1. Situation
- de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003)
- cloisonnés dans différentes zones (DMZ et autres bastions) => de
nombreux VLAN
- un contrôle très strict sur les flux autorisés (en dehors de la
supervision, seul le flux rdp est aujourd'hui autorisé à destination de
ces zones en provenance des vlan d'admin/sup)
- même les différents réseaux d'admin/sup sont physiquement séparés
- machines éloignées géographiquement du lieu de l'admin
- interdiction (définitive) de sortir sur internet à partir de ces
différents lieux sécurisées (le réseau "classique" -et séparé- est là
pour ça)
- inutile de préciser que l'isolation des nombreuses zones interdit le
partage de fichier entre elles (quand les serveurs sont assez loin de
l'extérieur pour que celui-ci soit activé !)
=> opérations manuelles et couteuses en temps (car directement
effectuées sur les serveurs 1 par 1) : fix de sécurité, antivirus, mises
à jour applicatives...et état des lieux difficile à réaliser.
2. Objectifs (dans l'ordre de préférence)
- trouver une solution pour rendre ces taches d'administration
"réalisables à distance" en respectant au maximum les impératifs de
sécurité (comprendre ouvrir un seul port dans le sens zone d'admin ->
zone serveur, réaliser les opérations avec le/les comptes utilisateurs
définis à distance -> pas de compte service full-access disponible pour
tous et n'importe quand), le tout en évitant une multiplication des
produits et en minimisant les ressources du système dédiées à ces
tâches. En gros : une grosse avancée avec un minimum d'impact sur l'état
actuel des infrastructures.
- pouvoir centraliser ces informations (notion d'inventaire par rapport
aux différents déploiements effectués sur tels serveurs/types de serveurs)
- pas trop cher
Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de
probleme ne s'est jamais posé à personne.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Rakotomandimby (R12y) Mihamina
( Wed, 25 May 2005 04:05:40 +0000 ) moncul :
Bonjour,
je vous plante le décor :
1. Situation - de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) - [...] Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de probleme ne s'est jamais posé à personne.
Je suppose que tu es tout seul à devoir assurer cette tache, c'est pour ça que tu t'adresses à un groupe Usenet.
Je précise que je ne connais rien à ces OS Microsoftiens. Enfin... je sais mener à bien une séance d'installation, sans plus.
Au niveau de la sécurité, pour rester en charte, je pense que c'est un risque de laisser une seule personne s'occuper de tout: au moins à deux, il y en a un qui peut voir passer certaines petites erreurs. Et puis pour tester aussi c'est bien d'être deux (un au bout du reseau, surun poste de travail et l'autre qui trifouilles les réglages sur les ponts/passerelles)...
Sinon, juste comme ça, le support Microsoft n'a pas proposé de solution pour votre parc? Il me semblait avoir vu une publicité Microsoft qui vantait le fait qu'on puisse centraliser l'administration de plusieurs machine. En menaçant de les passer sous un OS libre, je penses que tu peux obtenir un prix...
Merci pour vos nombreuses réponses !
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
( Wed, 25 May 2005 04:05:40 +0000 ) moncul :
Bonjour,
je vous plante le décor :
1. Situation
- de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) -
[...]
Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de
probleme ne s'est jamais posé à personne.
Je suppose que tu es tout seul à devoir assurer cette tache, c'est pour
ça que tu t'adresses à un groupe Usenet.
Je précise que je ne connais rien à ces OS Microsoftiens. Enfin... je
sais mener à bien une séance d'installation, sans plus.
Au niveau de la sécurité, pour rester en charte, je pense que c'est un
risque de laisser une seule personne s'occuper de tout: au moins à deux,
il y en a un qui peut voir passer certaines petites erreurs. Et puis pour
tester aussi c'est bien d'être deux (un au bout du reseau, surun poste de
travail et l'autre qui trifouilles les réglages sur les ponts/passerelles)...
Sinon, juste comme ça, le support Microsoft n'a pas proposé de solution
pour votre parc? Il me semblait avoir vu une publicité Microsoft qui
vantait le fait qu'on puisse centraliser l'administration de plusieurs
machine. En menaçant de les passer sous un OS libre, je penses que tu
peux obtenir un prix...
Merci pour vos nombreuses réponses !
--
Mirroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
1. Situation - de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) - [...] Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de probleme ne s'est jamais posé à personne.
Je suppose que tu es tout seul à devoir assurer cette tache, c'est pour ça que tu t'adresses à un groupe Usenet.
Je précise que je ne connais rien à ces OS Microsoftiens. Enfin... je sais mener à bien une séance d'installation, sans plus.
Au niveau de la sécurité, pour rester en charte, je pense que c'est un risque de laisser une seule personne s'occuper de tout: au moins à deux, il y en a un qui peut voir passer certaines petites erreurs. Et puis pour tester aussi c'est bien d'être deux (un au bout du reseau, surun poste de travail et l'autre qui trifouilles les réglages sur les ponts/passerelles)...
Sinon, juste comme ça, le support Microsoft n'a pas proposé de solution pour votre parc? Il me semblait avoir vu une publicité Microsoft qui vantait le fait qu'on puisse centraliser l'administration de plusieurs machine. En menaçant de les passer sous un OS libre, je penses que tu peux obtenir un prix...
Merci pour vos nombreuses réponses !
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
moncul
( Wed, 25 May 2005 04:05:40 +0000 ) moncul :
Bonjour,
je vous plante le décor :
1. Situation - de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) - [...] Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de probleme ne s'est jamais posé à personne.
Je suppose que tu es tout seul à devoir assurer cette tache, c'est pour ça que tu t'adresses à un groupe Usenet.
Je précise que je ne connais rien à ces OS Microsoftiens. Enfin... je sais mener à bien une séance d'installation, sans plus.
Au niveau de la sécurité, pour rester en charte, je pense que c'est un risque de laisser une seule personne s'occuper de tout: au moins à deux, il y en a un qui peut voir passer certaines petites erreurs. Et puis pour tester aussi c'est bien d'être deux (un au bout du reseau, surun poste de travail et l'autre qui trifouilles les réglages sur les ponts/passerelles)...
Sinon, juste comme ça, le support Microsoft n'a pas proposé de solution pour votre parc? Il me semblait avoir vu une publicité Microsoft qui vantait le fait qu'on puisse centraliser l'administration de plusieurs machine. En menaçant de les passer sous un OS libre, je penses que tu peux obtenir un prix...
Merci pour vos nombreuses réponses !
nous sommes en effet plusieurs à évoluer sur ces infrastructures (qui ne
représente pas l'intégralité de notre activité...d'où le gain de temps à trouver dans ces taches régulières). tout d'abord, je crois que la menace de passer sur du libre les feraient bien rigoler (je n'ose imaginer toutes les études à mener style les interco avec les mainframes, les développements à refaire, les PKI...et tout le reste de l'iceberg ! on peut recréer le boom de l'informatique)
Pour ce qui d'une solution d'admin MS : - SMS : cher, doute sur la facilité d'utilisation d'un tel bousin sur des environnements physiquement isolés, le nb de ports à ouvrir pour chaque machine doit pas être vilain (et sans doute pas seulement dans le sens admin->serveur, ce qui est hors de question) - SUS (pour le patch management) : impossible (connexion à l'initiative des machines à mettre à jour serveur->admin et surtout sortie sur internet impossible)
Le produit de chez shavlik hfnetchk agents pourrait sans doute correspondre pour le patch management (mais hélàs seulement pour ça), mais il est clair que la vision des lots "à la SMS" serait idéale...
SVP, suggérez ! Merci.
( Wed, 25 May 2005 04:05:40 +0000 ) moncul :
Bonjour,
je vous plante le décor :
1. Situation
- de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) -
[...]
Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de
probleme ne s'est jamais posé à personne.
Je suppose que tu es tout seul à devoir assurer cette tache, c'est pour
ça que tu t'adresses à un groupe Usenet.
Je précise que je ne connais rien à ces OS Microsoftiens. Enfin... je
sais mener à bien une séance d'installation, sans plus.
Au niveau de la sécurité, pour rester en charte, je pense que c'est un
risque de laisser une seule personne s'occuper de tout: au moins à deux,
il y en a un qui peut voir passer certaines petites erreurs. Et puis pour
tester aussi c'est bien d'être deux (un au bout du reseau, surun poste de
travail et l'autre qui trifouilles les réglages sur les ponts/passerelles)...
Sinon, juste comme ça, le support Microsoft n'a pas proposé de solution
pour votre parc? Il me semblait avoir vu une publicité Microsoft qui
vantait le fait qu'on puisse centraliser l'administration de plusieurs
machine. En menaçant de les passer sous un OS libre, je penses que tu
peux obtenir un prix...
