locked
ISA Server 2006 DMZ avec IP publiques RRS feed

  • Question

  • Bonjour,

    Je suis actuellement en train d'étudier la mise en place d'un serveur OCS 2007 R2 en interne, avec accès pour les utilisateurs externes avec un seul serveur Edge.
    Je souhaite pour cela utiliser ISA Server 2006 dans une configuration Périmètre 3 phases, avec mon serveur Edge dans la DMZ.
    Le problème, c'est qu'il faut 3 adresses IP publiques pour le Edge, or ISA 2006 est incapable de faire du static NAT. Je ne peux donc pas  assigner ces IP publiques sur l'interface externe d'ISA, puis des IP privées au Edge dans la DMZ mappées aux IP publiques par du static NAT.
    Je suis donc obligé d'attribuer directement des IP publiques à la DMZ, cependant je ne suis pas très sûr de la marche à suivre. Je sais que le comportement par défaut d'une DMZ ISA 2006 est d'utiliser des IP publiques ( http://blogs.pointbridge.com/Blogs/schertz_jeff/Pages/Post.aspx?_ID=12 ), mais quelles IP dois-je configurer sur les différentes interfaces d'ISA ?
    Selon moi, il faudrait au minimum 5 IP publiques, par exemple:
    - Sur l'interface externe d'ISA: 82.82.82.100
    - Sur l'interface DMZ d'ISA: 82.82.82.101
    - Sur l'interface externe du Edge, les 3 IP publiques sur l'interface externe: 82.82.82.102, 82.82.82.103, 82.82.82.104
    On suppose le Edge avec une configuration à 2 cartes réseaux, la carte interne directement reliée au LAN.

    Mais comment se passe le routage des IP publiques concrêtement ? Combien de subnet d'IP publiques dois-je acheter?
    Car je suppose que je dois avoir un subnet entier pour ma DMZ pour router correctement tout ça + 1 adresse pour l'externe d'ISA, mais je n'en suis pas sûr...
    vendredi 28 août 2009 08:06

Réponses

  • Bonsoir,

    je ne comprends pas pourquoi le Edge (ou ISA) aurait nécessairement besoin de 3 adresses IP publiques...

    Ce qu'indique l'article indiqué est que si l'on veut avoir l'équivalent d'une DMZ (3 legs),  on est obligé soit de router côté Internet, soir de router côté interne, l'autre côté étant forcément "naté" sur les ports réseau nécessaires (PAT).

    Le serveur EDGE aura une adresse IP dans sa DMZ, et une adresse IP publique qui sera redirigé par ISA vers l'adresse de DMZ.

    A bientôt,

    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT, MCTS OCS2007. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    dimanche 30 août 2009 20:37
  • Bonjour,

    voici quelques éléments de réponses !

    http://blogs.msdn.com/byrons/archive/2009/02/18/ocs-2007-r2-edge-server-topologies.aspx

    Notamment, cette phrase : the biggest new items that comes to R2 is the concept of the consolidated edge topology now. This is where we have all three roles (Access Edge, Web Conferencing Edge, and Audio Video Edge) all on the same box.

    Le mode "consolidé" suppose que l'on installe les 3 rôles sur la même machine (donc une seule adresse IP).

    http://www.microsoft.com/downloads/details.aspx?FamilyId=F8CC9B59-225F-425D-BD3A-E506396C6207&displaylang=en

    Ce document devrait indiquer les éléments que l'on peut regrouper ou non !

    A bientôt,
    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT, MCTS OCS2007. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    mardi 1 septembre 2009 07:25

Toutes les réponses

  • Bonsoir,

    je ne comprends pas pourquoi le Edge (ou ISA) aurait nécessairement besoin de 3 adresses IP publiques...

    Ce qu'indique l'article indiqué est que si l'on veut avoir l'équivalent d'une DMZ (3 legs),  on est obligé soit de router côté Internet, soir de router côté interne, l'autre côté étant forcément "naté" sur les ports réseau nécessaires (PAT).

    Le serveur EDGE aura une adresse IP dans sa DMZ, et une adresse IP publique qui sera redirigé par ISA vers l'adresse de DMZ.

    A bientôt,

    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT, MCTS OCS2007. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    dimanche 30 août 2009 20:37
  • Bonjour,

    En fait, sur tous les articles et blogs techniques que j'ai consulté, il est indiqué qu'il est nécessaire d'avoir 3 addresses IP publiques pour un serveur Edge OCS 207 R2, soit 1 par rôle:
    Access, web conference, A/V conferencing. Dans une discussion où j'exposais la topologie que je souhaitais mettre en place http://social.microsoft.com/Forums/en-US/communicationsserveredgeservers/thread/a55fa956-2931-42f4-ab6b-3871a18e3455/#c996e021-7db2-4c86-b528-edc7556fa934, on m'a également affirmé qu'il y avait besoin de 3 IP publiques pour le Edge.
    Et dans une telle configuration, il ne m'est plus possible d'utiliser d'addresses IP privées dans la DMZ car ISA Server 2006 ne supporterait pas le static NAT pour mapper une IP publique à une IP privée ... d'où mes questions sur l'achat d'une plage d'IP publiques.

    Cependant, si vous avez un article ou des éléments qui de réponse qui me permettraient de mettre en place la topologie que j'expose dans mon lien, je suis preneur !
    lundi 31 août 2009 08:20
  • Bonjour,

    voici quelques éléments de réponses !

    http://blogs.msdn.com/byrons/archive/2009/02/18/ocs-2007-r2-edge-server-topologies.aspx

    Notamment, cette phrase : the biggest new items that comes to R2 is the concept of the consolidated edge topology now. This is where we have all three roles (Access Edge, Web Conferencing Edge, and Audio Video Edge) all on the same box.

    Le mode "consolidé" suppose que l'on installe les 3 rôles sur la même machine (donc une seule adresse IP).

    http://www.microsoft.com/downloads/details.aspx?FamilyId=F8CC9B59-225F-425D-BD3A-E506396C6207&displaylang=en

    Ce document devrait indiquer les éléments que l'on peut regrouper ou non !

    A bientôt,
    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT, MCTS OCS2007. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    mardi 1 septembre 2009 07:25