Exporter (0) Imprimer
Développer tout
Ce sujet n'a pas encore été évalué - Évaluez ce sujet

ISA Server : configuration et sécurisation des clients et serveurs Microsoft Exchange Server 2000

Sur cette page

Introduction
Filtre d'application RPC
Comment fonctionne le filtre d'application RPC ?
Changement de la méthode d'authentification
Notification de nouveau courrier électronique
Scénarios de publication
Serveur Exchange sur un réseau local
Exchange Server sur l'ordinateur ISA Server
Filtrage des messages
Configuration de ISA Server et Exchange Server sur le même ordinateur
Configuration de SMTP Server
Configuration de ISA Server
Configuration d'un serveur Exchange distinct
Configuration de Exchange Server
Configuration du serveur SMTP virtuel
Configuration de ISA Server
DCOM et ISA Server
Considérations sur les relais
Administration du filtre SMTP
Outlook Web Access

Introduction

Microsoft Internet Security and Acceleration Server vous permet de publier des serveurs internes sur Internet sans compromettre la sécurité de votre réseau interne. Vous pouvez configurer des règles de publication Web et de publication serveur qui déterminent les requêtes qui doivent être envoyées vers un serveur de votre réseau local, afin d'ajouter un niveau de sécurité supplémentaire pour vos serveurs internes.

Le commerce électronique inter-entreprises étant de plus en plus répandu, un nombre croissant d'organisations souhaitent protéger leurs serveurs internes tout en les mettant à disposition d'utilisateurs externes spécifiques. La fonctionnalité de publication de ISA Server sécurise l'accès aux serveurs internes par les clients externes.

Par exemple, vous pouvez placer votre serveur Microsoft Exchange 2000 sur le réseau intranet, derrière l'ordinateur ISA Server, et créer des règles de publication serveur qui autorisent la publication du serveur de messagerie électronique sur Internet. Le courrier électronique entrant au niveau du serveur Exchange est intercepté par l'ordinateur ISA Server qui a l'apparence d'un serveur de messagerie électronique pour les clients. ISA Server peut filtrer le trafic et le transférer vers le serveur Exchange. Votre serveur Exchange n'est donc jamais exposé directement aux utilisateurs externes et repose dans un environnement sûr, maintenant l'accès à d'autres services réseau internes.

Un scénario courant de ISA Server consiste à sécuriser la communication SMTP (Simple Mail Transfer Protocol) des serveurs de messagerie. Par exemple, ISA Server peut protéger un serveur Exchange. L'Assistant Sécurité du serveur de courrier configure la stratégie requise pour autoriser la communication entre un ordinateur Exchange Server et Internet. L'Assistant ajoute un ensemble de règles de publication serveur qui redirigent la communication des utilisateurs Internet sur un port particulier à une adresse IP (Internet Protocol) interne spécifiée. L'Assistant crée également des règles de protocole qui ouvrent de manière dynamique les ports pour les communications sortantes.

ISA Server inclut également un filtre d'application d'appel de procédure à distance (RPC, Remote Procedure Call), qui offre une couche de sécurité supplémentaire unique au modèle de publication Exchange Server. Ce filtre d'application RPC permet les communications sécurisées entre les clients Microsoft Outlook® et Exchange Server, via Internet.

Ce document décrit certains scénarios courants de publication Exchange Server, comment configurer l'Assistant Sécurité du serveur de courrier inclus dans ISA Server, ainsi que comment configurer les clients Outlook du réseau intranet, protégés par un serveur ISA Server.

Filtre d'application RPC

Les clients Outlook se connectent à Exchange Server par le biais d'appels RPC. Le filtre d'application RPC de ISA Server protège les communications RPC, comme cela est expliqué dans cette section. De cette façon, ISA Server ne protège pas uniquement les communications POP3 et SMTP, il sécurise également de façon unique les communications RPC.

Le filtre d'application RPC de ISA Server permet les communications sécurisées entre les clients Outlook et un serveur Exchange, via Internet. Le filtre d'application RPC protège les communications RPC via Internet, en identifiant quelle interface RPC spécifique est requise et en autorisant uniquement les appels de ces interfaces. En outre, le filtre d'application RPC ouvre les ports de façon dynamique, ce qui signifie que la communication est autorisée uniquement lorsque cela est spécifiquement demandé.

