Microsoft ISA Server : ISA Server 2004 Service Pack 2

  • Article

Internet Security and Acceleration Server 2004

Paru le 30 janvier 2006

Sur cette page :

  • Introduction

  • Scénario de succursale

  • Fonctionnalités d'ISA Server 2004 SP2

    • Mise en cache BITS

    • Compression HTTP

    • Définition de priorité des paquets avec DiffServ

    • Fonctionnalités modifiées

  • Parcours des fonctionnalités

    • Procédure d'installation

    • Création de la règle de cache Microsoft Update

    • Configuration de la compression HTTP

    • Configuration de la définition de priorité des paquets avec DiffServ

  • Annexe A : Activation du cache ISA Server

  • Informations complémentaires

Introduction

Les entreprises avec des filiales dispersées géographiquement, à travers un continent ou à travers le monde, souhaitent garantir une communication sûre, sécurisée et efficace entre ces filiales et le siège social, ainsi qu'entre les filiales. Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) est la réponse de Microsoft à la nécessité pour les entreprises d'établir une connectivité sécurisée avec les succursales, et de rendre les communications plus efficaces, même lorsque la bande passante est limitée et que la latence est élevée. ISA Server 2004 SP2 offre plusieurs fonctionnalités importantes permettant cette communication, lesquelles sont décrites dans les sections suivantes. ISA Server 2004 SP2 inclut également une documentation produit améliorée, avec davantage d'informations sur les sujets qui intéressent le plus les utilisateurs ISA Server.

Ce service pack inclut également plusieurs correctifs et réponses à des demandes de clients. Par exemple, le mécanisme CARP (Cache Array Routing Protocol) a été mis à jour et amélioré, et des alertes de gestion des certificats ont été ajoutées. Pour d'autres informations importantes sur cette version, reportez-vous aux notes de publication sur le site Web de Microsoft Windows Server System.

Les correctifs et fonctionnalités ISA Server 2004 SP2 doivent être appliqués aux déploiements des versions Standard Edition et Enterprise Edition.

Scénario de succursale

Une entreprise possède son siège social à New York City et des succursales partout dans le monde. Certaines succursales plus importantes peuvent être connectées directement au siège via des connexions haut débit. D'autres peuvent être connectées avec des réseaux privés virtuels (VPN, Virtual Private Networks), via des lignes de communication présentant différents débits et latences. Par exemple, une petite succursale distante peut être connectée directement (via une ligne frame-relay) ou avec un VPN via une ligne à 56 ou 64 kilobits par seconde (kbps). Souvent, le proxy du siège achemine les demandes Internet directement vers Internet, tandis que les succursales peuvent acheminer leurs demandes via le siège.

Les clients des succursales qui bénéficient des fonctionnalités du SP2 sont des navigateurs Internet. Ils nécessitent généralement du trafic HTTP (Hypertext Transfer Protocol) 1.1.

Plusieurs besoins de communication doivent être traités par les nouvelles fonctionnalités de la version ISA Server 2004 SP2 :

  • Mise en cache du contenu à partir de Microsoft Update téléchargé vers la succursale avec le service BITS (Background Intelligent Transfer Service). Les téléchargements BITS, tels que les téléchargements Microsoft Update, utilisent une grande quantité de bande passante, laquelle ne peut pas facilement être économisée dans le scénario de succursale. Les téléchargements répétés représentent un gaspillage, même dans un scénario de connexion haut débit. Dans une succursale avec une connexion lente, ces téléchargements utilisent une grande partie de la bande passante disponible, pendant des périodes longues. Dans le cas des téléchargements Microsoft Updates, les retards peuvent poser un risque de sécurité pour les ordinateurs qui ont besoin de ces mises à jour. La mise en cache BITS des téléchargements Microsoft Updates est offerte par ISA Server 2004 SP2.

  • La compression du contenu entre les succursales et le siège est requise pour économiser la bande passante limitée. ISA Server 2004 SP2 offre la compression HTTP afin de limiter l'utilisation de la bande passante. Notez que HTTP 1.1 prend en charge la compression, contrairement à HTTP 1.0.

  • Inspection des communications HTTP compressées.

  • Lorsque la communication entre la succursale et le siège varie en termes d'importance, les paquets peuvent être différenciés en fonction de leur priorité, et ainsi se voir accorder une utilisation prioritaire de la bande passante limitée. ISA Server 2004 SP2 prend en charge le contrôle de bande passante géré par les routeurs de l'entreprise, en offrant la priorité des paquets via le protocole DiffServ (Differentiated Services). Le protocole DiffServ offre un environnement permettant le déploiement de la discrimination évolutive des services via Internet. DiffServ utilise un onglet dans l'en-tête IP (Internet Protocol) de chaque paquet afin d'indiquer sa priorité.

Pour plus d'informations sur DiffServ, reportez-vous à l'article Définition de DS Field (Differentiated Services Field) dans les en-têtes IPv4 et IPv6 sur le site Web ietf.org.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

  • La priorité des paquets avec DiffServ fonctionne sur les réseaux dont les routeurs prennent en charge la fonctionnalité QoS (Quality of Service).

  • DiffServ n'offre pas de contrôle de bande passante par utilisateur.

Fonctionnalités d'ISA Server 2004 SP2

ISA Server 2004 SP2 offre la mise en cache BITS pour Microsoft Update, la compression HTTP avec inspection, ainsi que la priorité des paquets avec DiffServ.

Mise en cache BITS

Le service BITS (Background Intelligent Transfer Service) vous aide à transférer de grandes quantités de données sans dégrader les performances réseau. Pour cela, il transfère les données en petits tronçons, en utilisant la bande passante inutilisée à mesure qu'elle est disponible, et en réassemblant les données à leur destination. ISA Server 2004 SP2 fournit le mécanisme de mise en cache pour les données Microsoft Update reçues via BITS.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

  • L'utilisation de la mise en cache BITS avec des serveurs autres que Microsoft Update ou Software Update Services n'est pas prise en charge.

  • La règle de mise en cache Microsoft Update calcule la taille d'un objet en fonction de la longueur de son contenu, et n'inclut pas la longueur des en-têtes.

Mise en cache Microsoft Update

La mise à jour du système d'exploitation Microsoft Windows et d'autres produits Microsoft sur les ordinateurs de l'entreprise à partir de Microsoft Update peut utiliser une part importante de la bande passante disponible. Ce problème est exacerbé dans un scénario de connexion à bande passante limitée, mais peut également poser problème dans les conditions de bande passante plus élevée. La mise à jour de Windows et d'autres logiciels Microsoft est une fonction de sécurité importante et doit donc être effectuée.

ISA Server 2004 SP2 fournit la fonctionnalité de mise en cache Microsoft Update qui utilise la fonctionnalité de mise en cache BITS du SP2 pour mettre en cache efficacement les mises à jour, de sorte que le cache ISA Server puisse répondre aux demandes. La demande de mise à jour peut ainsi être effectuée une fois via la connexion Internet, puis être appliquée via le réseau de l'entreprise.

La mise en cache ISA Server Microsoft Update utilise des demandes de plage HTTP pour rendre encore plus efficace le processus de mise en cache. Microsoft Update utilise un mécanisme qui permet aux ordinateurs utilisant une version spécifique de Windows de demander et de recevoir uniquement les plages contenant les informations de mise à jour dont ils ont besoin. Étant donné que ISA Server peut mettre en cache ces demandes de plage, l'efficacité peut s'en trouver améliorée. Par exemple, dans une succursale dans laquelle tous les ordinateurs clients exécutent Windows XP, seules les plages Windows XP d'une mise à jour sont demandées et mises en cache. Il en résulte des mises à jour plus rapides, avec une utilisation plus limitée de la bande passante et un environnement d'exploitation plus sûr.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

Pour plus d'informations sur la façon dont Microsoft Update permet aux ordinateurs de demander et de recevoir uniquement des plages spécifiques, consultez l'article Utilisation de la technologie BDC (Binary Delta Compression) afin de mettre à jour les systèmes d'exploitation Windows dans le Centre de téléchargement Microsoft.

Compression HTTP

La compression HTTP réduit la taille des fichiers à l'aide d'algorithmes permettant d'éliminer les données redondantes. La plupart des types de fichiers Web peuvent être compressés de manière sûre. La compression HTTP utilise les algorithmes normalisés GZIP et Deflate, intégrés aux systèmes d'exploitation Windows 2000 Server et ultérieurs, ainsi qu'à Internet Explorer version 4 et ultérieures. Ces algorithmes compressent les fichiers statiques et effectuent en option une compression à la demande des réponses générées dynamiquement, avant leur envoi via le réseau. Les mêmes algorithmes sont encore utilisés pour décompresser les fichiers statiques et les réponses dynamiques sur un client prenant en charge HTTP 1.1. Un client configuré pour utiliser HTTP 1.1 demande le contenu compressé à un serveur Web. Les serveurs Web indiquent dans leur réponse s'ils prennent en charge la compression.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

Dans Internet Explorer, configurez l'utilisation de HTTP 1.1 sous l'onglet Avancé de Options Internet, en sélectionnant Utiliser HTTP 1.1 avec une connexion par proxy.

La compression HTTP dans ISA Server est un paramètre de stratégie HTTP global. Il s'applique à tout le trafic HTTP qui transite via ISA Server, vers ou depuis un réseau ou un objet réseau spécifié, plutôt qu'au trafic traité par une règle spécifique. La compression HTTP est offerte par deux filtres Web :

  • Filtre de compression. Ce filtre est responsable de la compression et de la décompression des demandes et réponses HTTP. Ce filtre a une priorité élevée et se trouve en bonne position dans la liste ordonnée des filtres Web. Cela tient au fait que le filtre est responsable de la décompression. Si vous choisissez d'activer l'inspection du contenu compressé, la décompression doit avoir lieu avant que tout autre filtre Web n'inspecte le contenu.

  • Filtre de mise en cache du contenu compressé. Ce filtre est responsable de la mise en cache du contenu compressé et de la réponse à une demande à partir du contenu compressé du cache. Ce filtre a la priorité la plus faible et se trouve en bas de la liste ordonnée des filtres Web, car la mise en cache peut avoir lieu après que tous les autres filtres ont traité le contenu.

Ne changez pas les paramètres de priorité et d'ordre par défaut de ces filtres.

La compression HTTP offre également une fonctionnalité de compression de plage, décrite dans la section Compression de plage de ce document.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

Le trafic HTTPS n'est pas compressé.

