Exporter (0) Imprimer
Développer tout

Microsoft TechNet : Configuration d’ISA Server 2004 sur un ordinateur équipé d’une seule carte réseau

Microsoft Internet Security and Acceleration Server 2004

Paru le 19 août 2005

Sur cette page

Introduction
Configuration d'ISA Server avec une carte réseau unique
Scénarios pris en charge
Scénarios non pris en charge
Problèmes courants
Informations complémentaires

Introduction

Ce document fournit des informations sur les scénarios pris en charge et les limitations lors de l'exécution de Microsoft Internet Security and Acceleration (ISA) Server 2004 sur un ordinateur équipé d'une seule carte réseau. Il comprend les informations suivantes :

  • Procédure de configuration d'ISA Server avec une carte réseau unique

  • Informations sur les scénarios pris en charge

  • Informations sur les scénarios non pris en charge

  • Description des problèmes courants

En général, vous utilisez une configuration à une seule carte réseau lorsque ISA Server réside dans le réseau interne de l'entreprise ou dans un réseau périmétrique, et lorsqu'un autre pare-feu se trouve à la limite, pour la connexion et la protection des ressources de l'entreprise par rapport à Internet.

Lors de l'installation sur un ordinateur équipé d'une carte réseau unique, ISA Server prend en charge les scénarios suivants :

  • Demandes de proxy Web direct via HTTP (Hypertext Transfer Protocol), HTTPS (Secure HTTP) ou FTP (File Transfer Protocol) pour les téléchargements

  • Contenu du cache Web pour une utilisation par les clients du réseau de l'entreprise

  • Publication Web pour la protection des serveurs Web ou FTP publiés

  • Microsoft Office Outlook Web Access 2003, ActiveSync et appels RPC via la publication HTTP

Configuration d'ISA Server avec une carte réseau unique

Lorsque vous installez ISA Server sur un ordinateur équipé d'une seule carte réseau, ISA Server n'a connaissance que de deux réseaux : le réseau de l'hôte local, qui représente l'ordinateur ISA Server proprement dit, et le réseau interne, qui inclut toutes les adresses IP (Internet Protocol) monodiffusion qui ne font pas partie du réseau de l'hôte local. Dans cette configuration, lorsqu'un client interne navigue sur Internet, ISA Server voit les adresses source et destination de la demande Web comme appartenant au réseau interne.

Configuration du réseau interne au cours de l'installation

Au cours de l'installation d'ISA Server 2004 sur un ordinateur avec une seule carte réseau, spécifiez toutes les plages d'adresses IP du réseau interne, à l'exclusion des suivantes :

  • 0.0.0.0

  • 255.255.255.255

  • 224.0.0.0-254.255.255.255 (multidiffusion)

  • 127.0.0.0-127.255.255.255

Application d'un modèle réseau

ISA Server inclut un certain nombre de modèles réseau prédéfinis qui répondent aux topologies réseau courantes. Lorsque vous installez ISA Server sur un ordinateur avec une seule carte réseau, il est recommandé de configurer le modèle réseau ISA Server Carte réseau unique. Pour cela, utilisez l'Assistant Modèle de réseau, comme suit.

Pour appliquer le modèle Carte réseau unique

  1. Dans Gestion ISA Server, développez le noeud Configuration, puis cliquez sur Réseaux.

  2. Sous l'onglet Modèles, cliquez sur le modèle Carte réseau unique.

  3. Dans la page Bienvenue de l'Assistant Modèle de réseau, cliquez sur Suivant.

  4. Dans la page Exporter la configuration ISA Server, cliquez sur Exporter afin d'exporter votre configuration actuelle avant d'appliquer le modèle Carte réseau unique. Ensuite, cliquez sur Suivant.

    Attention
    Lorsque vous appliquez un modèle réseau, le nouveau modèle remplace toutes les règles actuelles (à l'exception des règles de stratégie système) et les paramètres de configuration réseau.

  5. Dans la page Adresses IP réseau internes, spécifiez les paramètres du réseau interne. Ensuite, cliquez sur Suivant.

    Remarques

    • La configuration par défaut proposée pour la plage d'adresses IP du réseau interne est la suivante :

    • 0.0.0.1 à 126.255.255.255 et 128.0.0.0 à 255.255.255.254.

    • Cela comprend toutes les adresses IP à l'exception de 0.0.0.0, 255.255.255.255 et de la plage 127.0.0.0–127.255.255.255 (localhost).

    • Il est recommandé d'exclure également 224.0.0.0-254.255.255.255 (multidiffusion).

  6. Dans la page Sélectionnez une stratégie de pare-feu, cliquez sur Appliquer la configuration par défaut de proxy et de mise en cache Web, puis cliquez sur Suivant.

    Remarque
    Cela permet de créer une règle d'accès par défaut qui empêche le trafic vers tous les réseaux. Après avoir configuré le modèle, créez les règles de stratégie requises pour autoriser l'accès à Internet pour les clients Web, configurez la mise en cache requise et créez des règles de publication Web afin de contrôler l'accès aux serveurs protégés par ISA Server.

  7. Vérifiez les paramètres du nouveau modèle, puis cliquez sur Terminer afin de compléter l'Assistant.

  8. Dans Gestion ISA Server, cliquez sur Appliquer afin d'enregistrer les nouveaux paramètres.

Après avoir appliqué le modèle Carte réseau unique, les paramètres suivants sont configurés pour le réseau et les règles d'accès :

  • Réseau de l'hôte local : 127.0.0.0-127.255.255.255.

