Considérations relatives au déploiement du service de découverte automatique

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-06-12

Le service de découverte automatique de Microsoft Exchange Server 2007 offre une configuration de profil automatique pour les clients Microsoft Office Outlook 2007 connectés à votre environnement de messagerie Exchange.

Exigences topologiques du service de découverte automatique

Pour que le service de découverte automatique fonctionne correctement pour Outlook 2007, vous devez vous assurer que votre organisation Exchange est conforme aux exigences suivantes :

• Vous devez avoir au moins un serveur d'accès au client Exchange 2007 installé dans votre déploiement Exchange. Pour les fonctionnalités Exchange telles que le service de disponibilité et la messagerie unifiée, les rrôles serveur de messagerie unifiée, serveur de boîtes aux lettres et serveur de transport Hub doivent également être installés sur le serveur d'accès au client ou un autre serveur.

• Le schéma Exchange 2007 Active Directory doit être appliqué à la forêt où le service de découverte automatique s'exécutera.

Connexion du service de découverte automatique depuis Internet

Si vous offrez un accès externe à Microsoft Exchange à l'aide d'Outlook Anywhere (précédemment appelé RPC sur HTTP) et voulez que vos clients Outlook 2007 soient automatiquement configurés à l'aide du service de découverte automatique, vous devez installer un certificat SSL (Secure Sockets Layer) valide sur le serveur d'accès au client comprenant à la fois le nom commun (par exemple mail.contoso.com) et un autre nom du sujet pour autodiscover.contoso.com. Pour plus d'informations sur la configuration de votre certificat SSL pour utiliser un autre nom du sujet, consultez la rubrique Procédure de configuration de certificats SSL pour utiliser plusieurs noms d'hôte de serveur d'accès au client. En outre, vous devez correctement configurer vos services Exchange, tels que le service de disponibilité, pour que le service de découverte automatique puisse indiquer les URL externes correctes aux clients. Pour plus d'informations, consultez la rubrique Procédure de configuration des services Exchange pour le service de découverte automatique.

Lorsque le client tente de se connecter à votre déploiement Microsoft Exchange, le client localise le service de découverte automatique sur Internet à l'aide de l'adresse de domaine SMTP principale de l'adresse de messagerie de l'utilisateur. En fonction de la configuration du service de découverte automatique afin d'avoir un nom distinct du nom d'hôte DNS existant de votre organisation, l'URL du service de découverte automatique est soit https://<domaine de l'adresse SMTP>/autodiscover/autodiscover.xml ou https://autodiscover.<domaine de l'adresse SMTP>/autodiscover/autodiscover.xml. Par exemple, si l'adresse de messagerie de l'utilisateur est monica@contoso.com, le service de découverte automatique doit se trouver à https://contoso.com/autodiscover.xml ou https://autodiscover.contoso.com/autodiscover/autodiscover.xml. Cela signifie que vous devez avoir un enregistrement d'hôte pour le service de découverte automatique ajouté à votre zone DNS externe.

Pour plus d'informations, consultez la rubrique Procédure de configuration du service de découverte automatique pour un accès par Internet.

Utilisation de plusieurs sites pour l'accès par Internet au service de découverte automatique

Il est recommandé d'héberger le service de découverte automatique sur un site séparé si vous gérez un site Web très fréquenté qui héberge également votre trafic de messagerie. Pour héberger le service de découverte automatique sur un site distinct figurant sur le même ordinateur que d'autres fonctionnalités Exchange, procédez comme suit :

1. (Facultatif) Configurez un site distinct sur un ordinateur d'accès au client pour héberger le service de découverte automatique   Vous pouvez créer un site distinct pour héberger le trafic du service de découverte automatique en utilisant la cmdlet New-AutodiscoverVirtualDirectory. L'étape facultative est recommandée si le domaine de l'adresse SMTP est identique à l'adresse du site Web de l'entreprise et si le site Web de votre entreprise est fréquemment visité. Par exemple, si le site Web de la société est www.contoso.com, le domaine SMTP de messagerie est contoso.com, et si le site Web de la société (www.contoso.com) est fréquemment visité, il est recommandé de créer un site distinct et d'héberger le service de découverte automatique sur autodiscover.contoso.com.

