Tout savoir sur ISA Server 2006 (Beta1 - Codename Wolverine) Accueil > Articles > Serveurs
Auteur  Matthieu MARTINEAU PI SERVICES (GOLD PARTNER MICROSOFT) Ingénieur systèmes et réseaux  Tous les articles de cet auteur Vincent TROTTIER MGI CONSULTANTS Ingénieur systèmes & réseaux  Tous les articles de cet auteur		4,1/5 Bien 144134 541/2241

5. Déploiement d'ISA Server 2006 dans un site distant

La mise en place d'ISA Server 2004 SE (standard Edition) dans un site distant est relativement aisée. En effet l'administrateur peut par exemple prendre le contrôle du serveur à distance à l'aide du Bureau à distance, puis lancez l'installation du produit. ISA Server 2004 détecte automatiquement que l'installation se déroule au sein d'une session RDP et modifie la stratégie système de manière à ce que l'accès au serveur ISA via les services Terminal Server soit autorisé à partir de la machine de l'opérateur. Une fois l'installation terminée, il suffit de prendre le contrôle à distance du serveur ISA et de le configurer ! De plus lorsqu'aucun accès distant n'est disponible, l'administrateur a toujours la possibilité d'automatiser l'installation du serveur ISA à l'aide d'un fichier de réponse.

Configuration d'ISA Server 2004 EE dans un site distant

En revanche à partir du moment où l'on souhaite implémenter ISA Server 2004 EE (enterprise edition) dans un site distant, le challenge s'avère bien plus ardu. En effet avec l'édition entreprise, la configuration du serveur ISA n'est plus stockée dans une ruche du registre local mais au sein d'un serveur dédié nommé serveur de stockage de configurations. La plupart du temps le but est de synchroniser tous les serveurs ISA quel que soit leur site géographique auprès du serveur CSS (Configuration Storage Server) situé dans le site principal. Deux possibilité sont alors offertes à l'administrateur :

• Configurer dans un premier temps un tunnel VPN site-à-site avec la console Routage et accès distant, installer ISA Server 2004 EE et configurer le serveur ISA pour récupérer ses informations de configuration auprès du serveur CSS situé dans le site principal

• Installer directement ISA Server 2004 EE ainsi qu'un serveur CSS provisoire dans le site distant, créer un tunnel VPN site-à-site avec la console de gestion ISA, puis basculer le serveur ISA du site distant de manière à ce qu'il utulise le serveur CSS du site distant (enfin la dernière étape consiste généralement à supprimer le serveur CSS du site distant ou alors à le reconfigurer de manière à ce qu'il devienne un réplica de celui présent dans le site principal)

Les deux scénarios compliquent fortement la tâche de l'administrateur surtout lorsque l'entreprise possède de nombreuses succursales et qu'ISA Server 2004 EE doit être déployé dans chaque succursale !

Remarque : Si vous souhaitez obtenir obtenir plus de renseignements à propos de la mise en place d'ISA Server 2004 EE dans un site distant vous pouvez consulter cet article !

Conscient des difficultés de déploiement rencontrées par les administrateurs système, Microsoft a développé un outil permettant de simplifier au maximum le déploiement d'ISA Server 2006 SE mais aussi d'ISA Server 2006 EE dans un site distant. Cet outil nommé AppCfgWzd.exe est présent dans le répertoire d'installation d'ISA Server 2006 et permet d'automatiser entièrement l'installation d'ISA (lorsqu'il est associé avec un fichier de réponse pour ISA). Lorsqu'il est exécuté, il effectue les opérations suivantes sans nécessiter aucune intervention de la part de l'administrateur :

1. Création d'un tunnel VPN site-à-site entre le serveur ISA local et celui du site principal

2. Ajout du serveur ISA au domaine Active Directory situé dans le site principal (optionnel)

3. Configuration du serveur ISA local de manière à ce qu'il se synchronise auprès du serveur CSS du site principal

4. Ajout du serveur ISA local à l'une des grappes de serveurs de l'Entreprise ISA Server

Bien entendu avant d'exécuter cet outil dans un site distant, il faut renseigner toutes les informations nécessaires à la configuration du tunnel VPN et de l'Entreprise ISA Server. Cela passe par la configuration d'un fichier de réponse. Comme souvent chez Microsoft, un assistant est fourni pour faciliter la configuration du fichier de réponse. Dans le cas d'ISA Server, il suffit d'exécuter la commande appcfgwzd.exe -create_answer_file pour lancer l'assistant de configuration. Voici une liste non exhaustive des paramètres qui doivent être configurés par l'administrateur au sein de cet assistant : Protocole de tunneling (L2TP/IPsec ou IPSec tunnel mode) FQDN du serveur de stockage de configurations principal Grappe de serveurs auquel le serveur ISA distant va appartenir Etc.

