COMMENT FAIRE : Configurer le service Publication de sites Web pour qu'il fonctionne avec Internet Security and Acceleration Server sous Windows Server 2003

Vous pouvez configurer Microsoft Internet Security and Acceleration (ISA) Server pour publier un serveur Web situé sur un réseau interne ou pour utiliser le filtrage de paquets. Si vous configurez ISA Server de sorte qu'il utilise le filtrage de paquets, les requêtes Web peuvent être envoyées sur un serveur Web appartenant à un réseau de périmètre, également appelé zone démilitarisée ou sous-réseau filtré.

Cet article décrit étape par étape la procédure à suivre pour publier un serveur Web situé sur un réseau interne avec ISA Server.

Vérification des entrées DNS

Pour publier votre serveur Web derrière le pare-feu de ISA Server, vous devez configurer un serveur DNS (Domain Name System) accessible à partir d'Internet, à l'aide de l'enregistrement de ressource de type A ou de l'enregistrement de ressource CNAME du serveur Web qui correspond à l'adresse IP de l'interface réseau externe de l'ordinateur ISA Server.

REMARQUE : si vous ne gérez pas votre propre serveur DNS externe, contactez votre fournisseur de services Internet pour vous procurer cette configuration.

Configuration de l'ordinateur serveur Web en tant que client NAT (Network Address Translation)

Vérifiez que la passerelle par défaut sur le serveur Web est définie avec l'adresse IP de l'interface réseau interne de l'ordinateur ISA Server. Pour cela, procédez comme suit :

REMARQUE : si le serveur Web n'est pas situé sur le même sous-réseau que l'ordinateur ISA Server, configurez la passerelle par défaut avec l'adresse IP d'un routeur connecté à l'interface réseau interne de l'ordinateur ISA Server.

1. Ouvrez une session sur le serveur Web en tant qu'administrateur.
2. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
3. Double-cliquez surConnexions réseau.
4. Cliquez avec le bouton droit sur l'icône Connexion au réseau local, puis cliquez sur Propriétés.
5. Cliquez sur Protocole Internet (TCP/IP) (mais ne désactivez pas la case à cocher), puis cliquez sur Propriétés.
6. Cliquez sur l'onglet Général, puis sur Avancé.
7. Sous Passerelles par défaut, cliquez sur Ajouter.
8. Dans la zone Passerelle, tapez l'adresse IP affectée à l'interface interne de l'ordinateur ISA Server, puis cliquez sur Ajouter. Par exemple, tapez 192.168.1.1.
9. Cliquez deux fois sur OK.
10. Répétez les étapes 4 à 7 pour chaque connexion réseau local.

Configuration de l'ordinateur ISA Server pour publier un serveur Web interne

Si votre serveur Web se trouve sur le réseau interne, configurez l'ordinateur ISA Server pour la publication Web. Pour cela, utilisez les méthodes ci-dessous dans l'ordre où elles sont présentées.

Configuration d'un ensemble de destinations

1. Ouvrez une session sur l'ordinateur ISA Server en tant qu'administrateur.
2. Démarrez l'utilitaire de gestion ISA.
3. Dans l'arborescence de la console, cliquez sur Serveur et groupes, sur nom_serveur (où nom_serveur est le nom de l'ordinateur ISA Server), cliquez sur Éléments de stratégie, puis sur Ensembles de destinations.
4. Dans le menu Affichage, cliquez sur Liste des tâches.
5. Dans la boîte de dialogue Configurer des ensembles de destinations, cliquez sur Créer un ensemble de destinations.
6. Dans la zone Nom, tapez le nom souhaité. Par exemple, tapez exemple.com.
7. Dans la zone Description (facultative), tapez une description. Par exemple, tapez Sites Web et FTP.
8. Cliquez sur Ajouter.
9. Dans la zone Destination, tapez le nom de domaine complet du site Web. Par exemple, tapezwww.exemple.com. Cliquez sur OK.
10. Si vous souhaitez publier un site FTP, cliquez sur Ajouter. Tapez le nom de domaine complet du serveur FTP dans la zone Destination, puis cliquez sur OK.
    
    REMARQUE : le serveur FTP doit également disposer d'un enregistrement de ressource de type A ou CNAME sur un serveur DNS accessible de l'extérieur qui dirige les requêtes FTP Internet vers l'interface externe de l'ordinateur ISA Server.
11. Cliquez sur OK.
    
    L'ensemble de destinations s'affiche dans la liste Ensembles de destinations disponibles.

