Microsoft Forefront UAG 2010 SP1

Documents pareils
DirectAccess Mobilité et nomadisme, mise en oeuvre de la solution Microsoft

Déploiement OOo en environnement Windows Terminal Server

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Installation d'un serveur RADIUS

Installation d'un TSE (Terminal Serveur Edition)

Comment Accéder à des Bases de Données MySQL avec Windows lorqu'elles sont sur un Serveur Linux

en SCÈNE RATIONAL Rational Démonstration SDP : automatisation de la chaîne de développement Samira BATAOUCHE sbataouche@fr.ibm.com

Package Contents. System Requirements. Before You Begin

Insérer des images dans Base

Utiliser un proxy sous linux

Comment Créer une Base de Données Ab Initio

Phone Manager Soutien de l'application OCTOBER 2014 DOCUMENT RELEASE 4.1 SOUTIEN DE L'APPLICATION

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

L infrastructure Sécurité de Microsoft. Active Directory RMS. Microsoft IAG

Comment consolider des données

ADMINISTRATION DE ADOBE LIVECYCLE MOSAIC 9.5

OpenOffice.org Calc Ouvrir un classeur

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

Comment faire un Mailing A partir d une feuille Calc

Instructions Mozilla Thunderbird Page 1

OUVRIR UN COMPTE CLIENT PRIVÉ

Accompagner nos clients vers.cloud. Nicolas Luneau Business Development Manager Symantec.cloud

SERVEUR DÉDIÉ DOCUMENTATION

NTP (Network Time Protocol)

Comment sauvegarder ses documents

Sécurité de bout en bout Une solution complète pour protéger les données et prévenir les risques

FORMULAIRE D OUVERTURE DE COMPTE ENTREPRISE

Optimisez la gestion de vos projets IT avec PPM dans le cadre d une réorganisation. SAP Forum, May 29, 2013

Contents Windows

DOCUMENTATION - FRANCAIS... 2

Procédure d installation :

Comment créer un diagramme de Gantt avec OpenOffice.org

Installer le patch P-2746 et configurer le Firewall avancé

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

WEB page builder and server for SCADA applications usable from a WEB navigator

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Once the installation is complete, you can delete the temporary Zip files..

Mettre en place un accès sécurisé à travers Internet

Comment Utiliser les Versions, les Modification, les Comparaisons, Dans les Documents

Grandes tendances et leurs impacts sur l acquisition de produits et services TI.

Notice Technique / Technical Manual

Comment Définir une Plage de données Pour Utiliser Fonctions de Filtres et de Tris

Comment faire des étiquettes

Domino Attachment and Object Service (DAOS)

How to Login to Career Page

Editions ENI. DirectAccess. Mobilité et nomadisme, mise en œuvre de la solution Microsoft. Collection Expert IT. Table des matières

APPENDIX 2. Provisions to be included in the contract between the Provider and the. Holder

Installation de SharePoint Foundation 2013 sur Windows 2012

SAP Runs SAP Reporting Opérationnel & BI avec HANA et SAP Analytics. Pierre Combe, Enterprise Analytics Juin, 2015

Guide de récupération de Windows Server 2003 R2 pour serveurs Sun x64

Windows Server 2012 R2 Administration avancée - 2 Tomes

Mise en route de PRTG Network Monitor Paessler AG

..seulement 5% des serveurs x86 sont virtualisés!

Installation de Vmware serveur Windows

GIGABIT PCI DESKTOP ADAPTER DGE-530T. Quick Installation Guide+ Guide d installation+

Folio Case User s Guide

SunATM 4.0 Release Notes

Logitech Tablet Keyboard for Windows 8, Windows RT and Android 3.0+ Setup Guide Guide d installation

(1) Network Camera

MANUEL MARKETING ET SURVIE PDF

HUAWEI TECHNOLOGIES CO., LTD. channelroad. A better way. Together.

