Capacité d'optimisation d'infrastructure : sécurité et mise en réseau - du niveau standardisé au niveau rationalisé
Sur cette page
.gif "Présentation"){kind=icon}
Présentation
Exigence : pare-feu gérés en fonction des stratégies définies sur les serveurs et les ordinateurs de bureau
Exigence : accès distant sécurisé aux ressources internes et applications métier
Exigence : vérification des communications entre serveurs sécurisée et garantie
Exigence : analyse des contrats de niveau de service et création de rapports pour les serveurs
Exigence : système de communication sécurisée pour le statut de présence
Exigence : Active Directory et IAS/RADIUS pour l'authentification et l'autorisation réseau sans fil
Exigence : services de certificats gérés de façon centralisée
Exigence : bande passante gérée de façon proactive pour les filiales
Présentation
La sécurité et mise en réseau est la troisième capacité associée à l'optimisation d'infrastructure. Le tableau suivant décrit les principaux enjeux, les solutions applicables et les avantages du passage au niveau rationalisé en termes de sécurité et de mise en réseau.
Enjeux |
Solutions |
Avantages |
|---|---|---|
Enjeux métier Les modèles de sécurité multicouches ne sont pas déployés sur le réseau, du périmètre aux niveaux pare-feu, serveur, ordinateur de bureau et application. Le pare-feu n'est pas un composant standard des ordinateurs de bureau. Les utilisateurs mobiles manquent d'accès sécurisé aux ressources via une infrastructure de routage fournie par un réseau publique. Enjeux informatiques Les serveurs acceptent le trafic entrant à partir d'un hôte, ce qui accroît la vulnérabilité aux attaques. Faible authentification des clients d'accès sans fil Faible chiffrement et intégrité des données du réseau local sans fil |
Projets Déployer des pare-feu gérés par des stratégies sur des serveurs Sécuriser l'accès distant aux ressources internes et aux applications métier Fournir une communication entre serveurs sécurisée et garantie Implémenter la surveillance SLA et la création de rapports pour les serveurs Implémenter un système de communication sécurisée pour le statut de présence Déployer Active Directory et IAS/RADIUS pour l'authentification et l'autorisation réseau sans fil Implémenter des services de certificats gérés de façon centralisée Commencer par gérer de façon proactive la bande passante pour les filiales |
Avantages métier Les utilisateurs ont un accès sécurisé aux ressources quel que soit leur emplacement. Les stratégies et processus proactifs de sécurité, de configuration et de gestion renforcent la stabilité. Avantages informatiques Gestion améliorée des ressources matérielles et logicielles pour les ordinateurs de bureau Stratégies de groupes centralisées pour distribuer des stratégies IPsec et filtres, renforçant ainsi le niveau de sécurité des PC Les stratégies IPsec renforcent la sécurité des environnements de réseau en limitant le trafic entrant aux hôtes approuvés. Le service informatique passe moins de temps à gérer les crises et plus de temps à proposer à l'entreprise de nouveaux services. |
Le niveau rationalisé du modèle d'optimisation de l'infrastructure aborde les domaines des composants de mise en réseau et de sécurité comme : les pare-feu locaux, la sécurité IP, l'analyse de la disponibilité, l'infrastructure sans fil de sécurisation, la gestion des certificats et la gestion WAN.
Exigence : pare-feu gérés en fonction des stratégies définies sur les serveurs et les ordinateurs de bureau
Public visé
Lisez ce qui suit si vous ne disposez pas d'un pare-feu géré en fonction des stratégies définies sur au moins 80 % des serveurs et ordinateurs de bureau.
Vue d'ensemble
Dans le Guide des ressources d'optimisation d'infrastructure pour les responsables de l'implémentation : du niveau de base au niveau standardisé , * *vous avez appris à protéger des ordinateurs en réseau moyennant un pare-feu de périmètre centralisé. Pour passer du niveau standardisé au niveau rationalisé, vous devez renforcer la protection du pare-feu de votre réseau en établissant et en mettant en place des stratégies sur vos serveurs et ordinateurs de bureau à l'aide de pare-feu basés sur l'hôte de classe 1. Microsoft et les autres fournisseurs de logiciels proposent des logiciels de pare-feu vous permettant de configurer la protection en fonction d'une stratégie ou d'un ensemble de règles. Cette exigence est étroitement liée à l'exigence de Configuration et sécurité centralisées à base d'annuaires du niveau rationalisé également.
La plupart des pare-feu de classe 1 peuvent être configurés à différents niveaux de protection allant du niveau minimal au niveau très restrictif. Si vous autorisez des utilisateurs à définir le niveau de protection de leurs propres ordinateurs, vous ne pouvez pas être certain qu'ils choisiront le niveau qui protège votre réseau dans son intégralité. L'utilisation de pare-feu gérés en fonction de stratégies définies vous permet de déterminer le niveau de sécurité qui répond aux besoins de votre réseau.
Phase 1 : analyse
Lors de la phase d'analyse, vous analysez les ordinateurs de votre environnement déjà dotés d'un pare-feu basé sur l'hôte affichant des capacités en matière de gestion des stratégies. Le niveau rationalisé stipule qu'au moins 80 % de vos PC de bureau exécutent Windows XP SP2 ou Windows Vista (voir Exigence : deux dernières versions de systèmes d'exploitation et service packs installés sur les ordinateurs de bureau) ; il n'existe pas d'exigence particulière, au niveau rationalisé, quant à l'exécution des deux dernières versions de systèmes d'exploitation sur les serveurs. Ceci est important car, dans la mesure où votre organisation a déjà déployé les dernières versions de systèmes d'exploitation, vous disposez déjà de fonctionnalités de pare-feu basé sur l'hôte sur les ordinateurs de bureau et devez simplement intégrer les exigences en matière de mise en place de la configuration via la stratégie de groupe afin de veiller à ce que le Pare-feu Windows s'exécute conformément à la configuration souhaitée. Les pare-feu basés sur hôte des produits Windows Server sont apparus avec Windows Server 2003 SP1. Dès lors, si votre organisation n'exécute pas un minimum de 80 % de son infrastructure de serveurs avec Windows Server 2003 SP1 ou version ultérieure, vous devrez dresser l'inventaire de ces systèmes et les identifier sans pare-feu basé sur l'hôte. Pour automatiser le système d'exploitation et les informations relatives aux applications sur l'infrastructure de serveurs, il est recommandé d'utiliser l'inventaire matériel de SMS 2003.
Phase 2 : identification
À l'aide de l'inventaire des serveurs dressé lors de la phase précédente, la phase d'identification consiste à isoler l'infrastructure des serveurs nécessitant des pare-feu basés sur l'hôte. Lors de la phase d'évaluation et de planification, vous déterminerez la stratégie d'atténuation qui convient ainsi que la configuration de pare-feu à mettre en place moyennant la stratégie de groupe.
Phase 3 : évaluation et planification
Lors de la phase d'évaluation et de planification, vous examinerez les technologies de pare-feu basés sur l'hôte et déterminerez les mesures à prendre pour disposer de pare-feu basés sur l'hôte sur 80 % des ordinateurs de bureau et serveurs de votre organisation. Une fois la stratégie déterminée pour l'application de pare-feu basés sur l'hôte à la majorité de vos ordinateurs de bureau et serveurs, déterminez la manière dont la stratégie de groupe peut être utilisée pour mettre en place et configurer ces pare-feu. Cette phase permet uniquement d'évaluer et de planifier le déploiement de pare-feu basés sur l'hôte dans un environnement de test. Les sections suivantes se concentrent sur le Pare-feu Windows, mais vous pouvez choisir d'utiliser des technologies similaires, comme BlackICE d'Internet Security Systems ou Zone Alarm de Zone Labs.
Pare-feu Windows
Le Pare-feu Windows est un pare-feu dynamique basé sur l'hôte compris dans Windows XP SP2, Windows Server 2003 SP1, Windows Vista et Windows Server nom de code « Longhorn » (actuellement en cours de test bêta). Le Pare-feu Windows bloque le trafic entrant qui ne correspond ni à un trafic envoyé en réponse à une demande de l'ordinateur (trafic sollicité), ni à un trafic non sollicité qui a été spécifié comme étant autorisé (trafic faisant l'objet d'une exception).
En tant que pare-feu basé sur l'hôte, le Pare-feu Windows s'exécute sur chacun de vos serveurs et clients ; il prévient les attaques qui franchissent le réseau de votre périmètre ou proviennent de votre organisation, comme les chevaux de Troie, ou la diffusion de tout autre type de programme malveillant via un trafic entrant non sollicité.
Pour plus amples informations sur le Pare-feu Windows, rendez-vous à l'adresse : https://www.microsoft.com/technet/network/wf/default.mspx.
Le Pare-feu Windows ou un pare-feu similaire basé sur l'hôte sur 80 % des ordinateurs de bureau et serveurs relève d'une exigence. Comme mentionné précédemment, vous pouvez être amené à évaluer d'autres pare-feu basés sur l'hôte comme BlackICE d'Internet Security Systems et Zone Alarm de Zone Labs.
Mise en place de pare-feu basés sur l'hôte sur les ordinateurs de bureau et les serveurs
Après avoir sélectionné une technologie de pare-feu pour vos ordinateurs de bureau et vos serveurs et identifié les hôtes qui en ont besoin, il vous faut tester, configurer et déployer ces applications de pare-feu afin de tester l'infrastructure. Ces étapes reprennent les meilleures pratiques observées dans ce guide en matière de gestion des correctifs, test de compatibilité des applications et déploiement des applications comme décrit dans Gestion des correctifs pour les serveurs, Tests de compatibilité et certification des distributions de logiciels et Suivi automatisé du matériel et des logiciels des ordinateurs de bureau. Si vous avez sélectionné le Pare-feu Windows comme technologie de préférence pour les serveurs antérieurs à Windows Server 2003 SP1, vous devrez mettre à jour les serveurs ciblés vers Windows Server 2003 SP1 ou version ultérieure.
Gestion des stratégies des pare-feu
En termes d'optimisation d'infrastructure, la gestion des stratégies du pare-feu basé sur l'hôte fait également partie intégrante du niveau rationalisé. Pour les utilisateurs du Pare-feu Windows, la solution consiste à veiller à ce que le service de pare-feu soit activé. Ce processus simple s'effectue via les étapes suivantes issues de la stratégie de groupe :
Vérifier le paramètre de la stratégie de groupe, Pare-feu Windows : Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine, désactivé ou non configuré.
Si ce paramètre est activé, il empêche quiconque, y compris les administrateurs, d'activer ou de configurer le Pare-feu Windows. Pour modifier ce paramètre de la stratégie de groupe, utilisez l'Éditeur d'objets de stratégie de groupe afin d'éditer les objets de stratégie de groupe (GPO) utilisés pour gérer les paramètres du Pare-feu Windows au sein de votre organisation.
Pour modifier le paramètre Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine
Ouvrez l'Éditeur d'objets de stratégie de groupe afin d'éditer les objets de stratégie de groupe utilisés pour gérer les paramètres du Pare-feu Windows au sein de votre organisation.
Cliquez sur Configuration ordinateur, Modèles d'administration, puis Connexions réseau.
Dans le volet d'informations, double-cliquez sur le Pare-feu Windows : Paramètre de la stratégie Interdire l'utilisation de pare-feu de connexion Internet sur le réseau de votre domaine.
Cochez la case Désactivé ou Non configuré.
Si vous n'utilisez pas le Pare-feu Windows, localisez le paramètre équivalent correspondant au pare-feu basé sur l'hôte sélectionné et suivez la procédure similaire. Lorsqu'au moins 80 % des clients et serveurs sont gérés, cet attribut de l'exigence Pare-feu gérés en fonction des stratégies définies sur les serveurs et ordinateurs de bureau est effective. Pour plus d'informations sur la stratégie de groupe, reportez-vous à l'exigence Configuration et sécurité centralisées à base d'annuaires dans le présent guide.
Pour plus d'informations sur les paramètres avancés du Pare-feu Windows, reportez-vous à Meilleures pratiques pour la gestion du Pare-feu Windows.
Phase 4 : déploiement
Au terme des trois phases précédentes, vous devez être en mesure de déployer la technologie de pare-feu basé sur l'hôte que vous avez choisie et mettre en place la gestion des stratégies. Cette fois encore, le processus de déploiement reprend les meilleures pratiques en matière de gestion des correctifs, test de compatibilité des applications et déploiement des applications comme décrit dans Gestion des correctifs pour les serveurs, Tests de compatibilité et certification des distributions de logiciels et Suivi automatisé du matériel et des logiciels des ordinateurs de bureau. Reportez-vous à ces exigences pour plus d'informations sur le processus de planification et de déploiement.
Informations complémentaires
Pour plus d'informations sur les pare-feu, rendez-vous sur Microsoft TechNet et lancez une recherche sur « Pare-feu Windows ».
Pour en savoir plus sur la façon dont Microsoft intègre les pare-feu dans le périmètre de sécurité des réseaux, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/secnetwkperim.mspx.
Point de contrôle : pare-feu gérés en fonction des stratégies définies sur les serveurs et les ordinateurs de bureau
|
Exigences |
|---|---|
|
Vos ordinateurs serveur et de bureau ont été inventoriés pour identifier les postes équipés de technologies de pare-feu basées sur l'hôte. |
|
Une technologie de pare-feu basée sur l'hôte a été déployée sur les postes non équipés de fonctionnalités de pare-feu ou les serveurs ont été mis à jour avec le système Windows Server 2003 SP1 ou ultérieur. |
|
Une stratégie a été appliquée pour veiller à ce que les pare-feu basés sur l'hôte soient toujours activés et impossibles à désactiver. |
.gif)
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour la capacité de pare-feu gérés en fonction des stratégies définies sur les serveurs et les ordinateurs de bureau du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques dont il est question dans ce guide pour les pare-feu basés sur l'hôte et gérés en fonction des stratégies définies ainsi que dans les Meilleures pratiques pour la gestion du Pare-feu Windows.
