syoul/MD-to-Prrint
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
daa932a0ed660d1781524ee0b6b50b59d33e9cf3
MD-to-Prrint/documents/PLAN_DEPLOIEMENT_ORDRE.md

886 lines
28 KiB
Markdown
Raw Blame History

# Plan de Déploiement - Ordre Logique - Smart-Motions
**Date** : Novembre 2025
**Version** : 1.0
**Contexte** : Plan complet de déploiement et configuration de l'infrastructure Smart-Motions
---
## 📋 Table des matières
1. [Vue d'ensemble](#vue-densemble)
2. [Phases de déploiement](#phases-de-déploiement)
3. [Phase 1 : Préparation et Infrastructure de base](#phase-1--préparation-et-infrastructure-de-base)
4. [Phase 2 : Réseau et Sécurité](#phase-2--réseau-et-sécurité)
5. [Phase 3 : Active Directory et Services de base](#phase-3--active-directory-et-services-de-base)
6. [Phase 4 : Services Windows](#phase-4--services-windows)
7. [Phase 5 : Services Infrastructure](#phase-5--services-infrastructure)
8. [Phase 6 : Services applicatifs](#phase-6--services-applicatifs)
7. [Phase 7 : Postes clients et finalisation](#phase-7--postes-clients-et-finalisation)
8. [Checklist complète](#checklist-complète)
9. [Dépendances entre services](#dépendances-entre-services)
---
## Vue d'ensemble
### Objectif
Ce document définit l'ordre logique de déploiement et de configuration de toute l'infrastructure Smart-Motions, en tenant compte des dépendances entre les services.
### Principes
1. **Infrastructure d'abord** : Réseau, virtualisation, stockage
2. **Services de base** : AD, DNS, DHCP
3. **Services dépendants** : Services qui nécessitent AD
4. **Services applicatifs** : Applications métier
5. **Postes clients** : Déploiement des postes utilisateurs
6. **Finalisation** : Tests, sécurité, documentation
### Durée estimée
- **Phase 1-2** : 2-3 jours
- **Phase 3** : 2-3 jours
- **Phase 4** : 3-4 jours
- **Phase 5** : 2-3 jours
- **Phase 6** : 2-3 jours
- **Phase 7** : 2-3 jours
- **Total** : 13-19 jours (environ 3-4 semaines)
---
## Phases de déploiement
```
┌─────────────────────────────────────────────────────────┐
│ PHASE 1 : Préparation et Infrastructure de base │
│ - Proxmox, Templates, Réseau │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ PHASE 2 : Réseau et Sécurité │
│ - pfSense, VPN Site-to-Site, DMZ │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ PHASE 3 : Active Directory et Services de base │
│ - AD, DNS, DHCP, LAPS │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ PHASE 4 : Services Windows │
│ - Serveur fichiers, RDS, Veeam, GPO │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ PHASE 5 : Services Infrastructure │
│ - GLPI, Zabbix, DNS Split, Déploiement │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ PHASE 6 : Services applicatifs │
│ - Messagerie, Nextcloud, DMZ (FTP/Extranet) │
└─────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ PHASE 7 : Postes clients et finalisation │
│ - Déploiement postes, Tests, Pentest, Documentation │
└─────────────────────────────────────────────────────────┘
```
---
## Phase 1 : Préparation et Infrastructure de base
### Objectif
Préparer l'infrastructure de virtualisation et créer les templates nécessaires.
### Étapes
#### 1.1 Installation et configuration Proxmox
- [ ] **Installer Proxmox** sur les serveurs physiques (Paris et Lyon)
- [ ] **Configurer les bridges réseau** :
- `vmbr0` : Management (192.168.42.0/24)
- `vmbr1` : WAN (selon configuration)
- `vmbr2` : LAN (10.0.0.0/24 pour Paris, 10.1.0.0/24 pour Lyon)
- [ ] **Configurer le stockage** : Disques locaux ou partagés
- [ ] **Créer les pools de ressources** : Paris, Lyon
**Documentation** : `docs/proxmox/PROXMOX_NETWORK_CONFIG.md`
#### 1.2 Création des templates Proxmox
- [ ] **Template Windows Server 2022** :
- Installer Windows Server 2022
- Configurer sysprep
- Créer le template
- [ ] **Template Debian 12** :
- Installer Debian 12
- Configurer cloud-init
- Créer le template
- [ ] **Template Ubuntu 22.04** :
- Installer Ubuntu 22.04
- Configurer cloud-init
- Créer le template
- [ ] **Template pfSense** :
- Installer pfSense
- Configuration de base
- Créer le template
**Documentation** :
- `docs/proxmox/PROXMOX_TEMPLATES.md`
- `docs/pfsense/PFSENSE_TEMPLATE.md`
#### 1.3 Vérification de l'infrastructure
- [ ] **Tester la connectivité réseau** entre les serveurs Proxmox
- [ ] **Vérifier l'accès aux templates** créés
- [ ] **Valider les ressources** (CPU, RAM, stockage)
**Durée estimée** : 1-2 jours
---
## Phase 2 : Réseau et Sécurité
### Objectif
Déployer et configurer les firewalls pfSense et établir la connectivité entre les sites.
### Étapes
#### 2.1 Déploiement des firewalls pfSense
- [ ] **Déployer PAR-FW1** (10.0.0.1) :
- Créer la VM depuis le template pfSense
- Configurer les interfaces réseau (WAN, LAN, OPT1 pour DMZ)
- Configuration initiale via console
- [ ] **Déployer LYO-FW1** (10.1.0.1) :
- Créer la VM depuis le template pfSense
- Configurer les interfaces réseau
- Configuration initiale via console
**Documentation** : `docs/pfsense/PFSENSE_INITIAL_CONFIG.md`
#### 2.2 Configuration manuelle initiale pfSense
**Pour chaque firewall** :
- [ ] **Configuration de base** :
- Changer le mot de passe admin
- Configurer l'interface WAN (IP statique ou DHCP)
- Configurer l'interface LAN (10.0.0.1 pour Paris, 10.1.0.1 pour Lyon)
- Activer SSH (optionnel, pour Ansible)
- [ ] **Règles firewall de base** :
- Autoriser le trafic LAN → WAN
- Bloquer le trafic WAN → LAN (sauf exceptions)
- Configurer les règles de base
**Documentation** : `docs/pfsense/PFSENSE_INITIAL_CONFIG.md`
#### 2.3 Configuration VPN Site-to-Site
- [ ] **Configurer IPsec VPN** entre PAR-FW1 et LYO-FW1 :
- Phase 1 (IKE) : Chiffrement, authentification
- Phase 2 (IPsec) : Réseaux à connecter
- Routes statiques
- [ ] **Tester la connectivité** :
- Ping entre les sites
- Vérifier la réplication AD (une fois AD déployé)
**Documentation** : `docs/pfsense/PFSENSE_SETUP.md`
#### 2.4 Configuration DMZ
- [ ] **Créer l'interface DMZ** sur PAR-FW1 (OPT1)
- [ ] **Configurer le réseau DMZ** : 10.0.0.100/24
- [ ] **Règles firewall DMZ** :
- WAN → DMZ (ports spécifiques)
- DMZ → WAN (accès Internet)
- DMZ → LAN (bloqué par défaut)
**Documentation** : `docs/pfsense/PFSENSE_SETUP.md`
#### 2.5 Configuration automatisée pfSense (Ansible)
- [ ] **Déployer les VMs admin jump hosts** :
- PAR-ADMIN1 (10.0.0.151)
- LYO-ADMIN1 (10.1.0.151)
- [ ] **Configurer les jump hosts** :
- Interfaces réseau (Management + LAN)
- Installation Ansible et collections
- [ ] **Automatiser la configuration pfSense** :
- Règles firewall avancées
- Proxy et filtrage web
- VPN Client (OpenVPN)
- Filtrage géographique (PFBlockerNG)
**Documentation** :
- `docs/pfsense/PFSENSE_ANSIBLE.md`
- `docs/pfsense/PFSENSE_DEPLOYMENT_ORDER.md`
**Durée estimée** : 1-2 jours
---
## Phase 3 : Active Directory et Services de base
### Objectif
Déployer Active Directory, DNS, DHCP et sécuriser les comptes administrateurs.
### Étapes
#### 3.1 Déploiement du premier contrôleur de domaine (PAR-DC1)
- [ ] **Créer la VM PAR-DC1** (10.0.0.11) :
- 4 cores, 8 Go RAM, 100 Go disque
- Interface LAN (vmbr2)
- [ ] **Installer Windows Server 2022**
- [ ] **Configurer le réseau** :
- IP statique : 10.0.0.11/24
- DNS : 127.0.0.1 (lui-même)
- Passerelle : 10.0.0.1 (pfSense)
- [ ] **Promouvoir en contrôleur de domaine** :
- Créer la forêt : `smartmotion.ovh`
- Installer les rôles : AD DS, DNS
- Configurer DNS intégré
- [ ] **Vérifier la réplication DNS** : Automatique avec AD
**Documentation** : `docs/active-directory/ANALYSE_AD_VS_LDAP.md`
#### 3.2 Déploiement du second contrôleur de domaine (PAR-DC2)
- [ ] **Créer la VM PAR-DC2** (10.0.0.12) :
- 4 cores, 8 Go RAM, 100 Go disque
- [ ] **Installer Windows Server 2022**
- [ ] **Configurer le réseau** :
- IP statique : 10.0.0.12/24
- DNS : 10.0.0.11 (PAR-DC1)
- [ ] **Promouvoir en contrôleur de domaine** :
- Joindre le domaine existant : `smartmotion.ovh`
- Installer les rôles : AD DS, DNS
- [ ] **Vérifier la réplication AD** : Automatique
- [ ] **Configurer les forwarders DNS** : 1.1.1.1, 8.8.8.8
#### 3.3 Configuration DNS interne
- [ ] **Créer les enregistrements DNS internes** :
- `dc1.smartmotion.ovh` → 10.0.0.11
- `dc2.smartmotion.ovh` → 10.0.0.12
- Enregistrements pour les futurs serveurs
- [ ] **Configurer les zones DNS** :
- Zone `smartmotion.ovh` (intégrée AD)
- Zones de recherche inversée
**Documentation** : `docs/services/DNS_SPLIT.md`
#### 3.4 Configuration DHCP
- [ ] **Installer le rôle DHCP** sur PAR-DC1
- [ ] **Créer une étendue DHCP** :
- Plage : 10.0.0.100 - 10.0.0.200
- Passerelle : 10.0.0.1
- DNS : 10.0.0.11, 10.0.0.12
- Domaine : `smartmotion.ovh`
- [ ] **Autoriser le serveur DHCP** dans AD
- [ ] **Réservations IP** pour les serveurs fixes
#### 3.5 Déploiement RODC Lyon (LYO-RODC1)
- [ ] **Créer la VM LYO-RODC1** (10.1.0.10) :
- 2 cores, 4 Go RAM, 50 Go disque
- [ ] **Installer Windows Server 2022**
- [ ] **Configurer le réseau** :
- IP statique : 10.1.0.10/24
- DNS : 10.0.0.11 (via VPN)
- [ ] **Promouvoir en RODC** :
- Read-Only Domain Controller
- Pas de modifications AD possibles
- [ ] **Installer DHCP** sur LYO-RODC1 :
- Plage : 10.1.0.100 - 10.1.0.200
- Passerelle : 10.1.0.1
#### 3.6 Configuration Microsoft LAPS
- [ ] **Installer LAPS** sur PAR-DC1 et PAR-DC2
- [ ] **Extension du schéma AD** : Automatique
- [ ] **Créer une GPO** pour LAPS :
- Activer la gestion des mots de passe admin locaux
- Configurer les paramètres (longueur, complexité)
- [ ] **Lier la GPO** aux OUs des postes clients
- [ ] **Tester** : Vérifier la rotation des mots de passe
**Documentation** : `docs/windows/LAPS.md`
#### 3.7 Création des utilisateurs et groupes AD
- [ ] **Créer les OUs** :
- `Departements/Direction`
- `Departements/Commercial`
- `Departements/Technique`
- `Departements/Support`
- `Servers/Paris`
- `Servers/Lyon`
- `Clients/Paris`
- `Clients/Lyon`
- [ ] **Créer les groupes de sécurité** :
- `Direction`, `Commercial`, `Technique`, `Support`
- `Chefs-Services` (pour administrateurs locaux)
- `VPN-Users` (pour VPN client)
- [ ] **Créer les comptes utilisateurs** (50 utilisateurs)
- [ ] **Créer les comptes de service** :
- `svc-nextcloud` (pour Nextcloud LDAP)
- `svc-glpi` (pour GLPI LDAP)
- `svc-veeam` (pour Veeam)
**Durée estimée** : 2-3 jours
---
## Phase 4 : Services Windows
### Objectif
Déployer les services Windows : fichiers, RDS, sauvegardes, GPO.
