Mise en œuvre d`une Gateway HTTP/HTTPS avec un serveur de

Fiche technique AppliDis
Mise en œuvre d’une Gateway
HTTP/HTTPS avec un serveur de
Présentation en DMZ
Fiche IS00198
Version document : 4.01
Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou
prospects de Systancia ou des membres du programmes Partenaires AppliDis.
Objet du document
Ce document présente la marche à suivre pour déployer une Gateway HTTP/HTTPS avec le
positionnement d’un serveur de présentation dans la DMZ.
Vous pouvez également vous reporter aux fiches suivantes concernant la Gateway HTTP:
- IS00152.pdf: Paramétrage de la Gateway HTTP
- IS00164.pdf: Fonctionnement de la Gateway HTTP/HTTPS AppliDis
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Sommaire
1
2
Introduction ......................................................................................................... 3
Pré requis ............................................................................................................ 4
2.1
Activation de la Gateway HTTP.......................................................................... 4
2.2
Paramétrage des zones Client utilisant la Gateway HTTP ...................................... 7
2.3
Ports à ouvrir entre le LAN et la DMZ ................................................................. 8
3
Validation du fonctionnement de la Gateway HTTP .................................................... 8
3.1
Validation de l’accès au site Web via l’extérieur................................................... 8
3.2
La page XML ne peut pas être affichée. ............................................................ 10
3.3
Page ou répertoire introuvable avec l’erreur http 404......................................... 12
3.4
Contrôle du paramétrage sur les serveurs Gateway HTTP. .................................. 14
Références ............................................................................................................... 15
Table des Illustrations
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
Figure
1 - Console d'administration (Serveurs) ................................................................ 4
2 - Activation de la fonctionnalité Gateway HTTP ................................................... 5
3 - Activation de la fonctionnalité Gateway HTTP (IP publique) ................................ 6
4 - Activer les plages d'IP exclus pour la Gateway HTTP.......................................... 7
5 - (Tableau) Plages d'adresses IP privées ............................................................ 7
6 - (Tableau) Ports à ouvrir entre le LAN et la DMZ ................................................ 8
7 - Microsoft Explorer (page http 'en chantier') ...................................................... 8
8 - Gestionnaire des Services Internet (IIS) WGatewaySvr.asp................................ 9
9 - La page XML ne peut être affichée ................................................................ 10
10 - Gestionnaire des services Internet (IIS), page default.asp ............................. 11
11 - La page est introuvable (test depuis WGatewaySvr.asp) ................................ 12
12 - Extension du service Web - Interdire Active Server Pages (ASP) ..................... 13
13 - Extension du service Web - Autorisé Active Server Pages (ASP) ...................... 13
IS00198-V4
Version de la fiche 4.01
19/08/2009
2/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
1 Introduction
Le portail web client dit rôle de présentation peut être mis dans une zone démilitarisée
(DMZ) en complément de la « Gateway HTTP » d’AppliDis. Cela permet de rendre
disponible les applications publiées par ce portail sans que d’autres éléments d’AppliDis
ne soient directement accessibles.
Notons que le service de présentation ne profite pas du mécanisme de redondance à
chaud via l’adresse IP virtuelle qui est réservée au serveur d’administration (services
d’administration et de présentation sur un même serveur). Pour mettre en place ce
type de redondance, vous pouvez utiliser un routeur offrant la fonctionnalité LSNAT.
Ceci est identique à l’IP virtuelle mais est géré par le matériel actif.
Si des applications sont en cours d’utilisation et que le portail de présentation est
indisponible, ces applications restent actives. En revanche les utilisateurs ne pourront
pas lancer d’applications supplémentaires.
Pour se connecter au portail de présentation il faut saisir dans Microsoft internet
explorer l’Url formée du nom de votre serveur de présentation ou de son IP Publique
suivi de /AdisPortal/
Exemple pour le serveur de présentation nommé « SRVPRESENTATION » avec comme
IP vu du nuage internet « 214.250.15.29 » cela
donne
http://SRVPRESENTATION/adisportal/ ou http://214.250.15.29/AdisPortal/
La machine dans la zone démilitarisée (DMZ) devra alors remplir les pré-requis d'un
« Serveur de Présentation AppliDis » et les pré-requis d'un « Serveur Gateway Http
AppliDis » en fonction du ou des rôle(s) qu’elle va héberger. La fonction d'un tel serveur
est de proposer l’accès aux applications et de gérer l’encapsulation des trames
Microsoft RDP (Remote Desktop Protocol) dans les trames HTTP ou HTTPS.
Ensuite il va pouvoir renforcer la sécurité du site en constituant un "intermédiaire
obligatoire" des postes clients voulant se connecter aux serveurs d’applications. Ces
serveurs ‘relais’ sont particulièrement utiles pour des accès extérieurs afin de faciliter le
passage des serveurs pare-feu/firewalls ou autres serveurs proxy. En effet, grâce au
service d’encapsulation des trames Microsoft RDP (Remote Desktop Protocol) en mode
HTTP / HTTPS, vous n’avez pas besoin d’ouvrir des ports supplémentaires vers
l’extérieur. Vous maintenez donc votre sécurité réseau à un niveau élevé.
Au niveau d’AppliDis ce sont deux rôles distincts, cela signifie que l’un peut être
effectué en HTTP et l’autre configuré en HTTPS.
En règle générale le portail de présentation est configuré en HTTPS et la Gateway en
HTTP.
IS00198-V4
Version de la fiche 4.01
19/08/2009
3/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
2 Pré requis
Il convient de déployer les rôles Gateway et Présentation sur le serveur qui va être
placé dans la DMZ. Pour cela il faut aller dans la console d’administration AppliDis et
mettre en place le rôle Gateway et Présentation. Puis vous devez activer la Gateway
HTTP.
Comme vous pouvez le voir sur la capture d’écran ci-dessous, le serveur T612 est à la
fois le serveur de présentation et Gateway dans la DMZ.
Figure 1 - Console d'administration (Serveurs)
2.1 Activation de la Gateway HTTP
Depuis la console d'administration AppliDis, menu Serveur/Gateway HTTP, veuillez
activer la fonctionnalité Gateway HTTP via la case à cocher.
Nommé « Activation de la Gateway HTTP sur les serveurs Gateway »
IS00198-V4
Version de la fiche 4.01
19/08/2009
4/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Figure 2 - Activation de la fonctionnalité Gateway HTTP
Paramétrez ensuite pour le serveur ayant le rôle Gateway HTTP, l'URL d'accès vu
extérieur du nuage avec le type d’accès. L'URL d'accès est composée du mode HTTP
HTTPS, du nom DNS par lequel les clients accèderont au serveur (généralement
nom DNS correspondant à l’adresse IP externe du pare-feu/firewall) puis le port
service (80 en mode HTTP ou 443 en mode HTTPS).
1.
Dans le menu, Gateway HTTP, cocher Activation de la Gateway HTTP.
2.
Cocher la case d'activation du serveur Gateway HTTP.
3.
Positionner le mode d’accès qui sera effectué sur la Gateway HTTP (HTTP ou HTTPS).
4.
Spécifier le nom DNS par lequel arriveront les clients.
5.
Spécifier le port adapté si vous n’avez pas changé les ports standards (80:HTTP / 443:HTTPS)
6.
Cliquer sur valider.
IS00198-V4
Version de la fiche 4.01
de
ou
un
du
19/08/2009
5/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Figure 3 - Activation de la fonctionnalité Gateway HTTP (IP publique)
Note: En mode HTTPS, votre serveur doit disposer d'un certificat SSL en cours de validité
correspondant également au nom DNS de votre accès vers la Gateway HTTPS. Le mode SSL ne
fonctionne que si les 3 pré-requis suivants sont satisfaits:
1/ Common Name du certificat équivalent au nom DNS spécifié dans l'interface.
2/ Certificat valide dans le temps.
3/ Certificat approuvé par une CA racine.
Si un seul de ces éléments n’est pas respecté la connexion vers la Gateway HTTPS sera refusée.
IS00198-V4
Version de la fiche 4.01
19/08/2009
6/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
2.2 Paramétrage des zones Client utilisant la Gateway HTTP
Selon l'origine de provenance de vos clients, la Gateway HTTP devra être utilisée ou
non. Généralement, les utilisateurs situés dans un LAN ou dans un WAN reliés aux
serveurs par VPN ne sont pas concernés par ce paramétrage, ils peuvent communiquer
directement avec les serveurs d'applications. En revanche, les utilisateurs extérieurs
passent par la Gateway HTTP. AppliDis vous permet de définir avec précision les plages
IP pour lesquelles le mode direct sera utilisé. Dans le menu Serveur/ Gateway HTTP,
sélectionnez le menu filtrage. Spécifiez les plages d’adresses IP pour lesquelles la
Gateway HTTP ne sera pas utilisée.
Figure 4 - Activer les plages d'IP exclus pour la Gateway HTTP
Note: L'adresse IP du client qui est prise en compte est celle fournie par la plateforme
Microsoft Internet Information Services (IIS). Ainsi, pour tout client situé derrière un
NAT (Network Address Translation), l'adresse IP perçue par Microsoft Internet
Information Services (IIS) est généralement l'adresse IP publique du NAT et non
l'adresse interne réelle du client. Les réglages par défaut sont donc les suivants (voir
tableau ci-dessous):
Adresse du réseau
Masque
127.0.0.0
255.0.0.0
192.168.0.0
255.255.0.0
10.0.0.0
255.255.0.0
172.16.0.0
255.240.0.0
Figure 5 - (Tableau) Plages d'adresses IP privées
Erreur ! Source du renvoi introuvable.
Après avoir déployé les rôles Présentation et Gateway, puis activé la Gateway HTTP,
vous pouvez déplacer le serveur dans la DMZ.
Si l’adresse IP de votre serveur est modifiée, il convient de modifier les propriétés
TCP/IP du serveur dans la console d’administration pour que celles-ci correspondent à
la nouvelle adresse IP.
IS00198-V4
Version de la fiche 4.01
19/08/2009
7/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
2.3 Ports à ouvrir entre le LAN et la DMZ
Ci-dessous la liste des ports nécessaires pour la communication entre la DMZ et le LAN.
Du LAN vers la DMZ
De la DMZ vers le LAN
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
445
135
137
138
139
80
443
3389
80 / 443
PING
NETBIOS
HTTP
HTTPS
RDP
HTTP / HTTPS
Figure 6 - (Tableau) Ports à ouvrir entre le LAN et la DMZ
3 Validation du fonctionnement de la Gateway HTTP
3.1 Validation de l’accès au site Web via l’extérieur.
La première chose à vérifier est le bon fonctionnement du service Microsoft Internet
Information Services (IIS) sur le serveur Gateway HTTP.
Pour ce faire, il faut démarrer un navigateur Microsoft Internet Explorer sur le serveur
Gateway http et saisir http://localhost.
Le navigateur doit afficher en réponse « En Chantier » page par défaut sur Microsoft
Information Internet Services (IIS).
Figure 7 - Microsoft Explorer (page http 'en chantier')
IS00198-V4
Version de la fiche 4.01
19/08/2009
8/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Dans les outils d’administration, ouvrir le Gestionnaire de service Microsoft internet
(IIS), il faut vérifier que dans Site Web, Site Web par Défaut, le site AdisGatewayHTTP
est bien présent.
En sélectionnant ce site vous verrez apparaitre dans la partie droite de l’écran la page
wgatewaysvr.asp.
Figure 8 - Gestionnaire des Services Internet (IIS) WGatewaySvr.asp
Il convient alors de vérifier l’accessibilité à cette page. En faisant un click droit sur le
fichier WGatewaySvr.asp, puis Parcourir, vous lancerez un navigateur Microsoft
Internent Explorer. Ce test équivaut à démarrer le navigateur Microsoft Internet
Explorer depuis l’icône du bureau ou de raccourci dans le menu démarrer et saisir
http://localhost/AdisGatewayHTTP/wgatewaysvr.asp.
IS00198-V4
Version de la fiche 4.01
19/08/2009
9/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
3.2 La page XML ne peut pas être affichée.
Le navigateur doit afficher en réponse « La page XML ne peut pas être affichée ».
Figure 9 - La page XML ne peut être affichée
Si la page ne s’affiche pas, il convient de vérifier le chemin de la page ASP en faisant un
click droit, puis propriétés sur le site AdisGatewayHTTP dans Microsoft Internet
Information Services (IIS). Dans l’onglet répertoire virtuel, il y a le chemin d’accès
local. La page wGatewaysvr.asp doit se trouver dans le répertoire indiqué par ce
chemin.
Vous pouvez aussi vérifier l’accessibilité à cette page. Soit vous pouvez lancer le
navigateur Microsoft Internet Explorer en effectuant un click droit sur le fichier
default.asp, puis Parcourir. Ce qui équivaut à démarrer le navigateur Microsoft Internet
Explorer depuis l’icône du bureau ou de raccourci dans le menu démarrer et saisir
http://localhost/AdisPortal/default.asp.
IS00198-V4
Version de la fiche 4.01
19/08/2009
10/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Figure 10 - Gestionnaire des services Internet (IIS), page default.asp
IS00198-V4
Version de la fiche 4.01
19/08/2009
11/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
3.3 Page ou répertoire introuvable avec l’erreur http 404.
Si vous rencontrez l’erreur ‘la page est introuvable’ avec l’erreur http 404 – ‘Fichier ou
répertoire introuvable’, les droits sur les fichiers Active Server Pages (ASP) ne sont pas
correctement positionnés.
Figure 11 - La page est introuvable (test depuis WGatewaySvr.asp)
IS00198-V4
Version de la fiche 4.01
19/08/2009
12/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Depuis le Gestionnaire des services Internet (IIS), ouvrez le répertoire Extensions du
service Web et vérifier que l’accès à Active Server Pages (ASP) soit autorisé. Si
interdire est grisé, vous obtiendrez une erreur http 404.
Figure 12 - Extension du service Web - Interdire Active Server Pages (ASP)
Pour autoriser l’accès aux Actives Server Pages (ASP), vous pouvez faire un click droit
et sélectionner Autoriser.
Figure 13 - Extension du service Web - Autorisé Active Server Pages (ASP)
IS00198-V4
Version de la fiche 4.01
19/08/2009
13/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Rappel: Un dysfonctionnement pouvait apparaître avec AppliDis v3.00 SP1. Celle-ci
faisait apparaitre un double ‘slash’ (//) dans le chemin d’accès local. Si vous avez ce
double ‘slash’ il faut retirer un ‘slash’ (/) du chemin.
Suite à cette vérification en local, veuillez effectuer le même test depuis un poste client
qui n’est pas dans le LAN: http://SRVGATEWAY/AdisGatewayHTTP/wgatewaysvr.asp.
Le résultat doit être identique. Cela dans le but de vérifier que les sites vus depuis le
nuage internet sont accessibles.
Si ce n’est pas le cas vous avez certainement le port ou le routage qui ne sont pas
correctement configurés au sein de votre infrastructure.
3.4 Contrôle du paramétrage sur les serveurs Gateway HTTP.
Des options au niveau de la base de registre permettent de configurer différent
éléments, veuillez vous référer à la fiche technique IS00152.
Vérifiez
la
valeur
EnableHttpGw
dans
la
clé
de
[HKEY_LOCAL_MACHINE\SOFTWARE\Systancia\AdisGateHTTP]. Lorsque la
HTTP est active, EnableHttpGw est à 1.
registre
Gateway
Si vous ne parvenez pas à lancer d’application depuis le portail de présentation, veuillez
revérifier le paramétrage du serveur de présentation et des serveurs Gateway HTTP. Si
vous rencontrez des difficultés de lancement d’application malgré un paramétrage
correct, veuillez envoyer les captures d’écran des interfaces de paramétrage et des
éventuelles erreurs à l’adresse suivante [email protected]. Un membre de l’équipe
du support technique de Systancia prendra en charge votre dossier.
IS00198-V4
Version de la fiche 4.01
19/08/2009
14/15
Fiche IS00198
Mise en œuvre d’une Gateway HTTP/HTTPS avec un
serveur de Présentation en DMZ
Références
Mots clés :
AppliDis
Référence :
Date de création : 13/05/2009
Dernière révision : 10/11/2010
Pour tout commentaire sur cette fiche, merci d’envoyer un mail à [email protected] en précisant
le numéro de la fiche et votre commentaire
Copyright © Systancia 2010 – Tous droits réservés
Les informations fournies dans le présent document sont fournies à titre d’information, et de
ce fait ne font l’objet d’aucun engagement de la part de Systancia. Ces informations peuvent
être modifiées sans préavis de la part de Systancia.
Ce document est à destination d’utilisateurs avertis, disposant de notions de base du
système d’exploitation Windows Server de Microsoft. Systancia ne saurait être tenu pour
responsable des erreurs de manipulation dans le cadre de l’utilisation de cette
documentation. L’utilisation liée à ce document se fait sous votre entière responsabilité.
Marques de sociétés tierces : toutes les autres marques, noms de produits et de sociétés
précisés dans ce document sont cités à fins d’explications et sont la propriété de leurs
détenteurs respectifs. A ce titre, notamment Microsoft, Windows, Windows 2000, Windows
2003, Windows 2008 Server sont des marques de Microsoft Corporation aux Etats-Unis et
dans d’autres pays.
Systancia
Actipolis 3, Bât C11
3, rue Paul Henri Spaak
68 390 SAUSHEIM
France
Téléphone :
Fax :
site web :
03 89 33 58 20
03 89 33 58 21
http://www.systancia.fr
IS00198-V4
Version de la fiche 4.01
19/08/2009
15/15