Configuring Virtual Private Networks for Remote Clients and Networks

How to Configure VPN Address Assignment
When VPN clients connect to the VPN server, they must be assigned an IP address configuration
that enables them to access the resources on the internal network or other networks. ISA Server can be configured to assign the IP address configuration directly, or to use a Dynamic Host Configuration Protocol (DHCP) server to assign the addresses.

When you use DHCP, VPN clients are assigned IP addresses that are part of the internal network subnet. The advantage of this addressing scheme is that you do not need to create special routing table entries to support the VPN clients and all VPN clients will automatically be able to access the internal network and the Internet (using the protocols specified in the access rules). In this configuration, ISA Server acts as an Address Resolution Protocol (ARP) proxy for VPN clients. For example, when addresses assigned to the VPN Clients network are part of the internal network segment, computers from the internal network will send ARP queries to VPN clients. ISA Server will
intercept the queries and reply on behalf of the connected VPN client. The network traffic will then be transparently routed to the VPN client.

Assigning IP Addresses to VPN Clients
When VPN clients connect to ISA Server, the client must be assigned an IP address.
There are two ways that ISA Server can assign the addresses:
1- Dynamic address assignment To enable dynamic address assignment, a DHCP server must be accessible from the computer running ISA Server. Any computer running Windows Server 2003 or Windows 2000 Server on the internal network can serve as the DHCP server. If you use a DHCP server for address assignment, ISA Server retrieves a group of available IP addresses from the DHCP server. When a VPN client connects, ISA Server assigns one of these addresses to the VPN client. As
part of the IP address assignment, ISA Server also assigns other TCP/IP properties such as the Domain Name System (DNS) servers and Windows Internet Naming Service (WINS) servers. The IP address assigned to the client is automatically moved from the internal network to the VPN Clients network (or Quarantined VPN Clients network if quarantine is enabled and the client is quarantined).

2- Static address assignment You can also configure ISA Server with a static pool of addresses to assign to VPN clients. In this configuration, you do not need a DHCP server; rather, you configure the IP addresses on the computer running ISA Server. When a client connects, ISA Server assigns one of the IP addresses to the VPN client. If you use a static address pool for address assignment, the addresses that you want to assign to the pool must first be removed from other defined networks,
because overlapping of IP addresses between networks is not allowed. You must also provide one more IP address in the static address pool than the expected number of remote VPN connections because the VPN interface on ISA Server requires an IP address.

Configuring Dial-In Permissions in Active Directory
In addition to configuring ISA Server to enable VPN connections, you must also configure Active Directory user accounts to enable dial-in permissions for those accounts. Until this is configured, users will be unable to connect to ISA Server using a VPN. The default user account configuration in Active Directory varies depending on the domain being used to authenticate users.

1- In Windows 2000 mixed-mode domains, or in Windows Server 2003 domains at the Windows 2000 mixed-functional level, all user accounts have dial-in access disabled by default. You must enable dial-in access on a per-account basis for these Active Directory domains.

2- In Windows 2000 native-mode domains, or in Windows Server 2003 domains at the Windows 2000 native or Windows Server 2003 functional levels, all user accounts, by default, have dial-in access controlled by Remote Access Policy. You can control dial-in access by just modifying the remote-access policy.

3- Windows NT 4.0 domains always have dial-in access controlled on a per-user account basis.

Lesson 2: Configuring Multiple Networking on ISA Server

ISA Server Support for Multiple Networks
ISA Server 2004 uses networks to define blocks of IP addresses that may be directly attached to the ISA Server computer or IP addresses that may be remote networks. ISA Server uses these networks as components when you create access rules. ISA Server supports an unlimited number of networks.

What Is Multinetworking?
Multinetworking means that you can configure multiple networks on ISA Server, and then configure network and access rules that inspect and filter all network traffic between all networks. Multinetworking enables flexible options for network configuration. One common network configuration is a three-legged firewall.
In this configuration, you create three networks:
1- The servers that are accessible from the Internet are usually isolated on their own network, such as a perimeter network.
2- The internal client computers and servers that are not accessible from the Internet are located on an internal network.
3- The third network is the Internet.
ISA Server multinetworking functionality supports this configuration. You can configure how clients on the corporate network access the perimeter network, and how external clients access the perimeter network. You can also define access rules for all
network traffic flowing from the Internal network to the Internet. You can also configure the relationships between the various networks, defining different network rules between each network.

You might also need to configure a more complicated network environment. In this scenario, you could have the following:
1- Two perimeter networks Perhaps you are deploying some servers that are domain members and other servers that are stand-alone servers. The domain members need to be able to communicate with domain controllers that are located on your internal network. In this scenario, you could configure a second perimeter network for the servers that need to be members of the domain.
2- Two internal networks You might have a group of client computers that needs to access the Internet using a different application or with security rules different from the other client computers. You can create an additional internal network and configure specific Internet access rules for each network.
3- VPN client and VPN remote-site networks ISA Server defines a network for VPN clients, and you can define a network for each remote site connected with a site-to-site VPN connection.

How to Create and Modify Network Objects
For a small organization with a fairly simple network, the default network objects may provide all the configuration options required. However, in a larger organization with a more complex network environment and more complicated requirements, you may need to create and modify the network objects.
To create a new network object, use the following procedure:
1. In the Microsoft ISA Server Management Console tree, expand the Configuration node and click Networks.
2. In the Details pane, click the Network tab.
3. On the Tasks tab, click Create a New Network.
4. On the Welcome to the New Network Wizard page, in the Network Name: box,type the name for the network. Click Next.
5. On the Network Type page, select the type of network
you are creating. Select one of the following options:
. External Network
. Internal Network
. Perimeter Network
. VPN Site-To-Site Network
6. After selecting the network type, click Next.
7. If you selected an internal, perimeter, or external network type, on the Network Addresses page, click Add.
8. In the IP Address Range Properties page, type the starting and ending addresses,and then click OK.
9. On the Completing The New Network Wizard page, review the settings and then click Finish.
To modify a network, click the network in ISA Server Management Console and then click Edit Selected Network.

Maintaining ISA Server 2004

Importing the ISA Server Configuration :
When you import a previously exported file, all properties and settings defined in the file are imported, overwriting the current configuration on the ISA Server computer. However, if you export only a specific component, such as a specific firewall rule, the file import overwrites only that particular rule.

To import the ISA Server configuration, complete the following procedure:
1. Open ISA Server Management.
2. Select the object whose settings you want to import. You must select the correct type of object for the configuration file that you are using.
3. On the Tasks tab, click the import task. The exact name for the task will vary,depending on the type of object that you selected.
4. Select the exported .xml file and click Import.
5. Click Apply to apply the changes and click OK when the changes have been applied.

How to Back Up and Restore the ISA Server Configuration :

ISA Server 2004 also includes backup and restore features that enable you to save and restore the ISA Server configuration information. The backup procedure also stores the configuration information in an .xml file.

The primary use of the backup and restore option in ISA Server is for disaster recovery. You should regularly back up the configuration on the ISA Server computer so that you can restore the computer with the same settings in case of a computer failure. The backup functionality saves the appropriate information to ensure that an identical configuration can be restored.

Backing up an ISA Server configuration backs up all configuration options on the server. This includes firewall policy rules, rule elements, alert configuration, cache configuration, system policy and VPN configuration. One of the differences between backing up the server configuration and exporting the configuration is that you can only back up the entire ISA Server configuration, not individual components or groups of components.

The restore process reconstructs the configuration information that was backed up. By restoring a backup, you can rebuild the ISA Server configuration or restore it after a configuration error.

To back up and restore the ISA Server configuration, complete the following procedure:

1. Open ISA Server Management and click the server name. The option to back up and restore the ISA Server configuration is available only when you select the server name.
2. On the Tasks tab, click Backup This ISA Server Configuration.
3. Enter a file name for the backup file and click Backup.
4. You must provide a password for the ISA Server backup
5. To restore the backup, click the server name in ISA Server Management. Then click Restore this ISA Server Configuration and select the appropriate ISA Server backup file.
6. Click Apply to apply the changes and click OK when the changes have been applied.

Maintaining ISA Server 2004

How to Export and Import the ISA Server Configuration :

Among the new features in ISA Server 2004 is the option to export and import the ISA Server configuration. With this option, you can save and restore the ISA Server configuration information. When you use the ISA Server export feature, the configuration parameters are exported and stored in an .xml file. The import and export features are useful in several scenarios:

1- Cloning a server You can export a configuration from one ISA Server computer and then import the settings on another computer, thereby easily duplicating a server configuration. For example, after configuring an ISA Server computer at one branch office, you can export the configuration to an .xml file. Then you can import the file on a computer running ISA Server at another branch office. The two ISA Server computers will have a duplicate configuration.

