Présentation de la transmission par proxy et de la redirection
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2008-03-14
Dans une organisation Microsoft Exchange Server 2007, un ordinateur exécutant Exchange 2007, sur lequel le rôle serveur d'accès au client est installé, peut agir comme proxy pour d'autres serveurs d'accès au client au sein de l'organisation. Cela peut s'avérer utile lorsque plusieurs serveurs d'accès au client sont présents dans différents sites Active Directory d'une organisation et que les sites Active Directory ne sont pas tous connectés à Internet.
Un serveur d'accès au client peut également opérer une redirection des adresses URL Microsoft Office Outlook Web Access. Une redirection s’avère utile lorsqu’un utilisateur se connecte à un serveur d’accès au client connecté à Internet qui ne se trouve pas dans le même site Active Directory que le serveur de boîtes aux lettres.
Notes
Si votre organisation ne dispose pas de plusieurs sites Active Directory, vous ne devez pas configurer Exchange 2007 pour la transmission par proxy et la redirection.
Notes
Les serveurs d'accès au client qui ne sont pas exposés à Internet ne doivent pas avoir de certificats SSL (Secure Sockets Layer) séparés. Ils peuvent utiliser le certificat auto-signé installé par défaut avec Exchange 2007. Pour plus d'informations, consultez la rubrique Description du certificat auto-signé dans Exchange 2007.
Pour configurer votre serveur d’accès au client en vue d’une transmission par proxy et d’une redirection, vous devez modifier deux propriétés des répertoires virtuels utilisés pour accéder aux divers protocoles clients. Ces deux propriétés sont les suivantes :
InternalURL Cette propriété contient l’URL Intranet du répertoire virtuel. Elle est configurée automatiquement lors de l’installation. Dans la plupart des installations, il n’est pas nécessaire de modifier la valeur InternalURL.
ExternalURL Cette propriété contient l’URL Internet du répertoire virtuel. Cette valeur est publiée dans le DNS et doit être configurée manuellement en fonction de votre configuration.
Cette rubrique décrit la transmission par proxy et la redirection, lorsqu'ils sont tous deux utilisés, ainsi que la configuration de vos serveurs d'accès au client pour chaque scénario.
Vue d'ensemble de la transmission par proxy
Dans Microsoft Exchange Server 2003, le serveur frontal communique avec le serveur principal sur HTTP. Dans Exchange 2007, le serveur d'accès au client communique avec le serveur de boîtes aux lettres sur RPC. Vous devez disposer d'un serveur d'accès au client Exchange 2007 dans chaque site Active Directory contenant un serveur de boîtes aux lettres. La transmission par proxy intervient quand un serveur d'accès au client envoie du trafic vers un autre serveur d'accès au client. Un serveur d'accès au client Exchange 2007 peut transmettre des demandes par proxy dans les deux situations suivantes :
Entre serveurs d'accès au client Exchange 2007 La transmission par proxy des demandes entre deux serveurs d'accès au client Exchange 2007 permet aux organisations disposant de plusieurs sites Active Directory de désigner un ou plusieurs serveur d'accès au client comme serveurs Internet et de faire en sorte que ces serveurs transmettent par proxy les demandes adressées à des serveurs d'accès au client dans des sites n'ayant pas de présence Internet. Un serveur d’accès au client connecté à Internet transmet par proxy une demande entrante au serveur d’accès au client du même site que la boîte aux lettres du destinataire. C'est ce qu'on appelle une transmission par proxy CAS-CAS.
Entre un serveur d’accès au client Exchange 2007 et un serveur Exchange 2003 Les demandes des clients externes se connectant à Outlook Web Access à l’aide du répertoire virtuel \Exchange ou se connectant à Microsoft Exchange ActiveSync à l’aide du répertoire virtuel \Microsoft-Server-ActiveSync sont transmises par proxy au serveur Exchange 2003 principal approprié.
La transmission par proxy est prise en charge pour les clients utilisant Outlook Web Access, Exchange ActiveSync et les services Web Exchange. La transmission par proxy est prise en charge entre deux serveurs d'accès au client lorsque le serveur d'accès au client de destination exécute la même version d’Exchange Server que le serveur d’accès au client source, ou une version antérieure. Cependant, les services Web Exchange ne peuvent pas effectuer de transmission par proxy d'un serveur exécutant Exchange Server 2007 SP1 vers un serveur exécutant la version d’origine (RTM) d’Exchange 2007 car la version d’origine d’Exchange 2007 ne prend pas en charge la transmission par proxy pour les services Web Exchange. La figure suivante illustre le fonctionnement de la transmission par proxy au sein d'une organisation disposant de plusieurs serveurs d'accès au client et serveurs de boîtes aux lettres.
Notes
Dans chaque organisation Exchange, au moins un serveur d'accès au client doit être connecté à Internet. Un serveur d'accès au client n'ayant pas de présence Internet ne doit pas nécessairement disposer de son propre nom d'hôte Internet. Il dépend du serveur d'accès au client côté Internet pour la transmission par proxy de toutes les demandes pertinentes en provenance de clients externes.
Notes
La transmission par proxy ne fonctionne pas avec des clients POP3 (Post Office Protocol version 3) ou IMAP4 (Internet Message Access Protocol version 4rev1). Un client utilisant POP3 ou IMAP4 doit se connecter à un serveur d'accès au client se trouvant dans le même site Active Directory que son serveur de boîtes aux lettres.
Transmission par proxy de l'accès au client
Dans la figure précédente, la boîte aux lettres de l'Utilisateur 1 se trouve sur le Serveur de boîtes aux lettres 01, celle de l'Utilisateur 2 sur le Serveur de boîtes aux lettres 02, et celle de l'Utilisateur 3 sur le Serveur de boîtes aux lettres 03. L'Utilisateur 1 peut accéder à sa boîte aux lettres via le Serveur d'accès au client 01 sans utiliser de transmission par proxy. Si l'Utilisateur 1 tente d'accéder au Serveur d'accès au client 02 à l'aide d'Exchange ActiveSync, il reçoit un message d'erreur parce que le Serveur d'accès au client 01 est le serveur d'accès au client approprié pour sa boîte aux lettres. S’il tente d’accéder au serveur 02 d’accès au client à l’aide d’Outlook Web Access, son navigateur affiche un message comprenant l’URL du serveur 01 d’accès au client, le serveur d’accès au client situé dans le même site que son serveur de boîtes aux lettres. Ce processus est appelé redirection. Si l'Utilisateur 3 tente d'accéder au Serveur d'accès au client 02, celui-ci transmet par proxy la demande adressée au Serveur d'accès au client 03. Le Serveur d'accès au client 03 n'est pas connecté à Internet mais peut recevoir des demandes d'autres serveurs à l'intérieur du pare-feu. La transmission par proxy n'est pas visible pour l'utilisateur.
Notes
Les communications entre des serveurs d'accès au client de différents sites sont effectuées via des connexions HTTPS (Secure HTTP).
Transmission par proxy pour Exchange ActiveSync
Le scénario suivant illustre la manière dont les demandes entrantes sont gérées pour un utilisateur qui se connecte à un serveur d'accès au client Exchange 2007 nommé CAS-01 à l'aide d'un périphérique mobile.
Le serveur d'accès au client interroge le service d'annuaire Active Directory pour déterminer l'emplacement de la boîte aux lettres de l'utilisateur et la version de Microsoft Exchange installée sur le serveur de boîtes aux lettres. Si la boîte aux lettres de l'utilisateur se trouve sur un ordinateur Exchange 2007 sur lequel le rôle serveur de boîtes aux lettres est installé, passez à l'étape 3.
Si la boîte aux lettres de l'utilisateur se trouve sur un serveur Exchange 2003, la demande entrante est acheminée par proxy vers le serveur Exchange 2003 hébergeant la boîte aux lettres de l'utilisateur et le répertoire virtuel Exchange ActiveSync. Par défaut, dans Exchange 2003, le répertoire virtuel Exchange ActiveSync à été installé sur tous les serveurs de boîtes aux lettres. Si la demande entrante est adressée à un serveur d'accès au client Exchange 2007 situé dans un site Active Directory autre que le serveur principal de destination, la demande est directement acheminée par proxy vers le serveur principal de destination, même s'il y a un serveur d'accès au client Exchange 2007 au sein du site Active Directory de destination. Si la demande entrante est adressée à un serveur d'accès au client Exchange 2007 au sein du même site Active Directory que le serveur principal de destination, la demande est acheminée par proxy directement vers le serveur principal de destination.
Notes
Des utilisateurs disposant de boîtes aux lettres sur un serveur Exchange 2003, qui tentent d'utiliser Exchange ActiveSync via un serveur d'accès au client Exchange 2007 voient s'afficher un message d'erreur et ne peuvent pas opérer de synchronisation à moins que l'authentification Windows intégrée ne soit activée pour le répertoire virtuel Microsoft-Server-ActiveSync sur le serveur Exchange 2003. Cela permet au serveur d'accès au client Exchange 2007 et au serveur principal Exchange 2003 de communiquer à l'aide d'une authentification Kerberos.
Si la boîte aux lettres de l'utilisateur se trouve sur un serveur de boîtes aux lettres Exchange 2007, CAS-01 localise un serveur d'accès au client situé dans le même site Active Directory que le serveur de boîtes aux lettres de l'utilisateur. S'il y a un serveur d'accès au client plus proche du serveur de boîtes aux lettres de l'utilisateur, Exchange 2007 détermine si la propriété InternalURL du serveur d'accès au client est configurée et si la méthode d'authentification est l'authentification Windows intégrée. Si c'est le cas, l'utilisateur est acheminé par proxy vers le serveur d'accès au client spécifié par la propriété InternalURL. Sinon, la demande est rejetée. En cas de rejet de la demande, un code d'erreur est renvoyé au périphérique mobile. Si la propriété ExternalURL du serveur d'accès au client transmis par proxy est configurée sur le répertoire virtuel Microsoft-Server-ActiveSync, un code d'erreur HTTP 451 est renvoyé.
Important
La transmission par proxy n'est pas prise en charge entre des répertoires virtuels utilisant une authentification de base. Pour que les communications de client soit acheminées par proxy entre des répertoires virtuels sur des serveur différents, les répertoires virtuels doivent utiliser une authentification Windows intégrée.
Transmission par proxy pour Outlook Web Access
Le scénario suivant illustre la manière dont les demandes entrantes sont gérées pour un utilisateur qui se connecte à un serveur d'accès au client Exchange 2007 nommé CAS-01 à l'aide d'Outlook Web Access.
Le serveur d'accès au client interroge Active Directory pour déterminer l'emplacement de la boîte aux lettres de l'utilisateur et la version de Microsoft Exchange installée sur le serveur de boîtes aux lettres. Si la boîte aux lettres de l'utilisateur se trouve sur un serveur de boîtes aux lettres Exchange 2007, passez à l'étape 3.
Si la boîte aux lettres de l'utilisateur se trouve sur un serveur Exchange 2003 et si l'utilisateur a tenté d'accéder à Outlook Web Access via https://nom de domaine/owa, il reçoit un message d'erreur. Si l'utilisateur tente d'accéder à https://nom de domaine/exchange ou https://nom de domaine/public, la demande entrante est acheminée par proxy vers le serveur Exchange 2003 hébergeant la boîte aux lettres de l'utilisateur et le répertoire virtuel Outlook Web Access. Si la demande entrante est adressé à un serveur d'accès au client Exchange 2007 situé dans un site Active Directory autre que le serveur principal de destination, la demande est directement acheminée par proxy vers le serveur principal de destination, même s'il y a un serveur d'accès au client Exchange 2007 au sein du site Active Directory de destination. Si la demande entrante est adressée à un serveur d'accès au client Exchange 2007 au sein du même site Active Directory que le serveur principal de destination, la demande est acheminée par proxy directement vers le serveur principal de destination. Dans ce cas, ignorez l’étape 3.
Si la boîte aux lettres de l'utilisateur se trouve sur un serveur de boîtes aux lettres Exchange 2007, CAS-01 localise un serveur d'accès au client situé dans le même site Active Directory que le serveur de boîtes aux lettres de l'utilisateur. S'il y en a un, Exchange 2007 détermine si la propriété InternalURL du serveur d'accès au client est configurée et si la méthode d'authentification sur le répertoire virtuel est définie sur l'authentification Windows intégrée. CAS-01 détermine ensuite si une adresse URL externe est spécifiée. Dans ce cas, l'utilisateur est redirigé vers le serveur spécifié par la propriété ExternalURL. Si aucune adresse URL externe n'est spécifiée, CAS-01 achemine par proxy la demande de l'utilisateur vers le serveur d'accès au client spécifié par la propriété InternalURL.
Notes
Une adresse URL interne est configurée automatiquement durant l'installation d'Exchange 2007. La valeur par défaut de la propriété ExternalURL est
$null
. Pour les serveurs d'accès au client connectés à Internet, la propriété ExternalURL doit être définie sur la valeur publiée dans le DNS de ce site Active Directory. Pour les serveurs d'accès au client n'ayant pas de présence Internet, il n’est pas nécessaire de configurer la propriété ExternalURL.
Transmission par proxy pour les services Web
Le scénario suivant présente la manière dont les demandes entrantes sont gérées pour un utilisateur qui se connecte à un serveur d'accès au client Exchange 2007 nommé CAS-01 à l'aide des services Web Exchange.
Le serveur d'accès au client interroge Active Directory pour déterminer l'emplacement de la boîte aux lettres de l'utilisateur et la version de Microsoft Exchange installée sur le serveur de boîtes aux lettres. Si la boîte aux lettres de l’utilisateur est située sur un serveur exécutant Microsoft Exchange Server 2003, la transmission par proxy ne peut pas avoir lieu et la demande échoue. Si la boîte à lettres de l’utilisateur est située sur un serveur exécutant Exchange 2007 Service Pack 1 (SP1), passez à l’étape 2. Si la boîte aux lettres de l’utilisateur est située sur un serveur exécutant la version d’origine (RTM) d’Exchange 2007, la demande échoue.
Lorsque la demande des services Web Exchange parvient à CAS-01, les services Web Exchange la traitent et la transmettent par proxy au site contenant le serveur de boîtes aux lettres de l’utilisateur. Les services Web Exchange peuvent prendre en charge une demande unique pour plusieurs utilisateurs. Si la demande entrante contient plusieurs utilisateurs, leurs boîtes aux lettres doivent être situées dans le même site Active Directory. Les services Web autres que Availability Service ne peuvent pas prendre en charge une demande unique pour plusieurs utilisateurs situés dans différents sites Active Directory. Si la boîte aux lettres de l’utilisateur est située sur un serveur de boîtes aux lettres Exchange 2007 dans un site comprenant un serveur d’accès au client Exchange 2007 SP1, CAS-01 transmet la demande par proxy au site Active Directory de destination.
Notes
Les propriétés InternalURL et NLBByPassURL sont automatiquement configurées lors de l’installation d’Exchange 2007. Pour les serveurs d'accès au client n'ayant pas de présence Internet, la propriété ExternalURL doit être définie sur
$null
.
Configuration de la transmission par proxy
Si votre serveur d'accès au client est connecté à Internet, définissez la propriété ExternalURL sur les répertoires virtuels Exchange ActiveSync et Outlook Web Access à l'aide de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell. La propriété InternalURL est configurée automatiquement durant l'installation initiale d'Exchange 2007 et nécessite rarement une modification. La propriété ExternalURL doit contenir l’URL enregistrée pour votre organisation Exchange dans le système DNS, par exemple https://www.contoso.com/owa pour Outlook Web Access. Le tableau suivant contient les valeurs appropriées des propriétés ExternalURL et InternalURL pour un serveur d'accès au client connecté à Internet pour l'organisation Exchange nommée www.contoso.com. Le deuxième tableau contient les valeurs de propriété ExternalURL et InternalURL appropriées pour un serveur d'accès au client non connecté à Internet dans un deuxième site Active Directory pour www.contoso.com. Vous devez configurer la méthode d'authentification Windows intégrée sur tous les répertoires virtuels. La transmission par proxy n'est pas prise en charge pour des répertoires virtuels utilisant d'autres méthodes d'authentification.
Notes
En cas de création de répertoires virtuels Outlook Web Access à l'aide de l'environnement de ligne de commande Exchange, vous devez configurer manuellement la propriété InternalURL de ces répertoires virtuels.
Paramètres de transmission par proxy InternalURL et ExternalURL pour un serveur d'accès au client côté Internet
Service Exchange 2007 | Paramètre InternalURL | Paramètre ExternalURL |
---|---|---|
Outlook Web Access |
https://nom d'ordinateur/OWA |
https://www.contoso.com/OWA |
Exchange ActiveSync |
https://nom d'ordinateur/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
Services Web Exchange |
https://nom d'ordinateur/EWS |
https://www.contoso.com/EWS/exchange.asmx |
Paramètres de transmission par proxy InternalURL et ExternalURL pour un serveur d'accès au client non connecté à Internet
Service Exchange 2007 | Paramètre InternalURL | Paramètre ExternalURL |
---|---|---|
Outlook Web Access |
https://nom d'ordinateur/OWA |
|
Exchange ActiveSync |
https://nom d'ordinateur/Microsoft-Server-ActiveSync |
|
Services Web Exchange |
https://nom d'ordinateur/EWS |
|
Pour plus d'informations sur la configuration des répertoires virtuels, consultez les rubriques suivantes :
Vue d'ensemble de la redirection
Les utilisateurs d'Outlook Web Access qui accèdent à un serveur d'accès au client connecté à Internet se trouvant dans un autre site Active Directory que celui contenant leur boîte aux lettres peuvent être redirigés vers le serveur d'accès au client se trouvant dans le même site que leur serveur de boîtes aux lettres si ce serveur d'accès au client est connecté à Internet. Quand un utilisateur d'Outlook Web Access tente de se connecter à un serveur d'accès au client situé en dehors du site Active Directory contenant son serveur de boîtes aux lettres, il voit s'afficher une page Web contenant un lien vers le serveur d'accès au client correct pour sa boîte aux lettres.
La figure suivante illustre le fonctionnement de la redirection au sein d'une organisation disposant de plusieurs serveurs d'accès au client dans plusieurs sites Active Directory.
Redirection pour Outlook Web Access dans Exchange 2007
Dans la figure précédente, la boîte aux lettres de l'Utilisateur 1 se trouve sur le Serveur de boîtes aux lettres 01, celle de l'Utilisateur 2 sur le Serveur de boîtes aux lettres 02, et celle de l'Utilisateur 3 sur le Serveur de boîtes aux lettres 03. L'Utilisateur 1 peut accéder à sa boîte aux lettres via le Serveur d'accès au client 01 sans utiliser de redirection. Si l'Utilisateur 1 tente d'accéder au Serveur d'accès au client 02, son navigateur affiche un message incluant l'adresse URL correcte de son serveur d'accès au client. L'utilisateur est invité à cliquer sur l'adresse URL Outlook Web Access du serveur d'accès au client. Il n'est pas redirigé automatiquement. Si l'Utilisateur 3 tente d'accéder au Serveur d'accès au client 02, celui-ci transmet par proxy la demande adressée au Serveur d'accès au client 03. Le Serveur d'accès au client 03 n'est pas connecté à Internet mais peut recevoir des demandes d'autres serveurs à l'intérieur du pare-feu. La transmission par proxy n'est pas visible pour l'utilisateur.
Notes
La redirection est prise en charge uniquement pour les clients utilisant Outlook Web Access. Les clients se servant d’Exchange ActiveSync, POP3 et IMAP4 ne peuvent pas utiliser le service de redirection. Les clients se servant des services Web utilisent le service de découverte automatique pour définir les paramètres de serveur d’accès au client appropriés.
Notes
Lorsque vous installez Exchange 2007, quatre répertoires virtuels sont créés pour Outlook Web Access : owa, Exchange, Public et ExchWeb. Le répertoire virtuel owa permet d'accéder aux boîtes aux lettres Exchange 2007. Les répertoires virtuels Exchange et Public permettent d'accéder à la boîte aux lettres Exchange 2003. SI un utilisateur disposant d'une boîte aux lettres sur un serveur Exchange 2003 se connecte via https://nom de serveur/owa, il reçoit un message d'erreur lui indiquant que sa boîte aux lettres se trouve sur un serveur Exchange 2003. Il doit utiliser le répertoire virtuel Exchange. S'il se connecte via https://nom de serveur/Exchange, le serveur d'accès au client Exchange 2007 achemine sa demande par proxy vers le serveur de boîtes aux lettres Exchange 2003. Si un utilisateur disposant d'une boîte aux lettres sur Exchange 2007 accède à Outlook Web Access via https://nom de serveur/owa, il est capable d'accéder à sa boîte aux lettres directement. S'il se connecte à Outlook Web Access via https://nom de serveur/Exchange, il est redirigé vers https://nom de serveur/owa.
Configuration de la redirection
Si votre serveur d'accès au client est connecté à Internet, définissez la propriété ExternalURL sur les répertoires virtuels Outlook Web Access à l'aide de la console de gestion Exchange ou de l'environnement de ligne de commande Exchange Management Shell. La propriété InternalURL est configurée automatiquement durant l'installation initiale d'Exchange 2007 et nécessite rarement une modification. Les deux tableaux suivants répertorient les paramètres ExternalURL et InternalURL pour les serveurs d'accès au client dans deux sites Active Directory pour Contoso. Les deux sites sont www.usa.contoso.com et www.europe.contoso.com.
Notes
En cas de création de répertoires virtuels Outlook Web Access à l'aide de l'environnement de ligne de commande Exchange, vous devez configurer manuellement la propriété InternalURL de ces répertoires virtuels.
Pour plus d'informations sur la gestion des répertoires virtuels Outlook Web Access, consultez la rubrique Gestion des répertoires virtuels Outlook Web Access dans Exchange 2007.
Paramètres de redirection InternalURL et ExternalURL pour un serveur d'accès au client côté Internet dans le site usa.contoso.com
Service Exchange 2007 | Paramètre InternalURL | Paramètre ExternalURL |
---|---|---|
Outlook Web Access |
https://nom d'ordinateur/OWA |
https://www.usa.contoso.com/OWA |
Paramètres de redirection InternalURL et ExternalURL pour un serveur d'accès au client côté Internet dans le site europe.contoso.com
Service Exchange 2007 | Paramètre InternalURL | Paramètre ExternalURL |
---|---|---|
Outlook Web Access |
https://nom d'ordinateur/OWA |
https://www.europe.contoso.com/OWA |
Désactivation de la redirection
Si votre organisation compte plusieurs sites Active Directory connectés à Internet et si la connexion Internet à l'un de ces sites est désactivée, vous pouvez désactiver temporairement la redirection et configurer Outlook Web Access pour utiliser la transmission par proxy. Une fois la connexion Internet du site problématique restaurée, vous pouvez rétablir la redirection. Vous pouvez désactiver la redirection à l'aide de la cmdlet Set-OWAVirtualDirectory en utilisant la syntaxe suivante :
set-owavirtualdirectory "owa (default web site)" -RedirectToOptimalOWAServer $false
Pour restaurer la redirection, utilisez la même cmdlet en définissant le paramètre RedirectToOptimalOWAServer sur $true
.
Transmission par proxy avec équilibrage de la charge réseau
Dans une organisation disposant de plusieurs sites Active Directory et de plusieurs serveurs d'accès au client dans chaque site, vous pouvez utiliser l'équilibrage de la charge réseau pour répartir le trafic entre les serveurs d'accès au client de chaque site pour la redondance de basculement. L’intégration de serveurs d’accès au client issus de différents sites Active Directory dans le même groupe d’équilibrage de charge n’est pas prise en charge. Vous pouvez déployer l'équilibrage de la charge réseau dans un site Active Directory connecté à Internet et dans un site Active Directory non connecté à Internet. La figure suivante illustre deux sites Active Directory implémentant l'équilibrage de la charge réseau.
Transmission par proxy dans une organisation utilisant l'équilibrage de la charge réseau
Le tableau suivant répertorie les paramètres pour les répertoires virtuels se trouvant sur les serveurs d'accès au client CAS-01 et CAS-02 pour le site Active Directory connecté à Internet www.contoso.com.
Paramètres de répertoire virtuel pour des serveurs d'accès au client connectés à Internet dans une organisation utilisant l'équilibrage de la charge réseau
Répertoire virtuel | Paramètre InternalURL | Paramètre ExternalURL | Méthode d'authentification |
---|---|---|---|
/OWA |
https://nom d'ordinateur/OWA |
https://www.contoso.com/OWA |
Si l’ordinateur ISA (Internet Security and Acceleration) Server utilise une authentification basée sur des formulaires, Outlook Web Access doit utiliser une authentification Windows intégrée. Si l’authentification n’est pas traitée sur l’ordinateur ISA Server, Outlook Web Access doit être configuré à l’aide d’une authentification basée sur des formulaires. |
/OAB |
https://nom d'ordinateur/OAB |
https://www.contoso.com /OAB |
Authentification Windows intégrée |
/UnifiedMessaging |
https://nom d'ordinateur/UnifiedMessaging |
https://www.contoso.com /UnifiedMessaging |
Authentification Windows intégrée |
/Microsoft-Server-ActiveSync |
https://nom d'ordinateur/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
Authentification Windows intégrée |
/EWS |
https://nom d'ordinateur/EWS |
https://www.contoso.com/EWS |
Authentification Windows intégrée |
Remarque Lors de la configuration de votre pare-feu, vous devez configurer IP Affinity pour que la transmission par proxy réussisse pour les services Web Exchange et Outlook Web Access. IP Affinity permet qu'une demande en provenance d'un ordinateur soit toujours acheminée par proxy vers le même ordinateur de destination.
Le site Active Directory non connecté à Internet a trois serveurs : CAS-03, CAS-04 et CAS-05. Le tableau suivant répertorie les paramètres des répertoires virtuels pour les trois serveurs.
Paramètres de répertoire virtuel pour des serveurs d'accès au client non connectés à Internet dans une organisation utilisant l'équilibrage de la charge réseau
Répertoire virtuel | Paramètre InternalURL | Paramètre ExternalURL | Paramètre NLBBypassURL | Méthode d'authentification |
---|---|---|---|---|
/OWA |
https://nom d'ordinateur/OWA |
|
$Null |
Authentification Windows intégrée |
/OAB |
https://nom de l'équilibrage de la charge réseau/OAB |
|
$Null |
Authentification Windows intégrée |
/UnifiedMessaging |
https://nom de l'équilibrage de la charge réseau/UnifiedMessaging |
|
$Null |
Authentification Windows intégrée |
/Microsoft-Server-ActiveSync |
https://nom de l'équilibrage de la charge réseau/Microsoft-Server-ActiveSync |
|
$Null |
Authentification Windows intégrée |
/EWS |
https://NLBname/EWS |
|
https://nom d'ordinateur/EWS |
Authentification Windows intégrée |
Notes
Pour les services Web Outlook Web Access et Exchange, l’authentification Kerberos doit également être activée.
La propriété ExternalURL pour tous les répertoires virtuels doit être définie sur $Null
. Si la propriété ExternalURL est définie sur une valeur autre que $Null
, les serveurs d'accès au client non connectés à Internet opèrent comme s'ils étaient connectés à Internet et empêchent les clients de se connecter ou d’être redirigés vers ces serveurs.
Les services Web Outlook Web Access et Exchange gèrent l'équilibrage de la charge d'une façon différente du service de disponibilité et d'Exchange ActiveSync. Les services Web Outlook Web Access et Exchange implémentent leur propre équilibrage de charge lors de la transmission par proxy vers un site contenant plusieurs serveurs d’accès au client. Si un utilisateur tente d’accéder à Outlook Web Access via l’adresse https://www.contoso.com/owa et est redirigé par proxy vers un site Active Directory non connecté à Internet et contenant CAS-01, CAS-02 et CAS-03, un utilisateur redirigé par proxy vers CAS-01 la première fois le sera toujours par la suite, même si CAS-02 présente moins de connexions simultanées. Si CAS-01 est indisponible, l'utilisateur est acheminé par proxy vers CAS-02.
Notes
Pour les services Web Outlook Web Access et Exchange, votre pare-feu doit être configuré pour IP Affinity ou une affinité par cookie. Il s'agit du processus selon lequel une application cliente particulière se connecte à la même adresse IP à chaque fois. Cela étant obligatoire, la négociation SSL n'est pas répétée pour chaque demande.
Le processus est différent pour Exchange ActiveSync. Quand un serveur d'accès au client connecté à Internet achemine par proxy une demande vers un serveur d'accès au client non connecté à Internet, la connexion est maintenue à l'aide des informations stockées dans le compte Administrateurs local. Cette connexion peut être utilisée par d'autres demandes d'utilisateur. Dans une situation d'équilibrage de la charge réseau, les serveurs d'accès au client dans l'équilibrage de la charge réseau connecté à Internet établissent des connexions aux serveurs d'accès au client dans l'équilibrage de la charge réseau non connecté à Internet. Le nombre de connexions est égal au nombre de serveurs d'accès au client dans le site Active Directory de destination. Il est recommandé d'implémenter un équilibrage de charge de type tourniquet (round robin) à l'intérieur de la baie d'équilibrage de la charge réseau.
Notes
il est recommandé d'implémenter l'équilibrage de la charge réseau dans les sites Active Directory connectés et non connectés à Internet. Dans un site Active Directory non connecté à Internet dépourvu d'équilibrage de la charge réseau, si un des serveurs d'accès au client du site est indisponible, tout client Exchange ActiveSync précédemment acheminé par proxy vers ce serveur d'accès au client échoue jusqu'à ce que le serveur d'accès au client soit de nouveau disponible. L'état de synchronisation d'Exchange ActiveSync est stocké dans la boîte aux lettres pour le client. C'est pourquoi, si un client est acheminé par proxy vers CAS-02 lors de sa première connexion, il est acheminé vers CAS-02 chaque fois qu'il se connecte par la suite.
Pour plus d'informations sur l'équilibrage de la charge réseau, consultez la documentation Windows Server 2003.
Notes
Dans de nombreux déploiements, l'installation du rôle serveur d'accès au client et du rôle serveur de transport Hub a lieu sur le même ordinateur. Dans cette topologie, vous pouvez configurer l'équilibrage de la charge réseau pour le rôle serveur d'accès au client séparément du rôle serveur de transport Hub. L'équilibrage de la charge réseau n'est actuellement pas pris en charge sur le rôle serveur de transport Hub. En revanche, il est pris en charge pour le rôle serveur d'accès au client. Pour configurer l'équilibrage de la charge réseau pour le rôle serveur d'accès au client mais pas pour le rôle serveur de transport Hub, configurez les ports 80 et 443 pour l'accès au client. Le rôle serveur de transport Hub implémente sa propre disponibilité dans le logiciel.
Résumé des méthodes d'accès au client
Le tableau suivant résume les protocoles utilisés pour accéder à Exchange 2007 et la manière dont ils sont utilisés pour les fonctions de transmission par proxy et de redirection.
Protocoles d'accès au client pour les fonctions de redirection et de transmission par proxy
Protocole | Communication de serveur d'accès au client à serveur de boîtes aux lettres prise en charge entre sites Active Directory | Redirection prise en charge entre serveurs d'accès au client | Transmission par proxy prise en charge entre serveurs d'accès au client | Comments |
---|---|---|---|---|
Outlook Web Access |
Non |
Oui |
Oui |
Vous devez disposer d’un serveur d’accès au client dans chaque site Active Directory contenant un serveur de boîtes aux lettres et dans chaque site Active Directory connecté à Internet pour utiliser Outlook Web Access. |
Exchange ActiveSync |
Non |
Utilisez le service de découverte automatique pour déterminer le point final approprié du serveur d’accès au client. |
Oui |
Un serveur d'accès au client doit être disponible dans chaque site Active Directory pour pouvoir utiliser Exchange ActiveSync. |
Services Web Exchange |
Oui dans la version d’origine, non dans SP1 |
Utilisez le service de découverte automatique pour déterminer le point final approprié du serveur d’accès au client. |
Non pour la version d’origine, oui pour SP1 |
Un serveur d'accès au client doit être disponible dans chaque site Active Directory pour utiliser les services Web Exchange. |
Service de disponibilité (utilisé par Office Outlook 2007) |
Non |
Utilisez le service de découverte automatique pour déterminer le point final approprié du serveur d’accès au client. |
Oui |
Un serveur d'accès au client doit être disponible dans chaque site Active Directory pour utiliser le service de disponibilité. |
Outlook Anywhere (RPC sur HTTP) |
Oui, avec RPC |
Non |
Non applicable |
Non applicable |
WebDAV et Exchange 2000 Server ou Exchange 2003 |
Oui, sur HTTP |
Non |
Non applicable |
Non applicable |
POP3 et IMAP4 |
Non |
Non |
Non |
Des clients POP3 et IMAP4 doivent accéder à un serveur d'accès au client se trouvant dans le même site Active Directory que leur boîte aux lettres. |
Performances et évolutivité de la transmission par proxy
Dans un environnement Exchange 2007 utilisant la transmission par proxy, des performances médiocres résultent souvent de la réception par des serveurs d'accès au client d'une grande quantité de demandes simultanées. Ce problème est souvent dû à un épuisement des threads et des connexions disponibles en raison des demandes de service Web en provenance d'ASP.NET. Cela peut entraîner le refus du traitement des demandes ou une latence élevée lors du traitement des demandes par le serveur d'accès au client.
Pour résoudre ces problèmes, vous pouvez configurer plusieurs paramètres ASP.NET en modifiant le fichier Machine.config sur les serveurs d'accès au client. Pour plus d'informations sur la configuration de ces paramètres, consultez l'article 821268 de la Base de connaissances Microsoft sur la contention, les performances médiocres et les blocages lorsque vous faites des demandes de service Web à partir d'applications ASP.NET.
Deux des paramètres expliqués dans l'article de la Base de connaissances précédent doivent être définis différemment dans un environnement de transmission par proxy Exchange 2007. Il est recommandé d'autoriser 36 threads par processeur et de définir la valeur maxconnections sur 2 000.
Pour plus d'informations sur les performances du serveur, consultez la rubrique suivante :
Pour plus d'informations
Pour plus d'informations, consultez les rubriques suivantes :