Impossible d’accéder à un site web Interne quand je configure un serveur proxy

Publié le 29 novembre 2008 par Guillaume Mathieu

Salut à tous

Un des mes clients a été récemment confronté à un problème avec Isa Server 2006.
Son architecture est la suivante :
* Un domaine Active Directory
* Des stations de travail Windows Xp membres de ce domaine
* Un pare feu / proxy Isa Server membre du domaine.
* Des serveurs web Windows 2003 Server sur le LAN membre du domaine.

Suite à un audit de sécurité, le client a décidé de faire de l’authentification pour restreindre les accès externe en http et https depuis son réseau.
Internet Explorer a donc été configuré pour utiliser le serveur ISA 2006 en tant que proxy.
Le client Pare feu d’Isa Server a été déployée sur certaines machines.

Pour rappel avec Isa Server 2006, il y a trois types de client :
* Le client Secure Nat : c’est le fait de définir le serveur comme passerelle par défaut. Ce type de client ne permet pas de faire de l’authentification utilisateur. Mon client utilisat à l’origine uniquement ce client.
* Le client web : c’est le faire de définir dans son navigateur (Internet Explorer, Firefox) le serveur Isa 2006 en tant que serveur proxy. Ce type de client ne gère que des requêtes http et https et permet de faire de l’authentification utilisateur sur ces deux protocoles.
* Le client Pare feu : ce client permet de gérer tout type de requêtes réseaux (protocole UDP, TCP, icmp…) et d’authentrifier chaque type de connexion. La principale contrainte de ce client pare est que l’on ne peut l’installer que sur une plate forme Windows. Il n’existe pas de client pare feu pour Linux.
Pour information, la dernière version du client Pare feu est maintenant compatible Vista X32 et X64. Elle est disponible à cette adresse :
http://www.microsoft.com/downloads/details.aspx? FamilyID=05C2C932-B15A-4990-B525-66380743DA89&displaylang=en
Bien que cela ne soit pas indiqué, cette version semble aussi compatible Windows Server 2008 X32 / X64, ce qui n’est pas le cas de la version du client Pare feu disponible sur le CD d’installation d’Isa Server 2006.

Description du problème rencontré par le client :
Les stations de travail n’arrivait plus à accéder aux serveurs web Interne. Le message suivant apparaissait au niveau d’Internet Explorer :

Message d’accès au réseau : impossible d’afficher la page 
Informations techniques (destinées au personnel du support technique)
Code d’erreur : 502 Erreur du proxy. L’ordinateur ISA Server a refusé l’URL (Uniform Resource Locator) spécifiée. (12202)
Adresse IP : 192.168.99.254
Date : 28/11/2008 16:41:46 [GMT]
Serveur : MsreportIsa
Source : proxy 

Explication du problème :
Les clients étant configurés pour utiliser un serveur PROXY, toutes les demandes HTTP, HTTPS sont transmises au serveur proxy (Isa Server 2006). Les demandes vers des sites web internes échouent donc.
Si l’on désactive le proxy dans la configuration d’Internet Explorer, le problème disparaît.

Solution à ce problème :
Ce problème peut être corrigé de deux manières :
1. En configurant Internet Explorer pour ne pas transmettre la demande de connexion au proxy. Ce paramètre peut se faire directement depuis Internet Explorer ou via les stratégies de groupe.
2. En configurant Isa Server pour ne pas transmettre cette demande au composant « Proxy web » d’Isa Server. 

Pour mettre en place la seconde solution :
1. Faire une sauvegarde complète du serveur ISA.
2. Sur le serveur Isa Server, lancer la console « Gestion Isa Server ».
3. Aller dans Configuration | Réseaux et double cliquer sur « Interne ».
4. Dans la fenêtre « Propriétés de Interne », aller dans l’onglet « Domaine » puis ajouter le nom DNS de votre serveur web (exemple : Msreportweb.msreporthome.lan). Cliquer sur OK.
5. Cliquer sur le bouton « Appliquer » pour mettre à jour la configuration sur Isa Server 2006.
 
Remarque :
* Cette configuration suppose que les stations de travail soient configurées avec le client Pare feu ou en tant que client proxy web avec script de configuration automatique (exemple d’URL : http://MsreportIsa:8080/array.dll?Get.Routing.Script). Vous pouvez spécifier ce script dans les paramètres de connexion d’Internet Explorer.
* Cette solution a été testée sur maquette et ne génère pas de problème.
* Pour utiliser le gestionnaire d’absence d’Outlook 2007, il faut définir dans la configuration d’Internet Explorer ou d’Isa Server le fait que le nom de domaine du serveur Exchange est local.

A+

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Exchange, Isa 2004, Isa 2006, Isa Server, Pare feu, Troubleshouting, Windows 2003 Server, Windows Server 2008, Windows Vista, Windows XP, avec comme mot(s)-clé(s) , , . Vous pouvez le mettre en favoris avec ce permalien.

Une réponse à Impossible d’accéder à un site web Interne quand je configure un serveur proxy

  1. Fabrice MIKOMBA OUTOU dit :
    4 avril 2014 à 14:25

    Bonjour a tous ,
    j’ai un sérieux problème sur mon architecture j’ai un configure un par feux ISA 2006 pour distribuer internet sur mes postes Clients(Windows 7 et Windows 8) mais cela ne fonctionner pas sur mon serveur Windows (par feu Isa 2006) le net marche bien sauf que il un peut lent.

    Les stations de travail n’arrivait pas a ce connecte serveurs web Interne.
    toutes les demandes HTTP, ne fonctionner pas sauf que sur HTTPS qui marche exemple https://google.com la page s’affiche mais après plus rien
    Remarque: quant je fais des ping sur des sites distant sa répond très bien a l’exemple de ping 8.8.8.8.8 ou encore Yahoo.fr les requetés réponds bien
    Merci de m’apporte de l’aide

Laisser un commentaire