Welcome to TechNet Blogs Sign in | Join | Help

News

  • Ce qui est écrit ici est donné "TEL QUEL" et ne confère aucun droit.
Techdays 2010 (8,9 et 10 février au Palais des Congrès de Paris)

Comme chaque année, je serais présent sur cet événement. Cette année, j’aurais le plaisir intervenir dans les sessions suivantes :

  • Tour d’horizon des solutions serveurs pour TPE-PME en co-animation avec Julie Desoeuvres (chef de produit Windows Server)
  • Migration d’un environnement existant dans Small Business Server 2008
  • Forefront pour la sécurité de votre PME

Inscriptions et informations complémentaires : http://www.microsoft.com/france/mstechdays/

Outil d'installation du Service Pack 2 d' Exchange Server 2007 pour Windows SBS 2008

Si vous souhaitez installer simplement le service pack 2 d’Exchange 2007 sur votre serveur SBS 2008, voici un outil qui va vous faciliter la tâche (sans avoir à créer une clé dans la base de registre, à arrêter/redémarrer les services “Forefront Security pour Exchange” et reparamétrer les services Web de SBS …. ).

Pour installer les services Pack 2 pour Exchange 2007 dans SBS 2008, procédez comme ceci :

  • Faite une sauvegarde complète de votre serveur SBS 2008
  • Téléchargez les services Pack 2 d’Exchange 2007 ici et extraire les fichier dans un dossier
  • Téléchargez l'outil d'installation de Microsoft Exchange Server 2007 SP2 ici
  • Lancez l’outil et suivez les instructions simplement

Avant d’avoir cette fenêtre , si vous avez Forefront Security for Exchange, ce dernier sera désactivé automatiquement afin de pouvoir installer les SP2 d’Exchange 2007. Les les paramètres des Services Web SBS seront sauvegardés. (site Remote,  site Exchange …)2

 6

Attention ! pendant l’installation des SP2 d’Exchange, les services Web de SBS sont arrêtés (site remote par exemple) . Donc si vous le faite à distance via les services (TS Gateway) votre connexion sera coupée. Si vous souhaitez le faire à distance faite le plutôt en RDP ou VPN (PPTP).

 7

Une fois le service Pack2 installé, Forefront Security for Exchange sera réactivé et les paramètres des Services Web SBS seront restaurés.

Petit Déjeuner Technique : Tour d'horizon des nouveautés de Windows Server® 2008 R2

Nous serons présent à Carcassonne le Jeudi 28 janvier 2010 à l’hotel Mercure Porte de la cité , 18 rue Camille Saint-Saens.

Au programme:                                                                                                 Présentation de Windows Server® 2008 R2, Innovations techniques dans Windows Server® 2008 R2 et scénarii de ventes associées, Installation, déploiement et migration ….

Bien évidemment nous parlerons des solutions serveurs (Windows 2008 R2 Foundation, Small Business Server et Essential Business Server).

Inscription ici

Bonne année !

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 11)

Finalisation du paramétrage du serveur TMG

Après avoir paramétré tout ce qui concerne la publication (Reverse Proxy):

  • les  ports d’écoute (TCP 443, TCP 987)
  • la règle de publication SMTP pour le serveur Exchange
  • les règles de publication des sites Exchange (OWA, Outlook Anywhere/TS Gateway, ActiveSync)
  • la règle de publication site « Poste de Travail Web à Distance » /remote
  • la règle de publication site Sharepoint « CompanyWeb »

Il restera à paramétrer les règles d’accès pour le Serveur SBS et les règles d’accès pour les Utilisateurs.

1.      Les règles d’accès pour le Serveur SBS

Il faut créer deux règles d’accés. Une pour la sortie du serveur SBS vers Internet  (HTTPS,SMPT,DNS,NTP/UDP) et la deuxième pour la connexion entre le serveur TMG et le serveur SBS pour toute la partie WSUS c’est à dire la mise à jour du server TMG via le server wsus installé sur le serveur SBS)

Le plus simple:

- c’est de créer un objet réseau “ordinateur” (notre serveur SBS)

image image

- c’est de créer un nouveau protocole “SBS WSUS” TCP 8530 (en sortie). Il n’existe pas de base dans TMG 2010 !

image image

 

Et de créer les deux règles d’accès .

La première règle pour la sortie du serveur SBS vers Internet

image  

image

 

image

image

image

image

image

image

La deuxième règle pour la connexion entre le serveur TMG et le serveur SBS pour toute la partie WSUS

 

 

 

 

 

image 

image   

image

image

image

image

image

image

2.     Les règles d’accès pour les utilisateurs

Si vous avez suivi par défaut les assistants d’installation du serveur TMG, une règle d’accés est créée par défaut dans les stratégies Web.

image

C’est à dire l’autorisation des flux HTTP/HTTPS du réseau “Interne” vers le réseau “Externe” pour tous les utilisateurs. Cela vaut peut-être le coup de re-paramétrer cette règle en changeant “Tous les utilisateurs” par “Tous les utilisateurs authentifiés” 

image

De la même manière si vous avez suivi les assistants d’installation du serveur TMG, un assistant nous a aidé à créer une stratégie d’accès Web avec un filtrage d’URL .

image

 

 

 

 

Pour finir, il restera à passer sur tous les clients du réseau SBS pour paramétrer soit les Navigateurs ou soit installer le client TMG (uniquement dans un environnement Microsoft).

Pour les navigateurs :                                                                       

C’est ce que l’on appele le client “proxy web” mais c’est uniquement pour les protocoles http/https. Il suffit de renter le nom du serveur TMG et mettre le port 8080 dans les paramètres de connexion de vos navigateurs.

image

Pour les navigateurs Microsoft cela peut être fait par stratégie.

Pour le client TMG:

Il se trouve sur le server TMG –> \Microsoft Forefront TMG\client\MS_FWC.msi. Cela peut être aussi déployé par stratégie.

En résumé, si vos clients n’ont besoin que des protocoles HTTP/HTTPS donc pas besoin d’installer le client TMG!

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 10)

Règle de publication du site Windows SharePoint Services “CompanyWeb”

SBS 2008 a un site web Intranet “CompanyWeb” pré-packagé fonctionnant sous Windows SharePoint Services v.3 et répondant sur le port TCP 987. Pour publier le site SharePoint, TMG 2010  a un assistant de publication de site SharePoint.

image

image

image

image

image

image

image 

On selectionne le port d’écoute CompanyWeb (TCP 987)

image

image

image

image

Une fois l’ assistant terminé, il faut revenir dessus pour le paramétrage du pontage. Par défaut l’assistant de publication paramètre la connexion entre le serveur TMG et le serveur SBS (WSS) en HTTPs sur le port TCP 443.

image

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 9)

Règle de publication d’ Exchange pour “OutlookAnyWhere” et du “Poste de Travail Web à Distance”

Pour faire simple: OutlookAnywhere est une fonctionnalité qui permet de connecter à distance un client Outlook au serveur Exchange (SBS) sans avoir à ouvrir un tunnel VPN en encapsulant les flux RPC dans l’HTTPs (TCP 443).

De la même manière, les clients Terminal Server (RDP 6.1 minimun ) peuvent se connecter à une application via “TS Gateway”  en encapsulant les flux RDP dans du RPC/HTTPS. C’est sur cette technologie que s’appuie le “Poste de Travail Web à distance” dans SBS.

rpc-https

Comme on peut le voir ci dessus  la même règle de publication s’appliquera pour les clients “OutlookAnywhere” et ceux de “Terminal Serveur/Ts Gateway”. (Merci à Eric Detoc et à Stanislas Quastana).

A la fin de cet assistant, les sites  /rpc/* ;  /OAB/* ;  /ews/* ; AutoDiscover/* et /unifiedmessaging/*; seront publiés.

image

image

image

image

image

image

image

image

image

image

image

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 8)

Règle de publication d’ Exchange pour ActiveSync

Cette règle va nous servir à publier les services d’Exchange “ActiveSync” facilement . A la fin de cet assistant vous pourrez recevoir vos Mails, vos Contacts, vos Agendas, vos  Tâches sur vos SmartPhones (WIndowsPhone, Windows Mobile 6.0 et 6.1 et Iphone). Enfin le site Web d’ Exchange    “/Microsoft-Server-ActiveSync/*” sera publié.

image

image

image

image

image

image

image

image

image

image

image

Pour tester tout cela, pas besoin de smartphone :-). Je vous invite à télécharger gratuitement “Windows Mobile 6.5 Developer Tool Kit” et de choisir le “Windows Mobile 6.5 Professional Developer Tool Kit (FRA).msi”. C’est un émulateur Windows Phone !

Ce qui est bien avec cet émulateur, c'est qu'on peut  l’attacher à une carte réseau du PC de manière à pouvoir faire des tests de connexions ... Pour cette fonctionnalité il faudra installer VirtualPC 2007 sur le PC. On peut même partager un repertoire du PC,  il sera vu comme une “storage card” dans Windows Phone.

windowsPhone

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 7)

Règle de publication d’ Exchange pour Outlook Web Accès (OWA)

Pour publier (Reverse Proxy) le service OWA d’ Exchange, c’est très simple, il y a un assistant pour le faire :-) . Les sites /public/*;/OWA/*;Exchweb/*;Exchange/* seront publiés automatiquement.

image

image

image

image

image

image

image

image

image

image

image

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 6)

Règle de publication d’ Exchange pour le protocole SMPT

Pour publier (Reverse Proxy) le service SMPT du serveur SBS (Exchange)  , c’est tres simple, il y a un assistant pour le faire.

image

image

image

image

image

image

image 

 

image

 

Comme on peut le voir ci dessus, la règle de publication ressemble à du “Port Forwading” entre la carte externe du serveur TMG et la carte du serveur SBS. Seulement les flux SMPT entrants sont protégés par le filtre applicatif du serveur TMG .

image

Pour toute la partie filtrage de mails, réputation, spams, pièces jointes, elle est gérée par le couple "Exchange/ForeFront pour Exchange" installé sur le serveur SBS .

Parmi les nouvelles fonctionnalités ajoutés dans TMG 2010, une permet d' installer le role “Edge” d’Exchange et Forefront Protection 2010 pour Exchange Server (FPES) sur le sreveur TMG 2010 avec des assistants pour le paramétrer simplement. Malheureusement elle ne peut pas être déployée dans un environement SBS 2008 !

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 5)

Création de la règle de publication du site “Poste de travail Web à distance”

Dans cet assistant nous allons publier (Reverse Proxy) le site remote.

image

image

image

image

 

 

 

image

La connexion entre le serveur TMG et le serveur SBS se fera en HTTPS

image

Il est important que le serveur TMG puisse résoudre le nom “remote.ma-tpe.biz” sur l’adresse TCP/IP 192.168.1.2

image

On fixe le chemin du site web “remote” ne pas oublier /*

image

Le serveur TMG répondra uniquement aux requêtes “https://remote.ma-tpe.biz/remote”

image

On récupère le port d’écoute SBS initialement créé.

image

Ici c’est la partie délégation d’ authentification entre le serveur TMG et le server SBS

image

Ici c’est la partie authentification des utilistateurs par rapport à la règle de publication

image

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 4)

Création des deux ports d’écoute (Port d’écoute SBS, Port d’écoute CompanyWeb)

C’est ces deux composants qui gèrent la pré-authentification et les connexions sécurisées entre clients externes (Internet) et la carte réseau externe du serveur TMG.

Le port d’écoute SBS servira à la publication des sites « Poste de travail web à distance » et tous les Site d’Exchange. (OWA, ActiveSync, OutlookAnywhere)

 

Dans la barre d’action (à droite) –> Objets de réseau –> Port d’écoute Web-> Clic droit -> nouveau Port d’écoute Web

image

image

Les Connexion externes entre le port d’écoute et le postes seront uniquement en HTTPS

image

On selection le réseau ou le port d’écoute sera installé

image

image

On selectionne le certificat Web de SBS que l’on a importé

image

image

On définit comment on va présenter nos credentials et la méthode d’authentification

image

Le port d’écoute CompanyWeb servira à la publication du site SharePoint “CompanyWeb”

 

Dans la barre d’action (à droite) –> Objets de réseau –> Port d’écoute Web-> Clic droit -> nouveau Port d’écoute Web

image

image

image

image

image

image

Une fois le port d’écoute CompanyWeb créé, il faudra revenir dessus pour le paramétrage du numéro de port TCP. En effet l’assistant du « Port d’écoute Web » se paramètre sur le port TCP 443 par défaut et le site Sharepoint « CompanyWeb » répond sur le port TCP 987.

-> Clic droit sur l’objet Réseau « port d'écoute companyweb » –> Propriétés

image

image

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 3)

L’installation de Threat Management Gateway 2010

L’installation de Threat Management Gateway 2010 Standard est rapide et simple elle s’effectue en quatre étapes .

4

  • « Configurer les paramètres réseau », c’est le paramétrage des cartes réseau plus le paramétrage des différents réseaux (Interne/Externe/NAT).

image

image

C’est ici que l’on définit les réseaux ( Interne et Externe )

  • « Configurer les paramètres système » c’est le paramétrage d’indentification du server TMG avec “l’Active Directory”

image

  • « Définir des options de déploiement » c’est l’activation de NIS (Network Inspection System) et l’activation de la protection Web (filtrage des URL et l’antivirus http).

image

  • « Assistant stratégie d’accès Web » pour :

                - l’ accès au Web

                - Filtrage d’URL

                - Paramétrage du “NIS”

                - Paramétrage de l’inspection HTTPS sur le LAN

                - le cache

    

image

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 2)

Exporter le certificat Web du serveur SBS et l’importer sur le serveur TMG

Afin de sécuriser les accès web entre le serveur TMG et les postes externes (Internet) il faut exporter le Certificat Web du serveur SBS et l’importer sur le serveur TMG. (nous aurons besoins de ce certificat pour les ports d’écoute dans TMG)

Pour exporter le certificat Web du serveur SBS, ouvrir une console MMC sur le serveur SBS :

Run->MMC -> ajoutez/supprimez un composant de logiciel enfichable -> certificats -> ajoutez -> « le compte de l’ordinateur » (ici c’est un certificat acheté au près d’une autorité tiers)

image

image

image

image

image

 

Pour l’importer sur le serveur TMG :

Run->MMC -> ajoutez/supprimez un composant de logiciel enfichable -> certificats -> ajoutez -> « le compte de l’ordinateur »

image

image

 

image

Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 1)

Pour les nostalgiques de SBS 2003 Premium J (c’est à dire avec ISA Server 2004), voici une bonne nouvelle ! TMG est maintenant disponible en version d’évaluation en français et sera disponible en version commerciale début Janvier. Pour plus d’informations : http://blogs.technet.com/stanislas/archive/2009/12/14/la-version-fran-aise-de-forefront-tmg-est-disponible-en-version-d-valuation-en-t-l-chargement.aspx

http://blogs.technet.com/stanislas/archive/2009/09/22/vue-d-ensemble-de-forefront-tmg-en-moins-de-12-minutes.aspx

http://blogs.technet.com/stanislas/archive/2009/06/26/filtrage-d-urls-dans-forefront-tmg-beta-3-partie-1-vue-d-ensemble.aspx

Pourquoi ne pas acheter dès à présent un deuxième serveur, par exemple, un Windows Server 2008 R2 Foundation avec 4 Go de mémoire (si votre Active Directory à moins de 15 utilisateurs) et d’y installer TMG 2010 pour avoir une solution de filtrage d'URL, recherche de programmes malveillants, prévention des intrusions, pare-feu au niveau des couches Application et Réseau, inspection HTTP/HTTPS, etc. … Cela fonctionnerait aussi sur Windows 2008 x64 ou Windows 2008 R2 J….

Le PDG de la TPE/PME est responsable de sa connexion Internet !

Voici une méthode simple pour le mettre en œuvre dans votre environnement SBS 2008 :

- Paramétrage TCP/IP et faire rejoindre le server TMG au domaine SBS (ma-tpe.local)

- Exporter le certificat Web du serveur SBS et l’importer sur le serveur TMG

- Installation du Server TMG

- Paramétrage du Server TMG

· Configurer les paramètres réseau

· Configurer les paramètres système

· Définir des options de déploiement

· Assistant stratégie d’accès Web

· Création de ports d’écoute (TCP 443, TCP 987)

· Création de la règle de publication SMTP pour le serveur Exchange

· Création des règles de publication des sites Exchange (OWA, Outlook Anywhere, ActiveSync)

· Création de la règle de publication site « Poste de Travail Web à Distance » /remote

· Création de la règle de publication site Sharepoint « CompanyWeb »

· Création des règles d’accès pour le Serveur SBS

· Création des règles d’accès pour les Utilisateurs

SBS 2008 a une architecture très simple avec une carte réseau connectée à un routeur (NAT)/Pare feu.e

image

Les deux premiers assistants doivent être effectués :

- Gestion du réseau interne (DHCP, DNS, Routage Internet)

- Gestion du paramétrage Internet (Domaine DNS Public, Connecteur Exchange, site Remote, Certificat Web etc ..)

Une fois le serveur Windows 2008 R2 Foundation installé avec deux cartes réseau, il faut redéfinir l’adresse TCP/IP du routeur et re paramétrer toute la partie Port Forwarding (TCP 443, TCP 25, TCP 987, TCP 1723) redirigé sur l’adresse externe du serveur TMG (192.168.0.2).

image

IP carte Externe :

IP : 192.168.0.2

Gwt : 192.168.0.1

DNS : DNS1 de mon ISP

         DNS2 de mon ISP

IP Carte Interne :

IP : 192.168.1.1

DNS : 192.168.1.2 (le serveur SBS)

Important le serveur TMG doit pouvoir résoudre « remote.ma-tpe.biz » sur l’adresse 192.168.1.2 du serveur SBS.

Le plus simple allez dans le fichier Host (c:\windows\system32\drivers\etc\host)

192.168.1.2 remote.ma-tpe.biz

Domaine Public :

Enr. ->A : remote.ma-tpe.biz X.X.X.X (mon ip public)

Enr. -> MX : remote.ma-tpe.biz 10

Enr. -> TXT : v=spf1 a mx ~all (j’envoie mes mails à l’aide d’un relay SMTP de mon provider)

Enr -> SRV : _autodiscover._tcp IN SRV 0 0 443 remote.ma-tpe.biz.

Avant d’installer TMG, il faut joindre le serveur TMG au domaine SBS pour avoir l’authentification des utilisateurs (Active directory) pour l’accès à Internet.

Hands-On-Labs sur Windows Small Business Server 2008

Des Hands-On-Labs Small Business Server 2008 sont maintenant disponibles sur Microsoft Connect.

Il suffit de se connecter sur Microsoft Connect ici avec ce code d’invitation “SBSP-62B6-K3TH”.

Il y en a quatre :

  • Windows SBS 2008 Installation
  • Windows SBS 2008 Migration from SBS2003
  • Windows SBS 2008 Working with Clients
  • Windows SBS 2008 Admin Console

Bon tests !

More Posts Next page »
Page view tracker