Tech-Ed 2005 : Implémentation d'ISA Server 2004 Édition Entreprise Accueil > Articles > Evènements
Auteurs  Matthieu MARTINEAU PI SERVICES (GOLD PARTNER MICROSOFT) Ingénieur systèmes et réseaux  Tous les articles de cet auteur		4,7/5 Très Bien 81624 128/605

1. Présentation d'ISA Server Edition Entreprise

Nous vous présentions l'année dernière, à la même période, la politique nouvellement adoptée par Microsoft (cf. : cet article). Depuis cette date, la firme de Redmond n'a pas perdu de vu son objectif : augmenter la sécurité de ses produits ! Pour cela le système SD3 +C a été légèrement revu et c'est maintenant sur cinq fronts et non plus trois que Microsoft a organisé sa lutte contre l'insécurité. Voici une brève présentation de ces cinq piliers :

• Isolation et résilience : ce pôle s'occupe de la protection du réseau interne de l'entreprise. Cela passe notamment par le filtrage des entrées/sorties (pare-feu amélioré avec Windows XP SP2 et Windows Server 2003 SP1, sortie d'ISA Server 2004), le renforcement de la sécurité (assistant configuration de la sécurité SCW de Windows Server 2003 SP1, développement d'Internet Explorer 7.0...),  la vérification de la conformité des postes (mise en quarantaine de l'accès distant et bientôt mise en quarantaine réseau avec NAP) ou bien encore de la recherche et de la suppression des spywares, botnets, rootkits, vers, virus et autres malwares (développement de Microsoft Antispyware et sortie prochaine d'un antivirus).

• Mise à jour avancée : ce pôle développe de nouveaux procédés permettant d'améliorer le processus de déploiement des mises à jour sur les systèmes Microsoft. Cela passe notamment par la création d'outils simples et performants permettant de "patcher" n'importe quel logiciel Microsoft. On peut citer Microsoft Update, WSUS mais aussi SMS 2003 qui devraient permettre la gestion de tous les produits Microsoft d'ici la fin de l'année avec un niveau d'administration différent.

• Authentification, autorisation, audit : ce pôle est chargé d'augmenter la sécurité des protocoles d'authentification et d'autorisation tout en augmentant la compatibilité avec les systèmes non Microsoft. Il gère des produits comme Active Directory, MIIS (Microsoft Identity Integration Server) ou bien encore RMS (Right Management Server).

• Excellence de l'engineering : ce pôle innove en mettant en place de nouveaux processus de développement pour les futurs produit de Microsoft. Depuis l'année dernière, le cycle de développement des produits inclue des phases de tests pour vérifier et améliorer la sécurité du logiciel au cours de son développement. Le but est bien entendu de livrer des produits plus fiables et plus surs !

• Conseils, outils, réponses : ce pôle s'occupe des interactions en rapport avec la sécurité entre Microsoft et le grand public. Cela passe par la publication de divers sites web destiné à la formation des professionnel  mais aussi à l'information des particuliers qui utilisent des systèmes Microsoft.

Si vous souhaitez en savoir plus sur la politique de sécurité menée par Microsoft, vous pouvez consulter cette présentation utilisée en Juin 2005 lors des journées de la sécurité. Internet Security & Acceleration Server se positionne dans le pôle Isolation et résilience et représente à ce titre un produit crucial pour Microsoft !

Huit mois se sont écoulés entre la sortie de l'édition standard d'ISA Server (Juillet 2004) et celle de l'édition entreprise en Mars 2005. Microsoft a mis a profit cette période pour bonifier son produit. Ainsi, toutes les améliorations apportées par le service pack 1 de la version standard sont reprises dans la version entreprise ! Voici une liste des principales nouveautés d'ISA Server EE (Édition Entreprise) : Support de plus de quatre processeurs physiques Nouveau système de stockage redondant (ADAM / CSS) Stratégie d'entreprise permettant de faciliter la gestion des infrastructures multi-sites Support de l'équilibrage de la charge et de la tolérance de panne (NLB) Implémentation du cache distribué (CARP)

La configuration minimale requise pour exécuter Microsoft ISA Server 2004 édition Entreprise est la même que celle de l'édition Standard. Vous pouvez consulter la liste des composants matériels et logiciel nécessaires ici. Certaines précisions doivent tout de même être ajoutées :

• Le serveur ISA peut maintenant supporter plus de quatre processeurs physique

• Si vous souhaitez installer un serveur de stockage de configurations (cf. chapitre 2 de cet article), vous devez utiliser Windows Server 2003

L'une des phases les plus difficiles de la mise en place d'un serveur ISA est la sélection des composants matériels (nombre de processeurs, quantité de mémoire vive, nombre et performance des disques durs...) de votre serveur ISA ou de vos serveurs ISA. En effet ils doivent être choisis en fonction d'un grand nombre de paramètres différents comme :

• le nombre de clients interne

• la bande passante de la connexion Internet

• la configuration de la mise en cache

• le nombre de règles approximatif qui sera crée sur le serveur

• l'activation des fonctions de filtrage applicatif (car ces fonctions consomment énormément de temps processeur)

• etc.

Il est impossible de fournir une configuration type car le matériel du serveur ISA doit être adapté à chaque situation. Le tableau suivant donne un ordre d'idée de la configuration nécessaire en fonction de la bande passante de la connexion Internet (il correspond à la configuration recommandée par Microsoft lorsque la mise en cache et les filtres applicatifs ne sont pas utilisés) :

Si vous souhaitez obtenir des informations plus précises, vous pouvez consulter cet article sur le site de Microsoft.

Comme nous l'expliquions dans ce précédent article, les licences ISA Server 2004 sont facturées selon le nombre de processeurs physiquement installés sur la machine. Ainsi un serveur équipé d'un processeur multi-core et multi-threadé comme l'Intel Pentium IV D 840 Extrême Edition sera facturé au prix d'un seul processeur alors qu'il représente 4 processeurs logiques (Le système d'exploitation "voit" quatre processeurs). Pour information, voici le coût d'une licence pour ISA Server 2004 aux Etats-Unis :

Étant donné que les fonctionnalités supportées par les deux versions sont à peu de choses près les mêmes, il est normal de s'interroger sur l'intérêt d'investir dans l'édition Entreprise ! Voici une petite liste (non exhaustive) des cas où l'utilisation de l'édition Entreprise s'impose :

• Lors de la gestion d'un grand nombre de sites, l'utilisation de l'édition standard oblige l'administrateur à configurer manuellement chaque serveur ISA. Ainsi, lorsqu'une règle ou qu'un ensemble paramètres doit être modifié, il faut éditer la configuration de chaque serveur ISA indépendamment ! Cela augmente énormément la charge de travaille de l'équipe technique ainsi que le risque d'erreur dans la configuration (et donc le non respect potentiel de la politique de sécurité souhaitée au sein de l'entreprise!). La version Entreprise permet de configurer simultanément tous les serveurs ISA grâce à la mise en place d'une ou de plusieurs stratégies au niveau de l'entreprise.

• Lorsque le nombre de clients (internes ou externes) est trop élevé pour qu'une machine seule puisse le gérer, il est nécessaire d'utiliser la version entreprise qui permet la mise en place de l'équilibrage de la charge (on parle de cluster ou de groupe de serveur ISA).

• Lorsque la disponibilité du service doit être assurée 24/24 et qu'un système de tolérance de panne doit être implémenté.

Sommaire
1. Présentation d'ISA Server Edition Entreprise
     1.1 Le positionnement du produit au sein la politique de sécurité de Microsoft
     1.2 Les nouveautés de la version Entreprise
     1.3 Configuration requise pour exécuter Microsoft ISA Server 2004 EE
     1.4 Quelle version d'ISA choisir ?

2. Implémentation d'un serveur de stockage de configuration (CSS)
     2.1 Évolution du système de stockage depuis ISA Server 2000
     2.2 Le serveur de stockage de configurations (CSS)
     2.3 Recommandations pour le placement du serveur de stockage de configurations
     2.4 Recommandations pour la mise en place d'un serveur CSS dans un site distant
     2.5 Installation du premier serveur de configurations de l'entreprise ISA Server
     2.6 Installation d'un serveur CSS redondant pour assurer la tolérance de panne
     2.7 Configuration de la réplication intrasite sur les serveurs CSS
     2.8 Configuration de la réplication intersites sur les serveurs CSS

3. Mise en place d'une stratégie d'Entreprise
     3.1 Introduction aux stratégies d'entreprise
     3.2 Implémentation et configuration d'une grappe de serveurs
     3.3 Ordre d'application des règles d'entreprise et de grappes
     3.4 Délégation de l'administration au sein d'une entreprise ISA Server

4. Déploiement d'un serveur ISA au sein d'une Entreprise ISA Server
     4.1 Installation manuelle d'un premier serveur ISA dans groupe de serveurs
     4.2 Installation automatique d'un second serveur ISA dans un groupe de serveur

5. Configuration de l'équilibrage de la charge (NLB) sur un groupe de serveurs (Array)
     5.1 Principe du Network Load Balancing (NLB)
     5.2 Intégration du NLB au sein d'ISA Server 2004
     5.3 Configuration d'un réseau permettant la communication à l'intérieur de la grappe
     5.4 Activation du NLB sur l'un des réseaux d'un groupe de serveurs ISA

6. La mise en cache distribuée à l'aide du protocole CARP
     6.1 Problématique de la gestion du cache dans un groupe de serveurs
     6.2 Principe du cache distribué
     6.3 Configuration du protocole CARP sur un groupe de serveur ISA
     6.4 Fonctionnement simultané de l'équilibrage de la charge (NLB) de la mise en cache distribuée (CARP)

7. Conclusion
     7.1 Procédure globale de déploiement
     7.2 Le mot de la fin...

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft