Configurer les règles de publication Web pour un pool interne unique
Dernière rubrique modifiée : 2011-11-03
Microsoft Forefront Threat Management Gateway 2010 utilise des règles de publication Web pour publier les ressources internes, telles qu’une URL de réunion, aux utilisateurs d’Internet.
Outre les URL des services Web pour les répertoires virtuels, vous devez également créer des règles de publication pour les URL simples. Pour chaque URL simple, vous devez créer une règle individuelle sur le proxy inverse qui pointe sur cette URL simple.
Si vous déployez la mobilité et que vous utilisez la découverte automatique, vous devez créer une règle de publication pour l’URL du service de découverte automatique externe. La découverte automatique nécessite également des règles de publication pour l’URL externe des services Web Lync Server pour votre pool de directeurs et votre pool de serveurs frontaux. Pour plus de détails sur la création des règles de publication Web pour la découverte automatique, voir Configuration du proxy inverse pour la mobilité.
Suivez les procédures ci-dessous pour créer des règles de publications Web.
Remarque : |
---|
Ces procédures supposent que vous avez installé la version Standard Edition de Forefront Threat Management Gateway (TMG) 2010. |
Pour créer une règle de publication de serveur Web sur l’ordinateur qui exécute TMG 2010
Cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft Forefront TMG, puis cliquez sur Forefront TMG Management.
Dans le volet de gauche, développez NomServeur, cliquez avec le bouton droit sur Stratégie de pare-feu, pointez sur Nouveau, puis cliquez sur Règle de publication Web.
Dans la page Assistant Nouvelle règle de publication Web, entrez un nom convivial pour la règle de publication (par exemple, LyncServerWebDownloadsRule).
Dans la page Sélectionner l’action de la règle, sélectionnez Autoriser.
Dans la page Type de publication, sélectionnez Publier un seul site Web ou équilibreur de charge.
Dans la page Sécurité de connexion serveur, sélectionnez Utiliser SSL pour se connecter au serveur Web publié ou à la batterie de serveurs.
Dans la page Détails de publication interne, tapez le nom de domaine complet de la batterie de serveurs Web internes qui héberge le contenu de réunion et les fichiers de carnet d’adresses dans la zone Nom du site interne.
Remarque : Si votre serveur interne est un serveur Standard Edition, ce nom de domaine complet est celui du serveur Standard Edition. Si votre serveur interne est un pool frontal, le nom de domaine complet (FQDN) est une adresse IP virtuelle (VIP) du programme d’équilibrage de la charge matérielle qui équilibre la charge des serveurs de la batterie de serveurs Web internes. Le serveur TMG doit pouvoir résoudre le nom de domaine complet sur l’adresse IP du serveur Web interne. Si le serveur TMG n’est pas en mesure de résoudre le nom de domaine complet sur l’adresse IP correcte, vous pouvez sélectionner Utiliser un nom d’ordinateur ou une adresse IP pour se connecter au serveur publié, puis dans la zone Nom ouadresse IP de l’ordinateur, taper l’adresse IP du serveur Web interne. Dans ce cas, vous devez vous assurer que le port 53 est ouvert sur le serveur TMG et que celui-ci parvient à atteindre un serveur DNS résidant dans le réseau de périmètre. Vous pouvez également utiliser des entrées dans le fichier hôtes local pour permettre la résolution des noms. Dans la page Détails de publication interne, dans la zone Chemin d’accès (facultatif), tapez /* comme chemin d’accès du dossier à publier.
Remarque : Dans l’Assistant de publication de sites Web, vous ne pouvez indiquer qu’un seul chemin d’accès. Vous pouvez toutefois en ajouter d’autres en modifiant les propriétés de la règle. Dans la page Informations sur les noms publics, confirmez que Ce nom de domaine est bien sélectionné sous Accepter les demandes pour, et tapez le nom de domaine complet des services Web externes dans la zone Nom public.
Dans la page Sélectionnez le port d’écoute, cliquez sur Nouveau pour ouvrir l’Assistant Nouvelle définition de port d’écoute Web.
Dans la page Assistant Nouveau port d’écoute Web, tapez le nom du port d’écoute Web dans la zone Nom du port d’écoute Web (par exemple, LyncServerWebServers).
Dans la page Sécurité de la connexion client, sélectionnez Exiger des connexions sécurisées SSL avec les clients.
Dans la page Adresse IP de l’écouteur Web, sélectionnez Externe, puis cliquez sur Sélectionner l’adresse IP.
Dans la page Sélection de l’adresse IP de l’écouteur externe, sélectionnez Les adresses IP spécifiées inscrites sur l’ordinateur Forefront TMG qui sont dans le réseau sélectionné, sélectionnez l’adresse IP appropriée, puis cliquez sur Ajouter.
Dans la page Certificats SSL de l’écouteur, sélectionnez Affecter un certificat à chaque adresse IP, sélectionnez l’adresse IP associée au nom de domaine Web complet externe, puis cliquez sur Sélectionner le certificat.
Dans la page Sélectionner le certificat, sélectionnez le certificat qui correspond aux noms publics spécifiés à l’étape 9, puis cliquez sur Sélectionner.
Dans la page Paramètre d’authentification, sélectionnez Pas d’authentification.
Dans la page Paramètres de l’authentification unique, cliquez sur Suivant.
Dans la page Fin de l’Assistant Nouveau port d’écoute Web, vérifiez que les paramètres du port d’écoute Web sont corrects, puis cliquez sur Terminer.
Dans la page Délégation de l’authentification, sélectionnez Aucune délégation pour laisser le client s’authentifier directement.
Dans la page Ensemble d’utilisateurs, cliquez sur Suivant.
Dans la page Fin de l’Assistant Nouvelle règle de publication Web, vérifiez que les paramètres de la règle de publication Web sont corrects, puis cliquez sur Terminer.
Cliquez sur Appliquer dans le volet des détails pour enregistrer les modifications et mettre à jour la configuration.
Pour modifier les propriétés de la règle de publication Web
Cliquez sur Démarrer, pointez sur Programmes, pointez sur Microsoft Forefront TMG, puis cliquez sur Forefront TMG Management.
Dans le volet de gauche, développez NomServeur, puis cliquez sur Stratégie de pare-feu.
Dans le volet des détails, cliquez avec le bouton droit sur la règle de publication de serveur Web que vous avez créée précédemment (par exemple, LyncServerExternalRule), puis cliquez sur Propriétés.
Dans la page Propriétés, sous l’onglet De, procédez comme suit :
Dans la liste Cette règle s’applique au trafic émanant de ces sources, cliquez sur Partout, puis sur Supprimer.
Cliquez sur Ajouter.
Dans la boîte de dialogue Ajouter des entités réseau, développez Réseaux, cliquez sur Externe, puis sur Ajouter, puis sur Fermer.
Sous l’onglet À, vérifiez que la case à cocher Transmettre l’en-tête de l’hôte d’origine plutôt que l’en-tête réel est activée.
Dans la zone Pontage, activez la case à cocher Rediriger la demande vers le port SSL, puis spécifiez le port 4443.
Sous l’onglet Nom public, ajoutez les URL simples (par exemple, meet.contoso.com et dialin.contoso.com).
Cliquez sur Appliquer pour enregistrer les modifications, puis sur OK.
Cliquez sur Appliquer dans le volet des détails pour enregistrer les modifications et mettre à jour la configuration.