Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for the ‘Publication-2007’ Category

Tmg, Répartiteur de charges, Exchange 200X : Problématiques de basculement

Posted by Teruin laurent le septembre 23, 2010


Dans un article précédent (http://unifiedit.wordpress.com/2010/08/18/exchange-2010-plaidoyer-pour-les-repartiteurs-de-charges-materiels/), j’avais préconisé l’usage de répartiteur matériel. Je vous rassure je n’ai pas changé d’avis. Mais je me permets de revenir vers vous vis-à-vis d’une problématique que vous allez rencontrer si vous envisager de mettre en place des HLB (Répartiteurs de charge matériels) vers des serveurs reverse proxy TMG, ISA ou autre. Dans le cas où vous envisagez de mettre un site de secours (DRP) comme le précise la figure suivante plusieurs règles seront à établir.


Dans un premier temps, il faudra définir votre site Actif et votre site passif et définir les règles de basculement. Dans la plupart des cas on paramétrera les HLB pour qu’ils vérifient la présence du service de publication Exchange via des ports classiques comme 80/TCP et 443/TCP sur les serveurs Reverse Proxy. Dans le cas où ces ports ne répondent pas, alors le HLB du site primaire devra basculer le flux vers le second serveur ISA/TMG du site distant. Si vous n’allez pas plus loin vous vous apercevrez rapidement que votre HLB ne basculera jamais les flux vers le site de secours pour la bonne et simple raison que même si les services CAS sont arrêtés les serveurs proxy continuent à écouter sur les ports 80/443 et par conséquent votre HLB ne détectera pas la panne. Il vous faudra donc allez plus loin et analyser le type de page retournée pour vérifier que celle-ci correspond bien à celle d’un OWA. Mais pour cela ….. il faudra vous connectez via le HLB avec un compte AD autorisé.
Par contre la bonne question à vous poser c’est quel type d’authentification votre HLB supporte-t-il ? Car comme vous l’aurez deviné l’authentification que va vous proposer votre ISA ou TMG Server est une authentification de type FBA (Authentification par formulaire) .Un beau formulaire de type html dans lequel votre HLB devra rentrer ces coordonnées pour vérifier si votre serveur CAS répond convenablement. Je sais que la crème des Load Balancer savent le faire (Ex : F5 BigIP), mais avant de vous lancer dans l’achat effréné d’une solution bon marché mieux vaut vérifier.
Une autre solution consiste à monitorer directement le serveur CAS via le HLB. Cela impliquera de mettre votre HLB dans plusieurs zones (DMZ/LanInterne) et de conditionner le basculement vers le serveur TMG/ISA/Reverseproxy de secours a la non réponse du serveur CAS du site primaire. Ça aussi il faudra vérifier que cela est possible dans la solution HLB envisagée.
Enfin il existe une troisième solution si votre Load Balancer ne sait pas faire ce genre d’exercices c’est de confier le basculement de vos services CAS à votre reverse proxy ISA/TMG en les déclarant via une ferme.

Conclusion : le choix d’un HLB doit se faire non pas uniquement sur le prix mais également vis-à-vis de ce vous escomptez lui faire faire.
Cordialement
Laurent Teruin
Questions / Réactions : unifiedit@hotmail.fr

Posted in 1-EXCHANGE 2010, Cas-2010, EXCHANGE 2007, Forefront TMG, Publication-2007, Publication-2010 | Leave a Comment »

Publication Exchange avec ISA Server 2006

Posted by David PEKMEZ le décembre 21, 2009


J’ai écrit un article concernant la publication Exchange Server 2007 avec ISA Server 2006, publié sur ce site http://unifiedit.wordpress.com/2008/08/15/publication-exchange-2007-avec-isa-server-2006-%e2%80%93-la-solution-complete/

Avec la nouvelle version d’Exchange qui diffère d’Exchange Server 2007, la publication est un peu différente, ceci est notamment dû aux répertoires virtuels qui ont soit apparus soit disparus.

