Vous êtes sur la page 1sur 20

Microsoft Internet Security and

Acceleration Server 2004


Configuration dISA Server
2004 sur un ordinateur
quip dune seule carte
rseau
Microsoft Corporation
2 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau


Les socits, les organisations, les produits, les noms de domaine, les adresses lectroniques, les
logos, les personnages, les lieux et les vnements mentionns titre dexemple dans ce
document sont fictifs. Toute ressemblance avec des socits, des organisations, des produits, des
noms de domaine, des adresses lectroniques, des logos, des personnages, des lieux et des
vnements rels est purement fortuite et involontaire.
Les informations contenues dans ce document, y compris les URL et autres rfrences des sites
Web, peuvent faire lobjet de modifications sans pravis. Sauf mention contraire, les socits, les
organisations, les produits, les personnages et les vnements mentionns sont fictifs. Toute
ressemblance avec des socits, des organisations, des produits, des personnages et des
vnements est purement fortuite et involontaire. Lutilisateur est tenu dobserver la
rglementation relative aux droits dauteur applicable dans son pays. Aucune partie de ce
manuel ne peut tre reproduite, transmise ou entre dans une base de donnes, quelque fin ou
par quelque moyen que ce soit, lectronique, mcanique, par photocopie, enregistrement ou
autre, sans la permission expresse et crite de Microsoft Corporation.
Microsoft peut dtenir des brevets, avoir dpos des demandes de brevets ou tre titulaire de
marques, droits dauteur ou autres droits de proprit intellectuelle portant sur tout ou partie
des lments qui font lobjet du prsent document. Sauf stipulation expresse contraire dun
contrat de licence crit de Microsoft, la fourniture de ce document na pas pour effet de vous
concder une licence sur ces brevets, marques, droits dauteur ou autres droits de proprit
intellectuelle.
2005 Microsoft Corporation. Tous droits rservs.
Microsoft, Active Directory, Outlook et Windows Server sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis et/ou dans
d'autres pays.
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 3

Sommaire
Sommaire
Introduction
Configuration d'ISA Server avec une carte rseau unique
Configuration du rseau interne au cours de l'installation
Application d'un modle rseau
Scnarios pris en charge
Proxy Web direct et mise en cache
Configuration du proxy Web direct et de la mise en cache
Publication Web et publication Outlook Web Access
Scnarios non pris en charge
Problmes courants
Informations complmentaires
Introduction
Ce document fournit des informations sur les scnarios pris en charge et les limitations lors de
l'excution de Microsoft Internet Security and Acceleration (ISA) Server 2004 sur un ordinateur
quip d'une seule carte rseau. Il comprend les informations suivantes :
Procdure de configuration d'ISA Server avec une carte rseau unique
Informations sur les scnarios pris en charge
Informations sur les scnarios non pris en charge
Description des problmes courants
En gnral, vous utilisez une configuration une seule carte rseau lorsque ISA Server rside
dans le rseau interne de l'entreprise ou dans un rseau primtrique, et lorsqu'un autre pare-feu
se trouve la limite, pour la connexion et la protection des ressources de l'entreprise par rapport
Internet.
Lors de l'installation sur un ordinateur quip d'une carte rseau unique, ISA Server prend en
charge les scnarios suivants :
Demandes de proxy Web direct via HTTP (Hypertext Transfer Protocol), HTTPS (Secure
HTTP) ou FTP (File Transfer Protocol) pour les tlchargements
Contenu du cache Web pour une utilisation par les clients du rseau de l'entreprise
Publication Web pour la protection des serveurs Web ou FTP publis
Microsoft Office Outlook Web Access 2003, ActiveSync et appels RPC via la
publication HTTP
4 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

Configuration d'ISA Server avec une
carte rseau unique
Lorsque vous installez ISA Server sur un ordinateur quip d'une seule carte rseau, ISA Server
n'a connaissance que de deux rseaux : le rseau de l'hte local, qui reprsente l'ordinateur ISA
Server proprement dit, et le rseau interne, qui inclut toutes les adresses IP (Internet Protocol)
monodiffusion qui ne font pas partie du rseau de l'hte local. Dans cette configuration, lorsqu'un
client interne navigue sur Internet, ISA Server voit les adresses source et destination de la
demande Web comme appartenant au rseau interne.
Configuration du rseau interne au cours de
l'installation
Au cours de l'installation d'ISA Server 2004 sur un ordinateur avec une seule carte rseau,
spcifiez toutes les plages d'adresses IP du rseau interne, l'exclusion des suivantes :
0.0.0.0
255.255.255.255
224.0.0.0-254.255.255.255 (multidiffusion)
127.0.0.0-127.255.255.255
Application d'un modle rseau
ISA Server inclut un certain nombre de modles rseau prdfinis qui rpondent aux topologies
rseau courantes. Lorsque vous installez ISA Server sur un ordinateur avec une seule carte
rseau, il est recommand de configurer le modle rseau ISA Server Carte rseau unique. Pour
cela, utilisez l'Assistant Modle de rseau, comme suit.
Pour appliquer le modle Carte rseau unique
1. Dans Gestion ISA Server, dveloppez le noeud Configuration, puis cliquez sur Rseaux.
2. Sous l'onglet Modles, cliquez sur le modle Carte rseau unique.
3. Dans la page Assistant Modle rseaux, cliquez sur Suivant.
4. Dans la page Exporter la configuration ISA Server, cliquez sur Exporter afin d'exporter
votre configuration actuelle avant d'appliquer le modle Carte rseau unique. Ensuite, cliquez
sur Suivant.


Attention
Lorsque vous appliquez un modle rseau, le nouveau modle remplace
toutes les rgles actuelles ( l'exception des rgles de stratgie systme) et
les paramtres de configuration rseau.
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 5

5. Dans la page Adresses IP rseau internes, spcifiez les paramtres du rseau interne.
Ensuite, cliquez sur Suivant.
6. Dans la page Slectionnez une stratgie de pare-feu, cliquez sur Appliquer la configuration
par dfaut de proxy et de mise en cache Web, puis cliquez sur Suivant.
7. Vrifiez les paramtres du nouveau modle, puis cliquez sur Terminer afin de complter
l'Assistant.
8. Dans Gestion ISA Server, cliquez sur Appliquer afin d'enregistrer les nouveaux paramtres.
Aprs avoir appliqu le modle Carte rseau unique, les paramtres suivants sont configurs pour
le rseau et les rgles d'accs :
Rseau de l'hte local : 127.0.0.0127.255.255.255.
Rseau interne : gal tout le reste, savoir :
0.0.0.1126.255.255.255
128.0.0.0255.255.255.254
Rgle d'accs par dfaut : refuse l'accs tous les emplacements.
Il s'agit de l'ensemble d'adresses dfini par la RFC 791 et les mises jour RFC associes. Les
adresses en dehors de cette plage ne sont gnralement pas alloues pour Internet ou les rseaux
intranet.

Remarque
La configuration par dfaut propose pour la plage d'adresses IP du rseau
interne est la suivante :
0.0.0.1 126.255.255.255 et 128.0.0.0 255.255.255.254.
Cela comprend toutes les adresses IP l'exception de 0.0.0.0,
255.255.255.255 et de la plage 127.0.0.0127.255.255.255 (localhost).
Il est recommand d'exclure galement 224.0.0.0-254.255.255.255
(multidiffusion).

Remarque
Cela permet de crer une rgle d'accs par dfaut qui empche le trafic vers
tous les rseaux. Aprs avoir configur le modle, crez les rgles de
stratgie requises pour autoriser l'accs Internet pour les clients Web,
configurez la mise en cache requise et crez des rgles de publication Web
afin de contrler l'accs aux serveurs protgs par ISA Server.

Remarques
Si vous excluez les adresses multidiffusion en plus de 0.0.0.0,
255.255.255.255 et de la plage 127.0.0.0.-127.255.255.255.255, la
plage rseau interne est la suivante :
0.0.0.1 - 126.255.255.255, 128.0.0.0 - 223.255.255.255.255, 255.0.0.0 -
255.255.255.254.
6 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

Scnarios pris en charge
Lors de l'installation sur un ordinateur quip d'une carte rseau unique, ISA Server prend en
charge les scnarios suivants :
Proxy Web direct et mise en cache
Publication Web et publication Outlook Web Access
Proxy Web direct et mise en cache
Lorsque ISA Server est install sur un ordinateur avec une seule carte rseau et est configur
avec le modle Carte rseau unique, vous pouvez le dployer comme un proxy direct et un
serveur de mise en cache. Dans cette configuration, ISA Server envoie les requtes provenant des
clients internes vers les rseaux distants tels qu'Internet et peut grer un cache des objets Internet
frquemment demands afin d'offrir aux clients de type navigateur Web un accs optimis. Notez
les lments suivants lors de la configuration d'ISA Server avec une carte rseau unique dans une
configuration de proxy Web direct et de mise en cache :
Seules les demandes de proxy Web sont prises en charge.
Dans un scnario dans lequel ISA Server se trouve derrire un autre pare-feu de primtre, les
clients de proxy Web envoient les demandes d'URL l'ordinateur ISA Server. ISA Server
dtermine si l'objet Web peut tre fourni partir du cache. Si la page n'est pas mise en cache
ou qu'elle a expir, ISA Server fait une demande Internet via le pare-feu de primtre. Le
pare-feu de primtre traite la demande ISA Server en accord avec ses paramtres d'accs, qui
peuvent ou non autoriser la demande. Si elle est autorise, l'objet Web est renvoy via le pare-
feu de primtre ISA Server, lequel place l'objet dans son cache conformment aux
paramtres du cache, et tranfre l'objet mis en cache vers le client de proxy Web.
Les rgles qui autorisent l'accs client via l'ordinateur ISA Server doivent tre configures
avec des adresses source utilisant uniquement des adresses IP internes relles. Ceci est
ncessaire parce que chaque adresse IP est considre comme faisant partie du rseau
interne, l'exception de l'adresse de bouclage. Le rseau de destination doit utiliser soit le
rseau interne, soit une adresse spcifique requise.
Si les pages Web incluent des lments qui ncessitent des protocoles autres que HTTP et
FTP (tlchargement), les clients de proxy Web qui accdent au site via ISA Server avec une
carte rseau unique ne peuvent pas accder ce trafic via ISA Server. Vous pouvez
configurer l'accs direct sur les paramtres rseau afin de permettre cela.
Pour permettre l'accs Internet sur l'ordinateur ISA Server proprement dit, vous devez soit
modifier les stratgies systme, soit crer des rgles d'accs de Hte local vers Interne.
Mme avec le modle Carte rseau unique appliqu, ISA Server continue de se protger du
rseau interne, et des rgles de stratgie systme ou d'accs sont requises pour contrler le
trafic entre les deux rseaux.

Remarque
Ce comportement diffre de ISA Server 2000 en mode cache uniquement,
lequel ne filtrait le trafic d'aucun rseau.
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 7

