Jump to content

Steph69

Techs info
  • Content Count

    83
  • Joined

  • Last visited

  • Days Won

    2

Everything posted by Steph69

  1. Plutôt que de s'embêter avec du CSV, y'a un soft qui marchait très bien la dernière fois que je l'ai utilisé pour importer les contacts gmail dans Outlook : https://googlesyncmod.sourceforge.io/ Une fois dans Outlook, y'a plus qu'à les basculer
  2. La base : pas de données hors perso sur les postes utilisateurs Sinon avec un serveur de fichier bien segmenté, seul un bout des données se fera chiffrer (sauf le coup de pas de bol ou c'est le DG qui ramène le crypto ^^), et backup et clichés instantanés. Cela suppose une conformité RGPD et bonnes pratiques au niveau de la gestion des droits (pas d'utilisateur admin du domaine comme on voit encore parfois). On en parle pas assez, mais les clichés instantanés sur un serveur de fichier ça peux gérer plus de 90% des demandes de restauration dans un délai ridicule et pour un coût ridicule aussi (ça coute juste de l'espace disque). Pour les 10% autres, sauvegarde locale + externalisation. Si tout cela est respecté, le délai de remise en service sur un crypto majeur est faible : - restauration du serveur de fichier (ou des clichés si suffisants) - Remasterisation des postes utilisateurs (avec un WDS et une image bien faite ça va super vite) Pour revenir sur les questions du topic : - Antivirus : pas de marque en particulier, juste une version pro avec une console de monitoring. Il ne faut pas les activer à minima (oui c'est relou un antivirus, mais si on désactive toutes les fonctions ça sert à rien) - Pour la sauvegarde : * Si la sauvegarde locale est sur un NAS, brider les accès au NAS au strict minimum (désactiver tous les protocoles non utilisés, filtrage ip source, etc.) * Ne pas monter le NAS en direct sur le serveur (genre disque S de sauvegarde en iscsi, montage smb, etc), mais utiliser un montage dans le soft de backup, du ftp, n'importe quoi mais que l'OS ne soit pas capable d’accéder au NAS nativement si il devait être compromis (enfin si l'os est compromis sur le serveur de sauvegarde c'est que le compte admin est compromis souvent) * Toujours avoir une autre backup externalisée ou sur un autre site - Sensibilisation : Oui c'est sans fin, mais si on n'en fait pas les utilisateurs ne le seront jamais. Être disponible pour les questions et ne pas juger, il vaux mieux répondre 3 fois par jour a la question "est-ce que je peux ouvrir ce mail " que de se prendre un crypto violent. Après dans des cas extrême d'attaque ciblée, aucune protection ne sera efficace à 100% (sauf une backup très bien ficelée), ils sont quand même doués ces pirates ... Sur des cas de ransomware lambda je croise les doigts mais pour moi ça s'est toujours soldé par une restauration fichier voir machine entière. PS : la vie d'une boite ce n'est pas que les serveurs et les fichiers, vérifier aussi la sécurité et les backups sur les services SAAS (qui a dit O365 ?)
  3. C'est sur que la licence 2019 serveur edition datacenter a 17€ hors reduc ^^ Mais le prix d'origine ne correspond à rien (ça a jamais couté 300$ prix public...), ils précisent pas le nombre de core (ben oui le licensing en 2019 datacenter c'est par core). Sinon pas de CGV, site à HongKong (Arnaque à la TVA probablement), alors après peut être que les clé fonctionnent avec de la chance. Pour du perso pourquoi pas, c'est comme gratter un Rapido défois on gagne ^^ Pour du pro moi c'est banni. PS : Je sais qu'il faut financer le site, mais ce n'est peut être pas le meilleur partenariat pour tech2tech...
  4. Avec lien fibre, synchro cloud temps réel au choix et sauvegarde type glacier. Les Nas savent le faire nativement et ça limite les couts (bien que 10To en cloud c'est pas gratuit ^^) Si pas de fibre, c'est du bricolage, lourd et moins fiable.
