IsaServer2006 PDF

Guide dinstallation et de
configuration dIsa Server 2006 :
MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 1 sur 49
INTRODUCTION :...................................................................................................................................... 4
1.1
1.2
OBJECTIFS DE CE DOCUMENT :....................................................................................................................... 4

OU TELECHARGER LA DERNIERE VERSION DE CE DOCUMENT : ............................................................................... 4
LES NOTIONS INDISPENSABLES POUR DEPLOYER ISA SERVER 2006 : ........................................................ 5

2.1
ADRESSE IP PRIVEE / PUBLIQUE ET LE NAT : .................................................................................................... 5
2.2
LE ROUTAGE IP : ......................................................................................................................................... 5
2.3
LES PORTS TCP / UDP ET LES SERVICES RESEAUX ASSOCIES : ............................................................................... 5
2.4
LES PARE FEU AVEC ETATS (STATEFULL) ET SANS ETATS (STATELESS) : ..................................................................... 5
2.5
COMMENT TESTER ET VALIDER QUUNE APPLICATION RESEAU EST ACCESSIBLE : ....................................................... 6
2.6
LES PROTOCOLES RESEAUX : .......................................................................................................................... 6
2.6.1 Le protocole DNS : ............................................................................................................................. 6
2.6.2 Les protocoles web HTTP, FTP : ......................................................................................................... 6
2.6.3 Protocole SMTP ................................................................................................................................. 7
2.6.4 Le protocole RDP (Terminal Server mode administration distance) : ............................................. 7
2.6.5 Le service dannuaire Active Directory : ............................................................................................ 7
2.6.6 Les certificats : ................................................................................................................................... 8
PRESENTATION DISA SERVER 2006 :........................................................................................................ 9

3.1
3.2
3.3
3.4
DEFINIR SON ARCHITECTURE RESEAU CIBLE : ......................................................................................... 12

4.1
4.2
4.3
4.4
DEFINIR LARCHITECTURE CIBLE ISA SERVER 2006 : ......................................................................................... 12

ARCHITECTURE DE RESOLUTION DE NOMS DNS : ............................................................................................ 12
LE TYPE DE CLIENT ISA SERVER : ................................................................................................................... 12
QUELQUES SITES WEB SUR ISA SERVER 2006 : ............................................................................................... 13
INSTALLATION DISA SERVER 2006 : ....................................................................................................... 14

5.1
5.2
5.3
5.4
5.5
5.6
PRESENTATION GENERALE : .......................................................................................................................... 9

SCENARIO DE DEPLOIEMENT : ...................................................................................................................... 10
UN PRODUIT EXTENSIBLE : .......................................................................................................................... 11
LE SUCCESSEUR DISA SERVER 2006 : ........................................................................................................... 11
INSTALLATION DISA SERVER 2006 : ............................................................................................................ 14

INSTALLER LE SERVICE PACK 1 DISA SERVER 2006 : ........................................................................................ 16
RENFORCER LA SECURITE DISA SERVER 2006 (A FAIRE UNE FOIS TOUTES LES REGLES CONFIGUREES) : ....................... 17
DESACTIVER LE TOE (TCP OFFLOAD ENGINE) ................................................................................................ 19
EXECUTER ISA SERVER BEST PRACTICE ANALYSER : .......................................................................................... 19
OPTIMISER LES PERFORMANCES DISA SERVER 2006 : ..................................................................................... 20
CONFIGURATION DU SERVEUR ISA SERVER 2006 : ................................................................................. 21

6.1
CONFIGURATION DES RESEAUX ISA SERVER 2006 : ......................................................................................... 21
6.1.1 Faire un schma de son rseau : ..................................................................................................... 21
6.1.2 Les rseaux Isa Server 2006 : ........................................................................................................... 21
6.1.3 Quelques rseaux ISA Server connatre : ...................................................................................... 24
6.1.4 Configurer les rgles de rseaux : .................................................................................................... 25
6.2
REGLE DACCES OU REGLE DE PUBLICATION : .................................................................................................. 26
6.3
LES ACCES PAR DEFAUT AU NIVEAU DU SERVEUR ISA SERVER 2006 : ................................................................... 27
6.4
LES STRATEGIES SYSTEMES : ........................................................................................................................ 28
6.5
CREATION DE REGLE DACCES : .................................................................................................................... 30
6.6
LES REGLES DE PUBLICATION : ..................................................................................................................... 32
6.6.1 Cration dune rgle de publication de serveur non web : .............................................................. 32
6.6.2 Les rgles de publication de serveur web : ...................................................................................... 34
6.6.3 Configuration des rgles de publication web HTTPS et des rgles pour publier Outlook Web Access,
ActiveSync et Outlook Anywhere : ................................................................................................................ 39
6.7
CONFIGURATION DE LA MISE EN CACHE AVEC ISA SERVER 2006 : ....................................................................... 40
6.7.1 Activer le cache sur le serveur Isa Server 2006 : .............................................................................. 40
6.7.2 Configurer les rgles de cache : ....................................................................................................... 40
6.7.3 Cration de tches de tlchargement de contenu : ....................................................................... 41
6.7.4 Gestion du contenu du cache : ........................................................................................................ 41
6.8
CONFIGURATION DE LA DECOUVERTE AUTOMATIQUE : ..................................................................................... 42
6.9
CONFIGURATION DE LA DETECTION DINTRUSION :........................................................................................... 42
6.10
MISE EN UVRE DU FILTRAGE APPLICATIF AVEC ISA SERVER 2006 : ................................................................... 43
6.10.1
Prsentation du filtre applicatif SMTP ........................................................................................ 44
6.10.2
Prsentation du filtre applicatif HTTP : ....................................................................................... 45
7
LES TACHES DADMINISTRATION COURANTE DISA SERVER : ................................................................. 46

7.1
7.2
7.3
7.4
SAUVEGARDER SON SERVEUR ISA SERVER : .................................................................................................... 46

MISE EN UVRE DE LA DELEGATION DADMINISTRATION AVEC ISA SERVER 2006 : ................................................ 46
CONFIGURATION DE RAPPORTS AVEC ISA SERVER 2006 : ................................................................................. 46
TROUBLESHOUTING AVEC LONGLET SURVEILLANCE\JOURNALISATION :............................................................... 48
MISE EN UVRE DES VPN : .................................................................................................................... 49

8.1.1
8.1.2
Configuration dIsa Server comme serveur VPN L2TP : ................................................................... 49

Pour crer des connexions VPN site site : ..................................................................................... 49
1 Introduction :
1.1
Objectifs de ce document :
Ce document a pour objectif de prsenter Isa Server 2006. Il nest pas exhaustif. Certaines
fonctionnalits dIsa Server comme la configuration dIsa Server 2006 ne sont pas abordes (peut tre
dans une prochaine version).
1.2
O tlcharger la dernire version de ce document :
Ce document peut tre tlcharg sur http://msreport.free.fr.
2 Les notions indispensables pour dployer Isa Server 2006 :

