Forefront TMG 2010 - Guide d'installation d'un serveur mono-carte (role proxy Web ou reverse proxy) en pas à pas

Commençant la préparation d’une de mes sessions de Microsoft Techdays 2011 (session que je vais co-animer avec nos deux spécialistes du Support : Eric Detoc et Franck Heilmann), j’ai installé hier un Forefront TMG 2010 dans une configuration mono-carte (limitant les fonctionnalités au rôle de proxy Web et Reverse Proxy) et j’en ai profité pour faire les captures d’écran des différentes étapes à suivre.

Voici donc la procédure d’installation :

Etape 1 – Installation d’un Windows Server 2008 R2 (je le rappelle : Forefront TMG 2010 ne s’installe que sur Windows Server 2008 édition 64 bit ou Windows Server 2008 R2 qui lui n’est disponible qu’en 64 bit)

Etape 2– Mise à jour du système via Microsoft Update

Etape 3– Préparation à l’installation de Forefront TMG 2010

Sélectionner Run Preparation Tool

Cliquer sur Next

Accepter la licence et cliquer sur Next

Ici la machine va être le serveur Forefront TMG donc on garde la sélection proposée (si c’était juste un poste d’administration, il faudrait sélectionner la seconde option). Cliquer sur Next

Fin de la préparation. Cliquer sur Finish pour démarrer l’installation de Forefront TMG 2010

Etape 4– Installation de Forefront TMG 2010

Cliquer sur Next

Accepter la licence et cliquer sur Next

Saisir les informations de licence et cliquer sur Next

Choisir le chemin d’installation de Forefront TMG 2010. Cliquer sur Next

Dans cette étape sont déclarés les réseaux internes (ce qui dans le cas d’une configuration mono-carte est un peu particulier à la différence d’une configuration multi cartes réseau). Cliquer sur Add

Cliquer sur Add Adapter

Sélectionner l’interface réseau à utiliser (Dans mon cas, j’ai 2 interfaces réseau sur la machine mais la première est débranchée). Cliquer sur OK

La table des adresses locales a été construite automatiquement. Cliquer sur OK.

Cliquer sur Next

Cliquer sur Next

Cliquer sur Install. A partir de cette instant, il est possible d’aller tranquillement à la machine à café car l’installation va prendre plusieurs minutes (en général une bonne vingtaine de minutes).

L’installation est terminée. Cliquer sur Finish pour démarrer la configuration initiale.

Etape 5– Configuration initiale de Forefront TMG 2010

Cliquer sur Configure network settings

Cliquer sur Next

Sélectionner le modèle de déploiement “Single network adapter”. Cliquer sur Next

Dans mon cas, la configuration IP était obtenue via DHCP. En production, vu que c’est un serveur, je recommande très fortement l’usage de paramètres IP fixes. Cliquer sur Next

Cliquer sur Finish

Cliquer sur Configure system settings

Ici il est possible de changer le nom du serveur ou son appartenance à un domaine ou groupe de travail. Dans mon cas, la machine est dans un workgroup. Cliquer sur Next

Cliquer sur Finish

Cliquer sur Define deployment options

Cliquer sur Next

Sélectionner Use the Microsoft Update Service to check for updates. Cliquer sur Next

Ici sélectionner les modes de licences de la protection NIS, de l’antivirus HTTP et du filtrage d’URL. Cliquer sur Next

Choisir ici le mode d’installation des mises à jour (signature antivirus HTTP, signatures NIS) ainsi que le comportement des réponses du NIS. Cliquer sur Next

Choisir ici si vous souhaitez participer au Customer Improvement Program. Cliquer sur Next

Choisir ici le niveau de remontée d’informations auprès de Microsoft. Cliquer sur Next.

Cliquer sur Finish

Cliquer sur Close

Maintenant on passe au paramétrage des règles d’accès Web

Etape 6– Configuration des règles d’accès Web

Cliquer sur Next

Sélectionner l’option proposée par défaut. Cliquer sur Next

Il est possible de modifier la liste des catégories à bloquer. Cliquer sur Next

Par défaut, il est proposé d’analyser (antivirus http) l’ensemble des contenus Web. Cliquer sur Next.

Choisir ici si vous souhaitez faire de l’inspection sélectionner L’option proposée par défaut. Attention cependant : cette fonctionnalité nécessite d’utilliser un certificat “trusté” par les postes clients (ce qui peut nécessiter le déploiement sur les postes clients du certificat utilisé sur TMG).

Cliquer sur Next

Il est possible de notifier les utilisateurs de la présence de l’inspection SSL (c’est nécessaire légalement dans certains pays). Attention pour faire la notification, il faut déployer et utiliser le client pare-feu Forefront TMG sur les postes clients.

Cliquer sur Next

Dans mon cas, le certificat utilisé pour l’inspection HTTPS est un certificat auto-généré que je vais déployer sur mes postes clients. Exporter le certificat sous la forme d’un fichier.

Cliquer sur Next.

Définir ici la taille du fichier de cache du proxy. Cliquer sur Next.

Cliquer sur Finish pour terminer l’assistant de création des règles d’accès Web.

Cliquer sur Apply pour valider et appliquer les nouvelles règles d’accès Web paramétrées via l’assistant de configuration.

Le serveur est fonctionnel mais encore en version RTM (build 7.0.7734.100)

Etape 7– Installation du Service Pack 1 de Forefront TMG 2010

Le Service Pack 1 de Forefront TMG est disponible à l’adresse suivante : https://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c&displaylang=en

Télécharger la version AMD64 pour installation sur le serveur (la version x86 correspond à la console d’administration sur un poste client 32 bit)

Cliquer sur Open

Cliquer sur Next

Cliquer sur Next (dans mon cas, je suis connecté en Administrator)

Cliquer sur Install et partir prendre un nouveau café :-)

Cliquer sur Finish.

Forefront TMG 2010 est désormais en version SP1 (build : 7.0.8108.200)

Etape 8– Installation de l’Update 1 pour Forefront TMG 2001 SP1

Le Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 est disponible en téléchargement à l'adresse suivante : https://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d

Télécharger la version AMD64 pour installation sur le serveur (la version x86 correspond à la console d’administration sur un poste client 32 bit)

Cliquer sur Next

Accepter la licence et cliquer sur Next

Cliquer sur Next (dans mon cas, je suis connecté en Administrator)

Cliquer sur Install (et partir boire un chocolat car trop de café c’est pas bon pour la santé :-))

Cliquer sur Finish

Forefront TMG 2010 est désormais en version SP1 Update 1 (build : 7.0.9027.400)

Voilà l’installation est enfin terminée.

Note : il est possible d’installer l’Update 2 pour le SP1 de Forefront TMG 2010. Cette mise à jour est disponible en contactant le support (dans le cas où vous avez les problèmes concernés par cette mise à jour).

Plus d’informations sur l’Update 2 pour Forefront TMG 2010 SP1 : https://blogs.technet.com/b/stanislas/archive/2010/11/17/software-update-2-for-microsoft-forefront-threat-management-gateway-tmg-2010-service-pack-1.aspx

Note complémentaire : ce billet est également disponible sous la forme d’un document PDF téléchargeable à l’adresses suivante : https://cid-ef021f8cff2b839c.office.live.com/self.aspx/Public/Documents%20publics%20Stanislas/Forefront%20TMG%202010%20-%20guide%20d^4installation%20serveur%20mono-carte%20r%c3%a9seau%20v1.0.pdf 

– Stanislas Quastana -

Tags: update+1, Service+Pack+1, Proxy+Web, Reverse+Proxy, Single+NIC, 1+interface+réseau, Installation, Guide+d'installation