  • Réseau interne : égal à tout le reste, à savoir :

    • 0.0.0.1-126.255.255.255

    • 128.0.0.0-255.255.255.254

  • Règle d'accès par défaut : refuse l'accès à tous les emplacements.

Il s'agit de l'ensemble d'adresses défini par la RFC 791 et les mises à jour RFC associées. Les adresses en dehors de cette plage ne sont généralement pas allouées pour Internet ou les réseaux intranet.

Remarques
Si vous excluez les adresses multidiffusion en plus de 0.0.0.0, 255.255.255.255 et de la plage 127.0.0.0.-127.255.255.255.255, la plage réseau interne est la suivante :

0.0.0.1 - 126.255.255.255, 128.0.0.0 - 223.255.255.255.255, 255.0.0.0 - 255.255.255.254.

Scénarios pris en charge

Lors de l'installation sur un ordinateur équipé d'une carte réseau unique, ISA Server prend en charge les scénarios suivants :

  • Proxy Web direct et mise en cache

  • Publication Web et publication Outlook Web Access

Proxy Web direct et mise en cache

Lorsque ISA Server est installé sur un ordinateur avec une seule carte réseau et est configuré avec le modèle Carte réseau unique, vous pouvez le déployer comme un proxy direct et un serveur de mise en cache. Dans cette configuration, ISA Server envoie les requêtes provenant des clients internes vers les réseaux distants tels qu'Internet et peut gérer un cache des objets Internet fréquemment demandés afin d'offrir aux clients de type navigateur Web un accès optimisé. Notez les éléments suivants lors de la configuration d'ISA Server avec une carte réseau unique dans une configuration de proxy Web direct et de mise en cache :

  • Seules les demandes de proxy Web sont prises en charge.

  • Dans un scénario dans lequel ISA Server se trouve derrière un autre pare-feu de périmètre, les clients de proxy Web envoient les demandes d'URL à l'ordinateur ISA Server. ISA Server détermine si l'objet Web peut être fourni à partir du cache. Si la page n'est pas mise en cache ou qu'elle a expiré, ISA Server fait une demande Internet via le pare-feu de périmètre. Le pare-feu de périmètre traite la demande ISA Server en accord avec ses paramètres d'accès, qui peuvent ou non autoriser la demande. Si elle est autorisée, l'objet Web est renvoyé via le pare-feu de périmètre à ISA Server, lequel place l'objet dans son cache conformément aux paramètres du cache, et tranfère l'objet mis en cache vers le client de proxy Web.

  • Les règles qui autorisent l'accès client via l'ordinateur ISA Server doivent être configurées avec des adresses source utilisant uniquement des adresses IP internes réelles. Ceci est nécessaire parce que chaque adresse IP est considérée comme faisant partie du réseau interne, à l'exception de l'adresse de bouclage. Le réseau de destination doit utiliser soit le réseau interne, soit une adresse spécifique requise.

  • Si les pages Web incluent des éléments qui nécessitent des protocoles autres que HTTP et FTP (téléchargement), les clients de proxy Web qui accèdent au site via ISA Server avec une carte réseau unique ne peuvent pas accéder à ce trafic via ISA Server. Vous pouvez configurer l'accès direct sur les paramètres réseau afin de permettre cela.

  • Pour permettre l'accès à Internet sur l'ordinateur ISA Server proprement dit, vous devez soit modifier les stratégies système, soit créer des règles d'accès de Hôte local vers Interne. Même avec le modèle Carte réseau unique appliqué, ISA Server continue de se protéger du réseau interne, et des règles de stratégie système ou d'accès sont requises pour contrôler le trafic entre les deux réseaux.

    Remarque
    Ce comportement diffère de ISA Server 2000 en mode cache uniquement, lequel ne filtrait le trafic d'aucun réseau.

Configuration du proxy Web direct et de la mise en cache

La configuration du proxy Web direct et de la mise en cache est constituée du processus suivant :

  • Configuration des paramètres de proxy client. Configurez les paramètres de proxy Web sur les navigateurs clients afin de pointer vers ISA Server ou utilisez la configuration automatique. Pour plus d'informations sur la configuration automatique, consultez la section Découverte automatique des clients de proxy Web et de pare-feu sur le site Web de Microsoft TechNet.

  • Configuration du réseau interne pour écouter les demandes des clients de proxy Web. Le réseau doit être configuré pour écouter les demandes des clients de proxy Web.

  • Configuration de l'authentification sur le réseau interne. Pour garantir l'authentification des demandes de clients de proxy Web, vous pouvez choisir de configurer l'authentification sur le réseau, ou sur des règles d'accès spécifiques. Si vous choisissez de configurer l'option Exiger que tous les utilisateurs s'authentifient dans les propriétés du réseau interne, les conséquences sont les suivantes :

    • Tous les utilisateurs doivent s'authentifier et aucune demande anonyme n'est autorisée.

    • ISA Server demande toujours les informations d'identification utilisateur avant de vérifier les règles d'accès. Si l'option Exiger que tous les utilisateurs s'authentifient n'est pas activée, les informations d'identification client ne sont requises que si l'authentification client est requise pour valider une correspondance de règle d'accès.

  • Activation de la mise en cache. Si vous souhaitez activer la mise en cache des objets Web, activez la mise en cache sur ISA Server en configurant une taille de cache supérieure à zéro, puis configurez les règles du cache afin de maintenir les objets Web fréquemment demandés à disposition dans le cache pour les demandes des clients.

  • Configuration des règles du cache. Configurez les règles du cache afin de spécifier les objets présents dans le cache et la façon dont ils sont fournis aux clients. Avant qu'ISA Server n'envoie une demande vers Internet, il détermine si l'objet demandé est disponible dans le cache et le fournit à l'utilisateur conformément aux règles du cache.

  • Configuration des règles d'accès. Après l'application du modèle Carte réseau unique, une seule règle d'accès interdit l'accès à tous les réseaux. Bien que toutes les adresses IP soient considérées comme faisant partie du réseau interne dans un scénario à une seule carte, les demandes des clients sont refusées par cette règle par défaut. Configurez les règles d'accès afin d'autoriser les clients Web à utiliser HTTP, ainsi que HTTPS et FTP si nécessaire. Les réseaux source et destination de cette règle doivent être configurés sur Interne.

Pour configurer les paramètres de proxy client (Internet Explorer)

  1. Ouvrez Internet Explorer sur l'ordinateur client.

  2. Dans le menu Outils, cliquez sur Options Internet.

  3. Sous l'onglet Connexions, cliquez sur Paramètres réseau.

  4. Pour spécifier qu'un client proxy Web doit utiliser la fonctionnalité de détection automatique pour localiser un ordinateur ISA Server pour les demandes Web, sélectionnez Détecter automatiquement les paramètres de connexion. Les clients de proxy Web peuvent utiliser cette fonctionnalité pour détecter un ordinateur ISA Server qu'ils doivent utiliser automatiquement, ou vous pouvez spécifier manuellement un ordinateur ISA Server.

  5. Pour utiliser un script pour la configuration automatique, sélectionnez Utiliser un script de configuration automatique, puis spécifiez le nom du script.

Remarque
Activez la découverte automatique afin d'autoriser les clients de proxy Web à trouver l'ordinateur ISA Server auquel ils doivent se connecter en interrogeant DHCP (Dynamic Host Configuration Protocol) ou DNS (Domain Name System).
Internet Explorer localise une entrée DHCP Option 252 qui pointe vers l'emplacement du fichier script Wpad.dat, ou une entrée WINS (Windows Internet Name Service) ou DNS qui pointe vers le serveur qui héberge le script WPAD (Web Proxy Automatic Discovery). Ce fichier fournit des informations spécifiques pouvant être utilisées par le client pour accéder au contenu Web, telles que l'emplacement de l'ordinateur ISA Server que le client doit utiliser pour les demandes Web. Une fois l'emplacement connu, les clients de proxy Web appellent http://wpad:port/wpad.dat, où port est le port qui écoute les demandes Web sur l'ordinateur ISA Server. Notez que les clients doivent pouvoir résoudre l'ordinateur ISA Server spécifié dans l'entrée WPAD. Pour les entrées DNS, ISA Server doit écouter les demandes de découverte automatique sur le port 80. DHCP peut écouter sur n'importe quel port. Par défaut, ISA Server écoute sur le port 8080.

Pour configurer le réseau interne afin d'écouter les demandes des clients de proxy Web

  1. Dans Gestion ISA Server, cliquez sur le noeud Networks.

  2. Dans le volet de détails, sélectionnez l'onglet Réseaux, puis sélectionnez Interne.

  3. Sous l'onglet Tâches, cliquez sur Modifier le réseau sélectionné.

  4. Sous l'onglet Proxy Web, assurez-vous que l'option Activer les clients du proxy Web est sélectionnée.

Pour configurer l'authentification sur le réseau interne

  1. Dans Gestion ISA Server, cliquez sur le noeud Networks.

  2. Dans le volet de détails, sélectionnez l'onglet Réseaux, puis sélectionnez Interne.

  3. Sous l'onglet Tâches, cliquez sur Modifier le réseau sélectionné.

  4. Sous l'onglet Proxy Web, cliquez sur Authentification.

  5. Pour autoriser uniquement les demandes provenant d'utilisateurs du proxy Web avec des informations d'identification validées, sélectionnez Exiger que tous les utilisateurs s'authentifient. Cela permet de bloquer des requêtes anonymes.

  6. Sélectionnez le type d'authentification à utiliser dans la liste Méthode.

Remarque
Les méthodes d'authentification suivantes sont disponibles pour l'authentification des demandes de proxy Web : Basic, Digest, Intégré, certificats clients SSL (Secure Sockets Layer) et RADIUS (Remote Authentication Dial-In User Service). Notez que si ISA Server prend techniquement en charge l'authentification des certificats clients pour les demandes de clients de proxy Web, celle-ci n'est pas prise en charge par le navigateur pour les demandes adressées à un serveur Web Internet. Les certificats clients sont pris en charge pour les clients de proxy Web qui s'authentifient par rapport à un ordinateur ISA Server en amont. Pour plus d'informations, reportez-vous à l'article 838126 de la base de connaissances Microsoft : « Vous ne pouvez pas effectuer d'authentification proxy Web basée sur les certificats dans ISA Server 2004. »

Pour configurer la mise en cache

  1. Dans Gestion ISA Server, développez le noeud Configuration, puis cliquez sur Cache.

  2. Dans le volet de détails, sélectionnez l'onglet Lecteurs de cache, puis sélectionnez le lecteur que vous souhaitez utiliser pour la mise en cache.

  3. Sous l'onglet Tâches, cliquez sur Définir les lecteurs de cache (activer la mise en cache).

  4. Dans Taille maximale du cache (Mo), tapez la quantité d'espace du lecteur sélectionné à allouer pour la mise en cache.

