Utilisation d'ISA Server 2006 avec Outlook Web Access
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-04-20
Outlook Web Access pour Exchange Server 2007 est conçu exploiter pleinement les nouvelles fonctionnalités offertes par Internet Security and Acceleration (ISA) Server 2006. Exchange 2007 est également conçu pour s'intégrer avec des versions antérieures d'ISA Server. Lorsque vous déployez Exchange 2007 dans un environnement où ISA Server 2006 est utilisé pour sécuriser votre réseau d'entreprise, le jeu complet de fonctionnalités pour l'accès au client Exchange est disponible.
Avantages liés à l'utilisation d'ISA Server 2006 avec Outlook Web Access
Le tableau suivant répertorie les fonctionnalités d'ISA Server 2006 susceptibles de vous aider à sécuriser votre environnement de messagerie Microsoft Exchange incluant Outlook Web Access.
Fonctionnalités d'ISA Server 2006 avec Outlook Web Access
| Fonction | Description |
|---|---|
Traduction des liens |
ISA Server 2006 redirige les demandes d'Outlook Web Access concernant des adresses URL internes, qui sont contenues dans le corps de tout objet dans Outlook Web Access, tel qu'un message électronique ou une entrée de calendrier. Les utilisateurs n'ont plus besoin de se souvenir des espaces de noms externes pour les informations professionnelles internes qui sont mappées vers un espace de noms externe. Par exemple, si un utilisateur envoie un lien dans un message électronique vers un espace de noms interne tel que http://contoso et que cette adresse URL interne est mappée vers un espace de noms externe tel que https://www.contoso.com, l'adresse URL interne est automatiquement traduite en adresse URL externe lorsque l'utilisateur clique sur l'adresse URL interne. |
Équilibrage de la charge de publication Web |
ISA Server 2006 peut équilibrer la charge des demandes de clients et les envoyer vers un groupe de serveurs d'accès au client. Quand ISA Server 2006 reçoit une demande de connexion à Outlook Web Access, il sélectionne un serveur d'accès au client et renvoie le nom du serveur d'accès au client au navigateur Web dans un cookie. |
Compression HTTP |
Par le passé, si vous utilisiez une authentification basée sur des formulaires sur l'ordinateur ISA Server sur lequel Exchange Server 2003 et ISA Server 2004 ou ISA Server 2000 étaient installés, il était impossible d'utiliser une compression Gzip. Cela résultait du fait qu'ISA Server ne pouvait pas décompresser puis recompresser les informations correctement. ISA Server 2006 peut décompresser, inspecter puis recompresser les données avant de les envoyer à vos serveurs Exchange. > [!Note] > La compression Gzip est disponible dans ISA Server 2004, Service Pack 2 (SP2). |
Les emplacements de serveur Exchange sont masqués. |
Lorsque vous publiez une application via ISA Server, vous protégez le serveur des accès externes directs car l'utilisateur ne peut pas afficher les nom et adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server. L'ordinateur ISA Server crée ensuite une connexion au serveur d'accès au client conformément aux conditions de la règle de publication du serveur. |
Pontage SSL et inspection |
Le pontage SSL (Secure Sockets Layer) offre une protection contre les attaques cachées dans les connexions chiffrées SSL. Pour les applications Web SSL, dès réception de la demande du client, ISA Server la déchiffre, l'inspecte, puis agit comme point de terminaison pour la connexion SSL avec l'ordinateur client. Les règles de publication Web déterminent le mode de communication par ISA Server de la demande pour l'objet auprès du serveur Web publié. Si vous utilisez un pontage SSL, la règle de publication Web sécurisée est configurée pour transmettre la demande à l'aide du protocole HTTP sécurisé (HTTPS). ISA Server établit ensuite une nouvelle connexion SSL avec le serveur publié. L'ordinateur ISA Server étant