Configuration du port d'écoute pour les requêtes Web entrantes

Configurez l'ordinateur ISA Server de telle sorte qu'il soit à l'écoute des requêtes Web entrantes :

1. Ouvrez une session sur l'ordinateur ISA Server en tant qu'administrateur.
2. Démarrez l'utilitaire de gestion ISA.
3. Dans l'arborescence de la console, cliquez sur Serveur et groupes, cliquez avec le bouton droit sur nom_serveur (où nom_serveur est le nom de l'ordinateur ISA Server), puis cliquez sur Propriétés.
4. Cliquez sur l'onglet Requêtes Web entrantes.
5. Cliquez sur Configurer les ports d'écoute individuellement par adresse IP, puis effectuez l'une des opérations suivantes :
   • Si vous souhaitez activer les ports d'écoute SSL (Secure Sockets Layer), activez la case à cocher Activer les ports d'écoute SSL.
     
     REMARQUE : pour activer les ports d'écoute SSL, vous devez d'abord configurer un certificat de serveur.
   • Si vous souhaitez limiter le nombre de requêtes Web entrantes, cliquez sur Configurer, sur Maximum, tapez le nombre de connexions entrantes que vous voulez autoriser, puis cliquez sur OK.
6. Cliquez sur Ajouter.
7. Dans la liste Serveur, cliquez sur le nom de l'ordinateur ISA Server.
8. Dans la liste Adresse IP, cliquez sur l'adresse IP affectée à l'interface externe de l'ordinateur ISA Server.
9. Dans la zone Nom affiché, tapez un nom pour le port d'écoute. Par exemple, tapez Requêtes Web entrantes.
10. Si vous avez désactivé les ports d'écoute SSL, activez la case à cocher Utiliser un certificat de serveur pour s'authentifier auprès des clients Web, puis cliquez sur Sélectionner pour sélectionner le certificat souhaité.
11. Cliquez deux fois sur OK.
12. Dans la boîte de dialogue Avertissement du serveur ISA, cliquez sur Enregistrer les modifications et redémarrer le(s) service(s), puis cliquez sur OK.
13. Quittez l'utilitaire de gestion ISA.

Création de règles de publication Web

1. Ouvrez une session sur l'ordinateur ISA Server en tant qu'administrateur.
2. Démarrez l'utilitaire de gestion ISA.
3. Dans l'arborescence de la console, cliquez sur Serveur et groupes, sur nom_serveur (où nom_serveur est le nom de l'ordinateur ISA Server), sur Publication, puis sur Règles de publication Web.
4. Dans le menu Affichage, cliquez sur Liste des tâches.
5. Dans la boîte de dialogue Publier des serveurs Web, cliquez sur Créer une règle de publication Web pour démarrer l'Assistant Nouvelle règle de publication Web.
6. Dans la zone Nom de la règle de publication Web, tapez le nom souhaité. Par exemple, tapez Règle d'accès anonyme par défaut. Cliquez sur Suivant.
7. Dans la liste Appliquer cette règle à, cliquez sur Ensemble de destinations spécifié.
8. Dans la liste Nom, cliquez sur l'ensemble de destinations que vous avez créé dans la section "Création d'un ensemble de destinations" de cet article. Par exemple, cliquez sur exemple.com. Cliquez sur Suivant.
9. Cliquez sur Toutes les demandes, puis sur Suivant.
10. Cliquez sur Rediriger la demande vers ce serveur Web interne (nom ou adresse IP), puis effectuez l'une des opérations suivantes :
    • Tapez l'adresse IP du serveur Web. Par exemple, tapez 192.168.1.2.
      
      - ou -
    • Tapez le nom du serveur Web. Par exemple, tapezwww.exemple.com.
      
      REMARQUE : pour résoudre le nom d'hôte du serveur Web, vous devez configurer l'interface interne de l'ordinateur ISA Server avec l'adresse IP d'un serveur DNS situé sur le réseau interne.
11. Si vous publiez plusieurs sites Web sur une seule adresse IP à l'aide d'en-têtes d'hôte, activez la case à cocher Envoyer l'en-tête de l'hôte d'origine vers le serveur de publication au lieu du serveur réel (spécifié ci-dessous)..
12. Cliquez sur Suivant, puis sur Terminer.
13. Quittez l'utilitaire de gestion ISA.

Configuration requise si vous installez IIS sur l'ordinateur ISA Server

Lorsque vous publiez un serveur Web sur l'ordinateur ISA Server, vous devez effectuer les configurations additionnelles suivantes :

• Configurez les services IIS Microsoft pour utiliser l'adresse IP affectée à l'interface réseau interne de l'ordinateur ISA Server.
  
  - et -
• Configurez IIS pour utiliser un port autre que le port 80, qui est le port par défaut pour les requêtes HTTP (Hypertext Transfer Protocol).
  
  - et -
• Configurez la règle de publication Web de l'ordinateur ISA Server pour rediriger les demandes Web du port d'écoute (port 80) vers la nouvelle configuration de port de IIS.

