« télémaintenance écoles »

« télémaintenance écoles »
Projet de la DIASI, Inspection Académique de la Seine-Maritime.
Réalisation en collaboration avec la DIVINFO, Rectorat de Rouen.
version 1.03 01/12/2009 , Valérian Millet
Nature et objet du projet
Améliorer la qualité du service d'assistance aux personnels enseignants du 1 er degré lors de la
mise en œuvre des projets nationaux et académiques s'appuyant sur les technologies informatiques.
Faciliter le suivi de gestion et l'assistance technique par les personnels informaticiens des
services centraux et les « matice » dans les circonscriptions (réduction des déplacements sur sites).
La solution technique est vouée à être étendue aux établissements du 2nd degré et à s'ouvrir à des
services d'assistance d'autres entités (mairies, conseil général...) disposant de personnels et/ou de
matériels affectés dans les structures d'enseignement.
Par convention, dans ce document il sera fait référence au « technicien » , « assisté » et « répétiteur »
technicien :
assisté :
répétiteur :
personnel technique qui effectuera l'intervention par prise de contrôle
personnel enseignant dont le poste sera pris en télémaintenance
machine mandataire qui mets en relation le technicien et l'assisté
1. État des lieux dans les écoles
1.1 postes informatiques
A 99% équipé d'un système d'exploitation Windows, le parc est totalement hétérogène en versions.
Liste des logiciels installés non-maitrisable ; très peu de standardisation.
Installations et paramétrages effectués par de nombreux services de divers structures.
Il en résulte que chaque poste est unique au niveau de sa configuration.
1.2 réseaux
Adressages inconnus des techniciens de nos services ; infrastructure variée (routeurs, proxy, firewall...)
1.3 personnels
En général, les enseignants ne sont pas compétents techniquement.
Certains personnels ont parfois beaucoup de difficultés à maîtriser leur environnement informatique.
2. Solution technique
2.1 télémaintenance
Prise de contrôle du poste à distance par les techniciens.
Technologie VNC (initialement) et/ou Bureau à Distance Microsoft (proposition Paul Tavernier) → jamais
testé, pour des besoins de mise en service rapide nous avons conservé VNC qui fonctionne bien depuis janvier 2009
(appel à testeurs, à l'IA76 nous ne le ferons pas) ajout 01/12/2009
2.2 problématique
a. accéder à n'importe quel poste d'un réseau privé via internet.
b. traverser tous les firewall, barrières de sécurités, proxy mis en place.
c. disposer d'une solution compatible avec le maximum de versions du système d'exploitation
d. n'installer aucun logiciel sur les postes et ne pas avoir de configuration par poste à maintenir
e. intervention minimum de l'assisté ne nécessitant aucune connaissance technique.
2.3 réponses techniques
a. effectuer la requête depuis l'assisté vers le technicien via un serveur mandataire.
b. communiquer uniquement sur les ports 80 et 443, à priori toujours accessibles (demande Paul Tavernier)
→ modification technique prise en compte et réalisée ajout 01/12/2009
c. tests de mise en œuvre à effectuer en simulation (cf. 3.1 compatibilité)
d. mise à disposition d'un exécutable pré configuré ne nécessitant aucune installation
→ bureau à distance : procédure inconnue pour moi (appel à testeurs et retours d'expérience)
e. connexion sur un site web → téléchargement → lancement → prise de contrôle
3. Aperçus techniques
3.1 VNC
Exécutable pré configuré disponible pour Windows uniquement. (cf. 4.1 compatibilité)
Serveur disponible sur tous les OS ; le répétiteur fonctionne sous Unix ou Windows. (choix à faire) →
solution Unix choisie ajout 01/12/2009
Le technicien doit disposer d'un « Viewer » version 1.05 de UltraVnc (Windows) ; Unix → Ssvnc (ne marche
pas toujours bien), sous Linux wine + exécutable vncviewer.exe marche bien ajout 01/12/2009
Le poste assisté est identifié par l'ID qu'il envoie au serveur mandataire.
→ toute la chaîne d'assistance est disponible gratuitement
3.2 Bureau à Distance Microsoft → solution abandonnée... si quelqu'un veut se lancer ?? ajout 01/12/2009
Solution Windows uniquement, en natif dans le système depuis Windows 2000.
Outils techniciens disponibles pour tout système.
→ serveur mandataire payant, serait plus performant (Paul Tavernier ; tests à réaliser)
→ communications natives sur le port 3389 à l'encontre du point 2.3.b
3.3 mise en œuvre
Pour répondre parfaitement à tous les cas spécifiques évoqués précédemment, il apparaît nécessaire de
faire fonctionner les 2 solutions en parallèle.
Se posera alors le problème des ports disponibles. Actuellement, VNC occupe les ports 80 et 443. Libérer
une ressource pour le bureau à distance signifiant un port technicien différent de ces derniers.
L'accès « technicien' » n'est aujourd'hui restreint à aucun réseau. Il faudrait le limiter à Racine et donner
un accès VPN et/ou OTP.
