Conseils utiles

Comment installer ISA Server

Pin
Send
Share
Send
Send


En fonction de l'accès à ISA Server et des ressources qui s'y trouvent ou derrière celui-ci, trois clients ISA Server sont alloués:

  1. client pare-feu (envoie des demandes au service de pare-feu dans ISA Server, prend en charge de nombreux protocoles),
  2. Proxy Web (envoie des requêtes de protocole FTP, HTTP, HTTPS au service de pare-feu sur ISA Server),
  3. SecureNAT (sur l'ordinateur client, achemine les requêtes vers ISA Server en sélectionnant ce dernier comme passerelle principale).

Les clients ISA Server diffèrent les uns des autres en termes de complexité de configuration, de fonctionnalités intégrées et de niveau de sécurité mis en œuvre. Si ISA Server est utilisé en tant que serveur de mise en cache, vous devez configurer les clients. Proxy Web. Si vous avez besoin d'un routage simple sans authentification ni contrôle des actions de l'utilisateur, vous devez appliquer SecureNAT. Si vous avez besoin d’une sécurité maximale et de la prise en charge de divers protocoles, vous devez l’installer sur des ordinateurs. client pare-feu.

Selon les besoins du réseau, les clients ISA Server peuvent être combinés les uns avec les autres jusqu'à ce que les trois clients soient installés sur le même ordinateur. Rappelez-vous que si des systèmes d'exploitation autres que Windows sont utilisés, le client pare-feu ne fonctionnera pas et, quel que soit le type de client ISA Server, toutes les demandes via le protocole HTTP sont traitées comme si elles avaient été reçues de clients proxy Web.

Envisagez d'installer et de configurer des clients afin d'accroître sa complexité. Pour installer SecureNAT sur un ordinateur, dans les paramètres TCP / IP de l'ordinateur client, dans le champ "Passerelle principale", entrez l'adresse de l'adaptateur ou du routeur ISA Server interne sur lequel un itinéraire permet d'accéder à ISA Server. Si le réseau utilise un serveur DHCP pour l'adressage, pour configurer SecureNAT, vous devez configurer le paramètre dans les paramètres du serveur DHCP ou dans les paramètres de zone. 003 routeuren lui attribuant la valeur de l'adresse interne de ISA Server.

SecureNAT ne prend pas en charge l'authentification du client. Par conséquent, vous pouvez limiter l'accès aux ressources réseau uniquement sur la base de l'adresse de l'ordinateur. Ceci termine la configuration de SecureNAT. Lorsque vous travaillez avec des clients de ce type, vous devez contrôler l'adresse interne du serveur ISA. Et si cela a changé, modifiez les adresses de la passerelle principale sur les ordinateurs clients. Notez également que les clients SecureNAT résolvent les noms à l'aide de DNS. Par conséquent, si un tel client ne peut se connecter à aucune ressource, il est nécessaire de vérifier les paramètres DNS et la connexion du client avec ISA Server. Les clients SecureNAT sont pris en charge par la plupart des systèmes d'exploitation et des navigateurs.

Le client proxy Web fonctionne dans tout système d'exploitation et avec tout navigateur prenant en charge la technologie HTTP1. Ce client prend en charge quatre protocoles: HTTP, HTTPS, FTP, Gofer. Ce client prend en charge l'authentification de l'utilisateur. Par conséquent, vous pouvez limiter l'accès à des ressources individuelles pour des comptes individuels.

Pour configurer le proxy Web sur le client, vous devez configurer les propriétés de connexion dans le navigateur. Pour ce faire, spécifiez l'adresse serveur proxy et portà travers lequel la connexion est faite. De plus, ces paramètres doivent correspondre à ceux d’ISA Server.

Sur ISA Server, les proxy Web sont généralement configurés sur des réseaux internes et des réseaux de périmètre. Pour activer le proxy Web sur le serveur, vous devez dans la console Gestion ISA Server sélectionnez le réseau souhaité et, dans ses propriétés, placez une icône en regard du paramètre "activer le client proxy Web" et spécifiez le numéro de port correspondant. Si l'organisation a mis en place un système Clés publiques, vous pouvez installer le support SSL. Sinon, quatre types de technologies supplémentaires sont fournis pour l’authentification du client ( Windows simple, intégré, RADIUS, intégré avec vérification ) L'ordinateur client peut être configuré manuellement ou à l'aide de stratégies de groupe (si le réseau est construit sur la base de domaines).

