Projet E6 n°1 Descriptif du Projet - Infrastructure Virtualisé Ce projet, réalisé dans le cadre du BTS SIO - Option SISR , consiste à concevoir, déployer et documenter une infrastructure virtualisée pour la PME fictive TechServices SARL , spécialisée dans les services informatiques (15 collaborateurs). L’entreprise dispose d’une infrastructure vieillissante entraînant des coûts élevés, un manque de flexibilité, des risques de disponibilité et une gestion dispersée des ressources. Le projet vise à moderniser cette infrastructure via Proxmox VE , centralisant les services essentiels tout en améliorant sécurité, disponibilité et scalabilité. Objectifs Déployer une infrastructure virtualisée Proxmox VE Centraliser les services réseau : Active Directory, DNS Mettre en place un serveur de fichiers sécurisé Implémenter une solution de supervision Zabbix Documenter l’infrastructure et optimiser les ressources matérielles Solution proposée L’infrastructure repose sur un serveur dédié Scaleway hébergeant : Services d’infrastructure : AD, DNS, serveur de fichiers, supervision Zabbix Postes virtualisés : 2 machines Windows pour tests Réseau : séparation WAN/LAN via bridges Proxmox, NAT et pare-feu Description technique Serveur hôte : 4 cœurs / 32–64 GB RAM / 256–1000 GB SSD / Proxmox VE 9 Machines virtuelles : AD, serveur de fichiers, supervision, 2 postes clients Réseau interne : 192.168.100.0/24, gateway SRV-AD01, accès contrôlé Livrables attendus Infrastructure Proxmox opérationnelle avec toutes les VMs et services actifs Documentation technique et guides utilisateurs Plan de sauvegarde et procédures de restauration Ce projet permet de centraliser et sécuriser les services critiques de l’entreprise, tout en mobilisant les compétences du référentiel SISR en administration systèmes, virtualisation, réseau et cybersécurité. Cahier des charges de l'infrastructure Infrastructure Virtualisée avec Proxmox VE 9 Tables des matières : Informations générales Présentation du contexte Contexte de l'entreprise Situation actuelle Besoin identifié Objectifs du projet Objectifs principaux Objectifs secondaires Périmètre du projet Spécifications techniques Configuration serveur hôte Machines virtuelles Plan d'adressage réseau Exigences fonctionnelles Active Directory Serveur de fichiers Supervision Zabbix Postes utilisateurs Exigences non fonctionnelles Sécurité Performance Disponibilité Maintenabilité Contraintes Livrables attendus Critères de validation Risques et mesures 1. INFORMATIONS GÉNÉRALES Projet : Mise en place d'une infrastructure virtualisée pour PME Version : 1.0 Étudiant : Valentino ZULIANI Formation : BTS SIO - Option SISR Épreuve : E6 - Conception et maintenance de solutions d'infrastructure 2. PRÉSENTATION DU CONTEXTE 2.1 Contexte de l'entreprise Entreprise fictive : TechServices SARL Secteur d'activité : Services informatiques Effectif : 15 collaborateurs Localisation : France 2.2 Situation actuelle L'entreprise dispose actuellement d'une infrastructure informatique vieillissante composée de serveurs physiques disparates. Cette situation engendre plusieurs problématiques : Coûts élevés de maintenance matérielle Manque de flexibilité pour déployer de nouveaux services Absence de plan de continuité d'activité Difficultés de supervision centralisée Temps de restauration importants en cas de panne 2.3 Besoin identifié L'entreprise souhaite moderniser son infrastructure en migrant vers une solution de virtualisation centralisée, permettant de : Réduire les coûts d'exploitation Améliorer la disponibilité des services Faciliter la gestion et la supervision Sécuriser les données et les accès Permettre une scalabilité future 3. OBJECTIFS DU PROJET 3.1 Objectifs principaux Déployer une infrastructure de virtualisation basée sur Proxmox VE Centraliser les services réseau (Active