Remarque
La mise en cache est activée uniquement lorsque la taille d'au moins un lecteur de cache est supérieure à zéro. La taille maximale d'un fichier de cache unique est de 64 gigaoctets (Go). Si vous avez besoin d'un cache plus grand, fractionnez-le en plusieurs fichiers sur différents lecteurs.

Pour configurer les règles de mise en cache

  1. Dans Gestion ISA Server, développez le noeud Configuration, puis cliquez sur Cache.

  2. Dans le volet de détails, sélectionnez l'onglet Règles de cache.

  3. Sous l'onglet Tâches, cliquez sur Créer une règle de cache.

  4. Dans la page Bienvenue de l'Assistant Nouvelle règle de cache, spécifiez un nom descriptif pour la règle. Ensuite, cliquez sur Suivant.

  5. Dans la page Destination de règle de cache, sélectionnez le réseau auquel la règle s'applique. Cliquez sur Ajouter, développez Réseaux, puis cliquez sur Interne. Cliquez sur Ajouter, puis sur Fermer. Ensuite, cliquez sur Suivant.

  6. Dans la page Extraction de contenu, spécifiez la façon dont le contenu doit être extrait du cache, puis cliquez sur Suivant:

    1. Pour spécifier qu'un objet doit être extrait du cache s'il est valide, ou pour acheminer la demande vers le serveur Web Internet ou le serveur proxy en amont, cliquez sur Uniquement si une version valide de l'objet existe dans le cache. Si aucune version valide n'existe, transférer la requête au serveur.

    2. Pour spécifier qu'un objet doit être extrait du cache s'il est disponible (qu'il soit valide ou non), ou pour acheminer la demande vers le serveur Web Internet ou le serveur proxy en amont, cliquez sur Si une version de l'objet existe dans le cache. Si aucune n'existe, acheminer la requête vers le serveur.

    3. Pour spécifier qu'un objet doit être extrait du cache s'il est disponible (qu'il soit valide ou non), ou qu'à défaut la demande doit être ignorée, cliquez sur Si une version de l'objet existe dans le cache. Si aucune n'existe, ignorer la requête (ne jamais la transférer au serveur).

      Remarque
      Un objet du cache est considéré comme valide si sa valeur TTL (Time to Live) n'a pas expiré. Pour les objets HTTP, l'expiration est basée sur la valeur TTL définie dans l'en-tête de réponse et sur les limites TTL définies dans la règle de cache.

  7. Dans la page Contenu du cache, spécifiez la façon dont les objets extraits sont stockés dans le cache, puis cliquez sur Suivant:

    • Pour ne jamais mettre en cache les objets Web, cliquez sur Aucun contenu ne sera mis en cache.

    • Pour mettre en cache les objets sur le serveur Web qui fournit l'objet indique qu'il doit être mis en cache, cliquez sur Si l'en-tête de la source et de la demande indique la mise en cache.

    • Pour mettre en cache tout le contenu même s'il n'est pas marqué comme pouvant être mis en cache (y compris le contenu extrait via une demande ayant renvoyé du contenu accessible via une URL comportant un point d'interrogation), cliquez sur Contenu dynamique.

    • Pour mettre en cache le contenu avec les codes de réponse 302 et 307, cliquez sur De navigation hors connexion (réponses 302 et 307).

    • Pour mettre en cache du contenu pouvant nécessiter une authentification pour l'accès, cliquez sur Dont la récupération nécessite l'authentification de l'utilisateur.

  8. Dans la page Configuration avancée du cache, pour spécifier une limite de taille pour les objets mis en cache, cliquez sur Ne pas mettre en cache les objets supérieurs à, puis spécifiez une taille maximale. Pour spécifier que les objets SSL doivent être mis en cache, cliquez sur Mettre les réponses SSL en cache. Ensuite, cliquez sur Suivant.

    Remarque
    La mise en cache des demandes SSL n'est fonctionnelle que pour le contenu publié sur le Web, car les demandes de contenu SSL par les clients de proxy Web sont acheminées entre le client et le serveur amont et ne sont donc pas disponibles pour la mise en cache par ISA Server.

  9. Dans la page Mise en cache HTTP, considérez les options suivantes, puis cliquez sur Suivant :

    • Pour spécifier que les objets HTTP doivent être mis en cache, cliquez sur Activer la mise en cache HTTP.

    • Pour spécifier la durée pendant laquelle les objets HTTP doivent rester dans le cache, sous forme de pourcentage de l'ancienneté du contenu, spécifiez une valeur dans Définir la durée de vie des objets (% de l'âge du contenu).

      Remarque
      La valeur TTL d'un objet HTTP dans le cache est définie comme un pourcentage de l'ancienneté du contenu (la durée écoulée depuis la création ou la modification d'un objet). Plus le pourcentage spécifié est élevé, moins l'objet est actualisé fréquemment dans le cache.

    • Pour spécifier en tant que valeur temporelle la durée pendant laquelle les objets HTTP doivent rester dans le cache, tapez les durées minimales et maximales dans Pas moins de et Pas plus de.

    • Pour appliquer les paramètres TTL aux objets, même si l'en-tête de l'objet source spécifie une heure d'expiration, cliquez sur Appliquer également ces limites de durée de vie aux sources qui spécifient une expiration.

  10. Dans la page Mise en cache FTP, cliquez sur Activer la mise en cache FTP afin de spécifier que les objets FTP téléchargés doivent être mis en cache. Dans Durée de vie pour les objets FTP, spécifiez la durée pendant laquelle les objets FTP doivent rester dans le cache avant leur expiration. Ensuite, cliquez sur Suivant.