SUGARCRM Sugar Open Source Guide d Installation de French SugarCRM Open Source Version 4.2

TABLE DES MATIERES A OBJET PROCEDURE DE CONNEXION

86 rue Julie, Ormstown, Quebec J0S 1K0

Création de Sous-Formulaires

Le publipostage avec Open Office

Magento. Pratique du e-commerce avec Magento. Christophe Le Bot avec la contribution technique de Bruno Sebarte

Cedric Dumoulin (C) The Java EE 7 Tutorial

Windows Server 2012 Administration avancée

Le Cloud Computing est-il l ennemi de la Sécurité?

Private banking: après l Eldorado

Stratégie d externalisation des services pour les établissements

Mon Service Public - Case study and Mapping to SAML/Liberty specifications. Gaël Gourmelen - France Telecom 23/04/2007

Instructions pour mettre à jour un HFFv2 v1.x.yy v2.0.00

Installation de SCCM 2012 (v2)

First Nations Assessment Inspection Regulations. Règlement sur l inspection aux fins d évaluation foncière des premières nations CONSOLIDATION

Get Instant Access to ebook Cest Maintenant PDF at Our Huge Library CEST MAINTENANT PDF. ==> Download: CEST MAINTENANT PDF

Guide d'installation rapide TFM-560X YO.13

Multiple issuers. La cotation des actions ROBECO ci-dessous est suspendue sur EURONEXT PARIS dans les conditions suivantes :

OpenOffice.org Présentation - Débuter. Distribué par Le projet OpenOffice.org

Application Form/ Formulaire de demande

Installation SharePoint Foundation 2013 en mode Stand-Alone

CEST POUR MIEUX PLACER MES PDF

Windows Server 2012 R2

Paxton. ins Net2 desktop reader USB

Présentation des autres éléments du résultat global

Monitor LRD. Table des matières

Règlement sur le télémarketing et les centres d'appel. Call Centres Telemarketing Sales Regulation

DOCUMENTATION - FRANCAIS... 2

PACKZ System Requirements. Version: Version: Copyright 2015, PACKZ Software GmbH. 1

Swap: Utilisation et risques Approche de gestion pour les consommateurs

Quels noms de domaine doit on obtenir pour maximiser l'impact de ses marques de commerce? Comment gérer les conflits?

imvision System Manager

Armelin ASIMANE. Services RDS. de Windows Server 2012 R2. Remote Desktop Services : Installation et administration

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Adobe Application Manager Enterprise Edition version 2.1

Transcription:

Microsoft Forefront UAG 2010 SP1 Mise en œuvre d'une plateforme DirectAccess pas à pas - UAG Advanced architecture and Design for DirectAccess lundi, 6 juin 2011 Version 1.2 Rédigé par benoits@exakis.com MVP Enterprise Security 2010 Benoits@exakis.com SAUTIERE Benoît MVP Enterprise Security

2009 Microsoft Corporation. All rights reserved. MICROSOFT CONFIDENTIAL FOR INTERNAL USE ONLY. The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication and is subject to change at any time without notice to you. This document and its contents are provided AS IS without warranty of any kind, and should not be interpreted as an offer or commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS DOCUMENT. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Microsoft Corporation. Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Microsoft, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property. The descriptions of other companies products in this document, if any, are provided only as a convenience to you. Any such references should not be considered an endorsement or support by Microsoft. Microsoft cannot guarantee their accuracy, and the products may change over time. Also, the descriptions are intended as brief highlights to aid understanding, rather than as thorough coverage. For authoritative descriptions of these products, please consult their respective manufacturers. We will not knowingly provide advice that conflicts with local, regional, or international laws, however, it is your responsibility to confirm your implementation of our advice is in accordance with all applicable laws. Microsoft Forefront UAG 2010 SP1 Page ii

