DirectAccess : un jeu de lego – (Partie 5/7 : UAG)     Article par Benoît SAUTIERE (MVP Enterprise Security) Benoît SAUTIERE est référent technique et architecte infrastructure pour un Microsoft Gold Partner. En tant que MVP, Benoît participe au développement des offres autour des solutions d’infrastructure Microsoft et intervient en tant que Speaker aux Techdays 2010 et 2011. Mon parcours « Microsoft » a commencé avec Windows NT 3.51 et produits associés, pour progressivement me spécialiser sur les solutions d’infrastructures Microsoft et arriver aujourd’hui à Windows 2008 R2. C’est au TechEd 2008 que j’ai découvert ce qui deviendra DirectAccess, sujet que j’ai développé tout au long de nombreux billets sur mon blog : Simple by design, signant mes articles avec la mention « Simple and Secure by Design », maintenant complétée de « and Business compliant ». Spécialiste des infrastructures d’annuaire ainsi qu’impliqué dans les aspects sécurité des produits Microsoft, Benoît intervient auprès de grands comptes français voire internationaux pour son expertise dans ces domaines.

Articles Première partie : Fondamentaux Seconde partie : Préparation Troisième partie : PKI Quatrième partie : NLS Cinquième partie : UAG Sixième partie : DirectAccess Septième partie : Pour aller plus loin

Vous trouverez ci-dessous le début de l’article, n’hésitez pas à télécharger la suite directement en format pdf

Sommaire de l'article

• Configuration du serveur UAG1
  • Configuration initiale du serveur
  • Certificats IPSEC et état de santé
  • Installation de Microsoft ForeFront Unified Access Gateway 2010 SP1
  • Configuration initiale d’UAG
  • Certificat IP-HTTPS

>> Télécharger gratuitement l'intégralité de cet article <<

Configuration initiale du serveur UAG1

C’est la dernière ligne droite. Celle de notre serveur UAG et de sa configuration de DirectAccess. C’est la partie de cet article la plus documentée pour une raison simple : il y a beaucoup de choses à dire entre autre par rapport aux nouveautés du Service Pack 1.

Configuration initiale du serveur

Notre serveur UAG1 dispose de deux interfaces réseau. C’est à ce niveau que vont se jouer pas mal de prérequis propres à DirectAccess. Les opérations suivantes seront réalisées :

• Nommage des interfaces réseau
• Vérification de l’ordre de liaison des interfaces réseau
• Configuration de l’interface réseau Internet
• La configuration du pare-feu
• Le déplacement du compte ordinateur

Dès lors que ces opérations auront été réalisées, il sera possible de procéder au référencement du nom DNS publique de notre serveur UAG1. Ce référencement est important car, c’est ce nom pleinement qualifié qui sera inscrit dans le certificat IP-HTTPS qui sera mis en œuvre plus tard. La recommandation est de réaliser cette demande quelques jours avant la demande de certificat afin que l’information soit bien propagée dans l’infrastructure DNS Internet. Une bonne pratique pour commencer : Nommer les interfaces, c’est essentiel pour s’y retrouver plus tard.

Deuxième bonne pratique, s’assurer de l’ordre de liaison des cartes réseau. La carte LAN doit être en premier car UAG (plus précisément TMG) a besoin d’accéder à sa configuration locale en passant par la carte LAN.

Coté Carte LAN, il est impératif de conserver IPv6.

Notre carte LAN ne dispose pas de passerelle par défaut. C’est normal, la carte Internet disposera elle d’une passerelle et Windows ne sait pas traiter les passerelles sur plusieurs interfaces. Il faut passer par les routes statiques si on en a besoin.

Le référencement du suffixe DNS du domaine Active Directory sera utile pour UAG pour identifier la carte LAN sur laquelle le routage IPV6 devra être mis en œuvre.

Coté Internet, même combat, on a besoin d’IPv4 et IPv6, c’est non négociable!

Notre interface Internet est configurée avec une passerelle par défaut. Par contre, pas de DNS à ce niveau, cela nuirait à la performance de NAT64/DNS64. Si notre serveur UAG doit pouvoir résoudre des noms sur Internet, c’est le DNS interne qui devra fournir les réponses.

Ma carte Internet dispose bien de sa seconde adresse IPv4 publique consécutive.

Pour résumer, la configuration se présente ainsi. A ce stade, il existe bien des cartes réseau ISATAP mais sans configuration pour l’instant. On constate aussi la présence d’une carte 6to4 configurée. C’est normal, le système a généré les adresses IPv66to4 à partir de la première adresse IPv4 publique.

Coté connectivité, notre serveur UAG1 a bien une carte réseau connectée sur le LAN de l’entreprise et l’autre connectée à Internet. La connectivité Internet est validée car le serveur est capable de joindre le serveur http://www.msftncsi.comde Microsoft.

Enfin, côté pare-feu, on constate bien qu’il est actif et ce sur les deux interfaces, c’est essentiel.

Il ne nous reste plus qu’à placer le serveur UAG1 dans le bon conteneur dans l’annuaire Active Directory, afin qu’il puisse récupérer le paramétrage qui lui sera destiné.

| Haut de page

Certificats IPsec et état de santé

A ce stade de la configuration, la fonctionnalité Auto-Enrôlement  de la stratégie de groupe PKI Settings  a normalement fait son travail, à savoir la mise à disposition de certificats générés selon les gabarits suivants :

• DA certificates
• System Health Authentication

| Haut de page

Installation de Microsoft Forefront Unified Access Gateway 2010 SP1

Nous y sommes enfin. A partir de maintenant, on va de focaliser sur UAG, depuis son installation, sa configuration initiale et la mise en œuvre de DirectAccess. Le plus long, c’est encore son installation. Prenez votre mal en patience, c’est très long. Avant même de commencer à installer UAG, la première chose à faire, c’est de s’assurer que notre serveur est bien à jour. Il sera connecté à Internet tout de même. Une vérification sur Windows Update ne sera donc pas de trop.

• Le processus d’installation en lui-même est simple, direct, sans fioriture. Une seule option proposée : le répertoire d’installation.

Le processus d’installation prend en charge l’installation des rôles et fonctionnalités suivants :

• Network Policy Server (NPS)
• Routing and Remote Access Services (RRAS)
• Active Directory Lightweight Directory Services Tools (ADLDS)
• Message Queuing Services
• Web Server (IIS) Tools
• Network Load Balancing Tools
• Windows PowerShell
• Windows Identity Foundations
• Microsoft .Net Framework 3.5 SP1
• Windows Web Services API
• Microsoft Windows Installer 4.5
• SQL Server Express 2005
• Group Policy Management Console (GPMC)

L’installation d’UAG intègre bien entendu l’installation de TMG 2010, mais aussi le dernier niveau de Service Pack disponible, à savoir le premier!

Fini. A ce stade, on ne va pas encore redémarrer pour l’instant.

On va déjà mettre un point en évidence. TMG est venu se superposer au pare-feu du système d’exploitation. Pour cette raison, il est interdit de désactiver le pare-feu Windows! On constate aussi que la gestion des tunnels IPsec est toujours à la charge du pare-feu du système d’exploitation.

A ce stade, je recommande trois choses :

• Installer Java, c’est un prérequis pour la console Web console  d’UAG
• Relancer Windows Update afin d’installer les correctifs correspondants aux rôles installés ainsi qu’à TMG et UAG
• Redémarrer le serveur pour intégrer toutes ces mises à jour

>> Télécharger gratuitement l'intégralité de cet article <<

| Haut de page