Vous êtes sur la page 1sur 21

www.phpmaroc.

com

info@.phpmaroc.com

Ce livre t tlcharger www.phpmaroc.com

Rassembler et traduit danglais par Mhand Ait lassari partir de: www.isaserver.org

www.phpmaroc.com

info@.phpmaroc.com

Serveur de configuration 2004 d'ISA comme serveur de Frontend d'change dans le DMZ (partie 1)
Date Lance : 07 mars 2006 Dernier Mis jour : 16 mai 2006 change 2003 Des Cours d'instruction :: Section : Auteur : Markus Klein Version Imprimable Estimation : 1 2 3 4 2.9/5 - 46 voix 5

Rate this article

Depuis que le serveur 2004 d'ISA a t disponible, il y a eu des avis tout fait diffrents sur lesquels est la meilleure stratgie de conception pour des services d'dition du serveur 2003 d'change solidement sur l'enchanement. Dans ce foret vers le bas nous fouillerons un peu plus profond dans les dtails de configuration sur la faon dont faire votre serveur 2003 d'change ditant aussi bloqu que le serveur employant possible 2004 d'ISA prenant en compte les ides de l'quipe de produit d'change. Si vous voudriez lire la prochaine partie de cette srie d'article svp allez configurer le serveur 2004 d'ISA comme serveur de Frontend d'change dans le DMZ (partie 2). Avec d'anciennes versions de serveur d'change, les meilleurs pratiquent plaaient une bote d'entre de serveur d'change dans le DMZ. Ceci a signifi que beaucoup de ports a d tre ouvert sur votre mur l'preuve du feu pour permettre la communication entre le serveur d'entre dans le segment de rseau de DMZ et les serveurs principaux dans votre rseau interne. C'tait une configuration trs peu sre parce que si ce serveur avait t entaill par quelqu'un il pourrait tre tout fait facile d'obtenir l'accs aux services de rseau internes. Par consquent beaucoup de compagnies n'a voulu diter rien d aux raisons de scurit. Avec le dgagement du serveur 2004 d'ISA ceci a chang en raison des nouveaux dispositifs o vous pouvez diter chaque service du serveur 2003 d'change avec la meilleure scurit disponible. Quelques principaux experts en matire de scurit suggrent en utilisant la conception couverte en articles de Tom Shinder trouvs ici :

http://www.isaserver.org/tutorials/Creating-Multiple-Security-PerimetersMultihomed-ISA-Firewall-Part1.html 2

www.phpmaroc.com

info@.phpmaroc.com

Dans ce foret vers le bas nous fouillerons un peu plus profond dans les dtails de configuration sur la faon dont faire votre serveur 2003 d'change ditant aussi bloqu que le serveur employant possible 2004 d'ISA prenant en compte les ides de l'quipe de produit d'change.

Dfinir la conception de serveur d'change


Si vous projetez votre conception du serveur 2003 d'change avec l'aspect des services d'change d'dition sur l'enchanement pour vos employs, il est trs important de s'assurer que votre bote de serveur d'change n'a pas l'accs direct l'Internet. Ceci signifie que nous avons besoin de DMZ ou de quelque chose de semblable, que les moyens vous devront protger votre rseau interne en plaant un rseau pas tout fait bloqu devant lui - la zone dmilitarise. Le DMZ ne signifie pas que vous devrez avoir deux murs l'preuve du feu (un embout avant et une extrmit arrire un), le DMZ peut tre reli votre mur l'preuve du feu courant comme troisime rseau. La chose la plus importante est que vous devrez vous assurer que le trafic de l'extrieur de votre rseau doit tre conduit par le DMZ et qu'aucun raccordement direct de l'extrieur l'intrieur ne sera possible et vice versa.

change contre le serveur d'ISA comme d'entre


Mais quelle est la raison pour l'usage du serveur 2004 d'ISA au lieu du serveur 2003 d'change dans le DMZ ? Les raisons sont tout fait faciles : 1. Plus de scurit due aux rgles de mur l'preuve du feu 2. Fixez Webserver ditant avec de grands filtres d'application 3. Aucun besoin de l'ajouter au domaine d la fonctionnalit d'agir en tant que client de RAYON 4. Plus prix rduit qu'un permis du serveur 2003 d'change Si vous installez le serveur 2003 d'change car le serveur d'embout avant dans votre environnement vous devra s'assurer qu'il y a assez de ports ouverts pour pouvoir entrer en contact avec l'annuaire actif directement et joindre votre organisation de serveur d'change. Pour plus d'information vous pourriez prendre un regard mon article "mettant en application l'accs de Web de perspectives avec le serveur 2003 d'change" (http://www.msexchange.org/tutorials/OWA_Exchange_Server_2003.html). Ceci vous aidera comprendre la configuration en dtail. Le serveur 2004 d'ISA a maintenant la grande occasion d'agir en tant que client de RAYON. Ceci signifie que vous pouvez le configurer pour parler au RAYON ou au l'IAS-Serveur interne sur un de vos serveurs internes d'infrastructure. Ceci signifie que vous aurez une infrastructure qui a besoin seulement d'un maximum de deux ports additionnels pour entrer en contact avec l'annuaire actif pour l'authentification. Le service d'authentification d'Internet (IAS) est l'excution de Microsoft du service de RAYON que vous savez probablement des services de cheminement et d'accs

www.phpmaroc.com

info@.phpmaroc.com

distance ou de l'authentification d'IEEE 802.1x. Le RAYON est une manire bloque normalise d'entrer en contact avec votre service interne d'annuaire pour l'authentification. Quand il est employ, vos employs seulement doivent avoir un mot de passe l'esprit pour l'authentification interne et externe en utilisant l'annuaire actif. En plus de ceci les grands filtres d'application sur votre mur l'preuve du feu de serveur d'ISA fournissent une bonne et facile manire de se dbarasser des intrus ou de toute autre chose dans votre rseau interne. Et une troisime bonne raison est que le cot pour un permis d'dition de norme du serveur 2004 d'ISA n'est pas aussi haut que pour l'dition de norme du serveur 2003 d'change.

Prparation de l'organisation d'change


Si vous voulez maintenant prparer votre infrastructure complte de rseau pour cette conception vous devrez vous assurer que la structure suivante fonctionnera correctement.

Le schma 1 : Une bonne et bloque configuration pour des services d'change d'dition l'Internet Tellement voici les tapes que vous devrez disposer faire le travail de choses : 1. Installez et configurez les services d'authentification d'Internet (IAS) sur des systmes d'un (ou pour disponibilit leve plus d'une) serveur 2003 de Windows. 2. Ouvrez les ports de RAYON (en gnral 1812 et 1813) sur votre mur l'preuve du feu pour la communication du serveur d'ISA au serveur d'IAS et vice versa. 3. Assurez-vous que votre serveur d'ISA peut accder vos serveurs internes pour le DNS. 4. Installez Le Serveur 2003 SP1 De Windows.

www.phpmaroc.com

info@.phpmaroc.com

5. Durcissez votre systme de serveur en utilisant le magicien de configuration de scurit (SCW) pour prparer votre systme pour les arrangements de scurit disponibles les plus levs. 6. Installez le serveur 2004 SP2 d'ISA sur votre nouveau serveur. 7. Placez-le dans le DMZ. Ensuite aprs avoir examin votre environnement vous serez maintenant prt configurer votre systme pour diter tous les services bass du serveur 2003 d'change. Ceci sera montr dans la deuxime partie de cet article venant bientt. Mais pourquoi devrait nous nanmoins utilisent un serveur d'embout avant dans le segment de LAN ? La raison est tout fait simple, il est juste parce que vous pouvez diter un URL simple tous vos employs mme si vous avez toujours plus d'un serveur arrire d'extrmit disponible.

Conclusion
Avec la grande combinaison du serveur 2003 d'change sur le serveur 2003 de Windows et le serveur 2004 d'ISA vous aurez une bonne, facile et bloque solution pour pouvoir diter vos services du serveur 2003 d'change sur l'Internet avec une quantit minimum de risques. Vous pourrez s'assurer que tous vos employs (si ncessaire) peuvent communiquer avec votre systme de transmission de messages et de collaboration n'importe o dans le monde sans aucune barrire. En raison des raisons de scurit et pour le raccordement que vous devrez mettre en application un processus de gestion de changement dans votre rseau de compagnie pour avoir tous vos serveurs (au moins relis l'Internet - directement ou indirectement) mis jour avec toutes les difficults, les pices rapportes et le paquet de service qui sont disponibles. Ici les services de mise jour de serveur de Windows (WSUS) ou n'importe quel autre mcanisme de gestion de pice rapporte peuvent vous aider faire vos serveurs les plus bloqus qui ont t possibles encore. S'assurer que votre configuration est aussi bloque qu'elle pourrait tre vous aura maintenant l'occasion de en faire examinant afin d'entailler votre mur l'preuve du feu et si vous avez configur tout bas sur les esprances de Microsoft l ne sera pas aucun problme sur la scurit en gnral. Un bon nombre de compagnies ont avec succs configur ceci et sont heureux avec leurs nouveaux services dits l'Internet pour les utilisateurs errants presque bien connus tout autour du monde. S'il y a interroge encore plus veuillez ne pas hsiter me contacter. Si vous voudriez lire la prochaine partie de cette srie d'article svp allez configurer le serveur 2004 d'ISA comme serveur de Frontend d'change dans le DMZ (partie 2).

Au sujet de Markus Klein


Markus Klein est une transmission de messages de MCSA/MCSE et une scurit et un entraneur certifi par Microsoft. Il travaille en tant qu'un conseiller et LUI entraneur an Bechtle AG dans le nord-ouest de l'Allemagne. Il est spcialis dans

www.phpmaroc.com

info@.phpmaroc.com

l'annuaire, l'change, la scurit, le serveur d'ISA et grouper actifs sur Windows 2000 et des conceptions du serveur 2003 de Windows, des migrations et des ralisations. Markus est un diplm de l'informatique conomique de l'universit de la Science applique dans Osnabrueck/Germany. Clic ici pour la section de Markus Klein.

Serveur de configuration 2004 d'ISA comme serveur de Frontend d'change dans le DMZ (partie 2)
La Date A lanc : 16 mai 2006 Dernier Mis jour : 16 mai 2006 Section : Auteur : change 2003 Des Cours d'instruction :: Markus Klein Version Imprimable Estimation : 1 2 3 4 3.2/5 - 18 voix 5

Rate this article

En cet deuxime article que je fouillerai plus profond dans la configuration charge ce besoin d'tre fait en configurant le serveur 2004 d'ISA comme proxy server renvers dans votre DMZ qui est protg par deux autres murs l'preuve du feu. Si vous manquiez la premire pice de ce serveur de configuration svp lu 2004 de la srie ISA d'article comme serveur de Frontend d'change dans le DMZ (partie 1). Nous irons voir la faon configurer et fixer votre configuration pour la rendre aussi bloque comme possible. Cette conception est souvent la conception prfre pour de petites et moyennes compagnies (et parfois encore plus grandes compagnies) diter solidement :

Accs de Web de Perspectives Accs de Mobile de Perspectives Synchro de Serveur d'change Services finis de RPC HTTPS

Prparation de votre environnement


6

www.phpmaroc.com

info@.phpmaroc.com

Avant d'obtenir commenc par votre installation vous devra concevoir le matriel physique de votre proxy server renvers. tant donn qu' il est protg par deux murs l'preuve du feu physiques, vous devrez seulement employer une conception simple de carte de rseau. Ceci le rend tout fait facile configurer.

Durcissement de votre serveur


Pour durcir votre serveur d'ISA aussi bien que possible vous devriez lire le degr de scurit 2004 de serveur de Microsoft ISA durcissant le guide qui peut tre trouv http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/securityhardeningg uide.mspx En plus de ceci vous devrez maintenant choisir le calibre "d'adapteur simple de rseau" sur votre serveur d'ISA pour faire le travail de choses correctement. Ce choix signifie que chaque IP-Adressez est interne.

RADIUS/IAS-Services de Configuration
Vous devez galement avoir un IAS-Service disponible dans le rseau interne. Ce service d'IAS peut tre install sur chaque machine du serveur 2003 de Windows. Si vous voulez configurer des choses pour la disponibilit leve, vous devriez penser avoir deux services d'IAS.

Le schma 1 : Installation du Service d'IAS Ensuite aprs avoir install avec succs les IAS-Services, vous devrez les configurer pour connatre les Rayon-Clients - en ce qui concerne votre serveur d'ISA dans votre DMZ. La communication emploiera gnralement les ports bien connus de RAYON 1812 et 1813, mais je proposerais que vous configuriez vos propres ports pour rendre des choses un peu plus bloques.

www.phpmaroc.com

info@.phpmaroc.com

Le schma 2 : Ports de configuration pour IAS Pour finir vous devrez vous assurer que votre IAS-Serveur est enregistr dans l'annuaire actif en utilisant l'IAS-SnapIn comme montr dans l'objet expos cidessous.

www.phpmaroc.com

info@.phpmaroc.com

Le schma 3 : Enregistrement d'IAS dans l'annuaire actif Ensuite aprs avoir fini vos prparations dans l'annuaire actif, vous devrez maintenant configurer le serveur d'ISA pour communiquer avec succs avec les IAS-Services.

www.phpmaroc.com

info@.phpmaroc.com

Le schma 4 : Service de configuration d'IAS pour soutenir le serveur d'ISA

Le schma 5 : Secret Partag Par Service de Configuration d'IAS

10

www.phpmaroc.com

info@.phpmaroc.com

Si vous configurez la demande de contenir l'attribut d'Authenticator de message, ceci rendra IAS plus bloqu.

Le schma 6 : Prparation du Serveur 2004 d'ISA Maintenant le serveur d'ISA sait que c'est un client d'IAS et pourra communiquer avec des IAS-Services.

Fixation de votre conception


Si vous voulez configurer des communications pour tre aussi bloqu comme possible, vous devrez configurer HTTPS entre l'Internet et le serveur d'ISA et entre ISA et changer le serveur. Vous devrez crer un certificat de webserver pour votre URL de public. En raison des problmes internes de conception de serveur d'un certain ISA, la solution prfre est d'employer seulement un certificat pour les deux serveurs. Ces problmes sont dcrits ici : http://support.microsoft.com/kb/841664/en-us Employer un certificat est tout fait facile mais vous devrez crer un DNS dit pour le serveur interne et s'assurer que l'diteur de certificat est dans le magasin de confiance d'diteurs de certificat de racine sur vos serveurs.

Webpublishing de Configuration
Ensuite aprs avoir fini votre prparation charge, notre force chargent est maintenant de rendre la fonctionnalit renverse de procuration disponible.

11

www.phpmaroc.com

info@.phpmaroc.com

Le schma 7 : Crer une rgle d'dition de nouveau mail server D'abord nous devrons crer une rgle d'dition de nouveau mail server pour le serveur d'change que nous voulons diter.

12

www.phpmaroc.com

info@.phpmaroc.com

Le schma 8 : Choix du service pour diter La prochaine tape est de choisir maintenant les services corrects pour diter. Ici nous devrons choisir le premier bouton par radio parce que notre chargez est d'diter des services d'change directement.

13

www.phpmaroc.com

info@.phpmaroc.com

Le schma 9 : Choix des services de courrier de Web Maintenant nous devons choisir que des services de courrier d'enchanement devraient tre dit en dtail.

14

www.phpmaroc.com

info@.phpmaroc.com

Le schma 10 : Choix de jeter un pont sur le mode En raison de la scurit a raisonn tout le trafic de l'Internet ISA et d'ISA changer devrait tre chiffr. Jeter un pont sur signifie que les filtres d'application peuvent inspecter chaque paquet pour assurer les raisons de scurit.

15

www.phpmaroc.com

info@.phpmaroc.com

Le schma 11 : Configuration du mail server interne Maintenant nous devons mettre dans IP-Adressons ou le FQDN de notre mail server interne, en ce qui concerne notre serveur d'change.

16

www.phpmaroc.com

info@.phpmaroc.com

Le schma 12 : Dtails Nomms Publics de Configuration En ce moment nous devrons choisir le nom public de notre service interne, qui est le URL que vous avez choisi dans votre certificat de SSL, aussi.

17

www.phpmaroc.com

info@.phpmaroc.com

Le schma 13 : En configurant un nouvel auditeur de Web sur la correspondance IPAdressez Maintenant nous devrons choisir l'interne correct IP-Adressons sur quel serveur d'ISA coute des demandes entrantes.

18

www.phpmaroc.com

info@.phpmaroc.com

Le schma 14 : Choix de la mthode correcte d'authentification (RAYON) Dans une des dernires tapes pour crer le nouvel auditeur vous devrez configurer la mthode d'authentification. Ceci signifie que nous devrons choisir le RAYON ici.

Le schma 15 : Ajouter le serveur correspondant de RAYON Maintenant nous devrons ajouter le serveur correspondant de RAYON notre rgle d'dition.

19

www.phpmaroc.com

info@.phpmaroc.com

Le schma 16 : Ensembles de Configuration d'Utilisateur La dernire tape est de configurer le Rayon-Groupe correct partir de l'annuaire actif pour permettre l'accs notre nouveau serveur dit.

20

www.phpmaroc.com

info@.phpmaroc.com

Le schma 17 : Application de nouveaux arrangements L'tape finale pour faire le travail de choses est d'appliquer cette nouvelle rgle votre serveur d'ISA. Assurez-vous maintenant que tout fonctionne correctement. S'il y a des problmes qui doivent tre dpanns, le dispositif de notation du serveur d'ISA est votre ami et aidera dcouvrir o les choses tournent mal.

Conclusion
Ensuite aprs avoir configur et examin tout vous verrez que cette conception est plus bloque que plaant le serveur 2003 d'change directement dans votre DMZ. Vous aurez plus de scurit et, en plus de ceci, moins de cots car un permis de serveur d'ISA est moins cher qu'un serveur un d'change. Si vous avez toujours toute autre question, veuillez ne pas hsiter me contacter. Si vous manquiez la premire pice de ce serveur de configuration svp lu 2004 de la srie ISA d'article comme serveur de Frontend d'change dans le DMZ (partie 1).

21