Une fois l'assistant terminé, le fichier de réponse est automatiquement enregistré dans le répertoire %SYSTEMROOT%\Temp sous le nom isaconfig_*.inf (le caratère "*" représente un chiffre aléatoire). Voici un exemple de fichier de configuration permettant de créer un tunnel VPN site-à-site utilisant le protocole IPSec Tunnel Mode, ajoutant le serveur ISA dans le domaine laboms.lan et le configurant pour appartenir à la grappe de serveurs nommée NANTES :

Lorsque l'assistant est exécuté sur un serveur ISA distant, la première étape consiste à créer le tunnel VPN site-à-site. Une fois la création du tunnel terminée, une règle réseau interconnectant le réseau Interne (la succursale) avec le réseau distant (le site principal) est automatiquement crée (cette relation utilise du routage IP et est donc bidirectionnelle). De plus la stratégie système du serveur ISA présent dans la succursale est modifiée de manière à ce que le serveur ISA de la succursale puisse...

• Résoudre les noms d'hôte (DNS)
• Accéder aux contrôleurs de domaine du site principal (RPC, LDAP, LDAP GC, Kerberos)

L'étape suivante dans l'assistant est optionnelle et consiste à configurer le serveur ISA de manière à rejoindre un domaine Active Directory (manipulation rendue possible par la stratégie système qui autorise les bons protocoles). Enfin la dernière étape consiste à configurer le serveur ISA de manière à ne plus utiliser le serveur CSS temporaire local (ADAM est d'ailleurs désinstallé au cours de l'opération) et à basculer vers le serveur CSS du site principal pour rejoindre l'une des grappes de serveurs ISA. La capture d'écran ci-contre montre la fin de l'exécution de l'assistant de configuration des sites distants ("Branch Office VPN Connectivity Wizard"). On remarque que le serveur ISA est en train de basculer vers le serveur ISA du site principal.

Le but de cette mini-procédure est d'expliquer toutes les étapes nécessaires au déploiement d'un serveur ISA 2006 EE dans un site distant dans leur grandes lignes. On supposera que l'on dispose d'un site principal (site de Paris) possédant un serveur ISA 2006 EE déjà en production et que l'on souhaite ajouter un serveur ISA dans un site distant (site de Nantes). Le but est de simplifier au maximum le déploiement dans le site distant (Nantes) de manière à ce qu'un employé, même peu qualifié en informatique, soit capable de déployer le serveur ISA grâce à quelques indications de l'administrateur.

1) La première chose à faire est bien entendu de configurer manuellement le serveur ISA du site principal (Paris) de manière à paramétrer toutes les options nécessaires au déploiement d'un second serveur ISA. Cela passe par la création...

• Du tunnel VPN entre Paris et Nantes de manière à ce que les deux sites puissent communiquer

• D'une règle de réseau de type routage (entre Nantes et Paris)

• D'une ou plusieurs règles d'accès autorisant certains trafic réseau en fonction de conditions définies par l'administrateur (authentification, planification, type de contenus...)

• D'une grappe de serveurs nommée NANTES qui ne contient pour l'instant aucun serveurs (mais qui contiendra le futur serveur ISA du site distant)

• De la configuration de la grappe de serveurs NANTES de manière à autoriser tous le trafic adéquat

2) La deuxième chose à faire au niveau du site de Paris reste de créer un fichier de réponse permettant d'installer un serveur ISA ainsi qu'un serveur CSS de manière automatisée ainsi qu'un fichier de réponse pour l'assistant AppCfgWzd.exe.

3) La dernière manipulation consiste a envoyer sur le site distant le CD-ROM d'ISA Server 2006 EE, les deux fichiers de réponse ainsi qu'une procédure expliquant les manipulation à effectuer. L'opérateur situé dans le site distant devra uniquement une commande pour installer ISA ainsi que l'assistant de configuration (qui sera préconfiguré à l'aide du fichier de réponse).

Une fois ces trois grandes étapes effectuées, le serveur ISA du site distant est pleinement fonctionnel. Il suffit à l'administrateur de modifier les options la grappe de serveurs NANTES à l'aide de la console de gestion pour configurer le nouveau serveur !

Bien évidemment toutes les nouveautés incluses dans le SP2 d'ISA 2004 en rapport avec la gestion des sites distants sont conservées au sein d'ISA Server 2006. les trois principales innovations sont le support de la mise en cache BITS, le gestion de la compression pour le trafic HTTP ainsi que l'intégration d'un système de priorité pour le trafic Web basé sur le protocole DiffServ.

La mise en cache du contenu BITS

Le service de téléchargement intelligent en arrière plan encore appelé BITS (Background Intelligent Transfert Service) permet de transférer localement les mises à jour sur un poste client à partir du site Microsoft Update. BITS offre des transferts rapides et  sûrs grâce au téléchargement des fichiers par petits segments (les fichiers sont recomposés lorsque tous segments ont été rapatriés) et grâce à un fonctionnement "en arrière plan" (seule la bande passante inutilisée est mise à contribution de manière à ne pas perturber les autres applications).

Sous ISA Server 2004 SP1, le protocole BITS n'était pas bien gérer et la mise en cache du contenu du site Microsoft Update n'était donc pas efficace. Avec ISA Server 2006, il est possible de créer des règles de mises en cache BITS destinées à stocker en cache l'intégralité des mises à jour et autres correctifs du site Microsoft Update. Cette fonctionnalité s'avère extrêmement intéressante dans le cadre d'une petite structure (ou d'un site distant) où aucun serveur WSUS / SMS n'est disponible.

Compression HTTP

La compression HTTP/HTTPs permet à ISA Server 2006 de réduire l'utilisation de la bande passante WAN ou LAN tout en augmentant les performances grâce à un compactage dynamique des données. Cette fonctionnalité est notamment appréciable dans le cadre d'une règle de publication Web. La compression est gérée grâce à un filtre Web nommé filtre de compression (comphp.dll) et se configure dans la section Configuration / Général de la console Gestion ISA Server.

Système de priorité

Sous ISA 2006 la gestion des priorités de trafic s'applique uniquement au trafic Web (HTTP). Elle permet de s'assurer que certaines applications critiques ont bien un accès au réseau, et ce, quel que soit le trafic engendré à ce moment là par d'autres applications. Cette gestion de la Qualité de Service (ou QoS) est fournie par le protocole DiffServ implémenté sous la forme d'un filtre Web (DffServ.dll).

Sommaire

1. Présentation du produit
      1.1 Présentation d'ISA Server et bref historique
      1.2 Les nouveautés offertes par ISA Server 2006
      1.3 Les différentes éditions d'ISA Server 2006
      1.4 L'intégration aux Appliances : un enjeu important pour l'avenir
      1.5 Vers un produit plus fiable et plus complet ?
      1.6 Essayez ISA Server 2006 gratuitement !

2. Déploiement d'ISA Server 2006
      2.1 Configuration minimale
      2.2 Installation d'ISA Server 2006 édition standard
      2.3 Installation d'ISA Server 2006 édition entreprise
      2.4 Les différents scénarii de mise à jour vers ISA 2006
      2.5 Mise à jour vers ISA Server 2006 SE à partir d'ISA Server 2004 SE SP2
      2.6 Mise à jour vers ISA Server 2006 EE à partir d'ISA Server 2004 EE SP2

3. Gestion de la publication sous ISA Server 2006
      3.1 Présentation des nouveaux assistants de publication
      3.2 Gestion des certificats sur les ports d'écoute Web
      3.3 Gestion de la traduction de liens dans ISA 2006
      3.4 Publication d'une ferme de serveurs Web

4. Mise en place de l'authentification dans le cadre d'une publication
      4.1 Introduction au mécanisme d'authentification
      4.2 Intégration de l'authentification basées sur les formulaires
      4.3 Implémentation de l'ouverture de session unique (SSO) sur un port d'écoute Web
      4.4 Rappels sur les différentes méthodes d'authentification intégrée à ISA 2006

5. Déploiement d'ISA Server 2006 dans un site distant
      5.1 Problématique du déploiement d'ISA Server 2004 EE dans un site distant
      5.2 Déploiement automatisé d'ISA Server 2006 SE/EE dans un site distant
      5.3 Procédure de déploiement pas-à-pas d'un serveur ISA 2006 dans un site distant
      5.4 Intégration des nouveautés du Service Pack 2 d'ISA Server 2004

6. Protection de l'accès Web et fonctionnalités de monitoring associées
      6.1 La problématique
      6.2 La réduction du flood
      6.3 Test des fonctionnalités de monitoring
      6.4 Un produit encore en version beta...

7. Conclusion
      7.1 Nos impressions sur la Beta1 d'ISA Server 2006
      7.2 Que pouvons-nous attendre pour l'avenir ?

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft