Table des matières

Installation et désinstallation

Mise à niveau

Administration

Client de pare-feu

Publication

Documentation

Fichiers d'erreur HTML

À lire en priorité

Ce document fournit des informations sur Microsoft Internet Security and Acceleration (ISA) Server 2006.

Veillez à consulter le Guide de démarrage rapide de Microsoft Internet Security and Acceleration (ISA) Server 2006 (Isastart.chm). Ce guide fournit les instructions d'installation et conditions requises pour la configuration, décrit les nouvelles fonctions de ISA Server 2006, et détaille des présentations soulignant ces fonctionnalités. Ce document est disponible à partir de la page d'exécution automatique ISA Server 2006, et se trouve dans le dossier racine du CD ISA Server 2006. De plus, pour obtenir des instructions de déploiement et des informations sur les scénarios courants, reportez-vous aux documents de solution, disponibles sur le site Web de Conseils sur ISA Server.

Retour à la table des matières

1. Installation et désinstallation

  1. Pour plus de sécurité, installez toujours les dernières mises à jour pour votre système d'exploitation. Pour obtenir des informations sur les mises à jour récentes à installer, consultez Microsoft Update.

  2. Cette publication ne concerne pas ISA Server 2006 installé sur des ordinateurs exécutant le système d'exploitation Microsoft Windows Server « Longhorn ».

  3. Elle ne traite pas non plus du module Gestion ISA Server installé sur des ordinateurs exécutant le système d'exploitation Microsoft Windows Vista.

  4. Lorsque vous désinstallez ISA Server, certains fichiers ne sont pas complètement supprimés de l'ordinateur. Le tableau suivant répertorie les fichiers restants et leur emplacement.

    Dossier Nom de fichier

    %windir%

    IsUninst.exe, Atl71.dll, ismifcom.dll, msvcp71.dll, msvcr71.dll. Enterprise Edition uniquement : \config\adam_isastgctrl.evt

    %windir%\System32

    DBmsLPCn.dll, dbmsgnet.dll, dbmsqlgc.dll
  5. Quand ISA Server 2004 est installé sur un ordinateur exécutant Windows 2000 Server, Microsoft SQL Server 2000 Desktop Engine (MSDE) s'exécute sous le compte Système local. Après la mise à niveau vers Windows Server 2003, MSDE continue de s'exécuter sous le compte Système local. Cependant, lors de la mise à niveau de ISA Server, le service Pare-feu Microsoft s'exécute sous le compte Service réseau. Le compte Service réseau n'ayant pas la permission d'accéder à MSDE, le service Pare-feu n'a pas accès à MSDE, et la mise à niveau échoue. Pour contourner ce problème, utilisez l'Assistant Installation de ISA Server 2004 pour désinstaller et réinstaller MSDE. Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, puis Exécuter, tapez appwiz.cpl dans la zone Ouvrir, puis cliquez sur OK.

    2. Dans la fenêtre Ajout/Suppression de programmes, cliquez sur Microsoft ISA Server 2004, puis sur Modifier/Supprimer.

    3. Dans l'Assistant Installation de Microsoft ISA Server 2004, cliquez sur Suivant.

    4. Dans la page Maintenance du programme, cliquez sur Modifier, puis sur Suivant.

    5. Dans la page Installation personnalisée, développez Services de pare-feu, puis cliquez sur Journalisation avancée.

    6. Cliquez sur Ce composant ne sera pas disponible.

    7. Cliquez sur Suivant, puis sur Installer.

    8. Dans la page Fin de l'Assistant Installation, cliquez sur Terminer, puis fermez la fenêtre Internet Explorer qui s'ouvre automatiquement.

    9. Répétez les étapes 1 à 5, puis cliquez sur Ce composant sera installé sur le disque dur local.

  6. Si MSDE a été désinstallé de l'ordinateur ISA Server, vous devrez le réinstaller en exécutant l'installation de ISA Server et en la modifiant. Avant de réinstaller MSDE, il est conseillé d'arrêter le service Pare-feu. Sinon, l'installation de MSDE peut prendre jusqu'à 45 minutes. Notez que le service Pare-feu redémarrera automatiquement une fois l'installation terminée.

  7. Il arrive que certaines interfaces ne soient pas incluses lors de l'enregistrement de Msfpccom.dll, ce qui peut entraîner la réception par l'utilisateur du message d'erreur Une interface n'est pas enregistrée dans le composant logiciel enfichable Console de gestion ISA Server. Si ceci se produit, vous devez désenregistrer (en exécutant regsvr32 –u msfpccom.dll), puis enregistrer à nouveau (en exécutant regsvr32 msfpccom.dll).

  8. Lors de l'installation de ISA Server Enterprise Edition, plusieurs fichiers DLL sont installés dans les dossiers système Windows suivants : C:\WINDOWS\ADAM et C:\\WINDOWS\ADAM\EN.

  9. ISA Server 2006 a été testé sur Microsoft Virtual Server 2005 R2 et est en principe totalement fonctionnel. Cependant, le déploiement de ISA Server dans un environnement Virtual Server 2005 R2 doit être limité à des fins de test uniquement. En particulier, nous ne recommandons pas un environnement de production Virtual Server 2005 R2 là où ISA Server 2006 doit servir de pare-feu réseau.

  10. Après installation de ISA Server 2006, nous vous conseillons d'utiliser l'Assistant Configuration de la sécurité Windows pour renforcer votre infrastructure Windows pour ISA Server. Pour plus de détails, reportez-vous au ISA Server 2006 Security Hardening and Administration Guide (Guide d'administration et de renforcement de la sécurité de ISA Server 2006). Notez les points suivants :

    • La fonction de journalisation MSDE a été retirée de l'Assistant Configuration de la sécurité Windows à la fois pour ISA Server 2006 et ISA Server 2004. ISA Server contrôle désormais l'utilisation de MSDE.

    • Lors du renforcement manuel de l'ordinateur, le service de stockage Microsoft ISA Server sur le serveur de stockage de configurations doit être activé. Vous pouvez vérifier l'état de ce service dans le volet d'informations du composant logiciel enfichable Windows Services. Cette modification s'applique à Enterprise Edition uniquement.

  11. Quand un membre est installé dans un groupe pour lequel l'équilibrage de la charge réseau est activé, les ports utilisés par tous ports d'écoute définis dans le groupe ne seront pas disponibles immédiatement suite au redémarrage du service Pare-feu à la fin de l'installation. Ceci est dû au fait que la configuration de l'équilibrage de la charge réseau a besoin de temps pour la synchronisation après l'ajout d'un membre de groupe. Une fois la configuration de l'équilibrage de la charge réseau synchronisée (ceci peut prendre quelques minutes), la fonctionnalité de ports d'écoute doit en principe être restaurée automatiquement. Dans certains cas, des ports d'écoute peuvent ne pas être pleinement fonctionnels même après synchronisation de la configuration de l'équilibrage de la charge réseau. Le redémarrage du service Pare-feu résoudra le problème.

2. Mise à niveau

Cette section traite des problèmes pouvant apparaître lors de la mise à niveau de ISA Server 2004 vers ISA Server 2006.

  1. Pour vous familiariser avec la mise à niveau de ISA Server 2004 vers ISA Server 2006, lisez le guide disponible à partir de la page d'exécution automatique de ISA Server 2006.

  2. Lors de la mise à niveau vers ISA Server 2006, toutes modifications apportées dans ISA Server 2004 à l'alerte Compression par une méthode non prise en charge ne sont pas reflétées dans la configuration d'alerte mise à niveau. La configuration d'alerte ISA Server 2006 par défaut est appliquée à la place. De plus, toutes les alertes définies par l'utilisateur et référençant l'événement Compression par une méthode non prise en charge ne sont pas incluses dans la configuration mise à niveau.

  3. Lors de la mise à niveau vers ISA Server 2006, les paramètres suivants du filtre RTSP ne sont pas mis à niveau : RtspSetupLimit, RtspMaxUrlLength et RtspTransportList.

  4. Quand un port d'écoute Web ISA Server 2004 spécifie SecurID comme méthode d'authentification du client et qu'une règle de publication Web utilisant ce port d'écoute Web spécifie une délégation simple de l'authentification, la règle ne peut pas être mise à niveau et la mise à niveau est bloquée. Pour éviter ceci, avant la mise à niveau, vérifiez que toutes les règles de publication Web utilisant un port d'écoute Web configuré pour l'authentification de client SecurID n'ont pas la délégation simple de l'authentification sélectionnée.

  5. Dans ISA Server Enterprise Edition, si un fichier de configuration ISA Server 2004 exporté spécifie un serveur secondaire de stockage de configurations dans les propriétés du groupe, un échec peut avoir lieu lors de la mise à niveau du fichier de configuration importé vers un serveur de stockage de configurations ISA Server 2006. Pour éviter ceci, après importation du fichier, ouvrez les propriétés du groupe, et dans l'onglet Stockage de configurations, supprimez le serveur secondaire de stockage de configurations spécifié, puis cliquez sur OK. Appliquez ensuite la configuration en cliquant sur le bouton Appliquer dans la barre Appliquer les modifications.

  6. Si vous effectuez la mise à niveau à partir de ISA Server 2004 SP2, l'authentification directe avec le serveur publié via une connexion HTTP, qui n'est pas sécurisée, peut ne pas être fonctionnelle après la mise à niveau. Pour que l'authentification directe fonctionne correctement, il peut s'avérer nécessaire de modifier le port d'écoute Web et d'effectuer une des opérations suivantes :  

    • Dans l'onglet Connexions, modifiez le Type de connexion du client du port d'écoute Web pour utiliser une connexion sécurisée.

    • Dans l'onglet Authentification, cliquez sur Avancé, et modifiez le port d'écoute Web en cochant la case Permettre l'authentification du client via HTTP.

Cette section traite des problèmes pouvant apparaître lors de la mise à niveau de ISA Server 2006 Release Candidate (RC) vers ISA Server 2006.

  1. Pour vous familiariser avec la mise à niveau de la version RC de ISA Server 2006 vers cette version finale de ISA Server 2006 (mise à niveau de version à version), lisez le guide de mise à niveau disponible à partir de la page d'exécution automatique de ISA Server 2006.

  2. Une mise à niveau de version à version de la version bêta de ISA Server 2006 à cette version finale de ISA Server 2006 n'est pas prise en charge. Vous devez d'abord mettre à niveau la version bêta de ISA Server 2006 vers ISA Server 2006 RC, puis effectuer la mise à niveau à partir de la version RC. Avant l'opération, consultez les notes de publication de ISA Server 2006 RC.

  3. Si l'agent Microsoft Operations Manager (MOM) s'exécute sur l'ordinateur ISA Server durant une mise à niveau de version à version ou une réparation de l'installation, l'opération peut échouer. Pour éviter ceci, avant de lancer la mise à niveau de version à version ou l'opération de réparation, arrêtez le service MOM. Pour ce faire, à l'invite de commande, tapez net stop mom, ou utilisez le Gestionnaire de contrôle des services (exécutez services.msc).

  4. Pour des raisons de sécurité, Internet Explorer n'envoie pas de cookies de domaine lorsque le nom du serveur contient un trait de soulignement (_). En conséquence, ISA Server 2006 bloque l'usage de ce caractère dans les noms publics des règles de publication lorsque l'authentification unique (SSO) est activée pour le port d'écoute Web appliqué. Durant une mise à niveau de version à version, ISA Server vérifie si la propriété PublicNames des règles de publication Web associées à un port d'écoute Web avec l'authentification activée comprend un nom contenant un trait de soulignement. Si ce caractère est détecté dans la propriété PublicNames, la mise à niveau échoue. Pour éviter ceci, avant d'exécuter une mise à niveau de version à version, vérifiez que les noms inclus dans la propriété PublicNames ne contiennent pas de trait de soulignement.

  5. Les journaux locaux MSDE sur l'ordinateur ISA Server ne sont pas supprimés dans le cadre du processus de mise à niveau de version à version. L'espace disque risque alors d'atteindre sa limite. Pour supprimer ces fichiers journaux, accédez au répertoire \\Program Files\Microsoft ISA Server\ISAlogs et supprimez manuellement les fichiers. Notez que vous ne devez supprimer que les fichiers journaux portant une extension .mdf ou .ldf dont les dates sont obsolètes et ayant le format de nom de fichier suivant :  ISALOG_AAAAMMJJ_WEB_XXX ou ISALOG_ AAAAMMJJ _FWS_XXX.

  6. Lors de l'exécution d'une mise à niveau de version à version à partir de ISA Server 2006 RC vers cette version finale, les modèles de formulaires situés dans le répertoire d'installation de ISA Server …\CookieAuthTemplates\ISA ne sont pas remplacés. Les nouveaux formulaires sont installés dans le dossier ...\CookieAuthTemplates\ISA\HTML. En conséquence, les modifications apportées aux formulaires avant la mise à niveau ne sont pas transférées vers les nouveaux formulaires. De plus, les modifications suivantes ont été apportées aux formulaires dans la version RC :

    • Strings.txt utilise un format différent pour les chaînes personnalisées. Le nouveau format est nom=valeur.

    • Les liens dans les fichiers HTML doivent inclure l'extension de fichier. Par exemple, lgntop.gif.

  7. Après mise à niveau de la version ISA Server 2006 RC vers cette version finale de ISA Server 2006, les noms de certains compteurs de performances ne s'affichent pas correctement dans l'Analyseur de performances. Pour éviter ce problème, avant la mise à niveau, il est conseillé de désenregistrer les objets et compteurs de performances. Pour ce faire, exécutez : unlodctr <service>, où <service> correspond à chacun des éléments suivants : w3pcache, FwEng, H323FLTR, SocksFlt, w3proxy et FwSrv.

  8. Après la mise à niveau, le numéro de version affiché dans le nœud Serveurs du composant Gestion ISA Server n'est pas mis à jour. Pour voir le numéro de version mis à jour, cliquez sur Aide, puis sur À propos de Microsoft ISA Server 2006. La boîte de dialogue qui apparaît indique les détails de la version.

  9. Pendant la désinstallation du serveur principal de stockage de configurations, il doit pouvoir communiquer avec au moins un autre serveur de stockage de configurations de l'entreprise. Cette communication est requise pour que les répliques puissent être mises à jour en conséquence durant le processus de désinstallation. Sinon, lorsque vous tentez de désinstaller un serveur de stockage de configurations qui n'était pas connecté, il peut essayer de se connecter au serveur principal de stockage de configurations désinstallé. Par conséquent, vous ne pourrez pas désinstaller le serveur de stockage de configurations comme requis pour terminer la mise à niveau. Ce problème s'applique uniquement à Enterprise Edition.

Retour à la table des matières

3. Administration

  1. La prise en charge de DiffServ est fournie uniquement pour les clients du proxy Web. Les paquets DiffServ sont appliqués au trafic à partir de clients transparents, mais ne doivent pas être utilisés pour définir la priorité des paquets pour ces clients.

  2. ISA Server ne peut pas modifier la priorité DiffServ durant une session HTTP sécurisé (HTTPS), et la première priorité sélectionnée reste en vigueur pour l'ensemble de la session. En conséquence, les limitations suivantes s'appliquent au contenu traité par tunnel HTTPS :

    • L'option Autoriser la gestion spéciale des en-têtes de demandes et de réponses selon cette priorité de l'onglet Priorités n'est pas applicable.

    • L'option Appliquer une limite de taille à cette priorité de la page de propriétés Ajouter une priorité n'est pas applicable.

  3. L'Assistant de création de fichier de réponse prend en charge l'entrée Unicode. Cependant, le fichier de réponse de sortie étant généré au format ANSI, les caractères utilisés dans les chaînes d'entrée doivent être traduisibles en ANSI. Ainsi, si vos chaînes d'entrée incluent des caractères ne pouvant pas se traduire correctement en ANSI, le fichier de réponse ne sera pas généré correctement. Pour éviter ceci, procédez comme suit :

    1. Lors de l'exécution de l'Assistant de création de fichier de réponse, utilisez un chemin de fichier ANSI pour enregistrer le fichier généré et les espaces réservés d'entrée en caractères ANSI (par exemple, anglais) pour les propriétés suivantes : nom de réseau site à site pour le site distant, clé prépartagée, nom et description du groupe, et chemin du certificat

    2. Ouvrez le fichier de réponse généré et enregistrez le fichier au format UNICODE.

    3. Modifiez le fichier de réponse UNICODE et changez les chaînes dans leurs valeurs réelles.

  4. Le bouton Parcourir de la page Ajouter l'ordinateur à un groupe existant de l'Assistant de création de fichier de réponse n'est pas fonctionnel. Pour entrer le nom du groupe, vous devez le taper dans la zone de texte correspondante.

  5. Lors de l'exécution de Enterprise Edition en tant qu'administrateur de groupe, le choix de participer au programme d'amélioration des services en cliquant sur le lien Programme d'amélioration des services du volet d'informations, puis en sélectionnant l'option de participation de la boîte de dialogue Commentaires client ne fonctionne pas. Pour participer au programme, les administrateurs de groupe devront sélectionner l'option dans les propriétés de groupe de l'onglet Commentaires client.

  6. Lors de l'exécution de Enterprise Edition, le serveur de stockage de configurations génère les fichiers journaux suivants dans le dossier système Windows : ADAM.log, ADAMUninst.log et PFRO.log.

Retour à la table des matières

4. Client de pare-feu

  • Cette version ne prend pas en charge les clients de pare-feu installés sur des ordinateurs exécutant le système d'exploitation Microsoft Windows Server « Longhorn » ou Microsoft Windows Vista. L'installation du client de pare-feu est bloquée pour ce système d'exploitation.

Retour à la table des matières

5. Publication

  1. Certaines applications, telles que Windows Media Player, Microsoft Office Picture Manager et Microsoft Outlook Mobile Access, ne prennent pas en charge l'authentification de certificat de client durant une négociation SSL/TLS et ne seront pas en mesure de s'authentifier lorsque l'authentification du client est requise. Par conséquent, les utilisateurs recevront un message d'erreur de ces applications lors de la tentative d'accès au contenu publié. Ce problème se produit si le port d'écoute Web exige l'authentification des certificats de client SSL, ou si le port d'écoute Web nécessite une authentification par formulaires et qu'une des règles de publication utilisant ce port d'écoute Web exige un certificat de client SSL supplémentaire. Dans certains cas, comme pour Windows Media Player, l'utilisateur peut être en mesure d'enregistrer la cible du lien dans un dossier local, puis d'accéder au contenu à partir de ce dossier.

  2. Quand Office Communicator Web Access est publié à l'aide de l'Assistant de règle de publication Web, les utilisateurs peuvent rencontrer des erreurs lors de l'envoi de messages. Si ceci se produit, supprimez la règle de publication Web et créez une nouvelle règle à l'aide de l'Assistant de règle de publication Exchange. Dans la page Sélectionnez les services de l'assistant, sélectionnez Outlook Web Access comme service de messagerie pour clients Web publié. Une fois la règle créée, vous devrez modifier ses propriétés et effectuer les changements suivants : Dans l'onglet Authentification, sélectionnez Authentifications NTLM. Dans l'onglet Chemins, supprimez tous les chemins Exchange, puis tapez le chemin /*.

  3. Pour permettre à ISA Server de générer un cookie SecurID, approuvé ensuite par un agent Web SecurID, le même secret de domaine doit être partagé sur l'ordinateur ISA Server et l'Agent Web. Lors de l'exportation du secret de domaine sur l'ordinateur de l'Agent Web, vérifiez que la zone de texte Nom de domaine de la boîte de dialogue Gérer la configuration du domaine est effacée. Si un nom de domaine est entré dans la zone de texte, un échec se produit lors de l'importation du secret de domaine vers l'ordinateur ISA Server.

  4. Lors de la configuration d'une règle de publication d'accès client Exchange Web pour Exchange Server 2007, les options de blocage de pièce jointe de publication Exchange de la page de propriétés Paramètres de l'application de la règle ne sont pas fonctionnelles.

