Procédure pour joindre un domaine interne ou y accéder à partir d'un client externe à l'aide de ISA Server et d'un réseau privé virtuel (VPN)

Cet article explique comment joindre un domaine interne ou y accéder à partir d'un client ou d'un serveur externe à l'aide d'un réseau privé virtuel (VPN). Il explique également comment configurer le réseau privé virtuel (PPTP) en utilisant Internet Security and Acceleration (ISA) Server comme un pare-feu (en mode intégré) lorsque l'ordinateur externe se trouve en dehors de la table d'adresses locales, alors que le domaine se trouve à l'intérieur de la table.

Lorsque ISA Server fonctionne en mode intégré (pare-feu démarré), il n'autorise pas le trafic de domaine entre les ordinateurs internes et externes et vice versa (LDAP, NetBIOS, SMB, par exemple), car les ports requis ne sont pas activés par défaut. Vous pouvez ouvrir tous les ports requis, mais cette solution nécessite une lourde administration et pose des problèmes de sécurité (ports superflus ouverts sur le réseau externe). Pour plus d'informations sur la procédure à suivre pour ouvrir tous les ports requis, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : Les exemples suivants présentent des solutions permettant de joindre un domaine interne ou d'y accéder à l'aide d'une connexion VPN (PPTP).

Exemple n°1

Configuration

La procédure suivante explique comment configurer la connexion VPN entre le premier serveur ISA (ISA1) et le deuxième serveur ISA (ISA2) (ou comment configurer le tunnel VPN utilisé pour le trafic lié au domaine) :

Procédure pour configurer le premier serveur ISA

1. Sur le serveur ISA1, cliquez avec le bouton droit sur Configuration du réseau, puis cliquez sur Installer serveur VPN ISA local pour démarrer l'Assistant VPN ISA local.
2. Dans l'Assistant, tapez le nom du réseau local et distant, puis cliquez sur Suivant.
3. Cliquez sur Utiliser PPTP, puis sur Suivant.
4. Cliquez sur Les deux ordinateurs VPN ISA (local et distant) peuvent établir une communication.
5. Tapez le nom de domaine complet (FQDN) ou l'adresse IP (Internet Protocol) du serveur ISA dans la première zone et le nom de domaine du serveur dans la deuxième zone.
6. Spécifiez la plage d'adresses IP auxquelles autoriser l'accès.
7. Tapez l'adresse IP externe du serveur ISA sur lequel la connexion VPN sera établie, puis indiquez les adresses IP des clients distants auxquels accorder l'accès via cette connexion VPN.
8. Tapez le nom de fichier (par exemple, VPN_ISA1_ISA2.vpc), puis terminez l'exécution de l'Assistant.

L'Assistant génère les quatre filtres de paquets suivants (stratégies d'accès et filtres de paquets) :

• Autoriser les paquets du protocole PPTP (client) pour la connexion du réseau privé virtuel
• Autoriser les paquets du protocole PPTP (serveur) pour la connexion du réseau privé virtuel

Parallèlement, l'Assistant lance le service Routage et accès distant (s'il n'est pas déjà démarré) et configure une interface de routage supplémentaire de réseau privé virtuel (VPN) avec le nom spécifié dans l'Assistant, puis ajoute les règles de routage statique, qui sont requises pour initialiser la connexion VPN sur la nouvelle interface de routage VPN.

Procédure pour configurer le serveur ISA distant

Pour configurer le serveur ISA2 :

1. Sur le serveur ISA2, cliquez avec le bouton droit sur Configuration du réseau, puis cliquez sur Installer serveur VPN ISA distant pour démarrer l'Assistant VPN ISA distant.
2. Pointez sur le fichier de configuration (par exemple, VPN_ISA1_ISA2.vpc) généré au cours de la huitième étape de la procédure précédente.
   
   REMARQUE : il est recommandé de copier ce fichier sur le disque dur d u serveur ISA2 avant de commencer cette procédure.
3. L'Assistant crée les filtres de paquets et les entrées du service Routage et accès distant (interface VPN, entrées du routage statique) appropriés sur le serveur ISA distant pour que le trafic des clients et serveurs distants s'achemine par l'intermédiaire de cette connexion de réseau privé virtuel lorsque ces derniers accèdent au domaine.

Procédure pour joindre le domaine à partir du client à l'aide d'un réseau privé virtuel

1. Accédez au domaine à partir du client ou du serveur distant.
2. Effectuez la résolution de noms DNS pour le domaine (LDAP, contrôleur de domaine, etc.) en transférant une demande au serveur DNS qui est un domaine membre. Étant donné que le serveur ISA2 dispose d'une entrée de routage pour le domaine en utilisant l'interface de routage VPN, il établit la connexion VPN au serveur ISA1 et transfère la demande DNS au serveur ISA1, qui l'achemine vers le serveur DNS du domaine.
3. Le serveur DNS répond au client ou au serveur distant en utilisant la connexion VPN (ISA1 -> ISA1).
4. À présent, l'ensemble du trafic (LDAP, SMB, NetBIOS, DNS, etc.) s'achemine par l'intermédiaire de la connexion VPN. Le client ou le serveur distant étant maintenant connectés localement, ils peuvent accéder au domaine.

