L’éditeur prévoit l’utilisation standard du serveur SCCM pour télédistribuer les mises à jour de sécurité des logiciels sous Windows et d’autres éditeurs agréés comme Adobe. C’est la connexion à Internet qui le permet, mais la DAM ne l’accepte pas. Dans ce cas, l’éditeur préconise de raccorder le serveur SCCM à deux serveurs Microsoft WSUS.
Pour implémenter cette solution à la DAM, j’ai suivi les instructions de configuration recommandées par l’éditeur.
La figure 15 ci-après montre le cloisonnement physique, représenté par les pointillés violets, entre le réseau Internet (à gauche sur le schéma) et le réseau d’entreprise isolé DAM (à droite) :
Commissariat à l’Energie Atomique et aux Energies Alternatives
Centre DAM Île-de-France - Bruyères-le-Châtel – F- 91297 Arpajon 55 Figure 15 : Principe d’obtention des mises à jour de sécurité DAM
(Source tutoriel Microsoft SCCM-2012 10747A-01) Il faut donc procéder ainsi pour télédistribuer les mises à jour à la DAM:
• • •
• Configurer un premier serveur WSUS-1 possédant le rôle WSUS, connecté à Internet (zone de gauche), qui télécharge automatiquement les mises à jour publiées depuis le site « Microsoft Update », au minimum une fois par semaine.
• • •
• Stocker les correctifs obtenus sur le disque dur (disque bleu) du serveur WSUS-1. •
• •
• Vérifier et copier manuellement les fichiers binaires et les fichiers (.cab) et (.XML). C’est le travail d’un administrateur représenté par le personnage en bleu.
• • •
• Transférer manuellement les fichiers sur un deuxième serveur WSUS-2 identique (zone de droite), présent sur le réseau d’entreprise isolé.
• • •
• Raccorder au préalable le serveur SCCM au serveur WSUS-2. SCCM doit être paramétré avec un rôle supplémentaire : Software Update Point (SUP)1.
• • •
• Avertir le serveur SCCM, de la disponibilité de nouvelles mises à jour, via WSUS-2. •
• •
• Faire approuver et tester obligatoirement par un administrateur SCCM (ordinateur et personnage en rouge) les correctifs choisis, avant de les télédistribuer vers les postes clients.
Il faut noter que l’un des rôles essentiels de l’administrateur responsable du fonctionnement de SCCM est d’approuver ou non, toute nouvelle version logicielle, avant de la télédistribuer. Il faut contrôler tout nouveau logiciel ou version à déployer sur les postes clients, car un logiciel non conforme ou mal configuré peut être responsable de l’interruption temporaire du réseau d’entreprise des utilisateurs.
Commissariat à l’Energie Atomique et aux Energies Alternatives
On comprend l’intérêt de mutualiser et de centraliser cette manipulation fastidieuse pour l’ensemble des centres de la DAM. Comme le serveur primaire est positionné à la DIF, j’ai proposé à ma hiérarchie d’ajouter cette opération à l’exploitation qui sera réalisée par l’infogérant de la DIF en 2014.
7.6 Conclusion de l’étude
La maquette a permis de valider les fonctionnalités du tableau XV qui seront configurées de manière identique sur la plate-forme de production.
En outre, elle a aussi permis d’apprécier les avantages suivants, apportés par l’utilisation de SCCM :
• Inventaire : donne un état réel et détaillé des configurations des machines clientes. Il a fonctionné parfaitement.
• Création : rapide et simple de packages sources à télédistribuer.
• Télédistribution : les packages ont été mis à disposition et téléchargés par les machines ciblées, dans un délai raisonnable, c’est–à-dire en trois heures, pour les cinq machines de test.
• Surveillance : régulière et quotidienne du fonctionnement des machines grâce à la console d’administration. Elle permet aux administrateurs d’avoir une vision globale du parc.
• Edition : détaillée des rapports et des statistiques de télédistribution hebdomadaires, sur le portail Web accessible à tout utilisateur autorisé.
• Garantie : de la conformité du parc informatique grâce à l’inventaire matériel et logiciel hebdomadaire. Détection très rapide de matériel non conforme ou non autorisé à se connecter au réseau.
• Simplification : du nombre de logiciels de bureautique et des versions utilisés à la DAM, grâce au calcul permanent des licences réellement consommées.
• Obtention : rapide des mises à jour, depuis le serveur WSUS, puis de leur télédistribution après approbation de l’administrateur, vers les groupes de machines concernées.
• Analyse : détaillée des échecs de télédistribution pour permettre aux administrateurs d’être plus efficaces dans la gestion des postes de travail et des serveurs.
Toutefois il m’a été impossible de finaliser les tests de migration de SCCM sur les machines sous Linux par manque de temps. L’installation de l’agent SCCM sur une machine Linux doit être réalisée de manière unitaire et manuelle. Ma hiérarchie m’a demandé de reporter ces manipulations lors de la deuxième phase du projet. Je les réaliserai en même temps que les tests de déploiement d’OS.
Une partie seulement des dysfonctionnements étaient apparue sur la maquette. Cela était dû à sa taille et à sa limitation. Le rôle de la maquette était d’aider à maîtriser le produit SCCM et à appréhender l’aide à la gestion d’un parc informatique, grâce à la télédistribution.
L’étude et la validation technique des cinq fonctionnalités non optionnelles à configurer sur SCCM remplissaient le premier objectif du projet : « Étudier le produit SCCM ». Ce critère permettait de prendre en compte la gestion de la qualité (voir le tableau II).
Les tests de télédistribution vers un site distant DAM avaient montrés que SCCM fonctionnait bien sur le réseau WAN isolé.
Commissariat à l’Energie Atomique et aux Energies Alternatives
Centre DAM Île-de-France - Bruyères-le-Châtel – F- 91297 Arpajon 57
Je viens de détailler les résultats de l’expérimentation qui a permis de valider les fonctionnalités de télédistribution à retenir pour déployer SCCM à la DIF.
La plate-forme de tests m’a également aidée à montrer que le produit contribuera à la sécurité du réseau.
Le chapitre suivant présente la deuxième réalisation pratique concernant l’étude de l’infrastructure de serveurs SCCM qui devait être installée à la DIF en 2013.
Commissariat à l’Energie Atomique et aux Energies Alternatives