Merci pour vos nombreuses réponses !
nous sommes en effet plusieurs à évoluer sur ces infrastructures (qui ne
représente pas l'intégralité de notre activité...d'où le gain de temps à
trouver dans ces taches régulières).
tout d'abord, je crois que la menace de passer sur du libre les feraient
bien rigoler (je n'ose imaginer toutes les études à mener style les
interco avec les mainframes, les développements à refaire, les PKI...et
tout le reste de l'iceberg ! on peut recréer le boom de l'informatique)
Pour ce qui d'une solution d'admin MS :
- SMS : cher, doute sur la facilité d'utilisation d'un tel bousin sur
des environnements physiquement isolés, le nb de ports à ouvrir pour
chaque machine doit pas être vilain (et sans doute pas seulement dans le
sens admin->serveur, ce qui est hors de question)
- SUS (pour le patch management) : impossible (connexion à l'initiative
des machines à mettre à jour serveur->admin et surtout sortie sur
internet impossible)
Le produit de chez shavlik hfnetchk agents pourrait sans doute
correspondre pour le patch management (mais hélàs seulement pour ça),
mais il est clair que la vision des lots "à la SMS" serait idéale...
1. Situation - de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) - [...] Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de probleme ne s'est jamais posé à personne.
Je suppose que tu es tout seul à devoir assurer cette tache, c'est pour ça que tu t'adresses à un groupe Usenet.
Je précise que je ne connais rien à ces OS Microsoftiens. Enfin... je sais mener à bien une séance d'installation, sans plus.
Au niveau de la sécurité, pour rester en charte, je pense que c'est un risque de laisser une seule personne s'occuper de tout: au moins à deux, il y en a un qui peut voir passer certaines petites erreurs. Et puis pour tester aussi c'est bien d'être deux (un au bout du reseau, surun poste de travail et l'autre qui trifouilles les réglages sur les ponts/passerelles)...
Sinon, juste comme ça, le support Microsoft n'a pas proposé de solution pour votre parc? Il me semblait avoir vu une publicité Microsoft qui vantait le fait qu'on puisse centraliser l'administration de plusieurs machine. En menaçant de les passer sous un OS libre, je penses que tu peux obtenir un prix...
Merci pour vos nombreuses réponses !
nous sommes en effet plusieurs à évoluer sur ces infrastructures (qui ne
représente pas l'intégralité de notre activité...d'où le gain de temps à trouver dans ces taches régulières). tout d'abord, je crois que la menace de passer sur du libre les feraient bien rigoler (je n'ose imaginer toutes les études à mener style les interco avec les mainframes, les développements à refaire, les PKI...et tout le reste de l'iceberg ! on peut recréer le boom de l'informatique)
Pour ce qui d'une solution d'admin MS : - SMS : cher, doute sur la facilité d'utilisation d'un tel bousin sur des environnements physiquement isolés, le nb de ports à ouvrir pour chaque machine doit pas être vilain (et sans doute pas seulement dans le sens admin->serveur, ce qui est hors de question) - SUS (pour le patch management) : impossible (connexion à l'initiative des machines à mettre à jour serveur->admin et surtout sortie sur internet impossible)
Le produit de chez shavlik hfnetchk agents pourrait sans doute correspondre pour le patch management (mais hélàs seulement pour ça), mais il est clair que la vision des lots "à la SMS" serait idéale...
SVP, suggérez ! Merci.
Eric Lalitte
"moncul" wrote in message news:4293c2aa$0$32527$
Bonjour,
Bonjour moncul (ca fait bizarre là non ?)
- trouver une solution pour rendre ces taches d'administration "réalisables à distance" en respectant au maximum les impératifs de sécurité (comprendre ouvrir un seul port dans le sens zone d'admin -> zone serveur, réaliser les opérations avec le/les comptes utilisateurs définis à distance -> pas de compte service full-access disponible pour tous et n'importe quand), le tout en évitant une multiplication des produits et en minimisant les ressources du système dédiées à ces tâches. En gros : une grosse avancée avec un minimum d'impact sur l'état actuel des infrastructures. - pouvoir centraliser ces informations (notion d'inventaire par rapport aux différents déploiements effectués sur tels serveurs/types de serveurs) - pas trop cher
Arf, il y plusieurs solutions à mon avis. Voici deux idées: 1- Pcanywhere ou autre VNC (terminal server ?) qui tourne sur 127.0.0.1 et est accédé par tunnel SSH avec authentification par clefs RSA/DSA 2- Installer cygwin sur les machines et y accéder en SSH
Après, il doit y avoir moyen de faire mieux, mais travaillant essentiellement sous *nix je ne connais pas bien les solutions windows.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"moncul" <gmx.fr@chiottes.news.free.fr> wrote in message
news:4293c2aa$0$32527$626a14ce@news.free.fr
Bonjour,
Bonjour moncul (ca fait bizarre là non ?)
- trouver une solution pour rendre ces taches d'administration
"réalisables à distance" en respectant au maximum les impératifs de
sécurité (comprendre ouvrir un seul port dans le sens zone d'admin ->
zone serveur, réaliser les opérations avec le/les comptes utilisateurs
définis à distance -> pas de compte service full-access disponible pour
tous et n'importe quand), le tout en évitant une multiplication des
produits et en minimisant les ressources du système dédiées à ces
tâches. En gros : une grosse avancée avec un minimum d'impact sur l'état
actuel des infrastructures.
- pouvoir centraliser ces informations (notion d'inventaire par rapport
aux différents déploiements effectués sur tels serveurs/types de serveurs)
- pas trop cher
Arf, il y plusieurs solutions à mon avis. Voici deux idées:
1- Pcanywhere ou autre VNC (terminal server ?) qui tourne sur 127.0.0.1
et est accédé par tunnel SSH avec authentification par clefs RSA/DSA
2- Installer cygwin sur les machines et y accéder en SSH
Après, il doit y avoir moyen de faire mieux, mais travaillant
essentiellement sous *nix je ne connais pas bien les solutions windows.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
- trouver une solution pour rendre ces taches d'administration "réalisables à distance" en respectant au maximum les impératifs de sécurité (comprendre ouvrir un seul port dans le sens zone d'admin -> zone serveur, réaliser les opérations avec le/les comptes utilisateurs définis à distance -> pas de compte service full-access disponible pour tous et n'importe quand), le tout en évitant une multiplication des produits et en minimisant les ressources du système dédiées à ces tâches. En gros : une grosse avancée avec un minimum d'impact sur l'état actuel des infrastructures. - pouvoir centraliser ces informations (notion d'inventaire par rapport aux différents déploiements effectués sur tels serveurs/types de serveurs) - pas trop cher
Arf, il y plusieurs solutions à mon avis. Voici deux idées: 1- Pcanywhere ou autre VNC (terminal server ?) qui tourne sur 127.0.0.1 et est accédé par tunnel SSH avec authentification par clefs RSA/DSA 2- Installer cygwin sur les machines et y accéder en SSH
Après, il doit y avoir moyen de faire mieux, mais travaillant essentiellement sous *nix je ne connais pas bien les solutions windows.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
cc
moncul avait énoncé :
Bonjour,
je vous plante le décor :
1. Situation - de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) - cloisonnés dans différentes zones (DMZ et autres bastions) => de nombreux VLAN - un contrôle très strict sur les flux autorisés (en dehors de la supervision, seul le flux rdp est aujourd'hui autorisé à destination de ces zones en provenance des vlan d'admin/sup) - même les différents réseaux d'admin/sup sont physiquement séparés - machines éloignées géographiquement du lieu de l'admin - interdiction (définitive) de sortir sur internet à partir de ces différents lieux sécurisées (le réseau "classique" -et séparé- est là pour ça) - inutile de préciser que l'isolation des nombreuses zones interdit le partage de fichier entre elles (quand les serveurs sont assez loin de l'extérieur pour que celui-ci soit activé !)
=> opérations manuelles et couteuses en temps (car directement effectuées sur les serveurs 1 par 1) : fix de sécurité, antivirus, mises à jour applicatives...et état des lieux difficile à réaliser.
2. Objectifs (dans l'ordre de préférence) - trouver une solution pour rendre ces taches d'administration "réalisables à distance" en respectant au maximum les impératifs de sécurité (comprendre ouvrir un seul port dans le sens zone d'admin -> zone serveur, réaliser les opérations avec le/les comptes utilisateurs définis à distance -> pas de compte service full-access disponible pour tous et n'importe quand), le tout en évitant une multiplication des produits et en minimisant les ressources du système dédiées à ces tâches. En gros : une grosse avancée avec un minimum d'impact sur l'état actuel des infrastructures. - pouvoir centraliser ces informations (notion d'inventaire par rapport aux différents déploiements effectués sur tels serveurs/types de serveurs) - pas trop cher
Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de probleme ne s'est jamais posé à personne.
