ESN de petite taille, postes d'administration système, réseau et sécurité, visiblement séparés selon la répartition des questions dans le questionnaire.

Questions

Questions générales​

Qu’est-ce qu’un serveur WSUS ?​

proper : Windows Server Update Services, rôle d'un serveur Windows afin de permettre d'avoir un seul référentiel de mises à jour dans le système d'information pour les systèmes de Microsoft. Snarky : Sorry excuse for an update management service that admins have to cleanup all the time once deployed (or setup automation for it... )

Que signifie un « Ring » dans un environnement Windows 10 ?​

Un "Update Ring", et techniquement pas simplement Ring, est une souscription de l'OS à un canal de mise à jour, dont la fréquence varie entre chaque "update ring" PS : Vraiment?! MS à VRAIMENT traduit "Update ring" par "Anneau de mise à jour" ? Pfffff... La bascule du nom de compte Administrateur / Administrator ne suffisait pas ? Fatigants...

Pourquoi est-il important d’être vigilant à ce sujet dans un environnement IT professionnel ?​

Dans un milieu professionnel, la stabilité est le plus souvent recherchée, or celle-ci s'est trouvée mise à mal pour les ordinateurs sous Windows 10 dans les dernières années et disposant d'un canal de mise à jour très régulier. Les updates de MS qui engendrent des blue screens sont légions sur /r/sysadmin, je suggère de suivre ceci "les patch tuesday" du subreddit afin de voir à quel point la dernière sortie est viable. Ce qui est bien, c'est qu'on peut utiliser WSUS pour intruire un délai dans l'application des patchs, ou faire des envrionnements de test.

Savez-vous concevoir et déployer un master ? Si oui, avec quel outil ?​

Smartdeploy, sinon, je n'ai touché qu'à des syspreps, unattended.xml et autre DISM.exe que pour permettre le redémarrage de fermes citrix.

Qu’est-ce que SYSPREP ?​

Ah, puis-ce-que l'on est sur le sujet, c'est l'étape de préparation d'une image master d'un système qui va supprimer tous les SIDs, relations à l'AD, comptes si nécessaire, etc... dans un système d'exploitation Microsoft en vue de déploiement. L'idée étant de permettre à Windows de s'initialiser proprement avec un système qui ne souffira pas de duplication d'identifiants et pourra joindre le domaine par la suite. L'étape de sysprep est obligatoire pour une installation correcte de cloudbase-init.

Pouvez-vous expliquer à quoi cela sert ?​

CF au dessus.

Êtes-vous familiarisé avec l’administration de VM ?​

Si oui, pouvez-vous nous dire avec quel hyperviseur ? Justifiez votre réponse avec une expérience que vous avez vécu(e) de moins de 5 ans.​

• Proxmox dans mon homelab
• Openstack plus récement.
• ESX / Vsphere depuis mon lycée de manière personelle, professionnellement que j'ai été en alternance à EDT.
• XCP-ng en tests sporadiques (très bon travial de la société Vates)

Quelle est la différence entre un NAS et SAN ?​

... ne pas refaire ce que qu'un d'autre à mieux fait : https://www.ibm.com/cloud/blog/san-vs-nas

Les utilisateurs d’un SI vous remontent qu’un serveur de fichiers « rame ». Quels peuvent être les pistes intéressantes à exploiter pour trouver la cause du désagrément ? *​

La posologie suivante est à suivre UNIQUEMENT EN CAS DE REPRODUCTIBILITE du problème : Vérification de l'utilisation du serveur (espace de stockage libre, temps d'accès, statut du raid, de la baie), statut de résolution DNS du client (c'est toujours DNS), statut du poste client (le VON est-il connecté?).

Quelles sont les bonnes pratiques de configuration Antivirus sur un Serveur de base de données ?​

Exclure les fichiers de base et le dossier de logs de l'analyse en temps réel.

