Bienvenue sur le Laboratoire SUPINFO des technologies Microsoft !
Nous sommes étudiants et travaillons sur des centaines de projets sur les technologies Microsoft.
Nous préparons la migration de ce portail vers les technologies SharePoint 2013.
L'équipe du Laboratoire Microsoft


 


Tous les Articles du Laboratoire Microsoft

Présentation d’ISA Server 2004
Accueil > Articles > Serveurs
Auteur 
Matthieu MARTINEAU
PI SERVICES (GOLD PARTNER MICROSOFT)
Ingénieur systèmes et réseaux


 Tous les articles de cet auteur
Vincent TROTTIER
MGI CONSULTANTS
Ingénieur systèmes & réseaux


 Tous les articles de cet auteur

4,2/5

Bien


810777
314/1336

2. Installation et configuration initiale

2.1 Installation du logiciel

Contrairement à la version 2000 qui proposait 3 modes d'installation différents (mode cache, mode pare-feu et mode intégré), ISA Server 2004 ne propose qu'un seul mode d'installation. Dorénavant l'activation ou non de la mise en cache se paramètre dans la console de Gestion ISA et n'est plus tributaire du mode d'installation choisi au départ.

Après l'insertion du CD-ROM d'installation, le menu ci-contre apparaît. Il permet d'installer ISA Server 2004 ou bien de mettre à jour un serveur ISA 2000. Pour réalisez la migration d'ISA 2000 vers ISA Server 2004, le Service Pack 1 pour ISA 2000 doit être installé au préalable.

L'installation ne présentant aucunes difficultés (choix des composants à installer, définition de la table d'adresses locales, activation de la prise en charge des clients pare-feu utilisant l'ancienne version du client...) elle ne sera pas détaillée dans cette page. Cependant si vous souhaitez vraiment connaître tous les détails du processus d'installation vous pouvez tout de même consulter cette page.


Une fois l'installation terminée, six nouveaux services sont installés et doivent être démarrés pour que le serveur fonctionne correctement. Quatre de ces services concernent directement ISA Server :

  • Contrôle de Microsoft ISA Server : ce service est le service principal d'ISA 2004. Il se révèle très utile pour arrêter/démarrer le service pare-feu et le service Planificateur de tâches Microsoft ISA Server en une seule opération.

  • Pare-feu Microsoft : ce service est le plus important, il gère toutes les connexions faites au serveur, les règles du pare-feu, les règles de mise en cache, ... S'il n'est pas démarré, aucune des fonctionnalité du serveur n'est assurée (mise en cache, pare-feu et serveur VPN).

  • Planificateur de tâches Microsoft ISA Server : ce service permet de planifier des rapports sur l'activité du serveur.

  • Espace de stockage Microsoft ISA Server : ce service gère notamment le système de surveillance intégré à ISA Server et l'espace mémoire nécessaire à la mise en cache .

Les deux autres services correspondent au moteur de SQL Server 2000. En effet, MSDE 2000 version A (pour Microsoft SQL Server Desktop Engine) est utilisé afin de stocker les données (notamment les données des journaux et des rapports) :

  • MSSQL$MSFW

  • MSSQLServerADHelper

A l'issu du processus d'installation, il est conseillé de consulter les trois fichiers journaux générés dans le répertoire %WINDIR%\temp:

  • le fichier ISAWRAP_xxx contient un résumé du processus d'installation.

  • le fichier ISAMSDE_xxx contient des information détaillées concernant l'installation du moteur de base de données MSDE.

  • le fichier ISAFWSV_xxx contient des informations détaillées concernant l'installation d'ISA Server.

 

2.2 Une interface entièrement repensée

Tout comme pour la version 2000, on utilise une console MMC (Microsoft Management Console) pour gérer le serveur ISA. Cependant, ISA Server 2004 a fait l’objet d’une refonte totale au niveau graphique. Outre le nouvel aspect bien plus esthétique grâce à ses formes arrondies, cette console « nouvelle génération » apporte un réel plus en terme d'ergonomie par rapport à l'ancienne console qui possède une lourde interface composée d’une arborescence compliquée et de menu mal conçus.


