documentation technique : infrastructure Active Directory + OPNsense sous Promox VE

PARTIE 2 – DOCUMENTATION TECHNIQUE

1. Installation de Proxmox VE

1.1 Prérequis

Avant de commencer, il faut disposer :

D'un accès KVM ou console distante au serveur Dedibox (via l'interface Scaleway) De l'ISO de Proxmox VE 8.x téléchargée sur le site officiel : https://www.proxmox.com/downloads D'une clé USB bootable (si installation physique) ou d'un montage ISO via KVM distant

1.2 Procédure d'installation

Etape 1 – Démarrage sur l'ISO Proxmox

~~Infrastructure~~Monter ~~Active~~l'ISO ~~Directory~~via +l'interface ~~OPNsense~~KVM de Scaleway, puis démarrer le serveur. Sélectionner Install Proxmox VE (Graphical).

~~Déploiement~~ ~~sous~~ ~~Proxmox~~ VE

~~Date:~~Etape ~~10/02/2026~~2 – Accord de licence

~~Version:~~Accepter ~~1.0~~la licence EULA en cliquant sur I agree.

Etape 3 – Sélection du disque cible

~~Valentino~~Choisir ~~ZULIANI~~le disque principal du serveur (ex : /dev/sda). Laisser les options par défaut (ext4 ou zfs selon préférence).

Etape 4 – Configuration réseau et locale

Renseigner : Pays = France, Fuseau horaire = Europe/Paris, Clavier = fr.

Etape

~~Table~~– ~~des~~Configuration ~~matières~~ :

~~1. Introduction~~

~~1.1 Objectif du document~~

~~Ce document~~ ~~détaille~~ ~~l'architecture, la configuration et les~~ ~~procédures~~ de ~~déploiement~~ ~~d'une~~ ~~infrastructure~~ ~~comprenant~~ un ~~serveur~~ ~~Active Directory et un pare-feu~~ ~~OPNsense~~, ~~hébergés~~ ~~sur~~ ~~une~~ ~~plateforme~~ de ~~virtualisation~~ ~~Proxmox~~ ~~VE.~~

~~1.2~~ ~~Périmètre~~

~~Cette infrastructure~~ ~~couvre~~ ~~les~~ ~~composants~~ ~~suivants~~ : réseau

Paramètre Valeur

•

~~Serveur~~ de ~~virtualisation~~ ~~Proxmox~~ VE

~~• Pare-feu/routeur~~ ~~OPNsense~~

• ~~Contrôleur~~ de ~~domaine~~ ~~Active Directory (Windows Server)~~

~~• Infrastructure réseau~~ ~~virtuelle~~

~~2. Architecture~~ ~~globale~~

~~2.1 Vue~~ ~~d'ensemble~~

~~L'infrastructure~~ ~~repose sur~~ ~~une~~ ~~architecture à trois~~ ~~niveaux~~ :

1. ~~Hyperviseur~~ ~~Proxmox~~ ~~VE (couche physique/virtualisation~~)

~~2. Pare-feu~~ ~~OPNsense~~ ~~(couche réseau/sécurité~~)

~~3. Services Active Directory (couche applicative/authentification~~)

2.2 ~~Schéma~~ ~~de réseau~~

~~Segment~~

Hostname

~~Réseau~~

~~Description~~

proxmox.techinfo.local Adresse

~~Bridge~~ ~~WAN~~

IP IP

~~Fixe~~publique

du serveur

~~Réseau~~ ~~passant par~~ ~~Opensense~~

Dedibox Masque

~~LAN~~

réseau Fourni

~~192.168.1.0/24~~par

Scaleway Passerelle Fournie

~~Réseau~~par ~~interne~~Scaleway

~~principal~~ DNS 8.8.8.8

Etape

– Mot de passe root

3.Définir ~~Configuration~~un mot de passe fort pour le compte root de Proxmox VE(min. 12 caractères, majuscules, chiffres, caractères spéciaux).

3.1

Etape

~~Spécifications~~7 ~~matérielles~~– ~~requises~~Installation

Cliquer

sur

Install et attendre la fin de l'installation (environ 5-10 minutes). Le serveur redémarre automatiquement.

Etape 8 – Accès à l'interface web

Après redémarrage, se connecter depuis un navigateur à l'adresse :

https://[IP_PUBLIQUE_SERVEUR]:8006

Identifiants : root / [mot de passe défini à l'étape 6]

Note : Le navigateur affichera un avertissement de sécurité car le certificat SSL est auto-signé. Cliquer sur Avancé > Continuer.

