Passerelle TSE 2008 dans un AD 2003

Le
Lyes
Bonjour,

Je suis en train d'installer une passrelle TSE 2008 au sein d'un AD
en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à leur
poste de travail
depuis l'extérieur et je me pose plusieurs questions à ce sujet:

- Si je veux chiffer les communications entre ma passerelle TSE 2008
et l'extérieur dois je installer l'autorité de certificat sur un DC, un
serveur membre, ou un serveur standalone?

- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?

- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?

- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
le LAN et faire passer les communication RDP dans une tunnel IPSEC?

Je sais que je pose beaucoup de questions mais y a qu'ici que je trouve
des réponses pertinentes à mes questions.

Merci pour votre aide.

Lyes
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry DEMAN [MVP]
Le #20284061
Bonsoir,

quelques éléments de réponses.

--
Thierry DEMAN-BARCELÒ
http://www.faqexchange.info
Exchange MVP, MCITP Windows 2008, Exchange 2007, SQL 2008 (60 MCPs)
"Lyes" news:
Bonjour,

Je suis en train d'installer une passrelle TSE 2008 au sein d'un
AD
en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à
leur
poste de travail
depuis l'extérieur et je me pose plusieurs questions à ce sujet:

- Si je veux chiffer les communications entre ma passerelle TSE
2008
et l'extérieur dois je installer l'autorité de certificat sur un DC, un
serveur membre, ou un serveur standalone?



Le service peut être installé sur n'importe quel type de serveur.
Idéalement, ce doit être un Windows Enterprise intégré au domaine pour avoir
plus de facilité (distribution automatique des certificats et des autorités
racines.


- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?



A priori sur le LAN.


- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?



Avec un serveur ISA, le TSE-GW se trouvera sur le LAN.

- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
le LAN et faire passer les communication RDP dans une tunnel IPSEC?



Comme pour OWA de Exchange, le chiffrement en HTTP SSL permet de fonctionner
dans beaucoup plus de situation.

Je sais que je pose beaucoup de questions mais y a qu'ici que je
trouve
des réponses pertinentes à mes questions.

Merci pour votre aide.

Lyes


Marc Lognoul [MVP]
Le #20287851
Bonjour,

En complément des réponses de Thierry:
Il n'y a aucune obligation d'opérer une authorité de certification internet.
tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à
mettre sur le servfeur TS GW.
Entre le client et le serveur TS GW, l'encyrption se fera toujours par le
biais d'SSL.
Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la
sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui
me parrait un peu too much mais appellons cela la mode du "secure in
depth").
Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit
pouvoir communiquer avec AD sans restrictions, il est préférable de le
laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce
traffic sans introduire de dépendance avec AD.
ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais
cela fonctionne avec d'autres produits.

Voir http://technet.microsoft.com/en-us/magazine/2008.09.tsg.aspx?pr=blog

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/

"Lyes" news:
Bonjour,

Je suis en train d'installer une passrelle TSE 2008 au sein d'un
AD
en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à
leur
poste de travail
depuis l'extérieur et je me pose plusieurs questions à ce sujet:

- Si je veux chiffer les communications entre ma passerelle TSE
2008
et l'extérieur dois je installer l'autorité de certificat sur un DC, un
serveur membre, ou un serveur standalone?

- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?

- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?

- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
le LAN et faire passer les communication RDP dans une tunnel IPSEC?

Je sais que je pose beaucoup de questions mais y a qu'ici que je
trouve
des réponses pertinentes à mes questions.

Merci pour votre aide.

Lyes


Lyes
Le #20458091
Bonsoir Marc, Thierry,

Merci pour vos réponses.

Question subsidiaire:

Est-il possible de créer un genre de profile de connexion entre la TS-GW et
les TS-terminaux du réseau, de manière à rediriger les connexions des
utilisateurs vers leurs stations de travail afin qu'ils puisse utiliser
toutes leurs applications habituelles et qu'ils travaillent de chez eux comme
si ils étaient au bureau?
Nous avons plein (trop) de pseudo applications n tiers (avec n proche de
l'infini) & tordues codées au coin d'une table par des programmeurs qu'on a
du oublier de payer...
Ces applications nous ne savons (et ne voulons) pas les réinstaller.

Merci pour votre aide.

Lyes


"Marc Lognoul [MVP]" wrote:

Bonjour,

En complément des réponses de Thierry:
Il n'y a aucune obligation d'opérer une authorité de certification internet.
tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à
mettre sur le servfeur TS GW.
Entre le client et le serveur TS GW, l'encyrption se fera toujours par le
biais d'SSL.
Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la
sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui
me parrait un peu too much mais appellons cela la mode du "secure in
depth").
Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit
pouvoir communiquer avec AD sans restrictions, il est préférable de le
laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce
traffic sans introduire de dépendance avec AD.
ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais
cela fonctionne avec d'autres produits.

Voir http://technet.microsoft.com/en-us/magazine/2008.09.tsg.aspx?pr=blog

--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/

"Lyes" news:
> Bonjour,
>
> Je suis en train d'installer une passrelle TSE 2008 au sein d'un
> AD
> en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à
> leur
> poste de travail
> depuis l'extérieur et je me pose plusieurs questions à ce sujet:
>
> - Si je veux chiffer les communications entre ma passerelle TSE
> 2008
> et l'extérieur dois je installer l'autorité de certificat sur un DC, un
> serveur membre, ou un serveur standalone?
>
> - Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
>
> - Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
>
> - Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
> le LAN et faire passer les communication RDP dans une tunnel IPSEC?
>
> Je sais que je pose beaucoup de questions mais y a qu'ici que je
> trouve
> des réponses pertinentes à mes questions.
>
> Merci pour votre aide.
>
> Lyes




Publicité
Poster une réponse
Anonyme