Question pour administrateur système Windows

au lycée nos postes sous Linux se connectent à un serveur TSE, l'architecture est la suivante :

  • une machine virtuelle pour le TSE, je l'entends
  • une machine virtuelle pour le contrôleur de domaine
  • une machine virtuelle pour les fichiers.

ça fait pas un peu beaucoup ?

«1

Réponses

  • Hello,

    Non, que ce soit pour WIndows et Linux c'est une bonne pratique d'avoir une machine (en général virtuelle) pour chaque "rôle" (afin de séparer chaque besoin/service).

    Le contrôleur de domaine, il faut surtout rien foutre dessus en plus, tout le monde te le dira. C'est un peu le truc sacré qu'il faut pas toucher sinon plus rien fonctionne lol.

    Tcho !

  • notre technicien nous a dit qu'il fallait que le TSE soit tout seul, que si le contrôleur de domaine et le serveur de fichiers étaient au même endroit ça ne posait pas de problème. Comme quoi tu vois d'un technicien à l'autre on n'a pas le même son de cloche :)

  • Il faut que tu te méfies de comment tu poses tes questions et ce que tu en attends.

    Techniquement tu peux faire des trucs dégueulasses, ça marche... ça reste dégueulasse. Ton technicien je ne sais pas ce qu'il vaut mais je sais de quoi je parle, n'importe qui un minimum informé ne mettra rien de plus sur le contrôleur de domaine. C'est une bonne pratique, personne n'est obligé de la suivre... mais c'est une bonne pratique. D'ailleurs il est recommandé d'avoir un second contrôleur de domaine physique (pas virtuelle) et il faut faire gaffe au contrôleur de domaine sur VM (certaines choses sont interdites genre snapshot).

    Tcho !

  • Si le contrôleur de domaine est au même endroit que les fichiers, quel est le risque, pourquoi c'est sale ?

  • Il faut que tu aies bien en tête la subtilité : Ce qu'on peut faire, ce qu'il est conseillé de faire.

    D'un point de vue architecture, c'est une bonne pratique de réfléchir en "rôle". Je prends un exemple dans mon job actuel (Linux) : rôle backup, le filesystem utilisé est btrfs. Si tu commences à mettre des mails sur le même serveur, le btrfs ne sera pas le filesystem le plus adéquat. Tu vois ce que je veux dire ?

    Le contrôleur de domaine est la colonne vertébrale de l'identification/authentification de tous tes pc/serveurs. Tu veux mélanger des choses avec ça ? Des partages de fichier par exemple. Libre à toi mais si tu as un problème avec le partage de fichier et que tu dois obligatoirement rebooté le serveur, tu rebootes ton rôle/service fichiers ET contrôleur de domaine. De même il n'est pas conseillé de faire des snapshots d'un contrôleur de domaine mais tu pourrais faire des snapshots de ton serveur de fichiers (si les deux sont séparés).

    En gros c'est de l'isolation de service. Chaque serveur rend un service précis. Si ce service pose problème, ça n'impacte pas un autre service. Chaque serveur ayant un rôle précis tu peux le "tuner" au mieux pour ce rôle précis : filesystem, sauvegarde, HDD ou SSD, etc.

    Tcho !

  • tu donnes un exemple sur les partitions Linux alors qu'on est dans le cadre d'un serveur Windows, c'est pas forcément la meilleure idée pour tenter de me convaincre. Je recommence.

    On a une partie élève, pas bien compliquée, le contrôleur de domaine est créé à chaque fois par un logiciel du nom de koxo qui va créer en début d'année l'active directory, les sessions TSE et les espaces disques pour les gosses.

    Dans ce cas précis, quel est le risque ?

  • Concernant l'exemple des partitions Linux, c'est aussi pour souligner que penser en "rôle" ça concerne tous les O.S : Linux, Windows, etc.