Compression de plage

La compression de la plage est la compression d'une portion spécifique de contenu Web. La compression de plage est requise pour prendre en charge les lecteurs de fichier PDF (Portable Document Format) propriétaires, qui n'ont pas de prise en charge intégrée de la compression.

Étant donné que IIS (Internet Information Services) ne prend pas en charge la compression de plage, n'autorisez pas la compression de plage sur le réseau incluant un serveur qui exécute IIS. En revanche, étant donné que ISA Server prend en charge la compression de plage, vous pouvez l'activer entre deux ordinateurs ISA Server

Par exemple, si vous avez un serveur Web au siège, vous pouvez désactiver la compression de plage sur le réseau interne pour le siège, mais l'activer sur le réseau externe pour le siège et pour les succursales, de sorte que la compression de plage ait lieu entre les succursales.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

La RFC (Request for Comment) HTTP n'explique pas comment traiter la combinaison de contenu compressé et d'en-têtes de plage (les en-têtes HTTP utilisés pour demander les plages de contenu). Par défaut, IIS ne compresse pas les demandes de plage, en raison de l'ambiguïté de la RFC. Il existe un indicateur spécifique qui, s'il est configuré, fait que IIS renvoie la plage à partir du fichier compressé. Cependant, IIS compresse d'abord le fichier entier, puis renvoie la plage demandée. Pour simuler ce comportement, ISA Server doit extraire le fichier entier, le compresser, puis renvoyer la plage spécifique. Si le fichier est volumineux et que la plage est à la fin, ce scénario peut entraîner un refus de service. Pour protéger ISA Server contre le refus de service, ISA Server adopte une approche différente de IIS.

Par défaut, ISA Server ne compresse pas une demande de plage. Pour prendre en charge la compression des demandes de plage, ISA Server utilise une nouvelle propriété par élément réseau, qui indique si la compression de plage est autorisée. Si la compression de plage est activée, ISA Server demande la compression de plage. Lors de la réception d'une réponse de plage compressée, ISA Server la décompresse systématiquement. Lorsqu'il renvoie une réponse de plage au client ayant demandé la compression, ISA Server compresse les données avant de les envoyer au client.

Le schéma suivant décrit le comportement de compression et de plage dans ISA Server 2004 SP2.

Compression et comportement de plage dans ISA Server 2004 SP2

La procédure suivante décrit le comportement de compression et de plage dans ISA Server 2004 SP2 :

  • Le client demande la compression de plage.

  • La configuration dans la succursale n'autorise pas le client à demander la compression. Cependant, ISA Server dans la succursale est configuré pour demander la compression et la compression de plage, et envoie donc une demande de compression de plage au siège.

  • ISA Server au siège reçoit la demande. Étant donné que son client (ISA Server dans la succursale) est autorisé à demander la compression, ISA Server envoie la demande au serveur Web. Cependant, dans la mesure où ISA Server au siège est configuré pour ne pas autoriser les demandes de compression de plage, la réponse du serveur Web contient la plage non compressée.

  • Lorsque ISA Server au siège reçoit la réponse, il la renvoie à ISA Server dans la succursale. Étant donné que la demande d'ISA Server dans la succursale demandait la compression, ISA Server au siège compresse les données avant de les envoyer à la succursale.

  • ISA Server dans la succursale reçoit la réponse. Il s'agit d'une réponse de plage compressée. ISA Server la décompresse et l'envoie non compressée au client dans la succursale.

La compression de plage n'est pas activée via Gestion ISA Server. L'administrateur doit modifier manuellement le fichier de configuration .xml et définir l'indicateur CompressRange. Le processus correspondant est indiqué dans la section Configuration de la taille minimale des paquets et de la compression de plage de ce document.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

Les réponses de plage ne sont pas stockées dans le cache ISA Server.

Cache et compression ISA Server

Le cache et la compression ISA Server collaborent afin de traiter plus efficacement des demandes de compression. Notez les points suivants sur la façon dont le cache et la compression collaborent :

  • Le contenu est mis en cache dans un des trois formats suivants :

    • Compressé. Le contenu est demandé au format compressé et est mis en cache au format compressé.

    • Non compressé. Le contenu est demandé au format non compressé et est mis en cache au format non compressé.

    • Non compressé et incompressible. Si un client demande du contenu compressé et qu'il arrive dans le cache non compressé, il est stocké comme incompressible dans le cache. La prochaine fois qu'une demande du même contenu compressé est reçue, ISA Server reconnaît que le contenu est incompressible et le fournit à partir du cache non compressé plutôt qu'à partir d'Internet. Le contenu inspecté est également stocké comme non compressé et incompressible.

  • Une fois le contenu mis en cache, il continue d'être fourni par le cache, même si vous changez l'état de la compression dans la règle de cache. Par exemple, si vous activez initialement l'inspection du contenu compressé, ce contenu est stocké dans le cache comme non compressé et incompressible. ISA Server compresse le contenu avant de le fournir au client (si le client a demandé du contenu compressé). Si vous désactivez l'inspection du contenu, ce dernier reste fourni par le cache. Dans ce cas, ISA Server continue de compresser le contenu pour les clients ayant demandé du contenu compressé, plutôt que de stocker le contenu compressé dans le cache et de le fournir aux clients. Cela peut affecter les performances d'ISA Server dans le traitement des demandes. Si vous souhaitez que les changements de configuration de la compression soient répercutés dans le contenu mis en cache, vous devez d'abord vider le cache.

Pour vider le cache, désactivez-le via Gestion ISA Server, puis supprimez le fichier de stockage du cache, par exemple Dir1.cdat (nom par défaut du fichier de cache ISA Server). Il existe un fichier de cache dans le dossier Urlcache sur chaque unité configurée pour la mise en cache. Une fois que vous avez supprimé le fichier de cache, activez le cache dans Gestion ISA Server.

Il existe également un exemple de script qui décrit comment vider le cache par programmation. Pour plus d'informations, consultez le document Suppression du contenu du cache sur le site Web de Microsoft TechNet.

Types de contenu et compression

En général, certains serveurs Web, lorsqu'ils répondent à une demande, n'indiquent pas précisément le type de contenu dans l'en-tête de la réponse. Par exemple, une réponse peut inclure un fichier Microsoft Office PowerPoint 2003 (.ppt), mais l'en-tête de réponse peut indiquer que le contenu est du texte brut. Lorsqu'un client Internet Explorer reçoit ce type de réponse au format compressé, il ne peut pas l'interpréter et l'utilisateur voit des caractères incompréhensibles à l'écran. Si la réponse est reçue non compressée, Internet Explorer peut l'interpréter et l'utilisateur peut ouvrir et visualiser le contenu. Cependant, si le client demande la compression et que le serveur Web répond avec du contenu non compressé, ISA Server compresse le contenu et Internet Explorer ne peut pas l'interpréter. Dans ce cas, le client doit demander du contenu non compressé (en changeant le paramètre de compression dans le navigateur) afin de l'afficher.

Définition de priorité des paquets avec DiffServ

La définition de priorité des paquets est un paramètre de stratégie HTTP global. Il s'applique à tout le trafic du navigateur qui transite via ISA Server, et non au trafic traité par une règle spécifique. La fonctionnalité de définition de priorité des paquets est fournie par le filtre Web DiffServ, qui analyse l'URL (Uniform Resource Locator) ou le domaine et affecte la priorité avec des bits DiffServ. Vous pouvez créer des priorités dans ISA Server, dont les bits DiffServ correspondent à ceux des priorités de vos routeurs, permettant ainsi aux routeurs de l'entreprise de transmettre les paquets en fonction de leur priorité.

Ce filtre a une priorité élevée et se trouve en bonne position dans la liste ordonnée des filtres Web. Cela tient au fait que ce filtre doit connaître la taille de la demande ou de la réponse réellement envoyée, et qu'il doit donc inspecter les données à l'endroit où elles sont envoyées ou reçues par ISA Server.

Ne changez pas les paramètres de priorité et d'ordre par défaut de ce filtre.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

  • ISA Server n'ajoute pas de bits DiffServ au trafic sur les protocoles autres que HTTP ou HTTP sécurisé (HTTPS). ISA Server peut ne pas transmettre les bits DiffServ existants pour le trafic sur les autres protocoles. Ces informations peuvent être supprimées des paquets.

  • La première priorité de paquet n'est pas affectée pour les réponses fournies à partir du cache.

  • La définition de priorité des paquets ne tient pas compte de la taille du premier tronçon lors de l'affectation de la première priorité de paquet, de sorte que la première priorité peut être affectée à un tronçon de grande taille.

Fonctionnalités modifiées

Plusieurs fonctionnalités ISA Server 2004 ont été modifiées dans ce service pack. Les changements apportés à ces fonctionnalités sont décrits dans cette section.

Protocole CARP (Cache Array Routing Protocol)

Dans ISA Server 2004 Enterprise Edition, le mécanisme CARP (Cache Array Routing Protocol) utilisait le routage basé sur hachage, qui avait besoin de l'URL pour déterminer quel membre de groupe traiterait la demande. Les exceptions CARP étaient les sites qui devaient être traités par un membre de groupe unique. Le membre de groupe affecté au traitement de la demande était sélectionné sur la base du nom d'hôte tel qu'il apparaissait dans l'en-tête de l'hôte. Ce comportement a changé dans le Service Pack 2, afin de mieux compléter les fonctionnalités Internet Explorer et d'offrir un meilleur contrôle sur la distribution des demandes générant un fort trafic Web.

Dans Service Pack 2, le routage CARP basé sur hachage utilise le nom d'hôte pour déterminer quel membre de groupe traite la demande. CARP affecte donc toutes les demandes d'un hôte particulier, par exemple www.fabrikam.com, à un membre de groupe spécifique. Cela permet également de préserver le contexte de la session, car les demandes et les réponses sont traitées par un membre de groupe unique. Les exceptions CARP sont les sites qui doivent être distribués sur tous les membres de groupe, parce qu'ils génèrent trop de trafic pour être traités par un membre de groupe unique. Par exemple, vous pouvez souhaiter que toutes les demandes de mise à jour Microsoft soient distribuées, et non affectées à un membre de groupe unique. Vous ajoutez pour cela le site Microsoft Update à la liste des exceptions CARP.

Détection automatique

Le comportement de la détection automatique des clients, tel qu'il est configuré sur ISA Server, a été modifié dans ce service pack. Avec Service Pack 2, une demande doit correspondre à la plage d'adresses IP et au nom du serveur ou au nom de domaine fourni sous l'onglet du navigateur Web afin de contourner le proxy.

Suivi

Service Pack 2 inclut un mécanisme de suivi de niveau d'erreur qui fonctionne en continu en arrière-plan. Si nécessaire, les informations de suivi sont disponibles pour les services de support produit Microsoft. Le mécanisme de suivi ne collecte pas d'informations personnellement identifiables.

Le suivi a lieu en arrière-plan et son impact sur les performances ISA Server est négligeable. Un fichier de 400 mégaoctets (Mo), à savoir %windir%\debug\isalog.bin, est créé par Service Pack 2 sur chaque ordinateur qui exécute les services ISA Server, contenant les informations de suivi.

Nous recommandons l'utilisation des paramètres par défaut pour cette fonctionnalité. Cependant, si vous souhaitez modifier le mécanisme de suivi, vous pouvez le faire via la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\isaTrace. Pour changer la taille du fichier utilisé par le suivi, changez la valeur de CircularlLogSizeMB. Pour désactiver le suivi, remplacez la valeur de BootTracing par 0. Le fichier n'est pas supprimé, opération qui doit être effectuée manuellement. Après avoir apporté des changements au registre, redémarrez l'ordinateur afin que les changements prennent effet. Si vous créez la clé de registre avant l'installation de Service Pack 2, puis que vous configurez BootTracing sur 0, le fichier de suivi n'est pas ajouté au cours de l'installation et le suivi n'est pas activé.

Sécurité de l'authentification

Lorsque vous utilisez un pont HTTP vers HTTP, ISA Server n'autorise pas le trafic sur le port HTTP externe lorsque l'écouteur Web est configuré pour demander l'authentification Basic, basée sur formulaire ou RADIUS (Remote Authentication Dial-In User Service). Il s'agit d'un changement lié à la sécurité. Ces informations d'identification doivent être cryptées et non envoyées en texte clair via HTTP.

Parcours des fonctionnalités

Cette section détaille les exigences d'installation et de configuration d'ISA Server 2004 SP2.

Procédure d'installation

Suivez cette procédure pour installer ISA Server 2004 SP2. Cette procédure suppose que vous avez installé ISA Server 2004.

Dd379330.note(fr-fr,TechNet.10).gif Remarque :

  • Pour la version Enterprise Edition, il n'est pas nécessaire de réinstaller ou de mettre à jour un serveur de stockage de configurations existant. Les nouvelles fonctionnalités sont hébergées sur les ordinateurs qui exécutent les services ISA Server.

  • Les fonctionnalités de compression et de qualité de service (QoS, Quality of Service) sont fournies par les filtres Web ISA Server. Ces filtres sont installés avec la priorité et l'ordre requis pour leur fonctionnement correct. Ne changez pas les paramètres de priorité et d'ordre par défaut.

Pour installer ISA Server 2004 SP2, suivez cette procédure sur chaque membre de groupe (Enterprise Edition) ou chaque ordinateur (Standard Edition):

  1. Fermez Gestion ISA Server.

  2. Exécutez le programme d'installation du service pack à partir du CD ou du partage de fichiers où il est installé. L'Assistant d'installation vous guide dans le processus d'installation.

  3. Redémarrez l'ordinateur. Cette opération est requise pour tout ordinateur qui exécute les services ISA Server, et vous y serez invité.

Création de la règle de cache Microsoft Update

Cette procédure décrit comment configurer la règle de cache Microsoft Update, qui utilise la mise en cache BITS pour mettre en cache les données Microsoft Update. Il est supposé que vous avez déjà activé le cache ISA Server, comme décrit dans l'annexe A : activation du cache ISA Server.

Pour créer la règle de cache Microsoft Update, procédez de la façon suivante :

  1. Dans l'arborescence de la console Gestion ISA Server, cliquez sur Cache.

    • Pour ISA Server 2004 Enterprise Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Groupes, développez Nom_groupe, développez Configuration, puis cliquez sur Cache.

    • Pour ISA Server 2004 Standard Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Nom_serveur, développez Configuration, puis cliquez sur Cache.

  2. Dans le volet de détails, sélectionnez l'onglet Règles de cache. Dans le volet des tâches, cliquez sur Créer la règle de cache Microsoft Update afin de démarrer l'Assistant Règle de cache Microsoft Update.

  3. Dans la page Bienvenue, le nom Règle de cache Microsoft Update est fourni. Cliquez sur Suivant.

  4. Facultatif. Dans la page Sites de mise à jour des produits Microsoft, vous pouvez ajouter les noms de domaine à Ensemble de noms de domaines Microsoft Update (créé automatiquement par la règle). Cliquez sur Suivant.

  5. Dans la page de résumé, examinez la configuration de la règle, puis cliquez sur Terminer.

  6. Dans le volet de détails, cliquez sur Appliquer afin d'appliquer les modifications.

Important

La règle de cache Microsoft Update doit rester en première position dans la liste ordonnée des règles de cache.

Configuration de la compression HTTP

Pour configurer la compression HTTP, procédez de la façon suivante :

  1. Dans l'arborescence de la console Gestion ISA Server, cliquez sur Général :

    • Pour ISA Server 2004 Enterprise Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Groupes, développez Nom_groupe, développez Configuration, puis cliquez sur Général.

    • Pour ISA Server 2004 Standard Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Nom_serveur, développez Configuration, puis cliquez sur Général.

  2. Sous Paramètres de stratégie HTTP globale, cliquez sur Définir les préférences de compression HTTP afin d'ouvrir les propriétés HTTP Compression.

    Compression HTTP

  3. Sous l'onglet Paramètres, vous pouvez ajouter les entités réseau pour lesquelles la compression HTTP sera demandée ou autorisée. Cliquez sur Ajouter afin d'ouvrir la boîte de dialogue Ajouter des entités réseau, sélectionnez une entité réseau, puis cliquez sur Ajouter. Répétez l'opération pour ajouter d'autres éléments réseau, puis cliquez sur Fermer. Notez que la liste des entités réseau est ordonnée, de sorte que vous pouvez définir une préférence pour la compression entre les entités réseau. Utilisez les flèches à droite de la page de propriétés afin de changer l'ordre des éléments réseau. Mettez en surbrillance chaque élément réseau afin de le sélectionner et cliquez sur Définir la compression afin de définir les propriétés de compression.

    Définir la compression

  4. Dans la boîte de dialogue Définir la compression, vous pouvez sélectionner :

    • Répondre avec du contenu HTTP compressé. Avec cette option activée, ISA Server renvoie du contenu compressé lorsqu'une demande client provenant de cet élément réseau demande la compression.

    • Demander du contenu HTTP compressé aux serveurs. Avec cette option, ISA Server demande du contenu compressé lorsqu'il adresse des demandes à cet élément réseau.

  5. Une fois que vous avez configuré les paramètres de compression de l'élément réseau, cliquez sur OK afin de fermer la boîte de dialogue Définir la compression.

    Boîte de dialogue Définir la compression

  6. Sous l'onglet Types de contenu, vous pouvez spécifier les types de contenu qui seront compressés. Vous pouvez spécifier les types de contenu qui seront exclus (tous les autres seront alors inclus), ou ceux qui seront inclus (tous les autres seront alors exclus). Sélectionnez ensuite des types de contenu spécifiques à exclure ou à inclure. La figure précédente est un exemple de configuration dans lequel seuls les documents HTML sont compressés. Vous pouvez créer de nouveaux types de contenu dans le volet des tâches Stratégie de pare-feu, sous l'onglet Boîte à outils, comme cela est expliqué dans l'aide ISA Server.

    Dd379330.note(fr-fr,TechNet.10).gif Remarque :

    Les types de contenu suivants ne peuvent pas être compressés, car ils le sont déjà, ou parce qu'ils sont fournis en tant que flux :

    • vidéo

    • audio

    • application/x-tar

    • x-world/x-vrml

    • application/zip

    • application/x-gzip

    • application/x-zip-compressed

    • application/x-compress

    • application/x-compressed

    • application/x-spoon@@

    Décompression

  7. Sous l'onglet Inspection du contenu, vous pouvez indiquer si les filtres Web ISA Server inspecteront le contenu compressé entrant. Pour cela, le contenu compressé doit être décompressé. Lorsqu'il est décompressé, le contenu est stocké dans le cache sous forme de texte décompressé. Si ISA Server reçoit une demande de contenu mis en cache, il le recompresse avant l'envoi, ce qui augmente le temps de réponse.

  8. Une fois la configuration terminée, cliquez sur Appliquer dans le volet de détails ISA Server afin d'appliquer les modifications.

Configuration de la taille minimale des paquets et de la compression de plage

Deux propriétés de définition de priorité des paquets ne peuvent pas être définies via Gestion ISA Server. à savoir :

  • La taille minimale du paquet à compresser. Étant donné que vous ne souhaitez pas compresser et décompresser les petits paquets, vous pouvez configurer la taille minimale des paquets (en octets) qui seront compressés. La valeur par défaut est de 36 octets.

  • La prise en charge de la compression de plage. Internet Information Services (IIS) ne prend pas en charge la compression de plage. Par conséquent, vous ne souhaitez pas autoriser la compression de plage sur un réseau incluant un serveur qui exécute IIS. En revanche, étant donné que ISA Server prend en charge la compression de plage, vous pouvez l'activer entre deux ordinateurs ISA Server Par exemple, si vous avez un serveur Web au siège, vous pouvez désactiver la compression de plage sur le réseau interne pour le siège, mais l'activer sur le réseau externe pour le siège et pour les succursales, de sorte que la compression de plage ait lieu entre les succursales.

Ces paramètres sont répertoriés dans un fichier .xml stocké sous forme d'ensemble de paramètres de fournisseur, sous le conteneur Proxy Web dans le stockage.

Pour définir la configuration des priorités, procédez de la façon suivante :

  1. Créez un fichier .xml. Pour un exemple, reportez-vous à la section Exemple de fichier de configuration XML dans ce document. Vous pouvez créer le fichier .xml en configurant la compression HTTP via Gestion ISA Server, puis en exportant la configuration à l'aide du fichier SetCompConfig.vbs. La syntaxe d'utilisation de ce script pour l'exportation est la suivante :

    SetCompConfig.vbs export filename

  2. Remplacez ou modifiez la configuration en éditant le fichier .xml et en réexécutant le script sur le fichier modifié. Exécutez SetCompConfig.vbs avec votre fichier .xml en tant que paramètre. Cet outil lit le fichier .xml dans le stockage ISA Server. SetCompConfig.vbs est fourni sur le site Web de Microsoft Windows Server System.

    La syntaxe d'utilisation de ce script pour l'importation est la suivante :

    SetCompConfig.vbs import filename
Exemple de fichier de configuration XML

Voici un exemple de fichier de configuration .xml :

            <Compression ContentInspectionIsRequired="false"
            MinimumCompressionLength="36"
            MemAllocCompression="256">
            <NetworksElements>
            <NetworkElement
            Name="Internal"
            Type="Network"
            ClientCanAskForCompression="true"
            ServerShouldCompressResponse="false"
            CompressRange="false"
            StorageName="{4E32B556-0FAF-4A27-9111-085F679EDC9B}" />
            <NetworkElement
            Name="External"
            Type="Network"
            ClientCanAskForCompression="false"
            ServerShouldCompressResponse="true"
            CompressRange="true"
            StorageName="{F129EACF-778B-44FE-B339-5B752D7220A3}" />
            </NetworksElements>
            <ContentTypes CompressOnlyFollowingContentType="false">
            <ContentType
            Name="Images"
            StorageName="{2f203d1d-9ca0-414a-b036-fc9c585677ab}" />
            <ContentType
            Name="Video"
            StorageName="{7d3e566c-e96c-4cd4-b6aa-8181a8386c8e}" />
            </ContentTypes>
            </Compression>

Configuration de la définition de priorité des paquets avec DiffServ

Les propriétés de définition de priorité des paquets peuvent être définies via les propriétés DiffServ HTTP. Pour configurer la définition de priorité des paquets dans les propriétés HTTP DiffServ, procédez de la façon suivante :

  1. Dans l'arborescence de la console Gestion ISA Server, cliquez sur Général :

    • Pour ISA Server 2004 Enterprise Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Groupes, développez Nom_groupe, développez Configuration, puis cliquez sur Général.

    • Pour ISA Server 2004 Standard Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Nom_serveur, développez Configuration, puis cliquez sur Général.

  2. Sous Paramètres de stratégie HTTP globale, cliquez sur Spécifier les préférences Diffserv afin d'ouvrir les propriétés HTTP Diffserv.

    Onglet Général

  3. Sous l'onglet Général, vous pouvez sélectionner si les bits de qualité de service seront définis par ISA Server.

    Onglet Priorités

  4. Sous l'onglet Priorités, vous pouvez ajouter et configurer les priorités et les valeurs DiffServ à prendre en charge par ISA Server. Vous affecterez ces priorités aux URL et aux domaines sous d'autres onglets des propriétés Qualité de service HTTP. Pour ajouter une priorité, cliquez sur Ajouter afin d'ouvrir la boîte de dialogue Ajouter une priorité.

    Une fois que vous avez ajouté les priorités, vous pouvez les ordonner. Si un paquet est affecté à une priorité spécifique basée sur une URL ou un domaine, mais que cette priorité ne peut pas lui être affectée sur la base de la taille du paquet, la priorité suivante de la liste lui est affectée par défaut.

    Vous pouvez également sélectionner Autoriser un traitement spécial, de sorte que les en-têtes soient traités avec une priorité différente (généralement plus élevée) que les autres parties des demandes et des réponses.

    Ajouter une priorité

  5. Dans la boîte de dialogue Ajouter une priorité, indiquez un nom de priorité, puis spécifiez les bits DiffServ, également connus sous le nom de DSCP (Differentiated Services Code Point), une chaîne binaire à six chiffres. La chaîne binaire doit correspondre à celle utilisée par votre routeur pour un paramètre QoS (Quality of Service) particulier. Dans Limites de taille, vous pouvez appliquer une limite de taille en octets, de sorte que la priorité s'applique uniquement aux demandes ou aux réponses d'une taille maximale. Une demande ou réponse qui dépasse la taille maximale spécifiée reçoit la priorité suivante dans l'ordre. Une fois que vous avez configuré la priorité, cliquez sur OK afin de fermer la boîte de dialogue.

    Onglet URL

  6. Sous l'onglet URL, vous pouvez appliquer des priorités aux URL. Pour ajouter une URL, cliquez sur Ajouter afin d'ouvrir la boîte de dialogue Ajouter une priorité d'URL. Utilisez une astérisque (caractère générique) à la fin de l'URL, sauf si vous souhaitez affecter une priorité uniquement à une URL spécifique.

    Dd379330.note(fr-fr,TechNet.10).gif Remarque :

    Les priorités d'URL répertoriées sous l'onglet URL seront utilisées par ISA Server pour appliquer des bits DiffServ au contenu pouvant être inspecté par ISA Server (contenu non mis en tunnel). Le contenu mis en tunnel via HTTPS ne peut pas être inspecté et l'URL ne peut pas être connue, de sorte que ISA Server applique les bits DiffServ aux domaines, que vous ajoutez sous l'onglet Domaines.

    Si vous ne sélectionnez pas un réseau auquel la définition de priorité s'applique, vos autres paramètres ne sont appliqués à aucun trafic. Seul le trafic vers les réseaux sélectionnés sous l'onglet Réseaux fait l'objet d'une définition de priorité.

    Ajouter une priorité d'URL

  7. Dans la boîte de dialogue Ajouter une priorité d'URL, indiquez une URL à laquelle vous souhaitez appliquer une priorité, sélectionnez une priorité dans la liste déroulante, puis cliquez sur OK.

  8. Une fois que vous avez ajouté des URL, vous pouvez utiliser les flèches vers le haut et vers le bas afin de les ordonner. Cela vous permet d'appliquer des priorités à des URL spécifiques. Si une URL plus générale précède une URL spécifique, cette dernière n'est jamais mise en correspondance.

    Par exemple, vous pouvez appliquer une priorité élevée à www.contoso.com/news/\*, et une priorité plus faible à www.contoso.com/\*. Pour que les priorités soient appliquées correctement, www.contoso.com/news/\* doit être devant dans la liste. Sinon, la demande /news/* correspondra à l'entrée www.contoso.com/\* et se verra donc appliquer une priorité inférieure, avant que l'entrée /news/* ne soit atteinte.

    Onglet Domaines

  9. Sous l'onglet Domaines, vous pouvez appliquer des priorités à des domaines entiers. Lorsqu'un domaine se trouve dans la liste, toutes les URL de ce domaine reçoivent la priorité définie pour le domaine. Pour ajouter un domaine, cliquez sur Ajouter afin d'ouvrir la boîte de dialogue Ajouter une priorité de domaine.

    Dd379330.note(fr-fr,TechNet.10).gif Remarque :

    Les priorités d'URL répertoriées sous l'onglet URL seront utilisées par ISA Server pour appliquer des bits DiffServ au contenu pouvant être inspecté par ISA Server (contenu non mis en tunnel). Le contenu mis en tunnel via HTTPS ne peut pas être inspecté, auquel cas ISA Server applique les bits DiffServ aux domaines, que vous ajoutez sous l'onglet Domaines.

    Si vous ne sélectionnez pas un réseau auquel la définition de priorité s'applique, vos autres paramètres ne sont appliqués à aucun trafic. Seul le trafic vers les réseaux sélectionnés sous l'onglet Réseaux fait l'objet d'une définition de priorité.

  10. Une fois que vous avez ajouté des domaines, vous pouvez utiliser les flèches vers le haut et vers le bas afin de les ordonner. Cela vous permet d'appliquer des priorités à des domaines spécifiques. Par exemple, vous pouvez appliquer une priorité élevée à mail.contoso.com, et une priorité plus faible au reste du domaine, *.contoso.com. Pour que les priorités soient appliquées correctement, mail.contoso.com doit être devant dans la liste. Sinon, les demandes pour mail.contoso.com correspondront à l'entrée *.contoso.com et se verront affecter une priorité plus faible, avant que l'entrée mail ne soit atteinte.

    Ajouter une priorité de domaine

  11. Dans la boîte de dialogue Ajouter une priorité de domaine, indiquez un domaine auquel vous souhaitez appliquer une priorité, puis sélectionnez une priorité dans la liste déroulante.

    Onglet Réseaux

  12. Sous l'onglet Réseaux, sélectionnez les paquets réseau qui se verront affecter une priorité, en activant ou en désactivant DiffServ pour des réseaux spécifiques.

    Dd379330.note(fr-fr,TechNet.10).gif Remarque :

    Si vous ne sélectionnez pas un réseau auquel la définition de priorité s'applique, vos autres paramètres ne sont appliqués à aucun trafic. Seul le trafic vers les réseaux sélectionnés sous l'onglet Réseaux fait l'objet d'une définition de priorité.

  13. Une fois la configuration terminée, cliquez sur Appliquer dans le volet de détails ISA Server afin d'appliquer les modifications.

Annexe A : Activation du cache ISA Server

Pour activer le cache en définissant des unités de cache, procédez de la façon suivante :

  1. Dans l'arborescence de la console Gestion ISA Server, cliquez sur Cache.

    • Pour ISA Server 2004 Enterprise Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Groupes, développez Nom_groupe, développez Configuration, puis cliquez sur Cache.

    • Pour ISA Server 2004 Standard Edition, développez Microsoft Internet Security and Acceleration Server 2004, développez Nom_serveur, développez Configuration, puis cliquez sur Cache.

  2. Dans le volet de détails, sélectionnez l'onglet Lecteurs de cache, puis sélectionnez le lecteur approprié.

  3. Sous l'onglet Tâches, cliquez sur Définir les lecteurs de cache (activer la mise en cache).

  4. Sélectionnez l'un des lecteurs répertoriés.

  5. Dans Taille maximale du cache (Mo), tapez la quantité d'espace du lecteur sélectionné à allouer pour la mise en cache, cliquez sur Définir, puis cliquez sur OK.

  6. Un avertissement vous demande si vous souhaitez appliquer les changements avec ou sans redémarrage des services. Pour que la définition du lecteur de cache soit appliquée, vous devez sélectionner Enregistrer les modifications puis redémarrer les services.

Informations complémentaires

Des documents complémentaires sur ISA Server 2004 sont disponibles sur le site Web ISA Server 2004.

Avez-vous des commentaires à formuler à propos de ce document ? Envoyez vos commentaires.

Téléchargez

Haut de pageisa2k4sp2.doc
409 ko
Fichier Microsoft Word

Obtenez les visionneuses Office