TAGREROUT

Seyf Allah
TMRIM

Projet Isa server 2006

Installation et configuration dIsa
d server 2006 :

Installation dIsa
Isa server 2006

Activation des Pings
Ping

NAT

Redirection DNS

Proxy (cache, visualisation des journaux)
Table des matires

Introduction (prsentation)..Page : 1

Prsentation du projet.Page : 2

Procdure dinstallation dIsa Server 2006...Page

Procdure dactivation des Pings.Page

Accs internet par NAT..Page

Introduction sur NAT

Publication du service DNS...Page

Proxy.Page

cache

visualisation des journaux
 Quest-ce quISA Server ?

ISA Server 2006 est la passerelle de haute scurit qui protge votre informatique contre les
menaces en provenance dInternet, tout en offrant vos utilisateurs un accs distance rapide et
scuris aux donnes et aux applications

Prsentation dISA Server :

Face l'explosion de croissance des activits bases sur Internet et au nombre considrable de
rseaux d'entreprise qui y sont connects, il est plus que jamais ncessaire de disposer d'une
passerelle puissante et facile administrer qui fournisse une connexion scurise tout en
augmentant et amliorant les performances rseau. ISA Server rpond ces exigences par une
solution de connectivit Internet contenant la fois un pare-feu d'entreprise et une solution de
cache Web complte. Ces services sont complmentaires : vous pouvez utiliser l'une ou l'autre de ces
fonctionnalits, ou les deux, lorsque vous installez ISA Server sur votre rseau.

ISA Server protge votre rseau, vous permettant de mettre en uvre votre stratgie de scurit
d'entreprise en configurant un large ensemble de rgles spcifiant quels sont les sites, les protocoles
et les contenus qui peuvent transiter par ISA Server. ISA Server surveille les changes de demandes
et de rponses entre Internet et les ordinateurs clients internes, contrlant qui est habilit accder
aux ordinateurs du rseau de l'entreprise, et auxquels. ISA Server contrle galement quels sont les
ordinateurs, sur Internet, auxquels les clients internes peuvent accder.

ISA Server propose de nombreuses options de scurit, notamment la dtection d'intrusion et de

filtrage de paquets. Vous pouvez crer des stratgies d'accs bases sur des informations au niveau
de l'utilisateur ou des adresses IP (Internet Protocol) et dterminer les cas dans lesquels la rgle doit
tre applique.

ISA Server permet la publication scurise. Il permet de dfinir une stratgie de publication qui
protge les serveurs de publication internes et autorise les clients Internet y accder en toute
scurit.

ISA Server implmente un cache contenant les objets souvent demands. Vous pouvez configurer le
cache pour vous assurer quil contient les donnes les plus frquemment utilises par lorganisation
ou les plus souvent sollicites par vos clients Internet. Le cache d'ISA Server peut tre distribu sur de
nombreux serveurs ISA par groupes ou chanes de groupes. Ceci peut permettre de raliser des
conomies sur le cot des connexions Internet, car les clients peuvent obtenir les donnes provenant
du cache dISA Server le plus proche.

ISA Server est extensible. L'Utilitaire de gestion ISA possde une interface COM correspondante que
les administrateurs peuvent programmer l'aide de langages de programmation de haut niveau ou
de langages de cration de scripts. La principale fonction de pare-feu peut tre tendue par d'autres
dveloppeurs implmentant des filtres Web ou d'application. La fonctionnalit de cache peut tre
amliore l'aide de l'interface de programmation d'application (API) du cache. L'interface de
l'Utilitaire de gestion ISA peut tre tendue afin de fournir des outils d'administration intgrs pour
les nouvelles extensions.
Prsentation du projet :
Dans le cadre du projet en 2eme anne de bac pro MRIM, on a eu la chancechance deffectuer un projet sur
Isa server 2006,, dans le quel on a effectu plusieurs tches.. Ce projet est fait en binme mais
nayant pas de partenaire jai du amen a bout ce projet tout seul.

Voici les taches que jai effectues durant ce projet :

dactivation des Pings

Accs internet par NAT

Publication du service DNS

Proxy

Voici le schma du travail que jai effectu sur Isa server 2006 :
Procdure dinstallation dIsa Server
2006 :

Bien sur pour effecteur cela, il a fallu installer et configurer Isa server 2006.
Daprs mon sommaire je vais ds prsent vous prsenter linstallation dIsa server
Faut savoir quIsa server peut sinstaller que sur des systmes dexploitation
exploitation pour serveur
(Windows server 2000,2003 ou 2008).Avant dinstaller
dinstall Isa server 2006 faut au pralable
installer sur Windows 2003 le service pack 1 sinon linstallation dIsa server sera
impossible.

Aprs avoir install le service pack 1 sur le serveur (Windows serveur 2003),
2003) on peut
commencer linstallation dIsa server 2006 sur notre serveur.

1) : Insrez lISO dIsa server 2006 Enterprise Edition et cliquez sur Installer ISA server 2006 .
2) : Cliquer sur Suivant , acceptez les termes du contrat de licence puis renseignez
renseignez le numro de srie

3) : Choisissez d Installer les services ISA server et un serveur de stockage de configurations .

Dans notre cas le serveur contiendra la base de donnes (MSDE) de configuration, les logs mais
aussi les services, firewall et proxy dISA. Laissez les composants par dfaut.

On clique sur ajouter, La suite est la page suivante.

4) :

Dans notre cas plusieurs plages dadresse (192.168.108.0 jusqu' 192.168.108.255)

Doivent se connecter au proxy afin de ne pas saisir x plages nous ajouterons la carte rseau.

Autorisez la connexion des clients de pare-feu

pare feu non crypts malgr quils ne soient pas pris en compte avec
une Configuration de proxy web.

Le CD 2 de Windows 2003
003 server vous sera demand pendant linstallation.
Cochez la case Lancer la gestion dISA server aprs la fermeture de lassistant puis cliquez sur
terminer.

Aprs cette opration linstallation dIsa server 2006 dbute et se termine au bout de 20minutes
20mi peu
prs.

Voici quoi ressemble Isa server 2006 :

Procdure dactivation des Pings :

Aprs linstallation dIsa server je vais vous prsenter la procdure dactivation de pings partir de
mon client sur mon serveur (SVR8)

Activer le Ping pour ISA Server, mais pas d'une source ouverte rseau, il suffit de permettre partir
d'une liste de machines, partir des ordinateurs de gestion distance

Configuration :
1) : Ouvrez ISA Server Management Console, cliquez sur Dmarrer> Tous les
Programmes> Microsoft ISA Server> Gestion ISA Server.

2) : Cliquez sur le nud Stratgie de pare-feu, comme vous pouvez le voir, il s'agit d'une nouvelle
installation de ISA Server 2006, et elle a encore sa valeur par dfaut rgle de refus. Nous ne crerons
pas une nouvelle rgle afin de permettre Ping pour ISA Server, nous allons travailler avec ISA Server
System stratgie,
3) : Sur le panneau de droite, sous l'onglet Tches, cliquez sur la politique d'dition du systme

La fentre souvre et nous allons dans notre cas ici dans travailler avec une seule rgles de stratgie
systme, on va aller dans ICMP(Ping).

Par dfaut, ICMP (Ping) est activ, alors pourquoi personne ne peut faire un Ping sur le serveur ?
C'est parce que vous aurez besoin pour prciser de quelle machine (s) que vous allez autoriser le Ping
votre serveur ISA, cela peut se configurer en cliquant sur l'onglet partir de, par dfaut des
ordinateurs de gestion distance est inclus sous l'onglet partir, et Par dfaut. Les ordinateurs de
gestion distance sont vides et vous devrez le remplir. Parce que c'est vous aurez besoin de prciser
quelle machine (s) que vous allez Autoriser le Ping votre serveur ISA.
Cela Peut se Configurer en cliquant sur l'onglet partir de, par dfaut des ordinateurs de gestion
distance est inclus Sous l'onglet partir, et Par dfaut, les ordinateurs de gestion distance vide
Est et devrez vous le Remplir.
Je clique sur From pour ajoute la station qui va pouvoir effectuer un Ping sur mon serveur.

Je clique sur add

Je vais dans ADD pour ajouter une station.

On voit bien que jai ajout ma station ici (PC1) avec le sous-rseau 192.168.108.0

Aprs cette opration on fait appliquer pour que la configuration quon a effectue soit prs en
compte.

Je clique ici sur le icne entour en rouge pour voir toutes les rgles et notamment la rgles
dactivation de Ping que jai effectue auparavant

La suite page suivante.

On peut voir ici que la rgle pour activ le Ping est bien activ.

La premire configuration termin je vais vous montrez ds prsent la mise en ouvre un NAT
avec ISA server 2006 La suite se droule page suivante.
Tout dabord je vais vous prsenter le NAT :

Le principe du NAT consiste donc utiliser une passerelle de connexion internet, possdant au
moins une interface rseau connecte sur le rseau interne et au moins une interface rseau
connecte Internet (possdant une adresse IP routable), pour connecter
connecter l'ensemble des machines
du rseau.

Voici un schma du NAT dans mon projet :

Il s'agit de raliser, au niveau de la passerelle, une translation (littralement une traduction ) des
paquets provenant du rseau interne vers le rseau externe.

Ainsi, chaque machine du rseau ncessitant d'accder internet est configure pour utiliser la
passerelle NAT (en prcisant l'adresse IP de la passerelle dans le champ Gateway de ses
paramtres TCP/IP). Lorsqu'une machine du rseau effectue une requte
requte vers Internet, la passerelle
effectue la requte sa place, reoit la rponse, puis la transmet la machine ayant fait la demande.

Pour configurer cela il suffit de faire la manipulation suivante :

Pour configurer cela il suffit de faire la manipulation suivante :

On va dans (Networks) et aprs on clique sur (Templates)

on va sur EDGE FIREWALL.

Aprs avoir choisi loption Edge Firewall on va voir apparaitre cette fentre :

On clique sur suivant.

On clique encor sur suivant :

Et aprs dans (ADD Adapter) on rentre la plage de notre adresse IP (cot INTERNE)

On clique sur suivant.

Ensuite on choisi loption (allow unrestricted Access)
Cest dire (autoriser l'accs sans restriction)

Ensuite :

On voit bien la plage de mon rseau (interne) donc pour finir

On clique sur termin
Une fois termin on applique la configuration :

Pour vrifier que notre NAT fonctionne, on va sur un client qui est relier bien sur a la 2eme
interface de Isa server 2006 cot (interne) et on va essayer daller sur le net et de faire un
ping de www.google.fr
Avant de faire cela il faut rentrer la configuration IP suivante sur le client :

IP : 192.168.108.1
Mask : 255.255.255.0
Gateway: 192.168.108.254

Pour le DNS vu quon na pas encor effectu la publication DNS,

NS, je suis oblig de mettre le DNS du FAI

DNS : 86.64.145.146

Une fois ces paramtres entrs dans le client on va pourvoir tester notre NAT, en ouvrant
une fentre MS-DOS
DOS et on fessant un Ping de www.google.fr comme ce ci :

On voit bien quil ya une rponse du site de Google.

Conclusion : notre NAT fonctionne parfaitement

Pour le champ TTL :

La dure de vie : du paquet (TTL, Time To Live).
). Le champ de dure de vie (TTL) permet de connatre
le nombre de routeurs traverss par le paquet lors de l'change entre les deux machines. Chaque
paquet IP possde un champ TTL positionn une valeur relativement grande. A chaque passage
d'un routeur, le champ est dcrment. S'il arrive que le champ arrive zro, le routeur interprtera
que le paquet tourne en boucle et le dtruira.
Aprs avoir configurer le NAT, on va soccuper de la publication DNS de manire a ce quon
mettent notre serveur DNS quici est (192.168.156.108)
Pour cela on va procder de la faon suivante :

Je commence par la Configuration sur le serveur DNS :

1) : Cliquez sur Dmarrer .pointez sur Outils dadministration, puis cliquez sur DNS

2) : cliquez-droit sur DNS-SRV (Server Name), o nom serveur est le nom du serveur, puis cliquez sur
l'onglet Redirecteurs

Rendez-vous ge suivante :
3) : Cliquez sur un nom de domaine DNS Dans la liste de domaine DNS. Ou, cliquez sur Nouveau,
tapez le nom du domaine DNS pour lequel vous voulez rediriger les requtes dans la zone Domaine
DNS,

Puis cliquez sur OK.

4) : Dans la bote IP du domaine slectionn l'adresse expditeur, tapez l'adresse IP du premier

serveur DNS vers lequel vous souhaitez transfrer, puis cliquez sur Ajouter. (Ici on rajoute notre
serveur DNS)(192.168.156.108)

5) : Rptez l'tape 4 pour ajouter les serveurs DNS vers lequel vous souhaitez transfrer,
habituellement, vous pouvez avoir deux FAI du serveur DNS,

Cliquez sur OK

La dernire chose que vous devez faire sur votre serveur DNS est de la dfinir comme un client Nat
scuris, cela se fait en dfinissant sa passerelle par dfaut ISA Server IP interne.

C'est tout ce que vous avez faire sur votre serveur DNS interne, maintenant on va voir ce que
nous devons faire avec ISA Server.

La suite, page suivante :

Configuration ISA Server 2006 :

1) Ouvrez ISA Management Console

2) Crez une nouvelle rgle d'accs, un clic droit sur Firewall Policy, puis cliquez sur Nouveau puis
choisissez rgle d'accs.

3) L'Assistant Nouvelle rgle d'accs seront lancs, donner un nom votre nouvelle rgle, dans cet
exemple nous allons mettre le nom (publication DNS seyf Allah).

Suite page suivante.

4) Dans la page Action de la rgle, cliquez sur Autoriser, puis cliquez sur Suivant
5) Dans la page de protocoles, partir de la liste droulante slectionnez Protocoles slectionns :

Ensuite cliquez sur le bouton ajouter.et choisissez le protocole DNS.

Le protocole slectionn sera affich dans la page Protocoles, cliquez sur Suivant

6) Sur la page Sources de rgle d'accs, cliquez sur le bouton Ajouter. Ensuite cliquez sur nouveau
et ajouter un ordinateur

On a cette page qui souvre .on rentre le nom de lordinateur suivi de notre DNS
(192.168.156.108)
 On clique sur ok.

7) Cliquez sur le dossier Ordinateurs. Double-cliquez sur le DNS-SRV, puis cliquez sur le bouton
Fermer dans la zone Ajouter des entits rseau bote de dialogue. Click Next in the Access Rule
Sources dialog box. Cliquez sur Suivant dans les sources de rgle d'accs la bote de dialogue.

Une fois quon a cliqu sur NEXT on va avoir la fentre suivante :

8) Donc ici on clique sur ADD (ajouter) et on slectionne le rseau (External)=externe
On ferme la fentre et on clique sur Next.

9) Sur la page suivante on laisse par dfaut (tous les utilisateurs.)

Et on clique sur Next.

On vrifie nos paramtres et on clique sur termin

 Aprs cela on applique la configuration :

Voici ma rgle (DNS)

Une fois la rgle cr il faut maintenant crer une rgle pour permettre aux
utilisateurs de surfer sur internet, commencer crer une nouvelle rgle d'accs
comme prcdemment

1) clique droit sur Firewall Policy, puis cliquez sur Nouveau puis cliquez sur Rgle d'accs

2) Nommez cette rgle allow internet puis cliquez sur suivant

3) Dans la page Action de la rgle, cliquez sur Autoriser, puis cliquez sur Suivant

4) Dans la page des protocoles slectionner les protocoles suivant :

HTTP, HTTPS, POP3 et SMTP. Cliquez sur Ajouter dans chaque Protocol. Le protocole de
votre choix et une fois que vous ajout ces Protocoles Cliquez sur Fermer.
Puis cliquez sur Suivant (regardez limage que jai pris pour mieux expliquer.)
5) Sur cette page de rgle daccs Dans la page Ajouter des entits rseau bote de dialogue,
cliquez sur le dossier Networks. Double-cliquez sur le rseau internal, puis cliquez sur le bouton
Fermer dans la zone Ajouter des entits rseau bote et cliquez sur suivant.

6) Sur cette page de rgle daccs Dans la page Ajouter des entits rseau bote de dialogue,
cliquez sur le dossier Networks. Double-cliquez sur le rseau external, puis cliquez sur le bouton
Fermer dans la zone Ajouter des entits rseau bote et cliquez sur suivant.
7) Sur la page Ensembles d'utilisateurs, acceptez le paramtre par dfaut de tous les utilisateurs.

8) Vrifiez vos paramtres et cliquez sur Terminer dans la fentre Fin de l'Assistant Accs la page
Nouvelle rgle.

9) Voici ma rgle maintenant pour permettre aux utilisateurs daccder internet.

10) Aprs cela on applique la configuration.

Cliquez sur le bouton Appliquer pour enregistrer les modifications et actualiser la politique de
pare-feu.

Voila la publication DNS est fini, maintenant le client pourra aller sur internet sans quil et besoin de
mettre le DNS du FAI, il faudra quil mette le DNS du serveur qui se trouve dans son rseau cest a
dire ici dans le rseau de table -8 le DNS suivant : 192.168.156.108

Dans cet article, je vous ais appris configurer votre serveur DNS interne de transmettre la
demande des serveurs DNS de votre FAI, et galement appris crer la rgle ncessaire pour
permettre ISA afin de permettre la communication entre le DNS interne et le DNS FAI.