Security technologies on Microsoft & Mix Reality environnement: [TMG] Configuration des cartes réseaux

Lors d'un déploiement d'un serveur Forefront TMG on peut se poser la question sur les bonnes pratiques de configuration des cartes réseaux.

Afin de se retrouver plus facilement parmi les différentes cartes réseau il est conseillé de renommer ces dernières comme suit :

Carte réseau connectée sur le réseau interne : Internal
Carte réseau connectée sur le réseau internet : External
Carte réseau connectée sur le réseau de DMZ : Perimeter

Attention il n'est pas recommandé de désactiver le protocole IPv6 sur les cartes réseaux.

I/ Carte connectée au réseau Interne

Rendez-vous dans le menu Start / Control Panel / Network and Internet / Network and Sharing Center / Change adapter settings

Sélectionner la carte réseau connectée au LAN
Remplacer le nom par défaut par Internal, cliquez sur Entrée.
Sélectionner la carte Internal, Click-droit Properties

Désactiver l’option « File and Printer Sharing for Microsoft Network »
Sélectionner IPv4 puis cliquez sur Properties.

Cocher la case Use the following IP address :

IP address : 192.168.xyz.abc
Subnet mask : 255.255.255.0
Default gateway : Néant

Aucune passerelle par défaut ne doit être renseignée, en effet l'utilisation de plusieurs passerelles n'est pas supportée.

Il faudra donc ajouter des routes statiques vers tous les réseaux internes ou VLAN métiers au travers de cette ligne de commande :

route add adresse_réseau MASK mask_réseau passerelle -p

Cocher la case Use the following DNS server addresses :

Preferred DNS server : 192.168.xyz.ab
Alternate DNS server : 192.168.xyz.cd

Cliquer sur Advanced

Dans l’onglet DNS cocher :

Append primary and connection specific DNS suffixes
Append parent suffixes of the primary DNS suffix
Register this connection’s addresses in DNS

Les autres paramètres pouvant garder les valeurs par défaut.

II/ Carte connectée au réseau Internet
Rendez-vous dans le menu Start / Control Panel / Network and Internet / Network and Sharing Center / Change adapter settings

Sélectionner la carte réseau connectée au réseau Internet
Remplacer le nom par défaut par External, cliquez sur Entrée.
Sélectionner la carte External, Click-droit Properties

Désactiver l'option « Client for Microsoft Network »
Désactiver l'option « File and Printer Sharing for Microsoft Network »
Sélectionner IPv4 puis cliquez sur Properties.

Cocher la case Use the following IP address :

IP address : 192.168.xyz.abc
Subnet mask : 255.255.255.0
Default gateway : 192.168.xyz.abc

Aucun serveur DNS ne doit être renseigné.

En effet l'utilisation de serveur DNS sur la carte External peut entrainer des problèmes de performance sur DirectAccess. De plus les noms internes ne pourront être résolus il faudra donc s'assurer que les serveurs DNS en interne peuvent effectivement résoudre des FQDN sur Internet.

Cliquer sur Advanced

Dans l’onglet DNS :

Activer « Append primary and connection specific DNS suffixes »
Activer « Append parent suffixes of the primary DNS suffix »
Désactiver « Register this connection’s addresses in DNS »

Dans l’onglet WINS sélectionner :

Disable NetBIOS over TCP/IP

Les autres paramètres pouvant garder les valeurs par défaut.

III/ Carte connectée au réseau de DMZ
Rendez-vous dans le menu Start / Control Panel / Network and Internet / Network and Sharing Center / Change adapter settings