De plus, Exchange Server communique avec les clients Outlook via un protocole UDP allégé. Le filtre d'application RPC traite également les notifications de nouveau courrier électronique, de la façon suivante : lorsqu'un client Outlook se connecte à un serveur Exchange, il s'inscrit afin de recevoir les notifications de nouveau courrier électronique, en passant (par appel RPC) un numéro de port qu'il écoutera. Lorsque du nouveau courrier arrive, le serveur Exchange envoie un paquet UDP unique au port. Pour permettre ce type de notification, les pare-feu standard doivent généralement ouvrir de nombreux ports. Le filtre d'application RPC étant activé, ISA Server intercepte l'inscription pour le nouveau courrier électronique et ouvre dynamiquement uniquement les ports nécessaires.

Ainsi, la publication Exchange Server est plus sûre avec le pare-feu ISA Server.

Consultez la section « Notification de nouveau courrier électronique » pour en savoir plus sur la notification et sur la traduction d'adresses réseau (NAT, Network Address Translation).

Comment fonctionne le filtre d'application RPC ?

Dans un scénario Exchange Server/client Outlook, le filtre d'application RPC fonctionne de la façon suivante :

  1. Le client Outlook émet une requête sur le port 135 (TCP) via ISA Server à destination de Exchange Server, afin de trouver le numéro du port de service associé à l'UUID RPC Exchange.

  2. Exchange Server renvoie une réponse au client Outlook via le serveur ISA, avec un numéro de port sur lequel le client peut communiquer. La connexion au port 135/tcp est ensuite fermée.

  3. ISA Server utilise le filtre d'application RPC pour capturer ces informations et les conserve dans une table.

  4. ISA Server attribue un nouveau port sur le serveur ISA lui-même et modifie la réponse qu'il envoie au client Outlook, afin de refléter ce changement. Ces informations sont également conservées dans la table.

  5. Le client Outlook émet une requête, en apparence vers le serveur Exchange, mais en réalité vers le nouveau port sur le serveur ISA. Le serveur ISA envoie ensuite le paquet au serveur Exchange. Seules les communications sur ce port sont autorisées.

Changement de la méthode d'authentification

Lorsque le client Outlook se connecte à un serveur Exchange, ce dernier ordonne au client Outlook de communiquer directement avec un contrôleur de domaine Active Directory pour l'authentification. Dans les scénarios de publication décrits dans ce document, cette communication directe ne fonctionne pas correctement si le client Outlook se trouve sur Internet alors que le contrôleur de domaine se trouve sur le réseau intranet de l'entreprise. Dans la mesure où ISA Server ne publie pas le serveur qui exécute le service d'annuaire Microsoft Active Directory™, le client Outlook ne peut pas contacter le contrôleur de domaine pour l'authentification.

Pour permettre ce type de communication entre le client Outlook sur Internet et le serveur Exchange sur le réseau intranet, définissez la clé de Registre suivante sur le serveur Exchange :


HKLM\System\CurrentControlSet\Services\MSExchangeSA\Parameters


à la valeur :

Value name: No RFR Service
Value type: DWORD
Value data: 0x1

Une fois cette modification effectuée, le serveur Exchange envoie par proxy les demandes d'authentification au contrôleur de domaine (serveur Active Directory), plutôt que de demander aux clients Outlook de communiquer directement avec le service d'annuaire. De cette façon, le client Outlook peut s'authentifier auprès du contrôleur de domaine, via le serveur Exchange. Le trafic d'authentification s'effectue via le protocole RPC Exchange, de sorte qu'aucune autre règle de publication n'est requise.

Notification de nouveau courrier électronique

Pour permettre la notification de nouveau courrier électronique, Exchange Server se base sur un adressage routable entre le client Outlook et le serveur Exchange. En présence d'un périphérique NAT (Network Address Translation), comme par exemple ISA Server, entre le client et le serveur Exchange, la notification de nouveau courrier électronique ne fonctionne pas correctement.

Les notifications envoyées à l'adresse privée sont supprimées, car elles constituent des paquets UDP entrants non sollicités qui ne sont associés à aucun précédent flux sortant. Le filtre RPC Exchange de ISA Server ne sait pas comment accéder au processus d'inscription pour modifier l'adresse du client inscrit. Actuellement, il n'existe aucun éditeur NAT sachant comment accéder aux adresses des clients inscrits, ni comment les modifier.

Le client Outlook reçoit également des notifications par courrier électronique au cours des autres communications avec le serveur Exchange. Cependant, si une erreur se produit dans un quelconque des paquets RPC (cela peut se produire lorsque l'appel RPC est passé via Internet), le client Outlook ne reçoit pas l'indicateur de nouveau courrier électronique à la fin du paquet. Pour contourner cette limitation, procédez de la façon suivante :

  • Pour Outlook 2000, appuyez régulièrement sur la touche F9 afin de vérifier l'arrivée de nouveau courrier électronique

  • Pour Outlook 2002, configurez un intervalle d'interrogation.

