Configuration d'Exchange 2003 pour l'accès client

 

Dernière rubrique modifiée : 2010-11-19

Cette rubrique fournit des informations sur la configuration de Microsoft® Exchange Server 2003 pour l'accès client. Vous y trouverez notamment des informations concernant les opérations suivantes :

• sécurisation de votre environnement de messagerie Exchange ;
• déploiement de l'architecture de votre serveur ;
• configuration des serveurs Exchange pour vos méthodes d'accès client prises en charge.

Autorisations pour la configuration d'Exchange 2003 pour l'accès client

Le tableau 1 dresse la liste des autorisations ou des rôles nécessaires aux procédures décrites dans cette rubrique.

Tableau 1   Procédures décrites dans cette rubrique et autorisations correspondantes

Procédure	Autorisations ou rôles nécessaires
Configuration de SSL (Secure Sockets Layer) sur un serveur	Administrateur local
Obtention d'un certificat de serveur d'une Autorité de certification	Administrateur local
Ajout du Gestionnaire de certificats à Microsoft Management Console (MMC)	Administrateur local
Sauvegarde de votre certificat de serveur	Administrateur local
Demande de SSL	Administrateur local
Désignation d'un serveur frontal	Administrateur local
Configuration de votre serveur frontal Exchange pour utiliser l'appel de procédure distante (RPC) sur HTTP	Administrateur local
Configuration du répertoire virtuel RPC	Administrateur local Administrateur de domaine
Configuration du serveur Proxy RPC pour utiliser les ports par défaut spécifiés pour RPC sur HTTP à l'intérieur du réseau d'entreprise	Administrateur local Administrateur de domaine
Configuration des serveurs de catalogue global pour utiliser les ports par défaut spécifiés pour RPC sur HTTP à l'intérieur du réseau de périmètre	Administrateur local Administrateur de domaine
Création d'un profil Microsoft Office Outlook® à utiliser avec RPC sur HTTP	Aucune autorisation spécifique nécessaire
Configuration d'Exchange 2003 pour utiliser ActiveSync® Microsoft Exchange	Administrateur local
Configuration des périphériques Pocket PC Phone Edition pour utiliser ActiveSync Exchange	Aucune autorisation spécifique nécessaire
Vérification que l'option ACE/Agent est configurée pour protéger l'ensemble du serveur Web	Administrateur local
Limitation de l'authentification SecurID au répertoire virtuel Microsoft-Exchange-ActiveSync	Administrateur local
Configuration des réponses HTTP personnalisées pour les périphériques	Administrateur local
Activation de Microsoft Outlook Mobile Access	Administrateur local
Configuration des périphériques Pocket PC Phone Edition pour utiliser Outlook Mobile Access	Aucune autorisation spécifique requise
Activation de l'authentification par formulaire	Administrateur local Administrateur Exchange
Activation de la compression de données	Administrateur local Administrateur Exchange
Démarrage, suspension ou arrêt du serveur virtuel	Administrateur local Administrateur Exchange

Sécurisation de votre environnement de messagerie Exchange

La sécurisation de votre environnement de messagerie Exchange implique les activités de déploiement suivantes :

1. Mise à jour de votre logiciel serveur
2. Sécurisation de l'environnement de messagerie
3. Sécurisation des communications

Pour sécuriser votre système de messagerie, exécutez ces étapes dans l'ordre indiqué.

Mise à jour de votre logiciel serveur

Après avoir installé Exchange Server 2003, vous devez mettre à jour le logiciel serveur sur vos serveurs Exchange et tous les autres serveurs avec lesquels Exchange communique, tels que vos serveurs de catalogue global et contrôleurs de domaine. Pour plus d'informations sur la mise à jour de votre logiciel avec les derniers correctifs de sécurité, voir le site Web du Centre de sécurité Exchange Server (https://go.microsoft.com/fwlink/?LinkId=18412).

Pour plus d'informations sur la sécurité Microsoft, voir le site Web Microsoft Sécurité (https://go.microsoft.com/fwlink/?linkid=21633).

Sécurisation de l'environnement de messagerie Exchange

Si vous ne pouvez pas placer vos serveurs frontaux Exchange 2003 dans le réseau de périmètre, il est recommandé de déployer Microsoft ISA (Internet Security and Acceleration) Server 2000. ISA Server joue le rôle de pare-feu avancés qui contrôlent le trafic Internet entrant dans votre réseau. Lorsque vous utilisez cette configuration, vous placez tous les serveurs Exchange 2003 à l'intérieur du réseau d'entreprise et utilisez ISA Server comme serveur pare-feu avancé, exposé au trafic Internet dans votre réseau de périmètre.