Les problèmes d'utilisation d'un proxy Web sont le plus souvent liés à l'état du service. Pare-feu Microsoft (ce service doit être redémarré, si une nouvelle carte réseau était installée sur ISA Server, si les clients perdent la connexion à ISA Server, vous devez vérifier les câbles et la fonctionnalité de la connexion avec la commande Ping ) Rappelez-vous que les paramètres de port pour l'utilisation de proxy Web sur ISA Server et les ordinateurs clients doivent être identiques.

Passons maintenant au travail avec le client pare-feu. L'installation d'un client pare-feu comprend trois parties: création d'une ressource partagée, installation sur les ordinateurs clients et paramètres.

Vous pouvez créer une ressource partagée pour le client de pare-feu sur ISA Server ou sur un autre serveur, ce qui est préférable. Dans le même temps, il est recommandé de désactiver le partage de fichiers et d'imprimantes sur l'interface interne de ISA Server. Pour créer une ressource partagée, vous devez démarrer l’installation d’ISA Server à partir du CD, sélectionnez installation personnalisée et installez le client pare-feu sur le disque dur. Dans ce cas, le dossier MSPCLNT sera créé sur le lecteur système. Depuis les ordinateurs clients, accédez à ce dossier et exécutez le programme d'installation. Dans un domaine, le client de pare-feu peut être distribué sur le réseau à l'aide de la stratégie de groupe.

Ensuite, vous pouvez configurer le pare-feu sur ISA Server et les ordinateurs clients. Sur ISA Server, vous devez activer la prise en charge du client pare-feu pour les ensembles de réseaux requis, tandis que les paramètres du client pare-feu sont appliqués de la même manière que le proxy Web. Vous pouvez également configurer des paramètres de contournement pour les domaines locaux et autoriser un accès direct à des sites Web et à des applications spécifiques. Vous devez également vous rappeler que pour que le client de pare-feu fonctionne correctement sur ISA Server, les ports TCP et UDP 1745 doivent être ouverts.

Pour configurer le client de pare-feu sur l'ordinateur local, une interface graphique spéciale est accessible en cliquant sur l'icône spéciale dans la barre d'état système (elle apparaîtra après l'installation du pare-feu).

Installation du certificat InstantSSL sur Microsoft ISA 2000

Les informations relatives à l'installation d'Internet Security et Acceleration Server sur un site Web à l'aide du protocole SSL (Secure Sockets Layer) s'appliquent à: Microsoft Internet Security et Acceleration Server 2000

Pour commencer, vous devez exporter le certificat SSL du site Web avec une clé privée comparable. Si vous ne possédez pas cette clé, le serveur ISA ne vous autorisera pas à utiliser ce certificat pour:
Ouvrez la console de gestion Microsoft (MMC).
Ajoutez le composant logiciel enfichable aux certificats.
Si vous y êtes invité, sélectionnez les options pour «Compte d'ordinateur» et «Ordinateur local».
Développez Personnel, puis Certificats. Vous devriez voir un certificat portant le nom de votre site Web dans la colonne "Émis vers".
En cliquant avec le bouton droit sur le certificat, sélectionnez Toutes les tâches, puis Exporter. Dans la fenêtre Exporter, cliquez sur Suivant.
Cliquez sur Oui, assurez-vous de sélectionner "exporter la clé privée", puis cliquez sur Suivant.

Remarque: Si vous ne pouvez pas exporter la clé privée, celle-ci a déjà été exportée sur un autre ordinateur ou n'y a jamais existé. Vous ne pouvez pas utiliser ce certificat sur ISA Server. Vous devez ensuite demander un nouveau certificat pour ISA Server.

Sélectionnez l'option «Échange d'informations personnelles», puis appuyez sur pour sélectionner les options appropriées pour les trois sous-options.
Attribuez un mot de passe et confirmez-le.
Nommez le fichier et son emplacement.
Cliquez sur Terminer.

Remarque: veillez à enregistrer le fichier car le protocole SSL dépend de ce fichier.

Copiez le fichier créé sur ISA Server.
Sur ISA Server, ouvrez MMC:
Comme décrit précédemment, ajoutez le certificat ci-joint.
Cliquez sur le dossier personnel.
Cliquez avec le bouton droit sur Toutes les tâches, puis cliquez sur Importer.
Cliquez sur Suivant dans l'assistant d'importation.
Assurez-vous que votre fichier est répertorié, puis cliquez sur Suivant.
Entrez le mot de passe pour le fichier (créé précédemment).
Dans la sous-option, appuyez sur pour sélectionner l'option "Marquer la clé privée comme exportable".
Laissez les paramètres importants automatiquement, cliquez sur Suivant. Ensuite, terminez.

Vous devez maintenant importer les certificats racine et intermédiaires.