### Étapes
#### 4.1 Serveur de fichiers Paris (PAR-FILE1)
- [ ] **Créer la VM PAR-FILE1** (10.0.0.20) :
- 4 cores, 8 Go RAM, 2 To disque
- [ ] **Installer Windows Server 2022**
- [ ] **Joindre au domaine** : `smartmotion.ovh`
- [ ] **Installer le rôle File Server**
- [ ] **Créer les partages** :
- `\\PAR-FILE1\Departements\`
- `\\PAR-FILE1\Public\`
- `\\PAR-FILE1\Applications\`
- `\\PAR-FILE1\Users\` (pour redirection profils)
- [ ] **Configurer FSRM** :
- Quotas par utilisateur (10 Go standard, 20 Go direction)
- Filtrage de fichiers (bloquer multimédia)
- [ ] **Activer la déduplication** :
- Volume D:\
- Type : General purpose file server
- [ ] **Activer Shadow Copies** :
- Volume D:\
- Fréquence : 2 fois par jour
- [ ] **Configurer les permissions** : Par groupes AD
**Documentation** : `docs/windows/SERVEUR_FICHIERS.md`
#### 4.2 Serveur de fichiers Lyon (LYO-FILE1)
- [ ] **Créer la VM LYO-FILE1** (10.1.0.20) :
- 2 cores, 4 Go RAM, 1 To disque
- [ ] **Installer Windows Server 2022**
- [ ] **Joindre au domaine**
- [ ] **Installer le rôle File Server**
- [ ] **Créer les partages locaux**
- [ ] **Configurer FSRM** (quotas)
#### 4.3 Configuration DFS-R (Réplication)
- [ ] **Installer DFS Replication** sur PAR-FILE1 et LYO-FILE1
- [ ] **Créer un groupe de réplication** :
- Nom : `Sylvestre-Replication`
- [ ] **Ajouter les membres** : PAR-FILE1, LYO-FILE1
- [ ] **Créer un dossier répliqué** :
- `Documents` : Réplication bidirectionnelle
- [ ] **Configurer la topologie** : Hub (Paris) - Spoke (Lyon)
- [ ] **Tester la réplication** : Vérifier la synchronisation
**Documentation** : `docs/windows/SERVEUR_FICHIERS.md`
#### 4.4 Remote Desktop Services (PAR-RDS1)
- [ ] **Créer la VM PAR-RDS1** (10.0.0.60) :
- 8 cores, 16 Go RAM, 100 Go disque
- [ ] **Installer Windows Server 2022**
- [ ] **Joindre au domaine**
- [ ] **Installer les rôles RDS** :
- RD Session Host
- RD Web Access
- RD Gateway
- RD Licensing
- [ ] **Configurer le déploiement RDS** :
- RD Connection Broker : PAR-RDS1
- RD Session Host : PAR-RDS1
- RD Web Access : PAR-RDS1
- [ ] **Publier des applications RemoteApp** :
- Microsoft Office
- Applications métier
- [ ] **Configurer TLS** : Certificat SSL
- [ ] **Tester l'accès** : Via navigateur web
**Documentation** : `docs/windows/RDS_REMOTE_DESKTOP.md`
#### 4.5 Veeam Backup & Replication (PAR-VEEAM1)
- [ ] **Créer la VM PAR-VEEAM1** (10.0.0.50) :
- 4 cores, 8 Go RAM, 5 To disque
- [ ] **Installer Windows Server 2022**
- [ ] **Joindre au domaine**
- [ ] **Installer Veeam Backup & Replication**
- [ ] **Configurer le repository** :
- Chemin : `D:\Backups`
- Espace : 5 To
- [ ] **Créer les jobs de sauvegarde** :
- PAR-DC1, PAR-DC2 : Quotidien
- PAR-FILE1, LYO-FILE1 : Quotidien
- PAR-RDS1 : Quotidien
- Autres serveurs : Hebdomadaire
- [ ] **Configurer la rétention** : 30 jours
- [ ] **Tester une restauration** : Fichier individuel
**Documentation** : `docs/windows/VEEAM_SAUVEGARDE.md`
#### 4.6 Group Policy Objects (GPO)
- [ ] **Créer les GPO de base** :
- `GPO-Departement-Direction`
- `GPO-Departement-Commercial`
- `GPO-Departement-Technique`
- `GPO-Postes-Clients`
- `GPO-Chefs-Services` (administrateurs locaux)
- [ ] **Configurer le déploiement automatique** :
- Imprimantes par département
- Lecteurs réseau mappés
- Redirection de profils (Documents, Desktop, AppData)
- [ ] **Configurer les administrateurs locaux** :
- Groupe `Chefs-Services` → Administrateurs locaux
- [ ] **Tester les GPO** : Sur un poste de test
**Documentation** : `docs/windows/GPO_GROUP_POLICY.md`
**Durée estimée** : 3-4 jours
---
## Phase 5 : Services Infrastructure
### Objectif
Déployer les services d'infrastructure : GLPI, Zabbix, DNS Split, déploiement.
### Étapes
#### 5.1 GLPI - Gestion de parc (PAR-GLPI1)
- [ ] **Créer la VM PAR-GLPI1** (10.0.0.30) :
- 2 cores, 4 Go RAM, 100 Go disque
- [ ] **Installer Debian 12**
- [ ] **Installer GLPI** :
- Apache, PHP, MariaDB
- GLPI 10.0.7
- [ ] **Configurer l'intégration AD** :
- LDAP : 10.0.0.11
- Compte de service : `svc-glpi`
- Synchronisation automatique
- [ ] **Installer OCS Inventory** :
- Serveur OCS
- Agents sur les postes clients
- [ ] **Configurer GLPI + OCS** :
- Plugin OCS dans GLPI
- Synchronisation inventaire
- [ ] **Créer les catégories d'incidents**
- [ ] **Tester la création de tickets**
**Documentation** : `docs/services/GLPI_GESTION_PARC.md`
#### 5.2 Zabbix - Supervision (PAR-ZABBIX1)
- [ ] **Créer la VM PAR-ZABBIX1** (10.0.0.40) :
- 4 cores, 8 Go RAM, 200 Go disque
- [ ] **Installer Ubuntu 22.04**
- [ ] **Installer Zabbix Server** :
- Zabbix 6.0
- PostgreSQL
- Nginx
- [ ] **Configurer les hôtes** :
- Serveurs Windows (via Zabbix Agent)
- Serveurs Linux (via Zabbix Agent)
- Équipements réseau (via SNMP si supporté)
- [ ] **Créer des tableaux de bord** :
- Dashboard Infrastructure
- Dashboard Réseau
- Dashboard Services
- [ ] **Configurer les alertes** :
- Notifications email
- Seuils d'alerte
- [ ] **Tester les alertes** : Simulation d'incident
**Documentation** : `docs/services/ZABBIX_SUPERVISION.md`
#### 5.3 DNS Split (Interne/Externe)
- [ ] **Acheter un nom de domaine** :
- `smartmotion.ovh` (ou autre)
- Registrar : OVH, Gandi, Online, etc.
- [ ] **Configurer DNS interne (AD)** :
- Enregistrements A pour tous les services
- `www.smartmotion.ovh` → 10.0.0.30 (GLPI)
- `mail.smartmotion.ovh` → 10.0.0.XX (Zimbra)
- `zabbix.smartmotion.ovh` → 10.0.0.40
- etc.
- [ ] **Configurer DNS externe (Hébergeur)** :
- Enregistrements A pour services exposés
- `www.smartmotion.ovh` → IP publique
- `ftp.smartmotion.ovh` → IP publique DMZ
- Enregistrements MX pour email
- [ ] **Configurer les forwarders DNS** : 1.1.1.1, 8.8.8.8
- [ ] **Tester la résolution** :
- Interne : `nslookup www.smartmotion.ovh 10.0.0.11`
- Externe : `nslookup www.smartmotion.ovh 8.8.8.8`
**Documentation** : `docs/services/DNS_SPLIT.md`
#### 5.4 Solution de déploiement des postes
- [ ] **Créer la VM PAR-DEPLOY1** (10.0.0.80) :
- 4 cores, 8 Go RAM, 500 Go disque
- [ ] **Installer Windows Server 2022**
- [ ] **Joindre au domaine**
- [ ] **Installer WDS + MDT** :
- Windows Deployment Services
- Microsoft Deployment Toolkit
- Windows ADK
- [ ] **Créer les images de référence** :
- Windows 11 Pro - PC fixes
- Windows 11 Pro - Portables
- [ ] **Configurer les Task Sequences** :
- Installation Windows 11
- Applications pré-installées
- Jointure au domaine
- [ ] **Tester le déploiement** : Sur un poste de test
**Documentation** : `docs/services/DEPLOIEMENT_POSTES.md`
**Durée estimée** : 2-3 jours
---
## Phase 6 : Services applicatifs
### Objectif
Déployer les services applicatifs : messagerie, Nextcloud, DMZ.
### Étapes
#### 6.1 Service de messagerie (Zimbra ou M365)
**Option A : Zimbra (hébergé localement)**
- [ ] **Créer la VM PAR-MAIL1** (10.0.0.XX) :
- 4 cores, 8 Go RAM, 200 Go disque
- [ ] **Installer Zimbra** :
- Debian 12
- Zimbra Open Source ou Network Edition
- [ ] **Configurer le domaine** : `smartmotion.ovh`
- [ ] **Créer les boîtes mail** : 50 utilisateurs
- [ ] **Configurer l'intégration AD** : LDAP
- [ ] **Configurer les enregistrements DNS** :
- MX : `mail.smartmotion.ovh`
- SPF, DKIM, DMARC
**Option B : Microsoft 365 (SaaS)**
- [ ] **Souscrire à Microsoft 365** :
- Plan Business Standard ou Premium
- 50 licences utilisateur
- [ ] **Configurer le domaine** : `smartmotion.ovh`
- Vérification du domaine
- Enregistrements DNS (MX, SPF, etc.)
- [ ] **Synchroniser avec AD** : Azure AD Connect (optionnel)
- [ ] **Créer les boîtes mail** : 50 utilisateurs
**Documentation** : `docs/messagerie/COMPARAISON_ZIMBRA_M365.md`
#### 6.2 Nextcloud
- [ ] **Créer la VM PAR-NEXTCLOUD1** (10.0.0.XX) :
- 2 cores, 4 Go RAM, 500 Go disque
- [ ] **Installer Nextcloud** :
- Debian 12
- Nextcloud 28+
- Apache, PHP, MariaDB
- [ ] **Configurer l'intégration AD** :
- LDAP : 10.0.0.11
- Compte de service : `svc-nextcloud`
- Synchronisation automatique
- [ ] **Configurer les partages** :
- Intégration avec serveur de fichiers
- Quotas par utilisateur
- [ ] **Tester l'accès** : Via navigateur web
**Documentation** : `docs/active-directory/NEXTCLOUD_LDAP_AD.md`
#### 6.3 DMZ - FTP et Extranet (PAR-FTP1)
- [ ] **Créer la VM PAR-FTP1** (10.0.0.70) :
- 2 cores, 2 Go RAM, 100 Go disque
- Interface DMZ (10.0.0.100/24)
- [ ] **Installer Debian 12**
- [ ] **Installer vsftpd** :
- Configuration FTP sécurisé
- Utilisateurs virtuels
- [ ] **Installer Apache** :
- Extranet web
- PHP, base de données
- [ ] **Configurer les règles firewall** :
- WAN → DMZ (ports FTP et HTTP/HTTPS)
- DMZ → LAN (bloqué)
- [ ] **Tester l'accès** :
- FTP depuis Internet
- Extranet depuis Internet
**Documentation** : `docs/services/DMZ_FTP_EXTRANET.md`
#### 6.4 VPN Client avec authentification RADIUS
- [ ] **Configurer NPS (Network Policy Server)** sur PAR-DC1 :
- Installer le rôle NPS
- Créer un RADIUS client (pfSense)
- Créer une Network Policy (groupe VPN-Users)
- [ ] **Configurer OpenVPN sur pfSense** :
- Serveur OpenVPN
- Authentification RADIUS
- Certificats SSL
- [ ] **Créer les profils VPN** :
- Fichiers .ovpn pour les clients
- [ ] **Tester la connexion VPN** :
- Depuis un poste externe
- Authentification avec compte AD
**Documentation** : `docs/services/VPN_CLIENT_RADIUS.md`
**Durée estimée** : 2-3 jours
---
## Phase 7 : Postes clients et finalisation
### Objectif
Déployer les postes clients, effectuer les tests et finaliser la documentation.
### Étapes
#### 7.1 Déploiement des postes clients
- [ ] **Déployer les 40 PC fixes (Paris)** :
- Via WDS + MDT
- Windows 11 Pro
- Applications pré-installées
- Jointure au domaine
- [ ] **Déployer les 5 portables (Paris)** :
- Via WDS + MDT
- Windows 11 Pro
- Configuration portable
- [ ] **Déployer les 5 portables (Lyon)** :
- Via WDS + MDT (depuis Paris via VPN)
- Windows 11 Pro
- [ ] **Vérifier les GPO** :
- Imprimantes déployées
- Lecteurs réseau mappés
- Redirection de profils active
- [ ] **Vérifier LAPS** :
- Mots de passe admin locaux gérés
- Rotation automatique
**Documentation** : `docs/services/DEPLOIEMENT_POSTES.md`
#### 7.2 Tests fonctionnels
- [ ] **Tests de connectivité** :
- Ping entre tous les serveurs
- Accès aux partages réseau
- Résolution DNS (interne et externe)
- [ ] **Tests de services** :
- Accès GLPI (gestion de parc)
- Accès Zabbix (supervision)
- Accès RDS (bureaux à distance)
- Accès Nextcloud
- Accès messagerie
- [ ] **Tests de réplication** :
- Réplication AD (Paris ↔ Lyon)
- Réplication DFS-R (fichiers)
- [ ] **Tests de sauvegarde** :
- Jobs Veeam fonctionnels
- Restauration test (fichier individuel)
- Shadow Copies accessibles
- [ ] **Tests VPN** :
- VPN Site-to-Site (Paris ↔ Lyon)
- VPN Client (depuis Internet)
#### 7.3 Tests de sécurité (Pentest)
- [ ] **Installation des outils** :
- Nmap
- Nessus (Community Edition ou commercial)
- [ ] **Scan réseau avec Nmap** :
- Scan de tous les réseaux (10.0.0.0/24, 10.1.0.0/24)
- Détection des ports ouverts
- Identification des services
- [ ] **Scan de vulnérabilités avec Nessus** :
- Scan de tous les serveurs
- Identification des vulnérabilités
- Classification (Critique, Haute, Moyenne, Faible)
- [ ] **Correction des vulnérabilités** :
- Mises à jour système
- Fermeture de ports inutiles
- Renforcement de la configuration
- [ ] **Nouveau scan de validation** :
- Vérifier que les vulnérabilités sont corrigées
- [ ] **Rapport de pentest** :
- Documenter les résultats
- Liste des vulnérabilités corrigées
- Recommandations
**Documentation** : `docs/security/PENTEST_NMAP_NESSUS.md`
#### 7.4 Documentation finale
- [ ] **Vérifier la documentation** :
- Tous les documents à jour
- Procédures complètes
- Schémas réseau
- [ ] **Créer un guide utilisateur** :
- Accès aux services
- Utilisation de Nextcloud
- Utilisation de la messagerie
- Accès VPN
- [ ] **Créer un guide administrateur** :
- Procédures de maintenance
- Procédures de sauvegarde/restauration
- Procédures de dépannage
- [ ] **Documenter les mots de passe** :
- Stockage sécurisé (Vault)
- Liste des comptes de service
- Accès aux équipements
**Durée estimée** : 2-3 jours
---
## Checklist complète
### Phase 1 : Préparation
- [ ] Proxmox installé et configuré
- [ ] Templates créés (Windows, Debian, Ubuntu, pfSense)
- [ ] Réseau configuré (bridges, VLAN)
### Phase 2 : Réseau et Sécurité
- [ ] pfSense déployé (Paris et Lyon)
- [ ] Configuration manuelle initiale