La console de Gestion ISA version 2000

Comme vous pouvez vous en rendre compte le nouvel utilitaire de configuration conserve un système avec deux fenêtres. Cependant, la fenêtre de gauche présente dorénavant une arborescence bien plus simpliste composée de 4 menus principaux :

  • Surveillance

  • Stratégie de pare-feu

  • Réseaux privés virtuels (VPN)

  • Configuration (composée de 4 sous menus : Réseaux, Cache, Add-ins et Général)

Les autres options de configuration sont ensuite accessibles par le biais de la fenêtre de droite grâce à un système d’onglets très bien pensé.


La console de Gestion ISA version 2004

 

2.3 L’assistant modèle réseau

L’une des principales améliorations au niveau de l'interface concerne la configuration du NAT et/ou routage entre les différents réseaux connectés au serveur ISA. En effet, un assistant très efficace est désormais disponible pour mettre en place sans efforts administratifs les topologies réseau classiquement utilisées sur un pare-feu. Il suffit de lancer l’assistant et en 3 clics de souris, les règles qui permettent la communication entre les différents réseaux reliés au serveur sont automatiquement paramétrées. Cinq configurations sont prédéfinies :

  • Pare-feu de périmètre

    Dans cette configuration, le serveur ISA est un hôte bastion, c’est-à-dire un pare-feu interconnectant un réseau privé à un réseau public. C’est le scénario classique en entreprise lorsque l’on souhaite filtrer l’accès à Internet.

  • Périmètre en trois parties

    Le serveur ISA possède trois interfaces chacune connectée à un sous réseau ou à un réseau différent :
    - la première est connectée au réseau interne de l’entreprise
    - la seconde à un réseau périphérique encore appelé zone démilitarisée ou DMZ (DeMilitarized Zone)
    - la dernière à un réseau public comme Internet.
  • Pare-feu avant

    Dans ce scénario, le serveur ISA est configuré pour être le premier pare-feu d’un réseau équipé de deux pare-feu mis dos-à-dos. Le serveur ISA est l’ordinateur qui filtre les informations circulant entre le réseau périphérique (DMZ) et le réseau public (ex. : Internet).
  • Pare-feu arrière

    Dans ce scénario, le serveur ISA est configuré pour être le second pare-feu d’un réseau équipé de pare-feu dos-à-dos. Le serveur ISA est l’ordinateur qui filtre les informations circulant entre le réseau interne de l’Entreprise et le réseau Périphérique (DMZ).
  • Carte réseau unique

    Dans cette configuration, ISA Server 2004 est paramétré pour assurer uniquement la fonction de mise en cache (serveur de Proxy). Il fonctionne sur le même réseau que le réseau interne et ne peut faire ni routage, ni serveur VPN, ni pare-feu.

Bien entendu l’administrateur du serveur a toujours la possibilité de créer ces règles réseaux et il peut aussi éditer manuellement toute la configuration. Cependant, l’assistant a le mérite de débarrasser l’administrateur de cette tâche supplémentaire ce qui lui permet de se concentrer sur les autres paramètres du serveur dédiés eux à la sécurité (mise en place de règles, d’alertes et de filtres).

On peut également noter qu’une configuration réseau peut être sauvegardée au format XML ce qui permet de pouvoir la restaurer très rapidement. La possibilité de pouvoir importer/exporter une configuration est d'ailleurs disponible pour tous les types de paramètres du serveur (ensemble de réseaux, règles de réseaux, règles de chaînage web, stratégies de pare-feu, configuration des clients VPN, règles de cache, filtres,... ). On peut supposer que cette possibilité s'étendra à tous les futurs produits Microsoft.

 

Pour accéder à l’onglet ci-contre, il suffit de développer l’arborescence et d’aller dans configuration/networks.