Pouvons-nous installer Windows Server 2019 sur Vmware Esxi 5.5 ? Merci de justifier votre réponse.​

VMWare esxi 5.5 n'est plus supporté, donc non.

Questions systèmes​

Active Directory​

Qu’est-ce qu’une OU ?​

Alors, je pense que c'est suffisement clair ici : https://en.wikipedia.org/wiki/Organizational_unit_(computing)

Quels sont les deux types de GPOS que l’on peut créer ?​

La seule différence que je vois sont les GPOs Locales et de domaine.

Qu’est-ce qu’une GPO applicable par boucle de rappel ?​

Je n'en avait aucune idée avant que cette question soit posée, donc après recherche : Par défaut, une GPO concernant la partie "configuration utilisateur" ne s’applique que si la GPO est liée à une OU contenant des utilisateurs. De la même manière, le côté "configuration ordinateur" ne s’applique que si la GPO est liée à une OU contenant un objet "Ordinateur". Il existe cependant un moyen d'appliquer des paramètres utilisateurs spécifiques pour des postes précis. Ou des paramètres d'ordinateur pour des utilisateurs : Par exemple sur des ordinateurs en libre-service ou des serveurs de bureau à distance (TS). Il s'agit du traitement par boucle de rappel. Sources :

1. https://www.it-connect.fr/chapitres/gpo-loopback-processing/
2. http://pbarth.fr/node/99
3. https://docs.microsoft.com/en-us/troubleshoot/windows-server/group-policy/loopback-processing-of-group-policy

Pouvez-vous citer les rôles FSMO et décrire brièvement leurs utilités ?​

Flexible Single Master Operation comporte 5 rôles :

1. Maitre schema / Schema master Source de vérité du schéma Active Directory, seul serveur à pouvoir réaliser les mises à jour, qui seront ensuite répliquées.
2. Domain naming master Ce rôle donne le droit d'ajouter / retirer des noms de domaine dans la foret, et d'effectuer les liaisons vers le nom des paramètres, la doc MS mentionne par exemple l'ajout/enrolement d'un serveur DNS dans les enregistrements de "DNS par défaut".
3. RID master Le rôle gère la pool d'identifiants relatifs dans la foret (attention distinction SID / RID), et sert de référence lorsqu'un domaine à besoin de plus d'indeitifiants car il va tomber à court de RID.
4. PDC emulator Aujourd'hui, ce rôle sers à gérer la synchronisation du temps à travers dans la foret AD, en ayant gardé certains fonctionnalités des vieux OS MS relatives à la gestion des messages d'authentification.
5. Infrastructure master

La doc

Quelle procédure préconisez-vous pour réaliser une sauvegarde d’Active Directory (sans utiliser un outils tiers type Veeam) ?​

Préambule à toutye sauvegarde : L'idée d'une sauvegarde étant surtout de pouvoir la restaurer, si ce backup avec un outil microsoft n'est pas testé, il ne sers à rien. Autant utiliser des outils tiers qui prévoient des tests réguliers à minima. Sinon, si dans le pire des cas, un sysadmin est forcé d'utiliser un outil natif de microsoft, pouyr sauvegarder un serveur Active Directory, il est suggéré de faire une sauvegarde de l'état du système (system state backup) pour les anciens AD via Windows Server Backup, sinon une sauvegarde Image via Windows Server Backup.

MS privilégie également le transfert des rôles FSMO vers un AD secondaire si possible pour maintenir le service, car comme indiqué dans la doc de restauration : Active Directory servers must be restored offline.

CF Doc officielle

Base de données​

Qu’est-ce qu’un journal de transaction ? Et quel est son utilité ?​

C'est l'emplacement ou sont enregistrés un duplicata des transactions afin d'être rejouées si nécessaire en cas d'interruption de la base et permettre de s'assurer de l'intégrité de base lors d'une restauration et assurer un RTO faible.