ISA Server présente l’avantage de simplifier la publication des services de messagerie à l’aide d’assistants, cependant ISA Server 2006 ne connait pas Exchange Server 2010 et ne propose donc pas d’assistant pour les paramétrages spécifiques d’Exchange Server 2010.

Je vous propose de lire cet article très complet de l’équipe produit présentant le paramétrage nécessaire lors de la publication d’Exchange Server 2010 avec ISA Server 2006 et les étapes à suivre lors de la migration d’Exchange Server 2003 / Exchange Server 2007 vers Exchange Server 2010 lorsque les services sont publiés vers Internet.

http://msexchangeteam.com/archive/2009/12/17/453625.aspx

Bonne lecture !

Posted in Publication-2007 | Leave a Comment »

Comment configurer une Autorité de certification pour accepter un attribut SAN d’une demande de certificat

Posted by David PEKMEZ le août 17, 2008


Par défaut une autorité de certification configurée sur un ordinateur Windows Server 2003 ou 2008 n’émet pas de certificats qui contiennent l’extension SAN. Si les entrées SAN sont incluses dans la demande de certificat, ces entrées sont omises

À partir du certificat émis. Pour vous modifier ce comportement, exécuter les commandes suivantes à une invite de commandes

Sur le serveur qui exécute le service Autorité de certification. Appuyez sur ENTRÉE après chaque ligne.

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

Dans la demande de certificat, dans ATTRIBUTE entrez les différents noms de certificat sous cette forme

san:dns=dns.name[&dns=dns.name]

Exemple:

san:dns=intra.net&dns=mail.intra.net

ou par la cmdlets Exchange New-ExchangeCertificate avec le paramètre -DomainName

Posted in Certificat-2007, Certificat-2010, Publication-2007, Publication-2010, Sécurité-2007, Sécurité-2010 | Tagué: , , | Leave a Comment »

Publication Exchange 2007 avec ISA Server 2006 – la solution complète

Posted by David PEKMEZ le août 15, 2008


 

Introduction

 

Cet article présente une solution sécurisée de publication de tous les services d’Exchange 2007 à l’aide d’ISA server 2006, avec une seule adresse IP publique.

 

Environnement

 

L’environnement choisi pour cet article est le suivant :


Nom 

Role 

Configuration IP 

Note 

SRVDC01 

DC / MBX 

192.168.1.1 

 

SRVCAS01 

CAS / HUB 

192.168.1.2 

 

SRVISA01 

ISA 2006 SP1 

192.168.1.100

10.0.0.1 (Externe) 

Le serveur ISA n’est pas dans le domaine

XP 

Client XP 

192.168.1.5

10.0.0.5 (externe) 

 

 

Pourquoi ISA Server ?

 

ISA Server est un firewall applicatif, permettant de publier de façon sécurisée les services de messagerie Exchange.

Contrairement à un firewall matériel, ISA Server peut inspecter le trafic SSL et ainsi vérifier les communications entre les clients et les serveurs publiés.

De plus ISA permet de sécuriser l’accès aux services publiés en pré-authentifiant les clients, évitant ainsi les connections directes non authentifiés entre les clients et les services publiés.

ISA Server Membre du Domaine ou pas ?

 

Grande question que celle de l’appartenance au domaine d’ISA Server, chacune des méthodes ayant ses détracteurs, un excellent article présente les avantages et désavantages des différentes solutions sur le site Isaserver.org à l’adresse suivante : http://www.isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html

Maintenant à vous de faire votre propre choix !

Les deux méthodes présentant certains avantages, par exemple, si vous voulez utiliser le protocole Kerberos, votre serveur ISA devra être membre du domaine Active Directory, idem dans le cas de l’utilisation de certificats clients.

Dans cet article, je présente la publication via ISA 2006 n’étant pas membre du domaine Windows, et en implémentant une authentification LDAP.

Les méthodes de pré-authentification d’ISA

 

Voici les méthodes disponibles de pré-authentification si vous ne désirez pas que votre serveur ISA soit intégré au domaine Windows :

  • Radius

     

  • LDAP

    L’authentification LDAP présente quelques avantages par rapport à Radius

     

    • Pas d’installation de composants supplémentaire, l’authentification se fait directement entre ISA Server et les services Active Directory

       

    • L’authentification peut s’appuyer sur des groupes Active Directory, contrairement aux Services Radius

     

ISA Server présente bien d’autres avantages tels que la délégation d’authentification par exemple, permettant à ISA de répondre aux demandes d’authentification des serveurs internes, en répondant avec les informations obtenues de la part des utilisateurs au moment de la pré-authentification ; Evitant ainsi au client de s’authentifier plusieurs fois.

ISA permet aussi de mettre en place une fonctionnalité de Single Sign-On permettant d’accéder à plusieurs ressources du LAN (OWA et MOSS / SharePoint par ex) en ne s’authentifiant qu’une seule fois.

 

Préparation de l’infrastructure Exchange

 

Installation du composant RPC over http Proxy

 

Tout d’abord nous allons installer le composant « RPC Over http Proxy » nécessaire sur le serveur CAS

Si votre serveur CAS est un Serveur Windows 2008, vous devez désactiver le protocole IPV6 sur ce serveur.

Un extrait de http://msexchangeteam.com/comments/449053.aspx:

DSProxy and IPv6

  1. Unselect IPv6 from the properties of your NIC (on the RPC-over-HTTP Proxy machine); that will force the RPC-over-HTTP Proxy to use IPv4 to talk to Exchange and everything will be fine. In most cases, this step suffices. If it does not, continue with steps 2 and 3.
  2. Under the regkey HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters, add a 32 bit DWORD with the name Disabled Components and value 0xFF
  3. Reboot the machine

If you’re in a single-server scenario where the RPCProxy and Mailbox are on the same machine, then the above does not work since the loopback interface still uses IPv6. In this case, you need to make the following changes in the system32\drivers\etc\hosts file:

  1. Comment out the line ":::1    localhost"
  2. Add the following two lines:
       <IPv4 address>    <hostname of the computer>
       <IPv4 address>    <FQDN of the computer>

 

Préparation de PKI Windows

 

Ensuite sur le serveur CAS, nous allons créer un certificat de type SAN (Subject Alternative Name) permettant d’affecter plusieurs noms différents à un même certificat.

Pour cela, je dois faire une modification sur ma PKI Windows.

Pour de plus amples informations sur les SAN et les PKI Windows

http://support.microsoft.com/kb/931351/en-us

Aller sur votre serveur PKI et lancez ces commandes :

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

 

 

Demande de certificat

 

Il est ensuite possible de créer une demande de certificats à partir de notre serveur CAS via la commande suivante :

New-ExchangeCertificate -GenerateRequest -Path c:\Cert.req -KeySize 1024 -SubjectName "c=FR, s=France, l=Paris, o=INTRA, cn=mail.intra.net" -DomainName mail.intra.net, srvcas01.intra.net, srvcas01 -IncludeAutoDiscover -PrivateKeyExportable $True

Note : Le paramètre –IncludeAutoDiscover n’est disponible que si la demande est faite à partir d’un serveur CAS

Une fois le fichier de demande créé, nous allons nous connecter à notre PKI afin de nous faire délivrer le certificat

Vous pouvez vous connecter à votre PKI via l’URL htpp://NomServeur/certsrv

  • Cliquez sur « Request a certificate »

 

  • Cliquer sur « Advanced Certificate Request »

 

  • Cliquez sur « Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file »

Ensuite ouvrez le fichier créé lors de la generation de la demande de certificate,

Dans notre exemple « C:\Cert.req »

  • Sélectionnez les lignes de code (sans la première ligne et sans la dernière, comme ci-dessus,

     

  • Collez le code dans la page web et sélectionnez un Template de type « Web Server »

 

  • Sélectionnez « Download Certificate » et enregistrez le certificat en local (dans cet exemple C:\certnew.cer)

Importation et activation du certificat

 

Maintenant que nous avons notre certificat, nous allons l’importer et l’activer pour les services IIS

Import-ExchangeCertificate "C:\certnew.cer" | Enable-ExchangeCertificate -Services IIS

Une fois installé vous pouvez aller vérifier votre certificat en ouvrant une console MMC et en ajoutant le snap-in Certificat pour le compte ordinateur

Puis naviguez dans les répertoires

Certificates (Local Computer) \ Personnal \ Certificates

 

Le certificat doit ressembler à ceci

 

Nous voyons ci-dessus tous les noms affectés à ce certificat.

