1 Différences ISA Server Edition standard et ISA Server Edition entreprise
La version Standard d’ISA Server est limitée à un serveur, une stratégie locale et un maximum de quatre processeurs.
Des lors que cette configuration ne suffit plus, il faut opter pour un cluster de version Entreprise.
a) Avantages d'ISA Server Enterprise Edition
Groupes de serveurs : Permet une gestion centralisée. Vous configurez les paramètres du groupe de serveurs et tous nouveau serveur ajouté au groupe se voit automatiquement configuré avec les options du groupe de serveurs. La charge est répartie entre tous les ordinateurs d’un groupe de serveurs et une tolérance aux pannes est automatiquement gérée au sein du groupe de serveurs.
ISA server a été spécialement développé pour gérer le multitraitement symétrique (SMP). La version Entreprise utilise les capacités SMP de Windows 2000 Advanced Server (jusqu'à 8 processeurs) et Datacenter Server (jusqu'à 32 processeurs).
ISA server permet la répartition de charge et de bande passante grâce aux fonctionnalités de clustering de Windows 2000 Advanced Server et Datacenter Server.
Protocole CARP : ISA Server implémente le protocole CARP au sein d’un groupe de serveur pour améliorer les performances de mise en cache et la tolérance aux pannes. De plus, à l’aide du protocole CARP, il est possible d’effectuer une mise en cache hiérarchisée entre serveurs ISA. Cette fonctionnalité permet de rapprocher le cache fréquemment demandé des utilisateurs de manière à obtenir de meilleures performances.
Stratégie de tiers : Permet de rendre modulable la gestion des stratégies ISA Serveur.
2 Utilisation d'ISA Server Enterprise Edition
Deux stratégies d’installation s’offrent à vous :
- Installation comme serveur autonome : ISA ne doit pas faire obligatoirement partie d’un domaine Windows 2000. Si ce n’est pas le cas, les informations de configuration sont stockées dans le Registre.
- Installation comme membre d’un groupe de serveurs : le serveur ISA doit être membre d’un domaine Windows 2000. Les informations de configuration sont stockées dans Active Directory.
a) Configuration de stratégies
Stratégies d’entreprise : les stratégies d’entreprise comprennent les règles de site et de contenu ainsi que des règles de protocole. Il est possible de configurer une stratégie d’entreprise de manière à ce qu’elle puisse être complétée par une stratégie de groupe de serveurs. Cela permet de donner plus de contrôle aux administrateurs des départements tout en définissant une base commune.
Stratégies de groupe de serveurs : les stratégies de groupe de serveurs comprennent les règles de site et de contenu, les règles de protocole, les filtres de paquets IP, les règles de publication Web, les règles de routage et les règles de publication des serveurs.
3 Installation d'ISA Server dans une entreprise
La première chose à faire lors de l’installation d’ISA dans une entreprise est de mettre à jour le schéma Active Directory pour qu’il prenne en charge les classes et les attributs d’ISA. L’utilitaire Outil d’initialisation d’entreprise ISA Server est destiné à cet effet.
a) Utilisation de groupes de serveurs
Tous les membres d’un groupe de serveurs doivent appartenir au même domaine Windows 2000 et au même site. Ils doivent être installés avec le même mode choisi (cache, pare-feu, intégré). Ils doivent tous disposer du même ensemble d’extensions.
Configuration de stratégies : la configuration d’une stratégie pour un groupe concerne tous les ordinateurs présents dans le groupe.
Configuration des alertes : la configuration des alertes peut se faire pour l’ensemble du groupe ou sur un serveur particulier du groupe.
Rapports : Les rapports sont stockés sur un seul ordinateur du groupe d’ordinateurs. Par défaut, les rapports sont stockés sur l’ordinateur sur lequel vous avez configuré les tâches liées aux rapports.
Cache : Les propriétés de configuration du cache sont communes à l’ensemble des serveurs appartenant au groupe, si vous définissez 100Mo de cache sur le groupe, alors sur chaque ordinateur du groupe 100Mo seront alloués pour le cache.
b) Autorisations requises
Pour ajouter un serveur ISA à un groupe de serveurs, vous devez appartenir au groupe Admins du domaine, ou au groupe Administrateurs d’entreprise de la forêt.
