Planification de serveurs d'accès au client

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2008-07-03

Cette rubrique offre une vue d'ensemble des aspects de planification liés au déploiement du rôle serveur d'accès au client sur un ordinateur exécutant Microsoft Exchange Server 2007. Le rôle serveur d'accès au client prend en charge les applications clientes Microsoft Outlook Web Access, Outlook Anywhere, Microsoft Entourage 2004 et Entourage 2008 pour Mac, et Microsoft Exchange ActiveSync, en plus des protocoles POP3 (Post Office Protocol version 3) et IMAP4 (Internet Message Access Protocol version 4rev1). Pour plus d'informations sur Entourage 2008 pour Mac, consultez le guide Microsoft Office 2008 de l'administrateur Mac.

Le rôle serveur d'accès au client prend également en charge plusieurs services clés, tels que le service de découverte automatique et les services Web Exchange.

Le rôle serveur d'accès au client doit être installé dans chaque site Active Directory de votre organisation contenant un serveur Exchange 2007 sur lequel le rôle serveur de boîtes aux lettres est installé. Si votre organisation ne dispose que d'un seul site Active Directory, le rôle serveur d'accès au client doit être installé sur au moins un ordinateur de votre organisation Exchange.

L'installation d'un serveur d'accès au client dans un réseau de périmètre n'est pas prise en charge. Le serveur d'accès au client doit être membre d'un domaine de service d'annuaire Active Directory et le compte d'ordinateur du serveur d'accès au client doit être membre du groupe de sécurité Active Directory Serveurs Exchange. Ce groupe de sécurité dispose d'un accès en lecture et en écriture à tous les serveurs Exchange de votre organisation. Les communications entre le serveur d'accès au client et les serveurs de boîtes aux lettres dans l'organisation sont effectuées sur RPC. En raison de ces exigences, l'installation d'un serveur d'accès au client dans un réseau de périmètre n'est pas prise en charge.

Vue d'ensemble des fonctions du rôle serveur d'accès au client

Le rôle serveur d'accès au client gère l'accès des clients à votre serveur Exchange 2007. Les applications clientes suivantes requièrent le rôle serveur d'accès au client :

• Exchange ActiveSync   Les utilisateurs peuvent établir un partenariat entre leur serveur Exchange et leur périphérique mobile à l'aide d'Exchange ActiveSync. Les utilisateurs peuvent synchroniser des messages électroniques, ainsi que des données de contacts, de tâches et de calendrier.

  Notes

  Exchange ActiveSync peut synchroniser des messages dans tous les dossiers de messagerie stockés sur le serveur Exchange, sauf pour les dossiers Brouillons et Boîte d'envoi.

• Outlook Web Access   Les utilisateurs peuvent accéder à leurs données de boîte aux lettres Exchange à partir d'un navigateur Web à l'aide d'Office Outlook Web Access. Les répertories virtuels d'Outlook Web Access sont stockés sur le serveur d'accès au client.

  Notes

  Outlook Web Access n'est pas pris en charge avec Pocket Internet Explorer sur un périphérique mobile.

  Notes

  Outlook Web Access dans Exchange 2007 est accessible via l'URL https://servername/owa. Pour accéder aux dossiers publics via Outlook Web Access dans Exchange 2007, utilisez l'URL https://servername/public. Outlook Web Access pour les versions précédentes d'Exchange est accessible via les URL https://servername/exchange, https://servername/exchweb et https://servername/public. Si vos utilisateurs ont des boîtes aux lettres sur un serveur Exchange 2000 ou Exchange 2003, ils doivent utiliser ces URL héritées.

• Microsoft Office Outlook   Même si Office Outlook 2007 accède aux données de messagerie Microsoft Exchange directement sur le serveur de boîtes aux lettres, il dépend du rôle serveur d'accès au client pour des services tels que le service de découverte automatique et le service de disponibilité.

• Outlook Anywhere   Outlook peut se connecter à votre boîte aux lettres Exchange sur Internet sans utiliser de connexion VPN avec votre réseau si vous avez activé Outlook Anywhere. Outlook Anywhere était précédemment appelé RPC sur HTTP.

• Clients POP3 et IMAP4   Si vos utilisateurs se connectent à Exchange 2007 à l'aide d'un client POP3 ou IMAP4, leurs connexions traversent le serveur d'accès au client. Lors de l'installation d'Exchange 2007, tous les services requis pour POP3 et IMAP4 sont installés. Toutefois, ils sont désactivés. Pour utiliser POP3 ou IMAP4 pour vous connecter à Exchange 2007, vous devez activer le service POP3 ou le service IMAP4.

Outre la fourniture d'un point de connexion pour les applications clientes, le rôle serveur d'accès au client prend en charge les services suivants :

• service de découverte automatique   Exchange 2007 inclut un nouveau service Microsoft Exchange nommé service de découverte automatique. Le service de découverte automatique configure des ordinateurs clients qui exécutent Outlook 2007. Le service de découverte automatique peut également configurer les périphériques mobiles pris en charge. Le service de découverte automatique permet aux clients Outlook 2007 connectés à votre environnement de messagerie Exchange d'accéder aux fonctions Microsoft Exchange. Le service de découverte automatique doit être correctement déployé et configuré pour que les clients Outlook 2007 se connectent automatiquement aux fonctions Microsoft Exchange, telles que le carnet d'adresses en mode hors connexion, le service de disponibilité et la messagerie unifiée. En outre, ces fonctions Exchange doivent être correctement configurées pour offrir un accès externe aux clients Outlook 2007. Pour plus d'informations, consultez la rubrique Procédure de configuration des services Exchange pour le service de découverte automatique.

• Services Web Exchange   Les services Web Exchange offrent les fonctionnalités permettant aux applications clientes de communiquer avec le serveur Exchange. Les services Web Exchange permettent d'accéder aux données disponibles via Outlook. Les clients des services Web Exchange peuvent intégrer des données d'Outlook dans des applications professionnelles (LOB). Les applications Lob qui utilisent les services Web Exchange peuvent utiliser le service de découverte automatique pour obtenir des paramètres de profil pour un client particulier.

Présentation des différences entre un serveur frontal et un serveur d'accès au client

Les versions antérieures d'Microsoft Exchange prenaient en charge un serveur frontal au sein d'une organisation. Un ordinateur exécutant le rôle serveur d'accès au client Exchange 2007 est très différent d'un serveur frontal Exchange 2003. Dans les versions antérieures d'Microsoft Exchange, le serveur frontal acceptait les demandes émanant des clients et les transmettait au serveur principal approprié pour traitement. Cela augmentait le nombre de sessions simultanées possibles et réduisait la charge sur le serveur principal qui hébergeait les boîtes aux lettres. Un serveur frontal se trouvait souvent dans un réseau de périmètre entre les pare-feu externe et interne. L'un des principaux avantages liés à l'utilisation d'un serveur frontal était la possibilité de n'exposer qu'un seul espace de noms cohérents lorsque plusieurs serveurs principaux étaient présents. Sans un serveur frontal, les utilisateurs d'Outlook Web Access auraient dû connaître le nom du serveur stockant leur boîte aux lettres. En incluant un serveur frontal, les utilisateurs pouvaient accéder à une URL unique pour Outlook Web Access. Le serveur frontal redirigeait via proxy la demande de l'utilisateur vers le serveur principal approprié.

Dans Exchange 2007, le rôle serveur d'accès au client était spécialement conçu pour optimiser les performances du rôle serveur de boîtes aux lettres en assurant une bonne partie du traitement précédemment effectué sur les serveurs principaux. Les processus de logique métier, tels que les stratégies de boîtes aux lettres Exchange ActiveSync et la segmentation Outlook Web Access, sont désormais exécutés sur le serveur d'accès au client au lieu du serveur de boîtes aux lettres. Comme le rôle serveur de boîtes aux lettres dépend du rôle serveur d'accès au client pour la gestion des connexions clientes entrantes, chaque site Active Directory disposant d'un serveur de boîtes aux lettres doit également avoir un serveur d'accès au client. Les deux rôles peuvent s'exécuter sur un seul ordinateur physique. Si vous avez plusieurs sites Active Directory et ne voulez qu'une seule URL externe pour Outlook Web Access ou Exchange ActiveSync, vous devez configurer vos serveurs d'accès au client pour rediriger via proxy.

Un ordinateur Exchange 2007 exécutant le rôle serveur d'accès au client utilise le protocole RPC Exchange pour se connecter au serveur de boîtes aux lettres qu'il dessert. Vous devez utiliser une connexion à bande passante élevée et à latence faible entre le serveur d'accès au client et le serveur de boîtes aux lettres. La largeur de bande minimale recommandée est de 100 Mbits/s, mais il faut envisager des connexions à 1 Gbits/s pour les centres de données d'entreprise.

Considérations sur la planification de topologies pour Exchange ActiveSync

Exchange ActiveSync est un protocole de synchronisation Microsoft Exchange optimisé pour fonctionner avec des réseaux à faible bande passante et latence élevée. Exchange ActiveSync est basé sur HTTP et XML, et permet à des périphériques tels que des téléphones cellulaires avec navigateur intégré ou des appareils de type Microsoft Windows Mobile d'accéder aux informations d'une organisation sur un serveur exécutant Microsoft Exchange. Exchange ActiveSync permet aux utilisateurs de périphériques mobiles d'accéder à leurs messages électroniques, calendrier, contacts et tâches, tout en continuant à pouvoir accéder à ces informations tandis qu'ils travaillent hors connexion.

Lors du déploiement d'Exchange ActiveSync, tenez compte des points suivants :

• Périphériques Exchange ActiveSync   Plusieurs périphériques prennent en charge Exchange ActiveSync. Ces périphériques sont les appareils de type Windows Mobile et d'autres périphériques tiers. Pour plus d'informations sur les périphériques qui prennent en charge Exchange ActiveSync, consultez la rubrique Périphériques ActiveSync et fonctions compatibles.

• Plans de données de périphérique   Exchange ActiveSync utilise un processus appelé Direct Push pour assurer la synchronisation des données de messagerie avec des périphériques mobiles. Avec Direct Push, les données sont échangées sur des connexions cellulaires. Si les plans de données de vos utilisateurs sont facturés à la minute ou au Mo, le coût mensuel risque d'augmenter rapidement. Pour utiliser Direct Push avec Exchange ActiveSync, vos utilisateurs doivent disposer d'un plan de données illimité auprès de leur opérateur cellulaire.

  Notes

  Direct Push ne fonctionne pas sur une connexion Internet Wi-Fi, telle qu'une connexion 802.11b. Direct Push ne fonctionne que sur une connexion de données cellulaire.

• Sécurité Exchange ActiveSync   Avant de déployer Exchange ActiveSync, vous devez avoir mis en place un plan de sécurité. Il est fortement recommandé d'utiliser SSL (Secure Sockets Layer) avec Exchange ActiveSync. Par défaut, lorsque vous installez Exchange 2007, Exchange ActiveSync est activé pour vos utilisateurs. Votre répertoire virtuel Exchange ActiveSync est configuré pour utiliser l'authentification de base avec SSL. Vous pouvez configurer le répertoire virtuel Exchange ActiveSync pour utiliser l'authentification Windows intégrée ou une authentification basée sur des certificats.

  Outre la configuration de l'authentification, il est recommandé de déployer des stratégies de boîte aux lettres Exchange ActiveSync pour contrôler une série de paramètres pour vos utilisateurs mobiles et leurs périphériques. Vous pouvez exiger un mot de passe, autoriser ou bloquer les téléchargements de pièce jointe, exiger le chiffrement du périphérique, spécifier le nombre maximal d'échec de mot de passe et activer la récupération de mot de passe. Pour plus d'informations sur les stratégies de boîte aux lettres Exchange ActiveSync, consultez la rubrique Présentation des stratégies de boîte aux lettres Exchange ActiveSync.

• Migration d'Exchange Server 2003 vers Exchange Server 2007   Si vous opérez une migration d'Exchange Server 2003 vers Exchange 2007, il est recommandé de commencer par procéder à une mise à niveau de vos serveurs frontaux vers le rôle serveur d'accès au client. Pour qu'Exchange ActiveSync fonctionne correctement, vous devez activer l'authentification Windows intégrée sur le serveur principal Exchange Server 2003 . Après avoir opéré la migration de tous les serveurs frontaux vers Exchange 2007, vous pouvez procéder à la migration de vos serveurs principaux vers des serveurs de boîtes aux lettres Exchange 2007.

Considérations sur la planification d'Outlook Web Access

Outlook Web Access utilise un navigateur Internet pour donner accès aux informations d'Exchange. Outlook Web Access offre une interface puissante et intuitive qui ressemble à Outlook 2007 sans qu'il soit nécessaire d'installer Outlook 2007 sur l'ordinateur. Lorsque vous déployez votre infrastructure de messagerie Exchange pour un accès externe via Internet, les utilisateurs peuvent utiliser tout ordinateur, où qu'il se trouve, disposant d'un navigateur Internet prenant en charge les formats HTML 3.2 et ECMA (European Computer Manufacturers Association). De tels navigateurs sont Internet Explorer, Mozilla Firefox 1.8, Opera 7.54, Safari 1.2 et d'autres.

Outlook Web Access prend en charge la plupart des fonctions d'Outlook 2007. Par défaut, toutes les fonctionnalités client sont activées. Pour plus d'informations sur les fonctionnalités client disponibles dans Outlook Web Access, consultez la rubrique Fonctionnalités client dans Outlook Web Access.

Vous pouvez limiter les fonctionnalités dont disposent les utilisateurs via Outlook Web Access, en fonction des besoins de sécurité et de gestion des informations de votre organisation. Pour plus d'informations sur l'activation et la désactivation de fonctionnalités à l'aide de la console de gestion Exchange et de l'environnement de ligne de commande Exchange Management Shell, consultez la rubrique Gestion d'Outlook Web Access.

Outlook Web Access pour Exchange 2007 apporte plusieurs améliorations à la sécurité. Vous pouvez configurer SSL sur le répertoire virtuel d'Outlook Web Access en plus de l'authentification standard et de l'authentification basée sur les formulaires. Vous pouvez configurer les méthodes d'authentification suivantes pour Outlook Web Access à l'aide de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell.

• Méthodes d'authentification standard   Les méthodes d'authentification standard incluent l'authentification Windows intégrée, l'authentification Digest et l'authentification de base. Pour plus d'informations sur la configuration des méthodes d'authentification standard pour Outlook Web Access, consultez la rubrique Configuration des méthodes d'authentification standard pour Outlook Web Access.

• Authentification basée sur les formulaires   L’authentification basée sur les formulaires crée une page de connexion pour Outlook Web Access. L’authentification basée sur les formulaires utilise des cookies pour stocker les informations d'identification chiffrées d'ouverture de session des utilisateurs et les informations de mot de passe. Pour plus d'informations sur l'authentification basée sur des formulaires, consultez la rubrique Procédure de configuration d'une authentification basée sur des formulaires pour Outlook Web Access.

  Notes

  Si vous configurez plusieurs méthodes d'authentification, les services Internet (IIS) utilisent d’abord la méthode la plus sécurisée. Les services Internet IIS effectuent une recherche dans la liste de protocoles d'authentification disponibles en commençant par le plus sécurisé, jusqu’à trouver une méthode d'authentification prise en charge par le client et le serveur.

Par défaut, lorsque vous installez le rôle serveur d'accès au client sur un serveur Exchange 2007, quatre répertoires virtuels Outlook Web Access sont créés dans le site Web des Services Internet (IIS) par défaut sur le serveur Exchange. Par défaut, ces répertoires virtuels et le site Web par défaut sont configurés pour exiger l'utilisation de SSL. Pour plus d'informations sur la configuration de SSL pour Outlook Web Access, consultez la rubrique Procédure de configuration de répertoires virtuels Outlook Web Access en vue de l'utilisation de SSL.

Si vous voulez utiliser le protocole SSL pour sécuriser d'autres sites Web ou répertoires virtuels Outlook Web Access, vous devez le faire manuellement. Pour configurer un site afin d'utiliser le protocole SSL, vous devez obtenir un certificat et configurer le site Web ou le répertoire virtuel pour requérir l'utilisation du protocole SSL à l'aide de ce certificat.

Considérations sur la planification d'Outlook Anywhere

Outlook Anywhere permet aux utilisateurs exécutant Outlook 2007 ou Outlook 2003 de se connecter à votre infrastructure de messagerie Microsoft Exchange depuis Internet via la technologie de réseau Outlook Anywhere.

Après avoir installé le rôle serveur d'accès au client sur un ordinateur exécutant Exchange Server 2007, vous pouvez activer Outlook Anywhere pour votre organisation en utilisant l'Assistant Activer Outlook Anywhere sur tout serveur d'accès au client de l'organisation. Il est recommandé d'activer au moins un serveur d'accès au client pour l'accès à Outlook Anywhere dans chaque site que vous gérez.

Avant de planifier le déploiement d'Outlook Anywhere, vous devez avoir lu les rubriques suivantes : 

• Vue d'ensemble d'Outlook Anywhere

• Recommandations concernant Outlook Anywhere

• Livre blanc : L'évolutivité d'Outlook Anywhere avec Outlook 2007, Outlook 2003 et Exchange

Considérations sur la planification de POP3 et IMAP4

Exchange 2007 prend en charge les clients qui utilisent les protocoles POP3 et IMAP4. Toutefois, par défaut, les services POP3 et IMAP4 ne sont pas démarrés dans Exchange 2007. Pour utiliser ces protocoles, vous devez commencer par démarrer les services POP3 et IMAP4 sur le serveur d'accès au client.

Pour administrer des services POP3 et IMAP4 dans la version d'origine (RTM) de Microsoft Exchange Server 2007, vous devez exécuter toutes vos tâches d'administration dans l'environnement de ligne de commande Exchange Management Shell. Dans Exchange 2007 Service Pack 1 (SP1), vous pouvez gérer les paramètres POP3 et IMAP4 à l'aide de la console de gestion Exchange.

Pour plus d'informations sur la gestion des services POP3 et IMAP4, consultez la rubrique Gestion des protocoles POP3 et IMAP4.

Lorsque vous déployez des serveurs d'accès au client pour prendre en charge des clients POP3 et IMAP4, vous devez tenir compte de certaines limitations physiques et de sécurité si vous utilisez des versions antérieures d'Microsoft Exchange, telles qu'Exchange Server 2003. La principale limitation physique au déploiement de POP3 et d'IMAP4 est que la communication intersite entre les serveurs d'accès au client et les serveurs de boîtes aux lettres dans des sites Active Directory distincts n'est pas prise en charge. Vous devez vous assurer que les clients se connectent au serveur d'accès au client situé dans le même site que le serveur de boîtes aux lettres contenant leur boîte aux lettres.

Considérations sur la planification des services Web Exchange 2007

Un serveur d'accès au client Exchange 2007 prend en charge deux services Web : les services Web Exchange et le service de découverte automatique.

Les services Web Exchange donnent accès aux éléments suivants :

• informations de disponibilité, suggestions de réunion et fonctionnalité de notification d'absence du bureau ;

• éléments de calendrier, de messages, de contacts, de dossiers et de tâche de la boîte aux lettres d'un utilisateur ;

• notifications sur les événements qui se produisent dans la boîte aux lettres d'un utilisateur ;

• fonctionnalités de synchronisation pour synchroniser des clients avec la boîte aux lettres qui leur est associée ;

• résolution de nom ambigu ;

• extension de la liste de distribution.

Le service de découverte automatique permet à des clients tels qu'Outlook, à des applications personnalisées ainsi qu'à certains périphériques mobiles d'obtenir des paramètres pour une série de services tels que le service de disponibilité, la messagerie unifiée et le carnet d'adresses en mode hors connexion. Les clients tentent de se connecter au service de découverte automatique via deux URL basées sur l'adresse SMTP de l'utilisateur. Les deux URL sont les suivantes :

• https://autodiscover.<domaine>/autodiscover/autodiscover.xml

• https://<domaine>/autodiscover/autodiscover.xml

Outlook soumet une requête XML qui inclut l'adresse de messagerie de l'utilisateur. Le service de découverte automatique renvoie des informations de configuration sur l'utilisateur en plus des URL et des paramètres utilisés pour se connecter aux divers services. Les services Web Exchange fournissent également une API développeur permettant aux clients et partenaires d'écrire leurs propres applications personnalisées. Ces applications personnalisées peuvent interagir avec des données de boîte aux lettres Exchange.

Planification de la sécurité des serveurs d'accès au client

Il y a de nombreux facteurs à prendre en considération lors de la planification d'un environnement de messagerie sécurisé. Des facteurs tels que les pièces jointes aux messages électroniques et l'accès aux données d'entreprise internes et externes font qu'il est important d'envisager plusieurs précautions de sécurité avant de déployer l'environnement de messagerie. Il est recommandé d'utiliser un chiffrement SSL pour toutes les fonctions d'accès au client, y compris Outlook Web Access et Outlook Anywhere. Il est en outre recommandé de sélectionner une méthode d'authentification telle que l'authentification Windows intégrée au lieu de l'authentification de base. L'authentification de base transmet des noms d'utilisateur et des mots de passe en texte clair. Le choix d'une autre méthode d'authentification renforce la sécurité de vos communications. Vous pouvez personnaliser chaque fonctionnalité d'accès au client pour qu'elle utilise des mécanismes de sécurité distincts.

Une méthode pour renforcer la sécurité de votre environnement de messagerie consiste à déployer une solution de serveur pare-feu avancée telle que Microsoft Internet Security and Acceleration (ISA) Server 2006. ISA Server 2006 vous aide à élever le niveau de sécurité et peut améliorer les fonctionnalités client via de nouvelles fonctions conçues pour Exchange 2007 et ISA Server 2006. Pour plus d'informations sur l'utilisation d'ISA Server 2006 avec Exchange 2007, consultez la rubrique Configuration d'ISA Server 2006 pour l'accès au client Exchange.