2- Saving a partial configuration You can export and import any part of the ISA Server configuration. For example, you can export a single rule, an entire policy, or an entire configuration. This is helpful when you want to copy all the firewall policy rules, but not the monitoring configuration, from one ISA Server to another. This is also useful when you want to modify a specific rule. You can export that rule and have the exported configuration available in case you need to roll back the rule modification.

3- Sending a configuration for troubleshooting You can export your configuration information to a file and send it to support professionals for analysis and troubleshooting.

4- Rolling back a configuration change As a best practice, before modifying any ISA Server settings you should export the specific component that you are modifying. If your modification is not successful, you can easily restore the previous configuration by importing the policy file.

Exporting the ISA Server Configuration
You can export the entire ISA Server configuration, or just parts of it, depending on your specific needs. You can export the following objects:
1- The entire ISA Server configuration
2- All the connectivity verifiers, or one selected connectivity verifier
3- All the networks, or one selected network
4- All the network sets, or one selected network set
5- All the network rules, or one selected network rule
6- All the Web chaining rules, or one selected Web chaining rule
7- Cache configuration
8- All the content-download jobs, or one or more selected content-download jobs
9- The entire firewall policy, or one selected rule.

When you export an entire configuration, all general configuration information is exported. This includes access rules, publishing rules, rule elements, alert configuration, cache configuration, and ISA Server properties. In addition, you can choose to export user permission settings and confidential information such as user passwords. Confidential information included in the exported file is encrypted.

To export the ISA Server configuration, complete the following procedure:
1. Open ISA Server Management.
2. Select the object the settings of which you want to export. Remember if you select
a container object (such as the Firewall Policy), all the objects in the container will be exported.
3. On the Tasks tab, click the Export task. The exact name for the task will vary depending on the type of object that you select.
4. Enter a file name for the exported .xml file and click Export.

How to Secure the ISA Server Configuration

After securing the computer running ISA Server, the next step is to ensure that your ISA Server configuration is as secure as possible. After installation, ISA Server, Standard Edition, starts with a default configuration that provides a high level of security. As an ISA Server administrator, you must understand what the default configuration is and how you may need to modify it to provide additional security or functionality.

The ISA Server Default Configuration
After a standard installation, ISA Server starts with a default configuration. This configuration provides a high level of security because it does not allow access to any Internet or internal resources through the ISA Server computer. However, the default configuration also includes several other settings.
The default configuration of a newly installed ISA Server means that traffic can occur between the ISA Server computer and other networks. For example, Lightweight Directory Access Protocol (LDAP) traffic is permitted from the ISA Server computer to the internal network. This enables the ISA Server computer to operate as a member of an Active Directory domain. However, by default, no traffic is permitted through the ISA Server computer from one network to another.

Configuring System Policies
When ISA Server 2004 is installed, a default system policy is configured on the server.This system policy includes a variety of access rules that provide an initial configuration for ISA Server 2004. Depending on your organization’s requirements, you may need to modify the system policy configuration, either by disabling some of the rules or enabling and modifying the rules.

System policy rules are used to define what traffic is allowed between the ISA Server computer and the connected networks. All the system policies define access between the Local Network, which is the ISA Server computer itself, and the connected networks rather than defining access between networks.

System Policy Settings A default system policy is applied when you install ISA Server 2004. This policy enables the functionality needed to manage the ISA Server computer and provide network connectivity.

Modifying System Policy After installing ISA Server, you should analyze the default system policy configuration and modify the policy to meet your organization’s requirements.The default system policy enables more options than are required for most organizations. If your organization does not require a specific type of functionality enabled by a system policy rule, then disable the rule. For example, the default system policy enables both RADIUS and Active Directory authentication, and most organizations will use one or the other. If you are using only one type of authentication, then disable the rule pertaining to the other.

Modify the default system policy settings to match your organization’s requirements.First, identify the functionality that you require on the ISA Server computer. Then reviewthe system policy settings and disable all the system policy rules that you do not require.For example, if no users will ever access ISA Server using Remote Desktop, then disablethe Terminal Server system policy that enables Remote Desktop connections.