Pour administrer les stratégies d’entreprise, vous devez être membre du groupe Administrateurs d’entreprise de la forêt.
c) Promotion d’un serveur autonome
Il est possible de promouvoir un serveur autonome au rang de membres d'un groupe de serveurs. Le serveur promu est placé dans un nouveau groupe de serveurs. Un serveur ne peut être promu que s’il est membre d’un domaine Windows 2000. Lors de la promotion, les règles qui sont plus permissives que celle de la stratégie d’entreprise sont supprimées, et celles qui sont comprises dans la stratégie d’entreprise sont supprimées aussi par ce qu’elles sont déjà contenues dans celle-ci.
d) Maintenance des configurations d’entreprise
Vous avez la possibilité de sauvegarder et de restaurer les stratégies d’entreprise, les stratégies de groupe de serveur ainsi que tous les éléments liés dans des fichiers.
e) Configuration de paramètres spécifiques au serveur dans ISA Server
Lors de la configuration d’un groupe de serveurs, tous les membres du groupe reçoivent les mêmes paramètres. Il est cependant possible de configurer des paramètres qui ne s’appliquent qu’à un seul membre du groupe. C’est le cas pour les ports d’écoute de demandes Web, les filtres de paquets, les règles de publication de serveurs, les alertes et la mise en cache.
f) Combinaison de stratégies d'entreprise et de groupe de serveurs
Etant donné qu’une stratégie de groupe ne peut être plus permissive qu’une stratégie d’entreprise, il est conseillé lors de la combinaison de stratégies de spécifier toutes les autorisations dans la stratégie d’entreprise puis de restreindre au niveau du groupe de serveurs ces autorisations.
4 Gestion des connexions réseau
a) Routage des demandes WebVous pouvez créer des règles pour déterminer si les demandes doivent être directement envoyées à destination, envoyées vers un serveur en amont, redirigées vers un autre site.
Vous pouvez créer des règles pour rediriger des demandes en fonction de la destination. Il est, de plus, possible de prévoir des itinéraires de substitution au cas où un serveur en amont serait indisponible. Enfin, l’utilisation du cache et son rafraîchissement peuvent aussi être configurés en fonction de la destination.
Les règles de routage sont appliquées dans l’ordre. Par conséquent, vous devez organiser votre liste pour que les règles s’appliquent comme vous le souhaitez.
b) Routage des demandes de client pare-feu et SecureNAT
Il est possible de router les demandes de clients pare-feu et SecureNAT à l’aide du chaînage pare-feu. Il permet de router les demandes des clients vers des serveurs en amont.
c) Recherche automatique de Proxy Web
Les clients utilisent une entrée du serveur DHCP ou du serveur DNS pour localiser un serveur ISA. Ces échanges de demandes se font à l’aide du protocole WPAD pour les clients Proxy et du protocole WSPAD pour les clients pare-feu.
La recherche automatique est particulièrement utile pour les clients portables qui se déplacent régulièrement.
5 Evolutivité d’ISA Server
Le protocole CARP permet que la répartition de charge et la gestion du cache soient gérées automatiquement lors de l’évolution du nombre de serveurs ISA dans un groupe de serveurs.
Pour les clients SecureNAT, la tolérance aux pannes peut être obtenue lorsque au minimum deux ordinateurs ISA Server sont utilisés avec l’équilibrage de charge Windows 2000 Advanced Server.
a) Le protocole CARP
Le protocole CARP permet de gérer le cache entre différents serveurs pour permettre qu’un objet ne soit présent que sur un serveur à la fois. Le protocole CARP utilise le routage par hashage pour déterminer le chemin pour résoudre une demande. Le hashage est une valeur qui est dérivée de l’URL de la demande web et des propriétés du serveur.
b) Equilibrage de la charge réseau
Pour pouvoir bénéficier de l’équilibrage de la charge réseau, vous devez installer vos serveurs ISA sur des Windows 2000 Advanced Server. Cela permet de regrouper ces serveurs ISA en une unité logique n’ayant qu’une seule adresse IP. Ce processus à l’avantage d’être complètement transparent pour les clients. Pour des performances optimales et une administration simplifiée il faut que tous les membres du cluster à équilibrage de charge réseau appartiennent au même groupe de serveurs ISA.
6 Extension et automatisation des fonctionnalités d'ISA Server
Il est possible d’étendre les fonctionnalités d’ISA Server. En effet, vous pouvez développer des filtres d’applications et des filtres Web de manière a optimiser l’utilisation d’Internet et/ou augmenter la sécurité.
Il est aussi possible d’automatiser certaines charges administratives à l’aide de scripts. En effet des objets COM permettant l’administration d’ISA Server sont mis à votre disposition.