 

2.4 Chaînage de pare-feu et chaînage web

Le chaînage consiste à raccorder plusieurs serveurs ISA entres eux afin d'optimiser au maximum l'utilisation de la bande passante réseau. Cette fonctionnalité peut se révéler très utile dans le cas d'une entreprise possédant un site principal et plusieurs sites distants. Il existe deux types de chaînage sous ISA Server 2004 :

  • le chaînage web qui s'applique uniquement aux clients du Proxy web

  • le chaînage de pare-feu qui s'applique uniquement aux clients SecureNAT et aux clients pare-feu

Considérons une entreprise possédant un site principal et deux sites distants. Admettons que le site principal regroupent environ 2500 machines alors que les succursales en regroupent 50 chacune. Toutes les machines clientes sont configurées en tant que clients du Proxy web. Chaque succursale contient un serveur ISA fonctionnant en tant que serveur de proxy. Dans ce cas, il est possible d'accélérer grandement les performances de la navigation web dans les sites distants de la manière suivante :

  • utiliser la connexion Internet locale pour les requêtes HTTP destinées à des sites web français (c'est-à-dire des sites appartenant au domaine DNS *.fr)

  • rediriger toutes les autres requêtes vers le serveurs ISA du site principal afin de bénéficier du fichier de cache de ce serveur qui doit être plus conséquent et plus à jour étant donné le nombre de clients appartenant au site principal.


le chaînage de serveurs ISA

Le chaînage web route (ou redirige) les demandes des clients du Proxy web vers la connexion Internet locale, un autre serveur de Proxy situé en amont ou bien directement vers un serveur HTTP. ISA Server 2004 permet de définir des règles de chaînage web très flexible afin d'optimiser au maximum les performances de la navigation et la charge réseau. On peut par exemple rediriger les requêtes à destination d'une URL ou d'un ensemble d'URL donné vers un serveur de Proxy spécifique.

Le chaînage de pare-feu redirige les demandes des clients SecureNAT et des clients pare-feu vers la connexion Internet locale ou vers un autre serveur ISA situé en amont. Il n'est pas possible de définir de règles précises en ce qui concerne le chaînage de pare-feu.


Sommaire

1. Présentation Générale d'ISA Server 2004
     1.1 Introduction
     1.2 Nouveautés par rapport à la version 2000
     1.3 Configuration requise
     1.4 Les différentes versions disponibles
     1.5 Évaluer ISA Server 2004 gratuitement

2. Installation et configuration initiale
     2.1 Installation du logiciel
     2.2 Une interface entièrement repensée
     2.3 L'assistant modèle réseau
     2.4 Le chaînage de pare-feu et le chaînage web

3. Paramétrage du pare-feu
     3.1 Introduction
     3.2 Les éléments de stratégie
     3.3 La création des règles de pare-feu
     3.4 Ordre d'application des règles
     3.5 Les règles de stratégie système
     3.6 Le filtrage applicatif
     3.7 Conclusion

4. Exemples de configuration
     4.1 Introduction
     4.2 Autoriser l'accès à Internet pour les clients du réseau interne
     4.3 Interdire complètement l'accès à MSN Messenger
     4.4 Interdire l'accès à MSN Web Messenger
     4.5 Conclusion

5. Implémentation de la mise en cache
     5.1 Introduction
     5.2 Configuration de la mise en cache d'un serveur Web
     5.3 Conclusion

6. Mise en place d'un serveur VPN
     6.1 Introduction
     6.2 Un paramétrage simplifié
     6.3 De nouvelles options
     6.4 La fonction de mise en quarantaine
     6.5 Conclusion

7. Configuration des ordinateurs clients
     7.1 Introduction
     7.2 Configurer un client SecureNAT
     7.3 Configurer un client du Proxy Web
     7.4 Utilisation du protocole WPAD pour paramétrer automatiquement les clients du Proxy Web
     7.5 Déploiement et configuration des clients pare-feu
     7.6 Interopérabilité avec le client pare-feu d'ISA 2000
     7.7 Conclusion

8. Surveillance et monitoring d'ISA Server 2004
     8.1 Introduction
     8.2 Vue d'ensemble du tableau de bord
     8.3 Configuration et utilisation des vérificateurs de connectivité
     8.4 Gestion de la journalisation
     8.5 Génération de rapports
     8.6 Conclusion

9. Migration d'ISA Server 2000 vers ISA Server 2004
     9.1 Prérequis
     9.2 Sauvegarde des paramètres du serveur ISA en vue d'une migration
     9.3 Mise à niveau du serveur
     9.4 Importation des paramètres précédemment sauvegardés dans ISA Server 2004

10. Conclusion



En Savoir Plus 
Evaluez cet article 


Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft