Mise en œuvre d`une Gateway HTTP/HTTPS avec un serveur de
Transcription
Mise en œuvre d`une Gateway HTTP/HTTPS avec un serveur de
Fiche technique AppliDis Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Fiche IS00198 Version document : 4.01 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de Systancia ou des membres du programmes Partenaires AppliDis. Objet du document Ce document présente la marche à suivre pour déployer une Gateway HTTP/HTTPS avec le positionnement d’un serveur de présentation dans la DMZ. Vous pouvez également vous reporter aux fiches suivantes concernant la Gateway HTTP: - IS00152.pdf: Paramétrage de la Gateway HTTP - IS00164.pdf: Fonctionnement de la Gateway HTTP/HTTPS AppliDis Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Sommaire 1 2 Introduction ......................................................................................................... 3 Pré requis ............................................................................................................ 4 2.1 Activation de la Gateway HTTP.......................................................................... 4 2.2 Paramétrage des zones Client utilisant la Gateway HTTP ...................................... 7 2.3 Ports à ouvrir entre le LAN et la DMZ ................................................................. 8 3 Validation du fonctionnement de la Gateway HTTP .................................................... 8 3.1 Validation de l’accès au site Web via l’extérieur................................................... 8 3.2 La page XML ne peut pas être affichée. ............................................................ 10 3.3 Page ou répertoire introuvable avec l’erreur http 404......................................... 12 3.4 Contrôle du paramétrage sur les serveurs Gateway HTTP. .................................. 14 Références ............................................................................................................... 15 Table des Illustrations Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure Figure 1 - Console d'administration (Serveurs) ................................................................ 4 2 - Activation de la fonctionnalité Gateway HTTP ................................................... 5 3 - Activation de la fonctionnalité Gateway HTTP (IP publique) ................................ 6 4 - Activer les plages d'IP exclus pour la Gateway HTTP.......................................... 7 5 - (Tableau) Plages d'adresses IP privées ............................................................ 7 6 - (Tableau) Ports à ouvrir entre le LAN et la DMZ ................................................ 8 7 - Microsoft Explorer (page http 'en chantier') ...................................................... 8 8 - Gestionnaire des Services Internet (IIS) WGatewaySvr.asp................................ 9 9 - La page XML ne peut être affichée ................................................................ 10 10 - Gestionnaire des services Internet (IIS), page default.asp ............................. 11 11 - La page est introuvable (test depuis WGatewaySvr.asp) ................................ 12 12 - Extension du service Web - Interdire Active Server Pages (ASP) ..................... 13 13 - Extension du service Web - Autorisé Active Server Pages (ASP) ...................... 13 IS00198-V4 Version de la fiche 4.01 19/08/2009 2/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ 1 Introduction Le portail web client dit rôle de présentation peut être mis dans une zone démilitarisée (DMZ) en complément de la « Gateway HTTP » d’AppliDis. Cela permet de rendre disponible les applications publiées par ce portail sans que d’autres éléments d’AppliDis ne soient directement accessibles. Notons que le service de présentation ne profite pas du mécanisme de redondance à chaud via l’adresse IP virtuelle qui est réservée au serveur d’administration (services d’administration et de présentation sur un même serveur). Pour mettre en place ce type de redondance, vous pouvez utiliser un routeur offrant la fonctionnalité LSNAT. Ceci est identique à l’IP virtuelle mais est géré par le matériel actif. Si des applications sont en cours d’utilisation et que le portail de présentation est indisponible, ces applications restent actives. En revanche les utilisateurs ne pourront pas lancer d’applications supplémentaires. Pour se connecter au portail de présentation il faut saisir dans Microsoft internet explorer l’Url