Quel est l’effet de la sauvegarde sur une BDD configurée avec une journalisation en mode « complet » ?​

Celle-ci PEUX (ce n'est pas une obligation) tronquer (trunkate) les logs générés, permettant de libérer de l'espace disque sur le serveur. Les données étant par la suite sauvegardées dans un dump enregistré dans le logiciel de sauvegarde.

Citer 3 bonnes pratiques pour garantir / optimiser les performances d’une base de données sur un serveur virtuel ?​

1. S'assurer d'avoir toujours 20% d'espace disque libre (compter les 10% des VSS windows), plus 10% d'imprévus liés à la génération de dduplicatas et copies locales en cas d'intervention.
2. Réserver la mémoire du serveur et CPU du serveur et s'assurer de l'avoir suffisement provisionnée.
3. Maintenir les index de la base à jour.
4. Désinstaller Oracle et placer un vrai SGBD à la place... Sinon au prix de la licence, une augmentation est de mise pour tout le staff. ;)

PS. Oracle est intéressant comme SGDB, mais tout comme Citrix, l'enreprise s'est révélée tellement peu coopérative lors de PRA de clients que j'ai assisté, que je ne peux pas préconiser autre chose que se passer d'eux si possible.

Exchange​

C'est un domaine que je n'ai pas vu, et n'ai pas administré de serveurs exchange, prennons donc ca comme une opportunité de chercher cela :)

Veuillez citer les 2 rôles d'Exchange nécessaires au fonctionnement de la messagerie. À quoi servent-ils ?​

Selon la doc , ce sont :

1. Edge transport server. En résumé, Il gère les flux, les règles de corrier indésirable, et les interconnexions avec l'exterieur.
2. Database Availability Group, ou serveurs de boîtes aux lettres. Stocke et gère les mails, les bases de données Exchange et les connexions des clients de messagerie.

Qu’est-ce qu’une stratégie de destinataire ?​

A quoi consiste une topologie Exchange Hybride ?​

Veuillez décrire en 2 lignes le fonctionnement d’un cluster DAG​

Dans une topologie DAG, comment répartir la charge des accès clients et assurer la tolérance de panne ?​

Citrix​

Lien vers un doc d'architecture

Qu’est-ce que Citrix ADC (Formerly Netscaler) ?​

C'est un produit permettant de faire de la répartition de flux avec authentification des utilisateurs, de gérer des sites virtuels, permettre un accès externe aux services des fermes Citrix avec SSO.

A quoi sert le rôle Broker ? Est-ce un rôle indispensable ?​

Déja, qu'est-ce que c'est : "The Citrix Broker is a Microsoft Windows service running on a delivery controller that responds to desktop/application launch requests from users". Le broker de connexion va être chargé d'effectuer un équilibrage de charge et de ventiller les connexions utilisateur entre les serveurs de ferme en fonction de leur permettre d'utiliser les applications et bureaux demandés. Sinon, encore une fois, se réferer à la doc

Quels sont les points de vigilance particuliers à prendre en compte dans le cadre d’une installation d’une ferme Citrix ?​

dimensionnement de la ferme pour les applications, attribuer le minimum de droits à un utilisateur, penser à ne sauvegarder les profils uniquement que si cela est nécessaire.

Fédération d'identité​

Qu’est-ce que ADFS ? Citez deux usages courants​

Active Directory Federation Services, un moyen d'établir une délégation de contrôle d'identité pour les utilisateurs d'une application vers un domaine. Sourtout utilisé dans le cadre de la mise en place de SSO et gestion de droits unifiée, pour gérer l'accès à un tenant cloud par exemple.

Comment assurer la tolérance de panne d’une ressource ADFS (Proposez 2 solutions brièvement)​

Questions réseau​

Généralités​

Quelle est la différence entre switch niveau 2 et un switch niveau 3 ?​

Un switch niveau 3 permets d'effectuer toutes les taches d'un niveau 2 mais prends en plus en charge certines fonctionnalités de routage IP (inter VLAN, en fonction de l'IP) ou aggregation de switch d'accès multiples.

