domaine maitre Active Directory
* Base de comptes/groupes pour l'authentification/droits postes clients et serveurs membre (en lecture-écriture)
h3. BDC-Seth (serveur additionnel) *A SUPPRIMER CAR HEBERGE EN CENTRE SERVEUR DONC dans Infra*
* hostname : ad-bdc
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.5
* DNS : 10.200.11.1 (PDC-Seth)
* OS: Eole-Seth
* Fonctionnalités : contrôleur de domaine additionnel Active Directory
* Réplication de la base depuis le serveur maitre (en lecture-écriture)
h3. RODC-Seth (serveur lecture seule) *Pas disponible pour l'instant*
* hostname : ad-rodc
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.6
* DNS : 10.200.11.1 (PDC-Seth)
* OS: Eole-Seth
* Fonctionnalités : contrôleur de domaine additionnel Active Directory
* Réplication de la base depuis le serveur maitre (en lecture seule)
h3. fichier-ad-Seth (serveur membre)
* hostname : ad-membre
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.7
* DNS : @IP du RODC local ou PDC-AD1 de l'infra ?
* OS: Eole-Seth
* Fonctionnalités : serveur fichiers AD membre du domaine
* Partages divers
* Services :
DHCP-->Non
Serveur Membre
Conf Id=301 sur https://zephir-dev.eole.e2.rie.gouv.fr:8070/serveur/etat?id=301
h3. fichier-ad-eSBL (serveur eSBL)
* hostname : ad-esbl
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.8
* DNS : @IP du RODC local ou PDC-AD1 de l'infra ?
* OS: Eole-eSBL
* Fonctionnalités : serveur fichiers eSBL membre du domaine
* Partages de ressources (fichiers/applications/web/imprimantes)
* *Services activés :*
* Clamav-->Oui et valeurs par défaut dans la famille sauf "Nombre de mises jour quotidiennes" et "Nombre de tentatives" à 2
* DHCP-->Non
* NUT-->Non
* Supervision-->Non
* Apache-->Oui et valeurs par défaut dans la famille
* SSO-->Non
* MySql-->Non
* Cups-->Non
* FTP-->Oui et valeurs par défaut dans la famille
* Miroir MacAfee-->Oui et valeurs par défaut dans la famille sauf Niveau de miroir à 2
Conf Id=302 sur https://zephir-dev.eole.e2.rie.gouv.fr:8070/serveur/etat?id=302
h3. pcsiege (poste client W7)
* hostname : w7-11.6
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : DHCP
* DNS : @IP du RODC local ou PDC-AD1 de l'infra ?
* OS: Windows7
* Installation des outils RSAT
* Fonctionnalités : poste client windows intégré au domaine AD
Voici le fichier REG associé à appliquer (renommer en .reg) : (format bin - 922 octets - 28/12/2011)
http://pne.metier.e2.rie.gouv.fr/IMG/bin/SevenDansAmd_cle7615ad.bin
h2. Serveurs de la zone DMZ
h3. fichier-ad-Seth (serveur membre)
* hostname : ad-membre-dmz
* FQDN : ???
* @IP : 10.200.11.2
* DNS : @PDC-AD1 de l'infra ?
* OS: Eole-Seth
* Fonctionnalités : serveur fichiers AD membre du domaine
* Partages divers
* Services :
DHCP-->Non
Serveur Membre
h3. fichier-ad-eSBL (serveur eSBL)
* hostname : ad-esbl-dmz
* FQDN : ???
* @IP : 10.200.12.3
* DNS : @PDC-AD1
* OS: Eole-eSBL
* Fonctionnalités : serveur fichiers eSBL membre du domaine
* Partages de ressources (fichiers/applications/web/imprimantes)
h2. Serveurs de la zone WIFI
h3. pcwifi (poste client W7)
* hostname : w7-11.6
* FQDN : ???