    Le risque je te l'ai expliqué, je ne pense pas pouvoir faire beaucoup plus clair. Tu mets tous tes œufs dans le même panier, il faut pas faire tomber le panier lol.

    Un exemple concret, essayons d'imaginer. Un utilisateur se bouffe un virus, tous les fichiers/dossiers auxquels il a accès sont chiffrés (ça m'est déjà arrivé) y compris les dossiers partagés. D'autres utilisateurs cliquent sur ces fichiers chiffrés et se font infectés à leur tour. Que fais-tu pour revenir en arrière au niveau des dossiers partagés donc du serveur de fichiers ? Selon le cas, tu peux remonter une sauvegarde, revenir sur un snapshot précédent, utiliser les shadow copy (https://fr.wikipedia.org/wiki/Shadow_Copy). Évidemment si ton serveur fait serveur de fichiers et contrôleur de domaine, tu ne pourras peut-être pas faire ce que tu veux.

    Dans l'absolu tu as aujourd'hui 3 VM, quel est ton intérêt à passer à deux ?

    Tcho !

  • Ces trois VM sont sur un serveur ? Quelle config Proce/RAM ?
    Je plussoie Cascador, il vaut mieux tout séparer pour effectivement ne pas de voir couper ton contrôleur de domaine si tu as un pb sur autre chose.
    Si tu as un pb de coupure de courant un jour par exemple, ton serveur de fichiers va mettre beaucoup plus longtemps à remonter que ton contrôleur de domaine (check des disques de stockage). C'est donc mieux si ce sont deux VM séparées, ton contrôleur de domaine est disponible et les gens peuvent s'authentifier, leurs fichiers seront simplement disponibles plus tard. Idem si tu dois restaurer une sauvegarde NAS, ton serveur est à genoux ...

    Ca dépend de ta config mais ca ne te fera pas gagner grand chose de les regrouper et ca exponentialise l'emmerdement le jour où une merde arrive.

  • L'intérêt est financier et pour éventuellement simplifier la configuration, un Windows de moins c'est toujours ça de gagné. J'avais demandé un devis pour la montée des versions, ça coûte un bras de façon systématique. les trois VM sont dans le même serveur. C'est une machine qui a plus de 120 Go de RAM et sur laquelle on a tout. Donc pour répondre à Clem, on n'est pas à la minute

  • @cyrille

    Dès la version 2012, Microsoft a fourni les licences pour l'autorisation de deux VM dans Hyper-V. Donc, en réalité, en mettant l'AD sur l'hyperviseur Windows (machine physique), puis TSE et le serveur de fichiers sur deux machines virtuelles séparées, ça ne coûte rien en termes de licence. Mais, bien évidemment, se pose la question de la panne de l'hyperviseur ! En mode VMware ESX, il y a Veeam Backup et les 3 machines font l'objet de snapshots réguliers. C'est pourquoi cette solution a été choisie. Il faut ajouter les coûts de licence VMWare+Veeam aux licences Windows. L'économie consisterait à passer à Proxmox.

  • nous avons Hyper-V et dans Hyper-V, 7 machines virtuelles.

    3 pour la pédagogie --> active directory + TSE + fichiers
    3 pour les profs --> active directory + TSE + fichiers
    1 pour notre logiciel à tout faire c'est à dire la compta, la vie scolaire etc ...

    Je réfléchis cette année à changer de prestataire qui a fait les choses de façon dégueulasse dès le départ. En fait il a virtualisé des machines physiques à l'arrache sans faire propre. On a retrouvé des logiciels qui n'étaient plus installés. Je n'évoque même pas un vieux domaine qui traîne etc ... J'essaie à continuer le travail de simplification que je fais depuis 3 ans et si je peux réussir à faire sauter dans chaque trio, une machine virtuelle pour faire une économie de coût parce qu'on a du 2008 qu'il faudra bien monter en autre chose et de maintenance je me dis que ça ne serait pas une mauvaise idée.