Méthodes d’authentification

Outlook Web Access

Nous devons configurer notre serveur CAS en utilisant une authentification de base, comme ci-dessous avec les propriétés de l’OWA

 

Configurer le Répertoire virtuel OWA pour les URL suivantes :

Interne : https://nomduserveur/owa

Externe : https://mail.domain.com/owa

Active Sync

Configurer de la même façon le Répertoire Active Sync

URL Interne : https://NomduServeurCAS/Microsoft-Server-ActiveSync

URL Externe: https://Mail.domain.com/Microsoft-Server-ActiveSync

  • Cochez la case correspondant à l’authentification de base.

Offline Adress Book

 

Paramétrez les URL comme ci-dessous

Interne : https://NomDuServeurCAS/OAB

Externe : https://mail.domain.com/OAB

 

Activation de la fonctionnalité Outlook Anywhere

 

Pour activer la fonctionnalité Outlook Anywhere, sélectionnez votre serveur CAS dans la console Exchange et cliquez sur Enable Outlook Anywhere


  • Entrez le nom qui sera utilisé par les clients pour se connecter (Mail.domain.com) et sélectionnez l’authentification de base.

     

Déclaration des URL des services Web Exchange

Un script téléchargeable sur http://www.exchangeninjas.com/set-allvdirs permet de définir toutes les URL internes et externes de tous les services web Exchange, pour chaque serveur CAS.

Le script nous demande quel nom sera utilisé pour accéder aux services web Exchange puis nous demande de valider pour chaque service les URL d’accès,

Je pars du principe que tous les services internes utilisent le nom fqdn du serveur https://nomduServeurCAS/Serviceweb

Je pars du principe que tous les services externes utilisent le nom défini pour les URL externes https://mail.domain.com/Serviceweb

Pour chaque service, le script demande d’abord l’URL Interne puis l’URL Externe

 

Base name of virtual directory (e.g. mail.company.com): mail.intra.net

Setting Autodiscover Service Connection Point

Looking at Server: SRVCAS01

Current SCP Value: https://srvcas01.intra.net/autodiscover/autodiscover.xml

New SCP Value: https://mail.intra.net/autodiscover/autodiscover.xml

Set this Value (Y/N): n

Setting Exchange Web Services Virtual Directories

Looking at Server: EWS (Default Web Site)

Current Internal Value: https://srvcas01.intra.net/EWS/Exchange.asmx

New Internal Value: https://mail.intra.net/EWS/Exchange.asmx

Set this Value (Y/N): n

Looking at Server: EWS (Default Web Site)

Current External Value: https://srvcas01.intra.net/EWS/Exchange.asmx

New External Value: https://mail.intra.net/EWS/Exchange.asmx

Set this Value (Y/N): y

Setting OAB Virtual Directories

Looking at Server: OAB (Default Web Site)

Current Internal Value: https://srvcas01.intra.net/OAB

New Internal Value: https://mail.intra.net/OAB

Set this Value (Y/N): n

Looking at Server: OAB (Default Web Site)

Current External Value: https://mail.intra.net/OAB

New External Value: https://mail.intra.net/OAB

Set this Value (Y/N): y

Setting UM Virtual Directories

Looking at Server: UnifiedMessaging (Default Web Site)

Current Internal Value: https://srvcas01.intra.net/UnifiedMessaging/Service.asmx

New Internal Value: https://mail.intra.net/UnifiedMessaging/Service.asmx

Set this Value (Y/N): n

Looking at Server: UnifiedMessaging (Default Web Site)

Current External Value: https://srvcas01.intra.net/UnifiedMessaging/Service.asmx

New External Value: https://mail.intra.net/UnifiedMessaging/Service.asmx

Set this Value (Y/N): y

Note: bien vérifier que tous les services sont bien en HTTPS et pas HTTP (OAB)

Exportation du Certificat

 

Nous devons maintenant exporter le certificat et sa clé privée afin de l’importer sur le serveur ISA

Faite un clic droit sur le certificat et sélectionnez « export »

  • Cliquez sur « Next »

     

  • Cliquez sur « Next »

     

  • Cliquez sur « Next »

     

  • Entrez un mot de passe et cliquez sur « Next »

     


  • Entrez le chemin d’export du certificat et cliquez sur « Next »

     

  • Cliquez sur « Finish »

 

Configuration de ISA Server 2006

 

Cette seconde partie de cet article présente la configuration du serveur ISA,

Le serveur Windows n’est pas dans la domaine Active Directory, nous allons voir

L’importation du certificat web, l’importation du certificat racine de l’autorité de certificat Windows, la création du listener web ainsi que la création des règles de publication Exchange 2007.

Importation du certificat sur le serveur ISA

 

  • Ouvrir une MMC Certificat pour l’ordinateur local sur le serveur ISA après y avoir copié le certificat et lancer le wizard d’importation

     

  • Sélectionnez le certificat et cliquez sur « Next »

     

  • Entrez le mot de passe utilisé lors de l’exportation sur le serveur CAS puis cliquez sur « Next »

     

  • Sélectionnez  « Automatically select the certificate store based on the type of the certificate » et cliquez sur « Next »

 

 

  • Cliquez sur « Finish »

Importation du certificat ROOT de l’autorité de certification

 

Téléchargement du Certificat ROOT

 

Maintenant que nous avons importé notre certificat Web, nous devons installer le certificat Racine de notre autorité de certification interne afin de pouvoir utiliser notre certificat Web pour la publication des services Exchange.

Nous allons tout d’abord télécharger le certificat (vous devrez sous doute authoriser explicitement le traffic http / https entre le serveur ISA et votre autorité de certification pour pouvoir faire la demande de certificat)


 

  • Cliquez sur « Download a CA Certificate …. »


  • Cliquez sur « Download CA Certificate » puis choisissez l’emplacement de téléchargement du certificat

 

 

Import du certificat ROOT

 

Pour cela, il nous faut nous positionner dans la même MMC Certificate sur le Magasin « Trusted Root Certification Authority » faire un clic droit et choisir « Import »


 


  • Cliquez sur « Next »

     


  • Entrez le chemin du certificat ROOT et cliquez sur « Next »

     


  • Choisissez de placer le certificat dans le magasin « Trusted Root Certification Authorities »

     



  • Cliquez sur « Finish » pour Terminer

 

Création du Listener

 

Nous allons maintenant créer le listener Web pour publier Exchange.

Pour cela ouvrez la console de gestion ISA et cliquez sur « Firewall Policy »

Vous devez voir apparaitre sur le côté droit de l’écran une fenêtre comme ci-dessous, sélectionnez « Toolbox », faites un clic droit sur « Web Listener » et sélectionnez « New Web Listener »

 

  • Entrer le nom du Listner et cliquez sur « Next »

     

  • Sélectionnez « Require SSL secured connections with clients » et cliquez sur « Next »

     

  • Sélectionnez le réseau externe et cliquez sur « Next »,

     

  • Sélectionnez le certificat importé précédemment et cliquez sur « Next »,

     

  • Sélectionnez « HTML Form Authentication » et sélectionnez « LDAP (Active Directory)

     

  • Cochez l’activation du SSO si vous désirez utiliser cette fonctionnalité

     


  • Cliquez sur « Finish »

 

Création de la règle de publication OWA

 

Nous allons maintenant créer un règle de publication pour l’accès Outlook Web Access,

Lancer l’assistant de création d’une nouvelle règle de publication d’Exchange

  • Entrer le nom de la règle de publication et cliquer sur « Next »

 


  • Sélectionnez La version Exchange 2007 et cochez « Outlook Web Access » puis cliquez sur « Next »

     


  • Cochez la publication d’un serveur ou une ferme suivant votre infrastructure (Si vous avez plusieurs CAS, créez une ferme de serveurs)

     


  • Sélectionnez l’utilisation du SSL de bout en bout, puis cliquez sur « Next »

     


  • Entrez le nom du serveur ou de la ferme de serveur interne ainsi que l’IP si ISA ne peut pas résoudre le nom en Adresse IP

     


  • Entrez le nom public de connexion à l’OWA et cliquez sur « Next »

     


  • Choisissez le listener créé précédement puis cliquez sur « Next »

     


  • Choisissez l’authentification de base et cliquez sur « Next »

     


  • Cliquez sur « Next »

     


  • Cliquez sur Finish

     


Exemple de connexion OWA avec présentation du formulaire d’authentification d’ISA 2006

 

Création de la règle de publication Active Sync

 

Relancez l’assistant de publication Exchange

 

  • Entrez le nom de la règle de publication Exchange Active Sync et cliquez sur « Next »


  • Sélectionnez « Exchange ActiveSync »

     


  • Sélectionnez la publication d’un serveur ou d’une ferme de serveurs CAS

     


  • Sélectionnez l’utilisation du SSL de bout en bout

     


  • Entrez le nom et IP du / des CAS à publier

     


  • Entrez le nom public de connexion externe

     


  • Sélectionnez le listener Exchange

     


  • Choisissez l’authentification Basic

     


  • Cliquez sur « Next »

     


  • Cliquez sur « Finish » pour terminer.

 

Création de la règle de publication Outlook Anywhere

 

Relancez l’assistant de publication Exchange


  • Entrez le nom de la règle de publication et cliquez sur « Next »

     


  • Sélectionnez Outlook Anywhere et cliquez sur « Next »

     


  • Choisissez la publication d’un serveur ou d’une ferme de serveurs CAS, puis cliquez sur « Next »

     


  • Choisissez l’utilisation du SSL de bout en bout et cliquez sur « Next »

 


  • Entrez le nom interne ainsi que l’IP de connexion au (aux) serveurs CAS,

     


  • Entrez le nom public de connexion,

     


  • Choisissez le listener créé précédement,

     


  • Sélectionnez l’authentification Basique et cliquez sur « Next »

     


  • Cliquez sur « Next »

     


  • Cliquez sur « Finish »

     


  • Allez dans les propriétés de la règle de publication, dans l’onglet « Public Name » et ajoutez le nom « autodiscover.votredomaine.com », celui-ci devra correspondre au nom déclaré dans le certificat.

     


     


     

    Cliquez sur « Test Rule » pour vérifier le bon fonctionnement de la règle de publication

    Pour de plus ample informations sur les nouveautés du service Pack 1 d’ISA Serveur 2006, je vous propose de vous rendre sur le blog de l’équipe produit à l’adresse suivante :

     

    http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx

     

 

Configuration du client Outlook

 

La configuration du client Outlook se fera toute seule pour les clients se connectant pour la première fois au serveur, pour ceux étant déjà utilisateurs Exchange avant la configuration d’Exchange Anywhere, vous devez paramétrer le client Outlook en allant dans les propriétés du compte, puis en cliquant sur « More Settings »

 


 

Naviguez maintenant dans l’onglet Connection

 


  • Cochez « Connect to Microsoft Exchange using http »
  • Cliquez sur « Exchange Proxy Settings »
  • Paramétrez comme ci-dessous.

     


 


Vérification de la connexion à l’aide des outils Outlook

 

Les services Exchange publiés via ISA Server vous permettront de vous connecter facilement et de façon totalement sécurisée à votre messagerie, au travail, de chez vous, peut importe le lieu et sans devoir lancer un client VPN,

 

Ces solutions sont assez simples à mettre en place, et sont peu couteuses.

Posted in Publication-2007 | 2 Comments »

 
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 223 autres abonnés