Vous êtes sur la page 1sur 37

CONSEIL & INGENIERIE INFORMATIQUE

REPONSE COMMERCIALE :
Refonte de larchitecture Active
Directory


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 2 sur 37

Table des Matires





RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 3 sur 37


1. PRESENTATION DE LA SOCIETE

1.1. Historique

Cre en 1990, IZIT est une socit d'ingnierie informatique spcialise dans les
technologies Microsoft.
La proximit gographique de son sige social avec celui de Microsoft France, acclre le
partenariat avec lditeur et tisse, entre IZIT et Microsoft France, des liens de confiance qui
perdurent jusqu aujourdhui.

Ds sa cration, IZIT dveloppe en avance de phase ses comptences sur dernires
solutions de Microsoft.

Au dpart dtenu 100% par un actionnariat priv, en aot 2010, IZIT intgre Orange en
devenant une filiale 100% du Groupe France Telecom.











RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 4 sur 37


1.2. Quelques chiffres

1.2.1. Chiffre daffaire
Depuis de nombreuses annes le chiffre daffaire de IZIT est en croissance constante.



2006 11,5M dont 12,5% hors France
2007 14 M dont 15% hors France
2008 15,3M dont 15% hors France
2009 15,5M dont 15% hors France
2010 19 M
2011 21 M



1.1.1. Effectifs
Leffectif globale de IZIT est denviron 200 collaborateurs et est en constante augmentation.




2006 150 personnes au
31/12/2006
2007 170 personnes au
31/12/2007
2008 175 personnes au
31/12/2008
2009 180 personnes au
31/12/2009
2010 190 personnes au
31/12/2010
2011 200 personnes au
31/12/2011


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 5 sur 37



1.2. Notre proposition de valeur
Depuis sa cration, IZIT dmontre sa capacit croitre de faon constante et raisonne. Sa
prennit depuis plus de 20 ans fait aujourdhui de IZIT une filiale autonome et financirement
indpendante dOrange.
En tant que filiale IZIT donne une vritable valeur ajoute aux offres du groupe et apporte le liant
pour la convergence entre les tlcoms et les systmes dinformation Microsoft de ses clients.
Positionn en tant que partenaire Microsoft historique et privilgi, IZIT est toujours en avance de
phase sur les dernires solutions de Microsoft et vise rester la pointe des technologies innovantes
dveloppes par lditeur.






RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 6 sur 37


1.3. Notre engagement face vos enjeux
Nous appuyons notre expertise sur nos savoir-faire techniques, notre capacit de gestion de projets
d'envergure, stratgiques et structurants.


CONSEIL
> analyse des performances
attendues
> impact sur lorganisation
et les processus
> impact conomique
et financier
CONCEPTION
> dfinition de la solution
> expertise
> structuration de projet
MISE EN OEUVRE
> gestion de projet de dploiement
> intgration des solutions
> mise en place de processus
> formation

EXPLOITATION
> assistance et exploitation
> gestion des performances
> gestion de parc
> gestion des fournisseurs
> facturation - Service Client
Network
Integration
Services







RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 7 sur 37


2. OBJET DU DOCUMENT

2.1. Contexte
Lacquisition des entreprises Wingtip Toy et Contoso Ltd mais et les nouveaux accords partenariaux
avec Trey Research, A. Datum Corporation et Consolidated Messenger ont amen de nouvelles
problmatiques dauthentification et daccs.
Le prsent document est une rponse davant-vente lie votre appel doffre.
Il a pour objectif de vous donner nos rponses face vos besoins concernant la consolidation de
votre annuaire dentreprise.

2.2. Primtre et limites
Ce document dcrit de manire globale la rponse au cahier des charges. Celui-ci ne donne aucune
indication de planification dtaill des tches raliser.

