DirectAccess : un jeu de lego – (Partie 5/7 : UAG)
|
Vous trouverez ci-dessous le début de l’article, n’hésitez pas à télécharger la suite directement en format pdf
Sommaire de l'article
- Configuration du serveur UAG1
- Configuration initiale du serveur
- Certificats IPSEC et état de santé
- Installation de Microsoft ForeFront Unified Access Gateway 2010 SP1
- Configuration initiale d’UAG
- Certificat IP-HTTPS
>> Télécharger gratuitement l'intégralité de cet article <<
Configuration initiale du serveur UAG1
C’est la dernière ligne droite. Celle de notre serveur UAG et de sa configuration de DirectAccess. C’est la partie de cet article la plus documentée pour une raison simple : il y a beaucoup de choses à dire entre autre par rapport aux nouveautés du Service Pack 1.
Configuration initiale du serveur
Notre serveur UAG1 dispose de deux interfaces réseau. C’est à ce niveau que vont se jouer pas mal de prérequis propres à DirectAccess. Les opérations suivantes seront réalisées :
- Nommage des interfaces réseau
- Vérification de l’ordre de liaison des interfaces réseau
- Configuration de l’interface réseau Internet
- La configuration du pare-feu
- Le déplacement du compte ordinateur
Dès lors que ces opérations auront été réalisées, il sera possible de procéder au référencement du nom DNS publique de notre serveur UAG1. Ce référencement est important car, c’est ce nom pleinement qualifié qui sera inscrit dans le certificat IP-HTTPS qui sera mis en œuvre plus tard. La recommandation est de réaliser cette demande quelques jours avant la demande de certificat afin que l’information soit bien propagée dans l’infrastructure DNS Internet. Une bonne pratique pour commencer : Nommer les interfaces, c’est essentiel pour s’y retrouver plus tard.
Deuxième bonne pratique, s’assurer de l’ordre de liaison des cartes réseau. La carte LAN doit être en premier car UAG (plus précisément TMG) a besoin d’accéder à sa configuration locale en passant par la carte LAN.
Coté Carte LAN, il est impératif de conserver IPv6.
Notre carte LAN ne dispose pas de passerelle par défaut. C’est normal, la carte Internet disposera elle d’une passerelle et Windows ne sait pas traiter les passerelles sur plusieurs interfaces. Il faut passer par les routes statiques si on en a besoin.
Le référencement du suffixe DNS du domaine Active Directory sera utile pour UAG pour identifier la carte LAN sur laquelle le routage IPV6 devra être mis en œuvre.
Coté Internet, même combat, on a besoin d’IPv4 et IPv6, c’est non négociable!
Notre interface Internet est configurée avec une passerelle par défaut. Par contre, pas de DNS à ce niveau, cela nuirait à la performance de NAT64/DNS64. Si notre serveur UAG doit pouvoir résoudre des noms sur Internet, c’est le DNS interne qui devra fournir les réponses.
Ma carte Internet dispose bien de sa seconde adresse IPv4 publique consécutive.
Pour résumer, la configuration se présente ainsi. A ce stade, il existe bien des cartes réseau ISATAP mais sans configuration pour l’instant. On constate aussi la présence d’une carte 6to4 configurée. C’est normal, le système a généré les adresses IPv66to4 à partir de la première adresse IPv4 publique.
Coté connectivité, notre serveur UAG1 a bien une carte réseau connectée sur le LAN de l’entreprise et l’autre connectée à Internet. La connectivité Internet est validée car le serveur est capable de joindre le serveur http://www.msftncsi.comde Microsoft.
Enfin, côté pare-feu, on constate bien qu’il est actif et ce sur les deux interfaces, c’est essentiel.
Il ne nous reste plus qu’à placer le serveur UAG1 dans le bon conteneur dans l’annuaire Active Directory, afin qu’il puisse récupérer le paramétrage qui lui sera destiné.
| Haut de page
Certificats IPsec et état de santé
A ce stade de la configuration, la fonctionnalité Auto-Enrôlement de la stratégie de groupe PKI Settings a normalement fait son travail, à savoir la mise à disposition de certificats générés selon les gabarits suivants :
- DA certificates
- System Health Authentication
| Haut de page
Installation de Microsoft Forefront Unified Access Gateway 2010 SP1
Nous y sommes enfin. A partir de maintenant, on va de focaliser sur UAG, depuis son installation, sa configuration initiale et la mise en œuvre de DirectAccess. Le plus long, c’est encore son installation. Prenez votre mal en patience, c’est très long. Avant même de commencer à installer UAG, la première chose à faire, c’est de s’assurer que notre serveur est bien à jour. Il sera connecté à Internet tout de même. Une vérification sur Windows Update ne sera donc pas de trop.
- Le processus d’installation en lui-même est simple, direct, sans fioriture. Une seule option proposée : le répertoire d’installation.
Le processus d’installation prend en charge l’installation des rôles et fonctionnalités suivants :
- Network Policy Server (NPS)
- Routing and Remote Access Services (RRAS)
- Active Directory Lightweight Directory Services Tools (ADLDS)
- Message Queuing Services
- Web Server (IIS) Tools
- Network Load Balancing Tools
- Windows PowerShell
- Windows Identity Foundations
- Microsoft .Net Framework 3.5 SP1
- Windows Web Services API
- Microsoft Windows Installer 4.5
- SQL Server Express 2005
- Group Policy Management Console (GPMC)
L’installation d’UAG intègre bien entendu l’installation de TMG 2010, mais aussi le dernier niveau de Service Pack disponible, à savoir le premier!
Fini. A ce stade, on ne va pas encore redémarrer pour l’instant.
On va déjà mettre un point en évidence. TMG est venu se superposer au pare-feu du système d’exploitation. Pour cette raison, il est interdit de désactiver le pare-feu Windows! On constate aussi que la gestion des tunnels IPsec est toujours à la charge du pare-feu du système d’exploitation.
A ce stade, je recommande trois choses :
- Installer Java, c’est un prérequis pour la console Web console d’UAG
- Relancer Windows Update afin d’installer les correctifs correspondants aux rôles installés ainsi qu’à TMG et UAG
- Redémarrer le serveur pour intégrer toutes ces mises à jour
>> Télécharger gratuitement l'intégralité de cet article <<
| Haut de page