3. Gestion de la publication sous ISA Server 2006
3.1 Présentation des nouveaux assistants de publication
|
Par rapport à ISA Server 2004, les assistants
permettant de créer les règles de publication ont été revus. On dispose
maintenant des cinq assistants suivants :
-
Publication d'un accès Web Exchange : cet assistant
permet de configurer un accès OWA (Outlook Web Access), OMA (Outlook
Mobile Access), ActiveSync ou RPC over HTTP - l'assistant prend
aussi en compte la version d'Exchange utilisée (5.5, 2000, 2003 et
Exchange 12 !)
-
Publication d'un serveur de courrier : cet assistant
permet de configurer un accès client "classique" via les protocoles
SMTP, POP3, IMAP4 et RPC (pour les clients MAPI). Il permet aussi de
configurer la communication entre serveurs de messagerie (SMTP ou
NNTP)
-
Publication d'un site SharePoint : cet assistant permet
de configurer l'accès à un portail SharePoint 2003
-
Publication d'un site Web : cet assistant permet de
configurer l'accès à un site Web (HTTP) ou à un site Web sécurisé (HTTPs).
Plusieurs options sont disponibles : publication d'un seul site Web,
publication d'une ferme de serveurs utilisant l'équilibrage de la
charge réseau (NLB), publication de plusieurs sites Web
simultanément.
-
Publication de serveur : cet assistant permet de publier
n'importe quel type de serveur utilisant un protocole basé sur TCP/IP
|
 |
3.2 Gestion des certificats sur les ports d'écoute Web
Un système de vérification a aussi inclut au niveau de la
validité des certificats numériques ! Ainsi le serveur ISA vérifie...
-
Le nom commun du certificat (il doit être
identique au nom public de la règle de publication)
-
Le modèle du certificat (il doit correspondre
au modèle "Serveur Web")
-
La date d'expiration du certificat
-
La présence de la clé privée (le serveur ISA a
besoin de la clé privée pour déchiffrer les données)
Lorsque l'une de ces conditions n'est pas remplie, un message
d'avertissement expliquant le problème est automatiquement affiché dans l'onglet
Port d'écoute de la règle de publication. Voici un exemple de message :
De plus, deux nouvelles alertes nommées "le certificat du serveur ISA va
bientôt expirer" et "le serveur ISA du serveur ISA est invalide"
permettent de dépanner plus facilement les problèmes liés à l'expiration des
certificats et à l'utilisation de certificats invalides !
3.3 Gestion de la traduction de liens dans ISA 2006
|
Rappels sur la traduction de liens :
La traduction de liens est utile lorsqu’un site
Web ou une application Web renvoie des références au nom interne du
serveur. En effet dans le cadre d’une publication de serveur, il
faut impérativement que l’internaute reçoive un nom public (ex. :
http://www.laboms.com/images/2567.jpg) et non un nom interne
(ex.
http://WEB2:8082/images/2567.jpg).
La traduction de liens permet justement de
modifier à la volée les références au nom interne du serveur pour les
remplacer par le nom public (lorsque le serveur Web renverra un
lien vers une ressource de type http://WEB2:8082/images/2567.jpg, le
serveur ISA sera capable de remplacer « WEB2:8082 » par « www.laboms.com
» pour obtenir une URL utilisable par le client externe). La
traduction de lien se configure uniquement au niveau des règles de
publication Web et est souvent utilisée dans le cadre de la publication
d’un site Web OWA (notamment lorsque le site OWA est hébergé sur un port
"exotique").
Pour configurer des mappages spécifiques, il suffit
d'activer la traduction de liens dans les propriétés de la règle, puis
de créer des mappages à l'aide du bouton Configure... (cf.
capture d'écran ci-à-droite). |
 |
 |
Gestion de la traduction de liens au sein d'ISA
2006
Lorsque la traduction de liens est activée au niveau
d'une règle de publication Web (publication d'un site Sharepoint,
d'un serveur OWA, d'un site Web SSL...), ISA Server crée
automatiquement un dictionnaire contenant tous les mappages implicites
(par exemple la configuration de l'adresse IP du serveur Web dans
l'onglet To engendre automatiquement la création d'un mappage)
ainsi que ceux explicitement définis par l'administrateur (à l'aide
du bouton Configure...).