désormais un client SSL, il exige du serveur Web publié une réponse accompagnée d'un certificat. Un autre avantage du pontage SSL est qu'une organisation ne doit se procurer des certificats SSL auprès d'une autorité de certification externe que pour les ordinateurs ISA Server. Des serveurs qui utilisent ISA Server comme proxy inverse peuvent soit ne pas exiger de certificat SSL, soit utiliser des certificats SSL générés au niveau interne. Vous pouvez également mettre fin à la connexion SSL au niveau de l'ordinateur ISA Server, puis continuer vers le serveur d'accès au client à l'aide d'une connexion non chiffrée. Cela s'appelle un déchargement SSL. Si vous procédez de la sorte, l'adresse URL interne d'Outlook Web Access doit être définie pour utiliser le protocole HTTP et l'adresse URL externe pour utiliser le protocole HTTPS. Vous pouvez configurer les adresses URL interne et externe via la console de gestion Exchange ou à l'aide de la cmdlet Set-OwaVirtualDirectory avec les paramètres InternalURL et ExternalURL dans l'environnement de ligne de commande Exchange Management Shell. Pour plus d'informations sur l'utilisation de la cmdlet Set-OwaVirtualDirectory et de la console de gestion Exchange pour gérer des répertoires virtuels Outlook Web Access, consultez les rubriques Set-OwaVirtualDirectory et Procédure de modification des propriétés d'un répertoire virtuel Outlook Web Access. |
Authentification unique |
Une authentification unique permet à des utilisateurs d'accéder à un groupe de sites Web publiés sans devoir s'authentifier auprès de chaque site Web. Si vous utilisez ISA Server 2006 comme serveur de proxy inverse pour Outlook Web Access, vous pouvez configurer ISA Server 2006 pour obtenir les informations d'identification de l'utilisateur et les transmettre au serveur d'accès au client, de façon à ce que l'utilisateur ne soit invité à communiquer ses informations d'identification qu'une seule fois. |
Pour plus d'informations sur les améliorations offerte par ISA Server 2006 en cas d'utilisation avec Exchange 2007, consultez la rubrique Nouveautés et améliorations d'ISA Server 2006.
Options de déploiement
Lorsque vous déployez ISA Server 2006 en même temps qu'Exchange 2007, vous ne devez pas effectuer de configuration supplémentaire de votre infrastructure Microsoft Exchange. Toutefois, il est possible de configurer ISA Server 2006 de différentes manières pour activer l'accès au client Exchange à l'aide d'Outlook Web Access, d'un accès POP3 ou IMAP, d'Exchange ActiveSync et d'Outlook Anywhere. Les options de configuration dépendent de la méthode d'authentification que vous voulez utiliser pour accéder à Exchange.
Les versions antérieures d'ISA Server, notamment ISA Server 2004 et ISA Server 2000, en cas de déploiement avec Exchange 2007, n'offrent pas les mêmes options de déploiement pour l'authentification. En outre, si vous déployez Exchange 2007 avec ISA Server 2006 et une version antérieure d'ISA Server, vous pouvez utiliser les options d'authentification suivantes :
Authentification de base pour Outlook Web Access Si vous projetez d'utiliser une authentification de base pour Outlook Web Access, ISA Server 2006 et les versions antérieures d'ISA Server doivent toutes utiliser une publication Web pour publier Outlook Web Access.
Authentification de certificats clients Si vous projetez d'utiliser une méthode d'authentification basée sur des certificats clients, ISA Server effectue automatiquement une authentification sur l'ordinateur exécutant ISA Server. Les versions précédentes d'ISA Server, notamment ISA Server 2004 et ISA Server 2000, requièrent une publication du serveur pour utiliser l'authentification de certificats clients. Si vous utilisez une authentification de certificats clients, vous ne pouvez pas utiliser ISA Server pour inspecter des paquets SSL avant leur envoi au serveur d'accès au client.
Déploiement d'ISA Server 2006 pour Outlook Web Access
Lorsque vous déployez ISA Server 2006 pour Outlook Web Access, vous utilisez l'Assistant Nouvelle règle de publication Exchange pour les tâches de stratégie de pare-feu. Ce nouvel assistant présente les paramètres spécifiques à configurer pour permettre l'accès à Microsoft Exchange.
.gif "important") Important : |
|---|
| S'il y a plusieurs versions d'Microsoft Exchange au sein de votre organisation Exchange, vous devez créer une règle de publication Exchange pour chaque version d'Microsoft Exchange prise en charge. |
La configuration d'ISA Server 2006 pour Outlook Web Access comprend les étapes suivantes :
création d'une règle de publication ;
configuration d'options supplémentaires.
Les sections suivantes décrivent les paramètres que vous devez appliquer à la nouvelle règle de publication pour déployer avec succès ISA Server 2006 pour Outlook Web Access.
création d'une règle de publication Exchange
Lors de ce processus, vous devez fournir les informations suivantes :
Nom de règle de publication Exchange Attribuez à votre règle de publication un nom facile à retenir, tel que « Accès messagerie Exchange ».
Services d'accès client pris en charge Dans la page Sélectionner des services, sélectionnez la version d'Microsoft Exchange que vous déployez et les services d'accès client que vous voulez prendre en charge pour vos utilisateurs. Par défaut, lorsque vous activez Exchange Server 2007, Outlook Web Access est sélectionné.
Type de publication Dans la page Type de publication, sélectionnez l'option à utiliser selon que vous projetez de publier un seul site ou un équilibre de charge externe, une batterie de serveurs Web ou plusieurs sites Web.
Sécurité de connexion au serveur Cette page permet de sélectionner l'utilisation de connexions SSL ou non sécurisées de l'ordinateur ISA Server à Microsoft Exchange.
Détails de publication interne Dans la page Détails de publication interne, entrez le nom du site interne d'Outlook Web Access ou sélectionnez l'option permettant d'utiliser un nom d'ordinateur ou une adresse IP pour se connecter à Microsoft Exchange.
Détails de nom public La page Détails de nom public permet de sélectionner les domaines dont vous acceptez les requêtes. Vous devez également fournir un nom public, par exemple www.contoso.com.
Sélectionner un port d'écoute Web La page Sélectionner un port d'écoute Web permet de spécifier le port d'écoute du serveur Exchange auquel vous vous connectez. Un écouteur est utilisé pour spécifier le type d'authentification à utiliser quand le client contacte d'abord l'ordinateur ISA Server. L'écouteur contient des informations sur la manière dont l'ordinateur ISA Server accepte des demandes de clients, telles que le chiffrement, la compression et l'authentification utilisée sur la connexion externe. Cette page permet de créer un écouteur ou de modifier des écouteurs existants.
Délégation de l'authentification La page Délégation de l'authentification permet de spécifier le type de mécanisme d'authentification que le serveur d'accès au client doit attendre d'ISA Server. Sélectionnez parmi les options suivantes :
Aucune délégation, mais les clients peuvent s'authentifier directement.
Authentification de base
Authentification NTLM
Négociation (Kerberos/NTLM)
Délégation Kerberos limitée
Définitions d'utilisateurs La page Définitions d'utilisateurs permet de sélectionner les utilisateurs pouvant utiliser cette règle pour se connecter à Exchange.
Si vous avez configuré l'ordinateur ISA Server pour authentifier les utilisateurs, vous devez configurer les répertoires virtuels Outlook Web Access pour utiliser l'authentification Windows intégrée ou l'authentification de base, en fonction du type d'authentification requis par votre organisation. Si vous utilisez l'authentification de base ou l'authentification Windows intégrée sur les répertoires virtuels Outlook Web Access en même temps qu'une authentification ISA Server 2006, les utilisateurs ne sont invités à entrer leurs informations de connexion qu'une seule fois.