Configuration du proxy Web direct et de la mise en cache
La configuration du proxy Web direct et de la mise en cache est constitue du processus suivant :
Configuration des paramtres de proxy client. Configurez les paramtres de proxy Web
sur les navigateurs clients afin de pointer vers ISA Server ou utilisez la configuration
automatique. Pour plus d'informations sur la configuration automatique, consultez la section
Dcouverte automatique des clients de proxy Web et de pare-feu sur le site Web de
Microsoft TechNet.
Configuration du rseau interne pour couter les demandes des clients de proxy Web.
Le rseau doit tre configur pour couter les demandes des clients de proxy Web.
Configuration de l'authentification sur le rseau interne. Pour garantir l'authentification
des demandes de clients de proxy Web, vous pouvez choisir de configurer l'authentification
sur le rseau, ou sur des rgles d'accs spcifiques. Si vous choisissez de configurer l'option
Exiger que tous les utilisateurs s'authentifient dans les proprits du rseau interne, les
consquences sont les suivantes :
Tous les utilisateurs doivent s'authentifier et aucune demande anonyme n'est autorise.
ISA Server demande toujours les informations d'identification utilisateur avant de
vrifier les rgles d'accs. Si l'option Exiger que tous les utilisateurs s'authentifient
n'est pas active, les informations d'identification client ne sont requises que si
l'authentification client est requise pour valider une correspondance de rgle d'accs.
Activation de la mise en cache. Si vous souhaitez activer la mise en cache des objets Web,
activez la mise en cache sur ISA Server en configurant une taille de cache suprieure zro,
puis configurez les rgles du cache afin de maintenir les objets Web frquemment demands
disposition dans le cache pour les demandes des clients.
Configuration des rgles du cache. Configurez les rgles du cache afin de spcifier les
objets prsents dans le cache et la faon dont ils sont fournis aux clients. Avant qu'ISA
Server n'envoie une demande vers Internet, il dtermine si l'objet demand est disponible
dans le cache et le fournit l'utilisateur conformment aux rgles du cache.
Configuration des rgles d'accs. Aprs l'application du modle Carte rseau unique, une
seule rgle d'accs interdit l'accs tous les rseaux. Bien que toutes les adresses IP soient
considres comme faisant partie du rseau interne dans un scnario une seule carte, les
demandes des clients sont refuses par cette rgle par dfaut. Configurez les rgles d'accs
afin d'autoriser les clients Web utiliser HTTP, ainsi que HTTPS et FTP si ncessaire. Les
rseaux source et destination de cette rgle doivent tre configurs sur Interne.
Pour configurer les paramtres de proxy client (Internet Explorer)
1. Ouvrez Internet Explorer sur l'ordinateur client.
2. Dans le menu Outils, cliquez sur Options Internet.
3. Sous l'onglet Connexions, cliquez sur Paramtres rseau.

8 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

4. Pour spcifier qu'un client proxy Web doit utiliser la fonctionnalit de dtection automatique
pour localiser un ordinateur ISA Server pour les demandes Web, slectionnez Dtecter
automatiquement les paramtres de connexion. Les clients de proxy Web peuvent utiliser
cette fonctionnalit pour dtecter un ordinateur ISA Server qu'ils doivent utiliser
automatiquement, ou vous pouvez spcifier manuellement un ordinateur ISA Server.
5. Pour utiliser un script pour la configuration automatique, slectionnez Utiliser un script de
configuration automatique, puis spcifiez le nom du script.

Pour configurer le rseau interne afin d'couter les demandes des clients de proxy Web
1. Dans Gestion ISA Server, cliquez sur le noeud Networks.
2. Dans le volet de dtails, slectionnez l'onglet Rseaux, puis slectionnez Interne.
3. Sous l'onglet Tches, cliquez sur Modifier le rseau slectionn.
4. Sous l'onglet Proxy Web, assurez-vous que l'option Activer les clients du proxy Web est
slectionne.

Pour configurer l'authentification sur le rseau interne
1. Dans Gestion ISA Server, cliquez sur le noeud Networks.
2. Dans le volet de dtails, slectionnez l'onglet Rseaux, puis slectionnez Interne.
3. Sous l'onglet Tches, cliquez sur Modifier le rseau slectionn.
4. Sous l'onglet Proxy Web, cliquez sur Authentification.

Remarque
Activez la dcouverte automatique afin d'autoriser les clients de proxy Web
trouver l'ordinateur ISA Server auquel ils doivent se connecter en
interrogeant DHCP (Dynamic Host Configuration Protocol) ou DNS (Domain
Name System).
Internet Explorer localise une entre DHCP Option 252 qui pointe vers
l'emplacement du fichier script Wpad.dat, ou une entre WINS (Windows
Internet Name Service) ou DNS qui pointe vers le serveur qui hberge le
script WPAD (Web Proxy Automatic Discovery). Ce fichier fournit des
informations spcifiques pouvant tre utilises par le client pour accder au
contenu Web, telles que l'emplacement de l'ordinateur ISA Server que le
client doit utiliser pour les demandes Web. Une fois l'emplacement connu,
les clients de proxy Web appellent http://wpad:port/wpad.dat, o port est le
port qui coute les demandes Web sur l'ordinateur ISA Server. Notez que les
clients doivent pouvoir rsoudre l'ordinateur ISA Server spcifi dans
l'entre WPAD. Pour les entres DNS, ISA Server doit couter les demandes
de dcouverte automatique sur le port 80. DHCP peut couter sur n'importe
quel port. Par dfaut, ISA Server coute sur le port 8080.


Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 9

5. Pour autoriser uniquement les demandes provenant d'utilisateurs du proxy Web avec des
informations d'identification valides, slectionnez Exiger que tous les utilisateurs
s'authentifient. Cela permet de bloquer des requtes anonymes.
6. Slectionnez le type d'authentification utiliser dans la liste Mthode.

Pour configurer la mise en cache
1. Dans Gestion ISA Server, dveloppez le noeud Configuration, puis cliquez sur Cache.
2. Dans le volet de dtails, slectionnez l'onglet Lecteurs de cache, puis slectionnez le lecteur
que vous souhaitez utiliser pour la mise en cache.
3. Sous l'onglet Tches, cliquez sur Dfinir les lecteurs de cache (activer la mise en cache).
4. Dans Taille maximale du cache (Mo), tapez la quantit d'espace du lecteur slectionn
allouer pour la mise en cache.

Pour configurer les rgles de mise en cache
1. Dans Gestion ISA Server, dveloppez le noeud Configuration, puis cliquez sur Cache.
2. Dans le volet de dtails, slectionnez l'onglet Rgles de cache.
3. Sous l'onglet Tches, cliquez sur Crer une rgle de cache.
4. Dans la page Bienvenue de l'Assistant Nouvelle rgle de cache, spcifiez un nom descriptif
pour la rgle. Ensuite, cliquez sur Suivant.