  5. Franchement vous avez déjà vu le prix des licences éducation chez Microsoft https://educandco.fr/120-microsoft Juste pour comparaison sur les CAL RDS : https://www.pc21.fr/fiche/6vc-03728-microsoft-windows-remote-desktop-services-2019-licence-1-licence-d-acces-client-utilisateur-academic-olp-i2449472.html https://www.pc21.fr/fiche/6vc-03748-microsoft-windows-remote-desktop-services-2019-licence-1-licence-d-acces-client-utilisateur-licence-ouverte-win-single-language-i2449359.html
  6. Plus que du RDS, l'idéal dans ce cas serait du VDI pour moi. C'est comme du RDS mais plus souple à gérer au quotidien : - Les utilisateurs ont chacun leur instance virtuelle basée sur une image de base gérée par l'admin - Chaque utilisateur a son propre environnement et documents - Les softs sont centralisés dans l'image de base et il est possible de tester une MAJ sans devoir couper tout le monde - On peut très bien avoir 2 images type prof et élève - Une fois en place cela demande peu de temps d'admin
  7. bon ben apéro pour fêter ça !
  8. Le plus rapide est de tester, un p2v ça va vite SI c'est un token matériel, prendre la référence exacte et fouiller Google, ça peux s'émuler de façon logicielle.
  9. Suggestion 1 : L'antivirus qui scan tous les documents a l’ouverture d'un dossier réseau ? L'arbo ca marche car t’a pas de doc, mais dès que tu rentre dans un dossier chargé la cata. Et ça marche sur l'ancien car t’a une exclusion des familles au fin fond des paramètres de l'antivirus ? Suggestion 2 : Quelles sont les règles et fonctionnalités activées sur le VPN au niveau Stormshield ? T’aurait pas de l'IPS/AV qui traine ?
  10. L'article est nul mais regarde la partie publication par GPO : https://sites.google.com/site/mathurinnangmo/active-directory/utilise-un-gpo-pour-deployer-des-applications-de-bureau-7-zip-et-google-chrome
  11. Les performances de transfert inter VM sur le même hôte ne sont pas dépendantes du réseau physique. As tu pensé a regarder du coté des performances disques ? Ou sinon de la signature SMB qui impact les performances sur les OS récents.
  12. Le FW est peut être inclut dans l'offre opérateur MPLS, c'est des choses qui se voient. Pour revenir sur le MPLS, avec le nombre limité de site de ce schéma, il me semblerai judicieux de comparer le cout du MPLS par rapport à des liens normaux et du VPN inter-site géré par un FW sur chaque site. (Ça se calcule sur la durée d'engagement des liens MPLS et en général on se rend compte que l'investissement dans des FW est plus que rentable.) Par rapport à la partie WAN, appeler un /30 un pool d'IP public me semble un peu abusif, la dedans on rentre l'IP du FW, de la gateway, du réseau et le broadcast, autant dire une seule IP utile niveau WAN soit le strict minimum (même si certains opérateur se permettent de vendre des /31...).
  13. C'est un MPLS fibre intersite avec sortie internet mutualisée vu le schéma. Le seul intérêt est de faire tout le filtrage internet des sites sur un seul FW. Petit commentaire, je parie que le serveur du siège n'a pas de SSD, et un HyperV tenant 2 TSE sans SSD ça doit ramer sévère Le SBS 2011 est hors support ça doit disparaitre. Les 2012 Foundation sont en EOL dans 3 ans, a supprimer avant. Y'a du MPLS faut aller vers une cible infra (et AD) unique type cluster d'hyperviseurs sur le siège et éventuellement PRA/PCA/AD 2daire sur un autre site. De même backup doublé sur 2 sites (y'a du lien Giga faut pas se priver). Pour optimiser, l'infra existante doit pouvoir faire le PRA ^^
  14. le serveur en face serait pas sur un adressage en 192.168.1.0/24 ? genre conflit de routage entre la plage source et destination
  15. Y'a du fondation et du SBS, donc ils ont pas une thune ! Postule pas la bas ? plus sérieusement c'est une hérésie cette infra : - y'a 4 domaines différents (but why ???) - les liens intersites sont en Giga mais ils centralisent internet sur le lien MPLS 20M (pas de redondance internet au passage) - les backup en mode gratos avec windows serveur backup sans doublon ni externalisation... (allez peut être ils ont des disques durs externes qui tournent ) - Je parie que la licence du siège n'est pas conforme, on peut bien faire 2 VM sous un hôte HyperV avec une seule licence mais c'est à condition qu'il n'ait aucun rôle ce qui n'est pas le cas - 22 utilisateurs sur un 2012 fundation ? la licence dit 15 max