1.3 Post-installation : désactivation du dépôt entreprise

Par défaut, Proxmox utilise un dépôt payant. Pour éviter les erreurs de mise à jour, il faut désactiver ce dépôt et activer le dépôt communautaire gratuit.

Se connecter en SSH sur le serveur Proxmox :

bash

# Désactiver le dépôt entreprise
echo "# deb https://enterprise.proxmox.com/debian/pve bookworm pve-enterprise" > /etc/apt/sources.list.d/pve-enterprise.list

# Activer le dépôt communautaire
echo "deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription" >> /etc/apt/sources.list

# Mettre à jour
apt update && apt upgrade -y

2. Configuration réseau de Proxmox (bridges)

2.1 Principe des bridges réseau

Dans Proxmox, les VM communiquent via des interfaces réseau virtuelles appelées bridges (vmbr). Deux bridges sont nécessaires :

vmbr0 : connecté à l'interface physique du serveur. Utilisé par OPNsense pour son accès WAN (Internet). vmbr1 : bridge interne, non connecté à l'interface physique. Utilisé par toutes les VM pour le réseau interne 192.168.10.0/24.

2.2 Vérification de vmbr0

vmbr0 est créé automatiquement lors de l'installation de Proxmox. Pour vérifier sa configuration :

Dans l'interface web Proxmox : Nœud > Réseau

vmbr0 doit avoir les paramètres suivants :

Ports/Esclaves : ens3 (ou le nom de l'interface physique) IP : adresse IP publique du serveur

2.3 Création de vmbr1

Dans l'interface web Proxmox :

Aller dans Nœud > Réseau Cliquer sur Créer > Bridge Linux Renseigner les paramètres :

Paramètre Valeur

~~Composant~~

Nom

~~Spécification minimale~~

vmbr1

~~CPU~~

Ports/Esclaves (laisser

~~Processeur~~vide ~~64-bit~~- ~~avec~~bridge ~~support de la virtualisation (Intel VT-x/AMD-V)~~

interne) Adresse

~~RAM~~

IPv4/CIDR (laisser

~~16 GB minimum (32 GB recommandé)~~

vide)

~~Stockage~~

Commentaire Réseau

~~120~~interne ~~GB SSD minimum pour l'OS + stockage pour~~ ~~VMs~~

~~Réseau~~

~~2 interfaces réseau minimum (WAN + LAN)~~

Cliquer sur Créer, puis sur Appliquer la configuration

3. Création des machines virtuelles

3.1 Procédure générale de création d'une VM

Pour chaque VM, aller dans l'interface web Proxmox > Créer VM et suivre l'assistant.

3.2 VM OPNsense (Pare-feu)

Paramètre Valeur ID VM 100 Nom opnsense ISO OPNsense-24.x-dvd-amd64.iso OS Type Other Disque 16 Go, SCSI CPU 1 vCPU RAM 1024 Mo Carte réseau 1 vmbr0 (WAN) Carte réseau 2 vmbr1 (LAN)

3.3 VM Windows Server 2022 (AD)

Paramètre Valeur ID VM 101 Nom win-server ISO Windows_Server_2022_eval.iso OS Type Windows 2022 Disque 60 Go, SCSI, VirtIO CPU 2 vCPU RAM 4096 Mo Carte réseau vmbr1 (réseau interne)

Important : Ajouter le CD-ROM des drivers VirtIO pour Windows (iso disponible sur le site Proxmox) afin que Windows reconnaisse le disque VirtIO pendant l'installation.

3.4 VM Windows 10 Client 1 et 2

Créer deux VM identiques avec les paramètres suivants :

Paramètre Client 1 Client 2 ID VM 102 103 Nom win10-client1 win10-client2 ISO Windows10_eval.iso Windows10_eval.iso OS Type Windows 10/2016 Windows 10/2016 Disque 40 Go, SCSI 40 Go, SCSI CPU 2 vCPU 2 vCPU RAM 2048 Mo 2048 Mo Carte réseau vmbr1 vmbr1

3.5 VM Zabbix (Ubuntu Server)

Paramètre Valeur ID VM 104 Nom zabbix ISO ubuntu-22.04-live-server-amd64.iso OS Type Linux 6.x - 2.6 Kernel Disque 30 Go, SCSI CPU 2 vCPU RAM 2048 Mo Carte réseau vmbr1 (réseau interne)

4. Installation et configuration d'OPNsense

4.1 Installation d'OPNsense

Démarrer la VM OPNsense depuis l'interface Proxmox Lors du démarrage, à l'invite de login, utiliser : installer / opnsense Suivre l'assistant d'installation :

Sélectionner Install (UFS) > accepter Choisir le disque /dev/ada0 Confirmer l'installation Retirer l'ISO et redémarrer

4.2 Configuration des interfaces réseau

Au premier démarrage, OPNsense affiche un menu numéroté.

