Bonjour,

je viens d'installer ISA 2006 SP1 sur un vieux coucou (P3 1,2 GHz, 512Mo, DD 32 Go RAID5) pour tester.

A l'origine j'ai voulu mettre un proxy avec authentification dans mon LAN puisque je n'avais qu'une carte réseau, ce que je fais facilement...

Maintenant j'ai ajouté une deuxieme carte reseau pour faire un serveur VPN, de la publication OWA, OMA et ActiveSync.

Dans mon infrastructure je possede deja un Firewall (Fortigate). J'ai configuré ISA comme "par-feu arriere" (apparement la meilleur solution dans mon cas, non ?) mais je souhaite utiliser ISA uniquement pour les web.

Explications:

- WAN : 80.10.10.10

- LAN : 172.16.186.0 /23

- DMZ :192.168.10.0 /24

-- IP Fortigate LAN :172.16.186.254

-- IP Fortigate DMZ :192.168.10.254

- IP ISA LAN :172.16.186.253

- IP ISA DMZ 192.168.10.253

- Gw ISA DMZ 192.168.10.254 (interface dmz du fortigate)

- DNS ISA DMZ : DNS du FAI

La passerelle par défaut de mes clients est le fortigate.

ISA est utilisé uniquement par IE.

J'ai créé une strategie qui autorise HTTP, HTTPS, FTP de "interne" vers "tout les reseaux". (en ayant déclarer le proxy dans IE, ce qui focntionne)

Ma question 1:

Je voudrais savoir s'il est normal que je ne puisse pas renseigner d'IP dans le reseau "Externe" (Pas d'onglet comme dans "Interne"). Est-ce que par défaut il recupere les infos de la deuxieme carte qui n'est pas attribuée au reseau "Interne" ?

Ne faut-il pas que ma strategie soit de la forme :

autorise HTTP de "interne" vers "Externe" ?

Ma question 2:

A propos du cache, J'ai dimensionné le cache a 1 Go. Nous sommes 60 users. Est-ce assez, pas assez ?

 

Pas faute d'avoir cherché, si vous avez des liens bien documentés sur ISA 2006 je suis prenneur !

Merci d'avance pour vos réponses.

Fabrice

 

---

Fabrice

Bonjour,

Pour la règle HTTP, si tu devrais avoir de "Interne" vers "Externe".

En ce qui concerne la carte WAN je ne me rappelle plus comment il l'a reconnais, faudrait que je recherche ca. Sinon tu as des vidéos sur le webcast cexcellent qui t'indique toutes les étapes pour monter un ISA avec filtre http (minimum).

Enfin pour le cache faut tenir compte de plusieurs paramètres. Tout d'abord les performances de tes disques, ensuite le nombre de users et aussi la quantité de sites consultés.

Après seulement tu pourras avoir une estimation de la taille du cache.

Pour ma part j'ai un cache de 10Go sur une machine avec disque SATA 15000RPM pour plus de 1000 users et pret de 6000000 de demandes HTTP par mois.

au final j'arrive a un taux d'utilisation du cache de pret de 50% pour les réponses vérifiées et je monte à 80% avec les réponses non vérifiées.

Mon cache à un renouvellement toute les 5 minutes max. et il est réglé en fonction des flux.

fabrice518:

Ma question 1:

Je voudrais savoir s'il est normal que je ne puisse pas renseigner d'IP dans le reseau "Externe" (Pas d'onglet comme dans "Interne"). Est-ce que par défaut il recupere les infos de la deuxieme carte qui n'est pas attribuée au reseau "Interne" ?

Pour ISA Server 2004/2006 réseau externe = tout ce qui n'a pas été défini comme adresse interne ou adresse DMZ.

Lors de l'installation, on précise les adresses internes ou les interfaces réseaux dites internes. A partir de là, ISA construit la plage des adresses internes en se basant sur les tables IP de la machine.

cldt

---

Stanislas Quastana, CISSP
Architecte Infrastructure
Microsoft France

Weblog : http://blogs.technet.com/stanislas