Merci pour vos nombreuses réponses !
-voir du cote des boitiers nokia en https (plutot bien) -proxi -tse -autres sol deja citées
moncul avait énoncé :
Bonjour,
je vous plante le décor :
1. Situation
- de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003)
- cloisonnés dans différentes zones (DMZ et autres bastions) => de nombreux
VLAN
- un contrôle très strict sur les flux autorisés (en dehors de la
supervision, seul le flux rdp est aujourd'hui autorisé à destination de ces
zones en provenance des vlan d'admin/sup)
- même les différents réseaux d'admin/sup sont physiquement séparés
- machines éloignées géographiquement du lieu de l'admin
- interdiction (définitive) de sortir sur internet à partir de ces différents
lieux sécurisées (le réseau "classique" -et séparé- est là pour ça)
- inutile de préciser que l'isolation des nombreuses zones interdit le
partage de fichier entre elles (quand les serveurs sont assez loin de
l'extérieur pour que celui-ci soit activé !)
=> opérations manuelles et couteuses en temps (car directement effectuées sur
les serveurs 1 par 1) : fix de sécurité, antivirus, mises à jour
applicatives...et état des lieux difficile à réaliser.
2. Objectifs (dans l'ordre de préférence)
- trouver une solution pour rendre ces taches d'administration "réalisables à
distance" en respectant au maximum les impératifs de sécurité (comprendre
ouvrir un seul port dans le sens zone d'admin -> zone serveur, réaliser les
opérations avec le/les comptes utilisateurs définis à distance -> pas de
compte service full-access disponible pour tous et n'importe quand), le tout
en évitant une multiplication des produits et en minimisant les ressources du
système dédiées à ces tâches. En gros : une grosse avancée avec un minimum
d'impact sur l'état actuel des infrastructures.
- pouvoir centraliser ces informations (notion d'inventaire par rapport aux
différents déploiements effectués sur tels serveurs/types de serveurs)
- pas trop cher
Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de
probleme ne s'est jamais posé à personne.
Merci pour vos nombreuses réponses !
-voir du cote des boitiers nokia en https (plutot bien)
-proxi
-tse
-autres sol deja citées
1. Situation - de nombreux serveurs (plusieurs dizaines) sous windows (2000/2003) - cloisonnés dans différentes zones (DMZ et autres bastions) => de nombreux VLAN - un contrôle très strict sur les flux autorisés (en dehors de la supervision, seul le flux rdp est aujourd'hui autorisé à destination de ces zones en provenance des vlan d'admin/sup) - même les différents réseaux d'admin/sup sont physiquement séparés - machines éloignées géographiquement du lieu de l'admin - interdiction (définitive) de sortir sur internet à partir de ces différents lieux sécurisées (le réseau "classique" -et séparé- est là pour ça) - inutile de préciser que l'isolation des nombreuses zones interdit le partage de fichier entre elles (quand les serveurs sont assez loin de l'extérieur pour que celui-ci soit activé !)
=> opérations manuelles et couteuses en temps (car directement effectuées sur les serveurs 1 par 1) : fix de sécurité, antivirus, mises à jour applicatives...et état des lieux difficile à réaliser.
2. Objectifs (dans l'ordre de préférence) - trouver une solution pour rendre ces taches d'administration "réalisables à distance" en respectant au maximum les impératifs de sécurité (comprendre ouvrir un seul port dans le sens zone d'admin -> zone serveur, réaliser les opérations avec le/les comptes utilisateurs définis à distance -> pas de compte service full-access disponible pour tous et n'importe quand), le tout en évitant une multiplication des produits et en minimisant les ressources du système dédiées à ces tâches. En gros : une grosse avancée avec un minimum d'impact sur l'état actuel des infrastructures. - pouvoir centraliser ces informations (notion d'inventaire par rapport aux différents déploiements effectués sur tels serveurs/types de serveurs) - pas trop cher
Voilà, je sais c'est exigeant mais je ne veux pas croire que ce genre de probleme ne s'est jamais posé à personne.
Merci pour vos nombreuses réponses !
-voir du cote des boitiers nokia en https (plutot bien) -proxi -tse -autres sol deja citées
