Comme chaque année, je serais présent sur cet événement. Cette année, j’aurais le plaisir intervenir dans les sessions suivantes :
- Tour d’horizon des solutions serveurs pour TPE-PME en co-animation avec Julie Desoeuvres (chef de produit Windows Server)
- Migration d’un environnement existant dans Small Business Server 2008
- Forefront pour la sécurité de votre PME
Inscriptions et informations complémentaires : http://www.microsoft.com/france/mstechdays/
Si vous souhaitez installer simplement le service pack 2 d’Exchange 2007 sur votre serveur SBS 2008, voici un outil qui va vous faciliter la tâche (sans avoir à créer une clé dans la base de registre, à arrêter/redémarrer les services “Forefront Security pour Exchange” et reparamétrer les services Web de SBS …. ).
Pour installer les services Pack 2 pour Exchange 2007 dans SBS 2008, procédez comme ceci :
- Faite une sauvegarde complète de votre serveur SBS 2008
- Téléchargez les services Pack 2 d’Exchange 2007 ici et extraire les fichier dans un dossier
- Téléchargez l'outil d'installation de Microsoft Exchange Server 2007 SP2 ici
- Lancez l’outil et suivez les instructions simplement
Avant d’avoir cette fenêtre , si vous avez Forefront Security for Exchange, ce dernier sera désactivé automatiquement afin de pouvoir installer les SP2 d’Exchange 2007. Les les paramètres des Services Web SBS seront sauvegardés. (site Remote, site Exchange …)
Attention ! pendant l’installation des SP2 d’Exchange, les services Web de SBS sont arrêtés (site remote par exemple) . Donc si vous le faite à distance via les services (TS Gateway) votre connexion sera coupée. Si vous souhaitez le faire à distance faite le plutôt en RDP ou VPN (PPTP).
Une fois le service Pack2 installé, Forefront Security for Exchange sera réactivé et les paramètres des Services Web SBS seront restaurés.
Nous serons présent à Carcassonne le Jeudi 28 janvier 2010 à l’hotel Mercure Porte de la cité , 18 rue Camille Saint-Saens.
Au programme: Présentation de Windows Server® 2008 R2, Innovations techniques dans Windows Server® 2008 R2 et scénarii de ventes associées, Installation, déploiement et migration ….
Bien évidemment nous parlerons des solutions serveurs (Windows 2008 R2 Foundation, Small Business Server et Essential Business Server).
Inscription ici
Bonne année !
Finalisation du paramétrage du serveur TMG
Après avoir paramétré tout ce qui concerne la publication (Reverse Proxy):
- les ports d’écoute (TCP 443, TCP 987)
- la règle de publication SMTP pour le serveur Exchange
- les règles de publication des sites Exchange (OWA, Outlook Anywhere/TS Gateway, ActiveSync)
- la règle de publication site « Poste de Travail Web à Distance » /remote
- la règle de publication site Sharepoint « CompanyWeb »
Il restera à paramétrer les règles d’accès pour le Serveur SBS et les règles d’accès pour les Utilisateurs.
1. Les règles d’accès pour le Serveur SBS
Il faut créer deux règles d’accés. Une pour la sortie du serveur SBS vers Internet (HTTPS,SMPT,DNS,NTP/UDP) et la deuxième pour la connexion entre le serveur TMG et le serveur SBS pour toute la partie WSUS c’est à dire la mise à jour du server TMG via le server wsus installé sur le serveur SBS)
Le plus simple:
- c’est de créer un objet réseau “ordinateur” (notre serveur SBS)
- c’est de créer un nouveau protocole “SBS WSUS” TCP 8530 (en sortie). Il n’existe pas de base dans TMG 2010 !
Et de créer les deux règles d’accès .
La première règle pour la sortie du serveur SBS vers Internet
La deuxième règle pour la connexion entre le serveur TMG et le serveur SBS pour toute la partie WSUS
2. Les règles d’accès pour les utilisateurs
Si vous avez suivi par défaut les assistants d’installation du serveur TMG, une règle d’accés est créée par défaut dans les stratégies Web.
C’est à dire l’autorisation des flux HTTP/HTTPS du réseau “Interne” vers le réseau “Externe” pour tous les utilisateurs. Cela vaut peut-être le coup de re-paramétrer cette règle en changeant “Tous les utilisateurs” par “Tous les utilisateurs authentifiés”
De la même manière si vous avez suivi les assistants d’installation du serveur TMG, un assistant nous a aidé à créer une stratégie d’accès Web avec un filtrage d’URL .
Pour finir, il restera à passer sur tous les clients du réseau SBS pour paramétrer soit les Navigateurs ou soit installer le client TMG (uniquement dans un environnement Microsoft).
Pour les navigateurs :
C’est ce que l’on appele le client “proxy web” mais c’est uniquement pour les protocoles http/https. Il suffit de renter le nom du serveur TMG et mettre le port 8080 dans les paramètres de connexion de vos navigateurs.
Pour les navigateurs Microsoft cela peut être fait par stratégie.
Pour le client TMG:
Il se trouve sur le server TMG –> \Microsoft Forefront TMG\client\MS_FWC.msi. Cela peut être aussi déployé par stratégie.
En résumé, si vos clients n’ont besoin que des protocoles HTTP/HTTPS donc pas besoin d’installer le client TMG!
Règle de publication du site Windows SharePoint Services “CompanyWeb”
SBS 2008 a un site web Intranet “CompanyWeb” pré-packagé fonctionnant sous Windows SharePoint Services v.3 et répondant sur le port TCP 987. Pour publier le site SharePoint, TMG 2010 a un assistant de publication de site SharePoint.
On selectionne le port d’écoute CompanyWeb (TCP 987)
Une fois l’ assistant terminé, il faut revenir dessus pour le paramétrage du pontage. Par défaut l’assistant de publication paramètre la connexion entre le serveur TMG et le serveur SBS (WSS) en HTTPs sur le port TCP 443.
Règle de publication d’ Exchange pour “OutlookAnyWhere” et du “Poste de Travail Web à Distance”
Pour faire simple: OutlookAnywhere est une fonctionnalité qui permet de connecter à distance un client Outlook au serveur Exchange (SBS) sans avoir à ouvrir un tunnel VPN en encapsulant les flux RPC dans l’HTTPs (TCP 443).
De la même manière, les clients Terminal Server (RDP 6.1 minimun ) peuvent se connecter à une application via “TS Gateway” en encapsulant les flux RDP dans du RPC/HTTPS. C’est sur cette technologie que s’appuie le “Poste de Travail Web à distance” dans SBS.
Comme on peut le voir ci dessus la même règle de publication s’appliquera pour les clients “OutlookAnywhere” et ceux de “Terminal Serveur/Ts Gateway”. (Merci à Eric Detoc et à Stanislas Quastana).
A la fin de cet assistant, les sites /rpc/* ; /OAB/* ; /ews/* ; AutoDiscover/* et /unifiedmessaging/*; seront publiés.
Règle de publication d’ Exchange pour ActiveSync
Cette règle va nous servir à publier les services d’Exchange “ActiveSync” facilement . A la fin de cet assistant vous pourrez recevoir vos Mails, vos Contacts, vos Agendas, vos Tâches sur vos SmartPhones (WIndowsPhone, Windows Mobile 6.0 et 6.1 et Iphone). Enfin le site Web d’ Exchange “/Microsoft-Server-ActiveSync/*” sera publié.
Pour tester tout cela, pas besoin de smartphone :-). Je vous invite à télécharger gratuitement “Windows Mobile 6.5 Developer Tool Kit” et de choisir le “Windows Mobile 6.5 Professional Developer Tool Kit (FRA).msi”. C’est un émulateur Windows Phone !
Ce qui est bien avec cet émulateur, c'est qu'on peut l’attacher à une carte réseau du PC de manière à pouvoir faire des tests de connexions ... Pour cette fonctionnalité il faudra installer VirtualPC 2007 sur le PC. On peut même partager un repertoire du PC, il sera vu comme une “storage card” dans Windows Phone.
Règle de publication d’ Exchange pour Outlook Web Accès (OWA)
Pour publier (Reverse Proxy) le service OWA d’ Exchange, c’est très simple, il y a un assistant pour le faire :-) . Les sites /public/*;/OWA/*;Exchweb/*;Exchange/* seront publiés automatiquement.
Règle de publication d’ Exchange pour le protocole SMPT
Pour publier (Reverse Proxy) le service SMPT du serveur SBS (Exchange) , c’est tres simple, il y a un assistant pour le faire.
Comme on peut le voir ci dessus, la règle de publication ressemble à du “Port Forwading” entre la carte externe du serveur TMG et la carte du serveur SBS. Seulement les flux SMPT entrants sont protégés par le filtre applicatif du serveur TMG .
Pour toute la partie filtrage de mails, réputation, spams, pièces jointes, elle est gérée par le couple "Exchange/ForeFront pour Exchange" installé sur le serveur SBS .
Parmi les nouvelles fonctionnalités ajoutés dans TMG 2010, une permet d' installer le role “Edge” d’Exchange et Forefront Protection 2010 pour Exchange Server (FPES) sur le sreveur TMG 2010 avec des assistants pour le paramétrer simplement. Malheureusement elle ne peut pas être déployée dans un environement SBS 2008 !
Création de la règle de publication du site “Poste de travail Web à distance”
Dans cet assistant nous allons publier (Reverse Proxy) le site remote.
La connexion entre le serveur TMG et le serveur SBS se fera en HTTPS
Il est important que le serveur TMG puisse résoudre le nom “remote.ma-tpe.biz” sur l’adresse TCP/IP 192.168.1.2
On fixe le chemin du site web “remote” ne pas oublier /*
Le serveur TMG répondra uniquement aux requêtes “https://remote.ma-tpe.biz/remote”
On récupère le port d’écoute SBS initialement créé.
Ici c’est la partie délégation d’ authentification entre le serveur TMG et le server SBS
Ici c’est la partie authentification des utilistateurs par rapport à la règle de publication
Création des deux ports d’écoute (Port d’écoute SBS, Port d’écoute CompanyWeb)
C’est ces deux composants qui gèrent la pré-authentification et les connexions sécurisées entre clients externes (Internet) et la carte réseau externe du serveur TMG.
Le port d’écoute SBS servira à la publication des sites « Poste de travail web à distance » et tous les Site d’Exchange. (OWA, ActiveSync, OutlookAnywhere)
Dans la barre d’action (à droite) –> Objets de réseau –> Port d’écoute Web-> Clic droit -> nouveau Port d’écoute Web
Les Connexion externes entre le port d’écoute et le postes seront uniquement en HTTPS
On selection le réseau ou le port d’écoute sera installé
On selectionne le certificat Web de SBS que l’on a importé
On définit comment on va présenter nos credentials et la méthode d’authentification
Le port d’écoute CompanyWeb servira à la publication du site SharePoint “CompanyWeb”
Dans la barre d’action (à droite) –> Objets de réseau –> Port d’écoute Web-> Clic droit -> nouveau Port d’écoute Web
Une fois le port d’écoute CompanyWeb créé, il faudra revenir dessus pour le paramétrage du numéro de port TCP. En effet l’assistant du « Port d’écoute Web » se paramètre sur le port TCP 443 par défaut et le site Sharepoint « CompanyWeb » répond sur le port TCP 987.
-> Clic droit sur l’objet Réseau « port d'écoute companyweb » –> Propriétés
L’installation de Threat Management Gateway 2010
L’installation de Threat Management Gateway 2010 Standard est rapide et simple elle s’effectue en quatre étapes .
- « Configurer les paramètres réseau », c’est le paramétrage des cartes réseau plus le paramétrage des différents réseaux (Interne/Externe/NAT).
C’est ici que l’on définit les réseaux ( Interne et Externe )
- « Configurer les paramètres système » c’est le paramétrage d’indentification du server TMG avec “l’Active Directory”
- « Définir des options de déploiement » c’est l’activation de NIS (Network Inspection System) et l’activation de la protection Web (filtrage des URL et l’antivirus http).
- « Assistant stratégie d’accès Web » pour :
- l’ accès au Web
- Filtrage d’URL
- Paramétrage du “NIS”
- Paramétrage de l’inspection HTTPS sur le LAN
- le cache
Exporter le certificat Web du serveur SBS et l’importer sur le serveur TMG
Afin de sécuriser les accès web entre le serveur TMG et les postes externes (Internet) il faut exporter le Certificat Web du serveur SBS et l’importer sur le serveur TMG. (nous aurons besoins de ce certificat pour les ports d’écoute dans TMG)
Pour exporter le certificat Web du serveur SBS, ouvrir une console MMC sur le serveur SBS :
Run->MMC -> ajoutez/supprimez un composant de logiciel enfichable -> certificats -> ajoutez -> « le compte de l’ordinateur » (ici c’est un certificat acheté au près d’une autorité tiers)
Pour l’importer sur le serveur TMG :
Run->MMC -> ajoutez/supprimez un composant de logiciel enfichable -> certificats -> ajoutez -> « le compte de l’ordinateur »
Pour les nostalgiques de SBS 2003 Premium J (c’est à dire avec ISA Server 2004), voici une bonne nouvelle ! TMG est maintenant disponible en version d’évaluation en français et sera disponible en version commerciale début Janvier. Pour plus d’informations : http://blogs.technet.com/stanislas/archive/2009/12/14/la-version-fran-aise-de-forefront-tmg-est-disponible-en-version-d-valuation-en-t-l-chargement.aspx
http://blogs.technet.com/stanislas/archive/2009/09/22/vue-d-ensemble-de-forefront-tmg-en-moins-de-12-minutes.aspx
http://blogs.technet.com/stanislas/archive/2009/06/26/filtrage-d-urls-dans-forefront-tmg-beta-3-partie-1-vue-d-ensemble.aspx
Pourquoi ne pas acheter dès à présent un deuxième serveur, par exemple, un Windows Server 2008 R2 Foundation avec 4 Go de mémoire (si votre Active Directory à moins de 15 utilisateurs) et d’y installer TMG 2010 pour avoir une solution de filtrage d'URL, recherche de programmes malveillants, prévention des intrusions, pare-feu au niveau des couches Application et Réseau, inspection HTTP/HTTPS, etc. … Cela fonctionnerait aussi sur Windows 2008 x64 ou Windows 2008 R2 J….
Le PDG de la TPE/PME est responsable de sa connexion Internet !
Voici une méthode simple pour le mettre en œuvre dans votre environnement SBS 2008 :
- Paramétrage TCP/IP et faire rejoindre le server TMG au domaine SBS (ma-tpe.local)
- Exporter le certificat Web du serveur SBS et l’importer sur le serveur TMG
- Installation du Server TMG
- Paramétrage du Server TMG
· Configurer les paramètres réseau
· Configurer les paramètres système
· Définir des options de déploiement
· Assistant stratégie d’accès Web
· Création de ports d’écoute (TCP 443, TCP 987)
· Création de la règle de publication SMTP pour le serveur Exchange
· Création des règles de publication des sites Exchange (OWA, Outlook Anywhere, ActiveSync)
· Création de la règle de publication site « Poste de Travail Web à Distance » /remote
· Création de la règle de publication site Sharepoint « CompanyWeb »
· Création des règles d’accès pour le Serveur SBS
· Création des règles d’accès pour les Utilisateurs
SBS 2008 a une architecture très simple avec une carte réseau connectée à un routeur (NAT)/Pare feu.e
Les deux premiers assistants doivent être effectués :
- Gestion du réseau interne (DHCP, DNS, Routage Internet)
- Gestion du paramétrage Internet (Domaine DNS Public, Connecteur Exchange, site Remote, Certificat Web etc ..)
Une fois le serveur Windows 2008 R2 Foundation installé avec deux cartes réseau, il faut redéfinir l’adresse TCP/IP du routeur et re paramétrer toute la partie Port Forwarding (TCP 443, TCP 25, TCP 987, TCP 1723) redirigé sur l’adresse externe du serveur TMG (192.168.0.2).
IP carte Externe :
IP : 192.168.0.2
Gwt : 192.168.0.1
DNS : DNS1 de mon ISP
DNS2 de mon ISP
IP Carte Interne :
IP : 192.168.1.1
DNS : 192.168.1.2 (le serveur SBS)
Important le serveur TMG doit pouvoir résoudre « remote.ma-tpe.biz » sur l’adresse 192.168.1.2 du serveur SBS.
Le plus simple allez dans le fichier Host (c:\windows\system32\drivers\etc\host)
192.168.1.2 remote.ma-tpe.biz
Domaine Public :
Enr. ->A : remote.ma-tpe.biz X.X.X.X (mon ip public)
Enr. -> MX : remote.ma-tpe.biz 10
Enr. -> TXT : v=spf1 a mx ~all (j’envoie mes mails à l’aide d’un relay SMTP de mon provider)
Enr -> SRV : _autodiscover._tcp IN SRV 0 0 443 remote.ma-tpe.biz.
Avant d’installer TMG, il faut joindre le serveur TMG au domaine SBS pour avoir l’authentification des utilisateurs (Active directory) pour l’accès à Internet.
Des Hands-On-Labs Small Business Server 2008 sont maintenant disponibles sur Microsoft Connect.
Il suffit de se connecter sur Microsoft Connect ici avec ce code d’invitation “SBSP-62B6-K3TH”.
Il y en a quatre :
- Windows SBS 2008 Installation
- Windows SBS 2008 Migration from SBS2003
- Windows SBS 2008 Working with Clients
- Windows SBS 2008 Admin Console
Bon tests !