* @IP : DHCP wifi
* DNS : @PDC-AD1
* OS: Windows7
* Installation des outils RSAT
* Installation du xml pour le wifi
{{toc}}
h2. Remarque préalable
Dans cette architecture peut éventuellement se "glisser" un eSSL SPC dans la zone LAN. Cette architecture supplémentaire est décrite là : https://dev-eole.ac-dijon.fr/projects/eole-ci-tests/wiki/Architecture_SPC_-_Lan_du_service
h2. Serveurs de la zone LAN
h3. eSSL (serveur amon variante eSSL)
* OS: Eole-Amon , variante eSSL
* Fonctionnalités : pare-feu siege
* Etablissement : vsiege-ad1
* hostname : ssl-siege-01
* domaine : à préciser
* @IP :
* DNS : 10.167.160.3 10.167.160.3 172.22.67.50
* NTP : ntp.e2.rie.gouv.fr
* Nombre d'interfaces à activer : 5
* *Services activés :*
* Clamav--> Non
* DHCP--> Oui (obligatoire si wifi)
* NUT--> Non
* Supervision--> Non
* RVP--> Non
* WPAD--> Non
* Nginx--> Non
* FTP--> Oui
* McAfee--> Non
* PDC-->Non
* WINS-->Non
* *Firewall*
* Modèle de filtrage : 5zones-essl
* Adresse du routeur RIE : 192.168.227.1
* *Interfaces*
* IP eth1 : 192.168.227.61/24
* IP eth2 : 10.200.11.1/24
* IP eth3 : 10.200.12.1/24
* IP eth4 : 10.200.13.1/24
* *Interface eth4 - wifi*
Calcul de la plage DHCP dynamique
Classe d'adresses -> nombre de postes de la plage dynamique : /26 -> 63 ; /27 -> 31 ; /28 -> 15 ; /29 -> 7 ; /30 -> 3 : 29 (7 adresses)
Ensuite, calcul automatique des IP à reporter dans le DHCP (voir ci-dessous)
* *DHCP*
* Adresse réseau de la plage DHCP : 10.200.13.0 10.200.13.1
* Masque de sous-réseau de la plage DHCP : 255.255.255.0 255.255.255.128
* IP basse de la plage DHCP : 10.200.13.248 10.200.13.120
* IP haute de la plage DHCP : 10.200.13.254 10.200.13.127
* Nom de domaine à renvoyer aux clients DHCP : ??? à préciser
* Adresse IP du routeur à renvoyer aux clients DHCP : 10.200.13.1
* Adresse IP du DNS à renvoyer aux clients DHCP : 10.200.13.1
* *Filtrage local*
* Ressources locales
Serveurs eCDL locaux : 10.200.11.4 | 10.20.11.5
Serveurs de partage Netbios (esbl, Windows,...) : 10.200.11.7 | 10.200.12.2 | 10.200.12.3
Serveurs d'applications web, intranet local : 10.200.11.8
Serveur PMAD national (Prise en Main à Distance) : 10.200.11.X à confirmer
* Ressources distantes
Sites distants (subdis, labos,...) : 10.200.20.0/24
* *VPN Nomade*
* Adresses fixes du VPN, accès Bureautique : 192.168.226.50
* Adresses des serveurs, dans le LAN, accessibles depuis les IP fixes Bureautique : 10.200.11.8 | 10.200.11.7
* Adresses fixes du VPN, accès Support Informatique : 192.168.226.51
* Adresses des serveurs, dans le LAN, accessibles depuis les IP fixes Support Informatique : 10.200.11.8 | 10.200.11.7
* Adresses fixes du VPN, accès SPC : 192.168.226.52
* Adresses des serveurs accessibles depuis les IP fixes SPC : 10.200.11.8 | 10.200.11.7
h3. PDC-Seth (serveur maître) *A SUPPRIMER CAR HEBERGE EN CENTRE SERVEUR DONC dans Infra*
* hostname : ad-pdc
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.4
* serveur DNS local, forwarders : DNS nationaux
* OS: Eole-Seth
* Fonctionnalités : contrôleur de domaine maitre Active Directory
* Base de comptes/groupes pour l'authentification/droits postes clients et serveurs membre (en lecture-écriture)
h3. BDC-Seth (serveur additionnel) *A SUPPRIMER CAR HEBERGE EN CENTRE SERVEUR DONC dans Infra*
* hostname : ad-bdc
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.5
* DNS : 10.200.11.1 (PDC-Seth)
* OS: Eole-Seth
* Fonctionnalités : contrôleur de domaine additionnel Active Directory
* Réplication de la base depuis le serveur maitre (en lecture-écriture)
h3. RODC-Seth (serveur lecture seule) *Pas disponible pour l'instant*
* hostname : ad-rodc
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.6
* DNS : 10.200.11.1 (PDC-Seth)
* OS: Eole-Seth
* Fonctionnalités : contrôleur de domaine additionnel Active Directory
* Réplication de la base depuis le serveur maitre (en lecture seule)
h3. fichier-ad-Seth (serveur membre)
* hostname : ad-membre
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.7
* DNS : @IP du RODC local ou PDC-AD1 de l'infra ?