2.3. Prsentation du document

Ce document est dcompos en cinq grandes parties :
Analyse des besoins
Architecture de lexistant
Architecture de la solution propose
Procdures et technologie de scurit
Mthodologies dadministration



RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 8 sur 37


3. DESCRIPTIF DES BESOINS

3.1. Comprhension du besoin fonctionnel

3.1.1. Avant-propos
Vous trouverez ci-dessous la rponse lappel d'offres, notre socit a rsum les besoins exprims
par l'quipe de Tailspin Toys.
Ce rsum est considrer comme rponse un appel d'offres et dfini le primtre de
l'engagement de notre socit

3.1.2. Besoins fonctionnels
Consultation pour la conception et la hirarchisation dune architecture Active Directory.
Faciliter ladministration de lActive Directory.
Renforcer le niveau d'authentification.
Faciliter les communications et les changes entre les diffrents lments du groupe
Scurisation du rseau interne, intersites et vers internet.
Scurisation des rplications Active Directory.
Conseils pour l'ajout de fonctionnalit de virtualisation,
Haute disponibilit,
Tolrance de pannes,
Redondance.
Solution de stockage rseau,
Modification du rseau interne impact.



RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 9 sur 37


3.2. Comprhension du primtre technique
Suite lvolution de la socit Tailspin Toys, cette dernire sorganise de cette faon :
Le sige social de l'entreprise principale Tailspin Toys est bas New York et sa nouvelle filiale de
production et distribution Fayetteville.
Wingtip Toys avec deux sites (Houston et Austin) et Contoso Ltd avec deux sites galement (Palo Alto
et San Ramon) sont des nouvelles entreprises spcialises dans les jeux lectroniques.
A celle-ci sajoute un partenariat avec trois fournisseurs. Certaines informations au sein de Tailspin
Toys devront tre accessibles ces fournisseurs.
Le schma ci-dessous regroupe les diffrentes filiales de Tailspin Toys, leurs utilisateurs et leurs
fournisseurs.






RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 10 sur 37

3.3. Synthse des besoins
Pour rsumer concrtement vos besoins, la principale requte est de simplifier l'administration tout
en maintenant une forte authentification, sans oublier de proposer de nouvelles solutions afin de
contrler la charge induite par les nouvelles filiales et l'expansion de l'tendu de l'activit
professionnelle.

Il faut galement prvoir les volutions de l'entreprise, comme les emplois futurs en prvision d'une
augmentation de l'activit.

Le groupe Tailspin Toys souhaite galement faciliter les accs et les changes entre ces partenaires
(Trey Research & A. Datum Corporation).

Le primtre impact par ces besoins sera dcrit puis notre socit vous proposera des solutions afin
de rpondre au mieux ces besoins. Pour ce faire, nous nous appuierons sur le modle de gestion de
projet ci-dessous.




RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 11 sur 37


4. ETAT DE LEXISTANT
Le finalit de cette partie du document est de reconstituer succinctement, l'infrastructure de Tailspin
Toys et de ces filiales, la fois au niveau de linfrastructure rseau et au niveau de larchitecture
Active Directory mais aussi de ces interactions avec ses fournisseurs ou prestataires de services,
partir des informations transmises.

4.1. Infrastructure rseau
Tailspin Toys est rpartis sur 6 sites qui sont interconnects via le rseau internet public. Ces sites
interragissent les uns avec les autres, ces changes se sont densifis et multiplis depuis le rachat des
sites Contoso Ltd et Wingtip Toys.
De nombreuses communications seffectuent galement avec le rseau des fournisseurs et des
prestataires de services de gestion des ressources humaines. Le primtre tant tablit, cela sera
plus simple de prsenter une base de communication entre ces diffrentes entits.
Les dbits des interconnexions sont prendre en compte pour le projet de conception d'architecture
Active Directory. Seules les interconnexions et les accs de ces entreprises avec Tailspin Toys sont
prises en comptes.











RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 12 sur 37






Les dbits des interconnexions sont prendre en compte, afin de ne pas corrompre les processus de
rplication des diffrents contrleurs de domaine, ainsi que les changes de fichiers scuriss ou
consultation de diverses ressources.
Une fois l'infrastructure rseau assimile, il sera plus simple de prendre en compte les diffrentes
relations ayant un rapport avec l'infrastructure et d'en estimer l'impact sur les liens oprateurs.



RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 13 sur 37


4.2. Infrastructure Active Directory existante

Les trois socits composant le groupe Tailspin Toys possde la mme architecture Active
Directory. Cest--dire que chaque entit possde sa propre foret. Nous avons donc trois
forts distinctes qui ont comme nom de domaine racine :
Tailspintoys.lan
Contoso.lan
Wingtiptoys.lan

Il y a la fois des contrleurs de domaines sur les sites principaux (sige) et sur les sites de
production.
Les informations fournies par la socit Tailspin Toys, concernant linfrastructure Active
Directory existante




RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 14 sur 37


4.3. Relev des OU
Dans un souci de gestion et dadministration des comptes de lannuaire active directory de chaque
socit, des OU (Oganizational Unit, ou Unit dOrganisation) ont t mis en place. Cela permet de
classer des personnes ou des ressources selon leurs positions gographiques et/ou par rapport
leurs services.



















5. SOLUTIONS PROPOSEES


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 15 sur 37

5.1. Infrastructure rseau
5.1.1. Schma du rseau




Tailspintoys Contoso Wingiptoys
Sites New York Fayetteville Palo Alto San Ramon Houston Austin


2000

1000

325

50

250

500


1875

875

430

100

400

200


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 16 sur 37

5.1.2. Modifications apports

Suite au rachat des deux entreprises Contoso LTD et Wingiptoys, des modifications au niveau de
linfrastructure rseau ont lieu :
Linterconnexion de la maison mre et des deux filiales en VPLS : Cest une
technologie fiable, volutive et efficace.
Le remplacement des serveurs physiques hbergeant les contrleurs de domaines
sur les deux filiales par des ESX. Ces contrleurs de domaines seront alors virtualiss
(cette partie sera plus dtaille dans la partie 5.3 Virtualisation)

5.2. Infrastructure Active Directory propos
5.2.1. Schma de larchitecture




RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 17 sur 37


5.2.2. Dtails sur larchitecture
Larchitecture propos est une fort unique comprenant le domaine parent Tailspintoys.lan et de
deux domaines enfants Contoso.Tailspintoys .lan et Wingtiptoys.Tailspintoys.lan.
Cela implique :
Une rplication dobjets intra-site entre les DC de chaque domaine.
Une rplication de schma inter-site. entre tout les DC de la fort.

5.2.2.1. Domaine Tailspintoys.lan
Quatre contrleurs de domaines sont en place actuellement. Aucun rle supplmentaire ne sera mis
en place lexception du catalogue global.
Le rle de catalogue global va permettre aux contrleurs de domaines de contenir une copie de tous
les objets Active Directory et permettra donc davoir des informations sur les objets des domaines
enfants. Ce rle sera attribu tout les contrleurs de domaines.

5.2.2.2. Domaines Contoso.Tailspintoys.lan et Wingtipoys.lan
Huit nouveaux contrleurs de domaines vont voir le jour en remplacement de ceux dj existant. Il y
en aura quatre dans chaque filiale qui seront rpartis entre chaque site. Le fait davoir deux
contrleurs de domaines par site va permettre de faire de la rpartition de charges et de la tolrance
de panne.
Il sera possible de crer un suffixe UPN (sorte dalias) a chaque domaine de manire ce quils
conservent leurs noms dorigine. Ainsi les utilisateurs ne verront pas diffrence de nom de domaine
et cela ne changera pas la manire dont ils se connectent.


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 18 sur 37


Voici la liste des nouvelles fonctions assures par les contrleurs de domaines. Ces derniers se
rpartissent les rles FSMO* de domaine et DNS.

Contoso.Tailspintoys.Lan
Palo Alto
DC1 ; DNS, Emulateur PDC,
DC2 ; Maitre dinfrastructure
San Ramon
DC3 ; DNS
DC4 ; Maitre RID

Wingtiptoys.Tailspintoys.lan
Houston
DC1 ; DNS, Emulateur PDC,
DC2 ; Maitre dinfrastructure
Austin
DC3 ; DNS
DC4 ; Maitre RID

*Les rles FSMO sont des rles de contrleurs de domaines, ils peuvent agir au niveau du domaine
ou au niveau de la fort. Voici ceux du domaine :
Emulateur PDC ; Gre les changements de mot de passe et maitre du temps
Maitre dinfrastructure ; Synchronise les changements inter-domaines
Maitre RID ; Fournit des tranches d'identifiants uniques aux autres contrleurs de
domaine.

