Bonjour,  
Je suis en train de faire une étude afin de mettre en place un serveur TSE 2003 dans une zone DMZ et qu'il y est un accès à distance.  
 
Je me demande quel est la meilleur façon de faire afin que le serveur et le reste du réseau ne soit pas vulnérable.  
 
Hypothèse 1  
Mettre directement le serveur dans la zone dmz?  
Très vulnérable car visible de l'extérieur  
Ouverture de port dans le Firewall  
 
Hypothèse 2  
Créer un serveur TSE dit "Passerelle" moins vulnérable car ne possédant pas d'application et autres permettant une connexion au serveur TSE principal présent dans le LAN?  
 
 
Concernant l'accès depuis l'extérieur.  
Faut-il faire une connexion VPN?  
Ou le protocole RDP 5.2 est-il assez sécurisé?  
 
Toutes vos expériences et informations m'intéresse.  
Merci d'avance.

Salut,

H1 : sécurité pas top. Les règles de filtration risquent de baisser les performances...

H2 : solution + sécurisée, mais double authentification requise :
       - 1 1ère fois sur le TSE passerelle pour le client RDP
       - 1 2nde fois pour la session sur la ferme TSE du LAN

H3 : positionner un serveur IIS / TSWeb passerelle en DMZ, ce qui permet en plus de mettre à disposition le client RDP ActiveX en téléchargement automatique pour des itinérants.

RDP 5.2 est crypté à 128 bits. Mais TSE détermine le niveau de cryptage en fonction du client. On peut en plus encapsuler RDP dans un VPN, mais en gardant à l'esprit que VPN consomme de la bande passante...

Donc vous me conseillé d'utiliser l' H3.
Je trouve que c'est une bonne solution.
 
Je mets mes serveurs simplement TSE dans le LAN  
Puis j'installe un serveur serveur IIS / TSWeb passerelle dans la DMZ.
 
Le processus sera-t-il le suivant?
L'utilisateur contacte le  serveur IIS / TSWeb puis ce dernier va contacter le serveur TSE?
 
 
J'ai encore une question, il me semble que VIA TSWeb, nous ne pouvons pas connecter l'imprimante et les lecteurs réseaux, cela est-il exacte? Comment je peux  faire afin que mes utilisateurs qui se connectent via Internet puisse monter les lecteurs?
 
Merci beaucoup

Je n'ai jamais monté ce genre d'architecture avec passerelle, je ne fais que citer des possibilités... A savoir également que dans une autre et dernière option, pas de passerelle, les serveurs TSE dans le LAN, mais avec obligatoirement une forte protection : VPN, Changement du port RDP, Firewall, authentification forte,...
 

Le client TSWeb n'est qu'une interface web, il faut toujours contacter directement entre le client et le serveur TSE pour que les échangent aient lieu donc il faudra qd même qu'il soit en DMZ.
http://technet2.microsoft.com/Wind [...] x?mfr=true

Merci à vous 2 pour vos explications.
J'ai trouvé une info qui me donne un schéma de ce que me parle Dji-Pih.
Ceci à l'air bien.
 
Serveur Web en passerelle qui fait le lien avec le serveur TSE dans le Lan.
 
Je@nb, Ta documentation est super. Mais avec ta solution nous revenons sur notre hypothèse 1. Et ceci engendre sécurité pas top. Les règles de filtration risquent de baisser les performances...
 
Merci à vous

Dernière info, pour un serveur IIS en passerelle, la version serveur 2K3 Web Edition suffit ! (- chère   )
 

La classe, Dji-Pih Merci beaucoup.
Je vais effectuer des petits tests.
 
Comme je vois que tu as des connaissances en TSE, sais-tu comment mettre en place des audits et des fichiers de journalisations (Log Files)
 
Merci pr tout .

pour auditer quoi ?

J'aimerai auditer le type de choses suivantes:
 
Quel utilisateur s'est loguer quand  
Quel l'utilisateur s'est deloguer
Quels fichiers il a modifié
Etc...
 
 
Comment je peux faire après pour faire un fichier de journalisation?
 
Merci de ton aide  
 

Dans la statégie de groupe (gpedit.msc)

Configuration ordinateur / Paramètres Windows /Paramètres de sécurité / Stratégies locales / Stratégie d'audit

il faut activer les paramètres de sécurité pour que les audits s'inscrivent dans l'observateur d'événements

Super la classe...
J'ai trouvé!
Nous ne pouvons pas avoir d'autre audit plus spécifique à mon cas que les 9 présentes?
Si cela n'est pas le cas, ca me va très bien.
 
Puis pr visualisé les évènements nous allons dans la console "Observateur d'évènement"?
 
Peut-t-on exporter dans un fichier automatiquement les informations qui nous intéressent?
 
Merci

Ici s'arrêtent mes réponses car nous dévions du sujet principal, et je me vois mal partir sur un cours d'administration Windows  

Ok pas de souci.
En tout cas je te remercie pour l'aide que tu m'as donné.
Ceci m'a vraiment aidé.
 
Je te souhaite une bonne journée et une bonne continuation.