Passez à la question d'auto-évaluation suivante.
Exigence : accès distant sécurisé aux ressources internes et applications métier
Public visé
Veillez à lire cette section si vos employés ne disposent pas d'un accès distant sécurisé aux ressources internes et applications métier au-delà de la messagerie, par exemple, un réseau privé virtuel (VPN) ou Microsoft Services Terminal Server.
Vue d'ensemble
Dans l'environnement commercial actuel, les organisations subissent des pressions telles que la réduction des coûts, l'amélioration de l'efficacité et l'optimisation des performances par rapport à l'infrastructure existante. Face à la croissance d'Internet et aux nouvelles opportunités commerciales mondiales, les organisations doivent fournir un accès sécurisé au réseau sécurisé 24 heures sur 24 et 7 jours sur 7 aux employés et aux sites du monde entier. Les deux scénarios dans lesquels l'accès distant est généralement utilisé sont les suivants :
Accès client distant. Les clients distants sont principalement des ordinateurs seuls, comme les ordinateurs à domicile ou les ordinateurs portables d'employés qui doivent accéder aux ressources de l'entreprise tout en travaillant à domicile ou lors de leurs déplacements.
Accès site à site. L'accès site à site est utilisé entre les filiales et les installations centralisées de l'organisation pour accéder aux ressources et données situées à différents emplacements logiques et physiques.
Un VPN peut permettre à l'entreprise de remplir ces deux conditions. Ces solutions requièrent une connexion à distance ou une connexion de ligne allouée (partagée). Ce guide est principalement consacré au VPN et présente les Services Terminal Server permettant de répondre à l'exigence. Cette aide s'appuie sur l'Architecture de référence Windows Server System - Services de sauvegarde et récupération.
Pour plus de ressources techniques sur le VPN sous Windows Server 2003, reportez-vous au site Web relatif aux réseaux privés virtuels sur Microsoft TechNet.
Phase 1 : analyse
Lors de la phase d'analyse, vous devez identifier les manières dont votre base d'utilisateurs travaille depuis des sites distants. Les organisations ne proposent souvent un accès à la messagerie que par l'intermédiaire de services tels que Microsoft Office Outlook® Web Access (OWA) ou des applications métier Web. Dans ces cas, les utilisateurs finaux disposent efficacement d'un sous-ensemble de fonctionnalités comparées à celles sur site. Lors de la phase d'analyse, vous devez déterminer la liste des services principaux mis à la disposition des utilisateurs sur site, comme Intranet et les services de collaboration ainsi que ceux mis à la disposition des utilisateurs hors sites ou utilisateurs des filiales, comme la messagerie Web et les applications LOB.
Phase 2 : identification
Maintenant que vous avez dressé la liste des services auxquels ont accès les utilisateurs sur site, hors site et utilisateurs des filiales, la phase d'identification permet de déterminer les services proposés sur site et susceptibles, moyennant un accès distant sécurisé, d'accroître la productivité ainsi que l'efficacité des utilisateurs hors site. Généralement, les exigences d'une organisation en matière d'accès distant, à savoir un accès client distant et un accès site à site, peuvent être remplies par un VPN. Ces deux solutions passent par une connexion Internet ou une connexion de ligne allouée.
Phase 3 : évaluation et planification
La phase d'évaluation et de planification examine la manière dont les services d'accès distant sélectionnés sont proposés, ainsi que les contrôles mis en place pour assurer la sécurité. Pour la plupart des organisations, il serait trop coûteux d'ouvrir un bureau dans chaque ville ou de proposer des circuits privés reliés au domicile de chaque employé pour permettre des connexions sécurisées au réseau de l'entreprise. Un VPN permet aux partenaires commerciaux et employés d'établir des connexions sécurisées et chiffrées via Internet, généralement à moindre coût.
Réseaux privés virtuels
Un réseau privé virtuel (VPN) est une connexion sécurisée et chiffrée entre deux points terminaux établis sur une connexion partagée comme Internet et faisant office d'extension au réseau d'une entreprise. Un VPN permet à l'organisation d'utiliser l'infrastructure Internet existante en connectant tout simplement un bureau ou un utilisateur à un fournisseur de services Internet (FAI). Le VPN est également une technologie extensible. Le protocole voix sur IP (VoIP), par exemple, peut être implémenté pour permettre à des utilisateurs distants d'utiliser leur ligne téléphonique de bureau (ainsi que toutes ses capacités de messagerie) partout où ils se trouvent.
Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou qui se déplacent d'obtenir une connexion d'accès à distance vers le serveur d'une organisation moyennant l'infrastructure fournie par une interconnexion publique comme Internet. Du point de vue des utilisateurs, le VPN est une connexion point à point entre l'ordinateur, le client VPN et le serveur d'une organisation (le serveur VPN). L'infrastructure exacte du réseau partagé ou public est inappropriée car elle apparaît comme si les données étaient envoyées sur un lien privé dédié.
Les connexions VPN permettent également aux organisations de disposer de connexions routées sur une interconnexion publique comme Internet tout en assurant la sécurité des communications, par exemple, pour les bureaux distants géographiquement. Une connexion VPN routée via Internet fait logiquement office de lien de réseau étendu (WAN) dédié.
Le schéma ci-dessous illustre la conception architecturale de services d'accès à distance via un VPN.
.gif "Figure 7. Conception architecturale de services d'accès à distance via un VPN")
Figure 7. Conception architecturale de services d'accès à distance via un VPN
Éléments à prendre en compte dans la conception d'un VPN
Les éléments à prendre en compte dans la conception d'une solution VPN sont la sécurité, les coûts, l'intégration, les exigences futures et l'administration. Avant d'opter pour une technologie VPN donnée, il est important de déterminer les objectifs de conception d'une solution VPN. Ces objectifs varient selon s'il s'agit d'un accès à distance client, d'un accès site à site ou des deux. Pour plus d'informations sur les options de conception d'un VPN, reportez-vous à la présentation des services d'accès à distance WSSRA.
Planification des services d'accès à distance
La conception d'accès à distance repose sur les informations recueillies lors du processus de définition des exigences commerciales et techniques. En général, une solution d'accès à distance est nécessaire pour les clients distants comme les employés travaillant à domicile, se déplaçant ou les filiales présentant de multiples utilisateurs et au sein desquelles des connexions site à site de type commercial existent.
Pour plus d'informations sur la planification des services d'accès à distance des clients distants, reportez-vous à la page consacrée au guide de planification des services d'accès à distance pour le scénario CDC (Corporate Data Center) (cette page peut être en anglais).
Pour plus d'informations sur la planification des services d'accès à distance des filiales, reportez-vous aux pages suivantes :
Services Terminal Server
Le composant Services Terminal Server de Microsoft Windows Server 2003 vous permet de proposer des applications Windows ou le bureau Windows à presque tous les appareils informatiques, y compris ceux qui ne peuvent exécuter Windows.
Le composant Services Terminal Server de Windows Server 2003 propose trois avantages importants en matière d'accès à distance sécurisée :
déploiement rapide centralisé d'applications ;
accès à faible bande passante aux données ;
disponibilité de Windows.
Pour plus d'informations sur Services Terminal Server, rendez-vous à l'adresse : http://technet2,microsoft.com/windowsserver/en/technologies/featured/termserv/default.mspx.
Phase 4 : déploiement
Après avoir évalué vos options en matière de services d'accès à distance et planifié les exigences afin de proposer un service approprié aux clients distants et filiales, l'implémentation de votre conception se déroule lors de la phase de déploiement. Le guide de conception des services d'accès à distance WSSRA (cette page peut être en anglais) détaille les étapes d'implémentation visant à tester et à déployer les services VPN aux clients distants dans le scénario CDC ainsi qu'aux filiales dans le scénario SBO.
Informations complémentaires
Pour savoir comment Microsoft implémente le VPN et le composant Services Terminal Server, rendez-vous aux adresses :
https://www.microsoft.com/technet/itshowcase/content/isa2004sp2.mspx
https://www.microsoft.com/technet/itshowcase/content/rasecwp.mspx
Point de contrôle : Accès distant sécurisé aux ressources internes et applications métier
|
Exigences |
|---|---|
|
Les besoins en accès distant ont été évalués pour les ordinateurs clients distants et les filiales. |
|
Un réseau privé virtuel sécurisé, ou un service comparable, a été conçu et implémenté pour les ordinateurs clients distants et les filiales. |
Si vous avez suivi les étapes précédente, votre organisation répond aux exigences minimales du niveau rationalisé en matière d'accès distant sécurisé aux ressources internes et capacités des applications LOB du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière de VPN abordées dans la page relative aux Réseaux privés virtuels de Microsoft TechNet.
Passez à la question d'auto-évaluation suivante.
Exigence : vérification des communications entre serveurs sécurisée et garantie
Public visé
Nous vous recommandons de lire cette section si vous ne disposez d'aucun moyen sécurisé et garanti de vérifier les communications entre les serveurs critiques, comme les contrôleurs de domaines, et les serveurs de messagerie.
Vue d'ensemble
Les organisations doivent relever des défis toujours plus grands en matière de sécurisation des périmètres de leurs réseaux. Avec le développement de ces organisations et l'évolution des relations commerciales, les clients, fournisseurs et consultants doivent connecter des périphériques mobiles à votre réseau à des fins commerciales et dès lors, le contrôle d'accès physique au réseau peut s'avérer impossible. L'apparition des technologies de réseau et de connexion sans fil a simplifié plus que jamais l'accès réseau. Cette connectivité améliorée signifie que les membres d'un réseau interne sont de plus en plus exposés aux risques non négligeables que constituent les autres ordinateurs de ce réseau interne, sans compter les brèches éventuelles dans le périmètre de sécurité.
Le concept d'isolation logique présenté dans ce guide propose deux solutions : l'isolation du serveur pour veiller à ce que le serveur accepte uniquement les connexions des membres du domaine ou d'un groupe spécifique des membres du domaine ou l'isolation du domaine pour isoler les membres du domaine des connexions dites non fiables. Ces solutions peuvent être utilisées séparément ou ensemble, dans le cadre d'une solution d'isolation logique globale.
L'isolation de serveurs et de domaines permet aux administrateurs du système informatique de restreindre les communications TCP/IP des membres du domaine identifiés comme ordinateurs approuvés. Les ordinateurs approuvés peuvent être configurés pour autoriser uniquement les connexions entrantes des autres ordinateurs approuvés ou d'un groupe spécifique d'ordinateurs approuvés. La stratégie de groupe gère de façon centralisée les contrôles d'accès relatifs aux droits de connexion au réseau. La plupart des connexions TCP/IP peuvent être sécurisées sans avoir à modifier les applications. En effet, IPSec fonctionne au niveau de la couche réseau située sous la couche des applications, pour assurer une authentification et une sécurité par paquet, de bout en bout entre les ordinateurs. Le trafic réseau peut être authentifié, ou authentifié et chiffré, dans divers scénarios personnalisables. Ce guide suit l'aide et les recommandations en matière d'isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe sur Microsoft TechNet.
Phase 1 : analyse
Cohérente avec les autres exigences du présent guide, la première phase consiste à analyser l'état actuel de votre organisation. Recueillir et tenir à jour des données fiables sur les ordinateurs, les logiciels et les périphériques réseau d'une organisation est un défi informatique classique. Les informations relatives aux éléments suivants sont nécessaires afin de définir cet état actuel :
détection réseau ;
documentation de la segmentation du réseau ;
périphériques de l'infrastructure réseau ;
analyse du modèle de trafic réseau actuel ;
Active Directory ;
détection d'hôtes ;
données requises concernant les hôtes.
Pour plus d'informations sur la manière de recueillir des informations, lisez la section relative à l'isolation de serveurs et de domaines à l'aide d'IPsec ainsi que le chapitre 3 du guide des stratégies de groupes : Détermination de l'état actuel de votre infrastructure informatique Ce guide traite des exigences de chaque élément et de la manière de recueillir des informations via la détection automatisée à l'aide de SMS 2003 ou de produits similaires ainsi que d'options de détection manuelle.
Phase 2 : identification
La phase d'identification consiste à déterminer les stratégies correspondant aux besoins de l'organisation. Il n'est facile de protéger une infrastructure informatique moderne contre les attaques tout en permettant aux employés de travailler de la façon la plus souple possible et d'être aussi productifs que possible. Le fait de comprendre l'ensemble des technologies qui contribuent à sécuriser un environnement est déjà suffisamment complexe pour bon nombre de personnes. Il convient de repérer précisément où se situe la solution d'isolation dans une infrastructure informatique type et de comprendre de quelle manière elle complète les solutions de protection réseau existantes.
La figure suivante présente une infrastructure réseau type constituée d'un certain nombre de couches de protection réseau. Elle indique à quel endroit intervient l'isolation logique dans un environnement type.
.gif "Figure 8. Infrastructure réseau type")
Figure 8. Infrastructure réseau type
La phase d'identification a pour objectif de déterminer les principales exigences en matière de conception d'isolation de vos serveurs et domaines. Lors de la phase d'évaluation et de planification, nous définirons les exigences détaillées ainsi qu'un plan d'exécution. Pour plus d'informations, reportez-vous au guide relatif à l'isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe, chapitre 4 : Conception et planification de groupes d'isolation
Phase 3 : évaluation et planification
La phase d'évaluation et de planification a pour objectif de veiller à ce que toutes les options aient été prises en compte afin de sécuriser et de garantir des communications vérifiées entre les serveurs. Dans ce cas, nous nous concentrons sur IPsec comme mécanisme permettant d'y parvenir ; il existe une exigence supplémentaire en matière de services de certificats gérés de façon centralisée au niveau rationalisé du modèle d'optimisation d'infrastructure.
