Je suis en train d'installer une passrelle TSE 2008 au sein d'un AD
en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à leur
poste de travail
depuis l'extérieur et je me pose plusieurs questions à ce sujet:
- Si je veux chiffer les communications entre ma passerelle TSE 2008
et l'extérieur dois je installer l'autorité de certificat sur un DC, un
serveur membre, ou un serveur standalone?
- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
le LAN et faire passer les communication RDP dans une tunnel IPSEC?
Je sais que je pose beaucoup de questions mais y a qu'ici que je trouve
des réponses pertinentes à mes questions.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thierry DEMAN [MVP]
Bonsoir,
quelques éléments de réponses.
-- Thierry DEMAN-BARCELÒ http://www.faqexchange.info Exchange MVP, MCITP Windows 2008, Exchange 2007, SQL 2008 (60 MCPs) "Lyes" wrote in message news:
Bonjour,
Je suis en train d'installer une passrelle TSE 2008 au sein d'un AD en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à leur poste de travail depuis l'extérieur et je me pose plusieurs questions à ce sujet:
- Si je veux chiffer les communications entre ma passerelle TSE 2008 et l'extérieur dois je installer l'autorité de certificat sur un DC, un serveur membre, ou un serveur standalone?
Le service peut être installé sur n'importe quel type de serveur. Idéalement, ce doit être un Windows Enterprise intégré au domaine pour avoir plus de facilité (distribution automatique des certificats et des autorités racines.
- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
A priori sur le LAN.
- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
Avec un serveur ISA, le TSE-GW se trouvera sur le LAN.
- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur le LAN et faire passer les communication RDP dans une tunnel IPSEC?
Comme pour OWA de Exchange, le chiffrement en HTTP SSL permet de fonctionner dans beaucoup plus de situation.
Je sais que je pose beaucoup de questions mais y a qu'ici que je trouve des réponses pertinentes à mes questions.
Merci pour votre aide.
Lyes
Bonsoir,
quelques éléments de réponses.
--
Thierry DEMAN-BARCELÒ
http://www.faqexchange.info
Exchange MVP, MCITP Windows 2008, Exchange 2007, SQL 2008 (60 MCPs)
"Lyes" <Lyes@discussions.microsoft.com> wrote in message
news:E2296E78-792D-4511-93B5-CECCE0663FCD@microsoft.com...
Bonjour,
Je suis en train d'installer une passrelle TSE 2008 au sein d'un
AD
en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à
leur
poste de travail
depuis l'extérieur et je me pose plusieurs questions à ce sujet:
- Si je veux chiffer les communications entre ma passerelle TSE
2008
et l'extérieur dois je installer l'autorité de certificat sur un DC, un
serveur membre, ou un serveur standalone?
Le service peut être installé sur n'importe quel type de serveur.
Idéalement, ce doit être un Windows Enterprise intégré au domaine pour avoir
plus de facilité (distribution automatique des certificats et des autorités
racines.
- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
A priori sur le LAN.
- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
Avec un serveur ISA, le TSE-GW se trouvera sur le LAN.
- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
le LAN et faire passer les communication RDP dans une tunnel IPSEC?
Comme pour OWA de Exchange, le chiffrement en HTTP SSL permet de fonctionner
dans beaucoup plus de situation.
Je sais que je pose beaucoup de questions mais y a qu'ici que je
trouve
des réponses pertinentes à mes questions.
-- Thierry DEMAN-BARCELÒ http://www.faqexchange.info Exchange MVP, MCITP Windows 2008, Exchange 2007, SQL 2008 (60 MCPs) "Lyes" wrote in message news:
Bonjour,
Je suis en train d'installer une passrelle TSE 2008 au sein d'un AD en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à leur poste de travail depuis l'extérieur et je me pose plusieurs questions à ce sujet:
- Si je veux chiffer les communications entre ma passerelle TSE 2008 et l'extérieur dois je installer l'autorité de certificat sur un DC, un serveur membre, ou un serveur standalone?
Le service peut être installé sur n'importe quel type de serveur. Idéalement, ce doit être un Windows Enterprise intégré au domaine pour avoir plus de facilité (distribution automatique des certificats et des autorités racines.
- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
A priori sur le LAN.
- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
Avec un serveur ISA, le TSE-GW se trouvera sur le LAN.
- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur le LAN et faire passer les communication RDP dans une tunnel IPSEC?
Comme pour OWA de Exchange, le chiffrement en HTTP SSL permet de fonctionner dans beaucoup plus de situation.
Je sais que je pose beaucoup de questions mais y a qu'ici que je trouve des réponses pertinentes à mes questions.
Merci pour votre aide.
Lyes
Marc Lognoul [MVP]
Bonjour,
En complément des réponses de Thierry: Il n'y a aucune obligation d'opérer une authorité de certification internet. tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à mettre sur le servfeur TS GW. Entre le client et le serveur TS GW, l'encyrption se fera toujours par le biais d'SSL. Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui me parrait un peu too much mais appellons cela la mode du "secure in depth"). Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit pouvoir communiquer avec AD sans restrictions, il est préférable de le laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce traffic sans introduire de dépendance avec AD. ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais cela fonctionne avec d'autres produits.
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Lyes" wrote in message news:
Bonjour,
Je suis en train d'installer une passrelle TSE 2008 au sein d'un AD en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à leur poste de travail depuis l'extérieur et je me pose plusieurs questions à ce sujet:
- Si je veux chiffer les communications entre ma passerelle TSE 2008 et l'extérieur dois je installer l'autorité de certificat sur un DC, un serveur membre, ou un serveur standalone?
- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur le LAN et faire passer les communication RDP dans une tunnel IPSEC?
Je sais que je pose beaucoup de questions mais y a qu'ici que je trouve des réponses pertinentes à mes questions.
Merci pour votre aide.
Lyes
Bonjour,
En complément des réponses de Thierry:
Il n'y a aucune obligation d'opérer une authorité de certification internet.
tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à
mettre sur le servfeur TS GW.
Entre le client et le serveur TS GW, l'encyrption se fera toujours par le
biais d'SSL.
Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la
sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui
me parrait un peu too much mais appellons cela la mode du "secure in
depth").
Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit
pouvoir communiquer avec AD sans restrictions, il est préférable de le
laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce
traffic sans introduire de dépendance avec AD.
ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais
cela fonctionne avec d'autres produits.
--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
"Lyes" <Lyes@discussions.microsoft.com> wrote in message
news:E2296E78-792D-4511-93B5-CECCE0663FCD@microsoft.com...
Bonjour,
Je suis en train d'installer une passrelle TSE 2008 au sein d'un
AD
en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à
leur
poste de travail
depuis l'extérieur et je me pose plusieurs questions à ce sujet:
- Si je veux chiffer les communications entre ma passerelle TSE
2008
et l'extérieur dois je installer l'autorité de certificat sur un DC, un
serveur membre, ou un serveur standalone?
- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
le LAN et faire passer les communication RDP dans une tunnel IPSEC?
Je sais que je pose beaucoup de questions mais y a qu'ici que je
trouve
des réponses pertinentes à mes questions.
En complément des réponses de Thierry: Il n'y a aucune obligation d'opérer une authorité de certification internet. tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à mettre sur le servfeur TS GW. Entre le client et le serveur TS GW, l'encyrption se fera toujours par le biais d'SSL. Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui me parrait un peu too much mais appellons cela la mode du "secure in depth"). Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit pouvoir communiquer avec AD sans restrictions, il est préférable de le laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce traffic sans introduire de dépendance avec AD. ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais cela fonctionne avec d'autres produits.
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Lyes" wrote in message news:
Bonjour,
Je suis en train d'installer une passrelle TSE 2008 au sein d'un AD en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à leur poste de travail depuis l'extérieur et je me pose plusieurs questions à ce sujet:
- Si je veux chiffer les communications entre ma passerelle TSE 2008 et l'extérieur dois je installer l'autorité de certificat sur un DC, un serveur membre, ou un serveur standalone?
- Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
- Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
- Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur le LAN et faire passer les communication RDP dans une tunnel IPSEC?
Je sais que je pose beaucoup de questions mais y a qu'ici que je trouve des réponses pertinentes à mes questions.
Merci pour votre aide.
Lyes
Lyes
Bonsoir Marc, Thierry,
Merci pour vos réponses.
Question subsidiaire:
Est-il possible de créer un genre de profile de connexion entre la TS-GW et les TS-terminaux du réseau, de manière à rediriger les connexions des utilisateurs vers leurs stations de travail afin qu'ils puisse utiliser toutes leurs applications habituelles et qu'ils travaillent de chez eux comme si ils étaient au bureau? Nous avons plein (trop) de pseudo applications n tiers (avec n proche de l'infini) & tordues codées au coin d'une table par des programmeurs qu'on a du oublier de payer... Ces applications nous ne savons (et ne voulons) pas les réinstaller.
Merci pour votre aide.
Lyes
"Marc Lognoul [MVP]" wrote:
Bonjour,
En complément des réponses de Thierry: Il n'y a aucune obligation d'opérer une authorité de certification internet. tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à mettre sur le servfeur TS GW. Entre le client et le serveur TS GW, l'encyrption se fera toujours par le biais d'SSL. Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui me parrait un peu too much mais appellons cela la mode du "secure in depth"). Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit pouvoir communiquer avec AD sans restrictions, il est préférable de le laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce traffic sans introduire de dépendance avec AD. ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais cela fonctionne avec d'autres produits.
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Lyes" wrote in message news: > Bonjour, > > Je suis en train d'installer une passrelle TSE 2008 au sein d'un > AD > en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à > leur > poste de travail > depuis l'extérieur et je me pose plusieurs questions à ce sujet: > > - Si je veux chiffer les communications entre ma passerelle TSE > 2008 > et l'extérieur dois je installer l'autorité de certificat sur un DC, un > serveur membre, ou un serveur standalone? > > - Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ? > > - Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ? > > - Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur > le LAN et faire passer les communication RDP dans une tunnel IPSEC? > > Je sais que je pose beaucoup de questions mais y a qu'ici que je > trouve > des réponses pertinentes à mes questions. > > Merci pour votre aide. > > Lyes
Bonsoir Marc, Thierry,
Merci pour vos réponses.
Question subsidiaire:
Est-il possible de créer un genre de profile de connexion entre la TS-GW et
les TS-terminaux du réseau, de manière à rediriger les connexions des
utilisateurs vers leurs stations de travail afin qu'ils puisse utiliser
toutes leurs applications habituelles et qu'ils travaillent de chez eux comme
si ils étaient au bureau?
Nous avons plein (trop) de pseudo applications n tiers (avec n proche de
l'infini) & tordues codées au coin d'une table par des programmeurs qu'on a
du oublier de payer...
Ces applications nous ne savons (et ne voulons) pas les réinstaller.
Merci pour votre aide.
Lyes
"Marc Lognoul [MVP]" wrote:
Bonjour,
En complément des réponses de Thierry:
Il n'y a aucune obligation d'opérer une authorité de certification internet.
tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à
mettre sur le servfeur TS GW.
Entre le client et le serveur TS GW, l'encyrption se fera toujours par le
biais d'SSL.
Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la
sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui
me parrait un peu too much mais appellons cela la mode du "secure in
depth").
Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit
pouvoir communiquer avec AD sans restrictions, il est préférable de le
laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce
traffic sans introduire de dépendance avec AD.
ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais
cela fonctionne avec d'autres produits.
--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
"Lyes" <Lyes@discussions.microsoft.com> wrote in message
news:E2296E78-792D-4511-93B5-CECCE0663FCD@microsoft.com...
> Bonjour,
>
> Je suis en train d'installer une passrelle TSE 2008 au sein d'un
> AD
> en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à
> leur
> poste de travail
> depuis l'extérieur et je me pose plusieurs questions à ce sujet:
>
> - Si je veux chiffer les communications entre ma passerelle TSE
> 2008
> et l'extérieur dois je installer l'autorité de certificat sur un DC, un
> serveur membre, ou un serveur standalone?
>
> - Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ?
>
> - Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ?
>
> - Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur
> le LAN et faire passer les communication RDP dans une tunnel IPSEC?
>
> Je sais que je pose beaucoup de questions mais y a qu'ici que je
> trouve
> des réponses pertinentes à mes questions.
>
> Merci pour votre aide.
>
> Lyes
Est-il possible de créer un genre de profile de connexion entre la TS-GW et les TS-terminaux du réseau, de manière à rediriger les connexions des utilisateurs vers leurs stations de travail afin qu'ils puisse utiliser toutes leurs applications habituelles et qu'ils travaillent de chez eux comme si ils étaient au bureau? Nous avons plein (trop) de pseudo applications n tiers (avec n proche de l'infini) & tordues codées au coin d'une table par des programmeurs qu'on a du oublier de payer... Ces applications nous ne savons (et ne voulons) pas les réinstaller.
Merci pour votre aide.
Lyes
"Marc Lognoul [MVP]" wrote:
Bonjour,
En complément des réponses de Thierry: Il n'y a aucune obligation d'opérer une authorité de certification internet. tout ce dont vous avez besoine, c'est d'un certificat valable et approprié à mettre sur le servfeur TS GW. Entre le client et le serveur TS GW, l'encyrption se fera toujours par le biais d'SSL. Entre le TS GW et les serveurs TS finaux, vous pouvez vous reposer sur la sécurisation propre au protocole RDP ou mettre en place de l'IPSec (ce qui me parrait un peu too much mais appellons cela la mode du "secure in depth"). Enfin, en ce qui concerne le placement du TS GW, étant donné qu'il doit pouvoir communiquer avec AD sans restrictions, il est préférable de le laisser sur le LAN et de placer un reverse-proxy en DMZ pour relayer ce traffic sans introduire de dépendance avec AD. ISA 2006, comme le suggère Thierry, est la solution de prédilection, mais cela fonctionne avec d'autres produits.
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
"Lyes" wrote in message news: > Bonjour, > > Je suis en train d'installer une passrelle TSE 2008 au sein d'un > AD > en 2003 afin d'offri aux utilisateurs la possiblité d'accéder à > leur > poste de travail > depuis l'extérieur et je me pose plusieurs questions à ce sujet: > > - Si je veux chiffer les communications entre ma passerelle TSE > 2008 > et l'extérieur dois je installer l'autorité de certificat sur un DC, un > serveur membre, ou un serveur standalone? > > - Dois-je mettre le serveur de certificat en DMZ ou sur le LAN ? > > - Dois-je mettre mon serveur TSE-GW en DMZ ou sur le LAN ? > > - Puis-je m'affranchir de chiffrement SSL, mettre mon serveur TSE-GWsur > le LAN et faire passer les communication RDP dans une tunnel IPSEC? > > Je sais que je pose beaucoup de questions mais y a qu'ici que je > trouve > des réponses pertinentes à mes questions. > > Merci pour votre aide. > > Lyes