Option 1 – Assigner les interfaces

Do you want to configure LAGGs? -> No
Do you want to configure VLANs? -> No
WAN interface: vtnet0  (correspond à vmbr0 - connectée à Internet)
LAN interface: vtnet1  (correspond à vmbr1 - réseau interne)

Option 2 – Configurer les adresses IP

~~3.2~~Configurer ~~Installation~~le deLAN ~~Proxmox~~ VE :

3.2.

Interface LAN -> adresse IP : 192.168.10.1

~~Téléchargement~~Masque : 24 Passerelle LAN : (laisser vide) DHCP sur LAN : Non (le DHCP sera géré par Windows Server)

4.3 Accès à l'interface web d'OPNsense

Depuis une VM Windows 10 déjà installée et

~~préparation~~

1. ~~Télécharger~~ ~~l'ISO~~ ~~Proxmox~~ VE ~~depuis~~ ~~https://www.proxmox.com/downloads~~

2. ~~Lancer~~ sur ~~l’iso~~le enréseau ~~KVM over I~~P

~~3.Suivre l'installation classique d'un système Linux/debian les étapes clefs sont~~interne :

~~Accepter~~Navigateur ~~les~~: ~~termes~~https://192.168.10.1

A la première connexion, un assistant de ~~licence~~configuration ~~(EULA)~~se lance. Renseigner :

Hostname : opnsense ~~Choisir~~Domaine le: ~~disque cible pour l'installation~~ techinfo.local ~~Configurer~~DNS ~~les~~: ~~paramètres de localisation (pays, fuseau horaire, clavier)~~ 8.8.8.8 ~~Définir~~Fuseau horaire : Europe/Paris Changer le mot de passe root et

4.4 Configuration des règles de pare-feu

Les règles de base sont créées dans Firewall > Rules.

Règles LAN (réseau interne vers Internet) :

Règle Source Destination Port Action Autoriser navigation web LAN net any 80, 443 Allow Autoriser DNS LAN net any 53 Allow Autoriser RDP (administration) 192.168.10.2 any 3389 Allow Bloquer tout le reste LAN net any any Block

Règles WAN (depuis Internet) :

Par défaut, OPNsense bloque toutes les connexions entrantes depuis WAN. Aucune règle entrante n'est nécessaire dans ce projet.

4.5 Configuration du NAT (accès Internet)

Le NAT (Network Address Translation) permet aux VM du réseau interne d'accéder à Internet via l'adresse ~~email~~IP depublique ~~l'administrateur~~du serveur.

Aller dans Firewall > NAT > Outbound :

~~Configurer~~Mode ~~l'interface~~: ~~réseau~~Automatic outbound NAT (activé par défaut)

Cela suffit pour que les VM puissent accéder à Internet.

5. Installation et configuration de l'Active Directory

5.1 Installation de Windows Server 2022

Démarrer la VM Windows Server Lors de l'installation, choisir Windows Server 2022 Standard (Desktop Experience) Choisir Personnalisée pour l'installation propre Sélectionner le disque et lancer l'installation

5.2 Configuration post-installation

Après l'installation, dans le gestionnaire de serveur :

Renommer le serveur :

Panneau de configuration > Système > Modifier les paramètres Nom de l'ordinateur : SRV-AD01 Redémarrer

Configurer l'IP statique :

Carte réseau > Propriétés > IPv4 IP : 192.168.10.2 | Masque : 255.255.255.0 | Passerelle : 192.168.10.1 | DNS préféré : 127.0.0.1

Mettre à jour le système :

Paramètres > Windows Update > Rechercher les mises à jour Installer toutes les mises à jour disponibles

5.3 Installation du rôle Active Directory

Dans le Gestionnaire de serveur :

Ajouter des rôles et fonctionnalités Type d'installation : Installation basée sur un rôle Sélectionner le serveur local Cocher les rôles : Services de domaine Active Directory, Serveur DNS, Serveur DHCP Cliquer sur Suivant jusqu'à l'installation

5.4 Promotion en contrôleur de domaine

Après l'installation des rôles, cliquer sur la notification Promouvoir ce serveur en contrôleur de domaine.