Notes
Si vous sélectionnez une authentification basée sur des formulaires pour l'écouteur ISA, l'utilisateur est invité à entrer de nouveau ses informations d'authentification en cas d'expiration de la session Outlook Web Access.
Toutefois, l'authentification Windows intégrée empêche l'accès, à partir d'Outlook Web Access, aux documents de partages de fichiers Windows ou de bibliothèques de documents Windows SharePoint Services. Si vous devez accéder à des documents à partir d'Outlook Web Access, vous devez utiliser une authentification de base pour le répertoire virtuel Outlook Web Access.
Une fois l'Assistant exécuté, il crée la règle de publication Exchange. La règle que vous créez s'affiche dans la liste Règles de stratégie de pare-feu sous l'onglet Stratégie de pare-feu.
Notes
Après avoir créé la règle de publication, vous devez attendre que les paramètres prennent effet. Vous pouvez analyser la progression de la règle de publication ISA Server 2006 à l'aide du noeud Surveillance de la console de gestion ISA Server 2006.
configuration des options supplémentaires
Vous pouvez configurer des fonctionnalités supplémentaires, telles que la traduction des liens et la compression HTTP, pour la nouvelle règle créée dans la console de gestion ISA Server 2006. Les paramètres supplémentaires pour la traduction des liens et la compression HTTP sont gérés sous le noeud Général dans la console de gestion ISA Server 2006.
Configuration de la traduction des liens
Pour configurer la traduction des liens, vous devez sélectionner la règle de publication Exchange que vous avez créée, puis cliquez sur Modifier la règle sélectionnée sous Tâches de modification de stratégie. Sous l'onglet Traduction des liens, vous pouvez configurer la traduction des liens en fonction des besoins de vos utilisateurs.
Configuration de la compression HTTP
Vous pouvez configurer l'option de compression HTTP dans le noeud Général sous Configuration dans la console de gestion ISA Server 2006. Cliquez sur Définir les préférences de compression HTTP, puis sélectionnez les options que vous voulez prendre en charge pour vos utilisateurs.
Une fois ces options configurées, la configuration d'ISA Server pour Microsoft Exchange est terminée.
Installation d'un certificat de serveur pour ISA Server 2006
Pour activer un canal chiffré en utilisant SSL entre l'ordinateur client et l'ordinateur ISA Server, vous devez installer un certificat de serveur sur l'ordinateur ISA Server. Ce certificat doit être émis par une autorité de certification publique car des utilisateurs sur Internet y accèderont. En cas d'utilisation d'une autorité de certification privée, le certificat racine émis par celle-ci doit être installé sur tout ordinateur devant créer un canal chiffré (HTTPS) vers l'ordinateur ISA Server, sans quoi les utilisateurs reçoivent un message d'avertissement indiquant que le certificat n'est pas approuvé.
Pour plus d'informations sur l'installation d'un certificat de serveur sur ISA Server 2006, consultez la page relative à la publication d'Exchange Server 2007 avec ISA Server 2006.
Pour plus d'informations
Pour plus d'informations sur l'utilisation d'ISA Server 2006 avec Exchange 2007, consultez la rubrique Utilisation d'ISA Server 2006 avec Exchange 2007.
Pour plus d'informations sur ISA Server 2006, consultez le site Web relatif à ISA Server.
Pour plus d'informations sur les fonctionnalités d'ISA Server 2006, consultez le site Web sur les fonctionnalités d'ISA Server 2006.
Pour plus d'informations sur l'utilisation d'un serveur proxy inverse, consultez la rubrique Procédure de configuration de serveurs proxy pour Outlook Web Access.
Pour plus d'informations sur l'utilisation de la cmdlet Set-OwaVirtualDirectory et de la console de gestion Exchange pour gérer des répertoires virtuels Outlook Web Access, consultez les rubriques suivantes :
Pour plus d'informations sur la configuration d'Outlook Web Access, consultez les rubriques :