Directory, DNS) Mettre en place un système de partage de fichiers sécurisé Implémenter une solution de supervision (Zabbix) 3.2 Objectifs secondaires Documenter l'ensemble de l'infrastructure Optimiser l'utilisation des ressources matérielles 4. PÉRIMÈTRE DU PROJET 4.1 Inclus dans le projet Infrastructure matérielle : 1 serveur dédié Scaleway Connexion Internet haut débit Infrastructure logicielle : Proxmox VE 9 Windows Server 2022 (Active Directory) Serveur de fichiers Zabbix pour la supervision Windows 10/11 pour postes utilisateurs Services à déployer : Active Directory et DNS Partage de fichiers avec permissions Monitoring infrastructure Gestion centralisée des utilisateurs 5. SPÉCIFICATIONS TECHNIQUES 5.1 Configuration serveur hôte Serveur dédié Scaleway : Processeur : Minimum 4 cœurs/8 threads Mémoire vive : 32 Stockage : 256 SSD Connectivité : 1 Gbps Système : Proxmox VE 9 5.2 Machines virtuelles VM Système vCPU RAM Disque Rôle SRV-AD01 Windows Server 2022 2 4 GB 40 GB Active Directory, DNS SRV-FILES01 Windows Server 2022 2 4 GB 60 GB Serveur de fichiers SRV-ZABBIX01 Ubuntu 22.04 LTS 2 4 GB 20 GB Supervision WKS-USER01 Windows 10 Pro 2 4 GB 40 GB Poste utilisateur test WKS-USER02 Windows 10 Pro 2 4 GB 40 GB Poste utilisateur test Total ressources utilisées : 20 GB RAM 200 GB Disque 5.3 Plan d'adressage réseau Réseau externe (WAN) : IP publique Scaleway : attribuée par le fournisseur Accès Proxmox via IP publique sur port personnalisé Attribution IP fixes : VM IP Gateway DNS Notes SRV-AD01 192.168.100.10 192.168.100.1 192.168.100.10 Contrôleur de domaine, peut aussi servir de DNS SRV-FILES01 192.168.100.20 192.168.100.1 192.168.100.10 Serveur fichiers SRV-ZABBIX01 192.168.100.30 192.168.100.1 192.168.100.10 Monitoring WKS-USER01 192.168.100.40 192.168.100.1 192.168.100.10 Poste utilisateur WKS-USER02 192.168.100.50 192.168.100.1 192.168.100.10 Poste utilisateur 6. Exigences fonctionelles 6.1 Active Directory Création d'un domaine : techservices.local Gestion centralisée des utilisateurs et ordinateurs Stratégies de groupe (GPO) pour la sécurité Intégration DNS pour la résolution de noms Minimum 5 comptes utilisateurs de test 6.2 Serveur de fichiers Partages réseau avec permissions basées sur AD Structure de dossiers organisée par département Quotas de stockage par utilisateur Sauvegarde régulière des données Accès via DFS (optionnel) 6.3 Supervision Zabbix Monitoring de l'hôte Proxmox Surveillance de toutes les VMs Alertes par email en cas d'incident Tableaux de bord personnalisés Historique des performances 6.4 Postes utilisateurs Intégration au domaine Active Directory Connexion avec comptes du domaine Accès aux partages réseau Stratégies de sécurité appliquées Logiciels standards installés 7. EXIGENCES NON FONCTIONNELLES 7.1 Sécurité Pare-feu configuré sur Proxmox Accès SSH sécurisé (clé + port personnalisé) Mots de passe complexes obligatoires Séparation réseau WAN/LAN Journalisation des événements 7.2 Performance Temps de démarrage des VMs < 2 minutes Utilisation CPU hôte < 80% en charge normale Utilisation RAM < 70% en fonctionnement standard Latence réseau interne < 1ms 7.3 Disponibilité Disponibilité cible : 99% (hors maintenance programmée) Sauvegardes automatiques quotidiennes Procédure de restauration documentée Snapshots avant toute modification majeure 7.4 Maintenabilité Documentation complète de l'infrastructure Procédures d'exploitation rédigées Accès centralisé via interface Proxmox Logs centralisés et exploitables 8. CONTRAINTES 8.1 Contraintes techniques Utilisation obligatoire de Proxmox VE Hébergement sur serveur dédié Scaleway IP publique unique fournie Ressources matérielles limitées 8.2 Contraintes temporelles Durée du projet : 5 semaines Phase d'installation : 1 semaine Phase de configuration : 3 semaines Documentation : 1 semaines 8.3 Contraintes budgétaires Budget mensuel serveur : ~30€/mois Utilisation de logiciels open source ou versions d'évaluation Pas d'achat de licences Windows en production 9. LIVRABLES ATTENDUS 9.1 Documentation technique Architecture réseau détaillée (schémas) Procédures d'installation et configuration Documentation d'exploitation Plan de sauvegarde et restauration Guide de dépannage 9.2 Documentation utilisateur Guide de connexion au domaine Manuel d'utilisation des partages réseau Procédures courantes (changement mot de passe, etc.) FAQ utilisateurs 9.3 Infrastructure opérationnelle Serveur Proxmox fonctionnel Toutes les VMs déployées et opérationnelles Services réseau actifs (AD, DNS, partages) Supervision active via Zabbix Accès sécurisé configuré 10. CRITÈRES DE VALIDATION 10.1 Tests fonctionnels [ ] Proxmox accessible via interface web [ ] Toutes les VMs démarrées et fonctionnelles [ ] Résolution DNS opérationnelle [ ] Authentification AD fonctionnelle [ ] Accès aux partages réseau depuis postes clients [ ] Supervision Zabbix remonte les métriques [ ] Sauvegardes automatiques exécutées 10.2 Tests de sécurité [ ] Pare-feu Proxmox configuré [ ] Accès SSH sécurisé [ ] Permissions fichiers respectées [ ] Stratégies de mot de passe appliquées [ ] Logs des connexions disponibles 10.3 Tests de performance [ ] Temps de réponse acceptables [ ] Utilisation ressources dans les limites 11. RISQUES ET MESURES Risque Probabilité Impact Mesure préventive Panne serveur Scaleway Faible Élevé Snapshots réguliers, backup externe Épuisement ressources Moyenne Moyen Monitoring Zabbix, alertes Erreur de configuration Moyenne Moyen Tests en environnement isolé Perte de données Faible Élevé Sauvegardes automatiques quotidiennes Compromission sécurité Faible Élevé Hardening système, pare-feu strict Documentation technique Architecture réseau virtualisée sous Proxmox VE : AD DS, pare-feu OPNsense et monitoring Zabbix 1. Installation de Proxmox VE 1.1 Prérequis Avant de commencer, il faut disposer : D'un accès KVM ou console distante au serveur Dedibox (via l'interface Scaleway) De l'ISO de Proxmox VE 8.x téléchargée sur le site officiel : https://www.proxmox.com/downloads D'une clé USB bootable (si installation physique) ou d'un montage ISO via KVM distant 1.2 Procédure d'installation Etape 1 – Démarrage sur l'ISO Proxmox Monter l'ISO via l'interface KVM de Scaleway, puis démarrer le serveur. Sélectionner Install Proxmox VE (Graphical) . Etape 2 – Accord de licence Accepter la licence EULA en cliquant sur I agree . Etape 3 – Sélection du disque cible Choisir le disque principal du serveur (ex : /dev/sda ). Laisser les options par défaut (ext4 ou zfs selon préférence). Etape 4 – Configuration réseau et locale Renseigner : Pays = France, Fuseau horaire = Europe/Paris, Clavier = fr. Etape 5 – Configuration réseau Paramètre Valeur Hostname pve1-itservices Adresse IP IP publique du serveur Dedibox Masque réseau Fourni par Scaleway Passerelle Fournie par Scaleway DNS par défaut Etape 6 – Mot de passe root Définir un mot de passe fort pour le compte root de Proxmox. Etape 7 – Installation Cliquer sur Install et attendre la fin de l'installation (environ 5-10 minutes). Le serveur redémarre automatiquement. Etape 8 – Accès à l'interface web Après redémarrage, se connecter depuis un navigateur à l'adresse : https://[IP_PUBLIQUE_SERVEUR]:8006 Identifiants : root / [mot de passe défini à l'étape 6] Note : Le navigateur affichera un avertissement de sécurité car le certificat SSL est auto-signé. Cliquer sur Avancé > Continuer . 