  11. Vérifiez les paramètres des règles, puis cliquez sur Terminer afin de compléter l'Assistant.

  12. Cliquez sur Appliquer afin d'enregistrer les paramètres.

Pour configurer les règles d'accès

  1. Dans Gestion ISA Server, cliquez avec le bouton droit de la souris sur le noeud Stratégie de pare-feu, pointez sur Nouvelle, puis cliquez sur Règle d'accès.

  2. Dans la page Bienvenue de l'Assistant Nouvelle règle d'accès, spécifiez un nom descriptif pour la règle. Ensuite, cliquez sur Suivant.

  3. Dans la page Action de la règle, cliquez sur Autoriser. Ensuite, cliquez sur Suivant.

  4. Dans la page Protocoles, sélectionnez Protocoles sélectionnés, puis cliquez sur Ajouter. Cliquez pour développer Web, puis sélectionnez les protocoles auxquels vous souhaitez que les clients de proxy Web accèdent. Ceux-ci incluent HTTP, et éventuellement HTTPS et FTP. Sélectionnez chaque protocole, puis cliquez sur Ajouter. Une fois que vous avez sélectionné les protocoles requis, cliquez sur Fermer. Ensuite, cliquez sur Suivant.

  5. Dans la page Sources de règles d'accès, cliquez sur Ajouter. Développez Réseaux. Cliquez sur Interne, puis sur Ajouter. Cliquez sur Hôte local, puis sur Ajouter. Cliquez sur Fermer. Ensuite, cliquez sur Suivant.

    Remarque Vous pouvez également créer et utiliser des ensembles de plages d'accès afin de limiter les clients pouvant utiliser ISA Server comme proxy Web.

  6. Dans la page Destinations de règle d'accès, cliquez sur Ajouter. Développez Réseaux. Cliquez sur Interne, puis cliquez sur Ajouter. Cliquez sur Fermer. Ensuite, cliquez sur Suivant.

  7. Dans la page Ensembles d'utilisateurs, sélectionnez la façon dont les utilisateurs s'authentifient avec la règle, puis cliquez sur Suivant :

    • Pour autoriser l'accès proxy Web anonyme, sélectionnez Tous les utilisateurs.

    • Pour forcer l'authentification pour les demandes de proxy Web, cliquez sur Ajouter. Dans la boîte de dialogue Ajouter des utilisateurs, cliquez sur Tous les utilisateurs authentifiés. Cliquez sur Fermer. Dans la page Ensembles d'utilisateurs, sélectionnez Tous les utilisateurs, puis cliquez sur Supprimer.

    Remarque
    Si une règle correspondant à la demande de proxy Web nécessite une authentification, les informations d'identification client sont demandées et validées. Si vous spécifiez que la règle s'applique à Tous les utilisateurs authentifiés, tous les utilisateurs dont l'authentification échoue sont refusés par la règle (même une règle d'autorisation). Vous pouvez créer un nouvel ensemble d'utilisateurs constitué d'utilisateurs et de groupes Windows, RADIUS ou utilisateurs SecurID. Si vous sélectionnez RADIUS ou SecurID, vous pouvez choisir Tous les utilisateurs de l'espace de noms ou Nom d'utilisateur spécifié. Si vous spécifiez Tous les utilisateurs de l'espace de noms, RADIUS ou SecurID autorise tout utilisateur pouvant être authentifié à l'aide de l'authentification Basic (les utilisateurs ne sont pas invités à saisir leurs informations d'identification).

  8. Dans la page Terminer de l'Assistant, vérifiez les paramètres, puis cliquez sur Terminer afin de compléter l'Assistant.

  9. Cliquez sur Appliquer afin d'enregistrer les paramètres.

Publication Web et publication Outlook Web Access

Vous pouvez déployer ISA Server sur un ordinateur à une seule carte réseau en mode proxy inverse, ce qui vous permet de publier des serveurs Web et des serveurs Exchange pour les connexions Outlook Web Access. Vous pouvez publier des serveurs via HTTP ou HTTPS pour une connexion SSL sécurisée. Vous pouvez authentifier les demandes entrantes et chaîner les demandes vers les proxys en amont.

Lorsque vous publiez Outlook Web Access sur un ordinateur à une seule carte réseau, les fonctionnalités Outlook Web Access suivantes sont disponibles :

  • Fonctionnalités Outlook Web Access standard, telles que l'envoi et la réception de courrier électronique, les calendriers et d'autres fonctionnalités

  • Échanger des appels RPC Outlook Mobile Access, ActiveSync et Outlook via HTTP

  • Authentification basée sur les formulaires

  • HTTP et HTTPS

Par exemple, la publication d'un serveur Web ou Outlook Web Access via une connexion SSL sur un ordinateur à une seule carte réseau implique le processus de configuration suivant :

  • Spécifiez une entrée DNS publique. Le périphérique périmétrique qui protège votre organisation d'Internet doit être configuré pour transférer les demandes pour les serveurs publiés, ou les demandes Outlook Web Access, vers l'adresse IP correcte sur l'ordinateur ISA Server. Par exemple, si un utilisateur Internet accède à Outlook Web Access à l'adresse https://mail.fabrikam.com/exchange, il doit exister une entrée DNS publique pour mail.fabrikam.com, et cette entrée doit être résolue en l'interface externe du périphérique périmétrique configuré pour envoyer les demandes Outlook Web Access vers ISA Server.

