Configurer un proxy inverse
Dernière rubrique modifiée : 2009-07-20
Dans le cadre des déploiements de serveurs de périphérie Office Communications Server, un serveur Microsoft Internet Security and Acceleration Server ou tout autre proxy inverse dans le réseau de périmètre est nécessaire, et ce pour :
- permettre aux utilisateurs externes de télécharger le contenu de vos réunions ;
- permettre aux utilisateurs externes de développer des groupes de distribution ;
- permettre aux utilisateurs distants de télécharger des fichiers du Service de carnet d'adresses ;
- permettre aux périphériques externes de se connecter au service de mise à jour des périphériques et d'obtenir des mises à jour.
Le tableau ci-après présente les répertoires spécifiques utilisés par le serveur de composants Web. Il est recommandé de configurer le proxy inverse HTTP pour qu'il utilise tous les répertoires.
Répertoires utilisés par le serveur de composants Web
| Répertoire | Utilisation |
|---|---|
https://nom de domaine complet du serveur externe/etc/place/null |
Stockage du contenu de réunion. |
https://nom de domaine complet du serveur externe/GroupExpansion/ext/service.asmx |
Stockage des informations de développement de groupes de distribution. URL externe du serveur de composants Web qui exécute le service de requête sur le Web du carnet d'adresses. |
https://<nom de domaine complet du serveur externe>/ABS/ext/Handler |
Stockage des fichiers du serveur de carnet d'adresses. |
https://<nom de domaine complet du serveur externe>/RequestHandler/ucdevice.upx |
URL externe du serveur de composants Web qui exécute le service de mise à jour des périphériques. Pour plus d'informations, consultez Service de mise à jour des périphériques. |
https://<nom de domaine complet du serveur externe>DeviceUpdateFiles_Ext |
URL externe du serveur de composants Web où se trouvent les mises à jour des périphériques. |
Les étapes détaillées de cette section indiquent comment configurer ISA Server 2006 comme proxy inverse. Si vous utilisez un autre proxy inverse, consultez la documentation du produit.
Vous pouvez utiliser les informations de cette rubrique pour configurer le proxy inverse. Pour cela, vous devez réaliser les procédures suivantes :
- Configurez les cartes réseau.
- Installez et configurez ISA Server 2006.
- Demandez un certificat numérique pour SSL et configurez-le.
- Créez une règle de publication de serveur Web et vérifiez que les propriétés de la règle de publication de serveur Web sécurisé sont correctes.
- Vérifiez ou configurez l'authentification et la certification sur les répertoires virtuels IIS (Internet Information Services).
- Créez une entrée DNS (Domain Name System).
- Vérifiez que vous avez accès au site via Internet.
Avant de commencer
Une fois que vous avez configuré vos pools d'entreprise et vos serveurs Standard Edition Server, vous pouvez configurer le nom de domaine complet (FQDN) de la batterie de serveurs Web externes dans la page Noms de domaine complets (FQDN) de la batterie de serveurs Web de l'Assistant Création de pool ou de l'Assistant Déploiement du serveur. Si vous n'avez pas configuré cette URL lorsque vous avez exécuté ces Assistants, vous devez configurer manuellement ces paramètres. Pour ce faire, ouvrez une fenêtre d'invite de commandes, puis tapez la commande suivante :
lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<nom de domaine complet de la batterie de serveurs Web externes> /poolname:<nom de pool>
Configurer des cartes réseau
Vous devez affecter une ou plusieurs adresses IP à la carte réseau externe et au moins une adresse IP à la carte réseau interne. Pour plus d'informations concernant le déploiement d'ISA Server avec une seule carte réseau, consultezConfiguration d'ISA Server 2004 sur un ordinateur équipé d'une seule carte réseau. Ce document s'applique également à ISA Server 2006.
Dans les procédures suivantes, l'ordinateur ISA Server est équipé de deux cartes réseau :
- une carte réseau publique ou externe présentée aux clients qui tentent de se connecter à votre site (habituellement par le biais d'Internet) ;
- une interface réseau privée ou interne présentée aux serveurs Web internes.
Vous devez affecter une ou plusieurs adresses IP à la carte réseau externe et au moins une adresse IP à la carte réseau interne.