L'ensemble du trafic Internet entrant en direction des serveurs Exchange (par exemple, Microsoft Office Outlook Web Access, les communications RPC sur HTTP en provenance de clients Outlook 2003, Outlook Mobile Access, POP3 (Post Office Protocol version 3), IMAP4 (Internet Message Access Protocol version 4rev1), etc.) est traité par le serveur ISA. Lorsqu'ISA Server reçoit une demande d'accès à un serveur Exchange, il traite les demandes par procuration sur les serveurs Exchange de votre réseau interne. Les serveurs Exchange internes renvoient les données demandées au serveur ISA, qui transmet ensuite les informations au client via Internet. La figure 1 illustre un exemple de déploiement ISA Server recommandé.

Sécurisation des communications

Pour sécuriser les communications dans votre environnement de messagerie Exchange, vous devez effectuer les tâches suivantes :

• sécuriser les communications entre les applications de messagerie clientes et le serveur frontal Exchange ;
• sécuriser les communications entre le serveur frontal Exchange et le réseau interne.

Les sections suivantes comprennent des informations relatives à la sécurisation des communications pour ces deux cas de figure.

Sécurisation des communications entre le client et le serveur frontal Exchange

Pour sécuriser les données échangées entre le client et le serveur frontal, il est vivement recommandé d'activer l'utilisation de SSL (Secure Sockets Layer) sur le serveur frontal. En outre, pour garantir que les données utilisateur sont toujours sécurisées, vous devez désactiver l'accès au serveur frontal sans SSL (cette option peut être définie dans la configuration SSL). Lorsque l'authentification de base est utilisée, il est essentiel de protéger le trafic réseau à l'aide de SSL afin de protéger les mots de passe des utilisateurs contre le repérage de paquets sur le réseau.

Remarque :
Si vous n'utilisez pas SSL entre les clients et le serveur frontal, la transmission de données HTTP à votre serveur frontal ne sera pas sécurisée. Il est vivement recommandé de configurer le serveur frontal pour qu'il requière SSL.

Nous vous conseillons de vous procurer un certificat SSL en achetant un certificat à une Autorité de certification tierce. L'achat d'un certificat à une Autorité de certification est la méthode privilégiée car la majorité des navigateurs approuvent un grand nombre de ces Autorités de certification.

Vous pouvez également utiliser les services de certificats pour installer vos propres Autorités de certification. Bien que l'installation de votre propre Autorité de certification puisse être moins coûteuse, les navigateurs n'approuveront pas votre certificat et les utilisateurs recevront un message d'avertissement indiquant que le certificat n'est pas approuvé. Pour plus d'informations sur SSL, voir l'article 320291 de la Base de connaissances Microsoft sur l'activation de SSL pour Exchange 2000 Server Outlook Web Access (https://go.microsoft.com/fwlink/?linkid=3052&kbid=320291).

Utilisation de SSL (Secure Sockets Layer)

Pour protéger les messages sortants et entrants, déployez SSL pour crypter le trafic de messagerie. Vous pouvez configurer les fonctionnalités de sécurité SSL sur un serveur Exchange pour vérifier l'intégrité de votre contenu, vérifier l'identité des utilisateurs et crypter les transmissions réseau. Exchange, comme tout serveur Web, requiert un certificat de serveur valide pour établir des communications SSL. Vous pouvez utiliser l'Assistant Certificat de serveur Web pour générer un fichier de demande de certificat (par défaut, NewKeyRq.txt) que vous pouvez envoyer à une Autorité de certification ou générer une demande pour une Autorité de certification en ligne, telle que les services de certificats.

Si vous n'utilisez pas les services de certificats pour émettre vos propres certificats de serveur, une Autorité de certification tierce doit approuver votre demande et émettre votre certificat de serveur. Pour plus d'informations sur les certificats de serveur, voir la section sur l'obtention et l'installation de certificats de serveur plus loin dans cette rubrique. En fonction du niveau d'assurance d'identification proposé par votre certificat de serveur, l'approbation de votre demande et l'envoi de votre fichier de certificat par l'Autorité de certification peut nécessiter plusieurs jours à plusieurs mois. Vous ne pouvez avoir qu'un seul certificat de serveur pour chaque site Web.

Une fois que vous avez reçu un fichier de certificat de serveur, utilisez l'Assistant Certificat de serveur Web pour l'installer. Le processus d'installation attache (ou lie) vos certificats à un site Web.

Pour obtenir la procédure détaillée, voir la rubrique sur Procédure de paramétrage de SSL sur un serveur.

Important :

Pour effectuer la procédure ci-dessus, vous devez être membre du groupe Administrateurs sur l'ordinateur local ou l'autorité appropriée doit vous avoir été déléguée. En matière de sécurité, il est recommandé de se connecter à l'ordinateur en utilisant un compte qui ne figure pas dans le groupe Administrateurs, puis d'utiliser la commande Exécuter en tant que pour exécuter le Gestionnaire des services Internet en tant qu'administrateur. À l'invite de commandes, tapez la commande suivante : runas /user:administrative_accountname "mmc%systemroot%\system32\inetsrv\iis.msc"

Si l'utilisation du cryptage de clés sur 128 bits est requise, vos utilisateurs doivent utiliser des navigateurs Web qui prennent en charge le cryptage sur 128 bits. Pour plus d'informations sur la mise à niveau vers le chiffrement 128 bits, consultez le site Web des services de support technique de Microsoft (https://go.microsoft.com/fwlink/?linkid=14898).

Obtention et installation de certificats de serveur

Vous pouvez obtenir des certificats de serveur d'une Autorité de certification extérieure ou émettre vos propres certificats de serveur à l'aide des services de certificats. Une fois que vous avez obtenu un certificat de serveur, vous pouvez l'installer. Lorsque vous utilisez l'Assistant Certificat de serveur Web pour obtenir et installer un certificat de serveur, le processus correspond à la création et à l'affectation d'un certificat de serveur.

Pour obtenir la procédure détaillée, voir la rubrique sur Procédure d'obtention d'un certificat de serveur auprès d'une Authorité de certification.

Cette section décrit les problèmes à prendre en considération avant de décider d'obtenir vos certificats de serveur d'une Autorité de certification extérieure ou d'émettre vos propres certificats de serveur. Elle comprend les informations suivantes :

• obtention de certificats de serveur d'une Autorité de certification ;
• émission de vos propres certificats de serveur ;
• installation de certificats de serveur ;
• sauvegarde de certificats de serveur.

Obtention de certificats de serveur d'une Autorité de certification

Si vous remplacez votre certificat de serveur actuel, les services IIS continuent à utiliser ce certificat jusqu'à ce que la nouvelle demande soit terminée. Lorsque vous choisissez une Autorité de certification, prenez en considération les questions suivantes :

• L'Autorité de certification pourra-t-elle émettre un certificat compatible avec l'ensemble des navigateurs utilisés pour accéder à mon serveur ?
• L'Autorité de certification est-elle une organisation reconnue et approuvée ?
• Comment l'Autorité de certification vérifiera-t-elle mon identité ?
• L'Autorité de certification dispose-t-elle d'un système de réception des demandes de certificats en ligne, telles que celles générées par l'Assistant Certificat de serveur Web ?
• Combien coûtera initialement le certificat et combien coûteront le renouvellement ou les autres services ?
• L'Autorité de certification connaît-elle les intérêts commerciaux de mon organisation ou de ma société ?

Remarque :
Certaines Autorités de certification vous demandent de prouver votre identité avant de traiter votre demande ou d'émettre un certificat.

Émission de vos propres certificats de serveur

Avant de prendre la décision d'émettre vos propres certificats de serveur, prenez en considération les points suivants :

• Sachez que les services de certificats gèrent différents formats de certificats et permettent l'audit et l'enregistrement de l'activité liée aux certificats.
• Comparez le coût d'émission de vos propres certificats avec le coût d'achat d'un certificat à une Autorité de certification.
• Gardez à l'esprit que votre organisation nécessitera une période d'ajustement initiale pour connaître, implémenter et intégrer les services de certificats aux systèmes et stratégies de sécurité existants.
• Évaluez la volonté de vos clients qui se connectent à approuver votre organisation en tant que fournisseur de certificats.

Utilisez les services de certificats pour créer un service personnalisable pour l'émission et la gestion de certificats. Vous pouvez créer des certificats de serveur pour Internet ou pour des intranets d'entreprise en donnant à votre organisation le contrôle total sur les stratégies de gestion des certificats. Pour plus d'informations, voir la rubrique sur les services de certificats dans l'aide de Windows Server™ 2003.

Les demandes en ligne de certificats de serveur ne peuvent être faites qu'à des services de certificats d'entreprise locaux et distants, ainsi qu'à des services de certificats autonomes distants. L'Assistant Certificat de serveur Web ne reconnaît pas une installation autonome des services de certificats sur le même ordinateur lors de la demande d'un certificat. Si vous devez utiliser l'Assistant Certificat de serveur Web sur le même ordinateur qu'une installation des services de certificats autonomes, utilisez la demande de certificat en ligne pour enregistrer la demande dans un fichier, puis traitez-la comme une demande en mode hors connexion. Pour plus d'informations, voir la rubrique sur les services de certificats dans l'aide de Windows Server 2003.

Remarque :
Si vous ouvrez un certificat SGC (Server Gated Cryptography), vous pouvez recevoir l'avis suivant sous l'onglet Général : Ce certificat ne vérifie pas tous les rôles nécessaires. Cet avis s'affiche en raison de la façon dont les certificats SGC interagissent avec Microsoft Windows® ; il n'indique pas nécessairement que le certificat ne fonctionne pas correctement.

Installation de certificats de serveur

Après avoir obtenu un certificat de serveur d'une Autorité de certification ou après avoir émis votre propre certificat de serveur à l'aide des services de certificats, utilisez l'Assistant Certificat de serveur Web pour l'installer.

Sauvegarde de certificats de serveur

Vous pouvez utiliser l'Assistant Certificat de serveur Web pour sauvegarder des certificats de serveur. Étant donné que les services IIS collaborent étroitement avec Windows, vous pouvez utiliser le Gestionnaire de certificats, qui s'appelle Certificats dans Microsoft Management Console (MMC), pour exporter et sauvegarder vos certificats de serveur.

Pour obtenir la procédure détaillée pour l'ajout du Gestionnaire de certificats à une MMC vide, voir la rubrique sur Procédure d'ajout du Gestionnaire de certificats à Microsoft Management Console (MMC).

Après avoir installé le Gestionnaire de certificats, vous pouvez sauvegarder votre certificat. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de sauvegarde de votre certificat de serveur.

Après avoir configuré votre réseau pour émettre des certificats de serveur, vous devez sécuriser votre serveur frontal Exchange et les services de votre serveur Exchange en demandant la communication SSL avec le serveur frontal Exchange. La section suivante décrit la procédure d'activation de SSL pour votre site Web par défaut.

Activation de SSL pour le site Web par défaut

Après avoir obtenu un certificat SSL à utiliser avec votre serveur frontal Exchange sur le site Web par défaut ou le site sur lequel vous hébergez les répertoires virtuels \RPC, \OMA, \Microsoft-Server-ActiveSync, \Exchange, \Exchweb et \Public, vous pouvez activer le site Web par défaut pour qu'il exige SSL.

Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de configuration de répertoires virtuels en vue de l'utilisation de SSL.

Remarque :

Les répertoires virtuels \Exchange, \Exchweb, \Public, \OMA et \Microsoft-Server-ActiveSync sont installés par défaut lors de toute installation Exchange 2003. Le répertoire virtuel \RPC pour la communication RPC sur HTTP est installé manuellement lorsque vous configurez Exchange pour prendre en charge RPC sur HTTP. Pour plus d'informations sur la procédure de paramétrage d'Exchange en vue d'une utilisation de RPC sur HTTP, voir la rubrique sur les scénarios de déploiements d'Exchange Server 2003 avec RPC sur HTTP (https://go.microsoft.com/fwlink/?LinkId=47577).

Une fois cette procédure exécutée, tous les répertoires virtuels se trouvant sur le serveur frontal Exchange du site Web par défaut sont configurés pour utiliser SSL.

Sécurisation des communications entre le serveur frontal Exchange et d'autres serveurs

Après avoir sécurisé vos communications entre les ordinateurs clients et les serveurs frontaux Exchange, vous devez sécuriser les communications entre le serveur frontal Exchange et les serveurs principaux de votre organisation. Les communications HTTP, POP et IMAP entre le serveur frontal et tout serveur avec lequel le serveur frontal communique (par exemple, les serveurs principaux, les contrôleurs de domaine et les serveurs de catalogue global) ne sont pas cryptées. Lorsque le serveur frontal et les serveurs principaux se trouvent dans un réseau physique ou commuté approuvé, ce manque de cryptage n'est pas inquiétant. Toutefois, si le serveur frontal et les serveurs principaux sont conservés dans des sous-réseaux distincts, le trafic réseau peut passer par des zones non sécurisées du réseau. Le risque pour la sécurité est plus important lorsque la distance physique entre le serveur frontal et les serveurs principaux augmente. Dans ce cas, il est recommandé de crypter ce trafic pour protéger les mots de passe et les données.

Utilisation d'IPSec pour crypter le trafic IP

Windows 2000 prend en charge la sécurité du protocole IPSec (Internet Protocol security), norme Internet qui permet à un serveur de crypter tout trafic IP, excepté le trafic qui utilise des adresses de diffusion ou des adresses IP de multidiffusion. En général, vous utilisez IPSec pour crypter le trafic HTTP ; toutefois, vous pouvez également utiliser IPSec pour crypter le trafic LDAP (Lightweight Directory Access Protocol), RPC, POP et IMAP. IPSec vous permet d'effectuer les opérations suivantes :

• configurer deux serveurs exécutant Windows 2000 pour requérir l'accès réseau approuvé ;
• transférer des données protégées contre la modification (à l'aide d'un total de contrôle cryptographique sur chaque paquet) ;
• crypter tout trafic entre deux serveurs au niveau de la couche IP.

Dans une topologie frontale et principale, vous pouvez utiliser IPSec pour crypter le trafic entre le serveur frontal et les serveurs principaux qui, sans cela, ne serait pas crypté. Pour plus d'informations sur la configuration d'IPSec avec des pare-feu, consultez l'article 233256 de la Base de connaissances Microsoft sur la procédure d'activation du trafic IPSec via un pare-feu (https://go.microsoft.com/fwlink/?linkid=3052&kbid=233256).

Déploiement de l'architecture Exchange Server

Après avoir sécurisé votre environnement de messagerie Exchange, vous pouvez déployer l'architecture serveur frontal et principal Exchange. Pour plus d'informations sur l'architecture serveur frontal et principal Exchange, consultez la section sur les protocoles du guide sur la planification d'un système de messagerie Exchange Server 2003 (https://go.microsoft.com/fwlink/?linkid=47584).

Pour configurer l'architecture serveur frontal et principal Exchange, vous devez configurer un serveur Exchange en tant que serveur frontal. Avant de poursuivre le processus d'installation, il est important de passer en revue vos options de déploiement. La section suivante vous aide dans votre décision de déployer Exchange 2003 dans une configuration de serveur frontal et principal.

Une configuration frontale et principale est recommandée pour les organisations qui comportent plusieurs serveurs et utilisent Outlook Web Access, POP ou IMAP, ainsi que pour les organisations qui souhaitent fournir un accès HTTP, POP ou IMAP à leurs employés.

Configuration d'un serveur frontal

Un serveur frontal est un serveur Exchange ordinaire jusqu'à ce qu'il soit configuré en tant que serveur frontal. Un serveur frontal ne doit héberger aucun utilisateur ni aucun dossier public et doit être membre de la même organisation Exchange 2003 que les serveurs principaux (donc membre de la même forêt Windows 2000 Server ou Windows Server 2003). Les serveurs exécutant Exchange Server 2003 Enterprise Edition ou Exchange Server 2003 Standard Edition peuvent être configurés comme serveurs frontaux.

Pour obtenir la procédure détaillée, voir la rubrique sur la désignation d'un serveur frontal du guide relatif à la topologie frontale et principale d'Exchange Server 2003 et Exchange 2000 Server (https://go.microsoft.com/fwlink/?LinkId=47567).

Pour commencer à utiliser votre serveur en tant que serveur frontal, redémarrez le serveur. Pour plus d'informations sur les scénarios, les configurations et l'installation des serveurs frontaux et principaux, voir les documents suivants :

• Planification d'un système de messagerie Exchange Server 2003 (https://go.microsoft.com/fwlink/?LinkId=47584)
• Utilisation des serveurs frontaux Microsoft Exchange 2000 (https://go.microsoft.com/fwlink/?linkid=14575)

Configuration d'Exchange pour l'accès client

La configuration d'Exchange pour l'accès client implique la configuration d'Exchange pour traiter les protocoles et les clients que vous voulez prendre en charge. La section suivante décrit la procédure d'activation des protocoles clients pris en charge par Exchange sur le serveur Exchange. Elle comprend les informations suivantes :

• configuration de la prise en charge des périphériques mobiles ;
• configuration d'Outlook Web Access ;
• activation des serveurs virtuels POP3 et IMAP4.

Pour plus d'informations sur la configuration de RPC sur HTTP pour Outlook 2003, consultez la rubrique Scénarios de déploiement Exchange Server 2003 RPC sur HTTP (https://go.microsoft.com/fwlink/?LinkId=47577).

Configuration de la prise en charge des périphériques mobiles

La configuration de la prise en charge des périphériques mobiles pour Exchange 2003 implique les opérations suivantes :

• configuration de la synchronisation ;
• configuration d'ActiveSync Exchange pour utiliser RSA SecurID ;
• activation d'Outlook Mobile Access.

Configuration de la synchronisation

Lorsque vous installez Exchange, l'accès à la synchronisation dans Exchange est activé par défaut pour tous les utilisateurs de l'organisation. Vous pouvez également utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour activer l'accès à la synchronisation pour des utilisateurs individuels.

Configuration d'ActiveSync Exchange

ActiveSync Exchange peut être respectivement activé au niveau de l'organisation Exchange et désactivé au niveau de l'utilisateur.

Pour obtenir des informations détaillées sur la procédure d'activation et de désactivation d'ActiveSync Exchange au niveau de l'organisation, voir la rubrique sur la Procédure d'activation et de désactivation des fonctionnalités d'ActiveSync Exchange au niveau de l'organisation.

Pour obtenir des informations détaillées sur la procédure d'activation d'ActiveSync Exchange pour des utilisateurs, voir la rubrique sur la Procédure d'activation et de désactivation des fonctionnalités d'ActiveSync Exchange au niveau de l'utilisateur.

Après avoir activé ActiveSync Exchange, vous pouvez configurer un périphérique mobile tel qu'un périphérique Pocket PC Phone Edition pour utiliser ActiveSync Exchange. Effectuez cette procédure sur chaque périphérique mobile de votre organisation. Vous pouvez également apprendre à vos utilisateurs à configurer leurs propres périphériques.

Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de configuration d'un périphérique mobile pour utiliser ActiveSync Exchange.

Notifications actualisées

Les périphériques Microsoft Windows Mobile™ 2003 sont en mesure de recevoir des notifications générées par Exchange 2003, qui lancent une synchronisation ActiveSync Exchange entre le périphérique d'un utilisateur et la boîte aux lettres Exchange de ce dernier. Cette synchronisation permet aux périphériques mobiles des utilisateurs de disposer des informations Exchange les plus récentes. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de spécification d'un opérateur mobile pour des notifications actualisées sur un périphérique.

Configuration d'ActiveSync Exchange pour utiliser RSA SecurID

Pour disposer d'un niveau de sécurité supplémentaire, vous pouvez utiliser les périphériques Microsoft Windows Mobile avec ActiveSync Exchange en conjonction avec l'authentification à deux facteurs de RSA SecurID.

Remarque :
La prise en charge de RSA SecurID ne nécessite aucune configuration de périphérique supplémentaire. Le périphérique présente automatiquement l'authentification appropriée lors de la synchronisation avec un serveur ActiveSync Exchange protégé par RSA SecurID.

L'utilisation de RSA SecurID avec ActiveSync Exchange nécessite les opérations suivantes :

1. Configuration des composants de serveur RSA SecurID
2. Configuration des services IIS (Internet Information Server) pour utiliser RSA SecurID
3. Configuration de comptes d'utilisateurs
4. Configuration d'ISA Server 2000

Configuration des composants de serveur RSA SecurID

Pour configurer les composants de serveur RSA SecurID, vous devez effectuer les opérations suivantes :

• Configuration du composant RSA ACE/Server   Le composant RSA ACE/Server est le serveur RSA qui stocke et gère les informations et tickets d'authentification de vos utilisateurs. Pour configurer le composant RSA ACE/Server, effectuez les procédures décrites dans la documentation RSA SecurID fournie par RSA Security Inc.
• Configuration du composant RSA ACE/Agent sur le serveur frontal   Le composant RSA ACE/Agent est le filtre ISAPI (Internet Server Application Programming Interface) qui effectue l'authentification et communique avec le composant ACE/Server pour récupérer les informations d'authentification SecurID. Pour configurer le composant RSA ACE/Agent, effectuez les procédures décrites dans la documentation RSA.

Configuration des services IIS pour utiliser RSA SecurID

La configuration des services IIS pour RSA et ActiveSync Exchange implique les procédures suivantes :

1. Protection des répertoires virtuels ActiveSync Exchange
2. Personnalisation des en-têtes de réponse HTTP
3. Installation des écrans SecurID (facultatif). Pour plus d'informations sur l'installation de ces écrans, voir la documentation RSA SecurID.

Effectuez ces procédures pour configurer correctement les services IIS en vue des opérations SecurID et ActiveSync Exchange.

Protection des répertoires virtuels ActiveSync Exchange

La première étape de la configuration des services IIS consiste à protéger les répertoires virtuels auxquels vos utilisateurs accèdent lorsqu'ils utilisent ActiveSync Exchange. Exchange Server 2003 utilise le répertoire virtuel \Microsoft-Server-ActiveSync.

Vous pouvez protéger ce répertoire virtuel de deux manières :

• Protection de l'ensemble du serveur Web (recommandée)   Cette option permet de protéger toutes les racines virtuelles du serveur IIS comportant le composant RSA ACE/Agent, y compris les autres services implémentés par le serveur frontal. Par exemple, vous pouvez avoir configuré votre serveur Exchange frontal comme point d'accès pour Outlook Mobile Access ou pour Outlook Web Access. Par défaut, le composant ACE/Agent est configuré pour protéger l'ensemble du serveur Web. Pour obtenir la procédure détaillée pour effectuer cette vérification, voir la rubrique sur la Procédure de vérification de la configuration du composant ACE/Agent pour protéger l'ensemble du serveur Web.
• Protection des répertoires virtuels ActiveSync Exchange uniquement   Cette option permet de configurer le composant RSA ACE/Agent de sorte que seul ActiveSync Exchange soit protégé par SecurID. Utilisez cette option si vous avez l'intention d'activer des services supplémentaires, tels qu'Outlook Web Access et Outlook Mobile Access, sur le même serveur sans protéger ces services à l'aide de SecurID. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de limitation de l'authentification SecurID au répertoire virtuel Microsoft-Exchange-ActiveSync.

Personnalisation de l'en-tête de réponse HTTP pour les périphériques

Le client ActiveSync du périphérique Microsoft Windows Mobile doit être en mesure de faire la distinction entre l'authentification RSA SecurID et les réponses ActiveSync Exchange. Pour cela, vous devez configurer des en-têtes de réponse HTTP personnalisés sur la racine virtuelle WebID qui contient les formulaires HTML configurés par le composant RSA ACE/Agent.

Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de configuration de réponses HTTP personnalisées pour les périphériques.

Configuration de comptes d'utilisateurs

Les comptes d'utilisateurs pour SecurID doivent être configurés par l'Administrateur conformément aux recommandations de la documentation produit RSA SecurID, avec la restriction suivante :

• Pour tous les utilisateurs, les ID d'utilisateur SecurID sélectionnés doivent correspondre à leur nom de compte Windows. ActiveSync Exchange avec SecurID ne fonctionne pas pour les utilisateurs possédant un ID RSA distinct qui ne correspond pas à leur nom de compte Windows.

Configuration d'ISA Server 2000

Les technologies ISA Server 2000 Feature Pack 1 et RSA SecurID sont intégrées sur le serveur ISA. Actuellement, l'utilisation de RSA SecurID avec ISA Server 2000 Feature Pack 1 n'est pas prise en charge. Vous pouvez toutefois déployer RSA SecurID avec ISA Server 2000 Feature Pack 1, mais à condition de configurer le serveur ISA de manière à ce que l'authentification directe soit activée. Dans ce scénario, l'authentification RSA continue à s'effectuer au niveau du serveur frontal, mais pas au niveau du serveur ISA. Pour plus d'informations sur l'activation de l'authentification directe, voir la documentation ISA Server 2000.

Activation d'Outlook Mobile Access

Par défaut, tous les utilisateurs sont activés pour ActiveSync Exchange et Outlook Mobile Access. Toutefois, seul ActiveSync Exchange est activé sur le serveur Exchange ; par défaut, Outlook Mobile Access est désactivé. Cette section décrit la procédure d'activation d'Outlook Mobile Access sur votre serveur Exchange.

Pour permettre à vos utilisateurs Exchange 2003 d'utiliser Outlook Mobile Access, procédez comme suit :

1. Configurez votre serveur frontal Exchange 2003 pour Outlook Mobile Access.
2. Activez Outlook Mobile Access sur le serveur Exchange.
3. Configurez les périphériques des utilisateurs pour utiliser une connexion mobile.
4. Apprenez à vos utilisateurs à utiliser Outlook Mobile Access.

Étape 1 : configuration du serveur frontal Exchange 2003 pour Outlook Mobile Access

Par défaut, le répertoire virtuel Outlook Mobile Access (qui permet à vos utilisateurs d'accéder à Exchange à partir d'un périphérique mobile) est installé avec Exchange 2003. Ce répertoire virtuel possède les mêmes capacités et paramètres de configuration que le répertoire virtuel Outlook Web Access. Lorsque vous configurez un serveur pour qu'il utilise Outlook Mobile Access, vous devez suivre la même procédure que pour configurer un serveur pour Outlook Web Access. Pour plus d'informations sur la procédure de configuration de vos serveurs Exchange 2003 pour utiliser Outlook Web Access, voir le guide sur l'utilisation des serveurs frontaux Microsoft Exchange 2000 (https://go.microsoft.com/fwlink/?linkid=14575).

Étape 2 : activation d'Outlook Mobile Access sur le serveur Exchange

Après avoir configuré votre serveur frontal pour qu'il utilise Outlook Mobile Access, vous devez activer Outlook Mobile Access sur vos serveurs Exchange. Outlook Mobile Access peut être activé au niveau de l'organisation et au niveau de l'utilisateur individuel.

Pour obtenir la procédure détaillée pour l'activation d'Outlook Mobile Access au niveau de l'organisation, voir la rubrique sur la Procédure d'activation ou de désactivation d'Outlook Mobile Access au niveau de l'organisation.

Après l'activation d'Outlook Mobile Access, vous pouvez modifier les paramètres Outlook Mobile Access pour les utilisateurs ou groupes d'utilisateurs à l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Pour plus d'informations sur la procédure d'activation d'Outlook Mobile Access au niveau de l'utilisateur, consultez la rubrique Procédure d'activation ou de désactivation d'Outlook Mobile Access au niveau de l'utilisateur.

Étape 3 : configuration des périphériques des utilisateurs pour utiliser une connexion mobile

Pour accéder à Exchange 2003 à l'aide d'Outlook Mobile Access, les utilisateurs doivent posséder un périphérique mobile provenant d'un opérateur mobile qui dispose d'un réseau de données établi pour les données mobiles. Avant que vos utilisateurs se connectent à Exchange 2003 et utilisent Outlook Mobile Access ou ActiveSync Exchange via une connexion mobile, vous devez leur apprendre à configurer leurs périphériques pour utiliser un réseau mobile ou au moins leur indiquer les ressources à leur disposition pour cet apprentissage. Pour plus d'informations sur la procédure de configuration d'un périphérique mobile pour utiliser ActiveSync Exchange, voir la rubrique sur la Procédure de configuration d'un périphérique mobile pour utiliser ActiveSync Exchange.

Étape 4 : formation des utilisateurs à l'utilisation d'Outlook Mobile Access

Après avoir configuré Exchange 2003 pour Outlook Mobile Access et une fois que vos utilisateurs possèdent des périphériques mobiles capables d'utiliser un réseau mobile pour accéder aux serveurs Exchange 2003, vos utilisateurs doivent savoir comment accéder à leur serveur Exchange et utiliser Outlook Mobile Access. Pour obtenir la procédure détaillée pour la configuration d'un périphérique mobile Pocket PC pour utiliser Outlook Mobile Access, voir la rubrique sur la Procédure d'accès à des données Exchange à l'aide d'Outlook Mobile Access.

Configuration d'Outlook Web Access

Par défaut, Outlook Web Access est activé pour l'ensemble des utilisateurs après l'installation d'Exchange 2003. Toutefois, vous pouvez activer les fonctionnalités suivantes pour Outlook Web Access :

• authentification par formulaire.
• compression Outlook Web Access.

Authentification par formulaire

Vous pouvez activer une nouvelle page d'ouverture de session Outlook Web Access qui enregistre le nom et le mot de passe de l'utilisateur dans un cookie plutôt que dans le navigateur. Lorsque l'utilisateur ferme son navigateur, le cookie est supprimé. De plus, après un certain temps d'inactivité, le cookie est supprimé automatiquement. La nouvelle page d'ouverture de session oblige les utilisateurs à entrer leur nom de domaine, nom d'utilisateur (au format domaine\nom_utilisateur) et leur mot de passe ou leur adresse de messagerie UPN (User Principal Name) complète et leur mot de passe.

Pour activer la page d'ouverture de session Outlook Web Access, vous devez activer l'authentification par formulaires sur le serveur. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure d'activation de l'authentification par formulaires.

Compression Outlook Web Access

Outlook Web Access prend en charge la compression des données, ce qui est optimal pour les connexions réseau lentes. Selon le paramètre de compression utilisé, la compression Outlook Web Access permet de compresser des pages Web statiques et/ou dynamiques. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure d'activation de la compression des données Outlook Web Access.

Le tableau 4 répertorie les paramètres de compression disponibles dans Exchange Server 2003 pour Outlook Web Access.

Tableau 4   Paramètres de compression disponibles pour Outlook Web Access

Paramètre de compression	Description
Haut	Compresse les pages statiques et les pages dynamiques.
Bas	Compresse uniquement les pages statiques.
Aucun	Aucune compression n'est effectuée.

Grâce à la compression des données, vos utilisateurs peuvent constater une hausse des performances allant jusqu'à 50 % sur les connexions réseau lentes, comme pour l'accès à distance traditionnel.

Conditions requises pour la compression Outlook Web Access

Pour utiliser la compression des données pour Outlook Web Access dans Exchange Server 2003, vous devez vérifier que les conditions requises suivantes sont remplies :

• Le serveur Exchange auprès duquel les utilisateurs s'authentifient pour Outlook Web Access doit exécuter Windows Server 2003.

• Les boîtes aux lettres de vos utilisateurs doivent se trouver sur des serveurs Exchange 2003. (Si vous disposez d'un déploiement mixte de boîtes aux lettres Exchange, vous pouvez créer sur votre serveur Exchange un serveur virtuel supplémentaire destiné uniquement aux utilisateurs Exchange 2003 et activer la compression sur ce serveur.)

• Les ordinateurs clients doivent exécuter Internet Explorer version 6 ou ultérieure. Les ordinateurs doivent également exécuter Windows XP ou Windows 2000 et disposer de la mise à jour de sécurité décrite dans le bulletin de sécurité Microsoft MS02-066 sur le correctif cumulatif pour Internet Explorer (Q328970) (https://go.microsoft.com/fwlink/?LinkId=16694).

  Remarque :
  Si un utilisateur ne possède pas de navigateur prenant en charge la compression, le client continue à se comporter normalement.

• Vous devrez peut-être activer la prise en charge de HTTP 1.1 par le biais de serveurs proxy pour certaines connexions d'accès à distance. (La prise en charge de HTTP 1.1 est nécessaire au bon fonctionnement de la compression).

Activation des serveurs virtuels POP3 et IMAP4

Par défaut, sur une nouvelle installation Exchange Server 2003, les serveurs virtuels POP3 et IMAP4 sont désactivés. Pour les activer, vous devez commencer par utiliser le composant logiciel enfichable Services de MMC et définir les services pour qu'ils démarrent automatiquement. Si vous configurez les services pour un démarrage automatique et devez ensuite les démarrer, les suspendre ou les arrêter, utilisez le Gestionnaire système Exchange. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de démarrage, d'arrêt ou de suspension d'un serveur virtuel.

Remarque :
Pour plus d'informations sur l'activation d'IMAP4 et POP3 et sur l'ajout de ces ressources à un cluster Exchange, voir la section sur la gestion des clusters Exchange du Guide d'administration de Microsoft Exchange Server 2003 (https://go.microsoft.com/fwlink/?LinkId=47617).