Afin de générer un plan exécutable pour la phase de déploiement, nous fournissons des instructions visant à implémenter la conception d'isolations des serveurs et domaines.
Évaluation du protocole IPSec (Internet Protocol Security)
Le protocole IPsec est généralement utilisé pour protéger le canal de communication entre deux serveurs et limiter les ordinateurs pouvant communiquer les uns avec les autres. Par exemple, vous pouvez protéger une base de données en établissant une stratégie permettant uniquement les requêtes émanant d'un ordinateur client approuvé, comme un serveur d'applications ou un serveur Web. Vous pouvez également limiter la communication vers des protocoles IP et ports TCP/UDP spécifiques.
Les exigences et recommandations liées à la mise en réseau d'une batterie de serveurs font du protocole IPsec une bonne option pour les raisons suivantes :
tous les serveurs sont contenus sur un réseau LAN physique (pour améliorer les performances IPsec) ;
des adresses IP statiques sont attribuées aux serveurs.
Le protocole IPsec ne peut être utilisé qu'entre des domaines Windows Server 2003 ou Microsoft Windows 2000 Server approuvés. Par exemple, vous pouvez utiliser le protocole IPsec pour sécuriser les communications d'un serveur Web ou d'un serveur d'applications dans un périmètre de réseau qui relie un ordinateur exécutant Microsoft SQL Server sur un réseau interne. Pour plus d'informations, reportez-vous à la section relative à la sélection de méthodes d'authentification IPsec du Guide de déploiement de Windows Server 2003 (cette page peut être en anglais).
Pour plus d'informations sur les environnements recommandés pour le protocole IPsec, reportez-vous à la section relative à la détermination de vos besoins IPsec du Guide de déploiement de Windows Server 2003 (cette page peut être en anglais).
Planification pour l'isolation de serveurs et de domaines
Lors de la phase d'identification, nous avons créé des exigences principales. L'étape suivante consiste à créer un plan d'implémentation au guide relatif à l'isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe, chapitre 4 : Conception et planification de groupes d'isolation Une fois le plan créé et les exigences détaillées définies, la combinaison des éléments suivants permet d'implémenter ces exigences :
Exigences d'accès entrant et sortant pour le domaine d'isolation et les groupes d'isolation :
Stratégie IPSec (Internet Protocol security) conçue spécialement pour le groupe d'isolation nécessitant une négociation IKE (Internet Key Exchange) IPSec pour les connexions entrantes et sortantes.
Groupes de sécurité basés sur les domaines, appelés groupes d'accès réseau, pour autoriser ou refuser l'accès réseau lors de l'utilisation d'un trafic protégé par IPSec.
Exigences de protection du trafic réseau pour le domaine d'isolation et les groupes d'isolation :
Filtres de stratégie IPSec conçus pour identifier correctement le trafic à sécuriser.
Actions de filtrage IPSec chargées de négocier le niveau d'authentification et de chiffrement requis pour le trafic identifié par les filtres.
Paramètres des actions de filtrage IPSec afin de contrôler si les communications en texte clair sont autorisées lorsque des hôtes approuvés établissent des connexions sortantes.
Guide relatif à l'isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe, chapitre 5 : La rubrique Création de stratégies IPSec pour les groupes d'isolation traite de la préparation de la solution à l'aide de la stratégie de groupe et des stratégies IPsec dans Active Directory à l'aide de Windows Server 2003 et de la configuration de membres de domaines à l'aide de Windows Server 2003 et Microsoft Windows XP.
Phase 4 : déploiement
La phase de déploiement a pour objectif d'implémenter ce qui a été planifié à l'issue des trois phases précédentes. Au cours de cette phase, vous créerez des stratégies IPsec dans Active Directory, y compris des listes de filtres, des actions de filtrages et des stratégies IPsec afin d'implémenter les groupes d'isolation. La figure suivante décrit les divers composants d'une stratégie IPSec et expliquent comment ils sont associés entre eux.
.gif "Figure 9. Composant d'une stratégie IPsec")
Figure 9. Composant d'une stratégie IPsec
Pour plus d'informations sur l'implémentation des stratégies IPsec, reportez-vous au guide relatif à l'isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe, chapitre 5 : Création de stratégies IPSec pour les groupes d'isolation
Informations complémentaires
Pour plus d'informations sur le protocole IPsec, rendez-vous sur Microsoft TechNet et lancez une recherche sur « IPsec ».
Pour en savoir plus sur la façon dont Microsoft sécurise les communications entre serveurs, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/ipsecdomisolwp.mspx.
Point de contrôle : Vérification des communications entre serveurs sécurisée et garantie
|
Exigences |
|---|---|
|
L'état actuel de l'infrastructure réseau concernée par la stratégie IPSec (Internet Protocol security) a été évalué. |
|
Les impératifs organisationnels ont été identifiés pour garantir une communication sécurisée entre serveurs, y compris au niveau de la mise en conformité aux normes. |
|
Un plan visant l'ensemble de l'organisation a été développé et implémenté via IPsec pour répondre aux exigences définies. |
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour les capacités de vérification des communications entre serveurs sécurisée et garantie du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière de suivi de communication entre serveurs.
Passez à la question d'auto-évaluation suivante.
Exigence : analyse des contrats de niveau de service et création de rapports pour les serveurs
Public visé
Nous vous recommandons de lire cette section si vous ne disposez d'aucun contrat de niveau de service (SLA) pour l'analyse et la création de rapports de niveau de service pour au moins 80 % de vos ordinateurs de bureau.
Vue d'ensemble
La gestion de l'informatique à l'aide d'une approche de gestion de service gagne constamment du terrain dans l'industrie informatique d'aujourd'hui. Comme les organisations s'efforcent de rester compétitives et répondent aux besoins de leurs consommateurs internes et externes, leurs infrastructures informatiques sont plus qu'un ensemble de serveurs reliés via des réseaux étendus (WAN) et exécutant des applications. Pour vous et votre organisation, ces ressources sont des services qui génèrent des revenus et offrent des possibilités à vos clients. Si vous adoptez ce type d'approche, il vous faut comprendre tous les composants qui constituent ces services et l'impact de chacun d'entre eux sur le niveau de disponibilité offert par les différents services. En outre, vous devez correctement mesurer votre prestation de service au fil du temps pour clairement comprendre la qualité de service offerte par vos systèmes.
Le Guide des ressources d'optimisation d'infrastructure pour les responsables de l'implémentation : du niveau de base au niveau standardisé a abordé l'exigence de disposer d'un moyen automatisé d'analyser les serveurs critiques de votre organisation au niveau standardisé. Au niveau rationalisé, nous ne faisons qu'étendre l'exigence à tous les serveurs de l'organisation ainsi que les exigences en matière de gestion du niveau de service en tant que partie intégrante de l'exigence d'analyse. Le niveau rationalisé n'exige pas de limite minimum en termes de disponibilité ; celle-ci est déterminée comme il se doit pour chaque service informatique de l'organisation.
Phase 1 : analyse
Comme pour le niveau standardisé, lors de la phase d'évaluation, votre organisation doit dresser l'inventaire de tous les serveurs de son infrastructure. Vous pouvez identifier les serveurs et les spécifications manuellement ou utiliser un outil permettant d'automatiser le processus d'inventaire, par exemple, les fonctionnalités de regroupement d'inventaire de Systems Management Server (SMS) 2003.
Les livrables supplémentaires relatives au passage au niveau rationalisé sont les suivants :
détermination des services informatiques principaux de votre organisation (catalogue de services) ;
attribution à l'infrastructure des composants nécessaires à la prestation de ces services ;
recueil d'informations afin de déterminer un niveau de service actuel.
Établissement de références de niveaux de service
Une référence est une ligne tracée dans le temps et traduisant la situation. Dans le cas présent, il s'agit d'une représentation de la gestion des niveaux de service au sein de l'organisation. Une référence offre une représentation des services proposés à un moment donné et propose un plan visant à atteindre des objectifs futurs en termes de gestion des niveaux de service. L'optimisation des performances informatiques implique, en plus d'une vision claire de l'objectif, une référence actuelle à partir de laquelle le processus sera lancé.
Pour plus d'informations sur l'évaluation des références de niveaux de services, lisez le guide Microsoft Operations Framework : gestion des niveaux de service.
Phase 2 : identification
Survenant après l'inventaire de tous les serveurs, la phase d'identification au niveau rationalisé correspond au processus lorsque les niveaux de service qui conviennent sont définis par rapport à vos références. La gestion des niveaux de service a pour principal objectif d'améliorer les services sur le long terme et de résoudre les éventuels problèmes de prestation de service.
Parmi les nombreux avantages qu'en tire le service informatique, en plus de son amélioration, les attentes commerciales sont mieux comprises et la gestion des coûts s'en trouve améliorée. La gestion des niveaux de service permet au service informatique de répondre aux attentes commerciales et d'ouvrir le dialogue visant à configurer ces attentes. Par exemple, un service informatique peut vouloir proposer un service à 100 %, 99,99 % ou 71 % de disponibilité sans réussir pour autant à expliquer comment il est arrivé à ce chiffre. Sauf si cette attente est documentée et approuvée préalablement lors du processus de gestion des niveaux de service, le service informatique doit se concentrer sur le service non critique commercialement, par exemple le développement de ses effectifs, l'investissement dans du matériel, des logiciels et autres opérations coûteuse, ne générant pas de grands bénéfices pour l'entreprise.
Objectifs des niveaux de service
Lorsque vous définissez les objectifs des niveaux de service, mesurez ce que l'entreprise demande. Souvent, cela inclut des mesures des processus, par exemple, l'évaluation de la satisfaction des clients, les rappels téléphoniques ainsi que les réponses aux requêtes. Parfois, la technologie présente au sein de l'organisation peut être utilisée pour faciliter ces mesures. Par exemple, la technologie des centres d'appels peut exécuter des rapports en fonction des appels consignés par le service enregistrant les appels sortants.
Il s'agit souvent de chaînes de composants complexe résultant dans la prestation d'un service. Il est cependant possible d'établir un objectif final tant que la prestation de service de cet objectif peut être mesurée par rapport à la chaîne de bout en bout des composants.
Mesures communes pour les objectifs des niveaux de service
Mesure |
Exemple |
|---|---|
Disponibilité |
Jours et heures durant lesquels le service est disponible ou pourcentage correspondant. |
Réactivité et performances |
Vitesse et volume (mesures de débit ou de charge de travail) du service, délai d'acquisition des données, vitesse de transfert des données et temps de réponse, vitesse de réponse technique et humaine. |
Sécurité |
Sécurité du service. |
Les mesures des objectifs des niveaux de service doivent être correctement prises en compte à l'aide des critères suivants :
Prennent-ils en charge les objectifs commerciaux ?
Sont-ils spécifiques ?
Peuvent-ils être mesurés ?
Sont-ils accessibles, même si cela implique un réel effort de la part du service informatique ?
Sont-ils réalistes par rapport aux bénéfices qu'ils apporteront à l'entreprise ?
Phase 3 : évaluation et planification
Tous les services ayant été définis dans un catalogue de services et les niveaux de service souhaités définis, lors de la phase d'évaluation et de planification, nous évaluerons les technologies permettant d'automatiser l'analyse des composants présents dans le service informatique.
Logiciel de surveillance
Cette section décrit l'utilisation de logiciels dans le cadre de l'analyse de la disponibilité des serveurs critiques. Dans cet exemple, le rôle d'analyse est dévolu à Microsoft Operations Manager (MOM). Que vous utilisiez ou non MOM, le logiciel d'analyse de la disponibilité et autres mesures des niveaux de service des serveurs doivent présenter les fonctionnalités suivantes :
aptitude à recueillir des informations sur les attributs des serveurs et à appliquer des règles spécifiques pour les analyser, en fonction de ces attributs ;
aptitude à obtenir des données des journaux d'événements et d'autres fournisseurs, tel que le définissent des règles spécifiques ;
aptitude à recueillir des données de performance basées sur des compteurs de performance ;
aptitude à générer des alertes en fonction de critères spécifiés dans les règles.
En fonction des mesures définies dans les contrats SLA de votre organisation, MOM peut être utilisé comme technologie unique de recueil de données. Généralement, les données MOM doivent être complétées par des données issues d'autres services. Par exemple, si vous avez défini des niveaux de service dans le cadre d'une gestion des changements et des versions, vous devrez utiliser les rapports d'état d'autres mécanismes comme la création de rapports de Systems Management Server 2003.
Au moment où nous publions ce document, System Center Operations Manager 2007 est sur le point de sortir. En tant que nouvelle version d'une solution de gestion des opérations Microsoft, ce logiciel présente des fonctionnalités en termes d'analyse de l'intégrité des services, d'analyse des clients et d'analyse des services de domaines.
Pack de gestion de la disponibilité MOM
Le pack de gestion de la disponibilité MOM vous permet de recueillir et d'analyser des données à partir de journaux d'événements issus de vos serveurs, puis de générer des rapports configurables que vous pouvez consulter et personnaliser selon les besoins de votre organisation. Vous pouvez utiliser ces rapports pour identifier les causes des temps morts planifiés ou non planifiés et prendre des mesures préemptives afin de limiter ces temps morts.