- [ ] VPN Site-to-Site configuré
- [ ] DMZ configurée
- [ ] Configuration automatisée (Ansible)
### Phase 3 : Active Directory
- [ ] PAR-DC1 déployé et promu
- [ ] PAR-DC2 déployé et promu
- [ ] LYO-RODC1 déployé et promu
- [ ] DNS interne configuré
- [ ] DHCP configuré (Paris et Lyon)
- [ ] LAPS installé et configuré
- [ ] Utilisateurs et groupes créés
### Phase 4 : Services Windows
- [ ] PAR-FILE1 déployé et configuré
- [ ] LYO-FILE1 déployé et configuré
- [ ] DFS-R configuré
- [ ] PAR-RDS1 déployé et configuré
- [ ] PAR-VEEAM1 déployé et configuré
- [ ] GPO créées et configurées
### Phase 5 : Services Infrastructure
- [ ] PAR-GLPI1 déployé et configuré
- [ ] PAR-ZABBIX1 déployé et configuré
- [ ] DNS Split configuré
- [ ] Solution de déploiement configurée
### Phase 6 : Services applicatifs
- [ ] Messagerie déployée (Zimbra ou M365)
- [ ] Nextcloud déployé et configuré
- [ ] DMZ (FTP/Extranet) déployée
- [ ] VPN Client configuré
### Phase 7 : Finalisation
- [ ] Postes clients déployés (50 postes)
- [ ] Tests fonctionnels réussis
- [ ] Pentest effectué et vulnérabilités corrigées
- [ ] Documentation complète
---
## Dépendances entre services
### Graphique des dépendances
```
Proxmox
pfSense (VPN Site-to-Site)
Active Directory (PAR-DC1, PAR-DC2)
├─→ DNS interne
├─→ DHCP
├─→ LAPS
└─→ Utilisateurs/Groups
├─→ GPO
├─→ Serveur fichiers (FSRM, DFS-R)
├─→ RDS
├─→ Veeam
├─→ GLPI (LDAP)
├─→ Nextcloud (LDAP)
├─→ VPN Client (RADIUS/NPS)
└─→ Déploiement postes (jointure domaine)
Postes clients
```
### Ordre critique
1. **Proxmox** : Nécessaire pour tout le reste
2. **pfSense** : Nécessaire pour la connectivité réseau
3. **Active Directory** : Nécessaire pour tous les services Windows et authentification
4. **DNS** : Nécessaire pour la résolution de noms
5. **DHCP** : Nécessaire pour l'attribution d'IPs automatiques
6. **Services dépendants** : Tous les autres services
### Points d'attention
- ⚠️ **Ne pas déployer de services avant AD** : Tous les services Windows nécessitent AD
- ⚠️ **VPN Site-to-Site avant RODC Lyon** : Le RODC doit pouvoir communiquer avec les DC Paris
- ⚠️ **DNS avant autres services** : La résolution de noms est critique
- ⚠️ **GPO avant déploiement postes** : Les postes doivent être configurés dès le déploiement
---
## Durée totale estimée
| Phase | Durée | Description |
|-------|-------|-------------|
| **Phase 1** | 1-2 jours | Préparation infrastructure |
| **Phase 2** | 1-2 jours | Réseau et sécurité |
| **Phase 3** | 2-3 jours | Active Directory |
| **Phase 4** | 3-4 jours | Services Windows |
| **Phase 5** | 2-3 jours | Services Infrastructure |
| **Phase 6** | 2-3 jours | Services applicatifs |
| **Phase 7** | 2-3 jours | Postes clients et finalisation |
| **TOTAL** | **13-19 jours** | **3-4 semaines** |
---
*Document créé le : Novembre 2025*
*Version : 1.0*
*Projet : Smart-Motions - Plan de déploiement*
Reference in New Issue View Git Blame Copy Permalink