# Plan de Déploiement - Ordre Logique - Smart-Motions **Date** : Novembre 2025 **Version** : 1.0 **Contexte** : Plan complet de déploiement et configuration de l'infrastructure Smart-Motions --- ## 📋 Table des matières 1. [Vue d'ensemble](#vue-densemble) 2. [Phases de déploiement](#phases-de-déploiement) 3. [Phase 1 : Préparation et Infrastructure de base](#phase-1--préparation-et-infrastructure-de-base) 4. [Phase 2 : Réseau et Sécurité](#phase-2--réseau-et-sécurité) 5. [Phase 3 : Active Directory et Services de base](#phase-3--active-directory-et-services-de-base) 6. [Phase 4 : Services Windows](#phase-4--services-windows) 7. [Phase 5 : Services Infrastructure](#phase-5--services-infrastructure) 8. [Phase 6 : Services applicatifs](#phase-6--services-applicatifs) 7. [Phase 7 : Postes clients et finalisation](#phase-7--postes-clients-et-finalisation) 8. [Checklist complète](#checklist-complète) 9. [Dépendances entre services](#dépendances-entre-services) --- ## Vue d'ensemble ### Objectif Ce document définit l'ordre logique de déploiement et de configuration de toute l'infrastructure Smart-Motions, en tenant compte des dépendances entre les services. ### Principes 1. **Infrastructure d'abord** : Réseau, virtualisation, stockage 2. **Services de base** : AD, DNS, DHCP 3. **Services dépendants** : Services qui nécessitent AD 4. **Services applicatifs** : Applications métier 5. **Postes clients** : Déploiement des postes utilisateurs 6. **Finalisation** : Tests, sécurité, documentation ### Durée estimée - **Phase 1-2** : 2-3 jours - **Phase 3** : 2-3 jours - **Phase 4** : 3-4 jours - **Phase 5** : 2-3 jours - **Phase 6** : 2-3 jours - **Phase 7** : 2-3 jours - **Total** : 13-19 jours (environ 3-4 semaines) --- ## Phases de déploiement ``` ┌─────────────────────────────────────────────────────────┐ │ PHASE 1 : Préparation et Infrastructure de base │ │ - Proxmox, Templates, Réseau │ └─────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────┐ │ PHASE 2 : Réseau et Sécurité │ │ - pfSense, VPN Site-to-Site, DMZ │ └─────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────┐ │ PHASE 3 : Active Directory et Services de base │ │ - AD, DNS, DHCP, LAPS │ └─────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────┐ │ PHASE 4 : Services Windows │ │ - Serveur fichiers, RDS, Veeam, GPO │ └─────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────┐ │ PHASE 5 : Services Infrastructure │ │ - GLPI, Zabbix, DNS Split, Déploiement │ └─────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────┐ │ PHASE 6 : Services applicatifs │ │ - Messagerie, Nextcloud, DMZ (FTP/Extranet) │ └─────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────┐ │ PHASE 7 : Postes clients et finalisation │ │ - Déploiement postes, Tests, Pentest, Documentation │ └─────────────────────────────────────────────────────────┘ ``` --- ## Phase 1 : Préparation et Infrastructure de base ### Objectif Préparer l'infrastructure de virtualisation et créer les templates nécessaires. ### Étapes #### 1.1 Installation et configuration Proxmox - [ ] **Installer Proxmox** sur les serveurs physiques (Paris et Lyon) - [ ] **Configurer les bridges réseau** : - `vmbr0` : Management (192.168.42.0/24) - `vmbr1` : WAN (selon configuration) - `vmbr2` : LAN (10.0.0.0/24 pour Paris, 10.1.0.0/24 pour Lyon) - [ ] **Configurer le stockage** : Disques locaux ou partagés - [ ] **Créer les pools de ressources** : Paris, Lyon **Documentation** : `docs/proxmox/PROXMOX_NETWORK_CONFIG.md` #### 1.2 Création des templates Proxmox - [ ] **Template Windows Server 2022** : - Installer Windows Server 2022 - Configurer sysprep - Créer le template - [ ] **Template Debian 12** : - Installer Debian 12 - Configurer cloud-init - Créer le template - [ ] **Template Ubuntu 22.04** : - Installer Ubuntu 22.04 - Configurer cloud-init - Créer le template - [ ] **Template pfSense** : - Installer pfSense - Configuration de base - Créer le template **Documentation** : - `docs/proxmox/PROXMOX_TEMPLATES.md` - `docs/pfsense/PFSENSE_TEMPLATE.md` #### 1.3 Vérification de l'infrastructure - [ ] **Tester la connectivité réseau** entre les serveurs Proxmox - [ ] **Vérifier l'accès aux templates** créés - [ ] **Valider les ressources** (CPU, RAM, stockage) **Durée estimée** : 1-2 jours --- ## Phase 2 : Réseau et Sécurité ### Objectif Déployer et configurer les firewalls pfSense et établir la connectivité entre les sites. ### Étapes #### 2.1 Déploiement des firewalls pfSense - [ ] **Déployer PAR-FW1** (10.0.0.1) : - Créer la VM depuis le template pfSense - Configurer les interfaces réseau (WAN, LAN, OPT1 pour DMZ) - Configuration initiale via console - [ ] **Déployer LYO-FW1** (10.1.0.1) : - Créer la VM depuis le template pfSense - Configurer les interfaces réseau - Configuration initiale via console **Documentation** : `docs/pfsense/PFSENSE_INITIAL_CONFIG.md` #### 2.2 Configuration manuelle initiale pfSense **Pour chaque firewall** : - [ ] **Configuration de base** : - Changer le mot de passe admin - Configurer l'interface WAN (IP statique ou DHCP) - Configurer l'interface LAN (10.0.0.1 pour Paris, 10.1.0.1 pour Lyon) - Activer SSH (optionnel, pour Ansible) - [ ] **Règles firewall de base** : - Autoriser le trafic LAN → WAN - Bloquer le trafic WAN → LAN (sauf exceptions) - Configurer les règles de base **Documentation** : `docs/pfsense/PFSENSE_INITIAL_CONFIG.md` #### 2.3 Configuration VPN Site-to-Site - [ ] **Configurer IPsec VPN** entre PAR-FW1 et LYO-FW1 : - Phase 1 (IKE) : Chiffrement, authentification - Phase 2 (IPsec) : Réseaux à connecter - Routes statiques - [ ] **Tester la connectivité** : - Ping entre les sites - Vérifier la réplication AD (une fois AD déployé) **Documentation** : `docs/pfsense/PFSENSE_SETUP.md` #### 2.4 Configuration DMZ - [ ] **Créer l'interface DMZ** sur PAR-FW1 (OPT1) - [ ] **Configurer le réseau DMZ** : 10.0.0.100/24 - [ ] **Règles firewall DMZ** : - WAN → DMZ (ports spécifiques) - DMZ → WAN (accès Internet) - DMZ → LAN (bloqué par défaut) **Documentation** : `docs/pfsense/PFSENSE_SETUP.md` #### 2.5 Configuration automatisée pfSense (Ansible) - [ ] **Déployer les VMs admin jump hosts** : - PAR-ADMIN1 (10.0.0.151) - LYO-ADMIN1 (10.1.0.151) - [ ] **Configurer les jump hosts** : - Interfaces réseau (Management + LAN) - Installation Ansible et collections - [ ] **Automatiser la configuration pfSense** : - Règles firewall avancées - Proxy et filtrage web - VPN Client (OpenVPN) - Filtrage géographique (PFBlockerNG) **Documentation** : - `docs/pfsense/PFSENSE_ANSIBLE.md` - `docs/pfsense/PFSENSE_DEPLOYMENT_ORDER.md` **Durée estimée** : 1-2 jours --- ## Phase 3 : Active Directory et Services de base ### Objectif Déployer Active Directory, DNS, DHCP et sécuriser les comptes administrateurs. ### Étapes #### 3.1 Déploiement du premier contrôleur de domaine (PAR-DC1) - [ ] **Créer la VM PAR-DC1** (10.0.0.11) : - 4 cores, 8 Go RAM, 100 Go disque - Interface LAN (vmbr2) - [ ] **Installer Windows Server 2022** - [ ] **Configurer le réseau** : - IP statique : 10.0.0.11/24 - DNS : 127.0.0.1 (lui-même) - Passerelle : 10.0.0.1 (pfSense) - [ ] **Promouvoir en contrôleur de domaine** : - Créer la forêt : `smartmotion.ovh` - Installer les rôles : AD DS, DNS - Configurer DNS intégré - [ ] **Vérifier la réplication DNS** : Automatique avec AD **Documentation** : `docs/active-directory/ANALYSE_AD_VS_LDAP.md` #### 3.2 Déploiement du second contrôleur de domaine (PAR-DC2) - [ ] **Créer la VM PAR-DC2** (10.0.0.12) : - 4 cores, 8 Go RAM, 100 Go disque - [ ] **Installer Windows Server 2022** - [ ] **Configurer le réseau** : - IP statique : 10.0.0.12/24 - DNS : 10.0.0.11 (PAR-DC1) - [ ] **Promouvoir en contrôleur de domaine** : - Joindre le domaine existant : `smartmotion.ovh` - Installer les rôles : AD DS, DNS - [ ] **Vérifier la réplication AD** : Automatique - [ ] **Configurer les forwarders DNS** : 1.1.1.1, 8.8.8.8 #### 3.3 Configuration DNS interne - [ ] **Créer les enregistrements DNS internes** : - `dc1.smartmotion.ovh` → 10.0.0.11 - `dc2.smartmotion.ovh` → 10.0.0.12 - Enregistrements pour les futurs serveurs - [ ] **Configurer les zones DNS** : - Zone `smartmotion.ovh` (intégrée AD) - Zones de recherche inversée **Documentation** : `docs/services/DNS_SPLIT.md` #### 3.4 Configuration DHCP - [ ] **Installer le rôle DHCP** sur PAR-DC1 - [ ] **Créer une étendue DHCP** : - Plage : 10.0.0.100 - 10.0.0.200 - Passerelle : 10.0.0.1 - DNS : 10.0.0.11, 10.0.0.12 - Domaine : `smartmotion.ovh` - [ ] **Autoriser le serveur DHCP** dans AD - [ ] **Réservations IP** pour les serveurs fixes #### 3.5 Déploiement RODC Lyon (LYO-RODC1) - [ ] **Créer la VM LYO-RODC1** (10.1.0.10) : - 2 cores, 4 Go RAM, 50 Go disque - [ ] **Installer Windows Server 2022** - [ ] **Configurer le réseau** : - IP statique : 10.1.0.10/24 - DNS : 10.0.0.11 (via VPN) - [ ] **Promouvoir en RODC** : - Read-Only Domain Controller - Pas de modifications AD possibles - [ ] **Installer DHCP** sur LYO-RODC1 : - Plage : 10.1.0.100 - 10.1.0.200 - Passerelle : 10.1.0.1 #### 3.6 Configuration Microsoft LAPS - [ ] **Installer LAPS** sur PAR-DC1 et PAR-DC2 - [ ] **Extension du schéma AD** : Automatique - [ ] **Créer une GPO** pour LAPS : - Activer la gestion des mots de passe admin locaux - Configurer les paramètres (longueur, complexité) - [ ] **Lier la GPO** aux OUs des postes clients - [ ] **Tester** : Vérifier la rotation des mots de passe **Documentation** : `docs/windows/LAPS.md` #### 3.7 Création des utilisateurs et groupes AD - [ ] **Créer les