Un dictionnaire général est aussi créé au niveau
de chaque grappe de serveurs ISA. Ce dictionnaire correspond tout
simplement à la concaténation de tous les dictionnaires spécifiques aux
règles de publications définies au niveau de la grappe !
Avec ISA Server 2006, il est dorénavant possible de concaténer les
dictionnaires de plusieurs grappes en activant la traduction de liens
inter-grappes directement au niveau de l'entreprise ISA Server. Cela
peut notamment s'avérer utile lorsque le même site Web (ou du moins avec
un nom public identique) est publié au niveau de deux grappes
différentes.
En cas de conflit entre un mappage défini au niveau d'une règle et un
mappage général, c'est toujours le mappage définit au niveau de la règle
qui s'applique ! |
Visualisation des mappages à l'aide de l'interface Web
La principale nouveautés apportée par ISA 2006 au niveau
de la traduction de liens, reste l'intégration d'une interface Web permettant de
visualiser directement les URLs AVANT ET APRES translation. Cela permet à
l'administrateur de pouvoir s'y retrouver plus facilement, surtout lorsque de
nombreux mappages et de nombreuses règles de publication Web sont configurées.
Pour accéder à cette interface, il suffit de cliquer sur le bouton Mappings...
dans l'onglet Link Translation (littéralement traduction de liens)
d'une règle de publication Web. La capture d'écran ci-dessous présente une
partie de cette interface Web :
Autre différence par rapport à ISA Server 2004 : les
types de contenus sur lesquels s'applique la traduction de liens se configurent
maintenant dans la section Configuration / Général et non dans les
propriétés de la règle de publication !
3.4 Publication d'une ferme de serveurs Web
Avantage d'ISA Server 2006 par rapport aux version
précédentes
ISA Server 2004 permet bien évidemment de publier une ferme
de serveurs Web utilisant l'équilibrage de la charge réseau (NLB). Dans
ce cas, le serveur ISA se contente de rediriger les requêtes HTTP vers
l'adresse IP virtuel du cluster NLB. Avec ISA Server 2006 la mise en
place d'une ferme de serveur Web est revue ! En effet, la répartition de
charge n'est plus assurée par les serveurs Web en eux-mêmes mais directement par
le serveur ISA ! Avec ce système il n'est donc plus nécessaire de mettre en
place le NLB sur les serveurs Web ce qui simplifie énormément la mise en place
d'un site Web hautement disponible (En revanche à partir du moment où la
haute disponibilité est impérativement recherchée, il faut aussi assurer une
tolérance de panne au niveau du serveur ISA ainsi qu'au niveau de la connexion
Internet) !
Configuration de l'élément de stratégie
|
Pour mettre en place une répartition de charge au
niveau du serveur ISA 2006, il faut dans un premier temps, créer un
élément de stratégie de type "ferme de serveur", puis, dans un
second temps, créer une règle de publication Web utilisant cet
élément de stratégie.
L'élément de stratégie de type Ferme de serveurs
doit être crée dans la section Objets de réseau. Durant sa
création les informations suivantes doivent être indiquées :
-
Liste des serveurs Web de la ferme
-
Méthode utilisée pour vérifier que tous les
serveurs Web de la ferme sont actifs (trois méthodes sont
disponibles : envoie d'une requête d'écho, envoi d'une requête HTTP
GET ou bien établissement d'une connexion TCP sur un port donné)
|
 |
Lorsqu'un objet Ferme de serveurs est crée dans la
console Gestion ISA Server, un vérificateur de connectivité est automatiquement
crée pour chaque serveur Web présent dans l'élément de stratégie. Ces
vérificateurs de connectivités permettent au serveur ISA d'être automatiquement
averti lorsque l'un des serveurs Web de la ferme est hors ligne (cela revient à
la notion de pulsation ou "heartbeats" avec le clustering). Lorsque l'un des
serveurs Web ne répond plus, le serveur ISA cesse de lui envoyer des requêtes et
re-répartie automatiquement le trafic réseau entre les serveurs Web restants !
Dans l'exemple ci-dessous, deux fermes de serveurs nommées
"Site du laboratoire Microsoft" et "Test" ont été crée. Chacune de
ces fermes contient trois serveurs Web. Un total de six vérificateurs de
connectivité a donc été crée (un vérificateur par serveur Web).
Configuration de la règle de publication
 |
Durant la création de la règle de publication, il
faut choisir l'option "Publish a server farm of load-balanced Web
servers" pour que le serveur ISA puisse répartir les requêtes entre
les serveurs Web, puis sélectionner un mode pour l'affinité entre les
clients externes et le serveur ISA. Deux paramètres sont disponibles :
Selon le type de site Web publié, mieux vaut
utiliser une méthode plutôt qu'une autre. Par exemple dans le cadre de
la publication d'un site OWA ou Sharepoint, il est recommandé d'utiliser
l'affinité basée sur les cookies alors que dans le cadre de la
publication d'un accès à la messagerie RPC over HTTP l'autre méthode
s'avère plus efficace. |
Maintenance d'une ferme de serveurs
|
Lorsque l'administrateur souhaite effectuer des
tâches de maintenance sur l'un des serveurs Web de la ferme de serveurs,
cela ne pose aucun problème. En effet, il suffit de définir la
machine comme étant en pause (état "Drained" dans la capture
d'écran ci-contre); ainsi, le serveur ISA cesse d'envoyer de
nouvelles requêtes à ce serveur Web. En revanche toutes les sessions
actuellement actives entre des clients externes et ce serveur Web
continueront à être traitée par la machine.
Ce système de "désactivation" ou de mise hors
ligne de l'un des serveurs de la ferme évite de devoir mettre fin
brusquement à toutes les sessions ouvertes sur ce serveur et permet
d'interrompre le moins possible la disponibilité du service pour les
clients ! Pour que le système soit encore plus efficace
l'administrateur doit planifier ses interventions (par exemple en
désactivant le serveur 24h avant la manipulation). |
 |
 Sommaire
1. Présentation du produit
1.1 Présentation d'ISA Server et bref historique
1.2 Les nouveautés offertes par ISA Server 2006
1.3 Les différentes éditions d'ISA Server 2006
1.4 L'intégration aux Appliances : un enjeu important pour l'avenir
1.5 Vers un produit plus fiable et plus complet ?
1.6 Essayez ISA Server 2006 gratuitement !
2. Déploiement d'ISA Server 2006
2.1 Configuration minimale
2.2 Installation d'ISA Server 2006 édition standard
2.3 Installation d'ISA Server 2006 édition entreprise
2.4 Les différents scénarii de mise à jour vers ISA 2006
2.5 Mise à jour vers ISA Server 2006 SE à partir d'ISA Server 2004 SE SP2
2.6 Mise à jour vers ISA Server 2006 EE à partir d'ISA Server 2004 EE SP2
3. Gestion de la publication sous ISA Server 2006
3.1 Présentation des nouveaux assistants de publication
3.2 Gestion des certificats sur les ports d'écoute Web
3.3 Gestion de la traduction de liens dans ISA 2006
3.4 Publication d'une ferme de serveurs Web
4. Mise en place de l'authentification dans le cadre d'une publication
4.1 Introduction au mécanisme d'authentification
4.2 Intégration de l'authentification basées sur les formulaires
4.3 Implémentation de l'ouverture de session unique (SSO) sur un port
d'écoute Web
4.4 Rappels sur les différentes méthodes d'authentification intégrée à ISA
2006
5. Déploiement d'ISA Server 2006 dans un site distant
5.1 Problématique du déploiement d'ISA Server 2004 EE dans un site distant
5.2 Déploiement automatisé d'ISA Server 2006 SE/EE dans un site distant
5.3 Procédure de déploiement pas-à-pas d'un serveur ISA 2006 dans un site
distant
5.4 Intégration des nouveautés du Service Pack 2 d'ISA Server 2004
6. Protection de l'accès Web et fonctionnalités de monitoring associées
6.1 La problématique
6.2 La réduction du flood
6.3 Test des fonctionnalités de monitoring
6.4 Un produit encore en version beta...
7. Conclusion
7.1 Nos impressions sur la Beta1 d'ISA Server 2006
7.2 Que pouvons-nous attendre pour l'avenir ?
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tout savoir sur ISA Server 2006 (Beta1 - Codename Wolverine)
Accès
direct aux définitions :