Appuyez sur le bouton Démarrer, puis sélectionnez Exécuter et entrez mmc.
Cliquez sur Fichier, puis sélectionnez Ajouter / Supprimer un composant logiciel enfichable.
Sélectionnez Ajouter, puis Certificats dans l'option Ajouter un composant logiciel enfichable autonome, puis cliquez sur Ajouter.
Sélectionnez Compte d'ordinateur, puis cliquez sur Terminer.
Fermez la zone Ajouter un composant logiciel enfichable autonome, cliquez sur OK dans Ajouter / Supprimer un composant logiciel enfichable.
Retour à MMC
Pour installer le certificat racine contenu dans l'archive zip:
Cliquez avec le bouton droit sur Autorités de certification racines de confiance, sélectionnez Toutes les tâches, puis Importer.
Cliquez sur Suivant.
Recherchez le certificat racine et cliquez sur Suivant.
Une fois l’assistant d’installation terminé, vous pouvez cliquer sur Terminer.
Pour installer le certificat de l'autorité de certification intermédiaire:
Cliquez avec le bouton droit sur les autorités de certification intermédiaires, sélectionnez Toutes les tâches, puis Importer.
Terminez l’assistant d’importation, mais cette fois, lorsque vous demandez un fichier de certificat, sélectionnez Certificat intermédiaire d’autorité de certification.
Vérifiez que le certificat racine apparaît sous Autorités de certification racines de confiance et Certificat intermédiaire après - Autorités de certification intermédiaires.

Important: Vous devez maintenant redémarrer votre ordinateur pour terminer l’installation.

Dans le dossier Personnel, après que le sous-dossier "Certificats" s'affiche à l'écran, cliquez sur Certificats et assurez-vous qu'il contient un certificat portant le nom de l'ordinateur Web. Cliquez avec le bouton droit sur le certificat, puis cliquez sur Propriétés.
Si, dans le champ du certificat, "Objectifs prévus" est défini sur "Tout" et non sur une liste d'objectifs spécifiques, procédez comme suit avant de reconnaître le certificat par ISA Server:
Dans le composant logiciel enfichable Services de certificats, ouvrez la boîte de dialogue du certificat correspondant. Définissez l'option Autoriser tous les paramètres de ce certificat sur Autoriser uniquement les paramètres suivants, sélectionnez toutes les partitions, puis cliquez sur Appliquer.
Ouvrez ISA Manager et terminez l'installation de SSL:
Cliquez avec le bouton droit sur le serveur qui accepte la connexion entrante, puis cliquez sur Propriétés.
Cliquez sur l'onglet Demandes Web entrantes.
Appuyez sur entrez l'adresse IP (Internet Protocol) du site que vous allez héberger ou entrez «toutes les adresses IP» si vous n'avez pas d'adresse IP configurée séparément.
Cliquez sur Edit.
Appuyez sur pour sélectionner Utiliser un certificat de serveur pour authentifier la cellule utilisateur.
Appuyez sur Select.
Sélectionnez votre certificat précédemment importé.
Cliquez sur OK
Cliquez pour sélectionner la cellule Activer les écouteurs SSL.
Développez le dossier 'Publication' et cliquez sur Règles de publication Web.
Double-cliquez sur la règle de publication Web, qui conduira le trafic SSL.
Dans la cellule Bridging, sélectionnez l'option Rediriger les requêtes SSL en tant que: "Requêtes HTTP (mettre fin au canal sécurisé sur le proxy)". Cliquez sur OK
Redémarrez ISA Server. (notez que cela signifie un redémarrage du serveur lui-même et non un redémarrage du service)

Installer les certificats racine et intermédiaire

Installation facile des clients WPAD et pare-feu

Comme indiqué dans l'article «Authentification de l'accès Internet à l'aide d'un serveur ISA» (voir Windows IT Pro / RE n ° 2 pour 2006), le serveur ISA (Microsoft Internet Security and Acceleration) prend en charge trois méthodes de contrôle de l'accès Internet pour les applications internes. Clients: traduction d'adresses réseau Traduction sécurisée d'adresses réseau (SecureNAT), proxy Web et pare-feu ou méthode de pare-feu. SecureNAT ne nécessite aucun paramètre sur l'ordinateur client, à l'exception de la définition de la passerelle par défaut pour laquelle ISA Server doit être enregistré. Cette tâche est généralement automatisée à l'aide d'un serveur DHCP. Dans les environnements utilisant des sous-réseaux, le système avec ISA Server n'a pas besoin de devenir la passerelle par défaut, mais la route par défaut doit passer par le système avec ISA Server. Il est à noter que l'accès à l'aide de SecureNAT n'applique pas d'autorisation basée sur le nom d'utilisateur. Ainsi, beaucoup préféreront peut-être des configurations utilisant un proxy Web ou un pare-feu fournissant un contrôle d'accès basé sur l'octroi de droits aux utilisateurs appropriés.