Remarque
Les mthodes d'authentification suivantes sont disponibles pour
l'authentification des demandes de proxy Web : Basic, Digest, Intgr,
certificats clients SSL (Secure Sockets Layer) et RADIUS (Remote
Authentication Dial-In User Service). Notez que si ISA Server prend
techniquement en charge l'authentification des certificats clients pour les
demandes de clients de proxy Web, celle-ci n'est pas prise en charge par le
navigateur pour les demandes adresses un serveur Web Internet. Les
certificats clients sont pris en charge pour les clients de proxy Web qui
s'authentifient par rapport un ordinateur ISA Server en amont. Pour plus
d'informations, reportez-vous l'article 838126 de la base de
connaissances Microsoft : Vous ne pouvez pas effectuer d'authentification
proxy Web base sur les certificats dans ISA Server 2004.


Remarque
La mise en cache est active uniquement lorsque la taille d'au moins un
lecteur de cache est suprieure zro. La taille maximale d'un fichier de
cache unique est de 64 gigaoctets (Go). Si vous avez besoin d'un cache plus
grand, fractionnez-le en plusieurs fichiers sur diffrents lecteurs.

10 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

5. Dans la page Destination de rgle de cache, slectionnez le rseau auquel la rgle
s'applique. Cliquez sur Ajouter, dveloppez Rseaux, puis cliquez sur Interne. Cliquez sur
Ajouter, puis sur Fermer. Ensuite, cliquez sur Suivant.
6. Dans la page Extraction de contenu, spcifiez la faon dont le contenu doit tre extrait du
cache, puis cliquez sur Suivant :
a. Pour spcifier qu'un objet doit tre extrait du cache s'il est valide, ou pour acheminer la
demande vers le serveur Web Internet ou le serveur proxy en amont, cliquez sur
Uniquement si une version valide de l'objet existe dans le cache. Si aucune version
valide n'existe, transfrer la requte au serveur.
b. Pour spcifier qu'un objet doit tre extrait du cache s'il est disponible (qu'il soit valide
ou non), ou pour acheminer la demande vers le serveur Web Internet ou le serveur
proxy en amont, cliquez sur Si une version de l'objet existe dans le cache. Si aucune
n'existe, acheminer la requte vers le serveur.
c. Pour spcifier qu'un objet doit tre extrait du cache s'il est disponible (qu'il soit valide
ou non), ou qu' dfaut la demande doit tre ignore, cliquez sur Si une version de
l'objet existe dans le cache. Si aucune n'existe, ignorer la requte (ne jamais la
transfrer au serveur).
7. Dans la page Contenu du cache, spcifiez la faon dont les objets extraits sont stocks dans
le cache, puis cliquez sur Suivant:
Pour ne jamais mettre en cache les objets Web, cliquez sur Aucun contenu ne sera mis
en cache.
Pour mettre en cache les objets sur le serveur Web qui fournit l'objet indique qu'il doit
tre mis en cache, cliquez sur Si l'en-tte de la source et de la demande indique la
mise en cache.
Pour mettre en cache tout le contenu mme s'il n'est pas marqu comme pouvant tre
mis en cache (y compris le contenu extrait via une demande ayant renvoy du contenu
accessible via une URL comportant un point d'interrogation), cliquez sur Contenu
dynamique.
Pour mettre en cache le contenu avec les codes de rponse 302 et 307, cliquez sur De
navigation hors connexion (rponses 302 et 307).
Pour mettre en cache du contenu pouvant ncessiter une authentification pour l'accs,
cliquez sur Dont la rcupration ncessite l'authentification de l'utilisateur.

Remarque
Un objet du cache est considr comme valide si sa valeur TTL (Time to Live)
n'a pas expir. Pour les objets HTTP, l'expiration est base sur la valeur TTL
dfinie dans l'en-tte de rponse et sur les limites TTL dfinies dans la rgle
de cache.
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 11

8. Dans la page Configuration avance du cache, pour spcifier une limite de taille pour les
objets mis en cache, cliquez sur Ne pas mettre en cache les objets suprieurs , puis
spcifiez une taille maximale. Pour spcifier que les objets SSL doivent tre mis en cache,
cliquez sur Mettre les rponses SSL en cache. Ensuite, cliquez sur Suivant.
9. Dans la page Mise en cache HTTP, considrez les options suivantes, puis cliquez sur
Suivant :
Pour spcifier que les objets HTTP doivent tre mis en cache, cliquez sur Activer la
mise en cache HTTP.
Pour spcifier la dure pendant laquelle les objets HTTP doivent rester dans le cache,
sous forme de pourcentage de l'anciennet du contenu, spcifiez une valeur dans Dfinir
la dure de vie des objets (% de l'ge du contenu).
Pour spcifier en tant que valeur temporelle la dure pendant laquelle les objets HTTP
doivent rester dans le cache, tapez les dures minimales et maximales dans Pas moins
de et Pas plus de.
Pour appliquer les paramtres TTL aux objets, mme si l'en-tte de l'objet source
spcifie une heure d'expiration, cliquez sur Appliquer galement ces limites de dure
de vie aux sources qui spcifient une expiration.
10. Dans la page Mise en cache FTP, cliquez sur Activer la mise en cache FTP afin de
spcifier que les objets FTP tlchargs doivent tre mis en cache. Dans Dure de vie pour
les objets FTP, spcifiez la dure pendant laquelle les objets FTP doivent rester dans le
cache avant leur expiration. Ensuite, cliquez sur Suivant.
11. Vrifiez les paramtres des rgles, puis cliquez sur Terminer afin de complter l'Assistant.
12. Cliquez sur Appliquer afin d'enregistrer les paramtres.


Remarque
La mise en cache des demandes SSL n'est fonctionnelle que pour le
contenu publi sur le Web, car les demandes de contenu SSL par les clients
de proxy Web sont achemines entre le client et le serveur amont et ne sont
donc pas disponibles pour la mise en cache par ISA Server.

Remarque
La valeur TTL d'un objet HTTP dans le cache est dfinie comme un
pourcentage de l'anciennet du contenu (la dure coule depuis la
cration ou la modification d'un objet). Plus le pourcentage spcifi est
lev, moins l'objet est actualis frquemment dans le cache.

12 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

Pour configurer les rgles d'accs
1. Dans Gestion ISA Server, cliquez avec le bouton droit de la souris sur le noeud Stratgie de
pare-feu, pointez sur Nouvelle, puis cliquez sur Rgle d'accs.
2. Dans la page Bienvenue de l'Assistant Nouvelle rgle d'accs, spcifiez un nom descriptif
pour la rgle. Ensuite, cliquez sur Suivant.
3. Dans la page Action de la rgle, cliquez sur Autoriser. Ensuite, cliquez sur Suivant.
4. Dans la page Protocoles, slectionnez Protocoles slectionns, cliquez sur Ajouter.
Cliquez afin de dvelopper Web, puis slectionnez les protocoles auxquels les clients de
proxy Web doivent pouvoir accder. Ceux-ci incluent HTTP, et ventuellement HTTPS et
FTP. Slectionnez chaque protocole, puis cliquez sur Ajouter. Une fois que vous avez
slectionn les protocoles requis, cliquez sur Fermer. Ensuite, cliquez sur Suivant.
5. Dans la page Sources de rgles d'accs, cliquez sur Ajouter. Dveloppez Rseaux. Cliquez
sur Interne, puis sur Ajouter. Cliquez sur Hte local, puis sur Ajouter. Cliquez sur Fermer.
Ensuite, cliquez sur Suivant.
6. Dans la page Destinations de rgles d'accs, cliquez sur Ajouter. Dveloppez Rseaux.
Cliquez sur Interne, puis sur Ajouter. Cliquez sur Fermer. Ensuite, cliquez sur Suivant.
7. Dans la page Ensembles d'utilisateurs, slectionnez la faon dont les utilisateurs
s'authentifient avec la rgle, puis cliquez sur Suivant :
Pour autoriser l'accs proxy Web anonyme, slectionnez Tous les utilisateurs.
Pour forcer l'authentification pour les demandes du proxy Web, cliquez sur Ajouter.
Dans la bote de dialogue Ajouter des utilisateurs, cliquez sur Tous les utilisateurs
authentifis. Cliquez sur Fermer. Dans la page Ensembles d'utilisateurs, slectionnez
Tous les utilisateurs, puis cliquez sur Supprimer.

Remarque
Vous pouvez galement crer et utiliser des ensembles de plages d'accs
afin de limiter les clients pouvant utiliser ISA Server comme proxy Web.

Remarque
Si une rgle correspondant la demande de proxy Web ncessite une
authentification, les informations d'identification client sont demandes et
valides. Si vous spcifiez que la rgle s'applique Tous les utilisateurs
authentifis, tous les utilisateurs dont l'authentification choue sont refuss
par la rgle (mme une rgle d'autorisation). Vous pouvez crer un nouvel
ensemble d'utilisateurs constitu d'utilisateurs et de groupes Windows,
RADIUS ou utilisateurs SecurID. Si vous slectionnez RADIUS ou SecurID,
vous pouvez choisir Tous les utilisateurs de l'espace de noms ou Nom
d'utilisateur spcifi. Si vous spcifiez Tous les utilisateurs de l'espace de
noms, RADIUS ou SecurID autorise tout utilisateur pouvant tre authentifi
l'aide de l'authentification Basic (les utilisateurs ne sont pas invits saisir
leurs informations d'identification).
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 13

8. Dans la page Terminer de l'Assistant, vrifiez les paramtres, puis cliquez sur Terminer
afin de complter l'Assistant.
9. Cliquez sur Appliquer afin d'enregistrer les paramtres.
Publication Web et publication Outlook Web
Access
Vous pouvez dployer ISA Server sur un ordinateur une seule carte rseau en mode proxy
inverse, ce qui vous permet de publier des serveurs Web et des serveurs Exchange pour les
connexions Outlook Web Access. Vous pouvez publier des serveurs via HTTP ou HTTPS pour
une connexion SSL scurise. Vous pouvez authentifier les demandes entrantes et chaner les
demandes vers les proxys en amont.
Lorsque vous publiez Outlook Web Access sur un ordinateur une seule carte rseau, les
fonctionnalits Outlook Web Access suivantes sont disponibles :
Fonctionnalits Outlook Web Access standard, telles que l'envoi et la rception de courrier
lectronique, les calendriers et d'autres fonctionnalits
changer des appels RPC Outlook Mobile Access, ActiveSync et Outlook via HTTP
Authentification base sur les formulaires
HTTP et HTTPS
Par exemple, la publication d'un serveur Web ou Outlook Web Access via une connexion SSL
sur un ordinateur une seule carte rseau implique le processus de configuration suivant :
Spcifiez une entre DNS publique. Le priphrique primtrique qui protge votre
organisation d'Internet doit tre configur pour transfrer les demandes pour les serveurs
publis, ou les demandes Outlook Web Access, vers l'adresse IP correcte sur l'ordinateur
ISA Server. Par exemple, si un utilisateur Internet accde Outlook Web Access l'adresse
https://mail.fabrikam.com/exchange, il doit exister une entre DNS publique pour
mail.fabrikam.com, et cette entre doit tre rsolue en l'interface externe du priphrique
primtrique configur pour envoyer les demandes Outlook Web Access vers ISA Server.
Configurez le priphrique primtrique pour envoyer les paquets. Le priphrique
primtrique doit tre configur pour envoyer les demandes appropries vers l'ordinateur
ISA Server.
Configurez le modle rseau ISA Server. Assurez-vous que ISA Server est install et
configur avec le modle Carte rseau unique.
Demandez un certificat serveur sur le serveur Windows ou Outlook Web Access. Pour
la publication scurise, une configuration de pont HTTPS--HTTPS est recommande.
Cette configuration offre une connexion SSL du client vers l'ordinateur ISA Server, et de
l'ordinateur ISA Server vers le serveur Web publi. En gnral, vous utilisez un certificat
commercial pour la publication externe SSL. Vous pouvez crer une demande de certificat
provenant d'une autorit de certification commerciale (telle que Verisign ou Thawte) en
utilisant l'Assistant Certificat de serveur Web d'IIS. tant donn qu'IIS n'est gnralement
pas install sur ISA Server, vous demandez le certificat partir du serveur Web publi.
Actuellement, il n'existe aucun moyen de demander directement un certificat serveur
l'autorisation de certification partir d'ISA Server 2004.
14 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