Retour à la table des matières

6. Documentation

  1. Ouvertes à partir d'un partage réseau, les pages du guide de démarrage rapide ne s'affichent pas sur un ordinateur exécutant Microsoft Windows Server 2003 avec Service Pack 1. Pour consulter ce guide, copiez le fichier Isastart.chm dans un répertoire local, et ouvrez-le à partir de là. Pour plus d'informations et d'autres options, reportez-vous à l'article 896054 de la Base de connaissances Microsoft, Impossible d'ouvrir un contenu distant à l'aide du protocole InfoTech après l'installation de la mise à jour de sécurité 896358, de Windows Server 2003 Service Pack 1 ou de la mise à jour de sécurité 840315.

  2. Dans le document Mise à niveau de ISA Server 2004 Enterprise Edition vers ISA Server 2006 Enterprise Edition, section Quatrième scénario : Groupe avec équilibrage de la charge, notez les corrections suivantes :

    • Le texte « Après avoir mis à niveau le serveur de stockage de configurations, vous devez désactiver l'intégration de l'équilibrage de la charge réseau pour le groupe ISA Server » doit être remplacé par : « Après avoir mis à niveau le serveur de stockage de configurations, vous devez ajouter toutes adresses IP virtuelles supplémentaires, puis appliquer les modifications en cliquant sur le bouton Appliquer de la barre Appliquer les modifications. Désactivez ensuite l'intégration de l'équilibrage de la charge réseau pour le groupe ISA Server. »

    • Dans la même section, sous l'en-tête « Démarrage du service d'équilibrage de la charge réseau pour les membres du groupe ISA Server 2006 », il manque une étape. Avant de démarrer le service, vous devez d'abord activer l'intégration de l'équilibrage de la charge réseau.

Retour à la table des matières

7. Fichiers d'erreur HTML

ISA Server comporte un ensemble de messages d'erreur pouvant être renvoyés aux clients de navigateur Web. Ces messages d'erreur sont installés dans le répertoire d'installation d'ISA Server, dans le dossier ErrorHtmls. Par défaut, ils sont installés dans la langue d'installation de votre version d'ISA Server. Quelle que soit votre langue d'installation, les pages d'erreur HTML 12221r.htm et 12222r.htm sont installées uniquement en anglais. Des versions localisées de ces pages d'erreur peuvent être téléchargées via le package ErrorHtmls disponible sur le Centre de téléchargement ISA Server. Installez le package, puis copiez les pages 12221r.htm et 12222r.htm extraites du dossier de langue approprié dans le répertoire ErrorHtmls de l'ordinateur sur lequel ISA Server est installé. Si vous exécutez ISA Server Enterprise Edition, vous devez copier ces fichiers sur chaque ordinateur ISA Server du groupe.

Retour à la table des matières

Les informations contenues dans ce document, y compris les URL et autres références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf indication contraire, les exemples d'entreprises, d'organisations, de produits, de personnes et d'événements mentionnés dans ce document sont fictifs. Aucune association à des entreprise, organisation, produit, personne et événement réels n'a été voulue ni supposée. Le respect de la législation applicable en matière de droit d'auteur incombe à l'utilisateur. Sans restreindre les droits protégés par les droits d'auteur, le présent document ne peut être reproduit, stocké ni intégré à un système d'extraction, voire transmis, sous quelque forme que ce soit ou par quelque moyen que ce soit (électronique ou mécanique, par photocopie, par enregistrement ou autrement), pour quelque raison que ce soit, sans la permission écrite expresse de Microsoft Corporation.

La matière traitée dans le présent document peut comporter des brevets, des demandes de brevets, des marques commerciales, le droit d'auteur ou tout autre droit de propriété intellectuelle dont le titulaire est Microsoft. Sauf indication explicite dans tout accord de licence formulée par écrit et émanant de Microsoft, la remise du présent document ne vous confère aucune licence concernant ces brevets, marques commerciales, droit d'auteur ou autre propriété intellectuelle.

© 2006. Microsoft Corporation. Tous droits réservés.

Microsoft, Outlook, Windows Server et Windows Vista sont des marques commerciales, déposées ou non, de Microsoft Corporation aux États-Unis et/ou dans d'autres pays.

Retour à la table des matières