    Les backups des machines virtuelles sont réalisées tous les soirs, dans les vrais problèmes que nous avons connu c'est un crypto virus, la machine à tout faire a été contaminée et le travail sur la paye et les absences de la journée perdus.

    Une économie possible serait aussi d'avoir les serveurs de fichiers sous Debian par exemple.

  • Hello,

    @cyrille Je vois que tu donnes enfin toutes les infos, je t'invite à faire directement la même chose pour chaque question que tu poses à l'avenir.

    un Windows de moins c'est toujours ça de gagné => Pas vraiment non, il va falloir que tu fasses attention pour avoir fait Windows --> Linux, c'est pas du tout les mêmes logiques. Par exemple je considère que tu peux tout mettre sur un serveur Linux (mail, web, serveur de fichiers), ça restera fiable et stable. Par contre sur un serveur Windows, je considère qu'il faut éviter de tenter le diable et tendre au plus près de 1 machine = 1 service. J'ai tellement vu de problèmes sur Windows... et c'est pas pour faire du bashing.

    Concernant Veeam c'est une référence, un outil simple et qui fait le job, un mush have de la sauvegarde.

    Concernant tes 7 machines virtuelles et ton problème de licences, j'ai l'impression que tu prends une licence pour chaque Windows Server ? Il faut savoir qu'à partir de 5 VM Windows Server sur la même machine physique, il faut sérieusement regarder pour acheter une licence Windows Datacenter. En gros ta licence de Windows Server Standard est à 800 euros HT de mémoire et la licence Windows Datacenter est à 4000 euros HT MAIS avec la licence Windows Datacenter tu peux installer autant de machine virtuelle Windows Server que tu veux sur la même machine physique.

    Je dois faire un article depuis 2 ans sur le prix hallucinant du proprio pour que les libristes comprennent l'argent dont on parle.

    Tcho !

  • je le sens passer violemment et ce qui me gave c'est que le prestataire ne va pas dans le sens de l'économie, c'est une entreprise qui a beaucoup grossi ces dernières années dans la prestation de service, et ils n'arrivent plus à gérer correctement la masse de client.

    J'aimerai avoir quelqu'un qui se penche sur les différentes strates qui composent le lycée depuis des années.

  • Je vais commencer à bosser mais il sera intéressant que tu expliques un peu plus en détail ce week-end, tes problématiques, le budget etc.

    Question perso, tu as une prime pour t'occuper de tout ça ? Ton titre de responsable informatique te permet de donner des consignes/ordres aux autres profs ?

    Le prestataire dans ce genre de cas est extrêmement important : 1/ Beaucoup se gavent 2/ La confiance, toujours la confiance 3/ Si possible, réactivité et/ou proximité en ligne de mire. Quand tu as un problème le temps pour réparer compte beaucoup, en général c'est même ce qui sauve ta tête lol

    Tcho !

  • Bonjour,
    Je vois trois possibilités dans ce cas:
    1) faire comme dit précédemment et utiliser une licence datacenter. C'est le plus simple et le moins impactant. Et sa laisse la possibilité de faire plus de vm si besoin.
    2) containeriser les services, mais la containerisation sous windows c'est pas encore ça.
    3) passer sous linux mais trouver un presta pour gérer ça c'est plus chaud.

    Dans tous les cas garder une isolation des services c'est une bonne pratique.
    Le plus dur sera de trouver un prestataire compétant. C'est d'ailleurs pour ça que l'on a plein d'administrateur sous windows car on voit moins rapidement si ils sont incompétent. Le système essayant de gérer une partie du travail pour eux.

  • 11 sept. modifié

    @Cyrille Tu peux monter ton AD sur Samba 4, également. Reste TSE, incontournable pour l'exécution d'applications Windows.

  • @cyrille : Si tu as un Windows 2012R2 Datacenter sur ton HyperV, tu peux monter autant de serveurs virtuels Win2012r2 que tu veux, c'est compris dans la licence de l'HyperV.

    Après il te monte 3 VM pour bien séparer les services, c'est plus propre pour l'administration.
    Pour des gains de performances, il aurait pu mettre la gestion des fichiers (DFS) et l'AD + Contrôleur de domaine sur le même serveur virtuel (monter le SBS de Microsoft) pour allouer plus de ram au serveur TSE. Tu aurais pu demander le WSUS aussi et mettre les PC des profs et de l'administratif dans le domaine pour que les MAJ Win10 se fassent via le WSUS ...

    Le TSE, c'est bien qu'il soit séparé des autres comme ca tu pourras déployer tes applications : LibreOffice, FirefoxESR, ... dessus et faire tes mises à jour tranquillement.

    Fais bien attention au nombre de CAL RDP que tu utilises, c'est-à-dire les jetons pour utiliser le TSE, je trouve assez cher le prix, pour une collectivité territoriale on avait payé 500€ les 5 jetons et on a eu le tarif OpenGouv de Microsoft.
    Quand tu passes par ton prestataire de services, demandes bien que tu veux un tarif Microsoft EDUC, idem pour le Office 365 qui a une tarification EDUC. Exemple : Ms Office 2016 std en OpenGouv est à plus de 300€, alors qu'en EDUC, c'est 70€.

    A+

  • J'ai quelques sous pour l'informatique du lycée, je peux donner des consignes/ordres aux profs de façon d'autant plus implicites que lorsqu'ils se retrouvent face à une utilisation que j'ai poussée, ben il faut bien qu'ils l'utilisent.

    Si je devais mettre les problèmes dans l'ordre

    • je n'ai pas la compétence d'administrateur système, je ne la veux surtout pas.
    • il y a on va dire historiquement cinq ans c'est un contrat aidé qui avait monté tout le système. Il avait mis des pfsense, autant de machines physiques qu'il y avait besoin. Quand le gars est parti, il gérait son affaire, il était impossible de passer derrière. C'est un peu comme moi et le serveur ipfire, soit je le maintiens soit il faut tout changer. Quand il est parti, ça doit dater d'un peu moins de quatre ans, plutôt que de faire vraiment propre, ils ont virtualisé des machines sans mettre à zéro et virer l'inutile.
    • depuis que je suis là et sous la contrainte on n'arrête pas de développer, jamais le prestataire ne nous a fourni de plan, des codes, un sentiment de prise d'otage
    • à force de grossir, l'entreprise s'occupe de plus en plus mal de nous et pose des solutions pour gérer les urgences, n'explique pas.

    J'aimerai trouver un prestataire plus à taille humaine qui fasse un grand coup de propre et une solution durable. La société par exemple a tendance à tout gérer par le matériel. On nous a collé par exemple un appareil qui gère toutes les bornes Wifi, sauf que l'appareil qui a 5 ans est obsolète et les nouvelles bornes qu'on nous a posées se gèrent par une technologie unleashed non gérée par le ruckus.

    Au niveau des CAL on est bon, pour Office365 c'est une convention qui est passée avec notre confédération agricole donc on ne les paye pas. Par contre, ce sont des licences castrées, on ne peut pas par exemple installer au local le pack office.

    @zeodrake je pense que il aurait pu mettre la gestion des fichiers (DFS) et l'AD + Contrôleur de domaine sur le même serveur virtuel (monter le SBS de Microsoft) pour allouer plus de ram au serveur TSE on va vers ça et le WSUS je me dis que c'est pas la mort non plus de faire une mise à jour à la maison.

  • 7 sept. modifié

    Y a la société Milelec : http://www.milelec.fr/
    Le gars gérait les communes de Sérignan et Valras-Plage avant que l'Agglo et ces communes lancent une mutualisation informatique : les tech-info s'occupent des infrastructures informatiques des 16 communes du territoire hors Béziers car Le Maire ... Voilà c'est Le Maire de Béziers :(
    Bref! Le gars gère ... Y a du serveur Exchange, du TSE, du DFS, de l'ActiveDirectory pour la mairie de Valras-Plage et du Zimbra sous UbuntuServer LTS pour Sérignan.
    Sinon la commune de Villeneuve-les-Béziers était infogérée par Ruan-Bureautique, quand l'Agglo a récupéré la commune, les VM étaient bien structurées, et l'ActiveDirectory super propre, la commune a un contrat Office365.
    Sinon tu as aussi MidiSoft qui gérait la commune de Boujan sur Libron, même niveau que Ruan-Bureautique.
    Si tu dois en contacter un, appelles Ruan-Bureautique :)
    A+ dans le 3-4

  • Une chose qui m'inquiète un peu, ton serveur principal il a quel âge ? En général on renouvelle entre 5 et 7 ans.

    Finalement tu n'as pas tant besoin que ça de nous puisque tu sembles vouloir éviter de devenir le sysadmin ET tu as bien raison. Je te fais confiance pour trouver un bon partenaire, il faut pas s'encombrer de l'ancien, il contribue au problème à ce que je lis.

    Tcho !

  • La machine a 5 ans. A priori elle répond à notre besoin, elle est encore couverte par la garantie DELL.

    Ce qui m'agace dans ces histoires, c'est la sensation d'avoir quelqu'un qui essaie de nous balader, de ne pas avoir l'impression d'être un werter original. Ce qui m'agace encore plus c'est qu'ils ont souvent fait un travail médiocre même si ça fonctionne, ils ne vont pas au bout des choses.

  • C'est souvent ce que j'ai croisé malheureusement, c'est aussi un peu "la logique" du propriétaire. Ils proposent des trucs qui marchent d'enfer et assez simplement... euh pour un rein et il faudra tout changer dans 5 ans. Tout se passe bien tant qu'il y a du fric bizarrement quand il n'y en a pas, plus aucune solution.

    Tcho !

  • @cyrille a dit :
    On nous a collé par exemple un appareil qui gère toutes les bornes Wifi, sauf que l'appareil qui a 5 ans est obsolète et les nouvelles bornes qu'on nous a posées se gèrent par une technologie unleashed non gérée par le ruckus.

    Pour info, tu peux regarder du côté du Ruckus Virtual SmartZone, qui est donc déployable en tant que VM, exit la ZD obsolète et sans support. Le mieux étant évidemment de gérer toutes tes bornes au même endroit et ne pas cumuler des bornes gérées par ZD + du unleashed à côté.

    Par ailleurs, les bornes sont flashables dans les deux sens, tu peux coller du unleashed sur une non-unleashed et vice-versa, en tout cas sur les bornes que j'ai l'occasion d'utiliser.

  • et si on parle d'architecture, pour moi la logique serait une gestion des bornes par du logiciel au travers d'un serveur et pas par un boitier à tout faire et obsolète au bout de 5 ans. Quelle est la bonne pratique ?

  • Je n'ai pas un avis tranché dans la mesure où ça ne fait pas longtemps que ma boite utilise la VM Ruckus, pour avancer je dirai que ça dépend de ton besoin.

    Si tu poses du WiFi pour une école où les universitaires deviennent tarés quand YouTube est indisponible plus de 2 minutes et que ce sont eux tes "clients", tu t'orienteras sur le boitier, qui te permet de séparer complètement l'architecture et si le réseau est bien fait leur permettre de sortir sur le net même si tes hyperviseurs sont down.

    Si tu veux utiliser tes serveurs de manière rationnelle et que tu peux te permettre de mettre ton WiFi en bas quand il faudra rebooter ton hyperviseur (par exemple), autant partir sur la VM.

  • On s'est peut-être mal compris. Quand tu vois par exemple que Ipfire qui est une distribution à petite taille est capable de gérer la QOS, de jouer le rôle de portail captif ou de serveur DHCP, je me dis finalement qu'une solution logiciel centralisée est peut-être une meilleure idée et qu'elle perdurera quand les technologies autour des bornes même si c'est plus facile à déployer vont s'enchaîner.

  • C'est certain, par contre si tes bornes restent du Ruckus, impossible de faire l'impasse sur un contrôleur pour les gérer, sinon autant mettre du D-Link ! :wink:

  • voici typiquement le genre de choses qui me gonflent. A l'époque on a posé dans mon lycée un portail captif pour gérer le wifi des élèves. Il s'agissait des balbutiements du système, il semblerait que le gars qui faisait ce développement pour le presta a monté sa propre société. Alors que la version officielle serait en 3. et des brouettes, nous sommes restés en 1.2. Chaque année, un technicien nous faisait le passage de nos 400 élèves par une commande ou une manip quelconque.

    Cette année on nous demande 70 € HT, j'ai demandé la procédure, on nous envoie un technicien pour nous montrer comment faire. La machine est une debian, j'ai demandé juste le formatage du fichier, les codes pour le ssh et le root de la machine et la commande à faire.

  • 11 sept. modifié

    Bon on ne se connait pas spécialement, mais pour me présenter en quelques mots je suis ingénieur réseau et securité depuis une 15aine d'année (plutot dans des grands groupes)

    Un avis rapide sur les bornes wifi

    "et si on parle d'architecture, pour moi la logique serait une gestion des bornes par du logiciel au travers d'un serveur et pas par un boitier à tout faire et obsolète au bout de 5 ans. Quelle est la bonne pratique ?"

    On avait déployé du aerohive dans notre ancienne boite. Les bornes sont gérées par un controleur qui peut etre installé sur un serveur interne ou tourner sur les machines aerohive directement (cloud). Ca te permet de gérer toute la conf de tes bornes depuis un point unique (SSID, authentification, updates de firmware). Si le controleur tombe les bornes continuent de fonctionner (il me semble qu'il y a quand meme un délai au bout duquel il y a des problemes mais c'est assez important). Tu peux assez facilement configurer des portails captifs pour un wifi "invité". Bon par contre et avec le recul l'interface de management est assez touffue donc demande de s'y connaitre un minimum en wifi

    En ce moment on déploie du cisco avec controleur centralisé. Ca marche tres bien mais c'est cher et faut gérer soit même les montées de version du controleur (et si le controleur tombe plus rien ne marche)

    Pour la structure de serveur windows je rejoins un peu les autres sur le coté, le controleur AD il vaut mieux le laisser seul dans son coin...

    Edit: apres avoir pris quelques infos les bornes de type Ruckus c'est surtout utile dans le cadre de "haute densité". Je ne connais pas trop le contexte de ton école mais ca a peut etre du sens dans celui ci.
    Et en restant sur cette techno il semble qu'ils mettent maintenant a disposition un portail cloud pour gérer tes bornes, tu peux etre challenger un peu ton prestataire pour voir si il n'est pas possible de virer ton serveur interne pour aller vers ca (pas dit que ca soit moins cher)

  • 11 sept. modifié

    Yo,

    Cyrille comme je te l'ai dit, plus tu donneras d'informations sur tes problématiques, plus précise sera la réponse. On pourrait croire que c'est une perte de temps mais ça va te forcer à remettre au propre et formuler ton besoin, il sera plus clair, plus précis et de toute façon tu en auras besoin lorsque tu vas en parler avec le prestataire que tu choisiras.

    Donc : On parle de combien de bornes Wi-Fi ? Tu as besoin de réglages particuliers (vlan, QoS...) et lesquels ? Combien d'utilisateurs ? Une idée du budget alloué sur ce sujet ? etc.

    Tcho !

Connectez-vous ou Inscrivez-vous pour répondre.