How to Configure ISA Server Administrative Roles
Another component to securing the ISA Server computer is to configure the ISA Server administrative permissions. As a general rule, user accounts should always be configured with the minimum privileges necessary to perform a specific task. You can use role-based administration to organize your ISA Server administrators into separate,defined roles, each with its own set of privileges and corresponding tasks. The rolesassigned in ISA Server are based on Windows users and groups. If the ISA Server computeris a member of a domain, these users and groups can be either local accounts ordomain accounts. If the ISA Server computer is not a member of a domain, you must assign local users and groups to the roles.

ISA Server includes three administrative roles that are defined in advance:
1- ISA Server Basic Monitoring Users and groups assigned this role can monitor the ISA Server computer and network activity, but cannot configure specific monitoring functionality.
2- ISA Server Extended Monitoring Users and groups assigned this role can perform all monitoring tasks, including log configuration, alert-definition configuration, and all monitoring functions available to the ISA Server Basic Monitoring role.
3- ISA Server Full Administrator Users and groups assigned this role can perform any ISA Server task, including rule configuration, application of network templates, and monitoring.

Module 2 ( 70-291) : Allocation de l'adressage IP à l'aide du protocole DHCP

Définition :

Le protocole DHCP est une norme IP permettant de simplifier la gestion de la configuration IP hôte. La norme DHCP permet d'utiliser les serveurs DHCP pour gérer l'allocation dynamique des adresses IP et des autres données de configuration IP pour les clients DHCP de votre réseau.

Pourquoi utiliser le protocole DHCP ?

Pour les réseaux basés sur le protocole TCP/IP, le protocole DHCP simplifie et réduit le travail administratif impliqué dans la reconfiguration des ordinateurs.

Pour comprendre en quoi le protocole DHCP simplifie la configuration du protocole TCP/IP sur des ordinateurs clients, il est utile de comparer les configurations manuelle et automatique du protocole TCP/IP, la configuration automatique utilisant le protocole DHCP.

Configuration manuelle du protocole TCP/IP :

Lorsque vous configurez les données de configuration IP pour chaque hôte en entrant manuellement les informations, telles que l'adresse IP, le masque de sous-réseau ou la passerelle par défaut, vous pouvez faire des erreurs typographiques. Ces erreurs peuvent créer des problèmes de communication ou des incidents liés aux adresses IP dupliquées. De plus, il en résulte des tâches administratives supplémentaires sur les réseaux où les ordinateurs sont souvent déplacés d'un sous-réseau à l'autre. De même, lorsque vous devez modifier une valeur IP pour plusieurs clients, il vous faut mettre à jour la configuration IP de chaque client.

Procédure 1 :

Pour ajouter un service Serveur DHCP, procédez comme suit :

1. Connectez-vous à l'aide d'un compte d'utilisateur non-administratif.

2. Cliquez sur Démarrer, puis sur Panneau de configuration.

3. Dans le Panneau de configuration, ouvrez Outils d'administration, cliquez avec le bouton droit sur Gérer votre serveur, puis sélectionnez Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, sélectionnez L'utilisateur suivant, entrez un compte d'utilisateur et un mot de passe ayant les autorisations adéquates pour exécuter la tâche, puis cliquez sur OK.

5. Dans la fenêtre Gérer votre serveur, cliquez sur Ajouter ou supprimer un rôle.

6. Dans la page Étapes préliminaires, cliquez sur Suivant.

7. Dans l'Assistant Configurer votre serveur, sélectionnez Serveur DHCP, puis cliquez sur Suivant.

8. Dans la page Aperçu des sélections, cliquez sur Suivant.
9. Dans l'Assistant Nouvelle étendue, cliquez sur Annuler pour interrompre la création d'une étendue à ce stade.
10. Dans l'Assistant Configurer votre serveur, cliquez sur Terminer.

Procédure 2 : configuration des étendues DHCP :

Pour configurer une étendue DHCP, procédez comme suit :

1. Ouvrez la console DHCP.

2. Dans l'arborescence de la console, cliquez sur le serveur DHCP concerné.

3. Dans le menu Action, cliquez sur Nouvelle étendue.

4. Dans l'Assistant Nouvelle étendue, cliquez sur Suivant.

5. Dans la page Nom de l'étendue, configurez les options Nom et Description.

6. Dans la page Plage d'adresses IP, configurez les options Adresse IP de début, Adresse IP de fin et Masque de sous-réseau.

7. Dans la page Ajout d'exclusions, configurez les options Adresse IP de début et Adresse IP de fin, le cas échéant. S'il n'existe qu'une seule exclusion d'adresse IP, configurez cette adresse IP comme l'adresse IP de début.

8. Dans la page Durée du bail, configurez les options Jours, Heures et Minutes.

9. Dans la page Configuration des paramètres DHCP, sélectionnez Non, je configurerai ces options ultérieurement.

10. Dans la page Fin de l'Assistant Nouvelle étendue, cliquez sur Terminer.

Procédure de configuration d'une réservation DHCP :

Pour configurer une réservation DHCP, procédez comme suit :

1. Ouvrez la console DHCP.

2. Dans l'arborescence de la console, cliquez sur Réservations.

3. Dans le menu Action, cliquez sur Nouvelle réservation.

4. Dans la boîte de dialogue Nouvelle réservation, renseignez les champs suivants :

a. Nom de réservation

b. Adresse IP

c. Adresse MAC (sans trait d'union)

d. Description

5. Sous Types pris en charge, sélectionnez l'une des options suivantes :

a. Les deux

b. DHCP seulement

c. BOOTP seulement

6. Dans la boîte de dialogue Nouvelles réservations, cliquez sur Ajouter, puis sur Fermer.

Procédure 3 : vérification d'une réservation DHCP :

Pour vérifier la réservation DHCP, procédez comme suit :

1. Sur l'ordinateur client, à l'invite de commandes, libérez l'adresse IP du clienà l'aide de la commande ipconfig /release.

2. Sur l'ordinateur serveur, dans la console DHCP, sous Baux d'adresse, vérifiez que la réservation s'affiche comme étant désactivée.

3. Sur l'ordinateur client, à l'invite de commandes, renouvelez l'adresse IP du client à l'aide de la commande ipconfig /renew.

4. Sur l'ordinateur serveur, dans la console DHCP, sous Baux d'adresse, vérifiez que la réservation s'affiche comme étant activée.

Procédure 4 : configuration des options de serveur DHCP :

Pour configurer une option de serveur DHCP, procédez comme suit :

1. Ouvrez la console DHCP.

2. Dans l'arborescence de la console, sous le nom du serveur, cliquez sur Options de serveur.

3. Dans le menu Action, cliquez sur Configurer les options.

4. Dans la boîte de dialogue Options Serveur, sélectionnez l'option à configurer dans la liste des Options disponibles.

5. Sous Entrée de données, entrez les informations requises pour configurcette option.

6. Dans la boîte de dialogue Options Serveur, cliquez sur OK.

Comment fonctionne un agent de relais DHCP :

Les procédures suivantes décrivent le fonctionnement d'un agent de
relais DHCP :
1. Le client DHCP diffuse un paquet DHCPDISCOVER.
2. L'agent de relais DHCP sur le sous-réseau du client envoie le message DHCPDISCOVER au serveur DHCP à l'aide de la monodiffusion.
3. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPOFFER à l'agent de relais DHCP.
4. L'agent de relais DHCP diffuse le paquet DHCPOFFER au sous-réseau du client DHCP.
5. Le client DHCP diffuse un paquet DHCPREQUEST.
6. L'agent de relais DHCP sur le sous-réseau du client envoie le message DHCPREQUEST au serveur DHCP à l'aide de la monodiffusion.
7. Le serveur DHCP utilise la monodiffusion pour envoyer un message DHCPACK à l'agent de relais DHCP.
8. L'agent de relais DHCP diffuse le paquet DHCPACK au sous-réseau du client DHCP.

Procédure 4 : ajout d'un agent de relais DHCP :

Pour ajouter un agent de relais DHCP, procédez comme suit :

1. Ouvrez la console Routage et accès distant.

2. Cliquez avec le bouton droit sur le serveur, puis cliquez sur Configurer et activer le routage et l'accès distant.

3. Dans la page Bienvenue !, cliquez sur Suivant.

4. Dans la page Configuration, sélectionnez Configuration personnalisée, puis cliquez sur Suivant.

5. Dans la page Configuration personnalisée, sélectionnez Routage réseau, puis cliquez sur Suivant.

6. Dans la page Fin de l'Assistant Installation du serveur du routage et d'accès distant, cliquez sur Terminer.

7. Dans la boîte de dialogue d'avertissement Routage et accès distant, cliquez sur Oui pour démarrer le service.

8. Dans la page Ce serveur est maintenant un serveur d'accès distant et de réseau VPN, cliquez sur Terminer.

9. Dans l'arborescence de la console, développez successivement le serveur et Routage IP, puis sélectionnez Général.

10. Cliquez avec le bouton droit sur Général, puis cliquez sur Nouveau protocole de routage.

11. Dans la boîte de dialogue Nouveau protocole de routage, cliquez sur Agent de relais DHCP, puis sur OK.

Pratique MCP 3 : 70-291 Configuration du routage à l'aide du service Routage et accès distant

Introduction :

Les routeurs constituent un système intermédiaire au niveau de la couche réseau qui permet de connecter des réseaux grâce à un protocole de couche réseau commun. Les systèmes intermédiaires sont des périphériques réseau capables d'acheminer des paquets entre différents segments d'un réseau.

Rôle des routeurs :

Les routeurs vous permettent de faire évoluer votre réseau et d'en préserver la bande passante en segmentant le trafic. Par exemple, les ordinateurs de test d'une organisation peuvent se trouver sur un segment du réseau et les ordinateurs de production sur un autre segment. Un routeur permet de connecter ces deux segments distincts.

Procédure : Activation et configuration du service Routage et accès distant :

Pour activer et configurer le service Routage et accès distant :

1. Ouvrez une session en utilisant un compte d'utilisateur ne disposant pas de droits d'administration. 2. Cliquez sur Démarrer, puis sur Panneau de configuration.

3. Dans le Panneau de configuration, ouvrez Outils d'administration, cliquez avec le bouton droit sur Gérer votre serveur, puis sélectionnez Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, sélectionnez L'utilisateur suivant, entrez un compte d'utilisateur, avec le mot de passe approprié, qui a l'autorisation d'effectuer la tâche, puis cliquez sur OK.

5. Dans l'outil Gérer votre serveur, cliquez sur Ajouter ou supprimer un rôle.

6. Dans la page Étapes préliminaires, cliquez sur Suivant.

7. Dans la page Rôle du serveur, sélectionnez Serveur VPN / Accès distant, puis cliquez sur Suivant.

8. Dans la page Aperçu des sélections, cliquez sur Suivant.

9. Dans la page Bienvenue !, cliquez sur Suivant.

10. Dans la page Configuration, sélectionnez Configuration personnalisée, puis cliquez sur Suivant.

11. Dans la page Configuration personnalisée, sélectionnez l'option Routage réseau, puis cliquez sur Suivant.

12. Dans la page Fin de l'Assistant Installation du serveur du routage et d'accès distant, cliquez sur Terminer.

13. Dans la boîte de dialogue d'avertissement Routage et accès distant, cliquez sur Oui pour démarrer le service.

14. Dans la page Ce serveur est maintenant un serveur d'accès distant et de réseau VPN, cliquez sur Terminer.

Procédure 2 :

Pour configurer des filtres de paquets :

1. Dans l'arborescence de la console Routage et accès distant, développez successivement Nom_Ordinateur, Routage IP, puis cliquez sur Général.
2. Dans le volet d'informations, cliquez avec le bouton droit sur l'interface à laquelle vous souhaitez ajouter un filtre, puis cliquez sur Propriétés.
3. Sous l'onglet Général, cliquez sur Filtres d'entrée ou Filtres de sortie, puis cliquez sur Nouveau.
4. Dans la boîte de dialogue Ajouter le filtre IP, identifiez le réseau source en configurant les paramètres suivants :
a. Adresse IP : tapez l'ID réseau de l'adresse IP source ou une adresse IP source.
b. Masque de sous-réseau : tapez le masque de sous-réseau correspondant à l'ID du réseau source ou tapez 255.255.255.255 comme adresse IP source.

5. Dans la boîte de dialogue Ajouter le filtre IP, identifiez le réseau de destination en configurant les paramètres suivants :

a. Adresse IP : tapez l'ID réseau de l'adresse IP de destination ou une adresse IP de destination.

b. Masque de sous-réseau : tapez le masque de sous-réseau correspondant à l'ID du réseau de destination ou tapez 255.255.255.255 comme adresse IP de destination.

6. Dans la boîte de dialogue Ajouter le filtre IP, sélectionnez le protocole approprié.
a. TCP : sélectionnez cette option pour spécifier un port TCP source et un port TCP de destination.
b. TCP (établi) : sélectionnez cette option uniquement pour intégrer les paquets TCP qui font partie d'une connexion TCP précédemment établie.
c. UDP : sélectionnez cette option pour spécifier un port UDP source et un port UDP de destination.

d. ICMP : sélectionnez cette option pour spécifier un code ICMP et un type ICMP.

e. N'importe lequel : sélectionnez cette option pour que toute valeur de protocole IP soit applicable quelle qu'elle soit.
f. Autre : sélectionnez cette option pour spécifier tout protocole IP quel qu'il soit.

7. Dans la boîte de dialogue Ajouter le filtre IP, cliquez sur OK.

8. Dans la boîte de dialogue Filtres, sélectionnez l'une des actions de filtrage appropriées suivantes, puis cliquez sur OK.
a. Recevoir tous les paquets sauf ceux qui répondent aux critères suivants
b. Rejeter tous les paquets à l'exception de ceux qui répondent aux critères suivants

Module 3 : Analyse des performances du serveur

Procédure 1 : Analyse de la mémoire à l'aide de la console Performances :

Pour analyser la mémoire à l'aide de la console Performances:

1. Cliquez sur Démarrer et Panneau de configuration, puis double-cliquez sur Outils d'administration et Performances.
2. Cliquez avec le bouton droit de la souris dans le volet de droite du Moniteur système, puis cliquez sur Ajouter des compteurs.
a. Dans Objet de performance, cliquez sur Mémoire. Sélectionnez ensuite un à un les compteurs suivants, puis cliquez sur Ajouter.
• Pages/s
• Octets disponibles
• Octets validés
• Octets de réserve non paginée
• Défauts de page/s

b. Bien que les compteurs suivants ne soient pas explicitement des compteurs d'objets mémoire, ils sont également utiles à l'analyse de la mémoire :
• Fichier d'échange\Pourcentage d'utilisation
• Cache\% Présence des données mappées
• Serveur\Octets de réserve paginée et Serveur\Octets de réserve non paginée

3. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez les opérations nécessaires à la résolution du problème de mémoire.

Conseil : Ces opérations peuvent impliquer la recherche du processus à l'origine des échanges ou de l'utilisation de la mémoire RAM, la recherche d'une fuite de mémoire dans une application et l'ajout de mémoire RAM.

Procédure 2 : Analyse les disques:

Pour analyser les disques :

1. Cliquez sur Démarrer et Panneau de configuration, puis double-cliquez sur Outils d'administration et Performances.
2. Cliquez avec le bouton droit de la souris dans le volet de droite du Moniteur système, puis cliquez sur Ajouter des compteurs.
3. Dans la boîte de dialogue Ajouter des compteurs, sous Objet de performance, choisissez Disque physique. Sélectionnez ensuite les compteurs suivants et cliquez sur Ajouter.
• % Temps du disque
• Moy. disque, octets/transfert
• Taille de file d'attente du disque actuelle
• Octets disque/s
4. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez les opérations nécessaires à la résolution des éventuels problèmes de disque.

Conseil : Pour résoudre un problème de goulot d'étranglement au niveau d'un
disque, vous devez déterminer si des opérations d'échange sont effectuées. Si tel
est le cas, vous devez mettre à niveau le disque.

Procédure 3 : Analyse de l'utilisation du réseau à l'aide de la console Performances:

Pour analyser l'utilisation du réseau à l'aide de la console Performances :

1. Cliquez sur Démarrer et Panneau de configuration, puis double-cliquez sur Outils d'administration et Performances.
2. Cliquez avec le bouton droit de la souris dans le volet de droite du Moniteur système, puis cliquez sur Ajouter des compteurs.
a. Sous Objet de performance, choisissez Interface réseau. Sélectionnez ensuite les compteurs suivants et cliquez sur Ajouter.
• Interface réseau\Octets envoyés/s
• Interface réseau\Total des octets/s
b. Sous Objet de performance, choisissez Serveur. Sélectionnez ensuite les compteurs suivants, cliquez sur Ajouter, puis sur Fermer.
• Serveur\Octets reçus/s
3. Dans le volet de droite du Moniteur système, examinez les compteurs, puis effectuez les opérations nécessaires à la résolution des éventuels problèmes de réseau.

Conseil : Ces opérations peuvent inclure une mise à niveau ou l'ajout d'une carte
réseau. Vous pouvez également segmenter le réseau ou limiter les protocoles
utilisés.