COMMENT FAIRE : Connexion sécurisée de votre société à Internet dans la famille Windows Server

Traductions disponibles Traductions disponibles
Numéro d'article: 323387 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit étape par étape comment de petites entreprises utilisant moins de 255 postes de travail dans un réseau Windows existant peuvent connecter des ordinateurs à Internet par le biais de services Microsoft Internet Security Acceleration (ISA) sécurisés par un pare-feu.

Installation de Microsoft ISA Server

Pour installer un pare-feu ISA, vous avez besoin d'un ordinateur avec deux cartes réseau. Vous devez connecter l'une des cartes à votre réseau interne et l'autre à votre fournisseur de services Internet. Votre ISP peut vous aider à établir cette connexion. Un pare-feu sert de barrière de sécurité entre votre réseau interne (intranet) et Internet en empêchant des utilisateurs extérieurs d?obtenir l?accès par Internet aux informations confidentielles résidant sur votre intranet ou votre ordinateur.

Planification de l'installation

  • Vous pouvez exécuter ISA Server Édition standard sur un ordinateur autonome ou un ordinateur membre d'un domaine Microsoft Windows NT, ou encore un ordinateur membre d'un domaine Active Directory.
  • Pour une sécurité maximale, exécutez ISA Server sur un ordinateur autonome.
  • La configuration des cartes réseau implique la configuration de l'interface externe à Internet, puis la configuration d'une interface interne à votre réseau Windows.
  • Votre fournisseur de services Internet doit fournir une adresse IP statique, un masque de sous-réseau, une passerelle par défaut et un ou plusieurs serveurs DNS (Domain Name System). Entrez ces informations dans les paramètres TCP/IP de la carte connectée à votre ISP. Certains fournisseurs de services Internet préfèrent attribuer ces informations à l?aide du protocole DHCP (Dynamic Host Configuration Protocol), ce qui ne constitue pas de problème.
  • Il faut une adresse permanente et le masque de sous-réseau approprié de votre réseau interne sur la carte interne (n?utilisez pas DHCP sur cette interface). Laissez toujours cette passerelle par défaut non renseignée. Le serveur ISA ne nécessite qu?une seule passerelle par défaut : celle configurée sur l?interface ou les interfaces externes. Si vous configurez une passerelle par défaut sur la carte interne, ISA ne fonctionnera pas correctement.

Configuration des cartes réseau Server

  1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur Connexions réseau.
  2. Cliquez avec le bouton droit sur la connexion Internet, cliquez sur Renommer, puis tapez Connexion Internet.

    Ceci vous rappelle les spécifications de la carte réseau connectée à Internet.
  3. Cliquez avec le bouton droit sur la connexion Internet, puis cliquez sur Propriétés.
  4. Sous l'onglet Général, cliquez pour activer la case Afficher une icône dans la zone de notification une fois la connexion établie.

    Lorsque cette interface transfère des données, une petite icône clignote sur la barre des tâches.
  5. Désactivez les cases à cocher Client pour les réseaux Microsoft et Partage de fichiers et d'imprimantes pour les réseaux Microsoft.

    Comme ISA Server bloque automatiquement ces protocoles, vous économisez de l'espace mémoire en désactivant ces options.
  6. Double-cliquez sur Internet Protocol (TCP/IP), puis effectuez l'une des actions suivantes :
    • Si votre fournisseur de services Internet utilise le protocole DHCP pour attribuer des adresses IP, cliquez pour activer les cases à cocher Obtenir une adresse IP automatiquement et Obtenir les adresses des serveurs DNS automatiquement dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP). Passez à l'étape 7.
    • Si vous devez entrer manuellement les informations d?adresses IP fournies par votre prestataire de services Internet, sélectionnez l?option Utiliser l?adresse IP suivante dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP), puis tapez les informations d?adresse, de masque de sous-réseau et de passerelle par défaut fournies par votre ISP. Cliquez pour activer la case Utiliser les adresses DNS Server suivantes, puis tapez le nom du ou des serveurs DNS fournis par votre ISP.
  7. Cliquez sur Avancés, puis sur l'onglet DNS. Désactivez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS.
  8. Cliquez sur l'onglet WINS. Sous la valeur NETBIOS, cliquez sur Désactiver NetBIOS avec TCP/IP.

Configuration de l'interface interne de votre réseau

  1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis cliquez sur Connexions réseau.
  2. Cliquez avec le bouton droit sur la connexion de réseau local, cliquez sur Renommer, puis tapez Réseau local.
  3. Cliquez avec le bouton droit sur Réseau local, puis cliquez sur Propriétés.
  4. Sous l'onglet Général, cliquez pour activer la case Afficher une icône dans la Barre des tâches une fois connecté.
  5. Cliquez pour activer les cases Client pour réseaux Microsoft et Partage de fichiers et d'imprimantes pour les réseaux Microsoft si elles ne sont pas activées.
  6. Double-cliquez sur Internet Protocol (TCP/IP), puis cliquez pour activer la case Utiliser l'adresse IP suivante.
  7. Dans la zone Adresse IP, tapez une adresse IP interne et un masque de sous-réseau significatif pour la stratégie d'adressage de votre réseau interne. Laissez la zone Passerelle par défaut vide. Dans Serveur DNS préféré, tapez l?adresse IP du ou des serveurs DNS de votre réseau.

    REMARQUE : Pour des réseaux de petite taille comptant moins de 255 ordinateurs, si vous utilisez la configuration TCP/IP par défaut de Windows 2000 et que votre réseau ne comprend aucun serveur DNS, vos ordinateurs utilisent le système d?attribution automatique d?adresse IP privée (APIPA). Microsoft vous conseille de cesser d?utiliser APIPA et d'opter pour des adresses statiques sur vos stations de travail clientes. Chaque ordinateur de votre réseau doit alors posséder sa propre adresse IP. Lorsque vous configurez l'interface interne de Microsoft ISA Server, vous devez taper une adresse statique. Utilisez 192.168.0.254, et le masque de sous-réseau 255.255.255.0. Laissez la zone Passerelle par défaut vide. Tapez le serveur DNS de votre ISP dans les champs Serveur DNS.

    Configurez alors les adresses statiques sur chacun de vos clients :
    1. Sur le premier ordinateur, utilisez l?adresse 192.168.0.1, le masque de sous-réseau 255.255.255.0 et la passerelle par défaut 192.168.0.254. Pour DNS, tapez le nom du ou des serveurs DNS de votre ISP.
    2. Sur le deuxième ordinateur, utilisez l'adresse 192.168.0.2, puis utilisez les mêmes valeurs comme indiqué à l'étape numérotée précédente. Les valeurs autres que l?adresse restent les mêmes, mais l?adresse augmente de 1 à chaque ordinateur supplémentaire. Gérez la liste des ordinateurs et des adresses qu'ils utilisent.
  8. Redémarrez votre ordinateur, si un message vous y invite.

Installation de Microsoft Internet Security and Acceleration Server

Utilisation de l'Assistant Installation ISA Server

  1. Dans l'Explorateur de Windows, double-cliquez pour ouvrir votre lecteur de CD-ROM.

    REMARQUE : L?Assistant Installation ISA Server démarre automatiquement, à moins que la fonctionnalité notification d?insertion automatique ne soit désactivée. Si l?Assistant ne démarre pas automatiquement, naviguez vers le répertoire racine du CD-ROM, puis double-cliquez sur le fichier ISAAutorun.exe pour l'exécuter. Cliquez sur Installer ISA Server pour démarrer le processus.
  2. Dans l'écran d'accueil, cliquez sur Continuer. Tapez le numéro d?ID du produit dans la zone appropriée. Vous pouvez trouver ce numéro au dos de l'emballage du CD-ROM.
  3. Lisez le contrat de licence, puis cliquez sur J'accepte.
  4. Cliquez sur Installation par défaut pour ce type d'installation. Ceci installe les services ISA et les outils d?administration.
  5. Cliquez sur Mode pare-feu. ISA arrête les services appropriés sur l'ordinateur.
  6. Configurez la table d'adresses locale (LAT) pour ISA. La configuration de cette table requiert une attention particulière. Vous avez deux options : construire la LAT ou utiliser l?Assistant Installation. Votre choix entre ces deux options dépendra des conditions suivantes :
    • Si vous connaissez le ou les sous-réseaux utilisés par votre réseau interne, entrez-les ici.

      ATTENTION : Ne cliquez pas sur le bouton Construire la table. Si vous le faites, les informations LAT que vous avez saisies seront écrasées.
    • Si vous ne connaissez pas vos sous-réseaux locaux, cliquez sur le bouton Construire la table. L?Assistant Installation ISA détermine les sous-réseaux locaux à partir de la table de routage de l?ordinateur.
      • Cliquez pour activer la case Ajouter les plages privées suivantes si elle n'est pas activée.
      • Cliquez pour activer la case Ajouter les plages d'adresses basées sur la table de routage Windows Server 2003 si elle n'est pas activée.
      • Cliquez pour désactiver la case contenant le sous-réseau correspondant à l'interface externe (Internet) du serveur.
      • Cliquez pour activer la case contenant le sous-réseau correspondant à l'interface interne (LAN) du serveur.
  7. Une fois la configuration terminée, démarrez l'Assistant Mise en route Administrateur, puis lisez la section suivante avant d'exécuter l'Assistant.
Tout accès vers Internet ou à partir d?Internet est bloqué lorsqu?ISA Server est en état post-installation, ce qui est souhaitable. En effet, vous êtes en cours d?installer un pare-feu. La fonction principale d?un pare-feu est de servir de point de contrôle entre deux réseaux. ISA Server bloque systématiquement tout ce qui n?est pas spécifiquement autorisé par la stratégie définie.

Configuration de l'état post-installation de Microsoft ISA

Pour configurer les deux composants suivants d'une stratégie d'accès afin que vos clients aient accès à Internet, prenez en considération les éléments suivants :
  • Vous devez configurer au moins un site et une règle de contenu, dans laquelle vous indiquez les emplacements autorisés pour les utilisateurs et les types de contenu qu'ils peuvent extraire.
  • Vous devez configurer au moins une règle de protocole, qui indique les types de trafic autorisés par le biais de Microsoft ISA Server.
Après l?installation, ISA crée un site et une règle de contenu par défaut autorisant tous les clients à accéder l'ensemble du contenu de tous les sites à tout moment. Cela ne suffit toutefois pas pour permettre aux utilisateurs de naviguer dans Internet. Vous devez définir une règle de protocole. Sans cette règle, aucun trafic n?est autorisé par ISA.

Assistant Mise en route

  1. Dans l'Assistant Mise en route, cliquez sur Configurer les règles de protocole. La liste de règles de protocoles est affichée dans la console MMC.
  2. Cliquez sur Créer une règle de protocole. Tapez un nom, comme « Tous les protocoles ».
  3. Cliquez sur Autoriser pour l'action de la règle (valeur par défaut).
  4. Cliquez sur Tout le trafic IP pour la liste de protocoles (valeur par défaut).
  5. Cliquez sur Toujours pour la fréquence (valeur par défaut).
  6. Cliquez sur Toutes les demandes pour le type du client (valeur par défaut).
  7. Cliquez sur Terminer.

Création de stratégies relatives à la façon dont les utilisateurs se connectent à Internet

Le rôle de Microsoft ISA Server ne se limite pas à fournir à tous les clients un accès permanent à l'ensemble du contenu de tous les sites par le biais de tous les protocoles (définis). Dans ISA, vous pouvez créer des stratégies d?accès permettant de définir exactement comment vos utilisateurs pourront accéder à Internet.

Les stratégies d?accès ISA sont composées de trois éléments :
  • Site et règles de contenu
  • Règles de protocole
  • Filtres de paquets IP.
Chacune de ces règles est à son tour composée des éléments de stratégie suivants :
  • Calendriers
  • Ensembles de destinations
  • Plages d'adresses client
  • Définitions de protocole
  • Groupes de contenu
Vous devez maîtriser les interdépendances existantes avant de tenter de définir une stratégie complexe dans ISA. Le tableau suivant présente la correspondance entre les éléments de stratégie et les règles de stratégie :
Réduire ce tableauAgrandir ce tableau
Site et règles de contenuRègles de protocole
Ensembles de destinationsDéfinitions de protocoles
Groupes de contenusCalendriers
CalendriersEnsembles d?adresses client
Ensembles d?adresses client

Accès à Internet à partir de l'ordinateur Microsoft ISA

Et s'il était possible d'accéder à Internet à partir de l'ordinateur ISA ? Pour accéder à un site Web donné à partir de l?ordinateur ISA lui-même, les règles de protocole, le site et les règles de contenu que vous avez créés ne s?appliquent qu?aux clients situés en aval du serveur ISA. Lorsqu?un client tente d'accéder à Internet (en supposant que la requête est autorisée par les règles en place), ISA crée un filtre de paquet dynamique pour cette requête de connexion. Toutefois, pour accéder à Internet alors que vous vous trouvez physiquement devant l?ordinateur ISA, vous devez créer des filtres de paquets statiques en fonction des types de trafic que vous allez générer. Par exemple, pour accéder à un site Web, procédez comme suit :
  1. Dans ISA Management, développez Serveurs, développez serveur-nom, cliquez sur Stratégie d'accès, puis sur Filtres de paquets IP..
  2. Cliquez sur Créer un filtre de paquets pour démarrer un Assistant .
  3. Nommez le filtre de paquets Accès Web.
  4. Cliquez sur Autoriser la transmission des paquets, puis sur Personnalisé.
  5. Cliquez sur TCP en tant que protocole IP, sur Sortant pour la direction, sur Tous les ports pour le port local, puis sur Port fixe pour le port distant. Tapez 80 dans la zone Numéro du port.
  6. Sélectionnez les adresses IP par défaut pour chaque interface externe figurant sur le serveur ISA.
  7. Cliquez sur Tous les ordinateurs distants.
Vous pouvez désormais accéder à des sites Web à partir du serveur ISA. Microsoft conseille de répéter ces étapes en utilisant l'accès SSL en tant que nom à l'étape 3 et 443 (au lieu de 80) à l'étape 5, car certains serveurs Web utilisent le protocole SSL. Pour autoriser des protocoles supplémentaires, appliquez la même procédure, mais spécifiez le nom de protocole approprié à l?étape 3 et le numéro requis à l?étape 5.

Dépannage

Les problèmes les plus courants sont dus à des connaissances insuffisantes en matière d?interactions entre les éléments de stratégie, les règles de stratégie et les filtres de paquets. Si vous tentez une action autre que celle d'utiliser la stratégie d'accès générique que vous avez créée (en suivant la procédure décrite dans la section « Création de stratégies relatives à la façon dont les utilisateurs se connectent à Internet » de cet article), assurez-vous que vous avez bien compris la section « Installation de Microsoft Internet Security and Acceleration Server ». Par ailleurs, lisez l'aide en ligne de Microsoft Internet Security and Acceleration Server. Créez quelques stratégies, puis testez-les. Par ailleurs, les stratégies d'accès sont plus faciles à comprendre si vous avez bien assimilé le vocabulaire et les interactions entre les composants ISA Server.

REMARQUE : ISA Server ne dirige pas les connexions entre la table LAT et l?extérieur. Vous devez créer un type de stratégie pour décrire l?accès à autoriser.

Références

Pour obtenir une assistance lors du dépannage de Microsoft ISA Server, consultez l'aide en ligne de Microsoft Internet Security and Acceleration Server.

Propriétés

Numéro d'article: 323387 - Dernière mise à jour: jeudi 27 février 2014 - Version: 5.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Edition Standard
Mots-clés : 
kbnosurvey kbarchive kbhowto kbhowtomaster KB323387
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com