Qu’est-ce qu’un VLAN ? Pouvez-vous nous expliquer à quoi ça sert ?​

Il s'agit d'un tag ajouté à un paquet circulant sur le réseau au niveua 2 permettant d'iidentifier à quel "segment" celui-ci appartient et d'effectuer une cloison logique des réseaux IP sur une même infrastructure physique.

Qu’est-ce qu’un port Trunk ?​

Le port trunking permets de faire communiquer deux équipements entre eux via plusieurs liaisons physiques afin d'augmenter le débit total disponible entre ces deux équipements.

Spanning tree, pouvez-vous nous dire à quoi cela correspond ?​

C'est un protocole permettant d'établir de la haute disponiblité entre équipements physiques avec découverte de chemin / boucles. Celui-ci permets de résoudre 3 problèmes dans une infrastructure réseau redondée :

1. Tempète de broadcast
2. Duplication de trame
3. Instabilité table CAM

Si un cœur de réseau est composé de deux switchs. Ces switchs présentent la passerelle par défaut de chaque VLAN de la topologie. Quelle technologie permet d’assurer la continuité d’activité du cœur de réseau dans le cas où un des deux équipements tombent en panne ?​

Switch clustering...

Firewalls / équipements de sécurité​

Qu’est-ce qu’un firewall stateful ?​

C'est un firewall stateful permets de détecter des flux de trafic et superviser l'état de chaque connexion afin d'y appliquer des règle de filtrage plus poussées qu'un firewall stateless, ne pouvant utiliser que le contenu des paquets pour ses règles de filtrage.

Quelle est la différence entre TCP et UDP ?​

TCP est un protocole de transport de paquets avec une vérification de l'intégrité du flux intégré (TCP retransmets un paquet si il le considère perdu). UDP est un autre protocole mais sans contrôle sur la reception ou non du paquet.

Quels sont les 2 grandes étapes de la configuration d’un VPN IPSEC site à site ?​

Phase 1 : IKE , cela consiste en l'établissement du contact entre parties "gauche" et "droite" du tunnel et la définition d'une connexion de contrôle, pouvant être suivis d'une ou plusieurs phases 2 (SA) établissant la communication entre des réseaux et chiffrant les données en transport.

Qu’est-ce qu’une règle de NAT ? Qu’est-ce qu’une règle de NAT 1-1 ?​

Une règle de NAT permets réeccrire le contenu des champs IP source / IP destination d'un paquet arrivant sur un firewall. Le NAT 1-1 permets de router tout le traffic correspondant à une IP vers une autre, généralement entre IP publique et IP privée.

Le contrôle d’application intervient sur quelle couche du modèle OSI ?​

Couche 7 : application.

Le routage intervient sur quelle couche du modèle OSI ?​

Couche 3 : réseau.

A quoi sert une DMZ ?​

Une zome démilitarisée est un réseau isolé et exclu de confiance permettant d'isoler les interfaces des serveurs exposant des services vis à vis d'internet.

Avez-vous déjà paramétré un équilibreur de charge ? Si oui, quel constructeur ?​

Flexible Engine ? c'est un cloud :)

Qu’est-ce qu’un outil EDR ? Quelle solution connaissez-vous (Préciser l'installation et utilisation de la/les solution(s))?​

Endpoint Detection and Response, ce sont des outils de défense en profondeur remontant leur information vers un service centralisé avec de mieux controller les infections de malware ou intrusions. SentinelOne via le service Micro-SOC d'Orange

Quelles sont les bonnes pratiques de configuration Antivirus sur un Serveur ?​

Exclure les dossiers applicatifs temporaires connus de l'analyse temps réelle si cela à un impact sur la performance, s'assurer qu'elle est par contre active sur tout le reste. Placer les logiciels de sauvegarde dans la liste blanche. S'assurer que le logiciel n'est pas desactivable facilement par un administrateur mais uniquement via le contrôle centralisé.

Qu’est-ce qu’un SIEM ? Quelle solution connaissez-vous (Préciser l'installation et utilisation de la/les solution(s))?​

Qu’est-ce qu’un proxy ?​

Qu’est-ce qu’un reverse proxy ? Citer un usage courant​

Avez-vous déjà réalisé des tests de vulnérabilité ? Si oui, avec quel outil ?​

Qu’est-ce que la méthode MEHARI ?​

Qu’est-ce que le SecOPS ?​

I've been working in the Disaster recovery business for 6 years, so I thought I could put in writing a few things that have been the bane of the projects I've been assigned leading to failure, exhaution and plain customer rejection of the DR solution.

The plagues of your DR

This filer you shall clean and archive​

See this filer with 7 TB of data and 4 Million files you have ?

Of those 4 millions, half of them if not way less are necessary on a daily basis.

In case of a disaster and yo need accounting and your invoicing back online ASAP ? you will need a tenth of it in the first 4 to 12 hours.

Do yourself, and the tool that you use to recover, a favor :

• Archive in Zip directories with stale data
• Order and make people in the company order the data by Year / Month if possible, or have an archive directory with zip files of unused data.

AKA HAVE A DATA LIFECYCLE POLICY !

This tool that uses MAC addresses for licensing you shall banish​

In case of DR, you might be in a slightly different environment than the production.

This can happen for many reasons : The provider you chose is late on the delivery of something, you chose a DRaaS solution that uses any kind of public cloud, where usually setting arbitrary mac addreses is going to be forbidden, the server is now in a vortual environment and was physical previously...

Tools that rely on the MAC address of the network interfaces to check if the licence is valid are going to be an issue and you will need to copntact the editor to obtain a new licence...

Which is usually NOT a great experience because the very concept of Disaster Recovery is not a priority for many of them and the latency of sales people you will certainly be forwarded to can be a nightmare.

Which brings us to the next point ->

The name and contact information of your providers you shall keep up to date​

You're in it up to the neck, and you are kindly informed that your contact at "provider of critical business solution X" has moved on and is no longer at the company.

Congratulation, you now have another rabbit hole involing talking to humans from outside that you need to resolve.

Keep up to date with your support of the solutions every 6 months, have a list of those in a vault / file manager outside your systems and review your support contracts at the same time.

No support contract while triggering a DR is shaking hands with danger. Ask your support for how they will help you set things back up in case of an emergency and how much it might cost you.

This huge partition you should break up​

A 13 TB Exchange server, on a 20 mbps line, is not a great backup and recovery recipe. Nor is a SQL dump recovery of 3 TB of EDI Data to apply to your restarted MSSQL server.

The larger the partition, the bigger the data on it, usually those large systems are also a monolithic database, where the recovery of data MUST be consistent in a single atomic operation : You will need all of your database's files for it to start up, but when each of them weigh a hundred gigabytes, this will introduce a delay in your recovery.

Less is better​

You have to always do more with less at your disposal, to help you with that, give your problems to someone else :

• Exchange to Office 365 for non critial people (if you're european, yeah, keep exchange for the VIPs, just reduce it's size), if not everyone.
• Move the photos of the company gathering of 2003 to cold cloud storage.
• When solutions like azure workstation, Shadow and Citrix cloud exists,ask yourself if you still need to maintain a local VDI solution

Your documentation you will keep up to date and protect​

Yes, you need to include your internal wiki in your DR, and in it, must be present the instruction on how to restart and maintain your services. Create an inventory of EVERY. SINGLE. ONE. OF. THEM. , if there's someone that point a lack in documentation, add it to the todo.

Your secrets and passwords you will keep with you and synced​

Use a password manager, idealy externalized... No, hosting it on premise is not necessarily more secure, and when disaster strikes, if it gets wiped out too, you're in deep shit.