OUs** : - `Departements/Direction` - `Departements/Commercial` - `Departements/Technique` - `Departements/Support` - `Servers/Paris` - `Servers/Lyon` - `Clients/Paris` - `Clients/Lyon` - [ ] **Créer les groupes de sécurité** : - `Direction`, `Commercial`, `Technique`, `Support` - `Chefs-Services` (pour administrateurs locaux) - `VPN-Users` (pour VPN client) - [ ] **Créer les comptes utilisateurs** (50 utilisateurs) - [ ] **Créer les comptes de service** : - `svc-nextcloud` (pour Nextcloud LDAP) - `svc-glpi` (pour GLPI LDAP) - `svc-veeam` (pour Veeam) **Durée estimée** : 2-3 jours --- ## Phase 4 : Services Windows ### Objectif Déployer les services Windows : fichiers, RDS, sauvegardes, GPO. ### Étapes #### 4.1 Serveur de fichiers Paris (PAR-FILE1) - [ ] **Créer la VM PAR-FILE1** (10.0.0.20) : - 4 cores, 8 Go RAM, 2 To disque - [ ] **Installer Windows Server 2022** - [ ] **Joindre au domaine** : `smartmotion.ovh` - [ ] **Installer le rôle File Server** - [ ] **Créer les partages** : - `\\PAR-FILE1\Departements\` - `\\PAR-FILE1\Public\` - `\\PAR-FILE1\Applications\` - `\\PAR-FILE1\Users\` (pour redirection profils) - [ ] **Configurer FSRM** : - Quotas par utilisateur (10 Go standard, 20 Go direction) - Filtrage de fichiers (bloquer multimédia) - [ ] **Activer la déduplication** : - Volume D:\ - Type : General purpose file server - [ ] **Activer Shadow Copies** : - Volume D:\ - Fréquence : 2 fois par jour - [ ] **Configurer les permissions** : Par groupes AD **Documentation** : `docs/windows/SERVEUR_FICHIERS.md` #### 4.2 Serveur de fichiers Lyon (LYO-FILE1) - [ ] **Créer la VM LYO-FILE1** (10.1.0.20) : - 2 cores, 4 Go RAM, 1 To disque - [ ] **Installer Windows Server 2022** - [ ] **Joindre au domaine** - [ ] **Installer le rôle File Server** - [ ] **Créer les partages locaux** - [ ] **Configurer FSRM** (quotas) #### 4.3 Configuration DFS-R (Réplication) - [ ] **Installer DFS Replication** sur PAR-FILE1 et LYO-FILE1 - [ ] **Créer un groupe de réplication** : - Nom : `Sylvestre-Replication` - [ ] **Ajouter les membres** : PAR-FILE1, LYO-FILE1 - [ ] **Créer un dossier répliqué** : - `Documents` : Réplication bidirectionnelle - [ ] **Configurer la topologie** : Hub (Paris) - Spoke (Lyon) - [ ] **Tester la réplication** : Vérifier la synchronisation **Documentation** : `docs/windows/SERVEUR_FICHIERS.md` #### 4.4 Remote Desktop Services (PAR-RDS1) - [ ] **Créer la VM PAR-RDS1** (10.0.0.60) : - 8 cores, 16 Go RAM, 100 Go disque - [ ] **Installer Windows Server 2022** - [ ] **Joindre au domaine** - [ ] **Installer les rôles RDS** : - RD Session Host - RD Web Access - RD Gateway - RD Licensing - [ ] **Configurer le déploiement RDS** : - RD Connection Broker : PAR-RDS1 - RD Session Host : PAR-RDS1 - RD Web Access : PAR-RDS1 - [ ] **Publier des applications RemoteApp** : - Microsoft Office - Applications métier - [ ] **Configurer TLS** : Certificat SSL - [ ] **Tester l'accès** : Via navigateur web **Documentation** : `docs/windows/RDS_REMOTE_DESKTOP.md` #### 4.5 Veeam Backup & Replication (PAR-VEEAM1) - [ ] **Créer la VM PAR-VEEAM1** (10.0.0.50) : - 4 cores, 8 Go RAM, 5 To disque - [ ] **Installer Windows Server 2022** - [ ] **Joindre au domaine** - [ ] **Installer Veeam Backup & Replication** - [ ] **Configurer le repository** : - Chemin : `D:\Backups` - Espace : 5 To - [ ] **Créer les jobs de sauvegarde** : - PAR-DC1, PAR-DC2 : Quotidien - PAR-FILE1, LYO-FILE1 : Quotidien - PAR-RDS1 : Quotidien - Autres serveurs : Hebdomadaire - [ ] **Configurer la rétention** : 30 jours - [ ] **Tester une restauration** : Fichier individuel **Documentation** : `docs/windows/VEEAM_SAUVEGARDE.md` #### 4.6 Group Policy Objects (GPO) - [ ] **Créer les GPO de base** : - `GPO-Departement-Direction` - `GPO-Departement-Commercial` - `GPO-Departement-Technique` - `GPO-Postes-Clients` - `GPO-Chefs-Services` (administrateurs locaux) - [ ] **Configurer le déploiement automatique** : - Imprimantes par département - Lecteurs réseau mappés - Redirection de profils (Documents, Desktop, AppData) - [ ] **Configurer les administrateurs locaux** : - Groupe `Chefs-Services` → Administrateurs locaux - [ ] **Tester les GPO** : Sur un poste de test **Documentation** : `docs/windows/GPO_GROUP_POLICY.md` **Durée estimée** : 3-4 jours --- ## Phase 5 : Services Infrastructure ### Objectif Déployer les services d'infrastructure : GLPI, Zabbix, DNS Split, déploiement. ### Étapes #### 5.1 GLPI - Gestion de parc (PAR-GLPI1) - [ ] **Créer la VM PAR-GLPI1** (10.0.0.30) : - 2 cores, 4 Go RAM, 100 Go disque - [ ] **Installer Debian 12** - [ ] **Installer GLPI** : - Apache, PHP, MariaDB - GLPI 10.0.7 - [ ] **Configurer l'intégration AD** : - LDAP : 10.0.0.11 - Compte de service : `svc-glpi` - Synchronisation automatique - [ ] **Installer OCS Inventory** : - Serveur OCS - Agents sur les postes clients - [ ] **Configurer GLPI + OCS** : - Plugin OCS dans GLPI - Synchronisation inventaire - [ ] **Créer les catégories d'incidents** - [ ] **Tester la création de tickets** **Documentation** : `docs/services/GLPI_GESTION_PARC.md` #### 5.2 Zabbix - Supervision (PAR-ZABBIX1) - [ ] **Créer la VM PAR-ZABBIX1** (10.0.0.40) : - 4 cores, 8 Go RAM, 200 Go disque - [ ] **Installer Ubuntu 22.04** - [ ] **Installer Zabbix Server** : - Zabbix 6.0 - PostgreSQL - Nginx - [ ] **Configurer les hôtes** : - Serveurs Windows (via Zabbix Agent) - Serveurs Linux (via Zabbix Agent) - Équipements réseau (via SNMP si supporté) - [ ] **Créer des tableaux de bord** : - Dashboard Infrastructure - Dashboard Réseau - Dashboard Services - [ ] **Configurer les alertes** : - Notifications email - Seuils d'alerte - [ ] **Tester les alertes** : Simulation d'incident **Documentation** : `docs/services/ZABBIX_SUPERVISION.md` #### 5.3 DNS Split (Interne/Externe) - [ ] **Acheter un nom de domaine** : - `smartmotion.ovh` (ou autre) - Registrar : OVH, Gandi, Online, etc. - [ ] **Configurer DNS interne (AD)** : - Enregistrements A pour tous les services - `www.smartmotion.ovh` → 10.0.0.30 (GLPI) - `mail.smartmotion.ovh` → 10.0.0.XX (Zimbra) - `zabbix.smartmotion.ovh` → 10.0.0.40 - etc. - [ ] **Configurer DNS externe (Hébergeur)** : - Enregistrements A pour services exposés - `www.smartmotion.ovh` → IP publique - `ftp.smartmotion.ovh` → IP publique DMZ - Enregistrements MX pour email - [ ] **Configurer les forwarders DNS** : 1.1.1.1, 8.8.8.8 - [ ] **Tester la résolution** : - Interne : `nslookup www.smartmotion.ovh 10.0.0.11` - Externe : `nslookup www.smartmotion.ovh 8.8.8.8` **Documentation** : `docs/services/DNS_SPLIT.md` #### 5.4 Solution de déploiement des postes - [ ] **Créer la VM PAR-DEPLOY1** (10.0.0.80) : - 4 cores, 8 Go RAM, 500 Go disque - [ ] **Installer Windows Server 2022** - [ ] **Joindre au domaine** - [ ] **Installer WDS + MDT** : - Windows Deployment Services - Microsoft Deployment Toolkit - Windows ADK - [ ] **Créer les images de référence** : - Windows 11 Pro - PC fixes - Windows 11 Pro - Portables - [ ] **Configurer les Task Sequences** : - Installation Windows 11 - Applications pré-installées - Jointure au domaine - [ ] **Tester le déploiement** : Sur un poste de test **Documentation** : `docs/services/DEPLOIEMENT_POSTES.md` **Durée estimée** : 2-3 jours --- ## Phase 6 : Services applicatifs ### Objectif Déployer les services applicatifs : messagerie, Nextcloud, DMZ. ### Étapes #### 6.1 Service de messagerie (Zimbra ou M365) **Option A : Zimbra (hébergé localement)** - [ ] **Créer la VM PAR-MAIL1** (10.0.0.XX) : - 4 cores, 8 Go RAM, 200 Go disque - [ ] **Installer Zimbra** : - Debian 12 - Zimbra Open Source ou Network Edition - [ ] **Configurer le domaine** : `smartmotion.ovh` - [ ] **Créer les boîtes mail** : 50 utilisateurs - [ ] **Configurer l'intégration AD** : LDAP - [ ] **Configurer les enregistrements DNS** : - MX : `mail.smartmotion.ovh` - SPF, DKIM, DMARC **Option B : Microsoft 365 (SaaS)** - [ ] **Souscrire à Microsoft 365** : - Plan Business Standard ou Premium - 50 licences utilisateur - [ ] **Configurer le domaine** : `smartmotion.ovh` - Vérification du domaine - Enregistrements DNS (MX, SPF, etc.) - [ ] **Synchroniser avec AD** : Azure AD Connect (optionnel) - [ ] **Créer les boîtes mail** : 50 utilisateurs **Documentation** : `docs/messagerie/COMPARAISON_ZIMBRA_M365.md` #### 6.2 Nextcloud - [ ] **Créer la VM PAR-NEXTCLOUD1** (10.0.0.XX) : - 2 cores, 4 Go RAM, 500 Go disque - [ ] **Installer Nextcloud** : - Debian 12 - Nextcloud 28+ - Apache, PHP, MariaDB - [ ] **Configurer l'intégration AD** : - LDAP : 10.0.0.11 - Compte de service : `svc-nextcloud` - Synchronisation automatique - [ ] **Configurer les partages** : - Intégration avec serveur de fichiers - Quotas par utilisateur - [ ] **Tester l'accès** : Via navigateur web **Documentation** : `docs/active-directory/NEXTCLOUD_LDAP_AD.md` #### 6.3 DMZ - FTP et Extranet (PAR-FTP1) - [ ] **Créer la VM PAR-FTP1** (10.0.0.70) : - 2 cores, 2 Go RAM, 100 Go disque - Interface DMZ (10.0.0.100/24) - [ ] **Installer Debian 12** - [ ] **Installer vsftpd** : - Configuration FTP sécurisé - Utilisateurs virtuels - [ ] **Installer Apache** : - Extranet web - PHP, base de données - [ ] **Configurer les règles firewall** : - WAN → DMZ (ports FTP et HTTP/HTTPS) - DMZ → LAN (bloqué) - [ ] **Tester l'accès** : - FTP depuis Internet - Extranet depuis Internet **Documentation** : `docs/services/DMZ_FTP_EXTRANET.md` #### 6.4 VPN Client avec authentification RADIUS - [ ] **Configurer NPS (Network Policy Server)** sur PAR-DC1 : - Installer le rôle NPS - Créer un RADIUS client (pfSense) - Créer une Network Policy (groupe VPN-Users) - [ ] **Configurer OpenVPN sur pfSense** : - Serveur OpenVPN - Authentification RADIUS - Certificats SSL - [ ] **Créer les profils VPN** : - Fichiers .ovpn pour les clients - [ ] **Tester la connexion VPN** : - Depuis un poste externe - Authentification avec compte AD **Documentation** : `docs/services/VPN_CLIENT_RADIUS.md` **Durée estimée** : 2-3 jours --- ## Phase 7 : Postes clients et finalisation ### Objectif Déployer les postes clients, effectuer les tests et finaliser la documentation. ### Étapes #### 7.1 Déploiement des postes clients - [ ] **Déployer les 40 PC fixes (Paris)** : - Via WDS + MDT - Windows 11 Pro - Applications pré-installées - Jointure au domaine - [ ] **Déployer les 5 portables (Paris)** : - Via WDS + MDT - Windows 11 Pro - Configuration portable - [ ] **Déployer les 5 portables (Lyon)** : - Via WDS + MDT (depuis Paris via VPN) - Windows 11 Pro - [ ] **Vérifier les GPO** : - Imprimantes déployées - Lecteurs réseau mappés - Redirection de profils active - [ ] **Vérifier LAPS** : - Mots de passe admin locaux gérés - Rotation automatique **Documentation** : `docs/services/DEPLOIEMENT_POSTES.md` #### 7.2 Tests fonctionnels - [ ] **Tests de connectivité** : - Ping entre tous les serveurs - Accès aux partages réseau - Résolution DNS (interne et externe) - [ ] **Tests de services** : - Accès GLPI (gestion de parc) - Accès Zabbix (supervision) - Accès RDS (bureaux à distance) - Accès Nextcloud - Accès messagerie - [ ] **Tests de réplication** : - Réplication AD (Paris ↔ Lyon) - Réplication DFS-R (fichiers) - [ ] **Tests de sauvegarde** : - Jobs Veeam fonctionnels - Restauration test (fichier individuel) - Shadow Copies accessibles - [ ] **Tests VPN** : - VPN Site-to-Site (Paris ↔ Lyon) - VPN Client (depuis Internet) #### 7.3 Tests de sécurité (Pentest) - [ ] **Installation des outils** : - Nmap - Nessus (Community Edition ou commercial) - [ ] **Scan réseau avec Nmap** : - Scan de tous les réseaux (10.0.0.0/24, 10.1.0.0/24) - Détection des ports ouverts - Identification des services - [ ] **Scan de vulnérabilités avec Nessus** : - Scan de tous les serveurs - Identification des vulnérabilités - Classification (Critique, Haute, Moyenne, Faible) - [ ] **Correction des vulnérabilités** : - Mises à jour système - Fermeture de ports inutiles - Renforcement de la configuration - [ ] **Nouveau scan de validation** : - Vérifier que les vulnérabilités sont corrigées - [ ] **Rapport de pentest** : - Documenter les résultats - Liste des vulnérabilités corrigées - Recommandations **Documentation** : `docs/security/PENTEST_NMAP_NESSUS.md` #### 7.4 Documentation finale - [ ] **Vérifier la documentation** : - Tous les documents à jour - Procédures complètes - Schémas réseau - [ ] **Créer un guide utilisateur** : - Accès aux services - Utilisation de Nextcloud - Utilisation de la messagerie - Accès VPN - [ ] **Créer un guide administrateur** : - Procédures de maintenance - Procédures de sauvegarde/restauration - Procédures de dépannage - [ ] **Documenter les mots de passe** : - Stockage sécurisé (Vault) - Liste des comptes de service - Accès aux équipements **Durée estimée** : 2-3 jours --- ## Checklist complète ### Phase 1 : Préparation - [ ] Proxmox installé et configuré - [ ] Templates créés (Windows, Debian, Ubuntu, pfSense) - [ ] Réseau configuré (bridges, VLAN) ### Phase 2 : Réseau et Sécurité - [ ] pfSense déployé (Paris et Lyon) - [ ] Configuration manuelle initiale - [ ] VPN Site-to-Site configuré - [ ] DMZ configurée - [ ] Configuration automatisée (Ansible) ### Phase 3 : Active Directory - [ ] PAR-DC1 déployé et promu - [ ] PAR-DC2 déployé et promu - [ ] LYO-RODC1 déployé et promu - [ ] DNS interne configuré - [ ] DHCP configuré (Paris et Lyon) - [ ] LAPS installé et configuré - [ ] Utilisateurs et groupes créés ### Phase 4 : Services Windows - [ ] PAR-FILE1 déployé et configuré - [ ] LYO-FILE1 déployé et configuré - [ ] DFS-R configuré - [ ] PAR-RDS1 déployé et configuré - [ ] PAR-VEEAM1 déployé et configuré - [ ] GPO créées et configurées ### Phase 5 : Services Infrastructure - [ ] PAR-GLPI1 déployé et configuré - [ ] PAR-ZABBIX1 déployé et configuré - [ ] DNS Split configuré - [ ] Solution de déploiement configurée ### Phase 6 : Services applicatifs - [ ] Messagerie déployée (Zimbra ou M365) - [ ] Nextcloud déployé et configuré - [ ] DMZ (FTP/Extranet) déployée - [ ] VPN Client configuré ### Phase 7 : Finalisation - [ ] Postes clients déployés (50 postes) - [ ] Tests fonctionnels réussis - [ ] Pentest effectué et vulnérabilités corrigées - [ ] Documentation complète --- ## Dépendances entre services ### Graphique des dépendances ``` Proxmox ↓ pfSense (VPN Site-to-Site) ↓ Active Directory (PAR-DC1, PAR-DC2) ├─→ DNS interne ├─→ DHCP ├─→ LAPS └─→ Utilisateurs/Groups ↓ ├─→ GPO ├─→ Serveur fichiers (FSRM, DFS-R) ├─→ RDS ├─→ Veeam ├─→ GLPI (LDAP) ├─→ Nextcloud (LDAP) ├─→ VPN Client (RADIUS/NPS) └─→ Déploiement postes (jointure domaine) ↓ Postes clients ``` ### Ordre critique 1. **Proxmox** : Nécessaire pour tout le reste 2. **pfSense** : Nécessaire pour la connectivité réseau 3. **Active Directory** : Nécessaire pour tous les services Windows et authentification 4. **DNS** : Nécessaire pour la résolution de noms 5. **DHCP** : Nécessaire pour l'attribution d'IPs automatiques 6. **Services dépendants** : Tous les autres services ### Points d'attention - ⚠️ **Ne pas déployer de services avant AD** : Tous les services Windows nécessitent AD - ⚠️ **VPN Site-to-Site avant RODC Lyon** : Le RODC doit pouvoir communiquer avec les DC Paris - ⚠️ **DNS avant autres services** : La résolution de noms est critique - ⚠️ **GPO avant déploiement postes** : Les postes doivent être configurés dès le déploiement --- ## Durée totale estimée | Phase | Durée | Description | |-------|-------|-------------| | **Phase 1** | 1-2 jours | Préparation infrastructure | | **Phase 2** | 1-2 jours | Réseau et sécurité | | **Phase 3** | 2-3 jours | Active Directory | | **Phase 4** | 3-4 jours | Services Windows | | **Phase 5** | 2-3 jours | Services Infrastructure | | **Phase 6** | 2-3 jours | Services applicatifs | | **Phase 7** | 2-3 jours | Postes clients et finalisation | | **TOTAL** | **13-19 jours** | **3-4 semaines** | --- *Document créé le : Novembre 2025* *Version : 1.0* *Projet : Smart-Motions - Plan de déploiement*