  • Configurez le périphérique périmétrique pour envoyer les paquets. Le périphérique périmétrique doit être configuré pour envoyer les demandes appropriées vers l'ordinateur ISA Server.

  • Configurez le modèle réseau ISA Server. Assurez-vous que ISA Server est installé et configuré avec le modèle Carte réseau unique.

  • Demandez un certificat serveur sur le serveur Windows ou Outlook Web Access. Pour la publication sécurisée, une configuration de pont HTTPS-à-HTTPS est recommandée. Cette configuration offre une connexion SSL du client vers l'ordinateur ISA Server, et de l'ordinateur ISA Server vers le serveur Web publié. En général, vous utilisez un certificat commercial pour la publication externe SSL. Vous pouvez créer une demande de certificat provenant d'une autorité de certification commerciale (telle que Verisign ou Thawte) en utilisant l'Assistant Certificat de serveur Web d'IIS. Étant donné qu'IIS n'est généralement pas installé sur ISA Server, vous demandez le certificat à partir du serveur Web publié. Actuellement, il n'existe aucun moyen de demander directement un certificat serveur à l'autorisation de certification à partir d'ISA Server 2004.

  • Exportez le certificat serveur. Après avoir obtenu le certificat sur le serveur Web, exportez-le vers un fichier, avec la clé privée.

  • Importez le certificat serveur. Importez le certificat du fichier exporté vers la banque de certificats Personnel de l'ordinateur.

    Remarque
    Il convient de suivre un certain nombre de règles pour demander et configurer des certificats. Pour plus d'informations, consultez l'article Résolution des problèmes de certificat SSL dans la publication ISA Server 2004 sur le site Web de Microsoft TechNet.
    Pour la procédure détaillée d'obtention de certificats serveur, reportez-vous à l'article Certificats numériques pour ISA Server 2004 sur le site Web de Microsoft TechNet.

  • Activez SSL sur le serveur Web publié. Dans un scénario publié sécurisé, configurez IIS sur le serveur publié afin de prendre en charge l'authentification Basic cryptée SSL.

  • Créez un port d'écoute. Dans Gestion ISA Server, créez un port d'écoute Web sécurisé sur le réseau interne, afin d'écouter les demandes adressées au serveur publié.

    Remarque
    Pour des raisons de sécurité, envisagez l'utilisation de l'authentification basée sur les formulaires et la limitation de l'accès aux pièces jointes par les ordinateurs publics. Vous devez configurer ces propriétés après la création du port d'écoute avec l'Assistant Nouveau port d'écoute Web. Dans ISA Server 2004 Standard Edition, l'authentification basée sur les formulaires ne pouvait pas être utilisée avec une autre méthode d'authentification. Dans ISA Server 2004 Standard Edition Service Pack 1 et ISA Server 2004 Enterprise Edition, vous pouvez configurer l'authentification basée sur les formulaires avec RADIUS.

  • Créez une règle de publication sécurisée. Pour la publication Web, créez une règle à l'aide de l'Assistant Règle de publication Web. Pour la publication Outlook Web Access, créez une règle à l'aide de l'Assistant Publication de serveur de messagerie. Notez que vous pouvez également publier Outlook Mobile Access, RPC sur HTTP et Exchange ActiveSync à l'aide de cet Assistant. Pour publier les serveurs de manière sécurisée, utilisez une configuration de pont HTTPS-à-HTTPS. Dans ce scénario, les utilisateurs se connectent à ISA Server via SSL. ISA Server met fin à la connexion SSL sur l'ordinateur ISA Server et inspecte le trafic. Les paquets sont ensuite envoyés vers le serveur Web publié via une nouvelle connexion HTTPS.

    Remarques
    Pour des instructions pas-à-pas sur la publication de serveurs Web, consultez l'article Publication de serveurs Web avec ISA Server 2004 sur le site Web Microsoft TechNet, ainsi que l'article Publication de serveurs Web avec ISA Server 2004 Enterprise Edition sur le site Web Microsoft TechNet.
    Pour des instructions pas-à-pas sur la publication Outlook Web Access, consultez l'article Publication serveur Outlook Web Access dans ISA Server 2004 (en anglais) sur le site Web Microsoft TechNet, ainsi que l'article Publication serveur Outlook Web Access dans ISA Server 2004 Enterprise Edition (en anglais) sur le site Web Microsoft TechNet.

Scénarios non pris en charge

Lorsque vous installez ISA Server sur un ordinateur équipé d'une seule carte réseau, les fonctionnalités et scénarios ISA Server suivants ne sont pas pris en charge :

  • Stratégie de pare-feu multi-réseau. En mode carte réseau unique, ISA Server se reconnaît lui-même (le réseau Hôte local). Tout le reste est reconnu comme le réseau interne. Il n'existe pas de concept de réseau externe. Le service Pare-feu Microsoft et les filtres d'application opèrent uniquement dans le contexte du réseau Hôte local. ISA Server se protège, quel que soit le modèle réseau appliqué. Étant donné que le service Pare-feu et les filtres d'application opèrent dans le contexte du réseau Hôte local, vous pouvez utiliser des règles d'accès pour autoriser les protocoles non Web vers l'ordinateur ISA Server proprement dit.

  • Inspection de la couche d'application. Le filtrage de niveau application n'est pas fonctionnel, excepté pour le filtre de proxy Web (pour HTTP, HTTPS et FTP via HTTP).

  • Publication serveur. La publication serveur n'est pas prise en charge. Il n'existe pas de séparation entre réseaux internes et externes, de sorte qu'ISA Server ne peut pas offrir la fonctionnalité de conversion d'adresse réseau (NAT, Network Address Translation) requise dans un scénario de publication serveur.