* OS: Eole-Seth
* Fonctionnalités : serveur fichiers AD membre du domaine
* Partages divers
* Services :
DHCP-->Non
Serveur Membre
Conf Id=301 sur https://zephir-dev.eole.e2.rie.gouv.fr:8070/serveur/etat?id=301
h3. fichier-ad-eSBL (serveur eSBL)
* hostname : ad-esbl
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : 10.200.11.8
* DNS : @IP du RODC local ou PDC-AD1 de l'infra ?
* OS: Eole-eSBL
* Fonctionnalités : serveur fichiers eSBL membre du domaine
* Partages de ressources (fichiers/applications/web/imprimantes)
* *Services activés :*
* Clamav-->Oui et valeurs par défaut dans la famille sauf "Nombre de mises jour quotidiennes" et "Nombre de tentatives" à 2
* DHCP-->Non
* NUT-->Non
* Supervision-->Non
* Apache-->Oui et valeurs par défaut dans la famille
* SSO-->Non
* MySql-->Non
* Cups-->Non
* FTP-->Oui et valeurs par défaut dans la famille
* Miroir MacAfee-->Oui et valeurs par défaut dans la famille sauf Niveau de miroir à 2
Conf Id=302 sur https://zephir-dev.eole.e2.rie.gouv.fr:8070/serveur/etat?id=302
h3. pcsiege (poste client W7)
* hostname : w7-11.6
* FQDN : vsiege-ad1.eole.e2.rie.gouv.fr
* @IP : DHCP
* DNS : @IP du RODC local ou PDC-AD1 de l'infra ?
* OS: Windows7
* Installation des outils RSAT
* Fonctionnalités : poste client windows intégré au domaine AD
Voici le fichier REG associé à appliquer (renommer en .reg) : (format bin - 922 octets - 28/12/2011)
http://pne.metier.e2.rie.gouv.fr/IMG/bin/SevenDansAmd_cle7615ad.bin
h2. Serveurs de la zone DMZ
h3. fichier-ad-Seth (serveur membre)
* hostname : ad-membre-dmz
* FQDN : ???
* @IP : 10.200.11.2
* DNS : @PDC-AD1 de l'infra ?
* OS: Eole-Seth
* Fonctionnalités : serveur fichiers AD membre du domaine
* Partages divers
* Services :
DHCP-->Non
Serveur Membre
h3. fichier-ad-eSBL (serveur eSBL)
* hostname : ad-esbl-dmz
* FQDN : ???
* @IP : 10.200.12.3
* DNS : @PDC-AD1
* OS: Eole-eSBL
* Fonctionnalités : serveur fichiers eSBL membre du domaine
* Partages de ressources (fichiers/applications/web/imprimantes)
h2. Serveurs de la zone WIFI
h3. pcwifi (poste client W7)
* hostname : w7-11.6
* FQDN : ???
* @IP : DHCP wifi
* DNS : @PDC-AD1
* OS: Windows7
* Installation des outils RSAT
* Installation du xml pour le wifi