formée du nom de votre serveur de présentation ou de son IP Publique suivi de /AdisPortal/ Exemple pour le serveur de présentation nommé « SRVPRESENTATION » avec comme IP vu du nuage internet « 214.250.15.29 » cela donne http://SRVPRESENTATION/adisportal/ ou http://214.250.15.29/AdisPortal/ La machine dans la zone démilitarisée (DMZ) devra alors remplir les pré-requis d'un « Serveur de Présentation AppliDis » et les pré-requis d'un « Serveur Gateway Http AppliDis » en fonction du ou des rôle(s) qu’elle va héberger. La fonction d'un tel serveur est de proposer l’accès aux applications et de gérer l’encapsulation des trames Microsoft RDP (Remote Desktop Protocol) dans les trames HTTP ou HTTPS. Ensuite il va pouvoir renforcer la sécurité du site en constituant un "intermédiaire obligatoire" des postes clients voulant se connecter aux serveurs d’applications. Ces serveurs ‘relais’ sont particulièrement utiles pour des accès extérieurs afin de faciliter le passage des serveurs pare-feu/firewalls ou autres serveurs proxy. En effet, grâce au service d’encapsulation des trames Microsoft RDP (Remote Desktop Protocol) en mode HTTP / HTTPS, vous n’avez pas besoin d’ouvrir des ports supplémentaires vers l’extérieur. Vous maintenez donc votre sécurité réseau à un niveau élevé. Au niveau d’AppliDis ce sont deux rôles distincts, cela signifie que l’un peut être effectué en HTTP et l’autre configuré en HTTPS. En règle générale le portail de présentation est configuré en HTTPS et la Gateway en HTTP. IS00198-V4 Version de la fiche 4.01 19/08/2009 3/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ 2 Pré requis Il convient de déployer les rôles Gateway et Présentation sur le serveur qui va être placé dans la DMZ. Pour cela il faut aller dans la console d’administration AppliDis et mettre en place le rôle Gateway et Présentation. Puis vous devez activer la Gateway HTTP. Comme vous pouvez le voir sur la capture d’écran ci-dessous, le serveur T612 est à la fois le serveur de présentation et Gateway dans la DMZ. Figure 1 - Console d'administration (Serveurs) 2.1 Activation de la Gateway HTTP Depuis la console d'administration AppliDis, menu Serveur/Gateway HTTP, veuillez activer la fonctionnalité Gateway HTTP via la case à cocher. Nommé « Activation de la Gateway HTTP sur les serveurs Gateway » IS00198-V4 Version de la fiche 4.01 19/08/2009 4/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Figure 2 - Activation de la fonctionnalité Gateway HTTP Paramétrez ensuite pour le serveur ayant le rôle Gateway HTTP, l'URL d'accès vu extérieur du nuage avec le type d’accès. L'URL d'accès est composée du mode HTTP HTTPS, du nom DNS par lequel les clients accèderont au serveur (généralement nom DNS correspondant à l’adresse IP externe du pare-feu/firewall) puis le port service (80 en mode HTTP ou 443 en mode HTTPS). 1. Dans le menu, Gateway HTTP, cocher Activation de la Gateway HTTP. 2. Cocher la case d'activation du serveur Gateway HTTP. 3. Positionner le mode d’accès qui sera effectué sur la Gateway HTTP (HTTP ou HTTPS). 4. Spécifier le nom DNS par lequel arriveront les clients. 5. Spécifier le port adapté si vous n’avez pas changé les ports standards (80:HTTP / 443:HTTPS) 6. Cliquer sur valider. IS00198-V4 Version de la fiche 4.01 de ou un du 19/08/2009 5/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Figure 3 - Activation de la fonctionnalité Gateway HTTP (IP publique) Note: En mode HTTPS, votre serveur doit disposer d'un certificat SSL en cours de validité correspondant également au nom DNS de votre accès vers la Gateway HTTPS. Le mode SSL ne fonctionne que si les 3 pré-requis suivants sont satisfaits: 1/ Common Name du certificat équivalent au nom DNS spécifié dans l'interface. 2/ Certificat valide dans le temps. 3/ Certificat approuvé par une CA racine. Si un seul de ces éléments n’est pas respecté la connexion vers la Gateway HTTPS sera refusée. IS00198-V4 Version de la fiche 4.01 19/08/2009 6/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ 2.2 Paramétrage des zones Client utilisant la Gateway HTTP Selon l'origine de provenance de vos clients, la Gateway HTTP devra être utilisée ou non. Généralement, les utilisateurs situés dans un LAN ou dans un WAN reliés aux serveurs par VPN ne sont pas concernés par ce paramétrage, ils peuvent communiquer directement avec les serveurs d'applications. En revanche, les utilisateurs extérieurs passent par la Gateway HTTP. AppliDis vous permet de définir avec précision les plages IP pour lesquelles le mode direct sera utilisé. Dans le menu Serveur/ Gateway HTTP, sélectionnez le menu filtrage. Spécifiez les plages d’adresses IP pour lesquelles la Gateway HTTP ne sera pas utilisée. Figure 4 - Activer les plages d'IP exclus pour la Gateway HTTP Note: L'adresse IP du client qui est prise en compte est celle fournie par la plateforme Microsoft Internet Information Services (IIS). Ainsi, pour tout client situé derrière un NAT (Network Address Translation), l'adresse IP perçue par Microsoft Internet Information Services (IIS) est généralement l'adresse IP publique du NAT et non l'adresse interne réelle du client. Les réglages par défaut sont donc les suivants (voir tableau ci-dessous): Adresse du réseau Masque 127.0.0.0 255.0.0.0 192.168.0.0 255.255.0.0 10.0.0.0 255.255.0.0 172.16.0.0 255.240.0.0 Figure 5 - (Tableau) Plages d'adresses IP privées Erreur ! Source du renvoi introuvable. Après avoir déployé les rôles Présentation et Gateway, puis activé la Gateway HTTP, vous pouvez déplacer le serveur dans la DMZ. Si l’adresse IP de votre serveur est modifiée, il convient de modifier les propriétés TCP/IP du serveur dans la console d’administration pour que celles-ci correspondent à la nouvelle adresse IP. IS00198-V4 Version de la fiche 4.01 19/08/2009 7/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ 2.3 Ports à ouvrir entre le LAN et la DMZ Ci-dessous la liste des ports nécessaires pour la communication entre la DMZ et le LAN. Du LAN vers la DMZ De la DMZ vers le LAN TCP TCP TCP TCP TCP TCP TCP TCP TCP 445 135 137 138 139 80 443 3389 80 / 443 PING NETBIOS HTTP HTTPS RDP HTTP / HTTPS Figure 6 - (Tableau) Ports à ouvrir entre le LAN et la DMZ 3 Validation du fonctionnement de la Gateway HTTP 3.1 Validation de l’accès au site Web via l’extérieur. La première chose à vérifier est le bon fonctionnement du service Microsoft Internet Information Services (IIS) sur le serveur Gateway HTTP. Pour ce faire, il faut démarrer un navigateur Microsoft Internet Explorer sur le serveur Gateway http et saisir http://localhost. Le navigateur doit afficher en réponse « En Chantier » page par défaut sur Microsoft Information Internet Services (IIS). Figure 7 - Microsoft Explorer (page http 'en chantier') IS00198-V4 Version de la fiche 4.01 19/08/2009 8/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Dans les outils d’administration, ouvrir le Gestionnaire de service Microsoft internet (IIS), il faut vérifier que dans Site Web, Site Web par Défaut, le site AdisGatewayHTTP est bien présent. En sélectionnant ce site vous verrez apparaitre dans la partie droite de l’écran la page wgatewaysvr.asp. Figure 8 - Gestionnaire des Services Internet (IIS) WGatewaySvr.asp Il convient alors de vérifier l’accessibilité à cette page. En faisant un click droit sur le fichier WGatewaySvr.asp, puis Parcourir, vous lancerez un navigateur Microsoft Internent Explorer. Ce test équivaut à démarrer le navigateur Microsoft Internet Explorer depuis l’icône du bureau ou de raccourci dans le menu démarrer et saisir http://localhost/AdisGatewayHTTP/wgatewaysvr.asp. IS00198-V4 Version de la fiche 4.01 19/08/2009 9/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ 3.2 La page XML ne peut pas être affichée. Le navigateur doit afficher en réponse « La page XML ne peut pas être affichée ». Figure 9 - La page XML ne peut être affichée Si la page ne s’affiche pas, il convient de vérifier le chemin de la page ASP en faisant un click droit, puis propriétés sur le site AdisGatewayHTTP dans Microsoft Internet Information Services (IIS). Dans l’onglet répertoire virtuel, il y a le chemin d’accès local. La page wGatewaysvr.asp doit se trouver dans le répertoire indiqué par ce chemin. Vous pouvez aussi vérifier l’accessibilité à cette page. Soit vous pouvez lancer le navigateur Microsoft Internet Explorer en effectuant un click droit sur le fichier default.asp, puis Parcourir. Ce qui équivaut à démarrer le navigateur Microsoft Internet Explorer depuis l’icône du bureau ou de raccourci dans le menu démarrer et saisir http://localhost/AdisPortal/default.asp. IS00198-V4 Version de la fiche 4.01 19/08/2009 10/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Figure 10 - Gestionnaire des services Internet (IIS), page default.asp IS00198-V4 Version de la fiche 4.01 19/08/2009 11/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ 3.3 Page ou répertoire introuvable avec l’erreur http 404. Si vous rencontrez l’erreur ‘la page est introuvable’ avec l’erreur http 404 – ‘Fichier ou répertoire introuvable’, les droits sur les fichiers Active Server Pages (ASP) ne sont pas correctement positionnés. Figure 11 - La page est introuvable (test depuis WGatewaySvr.asp) IS00198-V4 Version de la fiche 4.01 19/08/2009 12/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Depuis le Gestionnaire des services Internet (IIS), ouvrez le répertoire Extensions du service Web et vérifier que l’accès à Active Server Pages (ASP) soit autorisé. Si interdire est grisé, vous obtiendrez une erreur http 404. Figure 12 - Extension du service Web - Interdire Active Server Pages (ASP) Pour autoriser l’accès aux Actives Server Pages (ASP), vous pouvez faire un click droit et sélectionner Autoriser. Figure 13 - Extension du service Web - Autorisé Active Server Pages (ASP) IS00198-V4 Version de la fiche 4.01 19/08/2009 13/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Rappel: Un dysfonctionnement pouvait apparaître avec AppliDis v3.00 SP1. Celle-ci faisait apparaitre un double ‘slash’ (//) dans le chemin d’accès local. Si vous avez ce double ‘slash’ il faut retirer un ‘slash’ (/) du chemin. Suite à cette vérification en local, veuillez effectuer le même test depuis un poste client qui n’est pas dans le LAN: http://SRVGATEWAY/AdisGatewayHTTP/wgatewaysvr.asp. Le résultat doit être identique. Cela dans le but de vérifier que les sites vus depuis le nuage internet sont accessibles. Si ce n’est pas le cas vous avez certainement le port ou le routage qui ne sont pas correctement configurés au sein de votre infrastructure. 3.4 Contrôle du paramétrage sur les serveurs Gateway HTTP. Des options au niveau de la base de registre permettent de configurer différent éléments, veuillez vous référer à la fiche technique IS00152. Vérifiez la valeur EnableHttpGw dans la clé de [HKEY_LOCAL_MACHINE\SOFTWARE\Systancia\AdisGateHTTP]. Lorsque la HTTP est active, EnableHttpGw est à 1. registre Gateway Si vous ne parvenez pas à lancer d’application depuis le portail de présentation, veuillez revérifier le paramétrage du serveur de présentation et des serveurs Gateway HTTP. Si vous rencontrez des difficultés de lancement d’application malgré un paramétrage correct, veuillez envoyer les captures d’écran des interfaces de paramétrage et des éventuelles erreurs à l’adresse suivante [email protected]. Un membre de l’équipe du support technique de Systancia prendra en charge votre dossier. IS00198-V4 Version de la fiche 4.01 19/08/2009 14/15 Fiche IS00198 Mise en œuvre d’une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ Références Mots clés : AppliDis Référence : Date de création : 13/05/2009 Dernière révision : 10/11/2010 Pour tout commentaire sur cette fiche, merci d’envoyer un mail à [email protected] en précisant le numéro de la fiche et votre commentaire Copyright © Systancia 2010 – Tous droits réservés Les informations fournies dans le présent document sont fournies à titre d’information, et de ce fait ne font l’objet d’aucun engagement de la part de Systancia. Ces informations peuvent être modifiées sans préavis de la part de Systancia. Ce document est à destination d’utilisateurs avertis, disposant de notions de base du système d’exploitation Windows Server de Microsoft. Systancia ne saurait être tenu pour responsable des erreurs de manipulation dans le cadre de l’utilisation de cette documentation. L’utilisation liée à ce document se fait sous votre entière responsabilité. Marques de sociétés tierces : toutes les autres marques, noms de produits et de sociétés précisés dans ce document sont cités à fins d’explications et sont la propriété de leurs détenteurs respectifs. A ce titre, notamment Microsoft, Windows, Windows 2000, Windows 2003, Windows 2008 Server sont des marques de Microsoft Corporation aux Etats-Unis et dans d’autres pays. Systancia Actipolis 3, Bât C11 3, rue Paul Henri Spaak 68 390 SAUSHEIM France Téléphone : Fax : site web : 03 89 33 58 20 03 89 33 58 21 http://www.systancia.fr IS00198-V4 Version de la fiche 4.01 19/08/2009 15/15
Documents pareils
Consulter la fiche technique
responsable des erreurs de manipulation dans le cadre de l’utilisation de cette documentation. L’utilisation liée à ce document se fait sous votre entière responsabilité. Marques de sociétés tierce...
Plus en détailFiche IS00126 - Experts Systancia
système d’exploitation Windows Server de Microsoft. Systancia ne saurait être tenu pour responsable des erreurs de manipulation dans le cadre de l’utilisation de cette documentation. L’utilisation ...
Plus en détail