Scénarios de publication

Le serveur Exchange que vous publiez peut se trouver sur l'ordinateur ISA Server ou sur le réseau local. Les sections suivantes présentent quelques scénarios de publication Exchange Server.

  • Serveur Exchange sur un réseau local (recommandé)

  • Exchange Server sur l'ordinateur ISA Server (non recommandé)

Serveur Exchange sur un réseau local

Dans ce scénario, le serveur Exchange se trouve sur le réseau local, protégé par l'ordinateur ISA Server, comme l'illustre la figure suivante.

Serveur Exchange sur un réseau local


Vous pouvez utiliser l'Assistant Sécurité du serveur de courrier ISA Server pour mettre l'ordinateur Exchange Server à disposition des clients externes, en utilisant un ou plusieurs des protocoles suivants :

  • MAPI (Messaging Application Programming Interface)

  • POP3 (Post Office Protocol 3)

  • IMAP4 (Internet Message Access Protocol 4)

  • NNTP (Network News Transfer Protocol)

  • RPC pour l'accès direct par les clients Outlook/Exchange (comme cela est décrit dans la section « Filtre d'application RPC »)

L'Assistant crée une ou plusieurs règles de publication sur serveur, qui correspondent à chaque service de courrier protégé par ISA Server. L'Assistant crée également une règle de protocole et un jeu d'adresses client. Les règles de publication serveur créées par l'Assistant présentent les paramètres suivants :

  • l'adresse IP interne du serveur de messagerie ;

  • l'adresse externe exposée par l'ordinateur ISA Server ;

  • le protocole pour le service de messagerie sélectionné.

Les nouvelles règles créées par l'Assistant sont toutes nommées avec le préfixe de la règle de l'Assistant Courrier.

L'Assistant Sécurité du serveur de courrier crée également des règles de protocoles en vue d'autoriser le trafic de messagerie sortant. Les règles de protocoles présentent les paramètres suivants :

  • le protocole est SMTP (client) ;

  • l'ensemble de clients inclut l'adresse IP interne de l'ordinateur Exchange Server.

  • Résolution de noms pour les clients

Dans la mesure où les clients POP3, IMAP4, SMTP, NNTP et HTTP (Hypertext Transfer Protocol) peuvent accéder à l'ordinateur exécutant Exchange Server grâce au nom DNS ou à l'adresse IP, il est recommandé de mapper le nom DNS utilisé par les clients de messagerie vers les adresses IP externes de ISA Server.

Pour les clients MAPI, un serveur DNS sur Internet doit résoudre le nom de l'ordinateur exécutant Exchange Server et le faire correspondre à une adresse IP sur la carte réseau externe de l'ordinateur ISA Server. Le serveur DNS doit mapper le nom publié vers l'adresse IP externe de l'ordinateur ISA Server.

Lors de la communication avec le serveur Exchange, le client Outlook spécifie le nom de domaine complet (FQDN, Fully-Qualified Domain Name) du serveur Exchange. Le serveur Exchange répond au client en spécifiant son nom interne, généralement différent du nom FQDN. Lorsque le client communique de nouveau, il tente d'utiliser le nom interne, lequel n'est pas reconnu via Internet. Pour contourner ce problème, vous devez configurer le nom interne de l'ordinateur Exchange Server sur le même nom que son nom FQDN.

Exchange Server sur l'ordinateur ISA Server

Dans ce scénario, ISA Server et Exchange Server sont sur le même ordinateur, comme l'illustre la figure suivante.

Exchange Server sur l'ordinateur ISA Server


Vous pouvez utiliser l'Assistant Sécurité du serveur de courrier pour publier le serveur Exchange situé sur l'ordinateur ISA Server. Dans ce scénario, l'Assistant Sécurité du serveur de courrier crée des filtres de paquets IP. Les filtres de paquets IP sont créés pour chaque service de messagerie que vous sélectionnez. Par exemple, supposez que vous exécutez l'Assistant Sécurité du serveur de courrier et que vous spécifiez une messagerie SMTP sortante et des requêtes client POP3.

Les clients Outlook/Exchange ne peuvent pas accéder au serveur Exchange de l'extérieur du réseau local à l'aide de connexions RPC. Seuls les protocoles POP3 et IMAP4, également pris en charge par Outlook, peuvent être utilisés.

Les filtres de paquets IP suivants sont créés :

  • Un filtre de paquets IP autorisant les connexions TCP (Transmission Control Protocol) entrantes sur le port local 25 en provenance de n'importe quel port distant (pour autoriser les paquets SMTP entrants).