Exportez le certificat serveur. Aprs avoir obtenu le certificat sur le serveur Web,
exportez-le vers un fichier, avec la cl prive.
Importez le certificat serveur. Importez le certificat du fichier export vers la banque de
certificats Personnel de l'ordinateur.
Activez SSL sur le serveur Web publi. Dans un scnario publi scuris, configurez IIS
sur le serveur publi afin de prendre en charge l'authentification Basic crypte SSL.
Crez un port d'coute. Dans Gestion ISA Server, crez un port d'coute Web scuris sur
le rseau interne, afin d'couter les demandes adresses au serveur publi.
Crez une rgle de publication scurise. Pour la publication Web, crez une rgle l'aide
de l'Assistant Rgle de publication Web. Pour la publication Outlook Web Access, crez une
rgle l'aide de l'Assistant Publication de serveur de messagerie. Notez que vous pouvez
galement publier Outlook Mobile Access, RPC sur HTTP et Exchange ActiveSync l'aide
de cet Assistant. Pour publier les serveurs de manire scurise, utilisez une configuration de
pont HTTPS--HTTPS. Dans ce scnario, les utilisateurs se connectent ISA Server via SSL.
ISA Server met fin la connexion SSL sur l'ordinateur ISA Server et inspecte le trafic. Les
paquets sont ensuite envoys vers le serveur Web publi via une nouvelle connexion HTTPS.

Remarque
Il convient de suivre un certain nombre de rgles pour demander et
configurer des certificats. Pour plus d'informations, consultez l'article
Rsolution des problmes de certificat SSL dans la publication ISA Server
2004 sur le site Web de Microsoft TechNet.
Pour la procdure dtaille d'obtention de certificats serveur, reportez-vous
l'article Certificats numriques pour ISA Server 2004 sur le site Web de
Microsoft TechNet.

Remarque
Pour des raisons de scurit, envisagez l'utilisation de l'authentification
base sur les formulaires et la limitation de l'accs aux pices jointes par les
ordinateurs publics. Vous devez configurer ces proprits aprs la cration
du port d'coute avec l'Assistant Nouveau port d'coute Web. Dans ISA
Server 2004 Standard Edition, l'authentification base sur les formulaires
ne pouvait pas tre utilise avec une autre mthode d'authentification. Dans
ISA Server 2004 Standard Edition Service Pack 1 et ISA Server 2004
Enterprise Edition, vous pouvez configurer l'authentification base sur les
formulaires avec RADIUS.

Remarque
Pour des instructions pas--pas sur la publication de serveurs Web,
consultez l'article Publication de serveurs Web avec ISA Server 2004 sur le
site Web de Microsoft TechNet, ainsi que l'article Publication de serveurs
Web avec ISA Server 2004 Enterprise Edition sur le site Web de Microsoft
TechNet.
Pour des instructions pas--pas sur la publication Outlook Web Access,
consultez l'article Publication serveur Outlook Web Access dans ISA Server
2004 sur le site Web de Microsoft TechNet, ainsi que l'article Publication
serveur Outlook Web Access dans ISA Server 2004 Enterprise Edition sur le
site Web de Microsoft TechNet.
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 15

Scnarios non pris en charge
Lorsque vous installez ISA Server sur un ordinateur quip d'une seule carte rseau, les
fonctionnalits et scnarios ISA Server suivants ne sont pas pris en charge :
Stratgie de pare-feu multi-rseau. En mode carte rseau unique, ISA Server se
reconnat lui-mme (le rseau Hte local). Tout le reste est reconnu comme le rseau interne.
Il n'existe pas de concept de rseau externe. Le service Pare-feu Microsoft et les filtres
d'application oprent uniquement dans le contexte du rseau Hte local. ISA Server se
protge, quel que soit le modle rseau appliqu. tant donn que le service Pare-feu et les
filtres d'application oprent dans le contexte du rseau Hte local, vous pouvez utiliser des
rgles d'accs pour autoriser les protocoles non Web vers l'ordinateur ISA Server
proprement dit.
Inspection de la couche d'application. Le filtrage de niveau application n'est pas
fonctionnel, except pour le filtre de proxy Web (pour HTTP, HTTPS et FTP via HTTP).
Publication serveur. La publication serveur n'est pas prise en charge. Il n'existe pas de
sparation entre rseaux internes et externes, de sorte qu'ISA Server ne peut pas offrir la
fonctionnalit de conversion d'adresse rseau (NAT, Network Address Translation) requise
dans un scnario de publication serveur.
Clients de pare-feu. L'application Client de pare-feu traite les demandes des applications
Winsock qui utilisent le service de pare-feu. Ce service n'est pas disponible dans un
environnement une seule carte rseau.
Clients SecureNAT. Les clients SecureNAT utilisent ISA Server comme routeur vers
Internet et les demandes des clients SecureNAT sont traites par le service Pare-feu. tant
donn que le service Pare-feu n'est pas disponible dans une configuration une seule carte
rseau, ces demandes ne sont pas prises en charge.
Rseau priv virtuel. Les rseaux privs virtuels (VPN, Virtual Private Networks) entre
sites et les VPN d'accs distant ne sont pas pris en charge dans un scnario une seule carte
rseau.

