Suite à une sollicitation d’un client, nous avons été missionnés pour mettre à niveau certains éléments de son infrastructure. Nous devons remplacer le serveur Hyper-V existant par un nouveau, et migrer toutes les données et applications avec une perturbation minimale des activités du client.
I - Situation initiale et évolution choisie
1 - Une infrastructure vieillissante
Actuellement, le client dispose d’un serveur HP sous Windows Server Standard 2012R2 avec le rôle Hyper-V, hébergeant 2 machines virtuelles :
- Contrôleur de domaine Active Directory sous Windows Server 2012R2, faisant aussi serveur de fichiers en SMB.
- Serveur applicatif sous Windows Server 2012R2, hébergeant 3 logiciels métier.
Les sauvegardes sont gérées directement par l’hyperviseur vers des disques durs externes en rotation.
Le système Windows Server 2012R2 a atteint la fin de support le 10 Octobre 2023. L’installation du nouveau serveur va donc permettre de passer une nouvelle version de l’OS, et profiter des mises à jour de sécurité et de fonctionnalité.
Le réseau se compose d’un seul sous-réseau en 192.168.1.0/24 défini par une LiveBox Orange Pro. Le client ne souhaite pas modifier son infrastructure réseau, faute de budget.
2 - Proposition commerciale retenue
Nous proposons au client de remplacer son serveur par un serveur Terra Miniserveur G5
- Processeur Xeon E2388G 8 cœurs
- 64 Go DDR4 ECC
- 2 SSD 1,92 TB en RAID 1
- 4 ports gigabit Ethernet
À cela se rajoute la mise en place d’une stratégie de sauvegarde robuste, basée sur Veeam et la stratégie 3-2-1 :
1 sauvegarde sur NAS Synology DS220+
1 sauvegarde sur cartouche RDX, stockées en en rotation hors-site
On ajoute au matériel toute la configuration et prestation d’installation associée, ainsi que les licences nécessaires :
- Installation de Windows Server 2022 et paramétrage de Hyper-V
- Configuration de 3 machines virtuelles : Contrôleur AD, Sauvegarde et Applications
- Migration du domaine, des données et des applications (avec les éditeurs)
- Configuration des sauvegardes
- Licences Windows Server 2022 et CAL nécessaires
- Licence Veeam Data Platform Essentials
- Licences Antivirus GData
II - Configuration initiale en atelier
Une grande partie de la configuration peut être effectuée en amont de l’intervention sur site. Cela nous permet d’optimiser notre temps de travail, et de limiter au maximum le temps d’intervention chez le client.
1 - Hyperviseur
Le serveur est livré dans nos locaux tout assemblé et le RAID 1 configuré, il faut néanmoins encore installer le système d’exploitation. Windows Server 2022 est installé à partir d’une clé USB s’installation, en version Standard avec expérience de bureau sur tout l’espace disque disponible (environ 2 To).
Installation de Hyper-V sur Windows Server 2022
Un mot de passe simple est défini au départ, pour faciliter les nombreux redémarrages jusqu’à ce que toutes les configurations initiales soient effectuées, et qu’il n’y a donc plus re redémarrage à effectuer :
- Renommer l’ordinateur : HYPERV-CREP
- Mettre le système entièrement à jour (Windows update et pilotes)
- Installer l’antivirus GData
- Configurer l’accès distant Anydesk pour la maintenance future
- Installer les logiciels utiles (gestionnaire de RAID, navigateurs)
- Installation du rôle Hyper-V
Après cela, le mot de passe administrateur local peut être changé en sa version définitive. Il est généré aléatoirement avec un mélange de 16 caractères dont des majuscules, minuscules, chiffres et caractères spéciaux, comme le seront tous les mots de passe de cette prestation.
Le disque sera aussi séparé en 2 partitions : une partition système et une partition pour les machines virtuelles, pour faciliter la récupération en cas de problème.
On prendra soin ensuite de modifier l’emplacement par défaut des disques des machines virtuelles et leurs fichiers de configurations pour pointer vers la partition D.
On peut enfin finir par la configuration des machines virtuelles.
Configuration des Machines Virtuelles
Chaque machine virtuelle aura son propre commutateur virtuel, associé à une carte réseau physique, non partagé avec l’hôte. De cette manière, chaque port sur le serveur correspondra à une machine et tout le trafic sera géré par le switch physique.
Hébergera le contrôleur de domaine et le partage de fichier. Un deuxième disque lui est alloué pour les données partagées.
On lui confère initialement une bonne portion des ressources car il s’agit d’un élément essentiel de l’infrastructure du client.
16 Go de RAM | 4 CPU virtuels
Servira exclusivement à la sauvegarde via la solution Veeam.
La configuration requise est moindre que les autres.
8 Go de RAM | 4 CPU virtuels
On y installera les logiciels métier. On définit les ressources nécessaires en se conférant aux recommandations des éditeurs. Un deuxième disque lui est alloué pour les données des logiciels.
C’est la machine la plus gourmande en ressources.
32 Go de RAM | 4 CPU virtuels
On installe Windows Server 2022 sur chaque machine, et on s’assure qu’elles sont bien à jour, renommées et activées avant de configurer un mot de passe fort.
On se contente de l’installation de base sur les VM SRV-AD et SRV-Appli pour le moment, le reste de la configuration ne pourra se faire que sur place. On peut en revanche d’ores et déjà commencer l’installation et la configuration de Veeam Backup & Replication sur SRV-Sauv.
On installe la version gratuite Community Edition avec l’ISO disponible directement sur le site de Veeam, téléchargée à l’avance sur notre NAS en local. Cette version pourra être migrée facilement au dernier moment vers la version payante.
On peut ensuite configurer notre hyperviseur en indiquant à Veeam les identifiants administrateur local. Il est important de temporairement désactiver le pare-feu, l’antivirus et l’UAC (User Acces Control) le temps de la mise en place de la communication entre Veeam et l’hyperviseur. Les règles et ajustement nécessaires seront mises en place par Veeam, et tout pourra être réactivé sans perturber le fonctionnement du système.
Finalement, Il faut aussi mettre en place les notifications automatiques. On configure un envoi de mail pour toute erreur de sauvegarde vers notre boîte mail dédiée, afin de pouvoir prévenir le client ou réagir nous-même au moindre problème.
2 - NAS Synology
Après avoir soigneusement installé les deux disques de 4 To, on effectue la configuration initiale de NAS en se connectant à l’interface web, dont l’adresse IP est trouvable avec un scan réseau (voir résolution « Configuration d’une solution Wifi Mesh »).
On choisira un mot de passe fort, et un identifiant unique pour plus de sécurité.
On créé un pool de stockage en RAID1, et un volume non chiffré pour faciliter la récupération en cas de sinistre.
Enfin, on paramètre un utilisateur dédié pour Veeam et la sauvegarde des VMs, avec le dossier partagé correspondant.
On créé aussi un dossier pour la sauvegarde d’office 365 qui sera mise en place ultérieurement par le client.
3 - Préparation de l'installation
Avant de partir pour l’installation sur site, il faut s’assurer d’avoir bien tout le matériel et les documents nécessaires. Tout au long de la préparation en atelier, un document regroupant tous les identifiants a été réalisé. Il faudra l’avoir avec nous pendant l’installation.
Dans la mesure du possible, on prépare une check-list de ce que l’on doit faire sur place. Pour ça le devis est parfait, puisque des notes techniques y ont été ajoutées permettant de s’y référer sur place pour ne rien oublier.
Enfin, il est prudent de tester la migration de l’AD avant la mise en œuvre effective en situation de production. À cet effet, je teste et document la migration d’un domaine Active Directory avec des partages de fichiers depuis deux machines virtuelles, de Windows 2012 à Windows 2022. Vous pouvez télécharger la procédure ici :
III - Installation sur site
Le déploiement sur site se fait à deux techniciens sur une journée : Nicolas et moi-même. Le principal défi est de comprendre l’architecture existante pour pouvoir intégrer les nouveaux équipements et assurer la transition. Nous nous sommes assurés d’avoir à notre disposition tous les identifiants nécessaires pour accéder au serveur existant et à la configuration du réseau. Nous prenons bien soin de documenter toutes les configurations effectuées au cours de l’intervention, pour faciliter la maintenance par la suite.
1 - Configuration du réseau
Après avoir raccordé tout le matériel à côté du serveur en activité, on commence par modifier l’adressage réseau de l’hyperviseur, des machines virtuelles et du NAS, selon les adresses disponibles. Les adresses sont fixes, et en dehors de la plage DHCP prévue.
Seules les VM SRV-AD et SRV-Appli seront jointes au domaine, afin de garder une isolation avec l’hyperviseur et la VM SRV-Sauv. Dans un premier temps, on ne joint que la VM SRV-AD, on gardera la deuxième comme témoin pour tester que la migration du domaine s’est bien déroulée.
Le serveur DHCP est assuré par l’AD, il faudra prendre soin de migrer le rôle et la configuration vers le nouveau serveur à la fin.
2 - Configuration de Veeam : Backup 3-2-1
Maintenant que le NAS a une IP fixe, on peut finaliser la configuration des sauvegardes avec Veeam. Le dossier partagé « Veeam » créé en atelier est accédé par SMB avec l’utilisateur dédié.
Toutes les destinations et les sources de sauvegardes sont configurées. Il ne reste plus qu’à créer les tâches de sauvegarde.
On veut sauvegarder toutes les VM toutes les nuits sur les deux emplacements. Dans l’idéal, on les configure pour s’exécuter en décalé, par exemple à 2h pour la sauvegarde sur le NAS et à 3h sur la cartouche RDX
3 - Migration de l'AD et des autres services
La migration de l’AD se passe comme prévu lors de notre test en atelier (voir procédure).
Avant de supprimer l’ancien contrôleur, on prend soin de transférer la configuration DHCP vers le nouveau serveur et de remplacer le serveur DNS attribué par notre nouveau SRV-AD, ainsi que manuellement sur tous les appareils à IP fixe.
On vérifie que tout fonctionne bien en intégrant au domaine la VM SRV-Appli.
La bascule des données et la rétrogradation de l’ancien AD se fera à distance sur un créneau prévu avec le client pour perturber le moins possible son fonctionnement.
Ainsi, il ne restera plus qu’à migrer les applications conjointement avec les éditeurs, et l’installation sera entièrement terminée.
Conclusion
À la fin de l’installation, un temps d’échange avec le client a été organisé pour expliquer ce qui a été fait et la suite des actions à entreprendre, ainsi que pour répondre à ses interrogations. Après l’installation, l’équipe reste disponible pour toute question que le client pourra avoir.
