Bonjour,
 
Nous allons mettre en place dans mon entreprise une infrastructure SharePoint.
 
Voici nos besoins :
 
- Une partie de Sharepoint accessible de l'extérieur avec authentification de l'utilisateur et sans VPN ;
- Et une autre partie de Sharepoint accessible de l'intérieur avec authentification Kerberos (Windows) ;
 
Notre matériel actuel :
 
- Une infrastructure VSphere avec 2 ESX et de la place pour accueillir d'autres serveurs virtuelles ;
- Un cluster FW de 2 Fortinet Fortigate 100A ;
 
Ce que j'avais pensé :
 
- Mettre en place un reverse proxy en DMZ pour donner l'accès aux utilisateurs externes ;
- Utiliser un cluster Sharepoint en interne avec 2 machines virtuelles ;
 
Les informations internes et externes seront donc sur les mêmes machines Sharepoint, qu'en pensez-vous ? Auriez-vous une autre façon de procéder ?
Et quel reverse proxy serait recommandé, en sachant que cela sera sur une machine physique, et qu'il serait intéressant d'avoir une redondance sur ce point ? (Je pensais Forefront UAG)
 
Merci  

Je partirai aussi sur une infra comme ça.
Une ferme de machines (et sql qq part) et un reverse proxy en DMZ (un UAG ou TMG en fn de ce que tu veux faire ça le fait).
 
Faut juste configurer l'AAM sur le sharepoint pour qu'il pointe sur les différentes zones

Merci Je@nb
 
Donc je peux très bien laisser une seule machine en DMZ :
 
- le reverse proxy
 
Et en LAN, je garde tous mes serveurs virtuels sur mes ESX :
 
- Sharepoint
- SQL
- ...
 
Les accès à ces machines par l'extérieur se feront par l'intermédiaire du reverse proxy.
 
N'est-ce pas dangereux, car de ce que je vois dans des infra, ils mettent des serveurs front en DMZ pour Sharepoint ou Exchange.
 
Merci

Tu peux mettre une infra sharepoint complète en DMZ si c'est pour de la publication de contenue mais ça veut dire que tu dois avoir de l'ADFS pour l'authentification en interne etc.
Pour ton scénario je pense que le reverse proxy est ce qu'il y a de mieux. C'est son but : couper un flux TCP Internet<>DMZ et DMZ<>LAN.
 
Pour Exchange c'est pareil, c'est un reverse proxy pour publier les parties web et un Exchange Edge pour le flux antispam

Merci Je@nb pour ton retour rapide !
 
Je pense partir sur celle solution de reverse proxy.
 
Vu que nous avons une grosse infrastructure VSphere avec un SAN en FC, nous pourrons l'utiliser pleinement en centralisant tous nos serveurs en LAN.

Tu peux mettre ton reverse proxy sur ton vsphere aussi. Suffit de mettre un VLAN en DMZ.
 
Ton reverse proxy peut aussi avoir une pate sur les 2 réseaux.

Tu as tout à fait raison.  
 
Mais niveau sécurité, je suis plus serein en dissociant de façon physique les réseaux DMZ et LAN.    
 
Comme tu dis, je peux très bien virtualisés tous mes serveurs, et créer un VSwitch pour la DMZ avec un VLAN propre.  

Je vois de moins en moins de client en tout cas séparer les infras.

Ils ont donc une infrastructure VSphere avec plusieurs ESX et un SAN.
 
Ils séparent le tout par des VLAN, donc un spécifique pour la DMZ, qui est le seul à passer les FW ?
 
Je n'ai pas vraiment creusé le côté tout virtualisé, car nous avons qu'un serveur physique en DMZ pour le site web.  
 
Mais c'est vrai que c'est plus simple à gérer avec une infra tout virtualisé.

Sympa le projet.  

 
Yes c'est ça. Tu virtualises tes différents LAN.

Voici la configuration réseau d'un de nos 2 ESX :
 

 
Cela me parait bizarre de n'avoir seulement 2 carte réseaux physiques pour l'intégralité de nos VM.
Et d'avoir 2 autres dédiés au Service console et vMotion.
 
Le service console est utilisé pour gérer l'ESX, et vMotion pour la bascule des machines virtuelles d'un ESX à l'autre ?
 
Dans la pratique pour une DMZ, on dédie un vSwitch, ou un crée juste un groupe de ports ?
 
Merci de votre aide  

Dans mon cas avec l'image que j'ai posté au dessus.
 
J'ajoute 2 cartes réseaux physiques sur chaque ESX qui seront dédiées à ma DMZ.
 
1. Vous connecterez ces ports de l'ESX directement sur le coeur de réseau dans un VLAN DMZ ?
 
2. Ou directement connectés sur les interfaces FW ?
 
Je pensais pour la première solution, qui signifie mutualisation de A à Z pour tous les LAN. Et ensuite avec des ACL, je filtre les accès sur mon coeur de réseau.
 
Mais le désavantage de cette solution, c'est que si ma DMZ se fait attaquée, mon LAN en pâtira ?
 
Merci pour vos avis  

Un petit up pour mes dernières questions    
 
Merci  

Perso, je préfère isoler sur du matériel différent, mais ça me regarde.
 
Donc solution 2 pour moi : la sortie du FW sur un (ou plusieurs) Switch(s) dédié(s) qui distribue(nt) vers les cartes réseaux des serveurs.