1.3 Post-installation : désactivation du dépôt entreprise Par défaut, Proxmox utilise un dépôt payant. Pour éviter les erreurs de mise à jour, il faut désactiver ce dépôt et activer le dépôt communautaire gratuit. Se connecter en SSH sur le serveur Proxmox ou via le shell depuis l'interface web. # Désactiver le dépôt entreprise echo "# deb https://enterprise.proxmox.com/debian/pve bookworm pve-enterprise" > /etc/apt/sources.list.d/pve-enterprise.list # Activer le dépôt communautaire echo "deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription" >> /etc/apt/sources.list # Mettre à jour apt update && apt upgrade -y 2. Configuration réseau de Proxmox (bridges) 2.1 Principe des bridges réseau Dans Proxmox, les VM communiquent via des interfaces réseau virtuelles appelées bridges (vmbr). Deux bridges sont nécessaires : vmbr0 : connecté à l'interface physique du serveur.  vmbr1 : bridge interne, non connecté à l'interface physique. Utilisé par toutes les VM pour le réseau interne 192.168.10.0/24. 2.2 Vérification de vmbr0 vmbr0 est créé automatiquement lors de l'installation de Proxmox. Pour vérifier sa configuration : Dans l'interface web Proxmox : Nœud > Réseau vmbr0 doit avoir les paramètres suivants : Ports/Esclaves : ens3 (ou le nom de l'interface physique) IP : adresse IP publique du serveur 2.3 Création de vmbr1 Dans l'interface web Proxmox : Aller dans Nœud > Réseau Cliquer sur Créer > Bridge Linux Renseigner les paramètres : Paramètre Valeur Nom vmbr1 Ports/Esclaves (laisser vide - bridge interne) Adresse IPv4/CIDR (laisser vide) Commentaire Réseau interne VM Cliquer sur Créer , puis sur Appliquer la configuration 3. Création des machines virtuelles 3.1 Procédure générale de création d'une VM Pour chaque VM, aller dans l'interface web Proxmox > Créer VM et suivre l'assistant. 3.2 VM OPNsense (Pare-feu) Paramètre Valeur ID VM 100 Nom opnsense ISO OPNsense-24.x-dvd-amd64.iso OS Type Other Disque 16 Go, SCSI CPU 1 vCPU RAM 1024 Mo Carte réseau 1 vmbr0 (WAN) Carte réseau 2 vmbr1 (LAN) (exemple de configuration vm) :  3.3 VM Windows Server 2022 (AD) Paramètre Valeur ID VM 102 Nom win-server ISO Windows_Server_2022_eval.iso OS Type Windows 2022 Disque 60 Go, SCSI, VirtIO CPU 2 vCPU RAM 4096 Mo Carte réseau vmbr1 (réseau interne) Important : Ajouter le CD-ROM des drivers VirtIO pour Windows (iso disponible sur le site Proxmox) afin que Windows reconnaisse le disque VirtIO pendant l'installation. 3.4 VM Windows 10 Client 1 et 2 Créer deux VM identiques avec les paramètres suivants : Paramètre Client 1 Client 2 ID VM 102 103 Nom win10-client1 win10-client2 ISO Windows10_eval.iso Windows10_eval.iso OS Type Windows 10/2016 Windows 10/2016 Disque 40 Go, SCSI 40 Go, SCSI CPU 2 vCPU 2 vCPU RAM 2048 Mo 2048 Mo Carte réseau vmbr1 vmbr1 3.5 VM Zabbix (Ubuntu Server) Paramètre Valeur ID VM 104 Nom zabbix ISO ubuntu-22.04-live-server-amd64.iso OS Type Linux 6.x - 2.6 Kernel Disque 30 Go, SCSI CPU 2 vCPU RAM 2048 Mo Carte réseau vmbr1 (réseau interne) 4. Installation et configuration d'OPNsense 4.1 Installation d'OPNsense Démarrer la VM OPNsense depuis l'interface Proxmox Lors du démarrage, à l'invite de login, utiliser : installer / opnsense Suivre l'assistant d'installation : Sélectionner Install (UFS) > accepter Choisir le disque /dev/ada0 Confirmer l'installation Changer  mot de passe root  Puis confirmer et quitter Redémarrer la machine pour finaliser l'installation du sytème 4.2 Configuration des interfaces réseau Au premier démarrage, OPNsense affiche un menu numéroté. Option 1 – Assigner les interfaces Do you want to configure LAGGs? -> No Do you want to configure VLANs? -> No WAN interface: vtnet0 (correspond à vmbr0 - connectée à Internet) LAN interface: vtnet1 (correspond à vmbr1 - réseau interne) Option 2 – Configurer les adresses IP Configurer le LAN : Interface LAN -> adresse IP : 192.168.10.1 Masque : 24 Passerelle LAN : (laisser vide) DHCP sur LAN : Non (le DHCP sera géré par Windows Server) 4.3 Accès à l'interface web d'OPNsense Depuis une VM Windows 10 déjà installée et sur le réseau interne : Navigateur : https://192.168.10.1 Login : root / opnsense A la première connexion, un assistant de configuration se lance. Renseigner : Hostname : opnsense Domaine : itservices.local DNS : 8.8.8.8 Fuseau horaire : Europe/Paris Changer le mot de passe root 4.4 Configuration des règles de pare-feu Les règles de base sont créées dans Firewall > Rules . Règles LAN (réseau interne vers Internet) : Règle Source Destination Port Action Autoriser navigation web LAN net any 80, 443 Allow Autoriser DNS LAN net any 53 Allow Autoriser RDP (administration) 192.168.10.2 any 3389 Allow Bloquer tout le reste LAN net any any Block exemple de configuration d'une règle : Règles WAN (depuis Internet) : Par défaut, OPNsense bloque toutes les connexions entrantes depuis WAN. Aucune règle entrante n'est nécessaire dans ce projet. 4.5 Configuration du NAT (accès Internet) Le NAT (Network Address Translation) permet aux VM du réseau interne d'accéder à Internet via l'adresse IP publique du serveur. Aller dans Firewall > NAT > Outbound : Mode : Automatic outbound NAT (activé par défaut) Cela suffit pour que les VM puissent accéder à Internet. 5. Installation et configuration de l'Active Directory 5.1 Installation de Windows Server 2022 Démarrer la VM Windows Server Lors de l'installation, choisir Windows Server 2022 Standard (Desktop Experience) et accepter le contrat d'utilisation Choisir Personnalisée pour l'installation Sélectionner le disque et lancer l'installation 5.2 Configuration post-installation Après l'installation, dans le gestionnaire de serveur : Configurer le mot de passe du compte local : Renommer le serveur : Panneau de configuration > Système > Modifier les paramètres Nom de l'ordinateur : SRV-AD01 Redémarrer (directement sinon les modifications ne prendront pas effet) Configurer l'IP statique : Carte réseau > Propriétés > IPv4 IP : 192.168.10.2 | Masque : 255.255.255.0 | Passerelle : 192.168.10.1 | DNS préféré : 127.0.0.1 5.3 Installation du rôle Active Directory Dans le Gestionnaire de serveur : Ajouter des rôles et fonctionnalités Type d'installation : Installation basée sur un rôle Sélectionner le serveur local Cocher les rôles : Services de domaine Active Directory , Serveur DNS , Serveur DHCP Cliquer sur Suivant jusqu'à l'installation 5.4 Promotion en contrôleur de domaine Après l'installation des rôles, cliquer sur la notification Promouvoir ce serveur en contrôleur de domaine . Configuration de la forêt : Paramètre Valeur Opération Ajouter une nouvelle forêt Nom de domaine racine itservices.local Niveau fonctionnel forêt Windows Server 2016 Niveau fonctionnel domaine Windows Server 2016 Mot de passe DSRM [mot de passe fort] Laisser les autres options par défaut, puis installer. Le serveur redémarre automatiquement. Après le redémarrage, se connecter avec : ITSERVICES\Administrateur 5.5 Configuration du serveur DHCP Créer une étendue DHCP : Gestionnaire de serveur > DHCP > Gestionnaire DHCP IPv4 > Nouvelle étendue Paramètres : Paramètre Valeur Nom Réseau-Interne Plage de début 192.168.10.50 Plage de fin 192.168.10.100 Masque 255.255.255.0 Passerelle (option 3) 192.168.10.1 DNS (option 6) 192.168.10.2 Domaine DNS (option 15) itservices.local Activer l'étendue Exclure les adresses fixes : Ajouter une exclusion pour les adresses déjà utilisées : 192.168.10.1 à 192.168.10.20. 