Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 1)

Pour les nostalgiques de SBS 2003 Premium J (c’est à dire avec ISA Server 2004), voici une bonne nouvelle ! TMG est maintenant disponible en version d’évaluation en français et sera disponible en version commerciale début Janvier. Pour plus d’informations : https://blogs.technet.com/stanislas/archive/2009/12/14/la-version-fran-aise-de-forefront-tmg-est-disponible-en-version-d-valuation-en-t-l-chargement.aspx

https://blogs.technet.com/stanislas/archive/2009/09/22/vue-d-ensemble-de-forefront-tmg-en-moins-de-12-minutes.aspx

https://blogs.technet.com/stanislas/archive/2009/06/26/filtrage-d-urls-dans-forefront-tmg-beta-3-partie-1-vue-d-ensemble.aspx

Pourquoi ne pas acheter dès à présent un deuxième serveur, par exemple, un Windows Server 2008 R2 Foundation avec 4 Go de mémoire (si votre Active Directory à moins de 15 utilisateurs) et d’y installer TMG 2010 pour avoir une solution de filtrage d'URL, recherche de programmes malveillants, prévention des intrusions, pare-feu au niveau des couches Application et Réseau, inspection HTTP/HTTPS, etc. …Cela fonctionnerait aussi sur Windows 2008 x64 ou Windows 2008 R2 J….

Le PDG de la TPE/PME est responsable de sa connexion Internet !

Voici une méthode simple pour le mettre en œuvre dans votre environnement SBS 2008 :

- Paramétrage TCP/IP et faire rejoindre le server TMG au domaine SBS (ma-tpe.local)

- Exporter le certificat Web du serveur SBS et l’importer sur le serveur TMG

- Installation du Server TMG

- Paramétrage du Server TMG

· Configurer les paramètres réseau

· Configurer les paramètres système

· Définir des options de déploiement

· Assistant stratégie d’accès Web

· Création de ports d’écoute (TCP 443, TCP 987)

· Création de la règle de publication SMTP pour le serveur Exchange

· Création des règles de publication des sites Exchange (OWA, Outlook Anywhere, ActiveSync)

· Création de la règle de publication site « Poste de Travail Web à Distance » /remote

· Création de la règle de publication site Sharepoint « CompanyWeb »

· Création des règles d’accès pour le Serveur SBS

· Création des règles d’accès pour les Utilisateurs

SBS 2008 a une architecture très simple avec une carte réseau connectée à un routeur (NAT)/Pare feu.e

image

Les deux premiers assistants doivent être effectués :

- Gestion du réseau interne (DHCP, DNS, Routage Internet)

- Gestion du paramétrage Internet (Domaine DNS Public, Connecteur Exchange, site Remote, Certificat Web etc ..)

Une fois le serveur Windows 2008 R2 Foundation installé avec deux cartes réseau, il faut redéfinir l’adresse TCP/IP du routeur et re paramétrer toute la partie Port Forwarding (TCP 443, TCP 25, TCP 987, TCP 1723) redirigé sur l’adresse externe du serveur TMG (192.168.0.2).

image

IP carte Externe :

IP : 192.168.0.2

Gwt : 192.168.0.1

DNS : DNS1 de mon ISP

         DNS2 de mon ISP

IP Carte Interne :

IP : 192.168.1.1

DNS : 192.168.1.2 (le serveur SBS)

Important le serveur TMG doit pouvoir résoudre « remote.ma-tpe.biz » sur l’adresse 192.168.1.2 du serveur SBS.

Le plus simple allez dans le fichier Host (c:\windows\system32\drivers\etc\host)

192.168.1.2 remote.ma-tpe.biz

Domaine Public :

Enr. ->A : remote.ma-tpe.biz X.X.X.X (mon ip public)

Enr. -> MX : remote.ma-tpe.biz 10

Enr. -> TXT : v=spf1 a mx ~all (j’envoie mes mails à l’aide d’un relay SMTP de mon provider)

Enr -> SRV : _autodiscover._tcp IN SRV 0 0 443 remote.ma-tpe.biz.

Avant d’installer TMG, il faut joindre le serveur TMG au domaine SBS pour avoir l’authentification des utilisateurs (Active directory) pour l’accès à Internet.