4. Retours d'expériences
→ tests effectués uniquement en VNC sur public ciblé et restreint
4.1 compatibilité système
Tests de fonctionnement de l'exécutable sous différentes version de Windows :
98se
ok
NT4
partiel(1)
XP pro
ok
Vista, Seven
ok, parfois lent ajout 01/12/2009
Tests sur les autres versions à faire, notamment 95 (probablement présent dans les écoles).
(1)
effectué sur une machine virtuelle, sans logiciel.
nécessite 2 fichiers .dll (fournis par une installation d'Office ou avec « vcredist.exe » de Microsoft)
4.2 débits de connexion
prise de contrôle depuis / vers / statut
réseau IA76
→
rtc
rtc
→
rtc
réseau IA76
→
réseau IA76
réseau IA76 ←/→ adsl perso(1)
réseau IA76 ←/→ adsl école(2)
circonscript. ←/→ adsl école(2)
adsl perso
→
re-adsl perso(3)
réseau IA76
→
un collège
(1)
(2)
(3)
acceptable, limitations de lignes évidentes
passable, idem
excellent
excellent
excellent
excellent
bon
accès assisté répétiteur ok, prise de contrôle impossible
ligne adsl2 en zone urbaine, freebox mode routeur sans firewall
ligne adsl en zone urbaine, école de Grand-Quevilly, M. Paschal (IAI) + M. Belloncle, (IAI de St-Etienne)
ligne adsl2 en zone urbaine, freebox → ligne re-adsl <512kb zone rurale éloignée, livebox
4.3 essais particuliers
Connexions simultanées :
technicien → assisté + assisté → autre poste du réseau du technicien
technicien → 2 postes assistés (même réseau)
2e poste assisté utilise l'id d'un poste déjà en télémaintenance
ok (connexion croisée)
ok
refus de connexion
2e technicien veut assister un poste déjà en télémaintenance
refus de connexion
Auparavant, une machine ayant déjà un service vnc de lancé ne pouvait pas être prise en
télémaintenance avec ce système, il fallait d'abord quitter le service. Des tests effectuées aujourd'hui
ont montrés le contraire :
→ prise de contrôle sur le service vnc directement avec l'ip puis prise de contrôle via ce système en plus
(même machine du technicien) sans aucun problème.
Fonctionnement non garantie bien sur. ajout 01/12/2009
4.4 difficultés de mise en œuvre
a. récupération de l'exécutable par le personnel enseignant
- ne sait pas où il a été téléchargé (bureau, mes documents etc...)
- n'arrive pas à entrer l'url dans le navigateur (parfois, tape l'url dans la recherche google)
- la politique de sécurité du poste interdit le téléchargement d'exécutables
- un antivirus bloque le téléchargement
- après téléchargement, l'antivirus interdit l'exécution (vnc est vu comme un troyan)
→ solution choise : envoyer un email avec le lien direct de téléchargement à la personne qui n'a
plus qu'à clicker ajout 01/12/2009
b. duplication d'identifiant
Le poste assisté doit envoyer un identifiant unique au répétiteur ; des solutions techniques existent :
- utilisation de l'identifiant RNE (comment prendre plusieurs machines en assistance simultanée ?)
- exécution, sur le poste assisté, d'un script local générant l'ID (trop de problèmes potentiels...)
- génération d'un ID sur le serveur avant mise à disposition : 7zip, php ou bash (préférable) →
abandonnée (personne pour développer ou creuser le système, nécessité de mise en service rapide... ajout
01/12/2009
- fixation d'ID par technicien non nominatif ou pool d'ID par entité
→ solution retenue = exécutable configuré avec un pool d'ID par « établissement » : ia76, ia27,
rectorat + 1 exécutable par Matice. Les ID correspondent au n° RNE + le n° de poste choisie (cf. doc
technique) ajout 01/12/2009
c. autres points constatés ?
Merci de signaler vos expériences.
5. Évolution, modification
5.1 sécurisation
Le flux vnc est en clair, il peut être crypté avec une clé intégré dans l'exécutable.
Le répétiteur peut fonctionner en mode SSL.
Pour l'instant, il s'agit de tester le fonctionnement de la solution avant d'étendre les fonctionnalités.
5.2 accès simultanés
Actuellement, seule 10 50 connexions simultanées sont possibles. (en vigueur depuis janvier 2009) ajout
01/12/2009 Les id sont fixés au pool de 1230 à 1239. Il s'agit d'un choix de configuration et non pas d'une
limitation technique.
Les sources Unix mentionnent 1000 connexions concourantes.
Il faudrait pouvoir tester la charge admissible maximum.
Merci à :
Olivier Brousselle
installation du serveur hébergeant le répétiteur
Reginald Louvel
définition des fonctions (développement php ??)
David Molina informations sur format 7zip (développement php ??)
Johnny Quevilly
recherche de solutions
Paul Tavernier configuration des accès réseaux, définition des fonctions
et aux testeurs :
Sylvie Gallier, Georges-Eric Paschal, Laurent Belloncle