  • Un filtre de paquets IP autorisant les connexions TCP sortantes en provenance de tous les ports locaux vers le port 25 distant (pour autoriser les paquets SMTP sortants).

  • Un filtre de paquets IP autorisant les connexions TCP entrantes sur le port local 110 en provenance de n'importe quel port distant (pour autoriser les paquets POP3 entrants).

Filtrage des messages

ISA Server inclut une fonctionnalité de filtrage des messages, qui peut être utilisée pour contrôler le trafic SMTP entrant via le serveur ISA. Dans cette architecture, ISA Server envoie des messages au service SMTP, lequel les envoie au Filtreur de messages, qui les renvoie à son tour au service SMTP, lequel peut enfin les remettre. La fonctionnalité de filtrage des messages est implémentée dans deux composants :

  • Le filtre SMTP est installé par défaut, mais il n'est pas activé. Il est utilisé pour spécifier quelles commandes SMTP sont autorisées dans le trafic SMTP entrant. Le filtre SMTP est toujours installé, que vous installiez ou non le filtreur de messages. Cependant, si le filtreur de messages n'est pas installé, le filtre ne peut vérifier que les commandes SMTP et non le contenu des messages.

  • Le filtreur de messages est une extension du serveur SMTP Exchange 2000, qui peut être installé en option. Au cours de l'installation de ISA Server, vous pouvez choisir d'installer le filtreur de messages uniquement si un serveur SMTP est installé sur l'ordinateur. Le filtreur de messages est utilisé pour filtrer les messages, en spécifiant les mots clés et les pièces jointes qui sont autorisés ainsi que les utilisateurs et les domaines qui sont rejetés. Vous pouvez configurer le filtreur de messages à l'aide des pages de propriétés du filtre SMTP.

ISA Server et Exchange 2000 peuvent être déployés sur le même ordinateur (local) ou sur des ordinateurs différents. En fonction de la configuration de votre réseau, vous devrez installer et configurer différemment SMTP Server, ISA Server, le filtreur de messages et le filtre SMTP. Ce document décrit les différents scénarios de déploiement, ainsi que la façon dont vous devez configurer ISA Server et Exchange Server pour les différents scénarios.

L'Assistant Sécurité du serveur de courrier de ISA Server ne configure pas le filtre SMTP lorsque SMTP Server et ISA Server se trouvent sur le même ordinateur. ISA Server et SMTP Server doivent être configurés de façon spéciale si vous souhaitez la fonctionnalité de filtre SMTP.

Configuration de ISA Server et Exchange Server sur le même ordinateur

Cette section décrit comment configurer Exchange 2000 et ISA Server lorsqu'ils sont installés sur le même ordinateur. La figure ci-dessous illustre ce scénario.

Configuration de ISA Server et Exchange Server sur le même ordinateur


Dans ce scénario, vous devez installer à la fois le filtreur de messages et le filtre SMTP sur l'ordinateur. Lorsque vous installez ISA Server et que vous sélectionnez l'option d'installation complète, le filtreur de messages est également installé. Le filtre SMTP est toujours installé.

Remarque Le filtreur de messages ne peut être installé que si un service SMTP Exchange 2000 ou IIS 5.0 est installé sur l'ordinateur ISA Server.

Pour vérifier que le filtreur de messages est installé, vérifiez que la clé de Registre suivante existe sur l'ordinateur :
HKEY_CLASSES_ROOT \CLSID{4F2AC0A5-300F-4DE9-821F-4D5706DC5B32}

Si cette clé de Registre est absente, cela signifie que le filtreur de messages n'a pas été installé.

Pour installer le filtreur de messages

  1. Pour exécuter le programme d'installation de ISA Server en mode maintenance, dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes, puis cliquez sur Microsoft Internet Security and Acceleration Server et sur Modifier.

  2. Dans le programme d'installation de ISA Server, cliquez sur Continuer, tapez le Code CD, sélectionnez le dossier d'installation approprié, puis sélectionnez Installation personnalisée.

  3. Dans la zone Options, vérifiez que les options Services ISA et Utilitaires d'administration ne sont pas sélectionnées.

  4. Sélectionnez l'option Services complémentaires, puis cliquez sur Modifier une option.

  5. Sélectionnez uniquement l'option Filtreur de messages, puis cliquez sur OK. Terminez ensuite le processus d'installation en sélectionnant les options par défaut.

Remarque Ces options sont également disponibles lorsque vous installez ISA Server et que vous sélectionnez l'option Installation personnalisée.

L'Assistant Sécurité du serveur de courrier de ISA Server ne configure pas le filtre SMTP lorsque Exchange Server et ISA Server se trouvent sur le même ordinateur. ISA Server et Exchange Server doivent être configurés de façon spéciale. Les sections suivantes expliquent comment configurer SMTP Server.

Configuration de SMTP Server

Pour être totalement sécurisé par ISA Server, Exchange 2000 doit être configuré spécialement pour écouter uniquement l'interface interne. Procédez de la façon suivante :

Pour configurer Exchange 2000 pour qu'il écoute le trafic SMTP sur l'interface interne :

  1. Ouvrez le Gestionnaire système Exchange. Cliquez sur Démarrer, sur Programmes, sur Microsoft Exchange, puis sur Gestionnaire système.

  2. Dans l'arborescence de la console du Gestionnaire système, cliquez sur Serveurs, sur le serveur approprié, sur Protocoles, sur SMTP, cliquez avec le bouton droit sur Serveur virtuel SMTP par défaut, puis cliquez sur Propriétés.

  3. Sous l'onglet Général, cliquez sur Options avancées.

  4. Assurez-vous que seules des adresses IP internes sont répertoriées dans la zone Adresse. Supprimez toute autre adresse en la sélectionnant et en cliquant sur le bouton Supprimer.

  5. Pour ajouter l'adresse IP interne, cliquez sur Ajouter. Sélectionnez ensuite l'adresse IP interne dans la liste. Dans Port TCP, tapez :
    25

Par défaut, la mise en commun de sockets est activée. Cela signifie que, même si vous configurez le service SMTP de Exchange Server pour écouter le port 25 pour une seule interface, il continuera d'écouter toutes les interfaces.

  1. Pour vous assurer que Exchange Server écoute sur l'interface spécifiée : Utilisez MDUTIL.exe ou ADSI pour définir la propriété brute Metadata avec l'ID 1029 (DisableSocketPooling).
    Exemple :
    mdutil set -path smtpsvc/1 -value 1 -dtype 1 -prop 1029 -attrib 1

Configuration de ISA Server

Pour sécuriser totalement le serveur Exchange installé sur le même ordinateur, ISA Server doit être spécialement configuré via la procédure suivante :

  1. Activez le filtre SMTP. Pour savoir comment, consultez la section « Pour activer le filtre SMTP », ci-après.

  2. Configurez une règle de publication serveur afin de rendre le serveur Exchange accessible. Pour savoir comment, consultez la section « Pour créer une règle de publication serveur pour publier le serveur Exchange local » ci-après.

Cette section décrit comment effectuer ces tâches.

Pour activer le filtre SMTP

  1. Dans l'arborescence de la console de ISA Server, cliquez sur Internet Security and Acceleration Server, cliquez sur Serveurs et groupes, cliquez sur le tableau approprié, cliquez sur Extensions, puis cliquez sur Filtres d'application.

  2. Dans le volet de détails, cliquez avec le bouton droit sur Filtre SMTP, puis cliquez sur Propriétés.

  3. Sous l'onglet Général, vérifiez que la case à cocher Activer ce filtre est activée.

Pour créer une règle de publication serveur pour publier le serveur Exchange local

Remarque N'utilisez pas l'Assistant Sécurité du serveur de courrier.

  1. Dans l'arborescence de la console de ISA Server, cliquez sur Internet Security and Acceleration Server, cliquez sur Serveurs et groupes, cliquez sur le tableau approprié, sur Publication, sur Règles de publication sur serveur, sur Nouveau, puis cliquez sur Règle.

  2. Tapez un nom pour la règle, puis cliquez sur Suivant.

  3. Sous Mappage d'adresses, dans Adresse IP du serveur interne, tapez l'adresse IP sur laquelle le serveur Exchange est configuré pour écouter. Dans ce cas, ce doit être une des adresses IP internes de l'ordinateur ISA Server.

  4. Dans Adresse IP externe sur le serveur ISA, tapez l'adresse IP externe de ISA Server. Cliquez ensuite sur Suivant.

  5. Dans la page Paramètres de protocole, sélectionnez Serveur SMTP. Cliquez ensuite sur Suivant.

  6. Dans la page Type de client, sélectionnez les clients qui peuvent accéder à SMTP Server. Cliquez ensuite sur Suivant, puis sur Terminer pour quitter l'Assistant.

Configuration d'un serveur Exchange distinct

Cette section décrit comment configurer le filtrage des messages lorsque Exchange Server et ISA Server sont installés sur des ordinateurs distincts. Dans ce cas, deux configurations sont possibles, comme l'illustrent les figures ci-après.

Dans la configuration illustrée ci-dessous (scénario 1), le filtreur de messages est installé sur le serveur qui exécute IIS (Internet Information Services). L'avantage de cette configuration est que le serveur Exchange est encore davantage isolé par rapport au réseau. Dans ce scénario, le filtreur de messages ne filtre que les messages entrants.

Configuration d'un serveur Exchange distinct


Dans la configuration illustrée ci-dessous (scénario 2), le filtreur de messages filtre tous les messages, à la fois entrants et sortants. Il est possible de configurer l'ordinateur Exchange Server de sorte que seuls les messages entrants soient filtrés.

Configuration d'un serveur Exchange distinct


ISA Server et Exchange Server sont configurés de façon semblable pour les deux scénarios. Les sections suivantes expliquent comment configurer les ordinateurs.

Configuration de Exchange Server

Dans le scénario 2 (ISA Server–Exchange Server), vous devez créer un serveur SMTP virtuel sur l'ordinateur Exchange Server. Ce processus est décrit ci-après.

Pour installer le filtreur de messages sur un serveur SMTP virtuel (scénario 2 uniquement)

  • Installez le filtreur de messages sur l'ordinateur Exchange Server. Pour savoir comment, consultez la section Pour installer le filtreur de messages.

Remarque N'installez le filtreur de messages qu'après avoir installé le serveur SMTP virtuel.

Le filtreur de messages n'est installé que sur le premier serveur virtuel (dans la liste), tel qu'il est répertorié dans le Gestionnaire système Exchange.

Configuration du serveur SMTP virtuel

Dans cette procédure, vous allez configurer le serveur SMTP virtuel. Dans le scénario 1, le serveur SMTP virtuel se trouve sur l'ordinateur IIS. Dans le scénario 2, le serveur SMTP virtuel se trouve sur l'ordinateur Exchange Server.

Pour configurer le serveur SMTP virtuel

  1. Installez le Filtreur de messages ISA Server selon la procédure décrite ci-après.

    Remarque Si vous avez configuré votre réseau selon la procédure décrite dans la section « Pour installer le filtreur de messages sur un serveur SMTP virtuel (scénario 2 uniquement) », vous pouvez ignorer cette étape.

  2. Sur l'ordinateur qui exécute Exchange Server, exécutez le programme d'installation de ISA Server.

  3. Dans le programme d'installation de ISA Server, cliquez sur Continuer, tapez le Code CD, sélectionnez le dossier d'installation approprié, puis sélectionnez Installation personnalisée.

  4. Dans la zone Options, vérifiez que les options Services ISA et Utilitaires d'administration ne sont pas sélectionnées.

  5. Sélectionnez l'option Services complémentaires, puis cliquez sur Modifier une option.

  6. Sélectionnez uniquement l'option Filtreur de messages, puis cliquez sur OK. Terminez ensuite le processus d'installation en sélectionnant les options par défaut.

  7. Si vous exécutez ISA Server Édition Standard avec la configuration du scénario 2 (ISA Server-Exchange Server), ou si vous exécutez ISA Server Édition Entreprise en tant que serveur autonome, exécutez l'outil SMTPCred.exe. Lorsque vous exécutez l'outil, entrez les informations d'identification appropriées ainsi que le nom de l'ordinateur ISA Server. Le compte utilisateur requis pour SMTPCred.exe ne nécessite pas de droits particuliers, mais il doit se trouver dans le domaine. SMTPCred.exe se trouve sur le CD de ISA Server dans le dossier .\ISA\i386.

Configuration de ISA Server

Sur l'ordinateur ISA Server, vous devez autoriser la publication SMTP Server, en utilisant l'Assistant Sécurité du serveur de courrier de ISA Server pour publier le serveur SMTP virtuel. Dans le scénario 1, vous allez publier le serveur SMTP virtuel se trouvant sur l'ordinateur IIS. Dans le scénario 2, vous allez publier le serveur SMTP virtuel se trouvant sur l'ordinateur Exchange Server.

Pour publier le serveur SMTP virtuel

  1. Dans l'arborescence de la console de ISA Server, cliquez sur Internet Security and Acceleration Server, cliquez sur Serveurs et groupes, cliquez sur le tableau approprié, cliquez sur Publication, cliquez avec le bouton droit sur Règles de publication sur serveur, puis cliquez sur Sécuriser un serveur de courrier.

  2. Cliquez sur Suivant.

  3. Sous Sélection de services de messagerie, sélectionnez les protocoles à publier, puis cliquez sur Suivant.

  4. Sous Adresse IP externe du serveur ISA, tapez une adresse IP externe sur l'ordinateur ISA Server, puis cliquez sur Suivant.

  5. Sous Adresse du serveur de courrier interne, sélectionnez A cette adresse IP, puis tapez l'adresse IP appropriée (en fonction du scénario de configuration). Cliquez sur Suivant, puis sur Terminer.

DCOM et ISA Server

Le filtre SMTP de ISA Server transmet les données via DCOM (Distributed COM). Assurez-vous que DCOM fonctionne correctement entre ISA Server et le serveur sur lequel le filtreur de messages SMTP sera installé. Vous devez également étudier avec soin les conséquences de l'utilisation de DCOM en termes de sécurité lorsque vous le configurez.

Pour configurer DCOM sur ISA Server

  1. Ouvrez l'utilitaire de configuration DCOM en tapant dcomcnfg.exe à l'invite de commande.

  2. Sous l'onglet Applications, sélectionnez VendorData Class, puis cliquez sur Propriétés.

    Utilitaire de configuration DCOM


  3. Sous l'onglet Sécurité, sélectionnez les autorisations Utiliser des autorisations d'accès personnalisées, Utiliser des autorisations d'exécution personnalisées et Utiliser des autorisations de configuration personnalisées.

    Onglet Sécurité


    Pour chacun de ces paramètres d'autorisation :

    1. Cliquez sur Modifier.

    2. Dans Autorisations - Valeur du Registre, cliquez sur Ajouter, sélectionnez Tout le monde, puis cliquez sur OK.

    3. Sous Autorisations - Valeur du Registre, dans Type d'accès, sélectionnez
      Permettre l'accès lors de la définition des autorisations d'accès,
      Autoriser le lancement lors de la définition des autorisations d'exécution,
      Contrôle total lors de la définition des autorisations de configuration.

Cela permet d'accorder l'autorisation uniquement aux utilisateurs internes, qui sont particulièrement familiarisés avec l'ID de programme Vendor Class, pour l'ajout d'objets COM à l'ordinateur ISA Server.

La boîte de dialogue ci-dessous illustre les paramètres de clé de Registre après la configuration des autorisations pour Tout le monde.

Considérations sur les relais

Exchange Server peut être utilisé comme relais pour le trafic SMTP entrant et sortant. Pour une sécurité maximale, vous devez utiliser Exchange 2000 comme serveur terminal de votre organisation, le Filtreur de messages étant installé sur cet ordinateur. Dans ce cas, configurez l'option de relais afin d'autoriser uniquement les ordinateurs et les domaines de votre organisation.

Pour configurer l'option de relais pour Exchange Server

  1. Pour ouvrir le Gestionnaire des services Internet, cliquez sur Démarrer, sur Programmes, sur Microsoft Exchange, puis sur Gestionnaire système.

  2. Dans l'arborescence de la console du Gestionnaire système, cliquez sur Gestionnaire système, sur Serveurs, sur le serveur approprié, puis cliquez avec le bouton droit sur Serveur virtuel SMTP par défaut.

  3. Cliquez sur Propriétés.

  4. Sous l'onglet Accès, cliquez sur Relais.

  5. Sous Restrictions de relais, sélectionnez Uniquement la liste ci-dessous. Ajoutez les ordinateurs et domaines à votre organisation.

Si vous utilisez d'autres serveurs de messagerie pour les boîtes aux lettres client, le serveur équipé du filtreur de messages (serveur SMTP virtuel) doit être configuré pour acheminer le trafic SMTP vers ces serveurs. Pour plus d'informations sur la configuration du routage, consultez la rubrique Service Microsoft SMTP dans l'aide de Microsoft Windows®.

Administration du filtre SMTP

Vous pouvez utiliser l'utilitaire de gestion ISA pour configurer le filtre SMTP et le filtreur de messages.

Pour configurer le filtre SMTP et le filtreur de messages

  1. Dans l'utilitaire de gestion ISA, cliquez sur Internet Security and Acceleration Server, cliquez sur Serveurs et groupes, cliquez sur le tableau approprié, cliquez sur Extensions, puis cliquez sur Filtres d'application.

  2. Dans le volet de détails, cliquez avec le bouton droit sur Filtre SMTP, puis cliquez sur Propriétés.

  3. Pour configurer le filtreur de messages, sélectionnez l'onglet Pièces jointes ou l'onglet Mots clés et configurez les champs comme vous le souhaitez. Pour plus d'informations, consultez l'aide de ISA Server.

  4. Pour configurer le filtre SMTP, sélectionnez l'onglet Utilisateurs/domaines ou l'onglet Commandes SMTP et configurez les champs comme vous le souhaitez. Pour plus d'informations, consultez l'aide de ISA Server.

Remarque Pour ISA Server Édition Entreprise, lorsque ISA Server est installé en tant que membre d'un tableau, vous devez disposer des autorisations permettant la modification de la configuration de l'entreprise afin de modifier et de configurer le filtre SMTP. Cela est dû au fait que le filtre SMTP s'applique à tous les tableaux de l'entreprise.

Outlook Web Access

Vous pouvez également publier un serveur Web pour permettre aux clients Outlook d'accéder au Web. Dans ce cas, le serveur Web Outlook est publié en tant que serveur Web, et non en tant que serveur de messagerie. Cette section décrit comment publier un serveur Web pour permettre aux clients Outlook d'accéder à leur courrier électronique.

Pour configurer Microsoft OWA (Outlook Web Access), utilisez d'abord ISA Server pour créer des jeux de destination qui doivent inclure les chemins qui sont publiés sur le serveur Web qui héberge Outlook Web Access. Procédez de la façon suivante :

  1. Dans l'utilitaire de gestion ISA, cliquez sur Internet Security and Acceleration Server, cliquez sur Serveurs et groupes, cliquez sur le tableau approprié, cliquez sur Éléments de stratégie, cliquez avec le bouton droit sur Ensembles de destination, pointez sur Nouveau, puis cliquez sur Ensemble.

  2. Dans Nom, tapez le texte suivant comme nom de l'ensemble de destination :
    OWA

  3. Cliquez sur Ajouter, puis sur Adresses IP. Dans De et À (facultatif), tapez l'adresse IP du serveur Web qui héberge Outlook Web Access. Dans Chemin d'accès, tapez le texte suivant, puis cliquez sur OK :
    /exchange/*

  4. Cliquez sur Ajouter, puis sur Adresses IP. Dans De et À (facultatif), tapez l'adresse IP du serveur Web qui héberge Outlook Web Access. Dans Chemin d'accès, tapez le texte suivant, puis cliquez sur OK :
    /exchweb/*

  5. Cliquez sur Ajouter, puis sur Adresses IP. Dans De et À (facultatif), tapez l'adresse IP du serveur Web qui héberge Outlook Web Access. Dans Chemin d'accès, tapez le texte suivant, puis cliquez sur OK :
    /public/*

Utilisez ensuite l'utilitaire de gestion ISA pour créer une règle de publication Web qui publie le jeu de destination. Procédez de la façon suivante :

  1. Dans l'utilitaire de gestion ISA, cliquez sur Internet Security and Acceleration Server, cliquez sur Serveurs et groupes, cliquez sur le tableau approprié, cliquez sur Publication, cliquez avec le bouton droit sur Règles de publication Web, pointez sur Nouveau, puis cliquez sur Règle.

  2. Dans Nom, tapez Règle d'accès OWA comme nom de la règle, puis cliquez sur Suivant.

  3. Dans Appliquer cette règle à , sélectionnez Ensemble de destinations spécifié, puis sélectionnez l'ensemble de destinations nommé OWA. Cliquez sur Suivant.

  4. Appliquez la règle à Toutes les demandes, puis cliquez sur Suivant.

  5. Sélectionnez Rediriger la demande vers ce serveur Web interne (nom ou adresse IP). Tapez ensuite le nom ou l'adresse IP du serveur Web qui héberge Outlook Web Access.

  6. Activez la case à cocher Envoyer l'en-tête de l'hôte d'origine vers le serveur de publication au lieu du serveur réel (spécifié ci-dessous), puis cliquez sur Suivant. Assurez-vous que le site Web virtuel porte le même nom que celui utilisé pour se connecter par les utilisateurs d'Internet.

  7. Cliquez sur Terminer.

Les informations contenues dans ce document représentent l'opinion actuelle de Microsoft Corporation sur les points soulevés au moment de la publication. Microsoft s'adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute information présentée après la date de publication.
Ce livre blanc est fourni pour information uniquement. MICROSOFT N'OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE QUANT AUX INFORMATIONS CONTENUES DANS CE DOCUMENT.
L'utilisateur est tenu d'observer les réglementations relatives aux droits d'auteur applicables dans son pays. Sans restriction des droits dérivés des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de récupération de données ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la permission expresse et écrite de Microsoft Corporation.
Les produits mentionnés dans ce document peuvent être couverts par des brevets, des dépôts de brevets en cours, des marques, des droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf indication expresse figurant dans un contrat de licence écrit émanant de Microsoft, la fourniture de ce document ne vous concède aucune licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.
Microsoft, Active Directory, Outlook et Windows sont des marques déposées et des marques commerciales de Microsoft Corporation aux États-Unis et/ou dans les autres pays.
Les noms de sociétés et de produits mentionnés sont des marques de leurs propriétaires respectifs.



Dernière mise à jour le mercredi 19 décembre 2001



Pour en savoir plus


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft. Tous droits réservés.