  • Clients de pare-feu. L'application Client de pare-feu traite les demandes des applications Winsock qui utilisent le service de pare-feu. Ce service n'est pas disponible dans un environnement à une seule carte réseau.

  • Clients SecureNAT. Les clients SecureNAT utilisent ISA Server comme routeur vers Internet et les demandes des clients SecureNAT sont traitées par le service Pare-feu. Étant donné que le service Pare-feu n'est pas disponible dans une configuration à une seule carte réseau, ces demandes ne sont pas prises en charge.

  • Réseau privé virtuel. Les réseaux privés virtuels (VPN, Virtual Private Networks) entre sites et les VPN d'accès distant ne sont pas pris en charge dans un scénario à une seule carte réseau.

Remarque
Vous ne pouvez pas configurer une carte réseau pour utiliser deux adresses IP, ou une deuxième carte réseau désactivée, comme un moyen d'utiliser les fonctionnalités multi-réseau sur un ordinateur avec une carte réseau unique.

Problèmes courants

Cette section décrit les problèmes et solutions courants suivants :

  • Comment faire cohabiter d'autres services ou applications avec ISA Server en mode carte réseau unique, par exemple un serveur à une seule carte réseau avec un serveur DNS ?

    La publication serveur n'est pas prise en charge en mode carte réseau unique. Cependant, quel que soit le modèle réseau appliqué, le service Pare-feu et les filtres d'application s'exécutent dans le contexte de l'ordinateur ISA Server proprement dit (le réseau Hôte local). Par conséquent, vous pouvez autoriser le trafic non Web vers l'ordinateur ISA Server proprement dit en créant les règles d'accès entre le réseau Hôte local et le réseau Interne, afin d'autoriser les utilisateurs internes à accéder aux applications et services qui s'exécutent sur l'ordinateur ISA Server.

  • Puis-je publier mon site Web via une connexion SSL avec une carte réseau unique ?

    Oui, mais vous devez utiliser un pont pour la connexion. Si vous sélectionnez le tunneling SSL lors de la configuration de la règle de publication Web, il utilise la publication serveur pour publier le serveur Web et cette configuration ne fonctionne pas dans un scénario à une seule carte réseau.

  • Puis-je publier plusieurs sites Web avec une même adresse IP dans un scénario à une seule carte réseau ?

    Oui. Vous pouvez utiliser des règles de publication Web afin de publier plusieurs sites Web avec une adresse IP unique. Avec l'inspection de la couche d'application, ISA Server examine l'en-tête d'hôte d'une demande entrante et décide comment transférer la demande vers un serveur Web en fonction des informations d'en-tête. ISA Server peut écouter les demandes de plusieurs sites Web sur une même adresse IP, et les transférer comme suit :

    • Publication de plusieurs sites sur la même adresse IP et le même port, avec un en-tête d'hôte. IIS utilise le nom d'hôte transmis dans l'en-tête HTTP afin de déterminer quel site est demandé. Pour plus d'informations, reportez-vous à l'article 838252 de la base de connaissances Microsoft : « Comment configurer des règles de publication Web afin d'héberger plusieurs sites Web avec des en-têtes d'hôte dans ISA Server ? »

    • Publication de plusieurs sites sur différents ports, et redirection des demandes vers la même adresse IP, mais vers différents ports.

    Pour la publication SSL sécurisée, un seul certificat serveur peut être lié à un port d'écoute Web. Si vous avez une adresse IP unique, vous ne pouvez publier qu'un seul site Web SSL. La seule exception concerne l'utilisation de certificats avec des caractères génériques. Pour plus d'informations, consultez l'article Publication de plusieurs sites Web avec un certificat générique dans ISA Server 2004 sur le site Web de Microsoft TechNet.

  • Je souhaite déployer un groupe d'ordinateurs ISA Server à une seule carte réseau afin d'offrir une fonctionnalité de proxy vers Internet pour les utilisateurs internes. Comment utiliser l'équilibrage de la charge réseau (NLB, Network Load Balancing) dans un tel scénario ?

    • Si vous exécutez ISA Server sur un ordinateur sur lequel Microsoft Windows Server 2003 avec Service Pack 1 n'est pas installé, vous devez installer une deuxième carte réseau à utiliser pour la communication entre groupes. NLB doit être configuré sur une carte avec une adresse IP statique. Prenez soin de choisir l'adresse IP de la carte intra-groupes dans le réseau intra-groupe, et non dans le réseau interne.

    • Si vous exécutez ISA Server sur un ordinateur sur lequel Windows Server 2003 Service Pack 1 est installé, vous n'avez pas besoin d'une deuxième carte réseau pour la communication intra-groupe.

  • Puis-je publier sur un autre port dans un scénario à une seule carte réseau ?

    • Les demandes HTTP et HTTPS peuvent être dirigées vers le serveur Web publié via HTTP, HTTPS ou FTP sur HTTP. Vous pouvez choisir que les demandes soient dirigées vers le port standard (80 pour HTTP, 443 pour HTTPS, 21 pour FTP), ou qu'un port alternatif soit utilisé.

    • La création d'une règle de publication avec un port non standard sur ISA Server ou sur le serveur Exchange n'est pas prise en charge lors de la publication Outlook Web Access.

  • ISA Server prend-il en charge le téléchargement FTP dans un scénario à une seule carte réseau ?

    Dans un scénario à une seule carte réseau, les demandes FTP sont traitées par le filtre de proxy Web. Ce filtre prend uniquement en charge le téléchargement FTP.