6. Création des utilisateurs et GPO 6.1 Création d'une structure d'Unités d'Organisation (OU) Dans Utilisateurs et ordinateurs Active Directory (dsa.msc), créer la structure suivante sous itservices.local : itservices.local +-- OU-Utilisateurs | +-- Dev | +-- IT +-- OU-Ordinateurs +-- Postes-Clients Procédure : Clic droit sur le domaine > Nouveau > Unité d'organisation . Répéter pour chaque OU. 6.2 Création des utilisateurs Dans l'OU OU-Utilisateurs\Dev , créer les utilisateurs : Identifiant Nom complet Mot de passe Groupe jdupont Jean Dupont Azerty123! Utilisateurs du domaine mmartin Marie Martin Azerty123! Utilisateurs du domaine Dans l'OU  OU-Utilisateurs\Informatique , créer un compte administrateur : Identifiant Nom complet Groupe adminsi Administrateur SI Admins du domaine 6.3 Configuration de la politique de mot de passe Aller dans : Outils > Gestion des stratégies de groupe > Default Domain Policy > clic droit > Modifier Chemin : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe Paramètre Valeur Longueur minimale 10 caractères Le mot de passe doit respecter des exigences de complexité Activé Durée de vie maximale 90 jours Historique des mots de passe 5 mots de passe mémorisés Chemin : Stratégies de verrouillage des comptes Paramètre Valeur Seuil de verrouillage du compte 5 tentatives Durée de verrouillage 30 minutes 6.4 Création d'une GPO de sécurité de base Créer une nouvelle GPO nommée GPO-Securite-Base et la lier à OU-Ordinateurs\Postes-Clients . Verrouillage automatique de session : Chemin : Configuration utilisateur > Modèles d'administration > Panneau de configuration > Personnalisation Activer l'écran de veille : Activé Délai de l'écran de veille : 600 secondes (10 minutes) Protéger l'écran de veille par mot de passe : Activé Désactiver l'autorun : Chemin : Configuration ordinateur > Modèles d'administration > Composants Windows > Stratégies d'autorun Désactiver l'exécution automatique : Activé (Tous les lecteurs) 7. Intégration des Windows 10 au domaine 7.1 Installation de Windows 10 Pour chaque VM Windows 10 : Démarrer la VM sur l'ISO Windows 10 Choisir Personnalisée Sélectionner le disque et installer A la fin, créer un compte local temporaire (ex : localadmin ) 7.2 Configuration réseau Pour PC-CLIENT1 (IP statique) : IP : 192.168.10.10 | Masque : 255.255.255.0 | Passerelle : 192.168.10.1 | DNS : 192.168.10.2 Pour PC-CLIENT2 (DHCP) : Obtenir une adresse IP automatiquement (s'assurer qu'OPNsense et le serveur DHCP sont démarrés) Vérifier la connectivité : ping 192.168.10.1 (OPNsense - passerelle) ping 192.168.10.2 (Windows Server - AD) ping google.com (Internet - via OPNsense) 7.3 Jonction au domaine Active Directory Aller dans  Clic droit sur  Ce PC > Propriétés > Modifier les paramètres Onglet Nom de l'ordinateur > Modifier Renommer l'ordinateur : PC-CLIENT1 (ou PC-CLIENT2 ) Cocher Domaine et saisir : itservices.local Entrer les identifiants : ITSERVICES\Administrateur + mot de passe Un message de bienvenue s'affiche > redémarrer Vérification : Se connecter avec un compte du domaine (ex : ITSERVICES\jdupont ) Dans Utilisateurs et ordinateurs AD , vérifier que l'ordinateur apparaît dans Computers Déplacer l'objet ordinateur vers OU-Ordinateurs et renommer le PC 8. Installation de Zabbix 8.1 Installation d'Ubuntu Server 22.04 Démarrer la VM Zabbix sur l'ISO Ubuntu Server Suivre l'assistant : Langue = French, Clavier = French, OS = Ubuntu Server minimal Configuration réseau : IP 192.168.10.5/24, Passerelle 192.168.10.1, DNS 192.168.10.2 Nom de la machine : srv-zabbix Compte utilisateur : zabbix-admin / [mot de passe fort] Installer OpenSSH : Oui Lancer l'installation 8.2 Mise à jour du système Après installation, se connecter en SSH ou directement avec VNC : ssh zabbix-admin@192.168.10.5 sudo apt update && sudo apt upgrade -y sudo reboot 8.3 Installation de Zabbix Ajouter le dépôt officiel Zabbix : wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb sudo dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb sudo apt update Installer Zabbix et ses composants : sudo apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent -y Installer MariaDB (base de données) : sudo apt install mariadb-server -y sudo systemctl start mariadb sudo systemctl enable mariadb sudo mysql_secure_installation Créer la base de données Zabbix : sudo mysql -u root -p CREATE DATABASE zabbix CHARACTER SET utf8mb4 COLLATE utf8mb4_bin; CREATE USER 'zabbix'@'localhost' IDENTIFIED BY 'ZabbixPass123!'; GRANT ALL PRIVILEGES ON zabbix.* TO 'zabbix'@'localhost'; FLUSH PRIVILEGES; EXIT; Importer le schéma de base de données : zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -u zabbix -p zabbix Configurer Zabbix Server : sudo nano /etc/zabbix/zabbix_server.conf # Modifier la ligne : DBPassword=ZabbixPass123! Démarrer les services : sudo systemctl restart zabbix-server zabbix-agent apache2 sudo systemctl enable zabbix-server zabbix-agent apache2 8.4 Configuration initiale via l'interface web Depuis un poste Windows (CLIENT-1), accéder à : http://192.168.10.5/zabbix Suivre l'assistant d'installation : Vérification des prérequis PHP (tout doit être en vert) Connexion DB : Host localhost , DB zabbix , user zabbix , password renseigné Nom du serveur : SRV-ZABBIX Fuseau horaire : Europe/Paris Identifiants par défaut : Admin / zabbix > Changer immédiatement ! 8.5 Installation des agents Zabbix sur les VM Windows Sur chaque VM Windows (Server et clients), télécharger et installer l'agent Zabbix depuis : https://www.zabbix.com/download_agents Lancer l'installeur en renseignant : Zabbix server IP : 192.168.10.5 Hostname : nom de la machine (ex : SRV-AD01) Agent listen port : 10050 (défaut) Autoriser le port 10050 dans le pare-feu Windows : netsh advfirewall firewall add rule name="Zabbix Agent" protocol=TCP dir=in localport=10050 action=allow 8.6 Ajout AD et Firewall dans Zabbix Dans l'interface web Zabbix : Configuration > Hôtes > Créer un hôte Pour Windows Server : Paramètre Valeur Nom d'hôte SRV-AD01 Groupes Windows servers IP Agent 192.168.10.2 Port 10050 Templates Windows by Zabbix agent Pour OPNsense (supervision par ping uniquement) : Paramètre Valeur Nom d'hôte OPNsense-FW Groupes Network devices IP 192.168.10.1 Type ICMP ping (Simple check) 9. Sécurités de base mises en place et options supplémentaires 9.1 Mise à jour des systèmes Windows Server et Windows 10 : Panneau de configuration > Windows Update > Configurer les mises à jour automatiques Ubuntu (Zabbix) : # Mise à jour manuelle sudo apt update && sudo apt upgrade -y # Activation des mises à jour automatiques sudo apt install unattended-upgrades -y sudo dpkg-reconfigure --priority=low unattended-upgrades 9.2 Désactivation des services inutiles Sur Windows Server (dans Gestion de l'ordinateur > Services ), mettre en démarrage Désactivé : Remote Registry Fax Print Spooler (si pas d'imprimante) # Script PowerShell Set-Service -Name "RemoteRegistry" -StartupType Disabled Stop-Service -Name "RemoteRegistry" Sur Ubuntu (Zabbix) : # Vérifier les services actifs sudo systemctl list-units --type=service --state=running # Désactiver des services inutiles si présents sudo systemctl disable bluetooth 9.3 Pare-feu Windows Sur chaque VM Windows, vérifier que le pare-feu Windows est actif : Panneau de configuration > Système et sécurité > Pare-feu Windows Defender S'assurer que les profils Domaine , Privé et Public sont activés 9.4 Sécurisation de l'accès SSH à Proxmox bash sudo nano /etc/ssh/sshd_config # Désactiver la connexion root directe par mot de passe PermitRootLogin prohibit-password # Limiter les tentatives d'authentification MaxAuthTries 3 sudo systemctl restart sshd 10. Procédure de sauvegarde Proxmox 10.1 Configuration du stockage de sauvegarde Dans l'interface web Proxmox : Datacenter > Stockage > Ajouter > Répertoire Paramètre Valeur ID backup-local Répertoire /var/lib/vz/dump Contenu Sauvegardes VZDump 10.2 Planification des sauvegardes automatiques Datacenter > Sauvegarde > Ajouter Configurer le job : Paramètre Valeur Stockage backup-local Planification Dimanche 02:00 Sélection des VM Toutes les VM Mode Snapshot Compression ZSTD Rétention – Nombre de sauvegardes 2 Email de notification [votre adresse email] Cliquer sur Créer et nous devons obtenir ça : 11. Procédure de restauration 11.1 Restauration d'une VM depuis l'interface web Dans l'interface Proxmox : Stockage > backup-local > Sauvegardes Sélectionner le fichier de sauvegarde à restaurer Cliquer sur Restaurer Choisir l'ID de la VM de destination Cocher Démarrer après la restauration si souhaité Cliquer sur Restaurer Attention : Restaurer sur une VM existante écrase toutes les données actuelles. Pour conserver la VM actuelle, choisir un nouvel ID de VM. 11.3 Test de restauration Il est recommandé de tester la restauration au moins une fois pendant le projet : Effectuer une sauvegarde manuelle de la VM Windows Server Restaurer la sauvegarde avec un nouvel ID (ex : VM 201) Démarrer la VM restaurée et vérifier que les services AD sont opérationnels Supprimer la VM de test après validation 12. Schéma d'architecture réseau – Explication détaillée 12.1 Flux réseau Flux 1 – Accès Internet depuis une VM interne VM Windows 10 (192.168.10.10) | (vmbr1 - réseau interne) OPNsense LAN (192.168.10.1) | (NAT + routage) OPNsense WAN (IP publique) | (vmbr0 - interface physique) Internet Flux 2 – Résolution DNS interne VM Windows 10 demande : srv-ad01.itservices.local | DNS primaire : 192.168.10.2 (Windows Server) | Réponse : 192.168.10.2 Flux 3 – Supervision Zabbix Zabbix Server (192.168.10.5) | (polling actif via vmbr1) Agent Zabbix sur SRV-AD01 (192.168.10.2) : port 10050 Agent Zabbix sur PC-CLIENT1 (192.168.10.10) : port 10050 Ping ICMP vers OPNsense (192.168.10.1) Flux 4 – Administration Proxmox Administrateur (navigateur) | (HTTPS - port 8006) Interface IP publique Proxmox | Console des VM via noVNC 12.2 Récapitulatif des ports et services ouverts Service Machine Port Protocole Interface web Proxmox Serveur physique 8006 TCP/HTTPS SSH Proxmox Serveur physique 22 TCP HTTP/HTTPS OPNsense WAN vers Internet 80/443 TCP DNS Windows Server 53 TCP/UDP DHCP Windows Server 67/68 UDP RDP Windows Server 3389 TCP LDAP (AD) Windows Server 389/636 TCP Zabbix web Zabbix 80 TCP Zabbix agent Toutes VM Windows 10050 TCP Annexes Annexe A – Commandes de vérification utiles Proxmox (SSH) : # État de toutes les VM qm list # Démarrer/arrêter une VM qm start 101 qm stop 101 # Vérifier les interfaces réseau ip addr show brctl show Windows Server (PowerShell/CMD) : # Vérifier l'état de l'AD Get-ADDomain Get-ADUser -Filter * | Select-Object Name, SamAccountName # Vérifier le DHCP Get-DhcpServerv4Lease -ScopeId 192.168.10.0 # Forcer la réplication des GPO gpupdate /force Ubuntu / Zabbix (bash) : # État des services Zabbix sudo systemctl status zabbix-server sudo systemctl status zabbix-agent # Vérifier les logs Zabbix sudo tail -f /var/log/zabbix/zabbix_server.log # Test de connectivité ping 192.168.10.1 ping 192.168.10.2 Annexe B – Glossaire Terme Définition AD (Active Directory) Annuaire Microsoft permettant de centraliser la gestion des utilisateurs, ordinateurs et politiques de sécurité Bridge (vmbr) Interface réseau virtuelle dans Proxmox permettant de connecter les VM entre elles DHCP Protocole d'attribution automatique des adresses IP DNS Système de résolution des noms de domaine en adresses IP GPO Stratégie de groupe permettant d'appliquer des paramètres sur des utilisateurs/ordinateurs AD Hyperviseur Logiciel permettant de faire tourner plusieurs OS virtuels sur un seul serveur physique NAT Traduction d'adresse réseau permettant à plusieurs machines d'accéder à Internet via une seule IP publique OPNsense Distribution pare-feu open source basée sur FreeBSD Proxmox VE Hyperviseur open source basé sur KVM et LXC VM Machine virtuelle, ordinateur simulé par un hyperviseur Zabbix Logiciel open source de supervision de l'infrastructure IT Document réalisé dans le cadre du BTS SIO option SISR – Projet d'infrastructure de V alentino ZULIANI  – [ESICAD] – Année 2025/2026