2.1
Adresse IP prive / publique et le NAT :
Il existe deux types dadresses IP :

Les adresses IP publiques : elles sont routables sur Internet.
Les adresses IP prives : elles ne sont pas routables sur Internet.
Pour plus dinformations sur les adresses prives / publiques, voir :
http://www.commentcamarche.net/contents/internet/ip.php3
Un serveur NAT permet des quipements rseaux avec une adresse IP prive de communiquer
avec des quipements rseaux avec une adresse IP publique.
Le NAT permet daltrer les paquets en remplaant une adresse IP prive par ladresse IP publique et
inversement.
Attention, certaines protocoles / applications ne supportent pas le NAT comme IPSEC. En effet le NAT
modifie le paquet IP alors quIPSEC garantit que ce dernier na pas t altr.
Pour plus dinformations sur le NAT, voir :
http://fr.wikipedia.org/wiki/Network_address_translation
http://www.commentcamarche.net/contents/internet/nat.php3
Pour utiliser le NAT avec IPSEC, il faut utiliser le protocole NAT-T :
http://support.microsoft.com/kb/885348/en-us
http://www.isaserver.org/tutorials/Allowing-Inbound-L2TPIPSec-NAT-Traversal-Connectionsthrough-Back-Back-ISA-Server-Firewall-DMZPart1.html
2.2
Le routage IP :
Pour plus dinformations sur la notion de routage :

http://www.frameip.com/routage/
Windows 2003 intgre un service de routage appel RRAS (Routage et Accs distant). Pour plus
dinformations sur le service RRAS, voir http://technet.microsoft.com/fr-fr/library/bb967586.aspx.
2.3
Les ports TCP / UDP et les services rseaux associs :
Chaque application rseau est associe un ou plusieurs ports TCP / UDP / ICMP.
Un serveur web tourne par exemple sur le port TCP 80. Seule une application peut sexcuter sur un
port TCP / UDP donne. Dans le cas contraire il y a conflit.
La liste de tous les ports connus est disponible sur un serveur Windows 2003 dans le fichier
C:\windows\system32\drivers\etc\services
Pour plus dinformations sur les applications associes chaque port TCP / UDP :
http://www.frameip.com/liste-des-ports-tcp-udp/affichage-liste-des-ports-tcp-udp.php?plage=1
2.4
Les pare feu avec tats (statefull) et sans tats (stateless) :
Il existe deux grandes familles de pare feu :

Les pare feu sans tats : ce type de pare feu ncessite de crer une rgle pour le trafic gnr par
un quipement rseau (requte http par exemple) qui initie la communication et une rgle pour
lquipement rseau qui rpond.
Les pare feu avec tats : ce type de pare feu ncessite uniquement de crer une rgle pour le
trafic gnr par lquipement rseau (requte http par exemple) qui initie la communication. La
rgle correspondant au trafic gnr par lquipement rseau qui rpond la requte est cre
dynamiquement par le pare feu avec tats.
Isa Server 2006 est un pare feu avec tats.
Pour plus dinformations voir http://fr.wikipedia.org/wiki/Pare-feu.
2.5
Comment tester et valider quune application rseau est accessible :
Il existe des outils qui permettent de tester les connexions rseaux.

Telnet (pour les ports TCP uniquement) : exemple : telnet www.google.fr 80)
ZenMaps (http://nmap.org/zenmap) permet sous Windows de gnrer des connexions TCP / UDP.
2.6
Les protocoles rseaux :
2.6.1 Le protocole DNS :

Le protocole DNS permet de rsoudre des noms complets DNS (FQDN) en adresses IP et
inversement. Pour plus dinformations sur le protocole DNS :
http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=15D276A5-4BF6-4ADD-9F6756B38CCB576B&displaylang=en
2.6.2 Les protocoles web HTTP, FTP :

Isa Server 2006 est la solution idale pour scuriser les serveurs web IIS 5, 6 et 7 de Microsoft. Il nest
en effet pas prudent de publier directement sur Internet un serveur web IIS (cest tout aussi vrai pour
un serveur web Apache).
Isa Server 2006 permet par exemple de bloquer certaines mthodes HTTP ou de dtecter la signature
dun programme pour le bloquer.
Un pr-requis la mise en uvre dIsa Server 2006 est donc de connatre le fonctionnement du
protocole HTTP et FTP :
http://www.commentcamarche.net/contents/internet/http.php3
http://www.commentcamarche.net/contents/internet/ftp.php3
http://fr.wikipedia.org/wiki/File_Transfer_Protocol
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
http://www.webdav.org/specs/rfc2518.html
Pour plus dinformations sur IIS :
http://www.mmt-fr.org/article283.html
http://www.lhebergeur.fr/iishelp/iis/htm/core/iiiisin.htm
http://www.laboratoire-microsoft.org/videos/5359
http://technet.microsoft.com/fr-fr/library/cc785089(WS.10).aspx
Attention, par dfaut Isa Server 2006 bloque laccs en criture au site web FTP.
Pour dsactiver, cela il faut configurer le filtre applicatif FTP au niveau de la rgle daccs qui autorise
le FTP en sortie par exemple.
2.6.3 Protocole SMTP

Le protocole SMTP est le protocole standard pour la messagerie.
Isa Server est capable de bloquer certaines mthodes SMTP laide du filtre dapplication SMTP
intgr nativement dans Isa Server. Pour plus dinformations sur le protocole SMTP :
http://www.commentcamarche.net/contents/internet/smtp.php3
2.6.4 Le protocole RDP (Terminal Server mode administration distance) :

Il est utilis pour permettre la prise en main distance dune station de travail ( partir de Windows
XP) ou dun serveur (depuis Windows 2000 Server).
Pour se connecter en bureau distance, utiliser le client Bureau distance : MSTSC.EXE.
Pour activer le bureau distance sur une station de travail ou un serveur, aller dans le panneau de
configuration | Systme et cliquer sur Utilisation distance .
Il peut tre intressant de configurer le protocole RDP pour ncouter que sur une carte rseau
spcifique (sur Windows Server 2000 Server et ultrieur).
Pour plus dinformations :

http://technet.microsoft.com/en-us/library/cc754746(WS.10).aspx
http://www.microsoft.com/windowsserver2003/techinfo/overview/quickstart.mspx
2.6.5 Le service dannuaire Active Directory :

Isa Server 2006 peut tre configur pour filtrer lapplication des rgles selon des ensembles
dutilisateurs. Ces derniers peuvent tre entre autres des utilisateurs ou des groupes du domaine
Active Directory. Pour plus dinformations sur Active Directory :
http://www.windowsreference.com/dns/step-by-step-guide-for-windows-server-2003-domaincontroller-and-dns-server-setup/
http://msreport.free.fr/?p=85
2.6.6 Les certificats :

Pour crer une rgle de publication web de type pontage SSL (deux sessions HTTPS), il est
ncessaire dinstaller un certificat sur le serveur Isa Server 2006.
Isa Server 2006 doit aussi tre capable dtablir une connexion HTTPS au serveur web interne sans
mettre dalerte. Pour cela le certificat du serveur web interne doit :
Ne pas avoir expir.
Avoir t gnr par une autorit de certification de confiance.
Contenir le nom avec lequel Isa Server a tabli la connexion.
Pour plus dinformations sur les certificats et les autorits de certification :
http://fr.wikipedia.org/wiki/%C3%89change_de_cl%C3%A9s_Diffie-Hellman
http://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique
http://www.laboratoire-microsoft.org/videos/10692/
http://technet.microsoft.com/fr-fr/library/aa998956(EXCHG.65).aspx
3 Prsentation dIsa Server 2006 :

3.1
Prsentation gnrale :
Isa Server 2006 est :

Un pare feu qui peut filtrer sur les couches 3, 4 et 7 du modle OSI.
Un routeur.
Un serveur NAT.
Un serveur VPN.
Un serveur proxy / reverse proxy.
Un IDS / IPS (trs basique).
Isa Server 2006 existe en deux versions :
Standard.
Entreprise.
Le tableau ci-dessous liste les diffrences entre les deux versions :

http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/editions.aspx
3.2
Scnario de dploiement :
Isa Server peut tre dploy selon plusieurs scnarios :

Pare feu de primtre : Dans ce scnario, Isa Server dispose de deux cartes rseaux. Il peut servir
pour faire du filtrage (sur les niveaux 3, 4 et 7 de la couche OSI), de serveur proxy (proxy / reverse
proxy), dIDS / IPS et de serveur VPN.
Pare feu avant / pare feu arrire : ce mode consiste dployer deux pare feu (de prfrence deux
modles diffrents) entre le rseau interne et le rseau externe. Ce mode de dploiement permet
de crer un rseau de primtre (ou DMZ) entre les deux pare feu. La Best Practice consiste alors
dployer tous les serveurs publier sur Internet au niveau de la DMZ.
Single Network Card : Isa Server dispose alors dune seule carte rseau. Dans ce mode, Isa
Server 2006 fonctionne uniquement comme un serveur proxy et reverse proxy.
Rseaux standard (2 cartes rseaux)
Permet la cration dune DMZ o lon hberge les serveurs

publier sur Internet.
Ce nest plus quun proxy et reverse proxy. (Publication et

application web).
Pour plus dinformations sur le scnario de dploiement dIsa Server 2006 avec une seule carte
rseau :
http://technet.microsoft.com/en-us/library/bb794774.aspx
http://microsoftsolution.blogspot.com/2008/03/configuration-of-isa-server-2006-in.html
http://www.isaserver.org/tutorials/ISA-Server-2006-Network-Templates.html
http://technet.microsoft.com/en-us/library/cc302586.aspx
Pour plus dinformations sur les scnarios de dploiement dIsa Server 2006 :
http://www.labo-microsoft.com/whitepapers/21518
3.3
Un produit extensible :
Il existe de nombreux plugins qui permettent dtendre les fonctionnalits dIsa Server.
Le module additionnel Kaspersky Anti-Virus for Microsoft ISA Server permet par exemple de dtecter
les virus et les spyware au niveau des flux HTTP et FTP qui transitent travers Isa Server 2006.
Une liste des modules additionnels pour Isa Server est fournit par le site web http://www.isaserver.org
(au niveau de la page daccueil).
3.4
Le successeur dIsa Server 2006 :
Le successeur dIsa Server 2006 sappelle Forefront Threat Management Gateway (TMG) 2010.
Le programme a t compltement redvelopp.
Pour plus dinfirmations :
http://www.microsoft.com/Forefront/edgesecurity/iag/en/us/default.aspx
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=e05aecbc-d0eb-4e0fa5db-8f236995bccd
http://www.mslive.fr/actualites-640-forefront-threat-management-gateway-(tmg)-2010-est-rtmtestez.aspx
4 Dfinir son architecture rseau cible :

Avant tout dploiement dIsa Server 2006, il faut dfinir son architecture cible.
4.1
Dfinir larchitecture cible Isa Server 2006 :
Avant de se lancer dans linstallation dIsa Server 2006, il faut dterminer larchitecture rseau cible.
Pour cela, il faut rpondre aux questions suivantes :
Quels sont les sous rseaux IP au niveau du rseau local ?
Quels est le type de relation entre chaque rseau (interne, externe, primtre) ? Il existe deux
types de relation rseau possible, NAT ou ROUTAGE.
Dois-je crer un rseau de primtre ?
Quels sont mes besoins en termes de bande passante ?
Quel sera le scnario de dploiement dIsa Server 2006 ?
Quel est mon budget ?
La majorit des incidents Isa Server sont le fait dune mauvaise configuration des rseaux Isa Server.
Certains clients oublient par exemple de dclarer dans la TAL (dans le rseau Interne dIsa Server)
certains sous rseaux IP du LAN. Isa Server considre alors que ces rseaux sont externes
lentreprise et refuse alors toutes demandes depuis les machines de ces sous rseaux IP. Ces
dernires arrivent en effet via la patte interne de lISA alors quelles devraient arriver par la patte
externe. Pour plus dinformations sur la configuration des rseaux Isa Server 2006, voir :
http://technet.microsoft.com/fr-fr/library/cc302676(en-us).aspx
4.2
Architecture de rsolution de noms DNS :
Un autre point trs important concerne la rsolution de noms DNS.

Il y a deux grandes coles :
Tous les quipements rseaux sur le LAN autres que le serveur ISA ne peuvent pas rsoudre les
noms DNS externes.
Les quipements rseaux sur le LAN peuvent rsoudre les noms DNS externes. Dans ce cas, il
faut crer une rgle daccs qui autorise le protocole DNS (TCP 53 / UDP 53) du rseau interne
vers le rseau externe.
http://www.isaserver.org/tutorials/Definitive-Guide-ISA-Firewall-Outbound-DNS-ScenariosPart1.html
4.3
Le type de client Isa Server :
Isa Server 2006 dispose de trois types de client :

Le client proxy web : il permet dutiliser le moteur proxy dIsa Server. Ce client permet de filtrer
uniquement laccs aux sites web HTTP, HTTPS et FTP. Le client proxy web permet de filtrer sur
des ensembles dutilisateurs.
Le client Secure NAT : il permet dutiliser le moteur de routage / NAT dIsa Server 2006 et donc de
filtrer les accs tous les protocoles. Il ne permet pas de filtrer sur des ensembles dutilisateurs.
Pour tre client Secure NAT, le flux rseau doit transiter par le serveur Isa Server. Le cas le plus
simple est celui dune station de travail qui a Isa Server comme passerelle par dfaut.
Le client pare feu : il sagit dun logiciel dployer sur toutes les stations de travail Windows. Ce
dernier est disponible sur le CD dinstallation dans le dossier client ou sur Internet.
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=05C2C932-B15A4990-B525-66380743DA89
Ce type de client permet de filtrer les accs tous les protocoles et dutiliser le filtrage sur les
ensembles dutilisateurs.
4.4
Quelques sites web sur Isa Server 2006 :
Site web franais :

http://technet.microsoft.com/fr-fr/forefront/edgesecurity/bb758895.aspx
http://www.microsoft.com/france/Vision/Recherche.aspx?Qry=&S=x&Did=&Pid=611c646f-3a254594-8c6a-6daff00e1a0b&Nid=&Cid=&Tid=&x=52&y=6
http://www.labo-microsoft.com/articles/server/ISA2004/
http://www.labo-microsoft.com/whitepapers/isa_server_2000_et_2004
Site web Technet anglais :
http://www.isaserver.org/
5 Installation dIsa Server 2006 :

Les tapes suivantes doivent tre effectues lors dune installation dIsa Server 2006 :
Installer Windows 2003 SP2 + derniers correctifs.
Installer Isa Server 2006.
Installer le service pack 1 dIsa Server 2006.
Scuriser le serveur Isa Server 2006 (documenter et former lquipe dadministration du client). A
faire aprs avoir configurer toutes les rgles de filtrage et activer toutes les fonctionnalits
(VPN).
Dsactiver le TOE.
Excuter Isa Server Best Practice Analyser.
Optimiser les performances dIsa Server 2006.
Remarque :
Ne pas dfinir de passerelle par dfaut sur la carte rseau interne dIsa Server 2006.
5.1
Installation dIsa Server 2006 :
Les sources dinstallation dIsa Server 2006 peuvent tre tlcharges ladresse suivante :
http://www.microsoft.com/downloads/details.aspx?familyid=6331154B-A923-45DD-852048B63B6BE97B&displaylang=fr
Avant de lancer linstallation dIsa Server 2006, vrifier que votre serveur respecte les pr-requis pour
linstallation dIsa Server 2006.
Dans notre cas, nous allons install le premier serveur Isa Server 2006 Entreprise Edition.
Il nous faut donc installer un serveur de stockage de configuration et les services Isa Server 2006.
Nous allons crer un nouveau Isa Server 2006 Entreprise.

Nous verrons par la suite que nous pourrons crer des rgles dentreprise et des rgles pour des
groupes Isa Server.
Ltape ci-dessous permet de configurer le rseau interne de lIsa Server 2006.

La TAL (Table dadresses locales) correspond en fait aux plages dadresses IP du rseau interne.
Attention, vous devez ajouter tous les sous rseaux IP de votre LAN et pas seulement le sous
rseau IP correspondant la patte interne de votre Isa Server 2006.

5.2
Installer le service pack 1 dIsa Server 2006 :
Installer le service pack 1 est trs fortement recommand. Il apporte de nombreuses fonctionnalits et
corrections de bugs dont :
Le suivi des modifications de la configuration : cela permet denregistrer toutes les modifications de
configuration appliques ISA Server. Penser crer des comptes dadministration Isa Server
nominatif pour bnficier pleinement de cette fonctionnalit.
Le bouton Tester : teste la cohrence d'une rgle de publication Web entre le serveur publi et ISA
Server.
Le simulateur de trafic : simule le trafic rseau conformment des paramtres de demande
spcifiques, tels qu'un utilisateur interne et le serveur Web, et fournit des informations sur les
rgles de stratgie du pare-feu values pour la demande.
La visionneuse Journalisation des diagnostics : dsormais intgre comme onglet dans la Console
d'administration d'ISA Server, cette fonction affiche des vnements dtaills sur l'volution d'un
paquet et fournit des informations sur le traitement et la mise en correspondance d'une rgle.
La prise en charge du mode d'quilibrage de charge rseau intgr en trois modes, dont
monodiffusion, multidiffusion et multidiffusion avec protocole IGMP (Internet Group Management
Protocol). Auparavant, ISA Server n'intgrait que le mode monodiffusion pris en charge par
l'quilibrage de charge rseau.
La prise en charge de l'utilisation de certificats de serveur contenant plusieurs entres SAN
(Subject Alternative Name). Auparavant, ISA Server tait en mesure d'utiliser soit uniquement le
nom de l'objet (nom commun) d'un certificat de serveur, ou la premire entre de la liste SAN
(Subject Alternative Name). Cette fonction est trs importante surtout si vous souhaitez
publier Outlook Anywhere (Exchange 2007).
La prise en charge de l'authentification entre les domaines l'aide de la dlgation Kerberos
contrainte (KCD). Les informations d'identification des utilisateurs situs dans un autre domaine
qu'ISA Server mais dans la mme fort peuvent dsormais tre dlgues un site Web publi
interne l'aide de la dlgation Kerberos contrainte.
Le service pack 1 dIsa Server 2006 peut tre tlcharg cette adresse :
http://www.microsoft.com/downloads/details.aspx?FamilyID=d2feca6d-81d7-430a-9b2db070a5f6ae50&displaylang=fr
Pour plus dinformations sur les nouveauts du service pack 1 :
http://www.isaserver.org/tutorials/New-ISA-Firewall-2006-Service-Pack1-Part1.html
http://www.isaserver.org/tutorials/New-ISA-Firewall-2006-Service-Pack1-Part2.html
Pour dterminer le niveau de service pack de chaque composant dIsa Server 2006 :
http://www.isaserver.org/tutorials/Determine-Correct-ISA-Server-Version-Service-PackInformation.html
5.3
Renforcer la scurit dIsa Server 2006 ( faire une fois toutes les rgles
configures) :
Microsoft prconise de ddier un serveur Isa Server 2006. Les services Windows non ncessaires
au fonctionnement dIsa Server peuvent donc tre dsactivs afin de rduire la surface dattaque.
Attention ce type de paramtrage tant trs complexe, il est prconis :
De valider sur maquette le bon fonctionnement dIsa Server avec ce paramtrage.
De documenter ce paramtrage.
De former les quipes dadministration du client.
En cas douverture dincident au support Microsoft, pensez toujours signaler que lassistant de
configuration renforc de la scurit t excute sur le serveur Isa Server 2006.
Larticle suivant explique comment renforcer la scurit du serveur Isa Server 2006 :
http://technet.microsoft.com/fr-fr/magazine/2008.09.isahardening.aspx
Penser tlcharger la mise jour de lassistant de configuration de la scurit pour Isa Server 2006.
http://www.microsoft.com/downloads/details.aspx?familyid=2748a927-bd3c-4d87-80fa8687d5e2ab35&displaylang=en
Ouvrir ensuite le document IsaScwHlp.doc et appliquer la procdure indique.
Attention, si le serveur Isa Server 2006 est membre du domaine, penser autoriser les services
ncessaires au bon fonctionnement du domaine !
Si le serveur Isa est serveur VPN aussi, pensez autoriser le service VPN. Le VPN dIsa Server 2006
sappuie en effet sur le service RRAS de Windows 2003 Server.
Penser slectionner le service client DHCP. Cest lui qui gre la mise jour dynamique DNS. Ce
service doit tre dmarr !
5.4
Dsactiver le TOE (TCP Offload Engine)
Le service pack 2 de Windows 2003 Server active par dfauts les nouvelles fonctionnalits de TOE
(TCP Offload Engine). Hors ces fonctionnalits sont incompatibles avec Isa Server 2006.
Type de l'vnement :
Avertissement
Source de l'vnement :
Microsoft ISA Server Control
Catgorie de l'vnement : Aucun
ID de l'vnement : 30520
Date :
07/02/2010
Heure :
12:11:47
Utilisateur : N/A
Ordinateur : ISAGM40
Description :
Windows Server 2003 Scalable Network Pack, qui est inclus dans Windows Server 2003 Service
Pack 2, est activ. Certaines fonctionnalits d'ISA Server ne fonctionnent pas correctement si une
carte rseau installe sur un ordinateur ISA Server prend en charge et utilise les fonctionnalits du
Scalable Network Pack. Pour plus d'informations, voir l'article 948496 de la Base de
connaissances Microsoft. Si vous ne possdez pas de carte rseau prenant en charge les
fonctionnalits du Scalable Network Pack, vous pouvez dsactiver l'alerte active Windows Server
2003 Scalable Network Pack.
Une Best Practice est donc de dsactiver ces fonctionnalits. Pour plus dinformations, voir :
http://isafirewalls.org/blogs/isa/archive/2007/03/29/attention-il-y-a-qque-soucis-isa-server-avec-lesp2-de-windows-2003.aspx
Pour plus dinformations sur le TOE, voir :
http://en.wikipedia.org/wiki/TCP_Offload_Engine
5.5
Excuter Isa Server Best Practice Analyser :
Le Best Practice Analyser peut tre tlcharg ladresse suivante :

http://www.microsoft.com/downloads/details.aspx?FamilyId=D22EC2B9-4CD3-4BB6-91EC0829E5F84063&displaylang=en
Lancer un scan et afficher le rapport ensuite.
Dans lexemple ci-dessous, le Best Practice Analyser remonte entre le fait que lon na pas dsactiv
le pack SNP de Windows 2003 SP2.
Attention dans certains cas, Isa Server peut remonter des faux positifs ou encore remonter un
problme qui a t corrig.
Purger le contenu du journal application (o est rfrence lerreur) permet de faire disparatre
certaines entres du Best Practice Analyser.
Pour plus dinformations sur le Best Practice Analyser Tool :
http://www.isaserver.org/tutorials/ISA-Best-Practices-Analyzer-Visio.html
5.6
Optimiser les performances dIsa Server 2006 :
Appliquer les prconisations de larticle Microsoft suivant :

http://www.isaserver.org/tutorials/Optimizing-ISA-performance-Part2.html
6 Configuration du serveur Isa Server 2006 :

Pour dcouvrir Isa Server, je vous prconise la lecture des articles SUPINFO suivants :
http://www.labo-microsoft.com/articles/server/ISA2004/
http://www.labo-microsoft.com/whitepapers/isa_server_2000_et_2004
6.1
Configuration des rseaux Isa Server 2006 :
Dans cette partie nous allons voir comment :

Lister les principaux rseaux Isa Server 2006.
Crer et configurer les rseaux Isa Server 2006.
Comment configurer les rgles de rseau Isa Server 2006 (NAT ou routage).
6.1.1 Faire un schma de son rseau :

Tout dabord, il nous faut un schma de notre rseau.
Dans notre cas, le rseau local est divis en trois sous rseaux IP :
192.168.67.0 /24
192.168.68.0 / 24
192.168.69.0 / 24
6.1.2 Les rseaux Isa Server 2006 :

Attention, Isa Server 2006 ne peut filtrer le trafic quentre deux rseaux Isa Server 2006.
Il est donc important de bien dfinir les rseaux Isa Server (toute la complexit dIsa Server 2006 est
l). A linstallation, on doit saisir la TAL (Table dadresses locales). Cette TAL correspond en fait au
rseau INTERNE dIsa Server.
Dans notre cas, le rseau interne doit donc tre configur de la manire suivante :
Attention, il faut que la configuration des rseaux Isa Server (dont le rseau INTERNE) soit
cohrente avec la table de routage du serveur ISA SERVER 2006.
Pour cela, aller dans linvite de commande Windows et taper la commande ROUTE PRINT.
Dans notre cas Isa Server 2006 dispose de deux cartes rseau :
La carte rseau interne est en 192.168.67.254/24 (adresse IP prive).
La carte rseau externe est en 193.252.19.1/24 (adresse IP publique)
La passerelle par dfaut sur la carte externe est 193.252.19.254 (adresse IP publique).
Il ny a pas de route statique.
Dans notre cas le serveur ISA a donc une carte rseau sur Internet (adresse IP publique).
La relation rseau entre le rseau interne et externe doit donc tre NAT car le sous rseau IP interne
est en adressage IP priv.
Il y a cependant une erreur de configuration dans la table de routage.
Les rseaux 192.168.68.0/24 et 192.168.69.0/24 ne sont pas dclares et sont donc considres
comme des sous rseaux externes.
Daprs le schma, ces rseaux sont accessibles depuis Isa Server via le routeur en
192.168.67.253. Pour rappel, il est interdit de dfinir une passerelle par dfaut au niveau de la carte
rseau interne dIsa Server 2006. Nous allons donc ajouter des routes statiques vers les rseaux
192.168.68.0 et 192.168.69.0.
Pour cela, il faut taper les commandes suivantes :
Route add 192.168.68.0 mask 255.255.255.0 192.168.67.253 -p
Route add 192.168.69.0 mask 255.255.255.0 192.168.67.253 -p
On affiche ensuite la table de routage avec la commande route print.
Pour plus dinformations sur la configuration des rseaux Isa Server 2006, voir :
http://www.isaserver.org/tutorials/Overview-ISA-TMG-Networking-ISA-Networking-Case-StudyPart1.html
6.1.3 Quelques rseaux ISA Server connatre :

Hte local : cest le serveur ISA Server
Client VPN : ce sont tous les clients externes qui ont tablis une connexion en VPN sur le serveur
Isa Server 2006.
Client VPN en quarantaine : ce sont tous les clients externes qui ont tablis une connexion en VPN
sur le serveur Isa Server 2006 et qui sont en quarantaine (la fonction de quarantaine VPN est
dsactive par dfaut dans Isa Server 2006).
Cela veut donc dire quil est possible de filtrer le trafic par exemple entre autres entre :
Le rseau interne et le serveur Isa Server 2006 (rseau hte local).
Le rseau VPN et le rseau interne. Il sera donc ncessaire de crer des rgles daccs pour
permettre au client VPN daccder aux applications / serveurs sur le rseau interne ou daccder
Internet.
6.1.4 Configurer les rgles de rseaux :

Il faut ensuite vrifier nos rgles de rseaux.
Le rseau interne ISA Server dispose dun rseau interne avec 3 sous rseaux IP en adressage IP
priv.
Le rseau externe dIsa Server 2006 en est en adressage IP publique (Internet).
Il nous faut donc une rgle de rseau de type NAT entre le rseau interne et le rseau externe.
A savoir :
Pour quune rgle daccs / rgle de publication soit analyse, une rgle de rseaux doit
toujours existe entre le rseau source et le rseau de destination de la rgle daccs / rgle
de publication. Si cette rgle de rseau nexiste pas, le trafic rseau est refus par dfaut par ISA
Server 2006.
Pour plus dinformations sur la configuration des rgles de rseaux :

6.2
Rgle daccs ou rgle de publication :
Une fois que lon a cr les rgles de rseaux, il faut crer les rgles daccs et les rgles de
publication.
Tout dabord, avant de se lancer dans la configuration dIsa Server, crivez vos rgles de filtrage sur
papier.
Une fois les rgles de filtrage crites sur papier, il faut dterminer si lon doit crer des rgles daccs
ou des rgles de publication. Pour cela, voir le tableau ci-dessous.
Relation entre le rseau source
et le rseau destination
Sens
Rgles ISA
Routage
Entrant ou sortant
Rgle daccs
NAT
Sortant
Rgle daccs
NAT
Entrant
Rgle de publication
Remarque sur le sens :

Cas 1 :
Source : rseau avec adresse IP priv
Destination : rseau avec adresse publique
Sens : sortant
Cas 2 :
Source : rseau avec adresse publique
Destination : rseau avec adresse IP priv
Sens : entrant
6.3
Les accs par dfaut au niveau du serveur Isa Server 2006 :
Par dfaut, Isa Server bloque tout le trafic rseau. Il existe en effet une rgle par dfaut qui interdit
tout le trafic rseau.
6.4
Les stratgies systmes :
Par dfaut, Isa Server 2006 cre des rgles de stratgie systme pour filtrer les accs vers et depuis
le rseau Hte Local (Isa Server).
Pour afficher ces rgles, cliquer sur le menu Affichage puis Afficher les rgles de stratgie
systme .
Ces rgles peuvent tre modifies.

Isa Server 2006 a besoin dun serveur DHCP pour attribuer des IP aux clients VPN.
Le premier paramtre de la stratgie systme va permettre de dterminer quels sont les serveurs
DHCP quIsa Server peut utiliser.
Le paramtre ci-dessous permet dautoriser Isa Server se connecter au domaine.

Dcocher la case Appliquer une conformit RPC stricte .
Le paramtre ci-dessous permet de configurer Isa Server pour tlcharger les dernires listes de
rvocation de certificats (CRL).
Pour plus dinformations sur les stratgies systmes :

6.5
Cration de rgle daccs :
Les rgles daccs permettent de filtrer :

Sur ladresse IP source / destination, sur une URL (champs De et A).
Sur un type de protocole (filtrage sur le port source / destination).
Sur une plage horaire.
Sur un ensemble dutilisateurs.
Sur les lments de la couche 7 du modle OSI (filtrage applicatif).
Les types de contenus.
Une rgle daccs peut autoriser ou interdire le trafic.
Attention les dfinitions de protocoles ont un sens.

Pour autoriser en sortie le protocole HTTPS, il faut slectionner la dfinition de protocole HTTPS
(sens en sortie) et non la dfinition de protocole Serveur HTTPS (sens : en entre).
Exemple avec le protocole FTP :
Il faut ensuite spcifier la source (rseau interne) et la destination (rseau externe).

Dans notre cas, nous ne filtrons pas sur les ensembles dutilisateurs. Il faut donc slectionner Tous
les utilisateurs ( la place de Tous les utilisateurs authentifis ).
Une fois la rgle cre, il faut cliquer sur Appliquer pour quelle soit prise en compte.
6.6
Les rgles de publication :
Il existe deux grands types de rgle de publication :

Les rgles de publication de site web. Cest le moteur proxy dIsa Server 2006 qui gre ce type de
rgles.
Les rgles de publication de protocoles de serveur non web. Cest le moteur NAT dIsa Server qui
gre ce type de rgles.
Remarque :
La rgle de publication de laccs de client web Exchange est une rgle de publication du site web
prconfigure pour laccs Outlook Web Access, ActiveSync et RPC over HTTPS. Cette rgle
permet de prdfinir les rpertoires virtuelles Exchange publier entre autres.
Pour plus dinformations sur les rgles de publication : http://technet.microsoft.com/enus/library/bb794758.aspx
6.6.1 Cration dune rgle de publication de serveur non web :

Dans lexemple ci-dessous, on va publier un serveur DNS situ sur le rseau interne 192.168.67.105.
Comme il sagit dune rgle de publication des protocoles de serveurs non web, cest le moteur NAT
dIsa Server qui est utilis. Il faut donc configurer le serveur DNS pour tre client Secure NAT ;
Pour cela, configurer le serveur DNS avec comme passerelle le serveur ISA (192.168.67.254).
On rentre ladresse IP de notre serveur DNS.

Il est possible de filtrer la connexion selon le port source ou de changer le port destination en cliquant
sur longlet Ports.
En effet, Isa Server permet de configurer une rgle qui permet de se connecter sur la patte externe du
serveur Isa sur le port TCP 53 et de rediriger le trafic sur un serveur interne sur le port TCP 54 (Isa fait
du Port Translation Address ou PAT). Dans notre cas il faudrait cependant reconfigurer le serveur
DNS interne pour couter les demandes sur le port TCP 54 au lieu du port TCP 53.
Il faut autoriser les demandes depuis le rseau externe. Le but est que notre serveur DNS soit
accessible depuis Internet.
Depuis Internet, il est maintenant possible de se connecter au serveur DNS en se connectant sur le
port TCP 53 sur lIP de la carte rseau externe du serveur ISA.
Dans notre cas il faut faire un TELNET 193.252.19.1 53
6.6.2 Les rgles de publication de serveur web :

On va maintenant voir comment publier un serveur web HTTP.
Tout dabord, il faut comprendre que ce type de rgle passe par le moteur proxy dIsa Server 2006.
Isa Server 2006 va donc jouer le rle de mandataire.
Quand un utilisateur externe (sur Internet) se connecte sur un serveur web interne publi avec Isa
Server 2006, deux sessions sont tablies :
La premire session est entre le client Internet et le serveur Isa.
La seconde session est entre le serveur Isa et le serveur web interne.
Dans le langage Isa Server, on parle de pontage HTTP / HTTP.
La premire partie de rgle permet de configurer la session entre Isa Server et le serveur web interne.
Attention dans le cas dune rgle de publication HTTPS HTTPS (pntage SSL), il faut que le
nom du serveur interne soit le mme que celui contenu dans le certificat du serveur web
interne.
Il est possible de publier quune partie dun site web (un rpertoire virtuel).
Pour publier uniquement le rpertoire virtuel OWA, mettre /owa/*
Ne pas oublier le /*. Dans le cas contraire la rgle de publication ne fonctionnera pas.
La suite de la rgle nous permet de configurer la session entre le client web et le serveur ISA Server
2006.
Il est possible comme avec IIS de filtrer selon le nom DNS (en tte dhte).
Dans notre cas, nous configurons la rgle pour accepter les connexions avec tout nom de domaine.
Il faut ensuite crer un port dcoute pour configurer les paramtres dauthentification et ladresse IP
externe / le port dcoute du serveur Isa Server.
Dans notre cas, le serveur Isa Server 2006 dispose dune seule adresse IP publique.
Si le serveur Isa Server 2006 dispose de plusieurs adresses IP publiques, il est possible de publier le
site web que sur cette IP.
Il faut ensuite slectionner le protocole dauthentification correspondant.
Isa Server 2006 permet par exemple une authentification par formulaire.
Le message ci-dessous saffiche car on va faire de lauthentification en HTTP. Le mot de passe de

lutilisateur va donc passer en clair via Internet. Cela nest trs clairement pas faire en production.
Il faudra passer en HTTPS.
Slectionner le port dcoute web que lon vient de crer.

La capture de droite permet ensuite de dfinir comment Isa Server 2006 va se connecter au serveur
web interne.
Dans notre cas, on slectionne Authentification de base (contrairement ce qui est indiqu sur la
capture).
Slectionner ensuite Tous les utilisateurs . Ce mode de configuration va faire que seul le serveur
web interne demandera lauthentification (on vite davoir deux POPUP dauthentification). On peut
aussi utiliser les nouvelles mthodes de Dlgation Kerberos contrainte pour viter la double
authentification.
Cliquer sur Terminer puis aller dans les proprits de la rgle.

Par dfaut Isa Server 2006 bloque lauthentification HTTP. Il faut donc aller modifier le port
dcoute et cocher la case Permettre lauthentification du client via HTTP .
On peut maintenant appliquer la rgle et la tester (nouveaut du SP1).
6.6.3 Configuration des rgles de publication web HTTPS et des rgles pour
publier Outlook Web Access, ActiveSync et Outlook Anywhere :
De nombreux site web expliquent comment publier un site web via un pontage SSL (deux connexions
HTTPS) :
http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchange-ActiveSyncRPCHTTP-2006-ISA-Firewall-Part6.html
http://technet.microsoft.com/fr-fr/library/aa998934(EXCHG.80).aspx
http://technet.microsoft.com/fr-fr/library/bb201695(EXCHG.80).aspx
http://www.msexchange.org/tutorials/Outlook-Anywhere-2007-ISA-Server-2006.html
Si votre client est en train de migrer dExchange 2003 vers Exchange 2007, appliquer la procdure
suivante pour publier Outlook Web Access et ActiveSync du serveur Exchange 2003 et Exchange
2007 avec le mme serveur ISA et une seule adresse IP publique :
6.7
Configuration de la mise en cache avec Isa Server 2006 :
Isa Server 2006 permet de mettre en cache le contenu des sites web HTTP, HTTPS et FTP.
Par dfaut la mise en cache avec Isa Server 2006 est dsactive.
Les administrateurs des sites web peuvent spcifier les paramtres de mise en cache de leurs sites
web laide des balises META. Pour plus dinformations, voir :
http://www.commentcamarche.net/forum/affich-17721-balise-meta
Si le site web change trs souvent de contenu, la mise en cache peut tre problmatique et doit donc
tre dsactive. Ladministrateur du site web renseigne alors la balise META dans ce sens.
Isa Server permet de dactiver / dsactiver / configurer la mise en cache des sites web et FTP
laide :
Des rgles de cache.
Des rgles de tlchargement planifies.
http://www.isaserver.org/tutorials/ISA-Firewall-Web-Caching-Capabilities.html
http://www.isaserver.org/tutorials/Understanding-Web-Caching-Concepts-ISA-Firewall.html
http://www.isaserver.org/tutorials/ISA-2006-Web-Caching.html
6.7.1 Activer le cache sur le serveur Isa Server 2006 :

Tout dabord, il est ncessaire dactiver le cache Isa Server 2006. Pour cela, appliquer la procdure cidessous. Il est alors ncessaire de redmarrer le service pare feu (attention arrt de production).
6.7.2 Configurer les rgles de cache :

Il est ensuite possible de configurer les rgles de cache pour empcher la mise en cache de certains
sites web ou de modifier les paramtres par dfaut de la mise en cache.
La mise en cache FTP est configur par exemple sur 1 journe ce qui peut tre problmatique dans
certains cas.
6.7.3 Cration de tches de tlchargement de contenu :

Isa Server permet de tlcharger le contenu de site web en heure creuse afin dacclrer la navigation
en heure pleine.
Pour que la rgle de tlchargement planifie fonctionne, il faut autoriser le serveur Isa Server
accder au site web et donc modifier la stratgie systme.
6.7.4 Gestion du contenu du cache :

Lutilitaire Cache Directory Tool for Internet Security and Acceleration (ISA) Server 2006 permet de
grer le contenu du cache et de marquer une page en cache comme expire.
Pour plus dinformations sur cet outil, voir :
http://www.microsoft.com/downloads/details.aspx?familyid=b9ecfcd3-c13f-4447-83edadd9a8ea45db&displaylang=en
6.8
Configuration de la dcouverte automatique :
Isa Server peut tre configur pour permettre au client proxy web et pare feu de dcouvrir
automatiquement le serveur Isa Server. Pour plus dinformations, voir :
http://www.isaserver.org/tutorials/Configuring-WPAD-Support-ISA-Firewall-Web-Proxy-FirewallClients.html
6.9
Configuration de la dtection dintrusion :
Isa Server intgre des outils (trs limit) d dtection et de prvention dintrusion.
Trs clairement, je prconise de dsactiver les mesures de prvention contre les attaques par
saturation. En effet, rien nempche un attaquant de gnrer des trs nombreuses trames en usurpant
lIP dune partenaire de la socit. Hors dans ce cas les mesures de prvention contre les attaques
par saturation risque de faire plus de mal quautres choses (bloquer du trafic lgitime dune
entreprise partenaire de la votre).
Dans tous les cas prfrer loguer les attaques et viter de couper le flux automatiquement en cas de
dtection dattaque.
Le module IDS dIsa Server 2006 gre surtout dancienne attaque qui sont maintenant nativement
gr par les piles TCP/IP modernes. Un des modules intressant dans lIDS est la dtection des
attaques DNS.
6.10 Mise en uvre du filtrage applicatif avec Isa Server 2006 :

Le gros point fort dIsa Server 2006 est sa capacit effectuer du filtrage au niveau 7 de la couche
OSI. On parle dans ce cas de filtrage applicatif.
Isa Server 2006 intgre de nombreux filtre applicatif.
Pour plus dinformations, voir http://technet.microsoft.com/en-us/library/bb794732.aspx
Les filtres applicatifs peuvent tre grs deux niveaux :

Au niveau du filtre (cas du filtre SMTP).
Au niveau dune rgle daccs (cas du filtre HTTP).
6.10.1 Prsentation du filtre applicatif SMTP

Le filtre SMTP va nous permettre de bloquer certaines mthodes / commandes SMTP qui ne sont pas
par exemple utiliss par les serveurs SMTP autoriss.
6.10.2 Prsentation du filtre applicatif HTTP :

Le filtre HTTP dIsa Server 2006 permet de filtrer les trames http :
Selon la taille de lentte
La charge utile des requtes : une requte GET contient gnralement une URL et a donc une
taille trs faible. Le trafic web est logiquement trs asymtrique (on reoit plus quon envoie). Voici
une technique trs simple pour dtecter les tunnels HTTP.
Selon le type de mthode HTTP (GET, POST).
Selon une siganture.
Pour plus dinformations sur le filtre HTTP :

http://windowsitpro.itpro.fr/Dossiers-par-Theme/suivante/1/8/050382915-1.1-Les-limitationsinherentes-aux-regles-d-acces.htm#R1
http://www.laboratoire-microsoft.org/articles/server/Filtre-HTTP/3-le-filtre-http/
7 Les tches dadministration courante dIsa Server :

7.1
Sauvegarder son serveur Isa Server :
Pour sauvegarder son serveur ISA, on peut exporter toute la configuration.

Pour cela, appliquer la procdure ci-dessous :
Il faut aussi penser exporter tous les certificats web installs sur le serveur Isa au format PFX (cl
publique et cl prive). Pour plus dinformations sur lexportation de certification, voir :
http://technet.microsoft.com/fr-fr/library/cc738545(WS.10).aspx
Pour plus dinformations sur la sauvegarde Isa Server, voir :
http://www.isaserver.org/tutorials/ISA-Server-2006-Backup-Restore-Capabilities.html
7.2
Mise en uvre de la dlgation dadministration avec Isa Server 2006 :
Une Best Practice est de crer des comptes dadministration nominatifs Isa Server et dactiver le suivi
des modifications (ncessite installation du SP1 dIsa Server 2006). Pour plus dinformations :
http://www.isaserver.org/tutorials/Role-based-administration-ISA-Server-2006.html
7.3
Configuration de rapports avec Isa Server 2006 :
Les rapports permettent de dterminer entre autres comment est utilise la connexion Internet.
Attention les rapports Isa Server ne peuvent pas tre gnrs pour la journe en cours, seulement
pour la veille.
Par dfaut, toutes les connexions effectues travers Isa Server sont journaliss dans une base de
donnes MSDE (une base pour chaque journe par dfaut).
Pour plus dinformations sur la mise en uvre de rapport avec Isa Server 2006 :
http://www.isaserver.org/tutorials/Logging-Reporting-ISA-Server-2006.html
7.4
Troubleshouting avec longlet Surveillance\Journalisation :
Il est possible de monitoirer toutes les connexions en cours sur le serveur et les filtrer entre autres
selon ladresse IP source / cible.
Pour chaque connexion, il est possible de connatre la rgle Isa Server qui sest applique et de savoir
si la connexion a t accepte ou refuse.
8 Mise en uvre des VPN :

Isa Server 2006 supporte deux types de VPN :
PPTP
L2TP
Isa Server ne fait quintgrer dans son interface les fonctionnalits du service RRAS de Windows 2003
Server (simplification de linterface).
Pour plus dinformations sur la prise en charge des VPN par Isa Server 2006 :
8.1.1 Configuration dIsa Server comme serveur VPN L2TP :

Appliquer la procdure ci-dessous :
http://www.laboratoire-microsoft.org/articles/server/ISA2004/6/
http://www.isaserver.org/tutorials/2004dhcprelay.html
http://207.46.16.252/en-us/magazine/2007.11.isavpn.aspx
8.1.2 Pour crer des connexions VPN site site :

Pour plus dinformations, voir :
http://www.labo-microsoft.com/whitepapers/20588/
http://www.isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server2006-Beta-Cisco-PIX-501.html

IsaServer2006 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

IsaServer2006 PDF

Transféré par

Droits d'auteur :

Formats disponibles

Guide dinstallation et de

configuration dIsa Server 2006 :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 1 sur 49

OBJECTIFS DE CE DOCUMENT :....................................................................................................................... 4

LES NOTIONS INDISPENSABLES POUR DEPLOYER ISA SERVER 2006 : ........................................................ 5

PRESENTATION DISA SERVER 2006 :........................................................................................................ 9

DEFINIR SON ARCHITECTURE RESEAU CIBLE : ......................................................................................... 12

DEFINIR LARCHITECTURE CIBLE ISA SERVER 2006 : ......................................................................................... 12

INSTALLATION DISA SERVER 2006 : ....................................................................................................... 14

PRESENTATION GENERALE : .......................................................................................................................... 9

INSTALLATION DISA SERVER 2006 : ............................................................................................................ 14

CONFIGURATION DU SERVEUR ISA SERVER 2006 : ................................................................................. 21

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 2 sur 49

LES TACHES DADMINISTRATION COURANTE DISA SERVER : ................................................................. 46

SAUVEGARDER SON SERVEUR ISA SERVER : .................................................................................................... 46

MISE EN UVRE DES VPN : .................................................................................................................... 49

Configuration dIsa Server comme serveur VPN L2TP : ................................................................... 49

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 3 sur 49

O tlcharger la dernire version de ce document :

Ce document peut tre tlcharg sur http://msreport.free.fr.

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 4 sur 49

2 Les notions indispensables pour dployer Isa Server 2006 :

Adresse IP prive / publique et le NAT :

Il existe deux types dadresses IP :

Pour plus dinformations sur la notion de routage :

Les ports TCP / UDP et les services rseaux associs :

Les pare feu avec tats (statefull) et sans tats (stateless) :

Il existe deux grandes familles de pare feu :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 5 sur 49

Comment tester et valider quune application rseau est accessible :

Il existe des outils qui permettent de tester les connexions rseaux.

Les protocoles rseaux :

2.6.1 Le protocole DNS :

2.6.2 Les protocoles web HTTP, FTP :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 6 sur 49

2.6.3 Protocole SMTP

2.6.4 Le protocole RDP (Terminal Server mode administration distance) :

Pour plus dinformations :

2.6.5 Le service dannuaire Active Directory :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 7 sur 49

2.6.6 Les certificats :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 8 sur 49

3 Prsentation dIsa Server 2006 :

Isa Server 2006 est :

Pour plus dinformations :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 9 sur 49

Isa Server peut tre dploy selon plusieurs scnarios :

Rseaux standard (2 cartes rseaux)

Permet la cration dune DMZ o lon hberge les serveurs

Ce nest plus quun proxy et reverse proxy. (Publication et

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 10 sur 49

Le successeur dIsa Server 2006 :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 11 sur 49

4 Dfinir son architecture rseau cible :

Dfinir larchitecture cible Isa Server 2006 :

Architecture de rsolution de noms DNS :

Un autre point trs important concerne la rsolution de noms DNS.

Le type de client Isa Server :

Isa Server 2006 dispose de trois types de client :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 12 sur 49

Quelques sites web sur Isa Server 2006 :

Site web franais :

MSREPORT - Guillaume MATHIEU - La connaissance saccrot quand on la partage Page 13 sur 49