Recommandations concernant Outlook Anywhere
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-10-24
Cette rubrique fournit des recommandations concernant l'utilisation d'Outlook Anywhere dans votre infrastructure Exchange.
Il est recommandé d'utiliser la configuration suivante en cas d'utilisation d'Microsoft Exchange avec Outlook Anywhere :
Authentification NTLM sur SSL (Secure Sockets Layer) Il est recommandé d'activer et d'exiger SSL sur l'ordinateur Microsoft Exchange Server 2007 sur lequel le rôle de serveur d'accès au client est installé pour toutes les communications client-serveur. Il est également recommandé d'utiliser une authentification NTLM. La session HTTP doit toujours être établie sur SSL (port 443). Pour plus d'informations sur la configuration de l'authentification Outlook Anywhere utilisant SSL, consultez la rubrique Gestion de la sécurité d'Outlook Anywhere.
Important
Si vous utilisez un pare-feu qui ne gère pas l'authentification NTLM, vous devez utiliser une authentification de base sur SSL.
Utilisez un serveur de pare-feu avancé sur le réseau de périmètre Il est recommandé d'utiliser un serveur de pare-feu dédié pour renforcer la sécurité de l'ordinateur Exchange. Microsoft Internet Security and Acceleration (ISA) Server 2006 est un exemple de produit serveur de pare-feu dédié. ISA Server 2006 permet également d'utiliser une authentification NTLM à la place d'une authentification de base car le serveur ISA comprend les informations d'authentification NTLM. D'autres serveurs de pare-feu savent comment utiliser une authentification NTLM. Pour déterminer si votre serveur de pare-feu permet une authentification NTLM, consultez la documentation concernant le produit de pare-feu.
Obtenez un certificat auprès d'une autorité de certification tierce (CA) Pour activer et exiger SSL pour toutes les communications entre le serveur d'accès au client et les clients Outlook, vous devez obtenir et publier un certificat au niveau du site Web par défaut. Il est recommandé d'acheter le certificat auprès d'une autorité de certification tierce dont les certificats sont approuvés par un vaste éventail de navigateurs Web.
Options d'authentification pour Outlook Anywhere dans Exchange 2007 Service Pack 1 (SP1)
Par défaut, dans la version d'origine (RTM) d'Exchange 2007, le répertoire virtuel /rpc était activé pour l'authentification de base et l'authentification Windows intégrée et il n'était pas possible de le modifier. Même si vous n'utilisiez qu'une seule méthode d'authentification, les deux méthodes étaient toujours activées pour le répertoire virtuel /rpc. Il a été établi que cela constituait une faille de sécurité et, dans Exchange 2007 SP1, vous pouvez désormais choisir de n'utiliser qu'une seule méthode d'authentification sur le répertoire virtuel /rpc. Bien que ce ne soit pas recommandé, vous pouvez également décider d'autoriser les authentifications de base et Windows intégrée.
Pour les nouvelles installations d'Exchange 2007 SP1, par défaut, la méthode d'authentification sur le répertoire virtuel /rpc sera identique à la méthode d'authentification que vous choisissez lorsque vous activez Outlook Anywhere à l'aide de l'Assistant Activer Outlook Anywhere. Vous pouvez modifier la méthode d'authentification par défaut pour les services Internet (IIS) en utilisant la cmdlet Set-OutlookAnywhere pour définir l'authentification Windows intégrée et/ou l'authentification de base. Une alternative à l'utilisation de l'Assistant Activer Outlook Anywhere consiste à utiliser la cmdlet Enable-OutlookAnywhere pour configurer Outlook Anywhere.
.gif "important") Important : |
|---|
| Après avoir procédé à une mise à niveau de la version RTM d'Exchange 2007 vers Exchange 2007 SP1, il est recommandé de spécifier manuellement une méthode d'authentification unique à l'aide de la cmdlet Set-OutlookAnywhere. |
Utilisation de plusieurs méthodes d'authentification pour Outlook Anywhere
Si vous déployez un serveur de pare-feu qui effectue une délégation de l'authentification, vous devez remplacer la méthode d'authentification sur le répertoire virtuel /rpc par une méthode différente de celle utilisée par le client. Par exemple, si vous déployez un serveur de pare-feu qui effectue une délégation de l'authentification, le serveur de pare-feu s'authentifie auprès du serveur d'accès au client à l'aide d'une authentification NTLM. En revanche, le client utilise une authentification de base. Dans cet exemple, le serveur de pare-feu est responsable de la délégation de l'authentification de l'utilisateur. C'est pourquoi vous configurez le répertoire virtuel /rpc dans les services Internet (IIS) pour utiliser l'authentification NTLM.
Bien que ce ne soit pas recommandé, dans Exchange 2007 SP1, vous pouvez configurer le répertoire virtuel /rpc dans les services Internet (IIS) pour utiliser les authentifications NTLM et de base. Une situation courante dans laquelle les deux méthodes d'authentification pourraient être utilisées est quand des services supplémentaires pour RPC sur HTTP sont transférés par proxy sur le serveur d'accès au client qui fournit l'accès à Outlook Anywhere. Dans cet exemple, chaque service requiert les deux méthodes d'authentification. Pour configurer le répertoire virtuel /rpc dans IIS pour utiliser les authentifications NTLM et de base, exécutez la commande suivante :
Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM
Utilisation de votre propre autorité de certification
Vous pouvez utiliser l'outil Autorité de certification de Microsoft Windows pour installer votre propre autorité de certification. Par défaut, les applications et les navigateurs Web n'approuvent pas votre autorité de certification racine lorsque vous installez votre propre autorité de certification. Quand un utilisateur tente d'établir une connexion dans Microsoft Office Outlook 2007 ou Outlook 2003 en utilisant Outlook Anywhere, cet utilisateur perd la connexion à Microsoft Exchange. L'utilisateur n'est pas averti. L'utilisateur perd la connexion lorsqu'une des conditions suivantes est remplie :
Le client n'approuve pas le certificat.
Le certificat ne correspond pas au nom auquel le client tente de se connecter.
La date de certificat est incorrecte.
Vous devez par conséquent vérifier que les ordinateurs clients approuvent l'autorité de certification. Si vous utilisez votre propre autorité de certification lorsque vous émettez un certificat à votre serveur d'accès au client, vous devez également vous assurer que le champ Nom commun ou Émis à sur le certificat contient le nom de l'URL du serveur d'accès au client qui est disponible sur Internet. Par exemple, le champ Nom commun ou Émis à doit contenir un nom ressemblant à mail.contoso.com. Ces champs ne peuvent pas contenir le nom de domaine complet interne de l'ordinateur. Par exemple, ces champs ne peuvent pas contenir un nom ressemblant à monordinateur.contoso.com.
Pour plus d'informations
Pour plus d'informations sur Outlook Anywhere, consultez les rubriques suivantes :