Utilisation d'ISA Server 2006 avec Exchange ActiveSync

Article
09/30/2014

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-02-20

Il est recommandé d'utiliser Internet Security and Acceleration (ISA) Server 2006 pour optimiser la sécurité des méthodes d'accès au client disponibles dans votre déploiement Microsoft Exchange Server 2007. Lorsque vous configurez l'accès au client Exchange ActiveSync avec ISA Server 2006, les communications entre les clients Exchange ActiveSync et le serveur Exchange sont transférées via un ordinateur ISA Server pour ajouter une couche supplémentaire de chiffrement SSL (Secure Sockets Layer).

Exchange ActiveSync permet aux professionnels de l'information d'accéder à leurs données de messagerie Microsoft Exchange à l'aide d'un périphérique mobile. Pour plus d'informations sur Exchange ActiveSync, consultez les rubriques suivantes :

Avantages de l'utilisation d'ISA Server 2006 avec Exchange ActiveSync

Le tableau suivant décrit plusieurs avantages liés à l'utilisation d'ISA Server 2006 pour protéger l'accès au client via Outlook Anywhere à votre déploiement Exchange.

Fonctions d'ISA Server 2006 pour Exchange ActiveSync

Fonction	Description
Les emplacements de serveur Exchange sont masqués	Lorsque vous publiez une application via ISA Server, vous protégez le serveur des accès externes directs car l'utilisateur ne peut pas afficher les nom et adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server. L'ordinateur ISA Server transmet ensuite la demande au serveur conformément aux conditions de la règle de publication du serveur.
Pontage SSL et inspection	Le pontage SSL offre une protection contre les attaques cachées dans les connexions chiffrées par SSL. Pour les applications Web SSL, une fois la demande du client reçue par ISA Server, elle est déchiffrée et inspectée, puis ISA Server met fin à la connexion SSL avec l'ordinateur client. Les règles de publication Web déterminent le mode de communication par ISA Server de la demande pour l'objet auprès du serveur Web publié. Si la règle de publication Web sécurisée est configurée pour transférer la demande via HTTPS (HTTP sécurisé), ISA Server démarre une nouvelle connexion SSL avec le serveur publié. L'ordinateur ISA Server est désormais un client SSL, aussi la réponse émanant du serveur Web publié doit-elle utiliser un certificat côté serveur.

Les emplacements de serveur Exchange sont masqués

Lorsque vous publiez une application via ISA Server, vous protégez le serveur des accès externes directs car l'utilisateur ne peut pas afficher les nom et adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server. L'ordinateur ISA Server transmet ensuite la demande au serveur conformément aux conditions de la règle de publication du serveur.

Pontage SSL et inspection

Le pontage SSL offre une protection contre les attaques cachées dans les connexions chiffrées par SSL. Pour les applications Web SSL, une fois la demande du client reçue par ISA Server, elle est déchiffrée et inspectée, puis ISA Server met fin à la connexion SSL avec l'ordinateur client. Les règles de publication Web déterminent le mode de communication par ISA Server de la demande pour l'objet auprès du serveur Web publié. Si la règle de publication Web sécurisée est configurée pour transférer la demande via HTTPS (HTTP sécurisé), ISA Server démarre une nouvelle connexion SSL avec le serveur publié. L'ordinateur ISA Server est désormais un client SSL, aussi la réponse émanant du serveur Web publié doit-elle utiliser un certificat côté serveur.

Conditions préalables au déploiement d'ISA Server 2006 pour Exchange ActiveSync

Lors du déploiement d'ISA Server 2006 pour sécuriser la communication entre les clients Exchange ActiveSync sur Internet et les ordinateurs Exchange 2007 sur lesquels le rôle serveur d'accès au client est installé, il est recommandé de vérifier ce qui suit :

L'authentification basée sur les formulaires n'est pas configurée sur le serveur d'accès au client Exchange. En cas d'utilisation d'ISA Server 2006 pour la publication de l'accès au client Exchange, il est recommandé de configurer l'authentification basée sur les formulaires pour l'ordinateur ISA Server uniquement.
Un certificat de serveur est installé sur le serveur d'accès au client Exchange. Ce certificat peut avoir été émis par une autorité de certification interne ou publique.
L'utilisation du protocole SSL est requise sur les répertoires virtuels d'accès au client Exchange.

Une fois ces paramètres vérifiés, vous pouvez configurer ISA Server 2006 pour fournir l'accès à Exchange ActiveSync à vos clients.

Procédure de déploiement d'ISA Server 2006 pour Exchange ActiveSync

Pour activer un canal chiffré entre l'ordinateur client et l'ordinateur ISA Server, vous devez commencer par installer un certificat de serveur sur l'ordinateur ISA Server. Ce certificat doit être émis par une autorité de certification publique car des utilisateurs sur Internet y accèderont. Si une autorité de certification privée est utilisée, le certificat racine émis par celle-ci doit être installé sur les ordinateurs requérant une connexion sécurisée (HTTPS) à l'ordinateur ISA Server.

Pour plus d'informations sur l'installation d'un certificat de serveur sur ISA Server 2006, consultez la page relative à la publication d'Exchange Server 2007 avec ISA Server 2006.

Une fois qu'un certificat de serveur est installé sur l'ordinateur ISA Server, vous pouvez exécuter l'Assistant Nouvelle règle de publication Exchange. L'exécution de l'Assistant Nouvelle règle de publication Exchange afin d'activer l'accès à Exchange ActiveSync implique les opérations suivantes :

Création d'une batterie de serveurs (facultatif) Lorsque vous avez plusieurs serveurs d'accès au client dans votre organisation, vous pouvez utiliser ISA Server pour assurer l'équilibrage de la charge entre ces serveurs. Les propriétés de la batterie de serveurs déterminent :
- les serveurs spécifiques inclus dans la batterie ;
- la méthode de vérification de la connectivité utilisée par ISA Server pour vérifier que les serveurs fonctionnent correctement.
Création d'un écouteur Web Lors de la création d'une règle de publication Web, vous devez spécifier un écouteur Web. Les propriétés de l'écouteur Web déterminent :
- les adresses IP et les ports sur les réseaux spécifiés que l'ordinateur ISA Server utilise pour écouter les demandes Web (HTTP ou HTTPS) ;
- les certificats de serveur à utiliser avec les adresses IP ;
- la méthode d'authentification à utiliser ;
- le nombre de connexions simultanées autorisées ;
- les paramètres d'authentification unique.
Création d'une règle de publication d'accès au client Web Exchange Lorsque vous publiez un serveur d'accès au client Exchange 2007 interne via ISA Server 2006, vous protégez le serveur Web des accès externes directs car l'utilisateur ne peut pas afficher les nom et adresse IP du serveur. L'utilisateur accède à l'ordinateur ISA Server. Puis, ce dernier transfère la demande au serveur Web interne conformément aux conditions de la règle de publication de votre serveur Web. Une règle de publication d'accès au client Web Exchange est une règle de publication Web contenant les paramètres par défaut qui conviennent pour l'accès au client Exchange.

Pour plus d'informations sur l'utilisation de l'Assistant Nouvelle règle de publication Exchange, consultez la page relative àMicrosoft ISA Server 2006.

Important :
L'application d'une mise à jour est requise pour ISA Server 2006 avant de pouvoir publier Exchange Server 2007. Pour plus d'informations sur cette mise à jour, consultez la page relative à la mise à jour pour la publication de Microsoft Exchange Server 2007 pour Internet Security and Acceleration (ISA) Server 2006.

Pour plus d'informations

Pour plus d'informations sur la configuration d'ISA Server 2006 pour l'accès au client, consultez la rubrique Configuration d'ISA Server 2006 pour l'accès au client Exchange.