Vous pouvez utiliser les rapports de disponibilité pour :
déterminer si vos serveurs répondent à leurs objectifs en termes de disponibilité et de fiabilité ;
filtrer les rapports afin d'identifier les tendances en consultant les informations recueillies sur un laps de temps donné, comme un certain nombre de mois ou d'années ;
identifier les ordinateurs les meilleurs et les pires d'une zone donnée ;
identifier les zones problématiques, comme une application donnée ou une version de système d'exploitation qui cesse de répondre ;
consulter et analyser les informations recueillies à l'aide d'un moniteur d'événements de mise hors tension.
Le pack de gestion de la disponibilité MOM peut s'avérer être un précieux outil afin de faciliter l'analyse des mesures de votre gestion des niveaux de service et de passer au niveau rationalisé. Pour plus d'informations sur le pack de gestion de la disponibilité MOM, rendez-vous à l'adresse : https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/3e1dfa65-84a5-4e3e-9403-3ef9b47c6b68.mspx?mfr=true.
Planification pour le déploiement de Microsoft Operations Manager
Si vous avez choisi Microsoft Operations Manager en tant que technologie d'analyse mais que celui-ci n'est pas encore déployé dans votre environnement, reportez-vous au Guide de planification du déploiement MOM 2005 du Centre technique de Operations Manager 2005 sur Microsoft TechNet (cette page peut être en anglais).
System Center Operations Manager 2007
System Center Operations Manager 2007 offre une approche d'analyse de service qui vous permet d'analyser vos services informatiques de bout en bout, d'adapter cette analyse aux vastes environnements et organisations et d'utiliser l'application Microsoft et la connaissance du système d'exploitation pour remédier aux problèmes opérationnels. Voici quelques-unes des capacités qu'offre Operations Manager 2007.
Analyse de service.
Une console des opérations consolidée affiche l'état de votre environnement et vous permet de gérer les alertes. Pour plus d'informations sur la console d'opérations, reportez-vous à la rubrique relative à la console des opérations d'Operations Manager 2007 (cette page peut être en anglais).
Des rapports proposent divers moyens de consulter l'intégrité de votre environnement. Pour plus d'informations sur la création de rapports, reportez-vous à la rubrique relative à la création de rapports d'Operations Manager 2007 (cette page peut être en anglais).
Packs de gestion intégrés
Les packs de gestion prêts à l'emploi proposent des informations d'analyse pour de nombreuses applications Microsoft. En outre, vous pouvez créer vos propres packs de gestion afin d'analyser vos applications personnalisées. Pour plus d'informations sur les packs de gestion, reportez-vous à la rubrique relative aux packs de gestion d'Operations Manager 2007 (cette page peut être en anglais).
La plupart des packs de gestion Microsoft comprennent des informations relatives à la résolution des problèmes courants de l'application.
Analyse des clients
L'analyse des clients vous permet de transférer les rapports d'erreurs des systèmes d'exploitations et applications à Microsoft afin de recevoir, le cas échéant, les solutions à ces erreurs. Pour plus d'informations, reportez-vous à la rubrique relative à l'analyse des clients d'Operations Manager 2007 (cette page peut être en anglais).
Services de domaine Active Directory
L'intégration des services de domaine Active Directory utilise des investissements préalables en vous permettant d'attribuer des ordinateurs agents à des groupes de gestion. Pour plus d'informations sur les services de domaines Active Directory, reportez-vous à la rubrique relative à l'intégration des services de domaine Active Directory d'Operations Manager 2007 (cette page peut être en anglais).
Environnement d'analyse sécurisé
Les fonctions de sécurité vous permettent d'analyser l'intégrité des services et applications informatiques même dans le cadre d'un environnement extérieur à votre zone sécurisée. Pour plus d'informations sur les fonctions de sécurité, reportez-vous à la rubrique relative aux questions de sécurité d'Operations Manager 2007 et au serveur passerelle d'Operations Manager 2007.
L'autorisation basée sur les rôles vous permet de façonner les mesures que peuvent prendre vos opérateurs et administrateurs. Pour plus d'informations sur les rôles, reportez-vous à la rubrique relative aux rôles des utilisateurs d'Operations Manager 2007 (cette page peut-être en anglais)
La collecte d'audit permet de collecter de manière efficace des événements de sécurité à partir d'ordinateurs gérés et de fournir des rapports à des fins d'analyse. Pour plus d'informations sur la collecte d'audit, reportez-vous à la rubrique Services ACS.
Informations complémentaires
Pour plus d'informations sur System Center Operations Manager 2007, rendez-vous à l'adresse : http:/www.microsoft.com/technet/opsmgr/opsmgr2007_default.mspx.
Phase 4 : déploiement
Après avoir défini les services informatiques dans un catalogue de services, déterminé les niveaux de service de référence ou courants, défini des niveaux de service correspondant à votre organisation et déterminé un plan d'automatisation de l'analyse des niveaux de service, vous devez implémenter la solution d'analyse de la disponibilité.
Si votre organisation a choisi Microsoft Operations Manager pour analyser la disponibilité de ses systèmes, vous trouverez des informations de déploiement détaillées dans le Guide de déploiement de MOM 2005 et le Guide de déploiement de System Center Operations Manager 2007 sur Microsoft TechNet.
Informations complémentaires
Pour plus d'informations, connectez-vous à Microsoft TechNet et lancez une recherche sur « SLA ».
Pour plus d'informations sur l'analyse de la disponibilité des serveurs avec MOM 2005, rendez-vous à l'adresse : https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true.
Pour plus d'informations sur les fonctionnalités supplémentaires permettant d'optimiser l'analyse des serveurs à l'aide de MOM 2005, reportez-vous au contenu consacré à l'accélérateur de solution (cette page peut être en anglais)
Notification Workflow. Cette application de services de notification basée sur Microsoft® SQL Server™ permet d'étendre les fonctionnalités de notification de MOM 2005.
Autoticketing. Fournit une aide sur la génération de tickets automatisée, permettant l'envoi automatisé d'une requête (ou ticket) à un système TT (Trouble Ticketing) utilisé pour gérer les incidents.
Alert Tuning. Contribue à réduire le volume des alertes lors du déploiement des packs de gestion MOM 2005.
Service Continuity. Contribue à maintenir la disponibilité du service MOM 2005.
Multiple Management Group Rollup. Permet à une entreprise de propager les données de plusieurs groupes d'administration dans un même entrepôt de données dans l'optique de créer des rapports consolidés et synthétisés.
Pour savoir comment Microsoft analyse Exchange Server 2003, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx.
Pour en savoir plus sur la façon dont Microsoft utilise les contrats SLA, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/itscorecdnote.mspx.
Point de contrôle : analyse des contrats de niveau de service et création de rapports pour les serveurs
|
Exigences |
|---|---|
|
Les services informatiques de votre organisation ont été définis dans un catalogue de services. |
|
Le niveau de référence ou les niveaux de service actuels ont été définis pour des services donnés. |
|
Des niveaux de service appropriés à votre organisation ont été définis et un plan a été déterminé pour automatiser le suivi des niveaux de service. |
|
Une solution automatisée d'analyse de la disponibilité a été implémentée. |
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour les capacités d'analyse et de génération de rapports SLA pour les serveurs du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière d'établissement et d'analyse des SLA de serveurs dans Microsoft Operations Framework.
Passez à la question d'auto-évaluation suivante.
Exigence : système de communication sécurisée pour le statut de présence
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas d'un mécanisme de communication sécurisé comme le protocole SIP pour le statut de présence.
Vue d'ensemble
Le statut de présence regroupe des informations en temps réel décrivant l'emplacement d'un utilisateur donné et la disponibilité de communication. L'établissement d'un statut de présence dans toute l'entreprise peut considérablement accroître la productivité. La collaboration et la communication entre employés sont plus efficaces lorsque les délais de suivi sont réduits.
Le statut de présence en ligne permet à chacun de savoir qui est en ligne et disponible pour communiquer à un moment donné. Permettre le statut de présence en ligne (et installer le logiciel qui convient) ajoute un indicateur de statut en ligne près du nom de chacun là où son nom apparaît dans une collection de sites. L'indicateur de statut en ligne indique si une personne est en ligne ou hors ligne et disponible pour répondre à des requêtes via un client de messagerie instantanée. Chaque fois qu'une personne est en ligne, vous pouvez cliquer sur l'indicateur de statut en ligne pour lui envoyer un message instantané. Cela permet d'accéder à des sources reconnues afin d'aider les membres de l'équipe à travailler de manière plus efficace.
Vous pouvez prendre des mesures pour proposer des communications sécurisées en matière d'informations de statut de présence. Les systèmes de messagerie instantanée peuvent offrir des communications sécurisées entre objets utilisateurs de votre répertoire. En proposant une technologie comme le protocole SIP pour les communications du statut de présence, vous pouvez passer du niveau standardisé au niveau rationalisé. Le niveau rationalisé implique une communication via SIP elle aussi sécurisée, ce qui signifie que cette communication est archivée, traitée via le service d'annuaire et que des certificats sont utilisés.
Pour plus d'informations sur la valeur commerciale du statut de présence, téléchargez le document Live Communications Server 2005 : Business Value of Presence.
Phase 1 : analyse
Lors de la phase d'analyse, nous examinerons la manière dont les utilisateurs de votre organisation identifient le statut de présence des autres utilisateurs. De nombreuses organisations utilisent la messagerie instantanée offerte par les fournisseurs de service Internet. Bien que le statut de présence en ligne soit bénéfique dans beaucoup d'environnements où la collaboration est primordiale, il est important d'équilibrer les avantages liés à une meilleure collaboration au sein des membres du groupe avec les exigences en matière de sécurité et de conformité, surtout lorsqu'il est question de déployer un client de messagerie instantanée. La planification du statut de présence doit garantir la cohérence des communications internes et externes avec la stratégie en matière de sécurité et de conformité de l'entreprise avec les directives réglementaires et les pratiques commerciales. Dans bon nombre d'organisations, les conversations de messagerie instantanée doivent être conservées conformément aux exigences en matière de conservation des enregistrements des communications électroniques. Par exemple, les organisations soumises à la réglementation Sarbanes-Oxley doivent archiver les conversations de messagerie instantanée conformément aux exigences en matière de conservation des enregistrements.
La tâche principale de la phase d'analyse consiste à dresser l'inventaire des applications logicielles utilisées au sein de votre organisation afin de permettre le statut de présence ainsi que la messagerie instantanée. Dans des environnements hautement verrouillés, les utilisateurs peuvent être limités par des stratégies en matière d'installation d'applications ; cela dit, il est recommandé de dresser l'inventaire de tous les systèmes. Vous pouvez dresser l'inventaire de votre environnement de manière centralisée au moyen d'outils comme Systems Management Server 2003 ou Application Compatibility Toolkit (ACT).
Phase 2 : identification
Lors de la phase d'identification, vous commencerez à répondre aux principales exigences afin de permettre le statut de présence conformément aux règlements ou stratégies organisationnelles. Comme indiqué précédemment, bon nombre d'organisations se doivent d'archiver leurs conversations de messagerie instantanée en interne. En outre, vous souhaiterez en savoir plus sur la manière dont les indicateurs de présence sont intégrés à d'autres applications de productivité, comme les logiciels de messagerie et de collaboration. La spécification des exigences résultant de la phase d'identification sera utilisée lors de l'évaluation et de la planification du statut de présence des phases suivantes.
Pour plus d'informations sur la manière dont le statut de présence est utilisé avec Microsoft Office SharePoint® Server, rendez-vous à l'adresse : http://technet2,microsoft.com/Office/en-us/library/3f53f3d3-85b8-42e5-8213-afb5eec7e8651033.mspx.
Pour plus d'informations sur l'intégration de la fonctionnalité de statut de présence avec Microsoft Office Outlook, rendez-vous à l'adresse : http://technet2,microsoft.com/Office/en-us/library/53c024e4-db55-4858-9ef6-5cba97c1afbd1033.mspx.
Phase 3 : évaluation et planification
Lors de la phase d'évaluation et de planification, vous examinerez les technologies spécifiques à la mise en place du statut de présence au sein de votre environnement. Les sections suivantes mettent l'accent sur le protocole et répertorient plusieurs des possibilités proposées par Microsoft pour mettre en place le statut de présence.
Protocole SIP
Le protocole SIP, similaire au protocole HTTP, est un protocole de contrôle d'appel et de signalisation de couche application basé sur du texte. Ce protocole est utilisé pour créer, modifier et clore des sessions SIP. Il prend en charge les communications monodiffusions et multidiffusions. Le protocole SIP étant basé sur du texte, l'implémentation, le développement et le débogage sont plus faciles qu'avec H.323. L'utilisation du protocole SIP permet à un utilisateur d'inviter de manière explicite un autre utilisateur à rejoindre une conversation ou une session multimédia. Une session SIP début lorsque le deuxième utilisateur accepte l'invitation. Le protocole SIP prend également en charge l'invitation d'utilisateurs supplémentaires à une session déjà établie.
Pour plus d'informations sur les protocoles de communication en temps réel, rendez-vous à l'adresse https://www.microsoft.com/technet/prodtechnol/winxppro/plan/rtcprot.mspx.
Live Communications Server
Live Communications Server 2005 propose une messagerie instantanée (IM) et un statut de présence dans le cadre d'une solution d'entreprise modulable offrant une sécurité renforcée, une intégration parfaite aux autres produits Microsoft ainsi qu'une plate-forme de développement standard. Microsoft Office Live Communications Server 2005 met à votre disposition une communication sécurisée et des outils et fonctions de collaboration utilisant le protocole SIP pour le statut de présence :
messagerie instantanée ;
communication audio et vidéo ;
collaboration de données.
Consultez le Centre technique Microsoft Office Live Communications Server pour plus d'informations sur la planification, le déploiement et les opérations pour Microsoft Office Live Communications Server.
Office Communicator 2005 et Office Communicator 2007
Office Communicator 2005 et Office Communicator 2007 sont des clients de messagerie d'entreprise intégrant la messagerie instantanée à la téléphonie et à la vidéo pour une messagerie instantanée unifiée. Office Communicator 2007 fournit des capacités d'intégration avec les programmes via le système Microsoft Office 2007, y compris Microsoft Word, Excel®, PowerPoint, OneNote, Groove et SharePoint Server.
Pour plus d'informations sur Office Communicator 2005, reportez-vous au Centre de ressources d'Office Communicator 2005.
Pour plus d'informations sur Office Communicator 2007, reportez-vous à la présentation du produit Microsoft Office Communicator 2007.
Office Outlook 2007
Si votre organisation utilise Microsoft Office Outlook 2007, vous pouvez mettre en place le statut de présence dans les informations détaillées relatives aux utilisateurs de votre liste d'adresses globale. Une fois configuré, le statut de présence s'affiche également dans les messages reçus. Office Outlook 2007 peut être intégré à Office Communicator 2005 ou Office Communicator 2007.
Pour plus d'informations sur la configuration d'Office Outlook 2007 afin de permettre le statut de présence, rendez-vous à l'adresse : http://technet2,microsoft.com/Office/en-us/library/53c024e4-db55-4858-9ef6-5cba97c1afbd1033.mspx.
Office SharePoint Server 2007
Si votre organisation utilise Office SharePoint Server 2007, le statut de présence en ligne peut être activé pour les individus ayant accès au site SharePoint afin de savoir quels autres participants sont en ligne et leur envoyer des messages instantanés. Le statut de présence en ligne constitue un précieux outil de collaboration qui permet aux membres du site de rapidement savoir qui est disponible pour répondre à des questions.
Pour plus d'informations sur la planification de l'intégration du statut de présence à Office SharePoint Server 2007, reportez-vous au guide Planification et architecture pour Office SharePoint Server 2007,
Planification du statut de présence et infrastructure de messagerie instantanée gérée
Après avoir évalué les technologies permettant d'activer le statut de présence au sein de votre organisation, il vous faut vous pencher sur la planification et l'architecture de l'infrastructure sélectionnée. Pour activer le statut de présence intégré au sein de votre organisation, vous devez disposer de ce qui suit :
service d'annuaire ;
catalogue global ;
DNS déployé et correctement configuré ;
infrastructures de clé publique (PKI) et d'autorité de certification (CA) ;
base de données d'arrière-plan.
En accédant au niveau rationalisé, ces exigences de composants seront généralement déjà en place au sein de votre organisation. Le schéma suivant propose un exemple d'architecture pour l'infrastructure Live Communications Server 2005 Enterprise Edition.
.gif "Figure 10. Infrastructure Live Communications Server Enterprise Edition")
Figure 10. Infrastructure Live Communications Server Enterprise Edition
La dernière tâche de la phase d'évaluation et de planification consiste à développer un plan de déploiement et une conception architecturale pour l'infrastructure de statut de présence sélectionnée. Pour plus d'informations sur la planification du statut de présence à l'aide de la technologie Microsoft, reportez-vous au Guide de planification de Microsoft Office Live Communications Server 2005 avec Service Pack 1.
Phase 4 : déploiement
À ce stade, les phases précédentes ont permis de dresser l'inventaire des pratiques courantes utilisées pour permettre la messagerie instantanée et le statut de présence, une spécification en termes d'exigences d'implémentation du statut de présence et de messagerie instantanée gérée, une évaluation de la technologie de statut de présence et de messagerie instantanée ainsi qu'un plan de déploiement correspondant à la solution sélectionnée. Lors de la phase de déploiement, nous implémenterons la solution de statut de présence sélectionnée. Parallèlement au déploiement de la nouvelle technologie, vous souhaiterez également examiner les stratégies utilisées pour gérer la messagerie instantanée existante ou non gérée ; cela peut passer par l'implémentation de limites en termes d'envoi ou de réception de fichiers, le blocage de l'installation de nouvelles applications ou la désinstallation d'applications non gérées ne répondant pas aux directives définies correspondant à votre organisation.
Si vous avez choisi Live Communications Server 2005, vous trouverez plus d'informations sur la planification et l'exécution de son déploiement dans le Guide de planification de Microsoft Office Live Communications Server 2005 avec Service Pack 1 Planning Guide sur Microsoft TechNet.
Informations complémentaires
Pour plus d'informations, connectez-vous à Microsoft TechNet et lancez une recherche sur « statut de présence ».
Pour plus d'informations sur la manière dont Microsoft utilise Microsoft Office Live Communications Server, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/lcs2005twp.mspx.
Point de contrôle : système de communication sécurisée pour le statut de présence
|
Exigences |
|---|---|
|
Les éventuelles méthodes non gérées utilisées pour le statut de présence et les communications instantanées ont été évaluées. |
|
Une spécification des exigences a été créée pour le statut de présence et la messagerie instantanée, afin de permettre la conformité aux règles et politiques locales ou sectorielles. |
|
Le statut de présence et la technologie instantanée ont été évalués et un plan a été créé pour implémenter la solution que vous avez choisie. |
|
Un statut de présence a été mis en place via la messagerie instantanée gérée, voire via une infrastructure de courrier électronique et de collaboration (facultatif). |
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour les capacités du système de communication sécurisée pour le statut de présence du Modèle d'optimisation d'infrastructure.
Passez à la question d'auto-évaluation suivante.
Exigence : Active Directory et IAS/RADIUS pour l'authentification et l'autorisation réseau sans fil
Public visé
Nous vous recommandons de lire cette section si vous n'avez pas déployé de réseau sans fil sécurisé à l'aide d'Active Directory et d'IAS/RADIUS à des fins d'authentification et d'autorisation.
Vue d'ensemble
La technologie sans fil nous libère des fils de cuivre. Un utilisateur équipé d'un ordinateur portable, d'un PC de poche, de Tablet PC ou simplement d'un téléphone portable peut se connecter partout où un signal sans fil est disponible. La technologie sans fil repose sur l'acheminement de signaux par des ondes électromagnétiques ensuite transmises à un récepteur de signaux. Mais pour permettre à deux périphériques sans fil de se comprendre, des protocoles de communication sont nécessaires. Le service RADIUS (Remote Authentication Dial-In User Service) est un protocole client/serveur permettant aux clients RADIUS d'envoyer des requêtes d'authentification et de gestion à un serveur RADIUS. Le serveur RADIUS vérifie les informations d'authentification d'accès à distance des comptes utilisateurs et consigne les événements de gestion d'accès à distance.
Les services d'authentification Internet (IAS) de Windows Server 2003 ou le serveur de stratégie réseau (NPS) qui sera intégré à Windows Server nom de code « Longhorn » sont des implémentations Microsoft d'un serveur et proxy RADIUS. En tant que serveur RADIUS, les services IAS se chargent de l'authentification, de l'autorisation et de la gestion des connexions centralisées de nombreux accès réseau y compris les connexions sans fil, avec commutateur d'authentification, accès à distance et réseau privé virtuel (VPN). En tant que proxy RADIUS, le service IAS transfère les messages d'authentification et de gestion des comptes aux autres serveurs RADIUS. RADIUS est un standard IETF (Internet Engineering Task Force).
Phase 1 : analyse
Dans les précédentes sections de ce guide ainsi que dans le Guide des ressources d'optimisation d'infrastructure pour les responsables de l'implémentation : du niveau de base au niveau standardisé, vous avez compris toute l'importance d'authentifier les utilisateurs qui accèdent à votre environnement informatique. Pour accéder au niveau rationalisé, vous devez franchir l'étape suivante et étendre l'authentification et l'autorisation aux utilisateurs indépendamment de la méthode qu'ils utilisent pour accéder à votre réseau.
Ici encore, la phase d'analyse a pour objectif de dresser l'inventaire de toute infrastructure sans fil existant au sein de votre organisation. De nombreuses organisations sont déjà dotées de capacités réseau sans fil et il existe trois principaux type de technologies réseau sans fil :
les réseaux locaux sans fil (WLAN) ;
les réseaux personnels sans fil (WPAN) ;
les réseaux étendus sans fil (WWAN).
Les sections qui suivent décrivent chaque type de réseau ainsi que les technologies réseau disponibles ; le modèle d'optimisation d'infrastructure se concentre sur le réseau WLAN en tant qu'unique type de réseau sans fil permettant à votre organisation de contrôler de manière active l'authentification des utilisateurs ou des objets.
Réseaux locaux sans fil (WLAN)
La technologie WLAN permet des connexions réseau sans fil au sein d'une zone privée, comme les bureaux d'une entreprise, ou une zone publique comme un aéroport ou un magasin. Les réseaux WLAN viennent généralement en complément d'un environnement LAN avec fil existant afin d'offrir à ses utilisateurs une plus grande souplesse, généralement au détriment de la vitesse du réseau et de la fiabilité des connexions.
Réseaux personnels sans fil (WPAN)
La technologie WPAN est conçue pour permettre aux utilisateurs d'établir des communications sans fil entre des périphériques personnels comme les assistants, les téléphones portables et les ordinateurs portables. Généralement, ces périphériques sont conçus pour communiquer dans une zone de quelques mètres, une zone appelée POS (Personal Operating Space).
Réseaux étendus sans fil (WWAN)
La technologie WWAN est conçue pour permettre des connexions sans fil sur des réseaux publics ou privés répartis sur de vastes zones géographiques, comme des villes ou des pays.
Au terme de la phase d'analyse, vous disposerez d'informations sur la topologie WLAN présente et utilisée au sein de votre organisation. Cette topologie sera utilisée lors des phases d'évaluation et de planification tout en mettant en place des moyens d'optimiser l'authentification sécurisée des utilisateurs.
Phase 2 : identification
La phase d'identification se concentre principalement sur l'identification d'un moyen sécurisé d'authentifier les périphériques connectés au réseau WLAN afin de refléter le niveau de sécurité utilisé au sein de votre infrastructure LAN avec fil. Cette section présente les technologies et protocoles suivants utilisés pour fournir une infrastructure réseau sans fil sécurisée :
authentification sans fil utilisant IEEE 802.11 ;
service RADIUS (Remote Authentication Dial-In User Service) ;
protocole EAP (Extensible Authentication Protocol) ;
services d'authentification Internet (IAS) ;
certificats.
Pour plus d'informations sur les protocoles et l'authentification sans fil, reportez-vous à la rubrique relative à la technologie de déploiement sans fil et à la présentation des composants (cette page peut être en anglais).
Authentification sans fil utilisant IEEE 802.11
Le standard IEEE (Institute of Electrical and Electronics Engineers, Inc.) 802.11 est un standard de réseau WLAN à accès partagé définissant la couche physique ainsi que la sous-couche de contrôle d'accès au média (MAC) des communications sans fil. Le standard IEEE 802.11 d'origine a défini les types d'authentification ci-dessous et décrits dans les sections qui suivent.
Authentification par système ouvert
L'authentification par système ouvert ne fournir pas d'authentification mais uniquement une identification à l'aide de l'adresse MAC de l'adaptateur sans fil. L'authentification par système ouvert est utilisée lorsque aucune authentification n'est requise. L'authentification par système ouvert correspond à l'algorithme d'authentification par défaut utilisant le processus suivant :
Le client sans fil qui lance l'authentification envoie un cadre de gestion d'authentification IEEE 802.11 contenant son identité.
Le nœud sans fil qui le reçoit vérifie l'identité de la station d'origine et renvoie un cadre de vérification d'authentification.
Avec certains points d'accès sans fil, vous pouvez configurer les adresses MAC des clients sans fils autorisés à l'aide d'une fonction appelée filtrage MAC. Cependant, le filtrage MAC n'assure aucune sécurité car l'adresse MAC d'un client sans fil peut être aisément déterminée et usurpée.
Authentification par clé partagée
L'authentification par clé partagée vérifie qu'une station d'authentification connaît un secret partagé. Conformément au standard 802.11 d'origine, le secret partagé est communiqué aux clients sans fil participant au moyen d'un canal sécurisé indépendant du standard IEEE 802.11. Dans la pratique, ce secret partagé est configuré manuellement sur le point d'accès et le client sans fil.
L'authentification par clé partagée utilise le processus suivant :
Le client sans fil qui lance l'authentification envoie un cadre contenant une assertion d'identité ainsi qu'une requête d'authentification.
Le nœud d'authentification sans fil répond au nœud sans fil qui lance l'authentification avec un texte de demande d'accès.
Le nœud sans fil qui lance l'authentification répond au nœud d'authentification sans fil avec le texte de demande d'accès chiffré à l'aide de WEP et d'une clé de chiffrement issue d'un secret d'authentification.
Le résultat d'authentification est positif si le nœud d'authentification sans fil détermine que le texte de demande d'accès déchiffré correspond au texte de demande d'accès initialement envoyé dans le second cadre. Le nœud d'authentification sans fil envoie le résultat d'authentification.
Le secret d'authentification par clé partagée devant être manuellement distribué et entré, cette méthode n'est pas vraiment adaptée au mode réseau des vastes infrastructures (comme les campus d'entreprise et les lieux publics).
Service RADIUS (Remote Authentication Dial-In User Service)
Le service RADIUS est un protocole largement déployé permettant une authentification, une autorisation et une gestion de l'accès réseau. Initialement développé pour l'accès distant, le service RADIUS est désormais pris en charge par les points d'accès sans fil afin d'authentifier les commutateurs Ethernet, les serveurs des réseaux privés virtuels (VPN), les serveurs d'accès DSL (Digital Subscriber Line) et autres serveurs d'accès réseau.