Exemple n°2

Configuration

Dans cet exemple, vous devez configurer le serveur ISA (ISA1) pour autoriser les clients VPN à établir une connexion entrante par l'intermédiaire d'un réseau privé virtuel. La différence entre l'exemple n°2 et l'exemple n°1 tient au fait que vous n'avez pas besoin de créer de tunnel VPN, car vous êtes le seul à utiliser le serveur ISA. Par conséquent, il n'existe qu'une seule frontière entre l'ordinateur externe et l'ordinateur interne.

1. Sur le serveur ISA1, cliquez avec le bouton droit sur Configuration du réseau, puis cliquez sur Autoriser connexions de clients VPN pour démarrer l'Assistant Autoriser connexions de clients VPN.
   
   L'Assistant crée les filtres de paquets suivants sur le serveur ISA :
   
   
   • Autoriser les paquets du protocole PPTP (client)
   • Autoriser les paquets du protocole PPTP (serveur)
   À présent, le serveur ISA1 (carte externe) est en mesure d'accepter les connexions VPN des clients externes (en dehors de la table d'adresses locales, par exemple d'Internet).
2. Créez une connexion VPN au serveur ISA1 (carte externe) sur le client (Internet).
   
   REMARQUE : la procédure suivante suppose qu'il existe déjà une connexion Internet.
   1. Ouvrez Connexions réseau et accès à distance.
   2. Cliquez sur Établir une nouvelle connexion, puis cliquez sur Connexion à un réseau privé via Internet.
   3. Pour l'adresse de destination, tapez le nom ou l'adresse IP de l'interface publique du serveur ISA.
3. Vérifiez que les utilisateurs configurés sur le serveur ISA sont capables d'effectuer des appels entrants à distance. Pour ce faire, utilisez le groupe Utilisateurs du domaine pour accorder à ces utilisateurs l'autorisation d'effectuer des appels entrants lorsque votre serveur ISA est connecté au domaine local ou utilisez un utilisateur local sur le serveur ISA pour accorder les autorisations d'appels entrants.

Pour établir une connexion au domaine depuis un client externe (Internet), procédez comme suit (on suppose que le client est déjà connecté à Internet) :

1. Créez le réseau privé virtuel en veillant à entrer un compte valide possédant les autorisations d'appels entrants.
2. Accédez au domaine (par exemple, support.ms.com) à partir du client ou du serveur distant.
3. Transférez une demande au serveur DNS membre du domaine pour résoudre les noms DNS. Le trafic s'achemine désormais par l'intermédiaire de la connexion VPN.
   
   Le serveur DNS local répond au client ou au serveur distant en utilisant ISA Server en tant que routeur VPN. À présent, l'ensemble du trafic (LDAP, SMB, NetBIOS, DNS, etc.) s'achemine par l'intermédiaire de la connexion VPN et le client ou le serveur distant peuvent accéder au domaine comme s'ils se trouvaient sur l'intranet du domaine.

Dépannage

• Si le contrôleur de domaine se trouve sur un ordinateur distinct, assurez-vous qu'il fait partie du domaine interne et que le client ou serveur distant souhaitant accéder au domaine sont des clients SecureNAT (vérifiez qu'ils ont configuré l'adresse IP de la carte réseau du serveur ISA interne en tant que passerelle par défaut). Cet exemple ne fonctionne pas avec les clients pare-feu/Winsock.
• Vérifiez que le client ou le serveur souhaitant accéder au domaine sont capables de résoudre les noms DNS du domaine interne. La meilleure façon de procéder consiste à configurer le serveur DNS du domaine interne en tant que serveur DNS sur le client ou le serveur distant.
• Assurez-vous que le serveur ISA1 est capable de fournir une adresse IP au client distant une fois la connexion VPN établie à l'aide de l'adresse IP fournie par le serveur DHCP du domaine local ou d'une adresse IP provenant d'un pool d'adresses statique. Pour configurer cela, cliquez sur Outils d'administration, sur Routage et accès distant, cliquez avec le bouton droit sur le serveur (dans ce cas, ISA1), cliquez sur Propriétés, puis sur l'onglet IP.
• Assurez-vous que toutes les entrées de routage sont correctes et que les deux serveurs de terminaison (le contrôleur de domaine du domaine local et le client ou le serveur local) sont capables de se détecter l'un l'autre lors de l'émission d'une commande ping au moment de l'établissement de la connexion VPN.
• Si vous suivez l'exemple n°2, vous devez établir la connexion VPN pour pouvoir accéder au domaine.