Pour configurer les cartes réseau sur l'ordinateur de proxy inverse
Sur le serveur qui exécute ISA Server 2006, ouvrez Connexions réseau en cliquant sur Démarrer, en pointant sur Paramètres, puis en cliquant sur Connexions réseau.
Cliquez avec le bouton droit sur la connexion réseau externe que vous souhaitez utiliser pour l'interface externe, puis cliquez sur Propriétés.
Dans la page Propriétés, cliquez sur l'onglet Général, cliquez sur Protocole Internet (TCP/IP) dans la liste Cette connexion utilise les éléments suivants, puis cliquez sur Propriétés.
Dans la page Propriétés du protocole Internet (TCP/IP), configurez les adresses IP et les adresses de serveur DNS comme il convient pour le réseau auquel est connectée la carte réseau.
Cliquez sur OK, puis sur OK.
Dans Connexions réseau, cliquez avec le bouton droit sur la connexion réseau interne que vous souhaitez utiliser pour l'interface interne, puis cliquez sur Propriétés.
Répétez les étapes 3 à 5 pour configurer la connexion réseau interne.
Installer ISA Server 2006
Installez ISA Server 2006 conformément aux instructions d'installation incluses avec le produit. Pour plus d'informations sur l'installation d'ISA Server, consultez ISA Server 2006 - Getting Started (en anglais).
Demande et configuration d'un certificat pour votre proxy HTTP inverse
Vous devez installer, sur le serveur exécutant ISA Server 2006, le certificat d'autorité de certification racine pour l'autorité de certification qui a émis le certificat de serveur sur le serveur Web (c'est‑à‑dire le serveur IIS qui exécute les composants Web du serveur Office Communications Server).
Vous devez installer un certificat de serveur Web sur ISA Server. Ce certificat doit correspondre au nom de domaine complet publié de votre batterie de serveurs Web externes sur laquelle vous hébergez le contenu de réunion et les fichiers de carnet d'adresses.
Si votre déploiement interne comprend plus d'un serveur Standard Edition Server ou pool d'entreprise, vous devez configurer les règles de publication Web de chaque nom de domaine complet de la batterie Web externe.
Configurer les règles de publication de sites Web
ISA Server utilise des règles de publication Web pour publier les ressources internes de manière sécurisée, comme une URL de réunion, via Internet. La publication d'informations à l'attention des utilisateurs Internet rend les ressources informatiques du réseau interne accessibles aux utilisateurs situés en dehors du réseau.
Suivez la procédure ci-dessous pour créer des règles de publications Web.
.gif "Dd441312.note(fr-fr,office.13).gif") Remarque : |
|---|
| Cette procédure suppose que vous avez installé ISA Server 2006 Standard Edition. |
Pour créer une règle de publication de serveur Web sur l'ordinateur qui exécute ISA Server 2006
Cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft ISA Server, puis cliquez sur Console de gestion ISA Server.
Dans le volet de gauche, développez NomServeur, cliquez avec le bouton droit sur Stratégie de pare-feu, pointez sur Nouveau, puis cliquez sur Règle de publication Web.
Dans la page Assistant Nouvelle règle de publication Web, entrez un nom convivial pour la règle de publication (par exemple, OfficeCommunicationsWebDownloadsRule), puis cliquez sur Suivant.
Dans la page Sélectionnez l'action de la règle, sélectionnez Autoriser, puis cliquez sur Suivant.
Dans la page Type de publication, sélectionnez Publier un seul site Web ou équilibreur de charge, puis cliquez sur Suivant.
Dans la page Sécurité de connexion serveur, sélectionnez Utiliser SSL pour se connecter au serveur Web publié ou à la batterie de serveurs, puis cliquez sur Suivant.
Dans la page Détails de publication interne, dans la zone Nom du site interne, tapez le nom de domaine complet de la batterie de serveurs Web internes qui héberge le contenu de réunion et les fichiers de carnet d'adresses.
Remarque :Si votre serveur interne est un serveur Standard Edition Server, ce nom de domaine complet est celui du serveur Standard Edition Server. Si votre serveur interne est un pool d'entreprise, ce nom de domaine complet est celui de la batterie de serveurs Web interne.
ISA Server doit pouvoir résoudre le nom de domaine complet sur l'adresse IP du serveur Web interne. Si ISA Server n'est pas en mesure de résoudre le nom de domaine complet sur l'adresse IP correcte, vous pouvez sélectionner Utiliser un nom d'ordinateur ou une adresse IP pour se connecter au serveur publié, puis dans la zone Nom ou adresse IP de l'ordinateur, tapez l'adresse IP du serveur Web interne. Dans ce cas, vous devez vous assurer que le port 53 est ouvert sur le serveur ISA Server et que celui-ci parvient à atteindre un serveur DNS interne ou un serveur DNS résidant dans le réseau de périmètre.Dans la page Détails de publication interne, dans la zone Chemin d'accès (facultatif), tapez /* comme chemin d'accès du dossier à publier, puis cliquez sur Suivant.
Remarque :Dans l'Assistant de publication de sites Web, vous ne pouvez indiquer qu'un seul chemin. Vous pouvez toutefois en ajouter d'autres en modifiant les propriétés de la règle. Dans la page Informations sur les noms publics, confirmez que Ce nom de domaine est bien sélectionné sous Accepter les demandes pour. Tapez le nom de domaine complet de la batterie de serveurs Web externes dans la zone Nom public, puis cliquez sur Suivant.
Dans la page Sélectionnez le port d'écoute, cliquez sur Nouveau (cela entraîne l'ouverture de l'Assistant Nouvelle définition de port d'écoute Web).
Dans la page Assistant Nouveau port d'écoute Web, tapez le nom du port d'écoute Web dans la zone Nom du port d'écoute Web (par exemple, serveurs Web), puis cliquez sur Suivant.
Dans la page Sécurité de la connexion client, sélectionnez Exiger des connexions sécurisées SSL avec les clients, puis cliquez sur Suivant.
Dans la page Adresse IP de l'écouteur Web, sélectionnez Externe, puis cliquez sur Sélectionner l'adresse IP.
Dans la page Sélection de l'adresse IP de l'écouteur externe, sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur ISA Server qui sont dans le réseau sélectionné, sélectionnez l'adresse IP appropriée, cliquez sur Ajouter, puis sur OK.
Cliquez sur Suivant.
Dans la page Certificats SSL de l'écouteur, sélectionnez Affecter un certificat à chaque adresse IP, sélectionnez l'adresse IP que vous venez d'ajouter, puis cliquez sur Sélectionner le certificat.
Dans la page Sélectionner le certificat, sélectionnez le certificat qui correspond au nom public spécifié à l'étape 9, cliquez sur Sélectionner, puis cliquez sur Suivant.
Dans la page Paramètre d'authentification, sélectionnez Pas d'authentification, puis cliquez sur Suivant.
Dans la page Paramètres de l'authentification unique, cliquez sur Suivant.
Dans la page Fin de l'Assistant Nouveau port d'écoute Web, vérifiez que les paramètres du port d'écoute Web sont corrects, puis cliquez sur Terminer.
Cliquez sur Suivant.
Dans la page Délégation de l'authentification, sélectionnez Aucune délégation, le client peut s'authentifier directement, puis cliquez sur Suivant.
Dans la page Ensemble d'utilisateurs, cliquez sur Suivant.
Dans la page Fin de l'Assistant Nouvelle règle de publication Web, vérifiez que les paramètres de la règle de publication Web sont corrects, puis cliquez sur Terminer.
Cliquez sur Appliquer dans le volet d'informations pour enregistrer les modifications et mettre à jour la configuration.
Pour modifier les propriétés de la règle de publication Web
Cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft ISA Server, puis cliquez sur Console de gestion ISA Server.
Dans le volet gauche, développez NomServeur, puis cliquez sur Stratégie de pare-feu.
Dans le volet d'informations, cliquez avec le bouton droit sur la règle de publication de serveur Web sécurisé que vous avez créée précédemment (par exemple, OfficeCommunicationsServerExternal Rule), puis cliquez sur Propriétés.
Dans la page Propriétés, cliquez sur l'onglet De, puis :
- Dans la liste Cette règle s'applique au trafic émanant de ces sources, cliquez sur Partout, puis sur Supprimer.
- Cliquez sur Ajouter.
- Dans la boîte de dialogue Ajouter des entités réseau, développez Réseau, cliquez sur Externe, sur Ajouter, puis sur Fermer.
Si vous souhaitez publier un autre chemin d'accès sur le serveur Web, cliquez sur l'onglet Chemins d'accès. Cliquez ensuite sur Ajouter, tapez /* pour que le chemin d'accès soit publié, puis cliquez sur OK.
Cliquez sur Appliquer pour enregistrer les modifications, puis sur OK.
Cliquez sur le bouton Appliquer dans le volet d'informations pour enregistrer les modifications et mettre à jour la configuration.
Vérification ou configuration de l'authentification et de la certification sur les répertoires virtuels IIS
Utilisez la procédure suivante pour configurer la certification sur vos répertoires virtuels IIS ou vérifier que la certification est correctement configurée. Effectuez la procédure suivante sur chaque serveur IIS de votre serveur Office Communications Server interne.
| Remarque : |
|---|
| La procédure ci-après concerne le site Web par défaut des Services Internet (IIS). |
Pour vérifier ou configurer l'authentification et la certification sur les répertoires virtuels IIS
Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Gestionnaire des services Internet (IIS).
Dans le Gestionnaire des services Internet (IIS), développez NomServeur, puis le nœud Sites Web.
Cliquez avec le bouton droit sur Site Web <par défaut ou sélectionné>, puis cliquez sur Propriétés.
Sous l'onglet Site Web, vérifiez que le numéro du port dans Port SSL est bien 443, puis cliquez sur OK.
Sous l'onglet Sécurité de répertoire, cliquez sur Certificat du serveur sous Communications sécurisées.
Dans la page Assistant Certificat de serveur Web, cliquez sur Suivant.
Dans la page Certificat du serveur, cliquez sur Assigner un certificat existant, puis sur Suivant.
Dans la page Port SSL, vérifiez que la valeur définie dans la zone Port SSL que ce site Web doit utiliser est bien 443, puis cliquez sur Suivant.
Dans la page Résumé du certificat, vérifiez que les paramètres sont corrects, puis cliquez sur Suivant.
Cliquez sur Terminer.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés du site Web par défaut.
Création d'un enregistrement DNS
Créez un enregistrement DNS A externe pointant vers l'interface externe de votre serveur ISA Server, comme indiqué dans Configurer DNS.
Vérifier l'accès via le proxy inverse
La procédure suivante vous permet de vérifier que vos utilisateurs peuvent accéder aux informations présentes sur le proxy inverse. Vous devrez peut-être finaliser la configuration du pare-feu et du DNS pour obtenir un fonctionnement correct de cet accès.
Pour vérifier que vous avez accès au site via Internet
Déployez le client Live Meeting 2007 comme indiqué dans le Guide de déploiement du client Live Meeting 2007.
Ouvrez un navigateur Web et, dans la barre Adresse, tapez les URL utilisées par les clients pour accéder aux fichiers de carnet d'adresses et au site Internet de conférence Web, comme suit :
- Concernant le serveur de carnet d'adresses, tapez une URL du type : https://FQDN batterie serveurs Web externes/abs/ext où FQDN batterie serveurs Web externes correspond au nom de domaine complet de la batterie de serveurs Web externes qui héberge les fichiers serveur de carnet d'adresses. L'utilisateur doit recevoir une demande d'accès HTTP car l'authentification Microsoft Windows par défaut est configurée pour la sécurité du répertoire dans le dossier Serveur de carnet d'adresses.
- Concernant la conférence Web, tapez une URL du type : https://FQDN batterie serveurs Web externes/conf/ext/Tshoot.html où FQDN batterie serveurs Web externes correspond au nom de domaine complet de la batterie de serveurs Web externes qui héberge le contenu de réunion. Cette URL doit afficher la page de dépannage de la conférence Web.
- Concernant le développement de groupes de distribution, tapez une URL du type : https://FQDN batterie serveurs Web externes/GroupExpansion/ext/service.asmx. L'utilisateur doit recevoir une demande d'accès HTTP car l'authentification Microsoft Windows par défaut est configurée pour la sécurité du répertoire dans le service de développement de groupes de distribution.