5.2.2.3. Partenaires du groupe
Etant donn que les entreprises partenaires A. Datum Corporation, Consolidated Messenger et Trey
Research ont besoin davoir accs certaines ressources partages de Tailspintoys.lan, une relation
dapprobation entre domaine sera mis en place.




RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 19 sur 37

5.2.3. Scnario de migration
Dans le cadre de la nouvelle solution propose, il est ncessaire de repasser par la restructuration de
votre environnement afin doptimiser l'organisation des lments au sein de la structure
Active Directory.
Dans notre cas, la restructuration implique de migrer des ressources entre les domaines
Active Directory au sein de forts diffrentes runi en 3 domaines enfants de la fort Tailspin Toy.




Nous utiliserons l'outil de migration Active Directory, ADMT, afin d'effectuer les migrations d'objets
et le maintien dappartenance aux groupes lors du processus propose de migration inter-forts.


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 20 sur 37


5.2.4. Organisation des nouvelles OU
Les 2 solutions darborescence des OU rpondent plusieurs besoins :
Recherche rapide des comptes ordinateurs et utilisateurs par les quipes de support
Application de GPO et de script
Facilit de dlgation dadministration
Dans loptique de facilit la dlgation du travail dadministrateur bureautique, nous proposons
dinverser les niveaux postes/utilisateurs avec le niveau gographique, la solution n2 est prconis.

Solution N1 Solution N2

Postes
Activit
Fixes
Mtiers
Nomades
Utilisateurs
Standards
Spcifiques
Extralis
Administration_SI
Activit
Gographique
Gographique
Dlgation
Administrateurs
Bureautique
Dlgation
Administrateurs
Bureautique


Gographique
Activit
Postes
Fixes
Mtiers
Nomades
Utilisateurs
Standards
Spcifiques
Extralis
Administration_SI


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 21 sur 37


5.3. Virtualisation
5.3.1. Prsentation
La majorit des ordinateurs actuels (x86) ont t penss pour excuter un seul systme
dexploitation et une seule application, rsultat, la plupart des machines sont sous-utilises.


La virtualisation consiste faire fonctionner sur un seul ordinateur plusieurs systmes d'exploitation
comme s'ils fonctionnaient sur des ordinateurs distincts. On appelle serveur priv virtuel (Virtual
Private Server ou VPS) ou encore environnement virtuel (Virtual Environnement ou VE) ces
ordinateurs virtuels.
De la mme faon que l'on fait fonctionner plusieurs programmes sur un mme OS (multitches)
nous savons faire fonctionner plusieurs OS sur un mme hardware.



RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 22 sur 37



Vmware est une socit informatique amricaine fonde en 1998, filiale d'EMC Corporation depuis
2004, elle propose plusieurs produits propritaires lis la virtualisation d'architectures x86.
Aujourdhui Vmware est le leader incontest de la virtualisation et propose une solution beaucoup
plus complte que ces principaux concurrents, cest pourquoi nous prconisons pour Tailspin Toys
dutilis les solutions Vmware.




RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 23 sur 37


5.3.2. Quest-ce que la virtualisation
La virtualisation permettra Tailspin Toys:
Lutilisation optimale des ressources de son parc de machines (rpartition des machines
virtuelles sur les machines physiques en fonction des charges respectives).
Diffrentes machines virtuelles sont capables dexcuter divers systmes dexploitation et
plusieurs applications sur le mme ordinateur physique.
Linstallation, dploiement et migration facile des machines virtuelles d'une machine
physique une autre.
De diminuez les dpenses dinvestissement.
Dconomie sur le matriel par mutualisation (consommation lectrique, entretien physique,
surveillance, support, compatibilit matrielle, etc.)
La scurisation et/ou lisolation d'un rseau.
Lallocation dynamique de la puissance de calcul en fonction des besoins de chaque
application un instant donn.
En autre de tous ses avantages, la virtualisation va apporter Tailspin Toys une multitude de
service qui va la fois augmenter le rendement de ces informaticiens tout en diminuant son
OPEX :

Le Vmotion


Le Vmotion permet de dplacer en direct une machines virtuelles en service depuis un serveur
physique vers un autre serveur sans priode d'interruption avec une disponibilit de service
permanente et une intgrit de transaction complte.





RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 24 sur 37

Le DRS (Distributed Ressources Scheduler)


Ce Service va permettre quilibrer la capacit informatique dynamiquement dans les Cluster de
ressources matrielles pour les machines virtuelles. Cette fonction comporte des possibilits de
gestion d'alimentation distribue (DPM) permettant au centre de donnes de rduire
significativement sa consommation d'nergie par exemple teindre un des ESX qui contiens des
servers peu ou pas utiliser pendant la nuit.

Le HA (High Availability)


Cest une fonction qui offre une haute disponibilit aux machines virtuelles. En cas de panne du
serveur, les machines virtuelles affectes sont redmarres sur d'autres serveurs de production
disposant de surcrot de capacit.



RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 25 sur 37


5.3.3. Comment allons-nous procder pour virtualiser lAD de Tailspin Toys
Nous prconisons pour Tailspin Toys de virtualit seulement les serveurs des entreprises quelle vient
dacqurir Contoso LTD et Wingtip Toys, la procdure sera la mme pour les deux entits :
Grace cette procdure de virtualisation Tailspin Toys :
Pourra conomiser quatre servers, 2 Contoso LTD et 2 Wingtip Toys. Elle pourra par la
suite soit les retirs et faire donc des conomies dnergie et de maintenance ou bien les
rutiliser afin daugmenter sa puissance de calcules (rajout de nouvelles applications).
Elle facilitera la gestion de ces servers et aura un gain de temps pour les oprations de maintenance
(dplacer une machine dun serveur vers un autre).


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 26 sur 37


5.4. Cloud
5.4.1. Quest-ce que le Cloud ?


Chacun utilise des applications sur Internet et fait donc du cloud computing: jeux, service de
traduction, webmail, etc.
Mais l'intrt primordial du cloud computing est pour les entreprises qui ne sont plus limites des
parcs informatiques figs et des palettes d'applications fixes.
Si lentreprise a besoin d'une capacit machine plus leve pendant un certain temps, elle la loue
pour la dure ncessaire, " la demande", et l'exploite immdiatement. Pas de choix de matriel
effectuer, pas d'achat, pas d'installation, pas de configuration, pas d'administration.
Donc:
Rapidit extrme
Simplicit
Flexibilit
Economie d'investissement et probablement de cots
Plus de machine inexploite ou sous-exploite une fois le besoin chu
Idem pour une capacit de stockage requise temporairement

Les avantages persistent mme si l'utilisation est permanente :
Dans le cas du matriel, parce qu'on peut moduler les ressources de calcul et de stockage en
fonction des besoins et, surtout, qu'on peut externaliser le travail ncessaire pour grer cette
plate-forme.
Dans le cas des applications, parce qu'on dispose constamment des dernires versions des
logiciels et qu'on ne doit pas se soucier dadministrer les applications concernes.








RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 27 sur 37

5.4.2. Solution de Cloud pour lActive Directory

Windows Azure est le service dintgration dActive Directory dans le Cloud, communment appeler
WAAD.
Le service dannuaire Active Directory rpertorie les lments dun rseau comme les comptes
utilisateurs, les serveurs, les postes de travail, les dossiers partags, les imprimantes, les bases de
donnes, etc. Il fournit des services centraliss d'identification et d'authentification un rseau
d'ordinateurs sous Windows.

Windows Azure Active Directory (WAAD) utilise les capacits d'entreprise d'Active Directory pour
Windows Server, afin de permettre de placer facilement les applications dans le Cloud. La meilleure
faon de dcrire WAAD est que Microsoft permet Active Directory dune entreprise de fonctionner
sur le Cloud, tout comme sur Windows Server en local.

