Déploiement de Forefront Threat Management Gateway 2010 (TMG) dans un environnement Small Business Server 2008.(Part 11)

  • Article

Finalisation du paramétrage du serveur TMG

Après avoir paramétré tout ce qui concerne la publication (Reverse Proxy):

  • les  ports d’écoute (TCP 443, TCP 987)
  • la règle de publication SMTP pour le serveur Exchange
  • les règles de publication des sites Exchange (OWA, Outlook Anywhere/TS Gateway, ActiveSync)
  • la règle de publication site « Poste de Travail Web à Distance » /remote
  • la règle de publication site Sharepoint « CompanyWeb »

Il restera à paramétrer les règles d’accès pour le Serveur SBS et les règles d’accès pour les Utilisateurs.

1.      Les règles d’accès pour le Serveur SBS

Il faut créer deux règles d’accés. Une pour la sortie du serveur SBS vers Internet  (HTTPS,SMPT,DNS,NTP/UDP) et la deuxième pour la connexion entre le serveur TMG et le serveur SBS pour toute la partie WSUS c’est à dire la mise à jour du server TMG via le server wsus installé sur le serveur SBS)

Le plus simple:

- c’est de créer un objet réseau “ordinateur” (notre serveur SBS)

image image

- c’est de créer un nouveau protocole “SBS WSUS” TCP 8530 (en sortie). Il n’existe pas de base dans TMG 2010 !

image image

 

Et de créer les deux règles d’accès .

La première règle pour la sortie du serveur SBS vers Internet

image  

image

 

image

image

image

image

image

image

La deuxième règle pour la connexion entre le serveur TMG et le serveur SBS pour toute la partie WSUS

 

 

 

 

 

image 

image   

image

image

image

image

image

image

2. Les règles d’accès pour les utilisateurs

Si vous avez suivi par défaut les assistants d’installation du serveur TMG, une règle d’accés est créée par défaut dans les stratégies Web.

image

C’est à dire l’autorisation des flux HTTP/HTTPS du réseau “Interne” vers le réseau “Externe” pour tous les utilisateurs. Cela vaut peut-être le coup de re-paramétrer cette règle en changeant “Tous les utilisateurs” par “Tous les utilisateurs authentifiés”  

image

De la même manière si vous avez suivi les assistants d’installation du serveur TMG, un assistant nous a aidé à créer une stratégie d’accès Web avec un filtrage d’URL .

image

 

 

 

 

Pour finir, il restera à passer sur tous les clients du réseau SBS pour paramétrer soit les Navigateurs ou soit installer le client TMG (uniquement dans un environnement Microsoft).

Pour les navigateurs :                                                                        

C’est ce que l’on appele le client “proxy web” mais c’est uniquement pour les protocoles http/https. Il suffit de renter le nom du serveur TMG et mettre le port 8080 dans les paramètres de connexion de vos navigateurs.

image

Pour les navigateurs Microsoft cela peut être fait par stratégie.

Pour le client TMG:

Il se trouve sur le server TMG –> \Microsoft Forefront TMG\client\MS_FWC.msi. Cela peut être aussi déployé par stratégie.

En résumé, si vos clients n’ont besoin que des protocoles HTTP/HTTPS donc pas besoin d’installer le client TMG!