La configuration avec Web-proxy requiert la configuration d'un navigateur réseau client. La configuration à l'aide d'un pare-feu implique l'installation d'un logiciel spécial sur le client, le client pare-feu. Par conséquent, la mise en place d'un proxy Web et d'un pare-feu semble à première vue être une tâche ardue. Il est également difficile pour les administrateurs de prendre en charge des clients distants et de gérer leurs configurations lors de l'ajout et de la suppression d'ISA Server. Toutefois, vous pouvez installer le service Web-proxy et le pare-feu de ISA Server afin que les clients soient configurés automatiquement.

Dessin Exemple de réseau utilisant ISA Server

La figure montre la topologie du réseau de notre entreprise. Un serveur portant le nom ALPHA est connecté au réseau interne avec l'adresse 10.0.0.0 (les services DHCP et DNS s'exécutent sur celui-ci, l'adresse 10.0.0.2) et un client portant le nom BETA-CLNT. Le réseau interne est connecté à Internet via un serveur ISA nommé ISA-LEON. Ma tâche consiste à fournir un accès Internet au système client BETA-CLNT via ISA-LEON. Tout d'abord, configurez l'accès via Web-proxy (seul le trafic HTTP et le trafic HTTP sécurisé (HTTPS) sont autorisés), puis accédez via un pare-feu (les applications telles que FTP et Telnet sont autorisées à accéder à Internet).

Présentation du proxy Web et du pare-feu

Pour commencer, je rappellerai brièvement l’essence des méthodes d’accès à Internet utilisant un pare-feu et un proxy Web. ISA Server propose deux services: un proxy Web et un service de pare-feu. Les navigateurs clients sont configurés pour utiliser la méthode d’accès Web-proxy, c’est-à-dire que les demandes HTTP sont envoyées directement au système avec ISA, qui exécute les demandes des clients. Cette méthode ne fonctionne qu'avec les applications pouvant utiliser un proxy Web, telles que Microsoft Internet Explorer (IE). Pour fournir un accès Internet à d'autres applications, telles que FTP et Telnet, ISA Server inclut une application cliente de pare-feu. Le client pare-feu est implémenté en tant que service de niveau Winsock et fournit un accès Internet aux applications clientes.

Pour fournir un accès à Internet, les administrateurs configurent souvent les systèmes clients avec la possibilité d'utiliser à la fois un client pare-feu et un proxy Web. Les administrateurs utilisent souvent un accès proxy Web car il ne nécessite pas l'installation de logiciels supplémentaires. Cependant, cette méthode d'accès invite l'utilisateur à entrer un nom et un mot de passe pour l'autorisation sur le serveur proxy. Le client de pare-feu n'exige pas que l'utilisateur entre un mot de passe spécial, mais utilise plutôt le nom et le mot de passe entrés lors de l'enregistrement.

Si vous configurez le navigateur du client pour utiliser Web-proxy, le client utilisera le serveur proxy pour les demandes HTTP et HTTPS, qu'un client de pare-feu soit disponible ou non. Si le navigateur de l'utilisateur n'a pas été configuré pour Web-proxy, Internet Explorer essaiera d'établir des connexions Internet directes, mais comme le client de pare-feu intercepte tous les appels Winsoсk, les connexions Internet sont fournies à l'aide du pare-feu d'ISA Server.

Configuration de WPAD à l'aide de DHCP

Pour que les systèmes du réseau détectent automatiquement les systèmes avec ISA Server agissant en tant que proxy Web, vous devez effectuer trois tâches:

  1. Configurez le système avec le serveur ISA pour prendre en charge le protocole WPAD (protocole de détection automatique des serveurs proxy Web).
  2. Fournissez aux systèmes clients la possibilité de trouver un ordinateur exécutant ISA Server, qui fournit un service de proxy Web.
  3. Prend en charge le navigateur client pour le protocole WPAD.

Pour configurer ISA Server afin de prendre en charge la recherche automatique de serveur proxy, sélectionnez le composant logiciel enfichable Gestion ISA dans la console MMC, cliquez avec le bouton droit de la souris sur ISA-LEON (un ordinateur sur lequel ISA Server est installé), comme indiqué à l'écran 1, puis sélectionnez Propriétés. Ensuite, accédez à l'onglet Autodiscovery, comme illustré à la figure 2, sélectionnez Publier les informations de découverte automatique et entrez un port pour publier les informations de découverte automatique. ISA Server publie des informations avec les résultats de la découverte automatique sur le port spécifié. Ce port sera utilisé pour toutes les demandes sortantes. Vous pouvez voir le numéro de port utilisé dans l'onglet de l'onglet Demandes Web sortantes. Sur mon système, il s'agit du port 8080. L'onglet Découverte automatique rend les informations disponibles pour la détection automatique sur tout port supplémentaire sélectionné. Dans mon installation, c'est le port 9090.

Écran 1. Console de gestion ISA
Écran 2. Définition de l'option de détection automatique sur ISA Server

Les actions décrites fourniront au système client la possibilité de découvrir un système avec un serveur ISA, en fonction de l'architecture du réseau d'entreprise. S'il existe un serveur DHCP sur le réseau, le message de diffusion DHCPINFORM et le paramètre de requête DHCP 252. Le serveur DHCP stocke divers paramètres de configuration client sous la forme de paramètres qu'il envoie au système client après avoir accédé à DHCP. Le paramètre 252 est réservé par WPAD. Dans notre exemple, un serveur DHCP s'exécute sur le système ALPHA. Vous pouvez donc ajouter le paramètre 252 aux paramètres de la plage allouée par DHCP. Vous devez ouvrir le composant logiciel enfichable DHCP dans la console MMC, cliquer avec le bouton droit de la souris sur ALPHA, sélectionner Définir les options prédéfinies (un ensemble de paramètres prédéfinis). Lorsque la fenêtre Options et valeurs prédéfinies apparaît, cliquez sur Ajouter. La figure 3 montre comment ajouter le paramètre 252, WPAD. En cliquant sur OK, vous verrez à nouveau la même fenêtre Options prédéfinies et valeurs, mais elle contient désormais des informations sur le nouveau paramètre. La chaîne http: // isa-leon: 8080 / wpad.dat est une URL générée automatiquement que le navigateur client utilisera pour se connecter au service de proxy Web de ISA Server afin de recevoir des informations de Web-proxy. Vous avez entré une telle chaîne comme valeur pour le paramètre DHCP 252. Notez que l'URL pointe vers un système spécifique avec un serveur ISA. Si votre environnement dispose d'un groupe ISA Server, l'utilisation de scripts de configuration automatique est plus efficace. Je parlerai d'eux un peu plus tard.

Figure 3. Ajout de paramètres DHCP

Le serveur DHCP enverra cette URL au navigateur client en réponse à une demande du client DHCPINFORM. Faites attention au numéro de port. Он может быть таким же, как и номер порта исходящих вызовов ISA Server (в нашем случае это 8080), или может иметь номер, который был задан во время настройки автоматического определения (9090).

После окончания настройки параметра 252 на сервере DHCP необходимо разрешить его использование для соответствующего диапазона DHCP. Чтобы это сделать, в консоли управления DHCP нужно нажать правой кнопкой мыши на узел Scope Options (диапазон), расположенный под узлом внутреннего сервера DHCP, выбрать Configure Options (настройка параметров) на закладке General, пролистать список параметров и выбрать 252 WPAD.

Internet Explorer, начиная с версии 3.02, поддерживает WPAD, поэтому настройка клиентов, использующих Internet Explorer или любой другой браузер с поддержкой функции автоопределения, достаточно проста. Задачу настройки можно еще более упростить, если в сети используется DHCP. В меню браузера клиентского компьютера нужно перейти на пункт Tools, Internet Options, Connections. Нажмите LAN Settings (настройки сети) и установите флажок Automatically detect settings (автоматически определять настройки) в диалоговом окне Local Area Network (LAN) Settings, как показано на экране 4.

Экран 4. Установка параметра автоопределения службы Web-proxy в браузере IE

После того как будут выполнены эти три шага и пользователь на клиентской системе получит возможность доступа по любому адресу URL, браузер получает URL для WPAD (в моем случае это http://isa-leon:8080/wpad.dat) от сервера DHCP. Браузер читает содержимое файла wpad.dat. Чтобы посмотреть содержимое файла wpad.dat, нужно ввести URL http://isa-leon:8080/wpad.dat в клиентском браузере или открыть файл wpad.dat в Notepad.

Wpad.dat est un fichier JavaScript. Il remplit plusieurs fonctions. Ces fonctionnalités sont couvertes dans http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol / ie / reskit / ie6 / part6 / c26ie6rk.as. L'une des clés de ce fichier est la clé FindProxyForUrl, qui indique au navigateur quel serveur proxy sera utilisé pour accéder à différentes URL.

ISA Server crée le fichier wpad.dat en fonction de ses paramètres. Par exemple, l’ajout de nouveaux domaines à la table des domaines locaux d’ISA Server dans la console de gestion ISA, dans la section Configuration réseau, modifie le fichier wpad.dat. Ainsi, lorsque le navigateur demande le nom du serveur proxy pour tout système de la table de domaine local, la clé FindProxyForUrl renvoie la valeur DIRECT au client - le chemin d'accès au serveur proxy.

L'attrait de la fonction de détection automatique réside dans le fait qu'ISA Server crée un fichier wpad.dat complexe, qui est ensuite utilisé par le navigateur client pour rechercher le chemin optimal vers l'URL demandée. Toutes les modifications apportées à la configuration d'ISA Server sont reflétées dans le fichier wpad.dat, puis ces paramètres sont utilisés par tous les clients configurés pour utiliser la détection automatique.

Configurer WPAD avec DNS

Au lieu de DHCP, vous pouvez utiliser DNS pour rechercher automatiquement un serveur proxy. Cette méthode convient aux organisations qui n'utilisent pas DHCP. Pour l'implémenter, vous devez procéder comme suit: tout d'abord, demander à ISA Server de publier des informations sur la détection automatique du service proxy Web sur le port 80. Si d'autres applications, telles qu'Internet Information Server, sont déjà en cours d'exécution sur le système ISA Server qui utilise déjà le port 80, vous devrez les reconfigurer pour utiliser un autre port. Après cela, vous devez appeler le composant logiciel enfichable DNS dans la console MMC et ajouter un nouvel enregistrement: l'alias (CNAME) pour WPAD dans la zone de recherche directe du domaine dans lequel se trouve ISA Server. Mon domaine d'origine est leon.leonhome.com; le nom de domaine complet (FQDN) de mon serveur ISA sera donc isa-leon.leonhome.com.

Vérifier vos paramètres DNS est facile. J'ai configuré l'ordinateur BETA-CLNT pour le serveur DNS s'exécutant sur ALPHA en définissant manuellement les propriétés TCP / IP sur BETA-CLNT pour utiliser le serveur DNS avec l'adresse 10.0.0.2. Alternativement, l'adresse du serveur DNS peut être transmise au client par le serveur DHCP. Après cela, il est facile de vérifier que le navigateur BETA-CLNT a accès au fichier wpad.dat en entrant http://wpad.leonhome.com/wpad.dat dans le champ d'adresse. Cochez la case Détecter automatiquement les paramètres dans la boîte de dialogue Paramètres du réseau local (LAN), comme décrit ci-dessus. Désormais, lorsque l'utilisateur du système client accède à une URL, le navigateur vérifie le fichier wpad.dat pour déterminer le serveur proxy correspondant.

L'utilisation de DHCP vous permet d'atteindre un niveau de précision de configuration supérieur à celui de DNS. Le DNS force ISA Server à écouter sur le port 80 les demandes de détection automatique et n'autorise qu'une seule entrée pour le protocole WPAD ISA Server pour l'ensemble du domaine. DHCP vous permet d’avoir diverses entrées WPAD pour différentes plages d’adresses émises (mais un seul WPAD par plage). Les grandes entreprises ont souvent plus d'un serveur ISA Server et DHCP peut diriger le client vers le système le plus proche avec ISA Server.

Configurer le client pare-feu

Comme nous venons de le montrer, l'administrateur (ou l'utilisateur) peut facilement définir les paramètres de navigateur nécessaires pour utiliser le service de proxy Web de ISA Server. Vous pouvez également installer un client pare-feu spécial à partir d'ISA Server sur les clients. Après l'avoir installé, vous pouvez configurer le navigateur client pour un accès direct à Internet, en contournant le serveur proxy. Après avoir installé ce client, les applications utilisant WinSock pourront se connecter à Internet sans paramétrage supplémentaire. Les connexions à Internet via un proxy Web ou à l'aide d'un client de pare-feu sont formellement indépendantes les unes des autres. Toutefois, le client de pare-feu installé prend en compte les paramètres Internet Explorer pour l'utilisation de Web-proxy. Les paramètres de proxy Web ne sont possibles qu’avant l’installation du client pare-feu. Après l’avoir installé, il est impossible de configurer les paramètres du navigateur Web-proxy.

Toutes les modifications de configuration du client Web-proxy peuvent être effectuées à partir de la console de gestion MMC ISA à l'aide du nœud Configuration du client. Comme le montre la figure 1, le nœud Configuration du client contient deux nœuds subordonnés: le navigateur Web et le client de pare-feu. Dans le volet de droite, double-cliquez sur le navigateur Web. La boîte de dialogue Propriétés du navigateur Web s'ouvre. Elle apparaît à l'écran. 5. L'onglet Général vous permet de spécifier les paramètres du navigateur que le programme d'installation du client pare-feu utilisera pour configurer Internet Explorer sur le système utilisateur. Vous pouvez utiliser cet onglet pour configurer automatiquement les paramètres Internet Explorer lors de l'installation du client de pare-feu. Dans notre exemple, le navigateur client utilisera le serveur proxy spécifié, le port (ISA-LEON, port 8080) et le paramètre Paramètres de détection automatique.

Écran 5. Configuration des paramètres du navigateur sur le client pare-feu

Si vous avez installé le client de pare-feu et configuré le navigateur pour utiliser Web-proxy, le navigateur utilise un serveur proxy pour accéder à Internet. Si le client de pare-feu est installé et que le navigateur est configuré pour un accès direct à Internet, il utilisera le pare-feu. En fait, le filtre de redirection HTTP de l'ISA Server (filtre de redirection HTTP) transfère les demandes HTTP du pare-feu au service de proxy Web. Mais vous pouvez configurer ISA Server pour que les demandes HTTP ne soient pas redirigées.

L'onglet Général de la boîte de dialogue Propriétés du navigateur Web vous permet de configurer le navigateur pour qu'il utilise un script automatique pour configurer automatiquement ses paramètres. Cette fonctionnalité a été mentionnée ci-dessus. Il n'est pas nécessaire d'utiliser un tel scénario s'il n'y a qu'un seul ISA Server, comme dans notre exemple. Je pense que le moment est venu d’envisager de tels scénarios, car leur application pour la configuration sera la meilleure solution pour une architecture comportant plusieurs serveurs ISA. Avant de commencer à parler de scripts, je dois expliquer la fonctionnalité de mise en cache distribuée fournie par ISA Server.

Pour une récupération efficace et la fourniture ultérieure des données mises en cache à l'utilisateur, ISA Server utilise le protocole CARP (Cache Array Routing Protocol). CARP fournit la distribution des données en cache parmi les membres du groupe de cache, constitué de plusieurs systèmes physiques sur lesquels ISA Server est installé. CARP offre une évolutivité positive, c’est-à-dire que plus le nombre de serveurs de la baie augmente, plus l’efficacité du cache augmente. CARP surpasse considérablement les autres technologies de mise en cache, telles que le protocole ICP (Internet Cache Protocol). Regardons le fonctionnement du protocole CARP: CARP détermine lequel des ISA Server du groupe contient les informations nécessaires. La conclusion est établie sur la base du calcul de la fonction de hachage, qui porte le nom ISA Server et la fonction de hachage de l'URL correspondante en entrée. Un tel mécanisme de calcul garantit que les objets mis en cache sont répartis de manière égale entre tous les tableaux ISA Server. L'administrateur peut définir son facteur de charge pour chacun des systèmes de baie en fonction, par exemple, du type de processeur ou de la quantité de mémoire RAM. Le facteur de charge est pris en compte lors du calcul de la fonction de hachage. En conséquence, les systèmes moins puissants mettront en cache moins d’objets.

Chaque système ISA Server membre du groupe contient des informations sur tous les autres membres du groupe. Ces informations peuvent être mises à la disposition de tous les clients à l'aide de scripts de routage. La figure 5 illustre l'onglet Général, qui contient l'URL d'un script similaire (dans notre cas, il s'agit de http: // ISA-LEON: 8080 / array.dll? Get.Routing.Script). ISA Server met à jour ce script lors de l'ajout ou de la suppression de membres à ce tableau. Notez que le script renvoie des informations sur le membre du tableau qui a été le dernier à utiliser cette demande d'URL afin de diriger la demande vers ISA Server contenant l'URL requise dans son cache.

Le script fonctionne de manière similaire au fichier wpad.dat que j'ai décrit ci-dessus. Un script est la méthode recommandée pour définir les options du navigateur permettant d'accéder à Internet via un proxy Web dans des environnements utilisant des matrices ISA Server. Il contient des informations fréquemment utilisées sur tous les membres du groupe et garantit que, dans un environnement doté d'un cache distribué, les demandes du client en cache seront envoyées à ce membre du groupe contenant les informations pertinentes dans son cache.

Le programme d'installation du client pare-feu configurera Internet Explorer pour qu'il utilise le script de configuration automatique si vous sélectionnez et cochez la case Définir les navigateurs Web pour qu'ils utilisent le script de configuration automatique sous l'onglet Général. Désormais, si vous décidez d'utiliser un script de configuration, Internet Explorer lira un script contenant une fonction de hachage qui traite la demande de l'utilisateur avant de soumettre une demande d'URL personnalisée. Internet Explorer obtiendra le nom du serveur ISA souhaité, qui contient l'objet requis dans son cache.

Après avoir examiné l’effet des paramètres du navigateur concernant Web-proxy sur les paramètres du client pare-feu, voyons comment définir les paramètres du client pare-feu requis. Le deuxième sous-nœud de la section Configuration du client de la console ISA Management MMC est le nœud du pare-feu. Ce site est une application d'assistance développée en tant que fournisseur pour Winsock. Dans le volet droit de la console, double-cliquez sur le client pare-feu. La boîte de dialogue Propriétés du client de pare-feu s'ouvre. Dans l'onglet Général, illustré à l'écran 6, la case à cocher Activer la découverte automatique de ISA Firewall dans le client de pare-feu doit être cochée. À l'avenir, pour plus de clarté lors de la configuration des clients, vous pouvez configurer le client pare-feu pour qu'il détecte automatiquement quel serveur ISA doit être utilisé par le client. À l'aide de l'onglet Paramètres d'application de la boîte de dialogue, déterminez quels processus utiliseront le pare-feu et lesquels ne le feront pas.

Figure 6. Configuration des paramètres de pare-feu sur le client de pare-feu

Le programme d'installation de ISA Server crée automatiquement un kit d'installation de client pare-feu et le place dans le répertoire% programfiles% microsoft isa serverclients. Après cela, vous pouvez installer le client sur les ordinateurs des utilisateurs. Les utilisateurs de mon réseau ont installé le client de pare-feu directement à partir du partage isa-leonmspclnt. Vous pouvez également utiliser les fonctionnalités d'installation logicielle fournies par Active Directory en attribuant l'installation d'un client de pare-feu à des groupes spécifiques d'ordinateurs utilisateur. Après cela, le logiciel client sera automatiquement installé lors de la prochaine inscription de l'utilisateur sur le réseau. En cas d'installation réussie, le client apparaît sous forme d'icône dans la barre d'état système de la barre des tâches. Double-cliquez sur le bouton gauche de la souris sur cette icône pour ouvrir la boîte de dialogue Paramètres du client de pare-feu.

L'installation du client pare-feu sur le système utilisateur active les paramètres du navigateur et du client correspondants. Ces paramètres ont été définis lors de la modification des propriétés du navigateur dans la boîte de dialogue Propriétés du navigateur Web. Toute modification apportée dans cette fenêtre après l'installation du client pare-feu sera automatiquement appliquée à tous les systèmes clients à intervalles réguliers. L'utilisateur, à son tour, peut cliquer sur Mettre à jour maintenant dans la boîte de dialogue Options du client de pare-feu pour télécharger immédiatement les modifications de configuration depuis ISA Server.

Une fois le pare-feu installé, il intercepte tous les appels Winsock. Désormais, les requêtes réseau ne vont pas directement à ISA Server. Au lieu de cela, le client de pare-feu crée un canal dédié à ISA Server et achemine les demandes au service de pare-feu ISA Server. Le pare-feu effectue une requête réseau spécifiée par l'utilisateur et renvoie une réponse au client. Par conséquent, une connexion Internet transparente est établie pour toutes les applications réseau exécutées sur l'ordinateur client.

Ainsi, dans cet article, j'ai parlé des principes de la configuration automatique de Web-proxy et du client de pare-feu ISA Server. Je souhaitais démontrer que les utilisateurs devaient effectuer de petites modifications ou ne pas définir de paramètres spéciaux pour accéder à Internet via ISA Server. J'ai montré comment configurer un navigateur Web pour accéder aux URL à l'aide du protocole WPAD. L'article mentionnait qu'ISA Server offrait une autre possibilité d'accès transparent aux applications sur Internet à l'aide de SecureNAT. Configurer le système client pour utiliser SecureNAT est simple. Pour ce faire, spécifiez l'adresse ISA Server en tant que passerelle par défaut dans les paramètres du client TCP / IP. Si DHCP est utilisé pour transmettre les paramètres de configuration aux clients, vous pouvez définir la valeur du paramètre Passerelle par défaut comme l’un des paramètres de la plage DCHP. Dans ce cas, le client sera configuré automatiquement lors du lancement des services réseau sur l'ordinateur et utilisera donc ISA Server comme passerelle par défaut.

Leon Braginsky - Directeur technique du support développeur Microsoft. Co-auteur du livre Microsoft Internet Information Server et auteur d'articles sur MSDN Magazine. [email protected]

Partager du matériel avec des collègues et des amis

Regarde la vidéo: ISA Server 2006 Installation et configuration (Octobre 2020).

Pin
Send
Share
Send
Send