Protocole EAP (Extensible Authentication Protocol)
Le protocole EAP (Extensible Authentication Protocol) a été initialement créé comme une extension du protocole PPP (Point-to-Point Protocol) permettant le développement de méthodes d'authentification d'accès réseau arbitraires. Avec les protocoles d'authentification PPP comme le protocole CHAP (Challenge-Handshake Authentication Protocol), un mécanisme d'authentification spécifique est choisi lors de la phase d'établissement de la liaison. Lors de la phase d'authentification de la connexion, le protocole d'authentification négocié est utilisé pour valider cette connexion. Le protocole d'authentification, à proprement parler, se compose d'une série fixe de messages envoyés dans un ordre spécifique. Avec le protocole EAP, le mécanisme d'authentification spécifique n'est pas choisi lors de la phase d'établissement de la liaison de la connexion PPP. En effet, chaque pair PPP négocie pour lancer le protocole EAP lors de la phase d'authentification de la connexion. Une fois cette phase atteinte, les pairs négocient l'utilisation d'un schéma d'authentification EAP spécifique appelé type EAP.
Services d'authentification Internet (IAS)
Les services IAS de Windows Server 2003 et Windows 2000 Server correspondent à l'implémentation Microsoft d'un serveur RADIUS et pour Windows Server 2003, l'implémentation Microsoft d'un proxy RADIUS. Les services IAS procèdent à une authentification, une autorisation et une gestion des connexions centralisées pour de nombreux types d'accès réseau parmi lesquels l'accès sans fil, le commutateur d'authentification, l'accès distant et le réseau privé virtuel (VPN) ainsi que les connexions routeur à routeur. Les services IAS permettent l'utilisation d'un ensemble hétérogène d'équipement de type sans fil, commutateur accès distant ou VPN et peut être utilisé avec Windows Server 2003 ou Windows 2000 Server Routing et le service d'accès à distance.
Lorsqu'un serveur IAS est membre d'un domaine Active Directory, les services IAS utilisent Active Directory comme base de données de compte utilisateur et font partie d'une solution d'authentification unique. Les mêmes informations d'identification sont utilisées pour le contrôle d'accès réseau (authentifiant et autorisant l'accès à un réseau) et la connexion à un domaine Active Directory.
Certificats
Les certificats sont utilisés pour authentifier un client sans fil avec un point d'accès sans fil. Les clients sans fil utilisant Windows Vista, Windows XP, Windows Server 2003, Windows Server « Longhorn » et Windows 2000 Server peuvent recourir aux certificats pour authentifier l'ordinateur.
Résumé sur la phase d'identification
La phase d'identification de cette exigence diffère des autres en ce sens qu'elle renferme de nombreux aspects utilisés pour évaluer les options technologiques de la mise en réseau sans fil. Cela est notamment dû au fait que les protocoles et standards utilisés sont cohérents avec la plupart des technologies de mise en réseau sans fil. Il convient de bien comprendre ces protocoles et standards pour définir vos attentes, ou la spécification de l'exigence, pour une authentification sans fil sécurisée. Pour plus d'informations, reportez-vous aux guides relatifs à la technologie de déploiement sans fil et à la présentation des composants (cette page peut être en anglais) et à la sécurité des réseaux sans fil sur Microsoft TechNet.
Phase 3 : évaluation et planification
Maintenant que vous avez identifié les technologies et protocoles nécessaires à la sécurité du réseau sans fil et développé une spécification des principales exigences la phase d'évaluation et de planification va évaluer les technologies pouvant être utilisées pour planifier et implémenter votre projet de déploiement d'un réseau sans fil.
En admettant que les autres exigences du niveau rationalisé aient été remplies, bon nombre de composants nécessaires à l'implémentation d'une infrastructure sans fil sécurisée sont probablement en place, y compris Windows XP SP2 ou des ordinateurs clients plus récents et Windows 2000 Server ou des serveurs plus récents.
Services IAS de Windows Server
Les services IAS de Windows Server offrent les solutions suivantes aux organisations soucieuses de se doter d'un accès réseau :
Compatibilité avec les serveurs et clients RADIUS à partir de n'importe quel fournisseur répondant aux spécifications IEEE soulignés dans RFC 2865, 2866 et 2869.
Intégration avec le service d'annuaire Active Directory. Les services IAS vous permettent de tirer parti d'Active Directory à des fins d'authentification des utilisateurs, d'autorisation et de configuration des clients, réduisant ainsi les coûts de gestion.
Utilisation de méthodes d'authentification ferme basé sur des standards pour l'accès réseau.
Gestion de l'accès réseau externalisée vers un fournisseur de service Internet. Les services IAS vous permettent de créer un contrat entre votre organisation et le fournisseur de service Internet permettant à ce dernier de facturer le service d'un utilisateur itinérant selon son utilisation du réseau. Ainsi, chaque employé n'est pas tenu de soumettre une note de frais pour se connecter à distance au réseau de l'entreprise.
La gestion des clés dynamiques liées aux points d'accès sans fil permet de renforcer la sécurité réseau.
Les serveurs exécutant le composant IAS des systèmes d'exploitation Windows 2000 Server et Windows Server 2003 procèdent à une authentification, une autorisation, un audit et une gestion centralisés de nombreux types d'accès réseau parmi lesquels la connexion à distance, le réseau privé virtuel (VPN) et l'accès à l'authentification 802.1x. Les services IAS correspondent à l'implémentation Microsoft du protocole RADIUS (Remote Authentication Dial-In User Service).
Pour plus d'informations, reportez-vous au Guide de sécurité Windows Server 2003.
Active Directory
Lorsque vous implémentez le serveur IAS comme membre d'un domaine Active Directory, les services IAS utilisent Active Directory comme base de données de compte utilisateur et font partie d'une solution d'authentification unique. Avec une authentification unique, les utilisateurs ne fournissent qu'une seule fois leurs informations d'identification (nom d'utilisateur e mot de passe ou certificat) lors du processus d'authentification et d'autorisation ; ces informations sont alors utilisées pour accéder à un domaine Active Directory et contrôler l'accès réseau (authentification et autorisation d'accès au réseau).
Planification d'un réseau sans fil sécurisé
Il existe deux architectures de sécurité sans fil utilisant des technologies Microsoft. La première méthode utilise un VPN IPsec et la seconde le protocole EAP (Extensible Authentication Protocol) 802.1x. Ces deux méthodes ont pour objectif d'assurer l'authentification et l'autorisation de l'utilisateur et de protéger la confidentialité et l'intégrité des données.
Authentification d'un VPN IPsec
La structure d'un VPN IPsec permet aux clients sans fil de se connecter au point d'accès sans fil ouvert, puis de s'authentifier auprès du VPN IPsec pour accéder à l'intranet protégé de l'organisation.
Authentification 802.1x avec le protocole EAP
802.1x avec EAP-TLS et les certificats des ordinateurs peuvent être utilisés pour authentifier les clients sans fil et le serveur. Elle gère également la clé WEP en envoyant périodiquement et automatiquement une nouvelle clé, prévenant ainsi quelques-unes des vulnérabilités de clés WEP connues. La confidentialité des données sera protégée par ces clés WEP dynamiques.
Lors de l'établissement de votre plan d'implémentation, vous pouvez utiliser l'une de ces méthodes. Pour plus d'informations, reportez-vous aux guides Sécurité des réseaux sans fil sur Microsoft TechNet.
Reportez-vous également aux guides Sécurisation des réseaux sans fil avec PEAP et des mots de passe et Sécurisation des réseaux locaux sans fil avec des services de certificats sur Microsoft TechNet.
Phase 4 : déploiement
La dernière étape du processus consiste à déployer un accès sans fil protégé au sein de votre organisation. Si vous avez sélectionné la méthode d'authentification 802.1x utilisant les technologies Windows, vous trouverez des informations de déploiement dans le Guide de déploiement de réseaux 802.11 protégés à l'aide de Microsoft Windows (ce guide peut être en anglais).
Informations complémentaires
Pour plus d'informations sur Active Directory et IAS/RADIUS, rendez-vous aux adresses :
Vous pouvez également vous connecter à Microsoft TechNet et lancez une recherche sur « IAS » ou « RADIUS ».
Pour en savoir plus sur la façon dont Microsoft utilise les services IAS : https://www.microsoft.com/technet/itshowcase/content/secnetwkperim.mspx.
Point de contrôle : Active Directory et IAS/RADIUS pour l'authentification et l'autorisation réseau sans fil
|
Exigences |
|---|---|
|
L'accès sans fil et les topologies associées ont été identifiés. |
|
Les technologies, protocoles et normes sans fil ont été évalués. |
|
Des plans pour l'infrastructure d'authentification sans fil sécurisée ont été développés et implémentés. |
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour les capacités d'authentification et l'autorisation réseau sans fil du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en la matière, lesquelles sont abordées la rubrique relative aux ressources sans fil pour Windows XP sur Microsoft TechNet.
Passez à la question d'auto-évaluation suivante.
Exigence : services de certificats gérés de façon centralisée
Public visé
Nous vous recommandons de lire cette section si vous ne disposez d'aucune infrastructure de services de certificats ou de clés publiques (PKI).
Vue d'ensemble
Les ordinateurs de réseau ne sont plus des systèmes fermés où la simple présence d'un utilisateur constitue une preuve d'identité suffisante. Dans notre époque d'interconnexion des informations, le réseau d'une organisation peut se composer d'intranets, de sites Internet et d'extranets, tous sujets aux intrusions d'individus malveillants à la recherche de divers fichiers de données, des messages électroniques aux transactions de commerce électronique. Pour minimiser de tels risques, des mécanismes d'établissement et le maintien de l'identité d'un utilisateur sont nécessaires. Une identité électronique gérée de manière centralisée des utilisateurs peut offrir ce qui suit :
Accessibilité des informations. Les ressources en matière d'informations doivent être accessibles aux utilisateurs autorisés et protégés à partir d'un accès non autorisé ou d'une modification. Les mots de passe constituent une aide, mais les utilisateurs disposant de plusieurs mots de passe pour accéder aux différents systèmes sécurisés peuvent choisir des mots de passe faciles à retenir et donc à déchiffrer.
Non-répudiation d'identité. Les informations doivent être envoyées d'un utilisateur à un autre avec une certitude quant à la validité de l'expéditeur de ces informations. Il est également nécessaire de garantir que les informations n'ont pas changé lors de leur cheminement.
Confidentialité des informations. Les utilisateurs doivent être en mesure d'envoyer des informations à d'autres utilisateurs ou d'accéder à un système informatique avec la certitude que les informations ne soient pas accessibles ou mises à la disposition des autres utilisateurs. Un utilisateur ou système doit pouvoir définir les utilisateurs autorisés à accéder aux informations. La question de la confidentialité revêt toute son importance chaque fois que des informations transitent par Internet.
Ces exigences traitent de ressources liées à des informations électroniques et ont un impact direct sur la plupart des organisations. Tout mécanisme implémenté pour traiter ces exigences doit être à la fois gérable et sécurisé. Une infrastructure à clé publique (PKI) est une technologie appropriée pour répondre à ces exigences à l'aide de certificats numériques. L'infrastructure PKI permet l'échange de certificats numériques entre des entités authentifiés et des ressources approuvées. Les certificats d'une infrastructure PKI sont utilisés pour sécuriser les données et gérer les informations d'identification des ressources à l'intérieur et à l'extérieur de l'organisation. Manifestement, l'infrastructure PKI doit être approuvée ; dès lors, elle est gérée par une organisation pré-qualifiée ou une partie d'une telle organisation. Une telle organisation peut être appelée autorisation de certification (CA), mais généralement seul l'ordinateur qui exécute le logiciel de certification est appelé autorisation CA. Que l'autorisation CA se réfère à une organisation ou au logiciel qui prend en charge la certification, l'autorisation CA est responsable d'établir et de garantir l'identité des détenteurs de certificats. Il peut également supprimer les certificats si ceux-ci ne sont plus considérés comme valides et publier des listes de révocation de certificats (CRL) qui seront utilisés par les vérificateurs afin de déterminer leur validité.
Ce guide utilise les meilleures pratiques comme indiqué dans les guides Architecture de référence Windows Server System - Services de certificats.
Phase 1 : analyse
La phase d'analyse vérifie l'état actuel de l'environnement réseau. Cette phase d'analyse est identique à la phase d'analyse de l'exigence Vérification des communications entre serveurs sécurisée et garantie au niveau rationalisé. Recueillir et tenir à jour des données fiables sur les ordinateurs, les logiciels et les périphériques réseau d'une organisation est un défi informatique classique. Les informations relatives aux éléments suivants sont nécessaires afin de définir cet état actuel :
détection réseau ;
documentation de la segmentation du réseau ;
périphériques de l'infrastructure réseau ;
analyse du modèle de trafic réseau actuel ;
Active Directory ;
détection d'hôtes ;
données requises concernant les hôtes.
Pour plus d'informations sur la manière de recueillir des informations, lisez la section relative à l'isolation de serveurs et de domaines à l'aide d'IPsec ainsi que le chapitre 3 du guide des stratégies de groupes : Détermination de l'état actuel de votre infrastructure informatique Ce guide traite des exigences de chaque élément et de la manière de recueillir des informations via la détection automatisée à l'aide de SMS 2003 ou de produits similaires ainsi que d'options de détection manuelle.