Configuration de la forêt :

Paramètre Valeur Opération Ajouter une nouvelle forêt Nom de domaine racine techinfo.local Niveau fonctionnel forêt Windows Server 2016 Niveau fonctionnel domaine Windows Server 2016 Mot de passe DSRM [mot de passe fort]

Laisser les autres options par défaut, puis installer. Le serveur redémarre automatiquement.

Après le redémarrage, se connecter avec : TECHINFO\Administrateur

5.5 Configuration du serveur DHCP

Créer une étendue DHCP :

Gestionnaire de serveur > DHCP > Gestionnaire DHCP IPv4 > Nouvelle étendue Paramètres :

Paramètre Valeur Nom Réseau-Interne Plage de début 192.168.10.50 Plage de fin 192.168.10.100 Masque 255.255.255.0 Passerelle (option 3) 192.168.10.1 DNS (option 6) 192.168.10.2 Domaine DNS (option 15) techinfo.local

Activer l'étendue

Exclure les adresses fixes :

Ajouter une exclusion pour les adresses déjà utilisées : 192.168.10.1 à 192.168.10.20.

6. Création des utilisateurs et GPO

6.1 Création d'une structure d'Unités d'Organisation (OU)

Dans Utilisateurs et ordinateurs Active Directory (dsa.msc), créer la structure suivante sous techinfo.local :

techinfo.local
+-- OU-Utilisateurs
|   +-- Direction
|   +-- Informatique
+-- OU-Ordinateurs
    +-- Postes-Clients

Procédure : Clic droit sur le domaine > Nouveau > Unité d'organisation. Répéter pour chaque OU.

6.2 Création des utilisateurs

Dans l'OU OU-Utilisateurs\Direction, créer les utilisateurs :

Identifiant Nom complet Mot de passe Groupe j.dupont Jean Dupont Azerty123! Utilisateurs du domaine m.martin Marie Martin Azerty123! Utilisateurs du domaine

Dans l'OU OU-Utilisateurs\Informatique, créer un compte administrateur :

Identifiant Nom complet Groupe admin.si Administrateur SI Admins du domaine

6.3 Configuration de la politique de mot de passe

Aller dans : Outils > Gestion des stratégies de groupe > Default Domain Policy > clic droit > Modifier

Chemin : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe

Paramètre Valeur Longueur minimale 8 caractères Le mot de passe doit respecter des exigences de complexité Activé Durée de vie maximale 90 jours Historique des mots de passe 5 mots de passe mémorisés

Chemin : Stratégies de verrouillage des comptes

Paramètre Valeur Seuil de verrouillage du compte 5 tentatives Durée de verrouillage 30 minutes

6.4 Création d'une GPO de sécurité de base

Créer une nouvelle GPO nommée GPO-Securite-Base et la lier à OU-Ordinateurs\Postes-Clients.

Verrouillage automatique de session :

Chemin : Configuration utilisateur > Modèles d'administration > Panneau de configuration > Personnalisation

Activer l'écran de veille : Activé Délai de l'écran de veille : 600 secondes (10 minutes) Protéger l'écran de veille par mot de passe : Activé

Désactiver l'autorun :

Chemin : Configuration ordinateur > Modèles d'administration > Composants Windows > Stratégies d'autorun

Désactiver l'exécution automatique : Activé (Tous les lecteurs)

7. Intégration des Windows 10 au domaine

7.1 Installation de Windows 10

Pour chaque VM Windows 10 :

Démarrer la VM sur l'ISO Windows 10 Choisir Personnalisée Sélectionner le disque et installer A la fin, créer un compte local temporaire (ex : localadmin)

7.2 Configuration réseau

Pour PC-CLIENT1 (IP statique) :

IP : 192.168.10.10 | Masque : 255.255.255.0 | Passerelle : 192.168.10.1 | DNS : 192.168.10.2

Pour PC-CLIENT2 (DHCP) :

Obtenir une adresse IP automatiquement (s'assurer qu'OPNsense et le serveur DHCP sont démarrés)

Vérifier la connectivité :

cmd

ping 192.168.10.1      (OPNsense - passerelle)
ping 192.168.10.2      (Windows Server - AD)
ping google.com        (Internet - via OPNsense)

7.3 Jonction au domaine Active Directory

Clic droit sur Ce PC > Propriétés > Modifier les paramètres Onglet Nom de l'ordinateur > Modifier Renommer l'ordinateur : PC-CLIENT1 (ou PC-CLIENT2) Cocher Domaine et saisir : techinfo.local Entrer les identifiants : TECHINFO\Administrateur + mot de passe Un message de bienvenue s'affiche > redémarrer

Vérification :

Se connecter avec un compte du domaine (ex : TECHINFO\j.dupont) Dans Utilisateurs et ordinateurs AD, vérifier que l'ordinateur apparaît dans Computers Déplacer l'objet ordinateur vers OU-Ordinateurs\Postes-Clients

7.4 Vérification de l'application des GPO

Depuis un PC client connecté au domaine :

cmd

gpresult /r

Cette commande affiche les GPO appliquées à l'utilisateur et à l'ordinateur.

8. Installation de Zabbix

8.1 Installation d'Ubuntu Server 22.04

Démarrer la VM Zabbix sur l'ISO Ubuntu Server Suivre l'assistant : Langue = French, Clavier = French, OS = Ubuntu Server minimal Configuration réseau : IP 192.168.10.5/24, Passerelle 192.168.10.1, DNS 192.168.10.2 Nom de la machine : srv-zabbix Compte utilisateur : zabbix-admin / [mot de passe fort] Installer OpenSSH : Oui Lancer l'installation

8.2 Mise à jour du système

Après installation, se connecter en SSH :

bash

ssh zabbix-admin@192.168.10.5

sudo apt update && sudo apt upgrade -y
sudo reboot

8.3 Installation de Zabbix 6.x LTS

Ajouter le dépôt officiel Zabbix :

bash

wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb
sudo dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb
sudo apt update

Installer Zabbix et ses composants :

bash

sudo apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent -y

Installer MariaDB (base de données) :

bash

sudo apt install mariadb-server -y
sudo systemctl start mariadb
sudo systemctl enable mariadb
sudo mysql_secure_installation

Créer la base de données Zabbix :

bash

sudo mysql -u root -p

sql

CREATE DATABASE zabbix CHARACTER SET utf8mb4 COLLATE utf8mb4_bin;
CREATE USER 'zabbix'@'localhost' IDENTIFIED BY 'ZabbixPass123!';
GRANT ALL PRIVILEGES ON zabbix.* TO 'zabbix'@'localhost';
FLUSH PRIVILEGES;
EXIT;

Importer le schéma de base de données :

bash

zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -u zabbix -p zabbix

Configurer Zabbix Server :

bash

sudo nano /etc/zabbix/zabbix_server.conf
# Modifier la ligne : DBPassword=ZabbixPass123!

Démarrer les services :

bash

sudo systemctl restart zabbix-server zabbix-agent apache2
sudo systemctl enable zabbix-server zabbix-agent apache2

8.4 Configuration initiale via l'interface web

Depuis un poste Windows, accéder à :

http://192.168.10.5/zabbix

Suivre l'assistant d'installation :

Vérification des prérequis PHP (tout doit être en vert) Connexion DB : Host localhost, DB zabbix, user zabbix, password renseigné Nom du serveur : Zabbix-TechInfo Fuseau horaire : Europe/Paris

Identifiants par défaut : Admin / zabbix > Changer immédiatement !

8.5 Installation des agents Zabbix sur les VM Windows

Sur chaque VM Windows (Server et clients), télécharger et installer l'agent Zabbix depuis : https://www.zabbix.com/download_agents

Lancer l'installeur en renseignant :

Zabbix

server

192.168.10.5

Hostname

3.3.1 Accès à l'interface web

~~L'interface~~nom de ~~gestion~~la ~~est~~machine ~~accessible~~(ex ~~via~~: SRV-AD01)

Agent listen port : 10050 (défaut)

Autoriser le port ~~8006~~10050 ~~depuis~~dans ~~l’IP~~le dupare-feu ~~serveur~~Windows :

cmd

netsh advfirewall firewall add rule name="Zabbix Agent" protocol=TCP dir=in localport=10050 action=allow

8.6 Ajout des hôtes dans Zabbix

Dans l'interface web Zabbix : Configuration > Hôtes > Créer un hôte

~~Identifiant~~Pour Windows Server :

Paramètre Valeur Nom d'hôte SRV-AD01 Groupes Windows servers IP Agent 192.168.10.2 Port 10050 Templates Windows by Zabbix agent

Répéter pour PC-CLIENT1 et PC-CLIENT2 en adaptant les paramètres.

