Installation d’ISA Server

préciser l’emplacement des fichiers cache d’ISA Server. Au minimum, il faut une partition pour les fichiers d’initialisation de l’OS et le logiciel ISA Server, et un disque au format NTFS pour les fichiers cache. Pour de meilleures performances, Microsoft recommande d’installer de multiples disques physiques au format NTFS.

  Avant de poursuivre l’installation d’ISA Server, préparez vos serveurs pour le mode Firewall en installant au moins deux adaptateurs de réseau – un pour Internet et un pour le réseau interne. Vous pouvez utiliser un adaptateur de réseau et un adaptateur commuté (dial-up), mais la configuration que je décris utilise deux adaptateurs de réseau. Lors de l’installation d’ISA Server, le logiciel adopte par défaut une configuration verrouillée. Aucune communication ne peut franchir le pare-feu. C’est pourquoi, avant d’installer ISA Server sur des machines de production, il faut avoir toute confiance dans la configuration du réseau de test. Un test approfondi de la configuration du réseau avant d’installer ISA Server épargnera du temps et des soucis.

  Commencez par configurer l’adaptateur externe avec une adresse IP routable, une passerelle par défaut et des adresses DNS primaires et secondaires. Dans la boîte de dialogue Properties de l’adaptateur de réseau externe, décochez les cases Client for Microsoft Networks et File and Printer Sharing for Microsoft Networks. Le décochage de la première case aide à  isoler votre serveur ISA du reste du réseau externe (untrusted), y compris Internet. Le décochage de la deuxième case empêche des utilisateurs externes de se connecter à  votre machine en utilisant des services Net-BIOS. Ensuite, configurez l’adaptateur interne. Attribuez-lui une adresse IP privée et laissez la passerelle par défaut vide. L’adaptateur interne, avec l’aide de la LAT (Local Address Table), définit la manière dont ISA Server communique avec le réseau interne. On peut utiliser une adresse IP routable pour une autre interface externe (pour un sous- réseau filtré, par exemple), mais ISA Server traitera ce trafic différemment de la manière dont il traite le trafic destiné au réseau interne. Une grande partie des fonctionnalités Proxy d’ISA Server sont limitées au trafic du réseau externe- interne, par opposition au trafic du réseau externe-externe. Pour accroître la sécurité, je conseille de décocher la case Client for Microsoft Networks pour l’adaptateur interne. Ce faisant, on empêche la machine ISA Server d’accéder aux ressources partagées internes. Si ce client n’est pas désactivé, un intrus pénétrant dans le serveur peut l’utiliser comme rampe de lancement contre les serveurs internes. ISA Server supporte l’implémentation Microsoft de NAT Network Address Translation), appelée SecureNAT. Si vous envisagez d’utiliser SecureNAT, l’adresse IP privée que vous attribuez à  l’adaptateur interne sera la passerelle par défaut pour vos machines clients ou routeurs intermédiaires. Je ne conseille pas de décocher la case File and Print Sharing for Microsoft Networks pour l’interface interne, parce qu’ISA Server crée un partage (share) des fichiers d’installation pour le mode Firewall d’ISA Server. (Ces fichiers résident à  \isaservername\mspclnt.)

  Si l’on supprime ou ajoute un service réseau nécessaire ou si l’on modifie un paramètre de réseau comme une adresse IP après avoir installé ISA Server, les services de ce dernier ne démarreront peut-être pas. Si cela vous arrive, essayez de réinstaller ISA Server par l’intermédiaire de l’applet Control Panel Add/Remove Programs pour résoudre ce problème et préserver votre configuration.

  ISA Server étend les fonctionnalités RRAS de Win2K. Installez ISA Server sans apporter aucune modification à  l’installation RRAS par défaut de Win2K. Vous pouvez utiliser un assistant ISA Server pour configurer un VPN par l’intermédiaire de RRAS. Si vous envisagez d’installer ISA Server dans une configuration en groupe (array), ajoutez votre système ISA Server comme un membre du domaine qui hébergera les services ISA Server.

  L’installation d’ISA Server est simple et directe. Pour plus de détails à  ce sujet, voir l’article de Sean Daily, « Microsoft Stellar ISA Server », octobre 2000. Cet article est aussi une bonne introduction aux trois modes disponibles et décrit quand il faut les utiliser. Cette lecture est essentielle quand vous préparez le schéma AD pour ISA Server et installez l’application dans une configuration de base. Une fois l’installation terminée, n’oubliez pas d’installer les hotfixes et les packs de services les plus récents. Microsoft a déjà  annoncé un petit nombre de hotfixes pour ISA Server. Il est essentiel de se tenir au courant des derniers hotfixes pour ce genre de produits de sécurité du périmètre.