2. (Obligatoire) Configurez un certificat SSL valide   Configurez un certificat SSL valide émis par une autorité de certification approuvée par l'ordinateur client. Si vous avez décidé d'héberger le service de découverte automatique sur un site distinct, consultez la rubrique Procédure de configuration de certificats SSL pour utiliser plusieurs noms d'hôte de serveur d'accès au client.

3. (Facultatif) Mettez à jour l'objet SCP   Vous devez mettre à jour l'objet SCP (point de connexion de service) dans le service d'annuaire Active Directory pour spécifier le serveur d'accès au client et le répertoire virtuel de découverte automatique auxquels vous voulez que les clients se connectent.

Pour plus d'informations, consultez la rubrique Procédure de configuration du service de découverte automatique pour un accès par Internet.

La figure 1 présente un environnement dans lequel le service de découverte automatique est déployé dans un site Active Directory différent du site Active Directory où résident vos serveurs Exchange.

Figure 1   Utilisation de plusieurs sites avec le service de découverte automatique

Dans la figure 1, le pare-feu ISA (Internet Security and Acceleration) Server 2006 publie deux sites à l'aide de deux écouteurs Web. Le premier site, autodiscover.contoso.com, donne accès au répertoire virtuel de découverte automatique sur le serveur d'accès au client et est attribué à une adresse IP. Pour le trafic interne sur le serveur d'accès au client, configurez un écouteur Web et publiez tous les répertoires virtuels sur ce site. Le deuxième site, mail.contoso.com, permet d'accéder aux autres fonctionnalités Exchange et ne dispose que d'une seule adresse IP secondaire. Ne publiez pas le répertoire virtuel de découverte automatique sur ce site.

Configuration du service de découverte automatique pour utiliser l'affinité de site pour la communication interne

Si vous gérez une organisation distribuée de grande taille disposant de sites Active Directory reliés par une connectivité réseau à bande passante faible, il est recommandé d'utiliser l'affinité de site pour le service de découverte automatique pour le trafic intranet. Pour utiliser l'affinité de site, vous spécifiez les sites Active Directory auxquels vous préférez que les clients se connectent pour une instance particulière du service de découverte automatique. La spécification des sites Active Directory préférés est également désignée comme la configuration de la portée de site.

Vous configurez l'affinité de site à l'aide de la cmdlet Set-ClientAccessServer. Cette cmdlet permet de spécifier les sites Active Directory préférés pour la connexion au service de découverte automatique sur un serveur d'accès au client spécifique. Après la configuration de l'affinité de site pour le service de découverte automatique, le client se connecte au service de découverte automatique comme vous l'avez spécifié. Pour plus d'informations sur la cmdlet Set-ClientAccessServer, consultez la rubrique Set-ClientAccessServer.

Prenons l'exemple d'une topologie qui inclut une forêt avec trois sites ayant les noms suivants :

• US-contoso   Un site contoso basé en Amérique du Nord ;

• Europe-contoso   Un site contoso basé en Europe ;

• APAC-contoso   Un site contoso basé en Asie.

Dans cet exemple, le service de découverte automatique est activé sur chaque site et chaque site contient des boîtes aux lettres d'utilisateur. Le site US-contoso est connecté au site Europe-contoso via une connexion à haut débit. Le site US-contoso est connecté au site APAC-contoso via une connexion à bas débit. Le site APAC-contoso est connecté au site Europe-contoso via une connexion à haut débit.

Sur la base de ces facteurs de connectivité, vous pouvez autoriser les utilisateurs des sites US-contoso et Europe-contoso à utiliser le site US-contoso ou Europe-contoso, les utilisateurs du site Europe-contoso à utiliser l'un des trois sites pour accéder au service de découverte automatique et les utilisateurs du site APAC-contoso à utiliser le site APAC-contoso ou Europe-contoso. Enfin, les serveurs d'accès au client sont accessibles en utilisant un espace de noms interne commun pour tous les sites.

Vous pouvez configurer la portée de site des serveurs d'accès au client dans le site US-contoso, en les paramétrant pour qu'ils utilisent de préférence les sites Active Directory US-contoso et Europe-contoso pour accéder au service de découverte automatique à l'aide de la commande suivante :

Set-ClientAccessServer -Identity "us-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "us-contoso","europe-contoso"

Vous ne devez pas spécifier les sites Active Directory auxquels les utilisateurs doivent se connecter pour accéder au service de découverte automatique sur les serveurs d'accès au client du site Europe-contoso car celui-ci se connecte bien aux autres sites. La commande suivante permet à tous les utilisateurs du site Europe-Contoso d'accéder au serveur d'accès au client pour utiliser le service de découverte automatique :

Set-ClientAccessServer -Identity "europe-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml"

Enfin, vous pouvez configurer la portée de site pour le service de découverte automatique sur les serveurs d'accès au client dans le site APAC-contoso, en les paramétrant pour qu'ils utilisent de préférence les sites APAC-contoso et Europe-contoso car ceux-ci se connectent bien à ces sites. Pour ce faire, exécutez la commande suivante :

Set-ClientAccessServer -Identity "apac-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "apac-contoso","europe-contoso"

Par conséquent, si un client du site US-contoso est doté d'une boîte aux lettres située dans le site Europe-contoso et tente de localiser le service de découverte automatique, le client peut sélectionner l'instance du service pour laquelle site=US-contoso ou site=Europe-contoso.

Si vous ne définissez pas la portée de site du service de découverte automatique, le client peut renvoyer le paramètre autodiscoverInternalUri pour le site APAC-contoso en raison de la connexion lente au site US-contoso.

Pour plus d'informations sur l'affinité de site, consultez la rubrique Procédure de configuration du service de découverte automatique pour utiliser l'affinité de site.

Configuration du service de découverte automatique pour plusieurs forêts

Vous pouvez déployer Microsoft Exchange en utilisant plusieurs forêts. Deux des scénarios de déploiement de plusieurs forêts sont la topologie de forêt ressource et la topologie à plusieurs forêts approuvées. Les sections suivantes décrivent la manière dont le service de découverte automatique est utilisé dans ces deux scénarios de déploiement.

Configuration du service de découverte automatique dans une topologie de forêt ressource

Si vous utilisez une topologie de forêt ressource, les comptes d'utilisateur résident dans une forêt (appelée forêt du compte d'utilisateur) et Microsoft Exchange est déployé dans une autre forêt (appelée forêt ressource). Dans ce scénario, le client contacte Active Directory dans la forêt du compte d'utilisateur pour localiser l'adresse URL pour le service de découverte automatique. Comme le service est hébergé dans la forêt ressource, vous devez mettre à jour Active Directory dans la forêt du compte d'utilisateur afin qu'il inclue les informations dont Active Directory a besoin pour permettre l'accès du client à la forêt ressource. Pour ce faire, vous devez créer un enregistrement de pointeur SCP de découverte automatique dans Active Directory à l'intérieur de la forêt du compte d'utilisateur. L'enregistrement de pointeur SCP de découverte automatique inclut l'adresse URL du protocole LDAP (Lightweight Directory Access Protocol) de la forêt ressource que le client utilise pour localiser le service de découverte automatique.

Pour créer l'enregistrement de pointeur SCP de découverte automatique dans la forêt du compte d'utilisateur, exécutez la cmdlet Export-AutoDiscoveryConfig à partir de la forêt ressource contenant le service de découverte automatique pour la forêt du compte d'utilisateur. Pour plus d'informations, consultez la rubrique Procédure de configuration du service de découverte automatique pour plusieurs forêts.

Configuration du service de découverte automatique dans une topologie à plusieurs forêts approuvées

Dans les scénarios impliquant plusieurs forêts approuvées, les comptes d'utilisateur et Microsoft Exchange sont déployés dans plusieurs forêts. Les fonctionnalités d'Exchange 2007 telles que le service de disponibilité et la messagerie unifiée dépendent du service de découverte automatique pour y accéder via les forêts. Dans ce scénario, le service de découverte automatique doit être accessible aux utilisateurs dans plusieurs forêts approuvées. Ce scénario ressemble au scénario de forêt ressource, sauf que l'objet SCP de découverte automatique doit être configuré dans toutes les forêts. Pour configurer l'objet SCP de découverte automatique dans la topologie à plusieurs forêts, utilisez la cmdlet Export-AutoDiscoveryConfig à partir de chaque forêt contenant le service de découverte automatique pour chaque forêt cible dans laquelle Microsoft Exchange est déployé. Pour plus d'informations, consultez la rubrique Procédure de configuration du service de découverte automatique pour plusieurs forêts.

Environnements hébergés et service de découverte automatique

Pour les environnements hébergés, le service de découverte automatique doit être redirigé pour chaque domaine hébergé à l'aide des services Internet (IIS). La figure 2 montre le service de découverte automatique dans un environnement hébergé.

Figure 2   Service de découverte automatique dans un environnement Exchange hébergé

Pour chaque domaine de messagerie électronique hébergé, vous devez paramétrer un site avec ses entrées DNS correspondantes. Par exemple, le domaine nommé exemple.contoso.no doit être nommé autodiscover.contoso.no et le domaine nommé exemple.contoso.se doit être nommé autodiscover.contoso.se. Dans le site de la figure 2, aucun répertoire virtuel n'est nécessaire et il n'est pas utile de paramétrer de certificat SSL.

Dans le Gestionnaire des services Internet IIS, configurez la redirection pour chacun de vos sites sur https://mail.contoso.com/autodiscover/autodiscover.xml.

Lorsque vous configurez la redirection sur ces sites, vous devez utiliser un accès anonyme et désactiver l'accès authentifié. En outre, assurez-vous de ne pas configurer d'autres options telles que L'URL exacte entrée ci-dessus, Un répertoire situé sous l'adresse URL entrée et Une redirection permanente pour cette ressource. Une telle configuration de la redirection garantit que le client Outlook 2007 reçoit une réponse HTTP 302.

Une fois la redirection configurée, les clients Outlook 2007 tentent de se connecter à https://contoso.no/autodiscover/ et https://autodiscover.contoso.no/autodiscover/ via une demande HTTP POST. Comme ces sites sont ne sont pas disponibles, Outlook tente une demande HTTP GET sur http://autodiscover.contoso.no/autodiscover.

Comme la redirection est configurée sur ce site, les services Internet renvoient une réponse de redirection 302 pour https://mail.contoso.com/. Le client reçoit la réponse et invite l'utilisateur à accepter ou refuser la demande. L'utilisateur doit l'accepter. Après cela, le client est redirigé via une demande HTTPS POST. Dans cet exemple, il n'y a pas d'alerte de sécurité. Enfin, le client reçoit la réponse du service de découverte automatique nécessaire.

Sécurité de la découverte automatique

Si vous utilisez un site séparé pour le service de découverte automatique ainsi qu'un serveur pare-feu avancé tel qu'ISA Server 2006, vous devez configurer ce dernier pour qu'il dispose de deux écouteurs Web. Des écouteurs ISA Server Web sont utilisés pour indiquer l'adresse IP et le port que le client doit utiliser. Le premier écouteur Web est utilisé pour le service de découverte automatique et le second pour les autres fonctionnalités de Microsoft Exchange telles que Microsoft Exchange ActiveSync et Outlook Anywhere. Vous pouvez configurer le certificat SSL pour un site unique utilisant les deux écouteurs Web à l'aide de la propriété subject alternate name du certificat. Pour plus d'informations, consultez la rubrique Procédure de configuration de certificats SSL pour utiliser plusieurs noms d'hôte de serveur d'accès au client.

Par défaut, le programme d'installation d'Exchange 2007 offre la possibilité d'installer un certificat SSL auto-signé. Il est recommandé d'utiliser des certificats auto-signés pour des sites externes. Il est recommandé d'utiliser un certificat émanant d'une autorité de certification approuvée. Pour plus d'informations sur la création et l'utilisation de certificats SSL valides, consultez les rubriques suivantes :

• Création d’un certificat ou demande de certificat pour TLS

• Procédure d'obtention d'un certificat de serveur auprès d'une autorité de certification

• Procédure d'ajout du Gestionnaire de certificats à Microsoft Management Console (MMC)

Pour plus d'informations

Pour plus d'informations sur le service de découverte automatique, consultez les rubriques suivantes :

• Vue d'ensemble du service de découverte automatique

• Gestion du service de découverte automatique