Pour OPNsense (supervision par ~~défaut~~ping uniquement) :

Paramètre Valeur Nom d'hôte OPNsense-FW Groupes Network devices IP 192.168.10.1 Type ICMP ping (Simple check)

8.7 Configuration des alertes email

Dans Administration > Alertes > Types de média > Email :

Configurer un serveur SMTP. Pour les tests, utiliser un compte Gmail avec SMTP :

Serveur SMTP : ~~root~~smtp.gmail.com |

Port : 587

Email : votre adresse Gmail | Mot de passe : ~~celui~~mot ~~qu'on~~de apasse ~~définit~~d'application ~~lors~~Gmail

9. Sécurités de base mises en place

9.1 Mise à jour des systèmes

Windows Server et Windows 10 :

Panneau de configuration > Windows Update > Configurer les mises à jour automatiques

Ubuntu (Zabbix) :

bash

# Mise à jour manuelle
sudo apt update && sudo apt upgrade -y

# Activation des mises à jour automatiques
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades

9.2 Désactivation des services inutiles

Sur Windows Server (dans Gestion de l'~~installation~~

ordinateur > Services), mettre en démarrage Désactivé :

Remote Registry Fax Print Spooler (si pas d'imprimante)

powershell

# Script PowerShell
Set-Service -Name "RemoteRegistry" -StartupType Disabled
Stop-Service -Name "RemoteRegistry"

Sur Ubuntu (Zabbix) :

bash

# Vérifier les services actifs
sudo systemctl list-units --type=service --state=running

# Désactiver des services inutiles si présents
sudo systemctl disable bluetooth

9.3 Pare-feu Windows

Sur chaque VM Windows, vérifier que le pare-feu Windows est actif :

Panneau de configuration > Système et sécurité > Pare-feu Windows Defender S'assurer que les profils Domaine, Privé et Public sont activés

9.4 Sécurisation de l'accès SSH à Proxmox

bash

sudo nano /etc/ssh/sshd_config

Modifications recommandées :

# Désactiver la connexion root directe par mot de passe
PermitRootLogin prohibit-password

# Limiter les tentatives d'authentification
MaxAuthTries 3

bash

sudo systemctl restart sshd

10. Procédure de sauvegarde Proxmox

10.1 Configuration du stockage de sauvegarde

Dans l'interface web Proxmox : Datacenter > Stockage > Ajouter > Répertoire

Paramètre Valeur ID backup-local Répertoire /var/lib/vz/dump Contenu Sauvegardes VZDump

10.2 Planification des sauvegardes automatiques

Datacenter > Sauvegarde > Ajouter Configurer le job :

Paramètre Valeur Stockage backup-local Planification Dimanche 02:00 Sélection des VM Toutes les VM Mode Snapshot Compression ZSTD Rétention – Nombre de sauvegardes 2 Email de notification [votre adresse email]

Cliquer sur Créer

10.3 Sauvegarde manuelle

Pour réaliser une sauvegarde immédiate d'une VM :

Dans l'interface Proxmox, sélectionner la VM Sauvegarde > Sauvegarder maintenant Choisir le stockage backup-local, Mode : Snapshot Cliquer sur Sauvegarder

La sauvegarde est un fichier .vma.zst stocké dans /var/lib/vz/dump/.

11. Procédure de restauration

11.1 Restauration d'une VM depuis l'interface web

Dans l'interface Proxmox : Stockage > backup-local > Sauvegardes Sélectionner le fichier de sauvegarde à restaurer Cliquer sur Restaurer Choisir l'ID de la VM de destination Cocher Démarrer après la restauration si souhaité Cliquer sur Restaurer

Attention : Restaurer sur une VM existante écrase toutes les données actuelles. Pour conserver la VM actuelle, choisir un nouvel ID de VM.

11.2 Restauration depuis la ligne de commande

bash

# Lister les sauvegardes disponibles
ls /var/lib/vz/dump/

# Restaurer la VM 101 depuis une sauvegarde
qmrestore /var/lib/vz/dump/vzdump-qemu-101-2025_06_01-02_00_00.vma.zst 101

# Restaurer avec un nouvel ID (évite d'écraser)
qmrestore /var/lib/vz/dump/vzdump-qemu-101-2025_06_01-02_00_00.vma.zst 201

11.3 Test de restauration

Il est recommandé de tester la restauration au moins une fois pendant le projet :

Effectuer une sauvegarde manuelle de la VM Windows Server Restaurer la sauvegarde avec un nouvel ID (ex : VM 201) Démarrer la VM restaurée et vérifier que les services AD sont opérationnels Supprimer la VM de test après validation

12. Schéma d'architecture réseau – Explication détaillée

12.1 Flux réseau

Flux 1 – Accès Internet depuis une VM interne

VM Windows 10 (192.168.10.10)
    | (vmbr1 - réseau interne)
OPNsense LAN (192.168.10.1)
    | (NAT + routage)
OPNsense WAN (IP publique)
    | (vmbr0 - interface physique)
Internet

Flux 2 – Résolution DNS interne

VM Windows 10 demande : srv-ad01.techinfo.local
    |
DNS primaire : 192.168.10.2 (Windows Server)
    |
Réponse : 192.168.10.2

Flux 3 – Supervision Zabbix

Zabbix Server (192.168.10.5)
    | (polling actif via vmbr1)
Agent Zabbix sur SRV-AD01 (192.168.10.2) : port 10050
Agent Zabbix sur PC-CLIENT1 (192.168.10.10) : port 10050
Ping ICMP vers OPNsense (192.168.10.1)

Flux 4 – Administration Proxmox

Administrateur (navigateur)
    | (HTTPS - port 8006)
Interface IP publique Proxmox
    |
Console des VM via noVNC

12.2 Récapitulatif des ports et services ouverts

Service Machine Port Protocole Interface web Proxmox Serveur physique 8006 TCP/HTTPS SSH Proxmox Serveur physique 22 TCP HTTP/HTTPS OPNsense WAN vers Internet 80/443 TCP DNS Windows Server 53 TCP/UDP DHCP Windows Server 67/68 UDP RDP Windows Server 3389 TCP LDAP (AD) Windows Server 389/636 TCP Zabbix web Zabbix 80 TCP Zabbix agent Toutes VM Windows 10050 TCP

Annexes

Annexe A – Commandes de vérification utiles

Proxmox (SSH) :

bash

# État de toutes les VM
qm list

# Démarrer/arrêter une VM
qm start 101
qm stop 101

# Vérifier les interfaces réseau
ip addr show
brctl show

Windows Server (PowerShell/CMD) :

powershell

# Vérifier l'état de l'AD
Get-ADDomain
Get-ADUser -Filter * | Select-Object Name, SamAccountName

# Vérifier le DHCP
Get-DhcpServerv4Lease -ScopeId 192.168.10.0

# Forcer la réplication des GPO
gpupdate /force

Ubuntu / Zabbix (bash) :

bash

# État des services Zabbix
sudo systemctl status zabbix-server
sudo systemctl status zabbix-agent

# Vérifier les logs Zabbix
sudo tail -f /var/log/zabbix/zabbix_server.log

# Test de connectivité
ping 192.168.10.1
ping 192.168.10.2

Annexe B – Glossaire

Terme Définition AD (Active Directory) Annuaire Microsoft permettant de centraliser la gestion des utilisateurs, ordinateurs et politiques de sécurité Bridge (vmbr) Interface réseau virtuelle dans Proxmox permettant de connecter les VM entre elles DHCP Protocole d'attribution automatique des adresses IP DNS Système de résolution des noms de domaine en adresses IP GPO Stratégie de groupe permettant d'appliquer des paramètres sur des utilisateurs/ordinateurs AD Hyperviseur Logiciel permettant de faire tourner plusieurs OS virtuels sur un seul serveur physique NAT Traduction d'adresse réseau permettant à plusieurs machines d'accéder à Internet via une seule IP publique OPNsense Distribution pare-feu open source basée sur FreeBSD Proxmox VE Hyperviseur open source basé sur KVM et LXC VM Machine virtuelle, ordinateur simulé par un hyperviseur Zabbix Logiciel open source de supervision de l'infrastructure IT

Document réalisé dans le cadre du BTS SIO option SISR – Projet d'infrastructure [Nom de l'étudiant] – [Etablissement] – Année 2024/2025