MVP Enterprise Security 2010 Benoits@exakis.com Fiche de révision et de signature Historique des versions Date Auteur Version Modification 16/01/2011 Benoît SAUTIERE 1.2 Corrections mineures 20/11/2010 Benoît SAUTIERE 1.1 Découpage en parties 06/11/2010 Benoît SAUTIERE 1.0 Création du document Relecteur Nom Version approuvée Fonction Date Benoît SAUTIERE 1.2 MVP Entreprise Security 16/01/2011 Benoît SAUTIERE 1.1 MVP Entreprise Security 20/11/2010 Benoît SAUTIERE 1.0 MVP Entreprise Security 06/11/2010 Page 1

MVP Enterprise Security 2010 Benoits@exakis.com Sommaire 7 Configuration du serveur UAG1... 3 7.1 Configuration initiale du serveur... 3 7.2 Certificats IPSEC et état de santé... 9 7.3 Installation de Microsoft ForeFront Unified Access Gateway 2010 SP1... 10 7.4 Configuration initiale d UAG... 14 7.5 Certificat IP-HTTPS... 18 Page 2

MVP Enterprise Security 2010 Benoits@exakis.com 7 CONFIGURATION DU SERVEUR UAG1 C est la dernière ligne droite. Celle de notre serveur UAG et de sa configuration de DirectAccess. C est la partie de cet article la plus documentée pour une raison simple : il y a beaucoup de choses à dire entre autre par rapport aux nouveautés du Service Pack 1. 7.1 Configuration initiale du serveur Notre serveur UAG1 dispose de deux interfaces réseau. C est à ce niveau que vont se jouer pas mal de prérequis propres à DirectAccess. Les opérations suivantes seront réalisées : Nommage des interfaces réseau Vérification de l ordre de liaison des interfaces réseau Configuration de l interface réseau LAN Configuration de l interface réseau Internet La configuration du pare-feu Le déplacement du compte ordinateur Dès lors que ces opérations auront été réalisées, il sera possible de procéder au référencement du nom DNS publique de notre serveur UAG1. Ce référencement est important car, c est ce nom pleinement qualifié qui sera inscrit dans le certificat IP-HTTPS qui sera mis en œuvre plus tard. La recommandation est de réaliser cette demande quelques jours avant la demande de certificat afin que l information soit bien propagée dans l infrastructure DNS Internet. Impression écran Description Une bonne pratique pour commencer : Nommer les interfaces, c est essentiel pour s y retrouver plus tard. Page 3

MVP Enterprise Security 2010 Benoits@exakis.com Deuxième bonne pratique, s assurer de l ordre de liaison des cartes réseau. La carte LAN doit être en premier car UAG (plus précisément TMG) a besoin d accéder à sa configuration locale en passant par la carte LAN. Coté Carte LAN, il est impératif de conserver IPv6. Page 4

MVP Enterprise Security 2010 Benoits@exakis.com Notre carte LAN ne dispose pas de passerelle par défaut. C est normal, la carte Internet disposera elle d une passerelle et Windows ne sait pas traiter les passerelles sur plusieurs interfaces. Il faut passer par les routes statiques si on en a besoin. Le référencement du suffixe DNS du domaine Active Directory sera utile pour UAG pour identifier la carte LAN sur laquelle le routage IPV6 devra être mis en œuvre. Page 5

MVP Enterprise Security 2010 Benoits@exakis.com Coté Internet, même combat, on a besoin d IPv4 et IPv6, c est non négociable! Notre interface Internet est configurée avec une passerelle par défaut. Par contre, pas de DNS à ce niveau, cela nuirait à la performance de NAT64/DNS64. Note : Si notre serveur UAG doit pouvoir résoudre des noms sur Internet, c est le DNS interne qui devra fournir les réponses. Page 6

MVP Enterprise Security 2010 Benoits@exakis.com Ma carte Internet dispose bien de sa seconde adresse IPv4 publique consécutive. Pour résumer, la configuration se présente ainsi. A ce stade, il existe bien des cartes réseau ISATAP mais sans configuration pour l instant. On constate aussi la présence d une carte 6to4 configurée. C est normal, le système a généré les adresses IPv6 6to4 à partir de la première adresse IPv4 publique. Page 7

MVP Enterprise Security 2010 Benoits@exakis.com Coté connectivité, notre serveur UAG1 a bien une carte réseau connectée sur le LAN de l entreprise et l autre connectée à Internet. Note : La connectivité Internet est validée car le serveur est capable de joindre le serveur www.msftncsi.com de Microsoft. Enfin, côté pare-feu, on constate bien qu il est actif et ce sur les deux interfaces, c est essentiel. Il ne nous reste plus qu à placer le serveur UAG1 dans le bon conteneur dans l annuaire Active Directory, afin qu il puisse récupérer le paramétrage qui lui sera destiné. Page 8

MVP Enterprise Security 2010 Benoits@exakis.com 7.2 Certificats IPSEC et état de santé A ce stade de la configuration, la fonctionnalité «Auto-Enrollment» de la stratégie de groupe «PKI Settings» a normalement fait son travail, à savoir la mise à disposition de certificats générés selon les gabarits suivants : DA certificates System Health Authentication Si ces certificats ne sont pas encore présents, alors un bon «GPUPDATE.EXE /FORCE» permettra au système d exploitation de prendre en compte la stratégie de groupe «PKI Settings». Page 9

MVP Enterprise Security 2010 Benoits@exakis.com 7.3 Installation de Microsoft ForeFront Unified Access Gateway 2010 SP1 Nous y sommes enfin. A partir de maintenant, on va de focaliser sur UAG, depuis son installation, sa configuration initiale et la mise en œuvre de DirectAccess. Le plus long, c est encore son installation. Prenez votre mal en patience, c est très long. Impression écran Description Avant même de commencer à installer UAG, la première chose à faire, c est de s assurer que notre serveur est bien à jour. Il sera connecté à Internet tout de même. Le processus d installation en lui-même est simple, direct, sans fioriture. Une seule option proposée : le répertoire d installation. Page 10

MVP Enterprise Security 2010 Benoits@exakis.com Le processus d installation prend en charge l installation des rôles et fonctionnalités suivants : Network Policy Server Routing and Remote Access Services Active Directory Lightweight Directory Services Tools Message Queuing Services Web Server (IIS) Tools Network Load Balancing Tools Windows PowerShell Windows Identity Foundations (UAG 2010 SP1) Microsoft.Net Framework 3.5 SP1 Windows Web Services API Windows Update Microsoft Windows Installer 4.5 SQL Server Express 2005 Group Policy Management Console Page 11

MVP Enterprise Security 2010 Benoits@exakis.com L installation d UAG intègre bien entendu l installation de TMG 2010, mais aussi le dernier niveau de Service Pack disponible, à savoir le premier! Fini. A ce stade, on ne va pas encore redémarrer pour l instant. Page 12

MVP Enterprise Security 2010 Benoits@exakis.com On va déjà mettre un point en évidence. UAG est venu se superposer au pare-feu du système d exploitation. Pour cette raison, il est interdit de désactiver le pare-feu Windows! On constate aussi que la gestion des tunnels IPSEC est toujours à la charge du pare-feu du système d exploitation. A ce stade, je recommande trois choses : Installer Java, c est un prérequis pour la console «Web console» d UAG Relancer Windows Update afin d installer les correctifs correspondants aux rôles installés ainsi qu à TMG et UAG Redémarrer le serveur pour intégrer toutes ces mises à jour Page 13

MVP Enterprise Security 2010 Benoits@exakis.com 7.4 Configuration initiale d UAG Par défaut, un UAG sorti de sa boîte ne sait rien faire. Et pour cause, son principal composant (TMG) n est pas encore configuré. On doit donc passer par la configuration initiale d UAG qui est en fait quelque part celle de TMG. Impression écran Description Toute la configuration d UAG doit être initialisée la première fois avec la «UAG Management Console». On va créer la configuration dans l instance ADLDS mise en œuvre pour TMG. Première étape TMG et sa configuration réseau. Page 14

MVP Enterprise Security 2010 Benoits@exakis.com On comprend rapidement pourquoi il était intéressant de nommer les interfaces réseaux. TMG a besoin de différencier la carte LAN de la carte Internet. Coté TMG, il a besoin d identifier plus précisément les sous-réseaux internes de l entreprise. Bien entendu, ceux-ci respectent la RFC 1918, Autre possibilité, cette plage d adresse IPv4 publique appartient à l entreprise. Page 15

MVP Enterprise Security 2010 Benoits@exakis.com Second étage UAG. Il existe deux modes d installation : Standalone Ferme de serveurs (jusqu à 8) Dans le cas qui nous occupe, nous partons sur un déploiement «Standalone». Enfin dernière étape avec la configuration de Windows Update pour TMG et UAG. Note : Pensez à activer les catégories de TMG et UAG sur votre serveur WSUS interne. Page 16

MVP Enterprise Security 2010 Benoits@exakis.com Il ne nous reste plus qu à activer cette première configuration. Pour cela, il est nécessaire de définir un emplacement pour le stockage des configurations sauvegardées ainsi que du mot de passe qui va avec. Par sécurité, on effectue toujours une sauvegarde la configuration précédente avant d en active une nouvelle. C est le seul moyen rapide de revenir en arrière. La configuration est active oui, mais pas encore propagée. Pour s en assurer, le meilleur moyen reste encore de consulter le statut dans la console «Activation Monitor». Attention, ce n est pas immédiat. Page 17

MVP Enterprise Security 2010 Benoits@exakis.com 7.5 Certificat IP-HTTPS La configuration DirectAccess de notre serveur UAG1 ne pourra s effectuer sans disposer au préalable d un certificat SSL pour authentifier le serveur UAG pour les accès en IP-HTTPS (encapsulation des tunnels IPSEC dans des trames HTTPS). Pour rappel, IP-HTTPS sera utilisé si : Le client détermine qu il est sur un réseau privé et est incapable d utiliser Teredo Ou le client est configuré pour opérer en «Force Tunneling» Ou le client a été configuré pour ne fonctionner qu avec IP-HTTPS Etant donné que ce simple certificat web devra authentifier notre serveur UAG sur Internet, il est important d avoir préalablement enregistré ce nom DNS dans la zone DNS dont on est propriétaire. Dans le cas fictif qui nous occupe, ce sera «UAG.CONTOSO.COM». Impression écran Description Étant donné qu UAG a eu la gentillesse de nous installer la console IIS, on va donc l utiliser pour l ensemble de l opération. La demande de certificat doit être dument remplie. Page 18

MVP Enterprise Security 2010 Benoits@exakis.com Il faut soumettre notre fichier de demande déjà codé. Par soucis de vérification (ca se paie un certificat public), je recommande toujours le «CERTUTIL.EXE» pour relire le contenu du fichier de demande. C est l heure de sortir la carte bleue pour payer le certificat. Page 19

MVP Enterprise Security 2010 Benoits@exakis.com Dès lors qu on a reçu notre certificat, il ne reste plus qu à le positionner dans le magasin ordinateur pour un usage ultérieur. Note : Je recommande vivement de nommer le certificat importé pour pouvoir le différencier des autres déjà présents dans le magasin personnel de l ordinateur. Notre certificat est bien présent dans le magasin Computer. Son «Friendly Name» nous permet de clairement l identifier. Nous sommes maintenant prêts à nous attaquer à DirectAccess. Il était important de bien poser les fondations. L assistant de configuration d UAG va assembler toutes nos briques pour mettre en œuvre DirectAccess. C est l heure de la magie! Page 20

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back