  16. https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.TerminalServer::TS_CLIENT_DRIVE_M
  17. Un snapshot avant de sysprep permet de reprendre l'image ou elle en était lors des prochaines upgrade d'image sans avoir à tout refaire
  18. Prérequis à bien vérifier quand on fait du WDS : L'image WinPE de boot doit OBLIGATOIREMENT reconnaitre le réseau et le stockage de la machine déployée sous peine d'échec de déploiement. J'ai tendance à tuner le PE de boot pour lui insérer les driverpack DELL et HP (je ne travaille qu'avec ces deux marques), certains contrôleur de stockage et surtout carte réseau ne sont pas reconnus nativement par WIN10 (même si c'est en nette amélioration par rapport au versions précédente de Windows). Sinon l'image WIN10 utilisée pour le déploiement il est souhaitable bien que chronophage de lui intégrer l’ensemble des MAJ Windows ça fait gagner bcp de temps en post-déploiement.
  19. Bonjour, Par rapport au tutoriel j'ai quelques remarques : - La partie réglage IP est superflue, il n'y a en soit aucune différence avec un poste Windows, et dans la plupart des entreprises les IP sont fixées en DHCP et non en fixe - Tu as oublié la partie création du compte mobile (ce qui te permet de te loguer avec ton compte AD quand tu n'est pas sur le domaine de ton entreprise ! - Il faut aussi parler de la délégation d'administration à l'administrateur du domaine qui est importante
  20. Office 2013 et 2016 sont obligatoirement liées à un compte en ligne à l'installation (pour les versions boite) Une fois le première installation effectuée, la clé n'est plus utilisable directement, elle est liée au compte Microsoft ayant servi à l'activation. Ce compte d'activation ne peut contenir que 10 licences (limite Microsoft à la con ^^), donc 50 licences tu as entre 5 et 50 couples login/password des comptes Microsoft ayant servi à l'installation à retrouver.... Autant te dire que vu comme sont gérées les licences souvent, si t'as pas l'information consignée quelque part tu peut directement racheter tes licences ou passer dans la semi-illégalité...
  21. Pour le licensing office sur TSE tu as 2 solutions : - Soit la licence volume comme expliqué (cout fixe a l'achat pas de MAJ) - Soit en abonnement avec une offre ProPlus ou E3 déployée avec odt (cout mensuel, MAJ incluse,licence liée à l'utilisateur) AD et RDS peuvent coexister sur le même serveur, mais ce n'est absolument pas conseillé ! Perso ca ne me dérange pas de mettre le filer sur un DC, avec le DNS, DHCP et rôle printer souvent. Pour 60 utilisateurs à terme, potentiellement plus, il semble préférable d'envisager une ferme TSE (broker + X serveurs TSE) Ça simplifie accessoirement la maintenance en permettant de redémarrer un TSE sans mettre la boite à l’arrêt ^^ Penser à mettre en place les disques de profil ou une redirection sur les profils pour unifier les profils utilisateurs sur les différents TSE. Sur un TSE la ressource qui arrive le plus souvent à manquer est la RAM, étrangement le CPU bloque rarement.
  22. Steph69

    Box Orange

    il y a une autre technique pour remplacer la box en conservant les services : 1) tu met ton FW en frontal sur l'ont fibre (VLAN 835, PPPOE) 2) tu crée un serveur PPPOE sur ton FW coté LAN avec les mêmes identifiants que ta box 3) tu fout ta box derrière le FW elle se connecte sur le PPPOE DU FW et remonte tous les services TV et téléphone C'est moche mais ça évite la conf exotique pour conserver les services sur un ERL (et de mémoire la téléphonie n'était pas gérée)
  23. \\srv2010 => Une antiquité, ça serait pas un problème de smb1 qui est désactivé par défaut sur W10 (ne pas réactiver surtout !)
  24. Le conseil de base serait surtout de ne plus utiliser de compte mail Orange dans le monde professionnel ?
×
×
  • Create New...