Configuration du port et de l'adresse IP de IIS

1. Ouvrez une session sur l'ordinateur ISA Server en tant qu'administrateur.
2. Démarrez le Gestionnaire des services Internet.
3. Dans l'arborescence de la console, cliquez sur *nom_ordinateur (où nom_ordinateur est le nom de l'ordinateur). Par exemple, cliquez sur *www.
4. Cliquez avec le bouton droit sur le site Web souhaité, par exemple, Site Web par défaut, puis cliquez sur Propriétés.
5. Sous Identification du site Web, cliquez sur Avancé.
6. Sous Identités multiples pour ce site Web, cliquez sur l'identité souhaitée, puis sur Modifier.
   
   REMARQUE : si vous utilisez des en-têtes d'hôte pour publier plusieurs sites Web à partir d'une seule adresse IP, plusieurs entrées peuvent s'afficher.
7. Dans la liste Adresse IP, cliquez sur l'adresse IP affectée à l'interface interne de l'ordinateur ISA Server. Par exemple, cliquez sur 192.168.1.1.
8. Dans la zone Port TCP, tapez un numéro de port disponible autre que 80. Par exemple, tapez 81.
   
   Pour plus d'informations sur les affectations de ports, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
   174904  (http://support.microsoft.com/kb/174904/ ) Informations relatives aux affectations de ports TCP/IP
   Pour déterminer quels sont les ports en cours d'utilisation (ou ouverts), procédez comme suit :
   1. Cliquez sur Démarrer, puis sur Exécuter.
   2. Dans la zone Ouvrir, tapez cmd, puis cliquez sur OK.
   3. Tapez la commande suivante et appuyez sur ENTRÉE :
      netstat -na |more
      La colonne Adresse locale affiche les numéros de port dans le format suivant, où port est le numéro du port en cours d'utilisation :
      adresse:port
9. Cliquez sur OK à trois reprises.
10. Cliquez avec le bouton droit sur *nom_serveur, puis cliquez sur Redémarrer les services Internet.
11. Dans la liste Quelle action voulez-vous qu'IIS exécute ?, cliquez sur Redémarrer les services Internet (IIS) sur nom_serveur, puis cliquez sur OK.
12. Après le redémarrage des services Internet, quittez le composant logiciel enfichable Services Internet (IIS).

Création des règles de publication Web

1. Ouvrez une session sur l'ordinateur ISA Server en tant qu'administrateur.
2. Démarrez l'utilitaire de gestion ISA.
3. Dans l'arborescence de la console, cliquez sur Serveur et groupes, sur nom_serveur (où nom_serveur est le nom de l'ordinateur ISA Server), sur Publication, puis sur Règles de publication Web.
4. Dans le menu Affichage, cliquez sur Liste des tâches.
5. Dans la boîte de dialogue Publier des serveurs Web, cliquez sur la règle que vous avez créée dans la section "Création d'une règle de publication Web". Par exemple, cliquez sur Règle d'accès anonyme par défaut.
6. Cliquez sur Configurer une règle de publication Web.
7. Sous l'onglet Action, dans la zone Port du pontage de la demande en tant que HTTP, tapez le numéro de port que vous avez entré à l'étape 8 dans la section "Configuration du port et de l'adresse IP de IIS" de cet article. Par exemple, tapez 81.
8. Cliquez sur Appliquer, puis sur OK.
9. Quittez l'utilitaire de gestion ISA.

Résolution des problèmes

• Les clients ne peuvent pas se rendre sur le site Web en utilisant son nom de domaine complet :
  • Vérifiez qu'une entrée DNS accessible de l'extérieur est associée au nom de domaine complet du site Web et qu'elle correspond à l'adresse IP affectée à l'interface externe de l'ordinateur ISA Server.
  • Vérifiez que l'ensemble de destinations inclut le nom de domaine complet du serveur Web demandé par les clients externes.
    
    REMARQUE : configurez l'ensemble de destinations du point de vue d'un client qui tente d'accéder aux ressources.
• ISA Server ne redirige pas les requêtes vers le serveur Web interne :
  
  Si vous souhaitez rediriger les requêtes vers le serveur Web interne en fonction des noms d'hôte, assurez-vous que l'interface réseau interne de l'ordinateur ISA Server inclut une entrée associée à un serveur DNS accessible de l'intérieur.

Pour obtenir de l'aide concernant Internet Security and Acceleration (ISA) Server, consultez les sites Web suivants : Microsoft fournit des informations relatives aux contacts tiers afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Glossaire

• Interface réseau externe : Carte réseau de l'ordinateur ISA Server connectée à la partie du réseau protégée par le pare-feu (située derrière le pare-feu) . Les ordinateurs situés dans ce segment du réseau sont considérés comme protégés par le pare-feu de ISA Server.
• Interface réseau externe : Carte réseau de l'ordinateur ISA Server connectée à Internet ou à la partie du réseau considérée non protégée. Les ordinateurs situés dans ce segment du réseau ne bénéficient pas de la protection du pare-feu de ISA Server.
• Réseau de périmètre : Réseau situé entre un réseau externe non protégé et le réseau interne protégé.