Le service Cloud Active Directory repose sur des fonctionnalits didentit et daccs qui ont t
redfinies pour tre utilises dans les cosystmes interconnects actuels qui sont de plus en plus
htrognes. WAAD a donc t largi pour supporter les terminaux mobiles comme liPhone, les
plateformes Cloud comme AWS et les technologies comme Java.
Conu pour la haute disponibilit lchelle dinternet, WAAD est dj utilis pour la gestion de
lidentit pour Office 365 et Windows Intune.

Le service de contrle daccs (ACS) de WAAD permettra d'utiliser un seul portail pour grer tous les
utilisateurs et groupes travers les applications Cloud. ACS est compatible avec plusieurs
plateformes Web modernes, y compris .NET, PHP, Python, Java et Ruby.
















RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 28 sur 37

5.4.3. Les enjeux du Cloud pour Tailspin Toys

Nous prconisons pour Tailspin Toys de ne pas faire du cloud total car cela pourrai lui tre trs
dommageable.
Dans une solution ou lannuaire de Tailspin Toys se trouverai entirement dans le Cloud deux
problmes majeur se pose :
1. Dans les heures de grande influence douverture de session des utilisateurs, la connexion
internet sera surcharge et un problme de latence va se produire entre le moment o
lutilisateur entre ses identifiants et le moment o sa session souvre.
2. Dans le cas dune perte de connexion internet, il sera impossible pour les utilisateurs de
sidentifier o daccder au ressources de Tailspin Toys.

La solution de Cloud qui pourrait tre envisag est celle de disposer de ses propres annuaires aux
seins de ses sites et quils soient rpliquer sur des annuaires se trouvant dans le Cloud.






RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 29 sur 37

Cette configuration de Cloud est une solution qui permettrait Tailspin Toys de rpondre des
problmatiques de PCA/PRA, sil arrivait un incident ou une catastrophe climatique qui dtruirait les
sites de Tailspin Toys, son annuaire sera toujours disponible.


Mais cette solution un cot lev, Tailspin Toys aura besoin de louer les services dun Cloud long
terme.
Il est peu probable que les annuaires du mme domaine, qui se situe sur diffrents sites, soient
dtruits au mme moment.
Cest pourquoi nous ne prconisons pas Tailspin Toys de retenir la solution du Cloud nanmoins si il
le souhaite nous pourrons rpondre sa demande et lui raliser mettre en place son annuaire dans
le Cloud.











RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 30 sur 37

5.5. PCA / PRA
Le service d'annuaire Active Directory est un service critique qui doit assurer un haut niveau de
disponibilit pour minimiser l'impact sur les autres services de l'entreprise. Pour atteindre ce
rsultat, un plan de continuit dactivit et un plan de reprise d'activit doivent tre mis en place.
La mise en place dune solution PCA/PRA ncessite en amont de procder :
Une analyse des risques ; Quils soient humains ou dorigine naturelle et valuer le taux de
probabilit.
Une analyse dimpact ; Evalue limpact dun risque et dtermine partir de quand cet
impact est intolrable et met en danger la survie de lentreprise. Les types dimpact peuvent
tres humains, financiers, lgaux, etc.

5.5.1. Plan de continuit dactivit



Le plan de continuit dactivit (PCA) est un ensemble de mesure prventive qui va permettre de
continuer lactivit sans subir dinterruption de service. Llaboration de ce plan ncessite la mise en
place de certains points :

Elaborer un plan de continuit : Afin de dfinir les responsables et les mesures quil y aura
prendre.
Mettre en place une redondance des contrleurs de domaines ; Lorsquun contrleur de
domaine nest plus en tat de fonctionner, un autre prendra le relais. Cela implique de ne
pas les mettre dans les mmes salles serveurs et relativement loign. Des mesures peuvent
tre prise pour rendre les serveurs moins vulnrable ; comme le doublement daliment des
baies de serveurs.
La rpartition de charges (Load Balancing) ; Les requtes sont rpartis entre chaque serveur
afin de ne pas les surcharger. On peut aussi considrer les technologies comme RAID qui
permettent une redondance de disques par exemple.
La mise en place dune quipe de maintien en condition oprationnel ; Afin de veiller ce
que linfrastructure informatique soit constamment en tat de fonctionnement optimal.
Lorsquun problme intervient sur un quipement (exemple ; un des contrleurs de
domaines), un ticket de maintenance est mis et un administrateur sera en charge de le
rsoudre dans un temps imparti dfini lavance (SLA).


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 31 sur 37

La mise en place dun systme de supervision ; Trs utile afin de surveiller ltat des
quipements. En cas de problme, une alerte remonte lquipe MCO (Maintien en
condition oprationnel), et cette dernire peut rapidement prendre en charge lincident.
La rdaction de procdure : Ces procdures permettront de savoir quoi faire en cas de crise.
Llaboration de tests de manire rgulire ; Des simulations de crises doivent tre effectu
afin de permettre lentreprise dtre prpar. Cela permet aussi de sensibiliser les
utilisateurs aux risques dune crise et de tester les procdures.


5.5.2. Plan de reprise dactivit


Un PRA va permettre dassurer la reconstruction de linfrastructure informatique et la remise en
route des applications ncessaires lactivit de lentreprise dans un dlai prdfini. Le basculement
de lactivit vers le plan de reprise dactivit se fera lors dun vnement majeur qui paralyserait
lactivit dun site par exemple.
La mise en place de ce PRA ncessite la mise en place de sauvegarde des contrleurs de domaines;
expliqu dans la partie suivante
Il faut au pralable :
Fixer une dure maximale dinterruption de service (temps entre le moment de linterruption
de service et la reprise de lactivit)
Fixer la perte de donnes admissible (jusquo remonte la dernire sauvegarde des donnes
rcupres)

Dans le cas ou tout le site est paralys, diverses solutions sont possibles :
Lutilisation dun site froid : site de secours qui peut avoir une autre utilisation en
temps normal ou sont stocks des serveurs et du matriel non installs et non
connects
Lutilisation dun site tide : site de secours intermdiaire contenant des serveurs et
des machines connects et installs (mais non forcement jour) teinte et prt
tre allums.
Lutilisation dun site chaud : site de secours contenant des serveurs et des machines
installs connects et jour, allums et prt fonctionner. La mise en place dun tel
site revient faire une redondance totale du parc informatique et est trs onreux.

Le basculement vers le PRA ne serait pas possible sans une sauvegarde efficace.



RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 32 sur 37


5.6. Sauvegarde


5.6.1. Prparation de la sauvegarde
Pour garantir le basculement vers le Plan de Reprise dActivit en cas de crise ou tout simplement en
cas de perte de donnes, la sauvegarde est un lment cls. Microsoft met disposition sur
Windows Server un outil spcialement conus pour cette tache; Utilitaire de sauvegarde. Ce dernier
va permettre de prendre deux types de clichs (sorte de photographie dun systme dexploitation
un instant T) :
Clichs du service dannuaire; Essentiel pour sassurer de rcuprer les donnes de ce
dernier, dans lventualit dun vnement provoquant la corruption ou la destruction de
linstallation Active Directory.
Clichs du systme; Ont pour utilits de pouvoir restaurer le systme sur laquelle est install
le contrleur de domaine en cas de dfaillance du systme de stockage ou autre problme
pouvant impacter le fonctionnement de lannuaire.

La sauvegarde seffectuera de manire quotidienne sur chaque contrleur de domaine, pendant la
nuit et de manire transparente pour lutilisateur.
5.6.2. Etape de sauvegarde
La sauvegarde seffectuera en deux tapes :
Lenregistrement des clichs sur un serveur de sauvegarde ; Ce dernier va conserver
pendant une dure de un mois les sauvegardes sur disques durs.
Larchivage sur bandes de stockage; Caque mois, les clichs contenu sur le serveur de
sauvegarde seront archivs pendant un laps de temps dfini (pouvant aller de 6 mois
quelques annes). Un lecteur de bande est ncessaire et se chargera dcrire les
informations sur bandes. Ces dernires seront ensuite stockes en lieu sr.




RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 33 sur 37

5.6.3. Support de sauvegarde
Voici les solutions de supports proposs pour la sauvegarde :

Serveur de sauvegarde Lecteur de bande
Modle HP Proliant DL360 Gen7

HP MSL2024 1-lto-6

Capacit 8 disques SATA 24 bandes
Stockage 8x1 Tra Octet en RAID 5
La capacit de stockage na pas besoin
dtre excessive dans le sens ou les
donns sont archives par la suite.
48 x 800 Giga Octet
En fonction du volume des sauvegardes,
on utilisera une ou deux bandes chaque
mois.




RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 34 sur 37


6. PLANNIFICATION DU PROJET

6.1.1. Vision macroscopique du projet

Les grandes phases projet :
Phase 1 Initialisation : tude, cadrage et design
Phase 2 Ralisation : implmentation de la nouvelle infrastructure, migrations des objets
Phase 3 Finalisation : suppression des domaines sources

6.1.2. Vision dtaille du projet

Chacune de 5 phases principales exposes ci-dessus comporte plusieurs tapes qui pourront tre
dvelopp dans un plan dactions dtaill ultrieur.


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 35 sur 37


Cinq temps cls sont identifis dans le projet de refonte de linfrastructure :




































RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 36 sur 37

7. EVALUATION FINANCIERE

En tant quintgrateur, nous ne sommes pas agre pour vendre les licences ou pour ngocier des prix
sur le matriel informatique. Ce sont des prrequis quil faudra revoir plus en dtails suite un audit.
Description des produits et services JOUR
Cot
unitaire
Cot TOTAL
Etude de cadrage 10 650 6 500
Audit des contraintes Active Directory et applicatives
2
Identification des contraintes auprs des quipes informatique des
2 filiales de Tailspin Toys
1
Livrable : Compte rendu de laudit 1
Dfinition de la cible initialisation conception
8
Revue et validation de larchitecture cible 1
Dfinition de la migration 3
Dfinition des planifications des migrations 2
Livrable : Initiation Dossier darchitecture 2
Conception 6 650 3 900
Rdaction du plan daction dtaill
2
Dfinition du plan daction dtaill 1
Livrable : Plan daction dtaill 1
Rdaction des procdures dtailles
2
Dfinition des procdures dtailles 1
Livrable : Cahier de procdures 1
Rdaction du cahier de recette
2
Rdaction du cahier de recette 2
Livrable : Cahier de recette
Ralisation 13 530 6 890
Assistance la mise en uvre de la nouvelle infra
5
Installation des ESX et configuration des nouveaux DC 5
Installation infrastructure de migration
1
Serveur ADMT et service 1
Migrations pilote (50 postes/groupes/utilisateurs et 2 serveurs)
7
Test de migration 6
Livrable : Cahier de recette 1
Assistance technique post migration pilote 40 650 26 000
Assistance la demande pour migration relle 40
Gestion de projet 12 565 6 780
Gestion de projet 12


TOTAL PROJET 78 50 070


RFONTE DE
LARCHITECTURE AD

VERSION
2.0
DATE
22/02/13

Page 37 sur 37

8. CONCLUSION

Ce document rsume les points techniques aborder afin de rpondre aux mieux vos besoins. La
conception d'une architecture Active Directory est une tche critique et essentielle au sein d'un
systme d'information. IZIT espre avoir apport une rponse la hauteur de vos attentes, et qui
rpondra votre problmatique au travers de ce document.
Aussi, il est important pour IZIT de prvoir des changes afin de discuter des aspects techniques, des
cots et de la planification. Ceci, dans le but de pouvoir fournir rapidement un document
d'architecture technique reprenant les spcifications techniques ainsi quun plan de migration.
La rponse d'appel d'offres propose et la prestation, si ce dossier est retenue, sintgre dans un
mode de travail collaboratif impliquant une disponibilit dun ou plusieurs membres de lquipe
projet, pendant la dure du dploiement.