Remarque
Vous ne pouvez pas configurer une carte rseau pour utiliser deux
adresses IP, ou une deuxime carte rseau dsactive, comme un moyen
d'utiliser les fonctionnalits multi-rseau sur un ordinateur avec une carte
rseau unique.
16 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

Problmes courants
Cette section dcrit les problmes et solutions courants suivants :
Comment faire cohabiter d'autres services ou applications avec ISA Server en mode
carte rseau unique, par exemple un serveur une seule carte rseau avec un
serveur DNS ?
La publication serveur n'est pas prise en charge en mode carte rseau unique. Cependant,
quel que soit le modle rseau appliqu, le service Pare-feu et les filtres d'application
s'excutent dans le contexte de l'ordinateur ISA Server proprement dit (le rseau Hte local).
Par consquent, vous pouvez autoriser le trafic non Web vers l'ordinateur ISA Server
proprement dit en crant les rgles d'accs entre le rseau Hte local et le rseau Interne, afin
d'autoriser les utilisateurs internes accder aux applications et services qui s'excutent sur
l'ordinateur ISA Server.
Puis-je publier mon site Web via une connexion SSL avec une carte rseau unique ?
Oui, mais vous devez utiliser un pont pour la connexion. Si vous slectionnez le tunneling
SSL lors de la configuration de la rgle de publication Web, il utilise la publication serveur
pour publier le serveur Web et cette configuration ne fonctionne pas dans un scnario une
seule carte rseau.
Puis-je publier plusieurs sites Web avec une mme adresse IP dans un scnario une
seule carte rseau ?
Oui. Vous pouvez utiliser des rgles de publication Web afin de publier plusieurs sites Web
avec une adresse IP unique. Avec l'inspection de la couche d'application, ISA Server
examine l'en-tte d'hte d'une demande entrante et dcide comment transfrer la demande
vers un serveur Web en fonction des informations d'en-tte. ISA Server peut couter les
demandes de plusieurs sites Web sur une mme adresse IP, et les transfrer comme suit :
Publication de plusieurs sites sur la mme adresse IP et le mme port, avec un en-tte
d'hte. IIS utilise le nom d'hte transmis dans l'en-tte HTTP afin de dterminer quel
site est demand. Pour plus d'informations, reportez-vous l'article 838252 de la base de
connaissances Microsoft : Comment configurer des rgles de publication Web afin
d'hberger plusieurs sites Web avec des en-ttes d'hte dans ISA Server ?
Publication de plusieurs sites sur diffrents ports, et redirection des demandes vers la
mme adresse IP, mais vers diffrents ports.
Pour la publication SSL scurise, un seul certificat serveur peut tre li un port d'coute
Web. Si vous avez une adresse IP unique, vous ne pouvez publier qu'un seul site Web SSL.
La seule exception concerne l'utilisation de certificats avec des caractres gnriques. Pour
plus d'informations, consultez l'article Publication de plusieurs sites Web avec un certificat
gnrique dans ISA Server 2004 sur le site Web de Microsoft TechNet.
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 17

Je souhaite dployer un groupe d'ordinateurs ISA Server une seule carte rseau afin
d'offrir une fonctionnalit de proxy vers Internet pour les utilisateurs internes.
Comment utiliser l'quilibrage de la charge rseau (NLB, Network Load Balancing)
dans un tel scnario ?
Si vous excutez ISA Server sur un ordinateur sur lequel Microsoft Windows
Server 2003 avec Service Pack 1 n'est pas install, vous devez installer une deuxime
carte rseau utiliser pour la communication entre groupes. NLB doit tre configur sur
une carte avec une adresse IP statique. Prenez soin de choisir l'adresse IP de la carte
intra-groupes dans le rseau intra-groupe, et non dans le rseau interne.
Si vous excutez ISA Server sur un ordinateur sur lequel Windows Server 2003 Service
Pack 1 est install, vous n'avez pas besoin d'une deuxime carte rseau pour la
communication intra-groupe.
Puis-je publier sur un autre port dans un scnario une seule carte rseau ?
Les demandes HTTP et HTTPS peuvent tre diriges vers le serveur Web publi via
HTTP, HTTPS ou FTP sur HTTP. Vous pouvez choisir que les demandes soient
diriges vers le port standard (80 pour HTTP, 443 pour HTTPS, 21 pour FTP), ou qu'un
port alternatif soit utilis.
La cration d'une rgle de publication avec un port non standard sur ISA Server ou sur le
serveur Exchange n'est pas prise en charge lors de la publication Outlook Web Access.
ISA Server prend-il en charge le tlchargement FTP dans un scnario une seule
carte rseau ?
Dans un scnario une seule carte rseau, les demandes FTP sont traites par le filtre de
proxy Web. Ce filtre prend uniquement en charge le tlchargement FTP.
Puis-je utiliser un serveur RADIUS pour authentifier le trafic Web dans un scnario
une seule carte rseau ?
Oui. L'authentification RADIUS peut tre utilise pour authentifier le trafic Web via le
processus suivant :
Configurez ISA Server en tant que client RADIUS dans IAS (Internet Authentication
Service), puis spcifiez un secret partag.
Dans Gestion ISA Server, configurez les paramtres RADIUS afin de pointer vers le
serveur IAS, puis spcifiez le mme secret partag que celui configur dans IAS.
Activez la stratgie systme afin de permettre la communication entre ISA Server et le
serveur ISA.
18 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

Configurez l'utilisation de l'authentification RADIUS pour les demandes de proxy Web
sur le port d'coute de proxy Web du rseau partir duquel les demandes des clients
arrivent.
Crez une rgle d'accs afin d'autoriser les utilisateurs RADIUS authentifis. Crez un
ensemble d'utilisateurs RADIUS utiliser dans cette rgle. Dans la rgle, vous pouvez
choisir d'autoriser l'accs tous les utilisateurs que le serveur IAS peut authentifier, ou
un utilisateur RADIUS spcifique. Pour plus de flexibilit, vous pouvez configurer la
stratgie d'accs distant IAS afin de prendre en charge l'authentification client. Pour
cela, configurez les proprits d'accs distant de tous les comptes utilisateur afin de
Contrler l'accs via la stratgie d'accs distance, puis ajoutez une condition sur la
stratgie d'accs distant afin d'autoriser l'accs ces utilisateurs. Notez que le proxy
Web direct avec RADIUS prend uniquement en charge l'authentification non
crypte (PAP).
Certains sites Web ne s'affichent pas correctement. Quel peut-tre le problme ?
ISA Server dans un environnement une seule carte rseau prend uniquement en charge les
protocoles Web (HTTP, HTTPS et FTP). Si le site Web ncessite un autre protocole tel
qu'un mdia ou des applications de diffusion non HTTP, il se peut que le contenu ne
s'affiche pas comme prvu. Vous devrez alors ajouter une autre carte rseau et utiliser le
client Pare-feu pour l'accs Internet au site spcifique.
Dans un environnement une seule carte rseau, quelles fonctionnalits MSN
Messenger sont disponibles ?
La messagerie de type texte est disponible, car le serveur de messagerie instantane sert
gnralement d'intermdiaire pour la communication entre deux clients, ce qui vite les
problmes NAT pouvant survenir avec un client externe. Pour les autres fonctionnalits,
vous avez besoin d'un ordinateur ISA Server double hbergement, avec des clients
Pare-feu.
Dans un scnario une seule carte rseau, les clients situs derrire l'ordinateur ISA
Server ne peuvent pas ouvrir une session sur un serveur FTP avec des informations
d'identification qui ne sont pas anonymes. Pourquoi ?
Lorsque le mode Dossier des sites FTP est activ dans Internet Explorer, le client Internet
Explorer contourne le proxy Web et tente d'tablir une connexion Winsock avec le serveur
FTP, comme une application client FTP typique. Dans un scnario une seule carte rseau,
ce type de demande ne peut pas tre trait comme proxy ou avec NAT, et choue donc. Pour
garantir qu'Internet Explorer envoie les demandes FTP comme des demandes HTTP,
procdez de la faon suivante :
Dans le menu Outils d'Internet Explorer, cliquez sur Options Internet.
Sous l'onglet Avanc, dsactivez la case cocher Activer l'affichage des dossiers sur
les sites FTP.
Erreur ! Utilisez l'onglet Accueil pour appliquer Heading 1,First Level Topic,h1 au texte que vous souhaitez faire apparatre ici. 19

Connectez-vous l'aide de la syntaxe suivante :
ftp://<domaine\nom_utilisateur>:<mot_de_passe>@<URLSiteCible>
Notez que cela ne permet pas le tlchargement vers le serveur FTP, lequel n'est pas pris
en charge pour les clients de proxy Web. Pour cette fonctionnalit, l'ordinateur client
doit tre configur en tant que client SecureNAT ou client Pare-feu, outre le client Proxy
Web. Cela ncessite plusieurs cartes rseau.
Comment reconfigurer pour plusieurs cartes une configuration une seule carte
rseau ?
Ajoutez une autre carte physique l'ordinateur, et appliquez un modle cartes rseau
multiples dans Gestion ISA Server (tous les modles autres que le modle Carte rseau
unique).
Puis-je dployer Outlook Web Access et Outlook Mobile Access l'aide de
l'authentification base sur les formulaires, avec un autre schma d'authentification
sur le mme port d'coute Web ?
Une telle configuration n'est pas prise en charge dans une configuration une seule ou
plusieurs cartes rseau. L'authentification base sur les formulaires peut tre active
uniquement comme seule mthode d'authentification, ou avec l'authentification RADIUS
(pour ISA Server 2004 Standard Edition Service Pack 1 et ISA Server 2004 Enterprise
Edition). Si vous devez authentifier des utilisateurs sur ISA Server, vous avez besoin de
deux ports d'coute distincts et de rgles de publication Web distinctes.
Informations complmentaires
D'autres documents ISA Server 2004 sont disponibles sur la page ISA Server 2004 du site Web
de Microsoft Windows Server System (http://www.microsoft.com).
Vous pouvez galement consulter les articles suivants de la base de connaissances Microsoft,
ainsi que les articles du site Web Microsoft TechNet :
Les applications tierces de gestion du routage et de l'accs distant peuvent interfrer avec les
connexions VPN vers ISA 2004 (http://www.microsoft.com), KB 886999
Dcouverte automatique des clients de proxy Web et de pare-feu sur TechNet
Rsolution des problmes de certificat SSL dans la publication ISA Server 2004 sur TechNet
Certificats numriques pour ISA Server 2004 sur TechNet
Publication de serveurs Web avec ISA Server 2004 sur TechNet
Publication de serveurs Web avec ISA Server 2004 Enterprise Edition sur TechNet
Publication serveur Outlook Web Access dans ISA Server 2004 sur TechNet
Publication serveur Outlook Web Access dans ISA Server 2004 Enterprise Edition sur
TechNet
20 Configuration dISA Server 2004 sur un ordinateur quip dune seule carte rseau

Publication de plusieurs sites Web avec un certificat gnrique dans ISA Server 2004 sur
TechNet
Fonctionnalits et limitations d'un ordinateur ISA Server 2004 hbergement unique
(http://www.microsoft.com), KB 838364
Vous ne pouvez pas effectuer d'authentification proxy Web base sur les certificats dans ISA
Server 2004 (http://www.microsoft.com), KB 838126

Avez-vous des commentaires formuler propos de ce document ? Envoyez vos commentaires.