Phase 2 : Identification
La phase d'identification définit le besoin principal d'établissement d'une infrastructure à clé publique centralisée. Lorsqu'une organisation décide d'implémenter une infrastructure PKI, le problème commercial doit être identifié avant le début de la phase de conception. La phase de conception commence par l'identification des considérations des individus, processus et de la technologie. Parmi les questions conduisant à l'exigence d'un service d'infrastructure PKI figurent les suivantes :
Questions liées aux individus :
Comment les individus gèrent-ils leurs certificats ?
Qui va gérer les certificats ?
En quoi une infrastructure PKI influe-t-elle sur le travail d'un utilisateur ?
Quelle est la taille de l'organisation ?
Questions liées aux processus :
L'infrastructure PKI doit-elle faire partie de l'infrastructure informatique de l'organisation ou les certificats doivent-ils être achetés auprès d'une source extérieure ?
Les certificats sont-ils également utilisés pour les transactions externes ?
Quel processus s'applique à l'obtention des certificats ?
Comment la confiance est-elle établie et vérifiée entre l'organisation et les entités connexes ?
À quels intervalles la confiance doit-elle être vérifiée ?
Quelles contraintes ont un impact sur la validité des certificats ?
Quelle est l'urgence de la révocation des certificats connexes une fois la confiance annulée ?
Questions liées à la technologie :
Quels types d'entités nécessitent des certificats et à quelles fins ?
À quelles fins un service d'annuaire est-il bénéfique ?
Quelles informations doivent figurer dans les certificats ?
Quelles applications sont accessibles à l'infrastructure PKI ?
Quel degré de complexité une clé publique/privée doit-elle présenter et les applications accessibles à l'infrastructure PKI peuvent-elles prendre en charge cette complexité ?
Avant d'installer le premier serveur CA au sein d'une organisation, une étude de conception du service d'infrastructure PKI couvrant les individus, les processus et la technologie doit être réalisée. À long terme, l'extension d'une infrastructure médiocrement implémentée est plus difficile et plus coûteuse à gérer que le délai de planification d'une infrastructure PKI extensible. Pour plus d'informations sur l'identification des principales exigences de l'infrastructure PKI, reportez-vous à la présentation WSSRA pour la conception d'entreprise de services de certificats.
Phase 3 : évaluation et planification
Lors de la phase d'évaluation et de planification, nous examinerons l'infrastructure PKI et planifierons les étapes nécessaires à son déploiement.
Qu'est-ce que l'infrastructure PKI ?
De nombreuses technologies nécessaires à l'implémentation d'un réseau sécurisé requièrent une infrastructure PKI permettant l'échange de certificats numériques entre des entités authentifiées et des ressources approuvées. Les certificats d'une infrastructure PKI sont utilisés pour sécuriser les données et gérer les informations d'identification des ressources à l'intérieur et à l'extérieur de l'organisation. Une fois l'infrastructure PKI en place, tout objet autorisé peut solliciter des certificats à partir d'un service d'obtention de certificats géré par l'autorisation de certification. Celle-ci détermine la validité du demander de certificat et émet un certificat valide en réponse à la requête. Le détenteur du certificat peut l'utiliser jusqu'à ce qu'il expire ou qu'il soit supprimé ; la fiabilité d'un certificat dépend de la qualité de la confiance entre un demandeur de certificat et l'émission d'une autorisation de certification. Deux certificats d'utilisateur émis par deux autorisations de certification différentes n'auront, par défaut, aucun statut de confiance l'un envers l'autre. Une confiance commune entre les autorisations de certification émettrices est requise pour veiller à ce que les certificats puissent être mutuellement approuvés.
Les clients accessibles à l'infrastructure PKI utilisent des certificats afin de déterminer le niveau de confiance d'une ressource donnée. Pour ce faire, une infrastructure PKI doit recourir à un mécanisme qui vérifie la validité d'un certificat. L'infrastructure PKI de Windows Server 2003 fournit des listes de révocation des certificats en guise de mécanisme de vérification et les clients sont techniquement capables de récupérer une liste de révocation des certificats via un certain nombre de protocoles. En fonction des capacités des clients et de l'infrastructure réseau, l'utilisation d'un protocole peut être privilégiée par rapport à un autre ; ces protocoles peuvent être les suivants :
HTTP et HTTPS. Les protocoles HTTP et HTTPS sont utilisés lorsque des listes de révocation des certificats sont publiées avec un serveur Web. Ces protocoles sont couramment utilisés pour permettre à des entités extérieures au réseau de l'organisation d'accéder à des listes de révocation des certificats.
LDAP. L'accès à une liste de révocation de certificats via le protocole LDAP à partir d'un service d'annuaire nécessite plus de bande passante que la récupération de cette même liste via le protocole HTTP, le protocole LDAP nécessitant, par défaut, une authentification. Même si l'accès anonyme est utilisé pour récupérer la liste de révocation des certificats, le protocole LDAP envoie un en-tête d'authentification anonyme. Si une liste de révocation de certificats doit être mise à disposition en interne comme en externe, il peut être difficile de permettre à tous les clients d'accéder à l'annuaire via le protocole LDAP.
Architecture PKI
L'architecture PKI implique l'implémentation de divers processus et technologies interdépendantes afin de permettre l'émission, la validation, le renouvellement et la suppression de certificats. Parmi ces technologies figurent les suivantes :
Un ou plusieurs serveurs exécutant des services proposant l'obtention, la révocation et autres services de gestion des certificats.
Le service d'annuaire Active Directory ou tout autre service d'annuaire proposant la gestion des comptes, la répartition des stratégies ainsi que les services de publication de certificats.
Les contrôleurs de domaine capables d'authentifier les utilisateurs finaux et ordinateurs lorsqu'ils requièrent des certificats.
Les ordinateurs clients et utilisateurs de domaine qui requièrent, reçoivent et utilisent des certificats à des fins spécifiques. Bien que des certificats puissent être utilisés par des services et des clients n'appartenant pas à un domaine, dans la plupart des environnements d'infrastructure PKI Windows, les utilisateurs de domaine et les ordinateurs sont les principaux destinataires et utilisateurs de certificats. Dans certains cas, le client de domaine peut être une autorisation de certification subordonnée requérant et recevant un certificat qui l'autorise à émette ses propres certificats.
La figure ci-dessous illustre l'architecture des technologies PKI.
.gif "Figure 11. Architecture des technologies PKI")
Figure 11. Architecture des technologies PKI
Ce type d'implémentation PKI vous confère le contrôle centralisé de vos services de certificats.
Planification de l'infrastructure d'autorisation de certification et d'implémentation PKI
Les options d'une infrastructure d'autorisation de certification dépendent des exigences en matière de sécurité et de certification d'une organisation, de l'objectif de l'infrastructure PKI et des exigences liées aux applications, utilisateurs et ordinateurs.
Comme décrit précédemment, les exigences en matière de certification ont un impact direct sur votre conception PKI. La conception logique de l'infrastructure PKI peut être réalisée une fois le service PKI défini. Pour plus d'informations sur la planification de l'infrastructure PKI de votre organisation, reportez-vous à la présentation WSSRA pour la conception d'entreprise de services de certificats.
Phase 4 : déploiement
Une fois la conception de votre clé publique validée et affinée lors de tests et de programmes pilotes, vous pouvez déployer l'infrastructure PKI dans votre environnement de production. Le bon déploiement d'une infrastructure PKI passe par une approche disciplinée afin d'établir la sécurité des applications que vous activez. La figure ci-dessous illustre l'infrastructure principale d'autorisation de certification ainsi que les processus de déploiement PKI.
.gif "Figure 12. Infrastructure principale d'autorisation de certification et processus de déploiement PKI")
Figure 12. Infrastructure principale d'autorisation de certification et processus de déploiement PKI
Pour plus d'informations sur l'infrastructure d'autorisation de certification et le déploiement PKI, reportez-vous à :
Bibliothèque technique Windows Server 2003 : conception d'une infrastructure à clé publique
Bibliothèque technique Windows Server 2003 : déploiement de l'infrastructure PKI
Informations complémentaires
Pour plus d'informations, connectez-vous à Microsoft TechNet et lancez une recherche sur « PKI ».
Pour en savoir plus sur la façon dont Microsoft déploie l'infrastructure PKI, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/deppkiin.mspx.
Point de contrôle : services de certificats gérés de façon centralisée
|
Exigences |
|---|---|
|
Une détection réseau a été effectuée pour inventorier l'ensemble des composants. |
|
Les personnes, processus et conceptions technologiques à prendre en compte pour l'autorité de certification et l'infrastructure à clé publique (PKI) ont été identifiés. |
|
Un plan de déploiement détaillé a été créé pour activer l'infrastructure à clé publique (PKI). |
|
Un plan de déploiement de l'infrastructure à clé publique a été implémenté. |
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour les capacités des services de certificats gérés de façon centralisée du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière de services de certificats.
Passez à la question d'auto-évaluation suivante.
Exigence : bande passante gérée de façon proactive pour les filiales
Public visé
Nous vous recommandons de lire cette section si vous ne gérez pas de manière proactive la bande passante des filiales.
Vue d'ensemble
Lorsqu'il vous faut mettre en place une communication sécurisée et efficace entre le siège et les filiales de votre organisation, votre réseau étendu (WAN) se trouve confronté à un problème de bande passante limitée. Vous disposez de plusieurs options pour optimiser cette bande passante. La conception de votre infrastructure réseau physique a un impact réel sur les autres services et composants des infrastructures de votre siège et vos filiales. Les performances et la disponibilité du réseau déterminent si un service peut correctement prendre en charge les exigences des utilisateurs en matière d'accès à des services via un réseau WAN.
Ce guide repose sur l'aide publiée de la Solution d'infrastructure de filiale pour Microsoft Windows Server 2003 Version 2 (BOIS R2).
Phase 1 : analyse
Les sections suivantes traitent des tâches qu'il vous faut effectuer lors de la phase d'analyse.
Documentation de la conception réseau
La première étape permettant de déterminer comment optimiser la bande passante WAN de votre organisation consiste à documenter la conception réseau actuelle de votre organisation pour les filiales. Il existe deux conceptions réseau principales des filiales : pivot unique et plusieurs pivots.
Réseau à pivot unique
Dans un réseau à pivot unique, le site pivot se connecte directement aux multiples sites distants. Il s'agit de la structure WAN courante des organisations dotées de plusieurs filiales, ces dernières ayant des fonctions commerciales quasiment identiques et opérant dans les frontières d'un même pays ou d'une plus petite région. La figure ci-dessous illustre une structure réseau doté d'un site pivot.
.gif "Figure 13. Réseau à pivot unique")
Figure 13. Réseau à pivot unique
Réseau à plusieurs pivots
Le réseau à plusieurs pivots propose généralement au moins trois niveaux de connexions réseau. Il s'agit de la structure courante des plus grandes organisations et organisations internationales dotées de nombreuses filiales ayant des fonctions commerciales diverses. Cette structure WAN dispose en principe d'un site pivot central pour son siège ainsi que d'un site pivot par région géographique. La figure ci-dessous illustre une structure réseau dotée d'un site pivot central et de deux sites pivots régionaux.
.gif "Figure 14. Réseau à plusieurs pivots")
Figure 14. Réseau à plusieurs pivots
Le réseau à plusieurs pivots peut être étendu si ses filiales sont reliées à d'autres filiales. Dans ce cas, il est important de déterminer les services à mettre à disposition sur les sites de deuxième niveau. Les options relatives aux sites de deuxième niveau sont les suivantes :
disposer du même ensemble de services disponibles localement que la filiale de premier niveau ;
disposer de plus de service localement (en raison d'une disponibilité, d'une capacité et de performances réseau insuffisantes) ;
disposer de moins de services disponibles localement et compter sur les services fournis par le site pivot.
La première étape de la phase d'analyse consiste à documenter la conception réseau de votre organisation en termes d'infrastructure de filiale et de pivot.
Documentation des liaisons
L'étape suivante de la phase d'analyse consiste à documenter les liaisons WAN entre tous vos sites. La liaison réseau reliant la filiale au site pivot est un composant critique du WAN. La liaison WAN peut considérablement affecter la disponibilité de tout service nécessitant un accès au WAN. Dans le cadre du processus de détection, vous devez déterminer les informations suivantes :
Type de liaison. C'est l'élément le plus déterminant en termes de vitesse réseau, de prise en charge des charges réseau et de disponibilité réseau. Le type de liaison indique s'il s'agit d'une connexion persistante permanente (comme une ligne allouée) ou à la demande (comme un accès à distance et un RNIS), ainsi que les protocoles utilisés (réseau privé virtuel, relais de trames ou satellite).
Bande passante de la liaison. Il s'agit de la vitesse théorique maximale de la liaison, la vitesse réelle étant limitée par la latence du réseau.
Latence de la liaison. Il s'agit du temps que met un paquet réseau à se déplacer d'un endroit à un autre, ce qui limite le délai minimal nécessaire à une transaction (durée).
Capacité de la liaison. Il s'agit du volume théorique de données agrégées pouvant être acheminées via une liaison réseau. Elle est étroitement liée à la vitesse de la liaison.
Utilisation de la liaison. Cette utilisation est exprimée sous forme de pourcentage de la capacité totale de la liaison. L'utilisation comprend tout le trafic réseau, y compris les transactions d'arrière-plan nécessaires à la surveillance et à la gestion du réseau et des services, les autres services individuels et les applications utilisant le réseau, ainsi que les fonctions spécifiques dépendant du réseau (comme les caméras de sécurité/systèmes et VoIP).
Segmentation réseau de la filiale
La dernière étape consiste à analyser la segmentation réseau de la filiale et des conditions requises pour correctement prendre en charge les services de la nouvelle solution.
Le réseau interne de la filiale dispose généralement d'un seul réseau segment appelé réseau plat. Ce type de réseau propose une infrastructure simple et peu coûteuse dotée d'un plan IP simple. Si les filiales de votre organisation intègrent un ou plusieurs réseaux segments, ceux-ci doivent être documentés lors de la phase d'analyse.
Autres considérations de conception réseau
En plus de la liaison réseau, chaque filiale requiert également une infrastructure réseau prenant en charge tous les utilisateurs de la filiale ainsi que leurs exigences en matière de connectivité interne. Parmi les autres considérations de conception liées à l'infrastructure de la filiale et autres composants réseau figurent les suivants :
emplacement des services centralisés ;
accès local à Internet ;
impacts sur la sécurité ;
limites de routage ;
traduction d’adresses réseau (NAT).
Résumé sur l'analyse
Au terme de cette étape, il doit être possible de générer une feuille de calcul ou un schéma topologique répertoriant la manière dont tous ces éléments sont en rapport avec la conception de réseau documentée lors de la première étape. Pour plus d'informations et d'autres considérations d'analyse, reportez-vous au guide relatif à la conception physique du BOIS R2.
Phase 2 : identification
La phase d'identification a pour objectif de déterminer le niveau de performances correspondant aux besoins de votre organisation. Dans la plupart des cas, une hausse des performances s'accompagne d'une hausse des coûts. Au cours de cette phase, il est important de considérer les coûts et bénéfices de chaque niveau de performances.
Les divers types et caractéristiques des réseaux WAN ne permettent pas de donner des recommandations spécifiques à propos des connexions WAN les plus appropriées à votre organisation. Cependant, en fonction des données clients recueillies par les différents groupes, il est possible de généraliser trois scénarios de liaisons réseau : hautes performances, performances moyennes et faibles performances. La liste ci-dessous décrit les caractéristiques de chaque scénario ainsi que leurs applications potentielles respectives :
Hautes performances. Les filiales satellites requièrent généralement des liaisons hautes performances (au moins 1,544 ou 2 mégabits par seconde ou Mbits/s en fonction de l'emplacement), une faible latence et une haute disponibilité. Celles-ci se trouvent généralement en Amérique du Nord et dans les frontières de nombreux pays d'Europe occidentale et autres pays. Ce type de liaison réseau peut permettre à des organisations de centraliser plus de services dans le site pivot que les autres scénarios car les coûts de gestion en termes de déplacement central des services peuvent l'emporter sur les coûts de mise en place d'une disponibilité suffisante. De même, la capacité et la latence peuvent suffire pour ne pas affecter négativement la productivité de l'utilisateur final. Dans certains cas, la productivité peut augmenter en raison des applications. Par exemple, les applications accédant à un magasin principal (comme une base de données ou un grand système) dans un site pivot peuvent profiter d'un déplacement vers les batteries d'applications d'un site central et en utilisant les Services Terminal Server pour y accéder. En effet, les transactions les plus intensives n'interviennent pas sur le réseau WAN et le réseau WAN haute capacité prend en charge le niveau de performances requis par les utilisateurs pour accéder aux applications.
Performances intermédiaires. Les filiales accélérés peuvent généralement utiliser des liaisons de performances intermédiaires (de 128 à 512 kilobits par seconde ou Kbps), une latence intermédiaire et une bonne disponibilité. Ces scénarios se retrouvent généralement dans les zones géographiques ne disposant pas des infrastructures de télécommunication les plus avancées ou dans des zones nécessitant le franchissement d'importantes frontières géographiques. La liaison peut prendre en charge la centralisation des services avec de faibles exigences en termes de bande passante (comme DNS et Active Directory), s'ils ne disposent pas de configurations ou autres restrictions empêchant la centralisation. Cependant, la disponibilité de la liaison réseau peut ne pas s'avérer suffisante pour permettre aux services de la filiale (comme les services de fichiers et d'impressions) d'accéder aux services centralisés dont ils dépendent en matière de résolution de noms, d'authentification et d'autorisation. En outre, la latence de cette liaison peut ne pas être à même de fournir une bonne expérience utilisateur lors de l'utilisation de Services Terminal Server pour accéder aux applications centralisées.
Faibles performances. Les filiales autonomes peuvent généralement fonctionner avec des liaisons de moindres performances (inférieures à 128 Kbps), une latence élevée et tolèrent mieux le manque de fiabilité de ces liaisons. Ce scénario se retrouve généralement dans les régions du monde où les télécommunications sont sous-développées et où, pour des raisons de coûts, il n'est pas possible d'accéder à une liaison réseau plus performante (comme lorsqu'il faut se connecter une seule filiale située dans un endroit très reculé). L'utilisation de ce type de liaison n'incite pas à la centralisation des services. Mais elle simplifie la conception de la filiale car tous les services prenant en charge ses fonctions critiques ainsi que les services dont ils dépendent doivent être situés localement dans la filiale.
La phase d'identification doit se solder par une analyse détaillée et une recommandation en matière de performances de chaque connexion pour déterminer la manière dont chaque filiale est classifiée : satellite, accélérée ou autonome.
Phase 3 : évaluation et planification
Jusqu'à présent, vous avez documenté votre topologie réseau ainsi que les performances nécessaires à l'infrastructure de votre filiale. Lors de la phase d'évaluation et de planification, vous évaluerez les impacts entre centralisation et localisation de services et créerez un plan visant à gérer vos liaisons WAN afin de répondre à vos exigences en termes de performances.
Évaluation de la conception physique du serveur
L'infrastructure de la filiale se concentre généralement sur la centralisation du plus grand nombre de services possible. Même si, à long terme, l'objectif peut consister à centraliser tous les services, il s'avère rarement réalisable à court terme. En effet, il peut être très coûteux d'établir une connectivité entre l'ordinateur client de la filiale et le service du site pivot disposant de la disponibilité, de la capacité et de la latence qui conviennent. Si l'état des technologies actuelles ne prend pas en charge la centralisation de services spécifiques, l'optimisation de la conception de la filiale résulte souvent d'une volonté de consolidation de tous les services demeurant sur un serveur unique de la filiale. Dans certains cas, cela peut aussi s'avérer difficile mais accessible.
Les types de considérations de conception non spécifiques à un seul service et devant être appliqués à tous les services sont notamment les suivants :
les options de conception disponibles pour optimiser les infrastructures des filiales ;
les considérations de placement des services des filiales, y compris les implications générales de placement des services sur les individus et processus ainsi que sur l'entreprise à proprement parler ;
d'autres considérations de conception, notamment celles liées aux utilisateurs et fonctionnalités de l'entreprise qui ne sont pas spécifique au placement de services.
Options de conception des infrastructures des filiales
La définition des infrastructures des filiales passe par l'analyse des options et des implications de déploiement de services de façon centralisée et localisée. Les deux décisions de base qu'il vous faut prendre pour chaque filiale passent par l'évaluation de nombreuses options de conception.
Options de centralisation des services
Les principales options disponibles en matière de centralisation des services comprennent l'exécution du service :
uniquement dans la filiale (sans basculement) ;
dans la filiale avec basculement vers le site pivot s'il est doté de capacité de réplication ;
uniquement sur le site pivot.
Options de conception du serveur des filiales
Vous pouvez optimiser les services qui ne peuvent pas être centralisés via la consolidation d'un ou plusieurs serveurs de filiales. La conception du serveur de filiales doit se concentrer sur l'optimisation du matériel, des logiciels et de la prise en charge (y compris l'utilisation de ressources personnelles) de chaque filiale.
L'Accélérateur de solution pour la consolidation et la migration des applications métier et le guide relatif à la consolidation de la charge de travail mixte (peut-être en anglais) propose une aide afin de déterminer les applications qui peuvent être consolidées. L'Accélérateur de solution pour la consolidation et la migration des applications métier propose également une aide afin d'identifier les solutions adaptées aux applications peu propices à la consolidation.
La liste ci-dessous récapitule les principales options d'exécution des applications des filiales :
consolidation d'un serveur unique ;
consolidation des services ;
consolidation virtualisée ;
serveur dédié.
L'option que vous choisissez pour chaque service détermine le nombre de serveurs de filiales requis.
Considérations de placement des services des filiales
Chaque organisation affiche des priorités qui dictent les exigences les plus significatives et, dès lors, les exigences ayant le plus d'impact sur la conception de la solution en matière d'infrastructure des filiales. Dans le cadre de vos efforts d'analyse lors de la phase prévisionnelle de votre projet, vous devez avoir identifié les exigences techniques, commerciales et autres ainsi que les limites affectant le placement des services.
Ces informations vous seront nécessaires pour évaluer efficacement les options et inconvénients de chaque service ; les considérations générales de conception ainsi que celles spécifiques aux services sont répertoriées dans la liste ci-dessous :
organisation informatique ;
considérations politiques ;
considérations juridiques et réglementaires ;
sécurité ;
disponibilité et fiabilité, y compris :
centralisation des services,
consolidation et co-hébergement des services sur un serveur de filiale,
serveurs non redondants dans la filiale,
redondance des services dans la filiale,
serveur unique pour les services locaux, avec redondance locale et clusters Windows pour les services.
sauvegarde et récupération ;
performances et capacité ;
capacité d’évolution ;
coût.
Planification des services des filiales
BOIS R2 a introduit une nouvelle technique de conception que vous pouvez utiliser pour permettre une approche commune et répétable pour concevoir l'infrastructure des services d'une organisation, qu'ils soient destinés aux filiales ou autres services informatiques. Cette technique utilise les schémas SDR ainsi que les trois éléments de conception de base pour illustrer le processus de conception de chaque service. Ces éléments sont les suivants :
stades de conception ;
éléments à prendre en compte dans la conception ;
options de conception.
La figure ci-dessous montre la version générique d'une référence de conception de service utilisée pour illustrer les éléments de cette approche conceptuelle.
.gif "Figure 15. Version générique d'une référence de conception de service")
Figure 15. Version générique d'une référence de conception de service
À chaque stade de conception, vous devez utiliser les considérations et options afin de savoir si vous répondez aux exigences de la nouvelle conception et si le modèle peut être modifié pour correspondre aux nouvelles exigences, si nécessaire.
La planification détaillée du service de filiale est nécessaire pour veiller à ce que l'utilisation de la bande passante WAN soit optimisée. Ces services sont appelés services principaux car ils fournissent l'infrastructure de base d'un environnement de filiales qui peut ensuite être amélioré ou étendu afin de renforcer les fonctions d'une solution. Ces services principaux sont les suivants :
service d'annuaire ;
services d'adressage réseau et de résolution des noms ;
services de fichiers ;
services d'impression ;
services clients principaux ;
services de gestion principaux.
Pour plus d'informations sur la conception des services principaux des filiales, reportez-vous à la rubrique relative à la conception de services principaux de filiales de BOIS R2 (cette page peut être en anglais).
Système de fichiers distribués (DFS)
Les technologies DFS (Distributed File System) de Windows Server 2003 R2 proposent une réplication WAN conviviale ainsi qu'un accès simplifié à tolérance de pannes aux fichiers dispersés géographiquement. Les deux technologies DFS sont les suivantes :
Réplication DFS. Moteur de réplication multimaître basé sur le nouvel état optimisé pour les environnements WAN. La réplication DFS prend en charge la programmation de la réplication, la limitation de la bande passante ainsi qu'un nouvel algorithme de compression différentielle à distance (RDC).
Espaces de noms DFS. Technologie permettant aux administrateurs de regrouper les dossiers partagés situés sur différents serveurs pour les présenter aux utilisateurs sous forme d'arborescence virtuelle de dossiers appelée espace de noms. Les espaces de noms DFS étaient précédemment appelés DFS (Distributed File System) dans Windows 2000 Server et Windows Server 2003.
Résumé sur l'évaluation et la planification
Il n'existe pas de recommandation en matière d'optimisation de la bande passante dans toutes les organisations. Chaque organisation a ses propres considérations quant à la gestion de son réseau WAN. Au terme de la phase d'évaluation et de planification, l'objectif consiste à identifier les possibilités de consolidation des services et de mieux comprendre la topologie de votre réseau actuel afin de gérer de manière proactive la bande passante WAN.
Phase 4 : déploiement
Après que vous avez identifié les architectures appropriées et équilibré les services centralisés par rapport aux services localisés de vos filiales afin d'optimiser les contraintes de liaisons WAN, la phase de déploiement implémente les recommandations résultant de la planification et de l'architecture de votre filiale. En fonction des recommandations formulées, la phase de déploiement peut, par exemple, mener à une centralisation plus poussée des services et, avec ces changements, les liaisons WAN seront ajustés en conséquence. Dans le cadre du processus de déploiement, il peut être utile de réexaminer les exigences en matière de liaisons WAN et d'infrastructure de filiales aux intervalles qui conviennent ou correspondant aux données, performances ou seuils de recrutement en personnel prédéfinis.
Informations complémentaires
Pour plus d'informations, connectez-vous à Microsoft TechNet et lancez une recherche sur « gestion de la bande passante ».
Pour en savoir plus sur la façon dont Microsoft gère la bande passante WAN, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/optbwcs.mspx.
Point de contrôle : bande passante gérée de façon proactive pour les filiales
|
Exigences |
|---|---|
|
Une topologie de filiale a été identifiée et documentée. |
|
Une spécification des exigences a été créée en fonction des besoins de tous les types de filiales. |
|
Un plan et une architecture ont été créés pour la consolidation du service des filiales et des seuils de performance ont été identifiés pour le réexamen des impératifs WAN des filiales. |
|
Un plan a été implémenté pour optimiser les services des filiales en matière de limitations de liaisons WAN. |
Si vous avez suivi les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour les capacités de bande passante gérée de façon proactive pour les filiales du modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques en matière gestion de la bande passante.
Passez à la question d'auto-évaluation suivante.