  • Puis-je utiliser un serveur RADIUS pour authentifier le trafic Web dans un scénario à une seule carte réseau ?

    Oui. L'authentification RADIUS peut être utilisée pour authentifier le trafic Web via le processus suivant :

    • Configurez ISA Server en tant que client RADIUS dans IAS (Internet Authentication Service), puis spécifiez un secret partagé.

    • Dans Gestion ISA Server, configurez les paramètres RADIUS afin de pointer vers le serveur IAS, puis spécifiez le même secret partagé que celui configuré dans IAS.

    • Activez la stratégie système afin de permettre la communication entre ISA Server et le serveur ISA.

    • Configurez l'utilisation de l'authentification RADIUS pour les demandes de proxy Web sur le port d'écoute de proxy Web du réseau à partir duquel les demandes des clients arrivent.

    • Créez une règle d'accès afin d'autoriser les utilisateurs RADIUS authentifiés. Créez un ensemble d'utilisateurs RADIUS à utiliser dans cette règle. Dans la règle, vous pouvez choisir d'autoriser l'accès à tous les utilisateurs que le serveur IAS peut authentifier, ou à un utilisateur RADIUS spécifique. Pour plus de flexibilité, vous pouvez configurer la stratégie d'accès distant à IAS afin de prendre en charge l'authentification client. Pour cela, configurez les propriétés d'accès distant de tous les comptes utilisateur afin de Contrôler l'accès via la stratégie d'accès à distance, puis ajoutez une condition sur la stratégie d'accès distant afin d'autoriser l'accès à ces utilisateurs. Notez que le proxy Web direct avec RADIUS prend uniquement en charge l'authentification non cryptée (PAP).

  • Certains sites Web ne s'affichent pas correctement. Quel peut-être le problème ?

    ISA Server dans un environnement à une seule carte réseau prend uniquement en charge les protocoles Web (HTTP, HTTPS et FTP). Si le site Web nécessite un autre protocole tel qu'un média ou des applications de diffusion non HTTP, il se peut que le contenu ne s'affiche pas comme prévu. Vous devrez alors ajouter une autre carte réseau et utiliser le client Pare-feu pour l'accès Internet au site spécifique.

  • Dans un environnement à une seule carte réseau, quelles fonctionnalités MSN Messenger sont disponibles ?

    La messagerie de type texte est disponible, car le serveur de messagerie instantanée sert généralement d'intermédiaire pour la communication entre deux clients, ce qui évite les problèmes NAT pouvant survenir avec un client externe. Pour les autres fonctionnalités, vous avez besoin d'un ordinateur ISA Server à double hébergement, avec des clients Pare-feu.

  • Dans un scénario à une seule carte réseau, les clients situés derrière l'ordinateur ISA Server ne peuvent pas ouvrir une session sur un serveur FTP avec des informations d'identification qui ne sont pas anonymes. Pourquoi ?

    Lorsque le mode Dossier des sites FTP est activé dans Internet Explorer, le client Internet Explorer contourne le proxy Web et tente d'établir une connexion Winsock avec le serveur FTP, comme une application client FTP typique. Dans un scénario à une seule carte réseau, ce type de demande ne peut pas être traité comme proxy ou avec NAT, et échoue donc. Pour garantir qu'Internet Explorer envoie les demandes FTP comme des demandes HTTP, procédez de la façon suivante :

    • Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.

    • Sous l'onglet Avancé, désactivez la case à cocher Activer l'affichage des dossiers sur les sites FTP.

    • Connectez-vous à l'aide de la syntaxe suivante : ftp://<domaine\nom_usr >:<mot_de_passe>@<URL_site_cible>

    • Notez que cela ne permet pas le téléchargement vers le serveur FTP, lequel n'est pas pris en charge pour les clients de proxy Web. Pour cette fonctionnalité, l'ordinateur client doit être configuré en tant que client SecureNAT ou client Pare-feu, outre le client Proxy Web. Cela nécessite plusieurs cartes réseau.

  • Comment reconfigurer pour plusieurs cartes une configuration à une seule carte réseau ?

    Ajoutez une autre carte physique à l'ordinateur, et appliquez un modèle à cartes réseau multiples dans Gestion ISA Server (tous les modèles autres que le modèle Carte réseau unique).

  • Puis-je déployer Outlook Web Access et Outlook Mobile Access à l'aide de l'authentification basée sur les formulaires, avec un autre schéma d'authentification sur le même port d'écoute Web ?

    Une telle configuration n'est pas prise en charge dans une configuration à une seule ou plusieurs cartes réseau. L'authentification basée sur les formulaires peut être activée uniquement comme seule méthode d'authentification, ou avec l'authentification RADIUS (pour ISA Server 2004 Standard Edition Service Pack 1 et ISA Server 2004 Enterprise Edition). Si vous devez authentifier des utilisateurs sur ISA Server, vous avez besoin de deux ports d'écoute distincts et de règles de publication Web distinctes.

Informations complémentaires

D'autres documents ISA Server 2004 sont disponibles sur la page ISA Server 2004 du site Web Microsoft Windows Server System ().

Vous pouvez également consulter les articles suivants (en anglais) de la base de connaissances Microsoft, ainsi que les articles du site Web Microsoft TechNet :

Avez-vous des commentaires à formuler à propos de ce document ? Envoyez vos commentaires.

Téléchargez

Single_nic.doc
476 ko
Fichier Microsoft Word
Obtenez les visionneuses Office


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft