Recommandations pour le déploiement de communications RPC sur HTTP

Article
10/25/2013

Dernière rubrique modifiée : 2006-04-27

Dans cette rubrique, nous allons traiter les meilleures pratiques à suivre lors du déploiement des communications RPC sur HTTP dans Exchange Server 2003 Service Pack 1 (SP1).

Meilleures pratiques à suivre lors du déploiement RPC sur HTTP

Il est recommandé d'effectuer les opérations suivantes lorsque vous utilisez Exchange avec RPC sur HTTP :

Utilisez l'authentification de base sur SSL.
Nous recommandons d'activer et d'exiger l'utilisation de SSL sur le serveur proxy RPC pour toutes les communications client-serveur. La session HTTP doit toujours être établie sur SSL (port 443). Pour des informations sur les communications RPC sur HTTP à l'aide de SSL, consultez Authentification et sécurité RPC sur HTTP.

Remarque :
Bien que RPC sur HTTP ne nécessite pas SSL, vous devez modifier le Registre de façon à activer RPC sur HTTP si vous ne voulez pas utiliser SSL. Nous recommandons d'activer et d'exiger SSL pour les communications RPC sur HTTP. Pour plu d'informations, reportez-vous à l'article de Base de connaissances Microsoft 833003, « Description of the RPC over HTTP feature and the AllowAnonymous registry entry in Windows Server 2003 » et à la rubrique Comment configurer le serveur proxy RPC afin d'autoriser le déchargement SSL sur un serveur distinct.

Bien que RPC sur HTTP ne nécessite pas SSL, vous devez modifier le Registre de façon à activer RPC sur HTTP si vous ne voulez pas utiliser SSL. Nous recommandons d'activer et d'exiger SSL pour les communications RPC sur HTTP. Pour plu d'informations, reportez-vous à l'article de Base de connaissances Microsoft 833003, « Description of the RPC over HTTP feature and the AllowAnonymous registry entry in Windows Server 2003 » et à la rubrique Comment configurer le serveur proxy RPC afin d'autoriser le déchargement SSL sur un serveur distinct.

Utilisez un serveur pare-feu avancé sur le réseau de périmètre.
Il est recommandé d'utiliser un serveur pare-feu dédié pour améliorer la sécurité de votre ordinateur Exchange. Microsoft Internet Security and Acceleration (ISA) Server 2000 est un exemple de produit serveur pare-feu dédié. Pour des informations complémentaires, reportez-vous à Positionnement de votre serveur proxy RPC et des pare-feu dans un environnement d'entreprise.

Obtenez un certificat auprès d'une autorité de certification (CA) tierce.
Pour activer et exiger SSL pour toutes les communications entre le serveur proxy RPC et les clients Outlook, vous devez obtenir et publier un certificat au niveau du site Web par défaut. Nous recommandons de vous procurer votre certificat auprès d'une autorité de certification tierce dont les certificats sont approuvés par une large gamme de navigateurs Web.

Important :
Vous pouvez également utiliser l'outil Autorité de certification dans Windows pour installer votre autorité de certification propre. Par défaut, les navigateurs Web n'approuvent pas votre autorité de certification racine dans ce scénario. Lorsqu'un utilisateur tente d'établir une connexion dans Outlook 2003 en utilisant RPC sur HTTP, l'utilisateur perd la connexion à Exchange. L'utilisateur n'est pas averti. L'utilisateur perd la connexion lorsque l'une des conditions suivantes est remplie :

Vous pouvez également utiliser l'outil Autorité de certification dans Windows pour installer votre autorité de certification propre. Par défaut, les navigateurs Web n'approuvent pas votre autorité de certification racine dans ce scénario. Lorsqu'un utilisateur tente d'établir une connexion dans Outlook 2003 en utilisant RPC sur HTTP, l'utilisateur perd la connexion à Exchange. L'utilisateur n'est pas averti. L'utilisateur perd la connexion lorsque l'une des conditions suivantes est remplie :

Le client n'approuve pas le certificat.
Le certificat ne correspond pas au nom auquel le client essaie de se connecter.
La date du certificat est incorrecte.
Vous devez par conséquent vérifier que les ordinateurs clients approuvent l'autorité de certification. Pour plus d'informations sur l'approbation d'une autorité de certification, consultez l'article de Base de connaissances Microsoft 297681 « Error message: This security certificate was issued by a company that you have not chosen to trust ».
Pour plus d'informations, consultez Policies to establish trust of root certification authorities.
Par ailleurs, si vous utilisez votre propre autorité de certification lorsque vous émettez un certificat à votre serveur proxy RPC, vous devez vous assurer que le champ Nom commun ou Délivré à sur ce certificat contient le même nom que l'URL du serveur proxy RPC qui est disponible sur Internet. Le champ Nom commun ou Délivré à doit par exemple contenir un nom du type mail.contoso.com. Le champ Nom commun ou Délivré à ne peut pas contenir le nom de domaine interne complet de l'ordinateur. Par exemple, les champs ne peuvent pas contenir de nom du type monordinateur.contoso.com.

Pour plus d'informations

Pour plus d'informations, consultez les rubriques suivantes dans la documentation Exchange Server 2003 RPC over HTTP Guide :

Pour plus d'informations sur les options de configuration de la fonctionnalité Exchange sur Internet, consultez l'article de Base de connaissances Microsoft 831050, Description of the configuration options for the Exchange over the Internet feature in Outlook 2003.

Recommandations pour le déploiement de communications RPC sur HTTP

Meilleures pratiques à suivre lors du déploiement RPC sur HTTP

Pour plus d'informations

Ressources supplémentaires