Exchange Server 2007
Toujours joignable grâce à Exchange 2007
Joshua Trupin
Vue d'ensemble:
- Améliorations de Outlook Web Access
- Messagerie unifiée dans Exchange Server 2007
- Sécurité avec ISA Server 2006
Il y a des années de cela, la communication en ligne était rudimentaire. Le courrier électronique était envoyé via POP3 et SMTP. C'était assez simple. Évidemment, le changement s'impose. Aujourd’hui, les organisations doivent permettre aux employés
de travailler quand et comme ils le souhaitent avec toute la souplesse nécessaire et ils doivent pouvoir le faire en toute sécurité. Microsoft® Exchange Server 2007 comporte plusieurs fonctionnalités intégrées, notamment Microsoft Office Outlook® Web Access (OWA) et la messagerie unifiée. Examinons ces deux composants clés d'Exchange Server 2007 et voyons dans quelle mesure ils devancent les versions précédentes pour créer une plate-forme de communication plus puissante pour les entreprises d'aujourd'hui.
OWA est partie intégrante d'Exchange depuis la version 5.5. À vrai dire, les premières versions étaient un peu maladroites. Elles constituaient une réponse au problème d'accès à une boîte aux lettres Exchange via un navigateur Web, mais sans trop recourir à la fonctionnalité proposée par Outlook.
Avec l'OWA amélioré introduit dans Exchange Server 2003, les choses ont commencé à s'arranger pour les utilisateurs finaux. L'utilisation d'un navigateur est devenue plus naturelle, presque comme si vous étiez en train de travailler dans un programme client. OWA pour Exchange Server 2007 va même encore plus loin avec une réécriture complète des versions précédentes permettant d'adopter d'autres innovations techniques récentes telles que RPC sur HTTP et ASP.NET 2.0.
Par exemple, regardez comment OWA est restitué. Les versions précédentes d'OWA étaient restituées par le serveur de boîtes aux lettres, pendant le processus de stockage. Cela ajoutait une charge supplémentaire au serveur de boîtes aux lettres, pouvant ainsi provoquer des lenteurs dans le système. Outlook Web Access 2007, à l'inverse, restitue les données via ASP.NET, sur des serveurs d'accès client (CAS). Le traitement des pages est ainsi déplacé du serveur de boîtes aux lettres, ce qui améliore les performances.
Le travail réalisé sur le serveur frontal a également été modifié. Dans les versions précédentes d'Exchange, les requêtes OWA HTTP étaient transmises via un proxy au serveur de boîtes aux lettres approprié. Exchange Server 2007 réduit le trafic associé à OWA en allant directement chercher les données dans le serveur de boîtes aux lettres approprié via RPC. C'est le même processus, à peu de choses près, qui vous permet d'utiliser Outlook sur un client qui n'est pas sur une connexion de réseau privé virtuel (VPN) dans votre entreprise. Les informations de boîtes aux lettres sont alors restituées par OWA. Exchange Server 2007 peut également transmettre par proxy des requêtes OWA, mais au lieu de les envoyer directement aux serveurs de boîtes aux lettres, il les fait suivre vers d'autres serveurs CAS.
La figure 1 illustre l'architecture d'OWA sur Exchange Server 2007.
Figure 1** Procédure d'accès d'OWA aux ressources Exchange Server **(Cliquer sur l'image pour l'agrandir)
Administration
L'architecture d'Exchange Server 2007 revisitée comporte des options développées pour la gestion d'OWA. Vous pouvez utiliser la console de gestion Exchange ou l'environnement de ligne de commande Exchange Management Shell. Les paramètres de configuration sont stockés à différents emplacements.
La console de gestion Exchange vous permet d'accéder à la plupart des paramètres de configuration, tels que l'activation ou la désactivation des fonctionnalités en utilisant la segmentation, le blocage des pièces jointes, l'authentification et l'accès aux fonctionnalités telles que le calendrier, la liste des tâches et la vérification orthographique. Tout ce qui est possible avec la console de gestion Exchange peut également être effectué à l'aide de l'environnement de ligne de commande Exchange Management Shell.
De plus, l'environnement de ligne de commande Exchange Management Shell vous permet de créer et de supprimer de nouveaux répertoires virtuels pour OWA. Vous pouvez également avoir un contrôle plus fin sur les paramètres de segmentation par utilisateur et modifier, entre autres, le paramètre de langue par défaut.
Le registre Windows est la banque par défaut pour les délais d'expiration d'authentification basée sur les formulaires. (Ces paramètres ne sont pas disponibles via la console de gestion Exchange ou l'environnement de ligne de commande Exchange Management Shell.) Active Directory® vous permet d'accéder à des paramètres spécifiques d'OWA tels que le blocage des pièces jointes et la segmentation. La métabase IIS contient tous les paramètres (authentification, compression GZIP) qui influencent le comportement d'IIS. Par ailleurs, web.config comporte des paramètres ASP.NET tels que « maxuploadsize », qui contrôle le téléchargement des pièces jointes OWA.
Authentification
OWA propose plusieurs choix pour l'authentification au niveau du serveur. Après l'installation, la sécurité prend par défaut l'authentification basée sur les formulaires. Cependant, celle-ci peut être améliorée de plusieurs manières si nécessaire, afin de s'adapter aux exigences de votre organisation. IIS effectuera l'authentification par rapport à Active Directory pour s'assurer que l'utilisateur qui se connecte possède les droits de domaine correspondants. Vous pouvez aussi utiliser un compte de connexion basé sur l'authentification de base, l'authentification Digest (l'authentification par résumé), le RSA SecurID ou encore la carte à puce pour accéder au courrier électronique.
Le niveau de sécurité le plus élevé pour OWA est intégré à Windows et combine Kerberos et NTLM. En fait, le niveau de sécurité intégré à Windows est requis pour l'accès à Outlook Web Access 2007 Web Part et pour la transmission par proxy des CAS entre les sites Active Directory. Les utilisateurs qui accèdent à OWA sur un intranet profitent également d'un avantage supplémentaire— ils ont accès à une authentification unique avec l'authentification client Windows, ainsi vous n'avez pas à ouvrir de session sur OWA si vous êtes déjà un utilisateur de confiance.
Si vous utilisez l'authentification basée sur les formulaires, l'option par défaut, OWA expirera automatiquement après une période d'inactivité. Selon que l'utilisateur a choisi une machine publique ou privée (au moment de l'ouverture de session), le délai peut être de 15 minutes (pour les machines publiques) ou jusqu'à 8 heures (pour un ordinateur privé). Choisir une machine publique ou privée est important pour les utilisateurs, car d'autres paramètres de sécurité peuvent aussi être configurés différemment en fonction de cette option. Vous pouvez, par exemple, bloquer des pièces jointes sur les machines publiques ou modifier les délais d'authentification. L'authentification basée sur les formulaires est, à la base, un processus en quatre étapes comme illustré par la figure 2.
Figure 2 Processus d'authentification
- Les clients envoient une demande au serveur, non-cryptée.
- Les serveurs renvoient un cookie crypté au client.
- Les serveurs continuent de supprimer et de créer de nouvelles clés de cryptage, en gardant en mémoire les trois clés les plus récentes.
- Les clients qui envoient des requêtes avec une clé de cryptage périmée qui se trouve encore en mémoire obtiennent un nouveau cookie crypté avec la clé la plus récente.
—ou—
Les clients qui envoient des requêtes avec une clé de cryptage périmée qui a été supprimée et dont le délai a expiré doivent ouvrir une nouvelle session.
msExchQueryBaseDN est le mécanisme utilisé pour restreindre certains utilisateurs et ne leur permettre de voir qu'une partie du carnet d'adresses dans OWA. msExchQueryBaseDN est inscrit sur les objets des utilisateurs et il pointe vers une liste d'adresses (LA) ou une unité d'organisation (OU). Cette LA sera utilisée en tant que liste d'adresses globale (LAG) pour l'utilisateur et celui-ci verra une LAG qui n'inclut que des comptes utilisateurs dans cette OU. Vous pouvez définir msExchQueryBaseDN à l'aide de LDAP.
Compatibilité descendante
Le cœur d'Outlook Web Access dans Exchange Server 2007 est le CAS et le modèle CAS a été construit pour offrir la meilleure interopérabilité possible avec les serveurs qui exécutent des versions plus anciennes d'Exchange. Pour être sûr que cela fonctionne, vous devez toujours déployer ou mettre à niveau vos serveurs CAS avant de mettre à niveau les serveurs de boîte aux lettres qui leur sont associés.
Un serveur Exchange 2007 avec le rôle CAS peut être utilisé pour se connecter aux boîtes aux lettres sur les serveurs Exchange 2000 et Exchange 2003. RPC sur HTTP et Exchange ActiveSync® continueront tous les deux à fonctionner avec une mise à niveau du site partielle. OWA et WebDAV fonctionneront aussi si vous y accédez via des répertoires virtuels /exchange, /public ou /exchweb. Vous pouvez créer des répertoires virtuels OWA personnalisés pour ces versions plus anciennes sur Exchange Server 2007 également.
ISA Server 2006 est votre ami
Outlook Web Access a été largement amélioré dans Exchange Server 2007, mais il est possible de le faire évoluer encore plus en le couplant avec Internet Security and Acceleration (ISA) Server 2006.
ISA Server 2006 est une passerelle de sécurité intégrée. De plus, ISA Server contribue à la protection de votre site contre les menaces en provenance d'Internet et il permet un accès à distance sécurisé aux applications et aux données. Dans la mesure où l'objectif d'OWA est le même, le couplage des deux vous offre le plus merveilleux des concepts informatiques, la synergie. (Pour plus d'informations sur ISA Server, visitez la page Web microsoft.com/isaserver/2006.)
ISA Server 2006 offre divers avantages à l'administrateur Exchange surmené. Par exemple, la fonctionnalité Web Publishing Load Balancing (WPLB) vous permet d'équilibrer les charges à l'aide des cookies HTTP. Vous pouvez garantir l'affinité client/serveur même lorsque l'IP du client change. ISA Server 2006 fournit également la compression et la décompression GZIP, vous permettant d'analyser la compression du trafic ou du déchargement à partir des serveurs Web. Avec ISA Server 2004, il vous fallait faire un choix : vous pouviez utiliser la compression HTTP avec OWA ou vous pouviez utiliser l'authentification basée sur les formulaires avec ISA Server. ISA Server 2006 a la bonne idée de prendre en charge les deux de manière simultanée.
De plus, vous pouvez effectuer la conversion de liaison via ISA Server. Si quelqu'un met un lien intranet dans un message électronique OWA, ISA Server peut le convertir en un véritable lien Internet. Ceci peut s'avérer assez utile, mais vous devez vous souvenir de publier les liens intranet dans le même groupe ISA qui publie OWA.
La fonctionnalité probablement la plus importante d'ISA Server 2006 est la pré-authentification qui contribue à la protection de votre réseau au niveau du périmètre. La pré-authentification a pour but de garantir qu'aucun trafic HTTP non autorisé ne parvient jusqu'aux serveurs. Si le trafic dirigé vers votre CAS est bien valide, ISA Server l'expédiera depuis le périmètre jusqu'au domaine. (Les serveurs de périmètre se trouvent à l'extérieur du domaine intranet et bloquent le trafic qui n'en fait pas partie. Votre CAS ne doit pas être déployé dans le domaine de périmètre ; il doit être sur le domaine intranet afin de pouvoir accéder aux comptes utilisateurs Active Directory.)
Dépannage d'Outlook Web Access
Outlook Web Access 2007 comporte de nouveaux outils qui améliorent la surveillance et la résolution de problèmes. Une tâche de surveillance s'exécute automatiquement sur le serveur CAS. Cette tâche teste la connectivité de chaque serveur de boîtes aux lettres, ainsi que les ouvertures de session OWA. Exchange Server 2007 contient également des messages du journal des événements beaucoup plus précis et des compteurs de performances.
Exchange Server Best Practices Analyzer (voir notre couverture microsoft.com/technet/technetmag/issues/2006/01/TuneUpExchange) a été amélioré pour attirer l'attention des administrateurs sur les avertissements importants et les erreurs si OWA n'est pas configuré convenablement. Vous pouvez également établir des rapports d'utilisation OWA à partir des journaux IIS via l'outil Logparser (couvert dans l'édition d'octobre 2006 sur microsoft.com/technet/technetmag/issues/2006/10/LogParser).
Messagerie unifiée
Alors qu'OWA répond aux besoins de la téléphonie mobile, la messagerie unifiée consolide les différentes formes de messagerie en un emplacement unifié (d'où le nom astucieux). Désormais, le courrier électronique se trouve sur Exchange Server. La voix (appels téléphoniques, messagerie vocale) est disponible sur un serveur de téléphonie. Le courrier électronique est accessible sur votre bureau et vous récupérez les messages vocaux via votre téléphone. Et sans parler de la télécopie !
La messagerie unifiée Exchange Server 2007 permet à une organisation de distribuer le courrier électronique, les messages vocaux et les informations transmises par télécopie dans une boîte de réception unique, à laquelle les utilisateurs peuvent accéder via Outlook et OWA. La messagerie utilise aussi un autre canal : les utilisateurs peuvent accéder à la messagerie vocale, au courrier électronique, aux contacts et aux calendriers par le téléphone avec Outlook Voice Access.
Pour l'administration des systèmes, la messagerie unifiée simplifie la communication de messages en combinant votre infrastructure Exchange et votre infrastructure de téléphonie pour vous offrir une seule solution de stockage, un seul répertoire et un seul transport. Le niveau global de complexité est réduit lorsque chaque personne dispose d'une boîte aux lettres unique.
Le meilleur dans tout ça ? Ceci peut être effectué à l'aide de vos serveurs existants et si vous connaissez Exchange Server 2007 ainsi que la téléphonie, vous aurez peu à apprendre. Les fonctionnalités de la messagerie unifiée sont intégrées à Exchange—vous utilisez le même modèle de sécurité et les mêmes boîtes de réception. Vous pouvez accéder à la messagerie vocale et à la télécopie via OWA.
La figure 3 illustre l'architecture de la messagerie unifiée Exchange Server 2007 avec le rôle serveur de messagerie unifiée installé. Regardez cette figure (il y aura peut-être une série de questions plus tard) puis observez de manière plus approfondie l'architecture de la messagerie unifiée.
Figure 3** La messagerie unifiée réunit communication vocale, télécopie et courrier électronique **(Cliquer sur l'image pour l'agrandir)
Lorsque vous installez la messagerie unifiée dans une entreprise, de nombreux éléments sont à prendre en compte. Exchange Server contient des objets qui représentent le matériel de téléphonie. Les relations entre ces objets peuvent être définies au sein de l'environnement Exchange. Le système de messagerie unifiée Exchange Server comprend le serveur MU, le plan de numérotation de messagerie unifiée, la passerelle IP de messagerie unifiée et le groupe de recherche de messagerie unifiée, ainsi que la stratégie de boîte aux lettres de messagerie unifiée et le standard automatique de messagerie unifiée. Examinons la manière dont ces objets justifient leur existence.
L'objet serveur de messagerie unifiée est créé dans Active Directory à l'endroit où le rôle serveur de messagerie unifiée est installé. Il permet à un administrateur de contrôler l'installation et les propriétés d'un déploiement de messagerie unifiée Exchange Server 2007. Le plan de numérotation de messagerie unifiée est l'unité administrative de base dans la messagerie unifiée ; il représente la manière dont les numéros de poste sont utilisés en interne. Tous les utilisateurs dans un plan de numérotation de messagerie unifiée peuvent en contacter d'autres simplement en appelant leur numéro de poste. Si vous reliez d'autres emplacements, chacun d'entre eux disposera de son propre plan de numérotation.
L'objet passerelle IP de messagerie unifiée représente une passerelle VoIP (protocole voix sur IP) physique ou un autocommutateur privé (PBX) IP activé pour une SIP (Session Initiation Protocol). Un serveur de messagerie unifiée peut recevoir des appels provenant d'un système de passerelle IP/VoIP. Un groupe de recherche de messagerie unifiée relie une passerelle IP avec un plan de numérotation de messagerie unifiée. Une fois que le groupe de recherche est configuré au niveau du PBX, un groupe de recherche de messagerie unifiée est créé dans Active Directory pour représenter cela. Vous pouvez configurer le groupe de recherche pour fournir l'équilibrage de la charge sur l'ensemble des passerelles IP. Ces passerelles, à tour de rôle, peuvent fournir l'équilibrage de la charge en associant un groupe de recherche de messagerie unifiée unique à plusieurs passerelles. Les stratégies de boîte aux lettres de messagerie unifiée sont analogues aux classes de service de messagerie vocale. Elles comprennent un plan de numérotation et des propriétés qui définissent des stratégies de fonctionnement pour les utilisateurs et les groupes.
Le standard automatique de messagerie unifiée peut être associé à un plan de numérotation de messagerie unifiée unique. Il peut être personnalisé pour effectuer plusieurs tâches, comme par exemple enregistrer des invites personnalisées et définir des tâches à effectuer certains jours et à certaines heures. Le standard automatique peut être configuré à l'aide de listes d'adresses.
La figure 4 montre comment six objets messagerie unifiée fonctionnent ensemble.
Figure 4** Interaction des objets téléphonie de messagerie unifiée **(Cliquer sur l'image pour l'agrandir)
Configuration
Une fois que l'utilisateur dispose d'une boîte aux lettres Exchange Server 2007, l'administrateur doit l'activer pour la messagerie unifiée. Pour ce faire, l'administrateur doit associer la boîte aux lettres à une stratégie de boîte aux lettres de messagerie unifiée et à un numéro de poste, tous les deux inclus dans le plan de numérotation. Le PBX doit aussi être configuré pour acheminer l'appel vers la messagerie unifiée sur un RNA (appel, pas de réponse). Le PBX acheminera d'abord l'appel vers le numéro de l'utilisateur. Puis, en cas de RNA, l'appel est acheminé vers la passerelle VoIP puis sur le serveur de messagerie unifiée.
La messagerie unifiée est évolutive. Vous pouvez ajouter autant de chaînes PBX commutées et de serveurs de messagerie unifiée que nécessaires. Lorsque vous utilisez des passerelles VoIP, les appels IP seront remis à la messagerie unifiée Exchange. Dans la mesure où cette fonctionnalité est une nouveauté pour de nombreuses entreprises, il vous est recommandé d'effectuer une analyse complète du réseau pour vous assurer que votre réseau IP dispose de la bande passante adéquate pour gérer à la fois les données et la voix.
Un serveur de messagerie unifiée Exchange Server 2007 peut gérer entre 50 et 200 appels IP simultanés et jusqu'à 200 appels vocaux et appels de télécopie entrants (définis à la valeur 100 par défaut). Vous pouvez construire des serveurs de messagerie unifiée supplémentaires si vous avez besoin de davantage de capacité ou si vous souhaitez augmenter votre tolérance aux pannes.
Conclusion
Et voilà ! Exchange Server 2007 offre deux fonctionnalités, Outlook Web Access et la messagerie unifiée, qui, ensemble, procurent d'immenses avantages à une organisation. Outlook Web Access vous permet d'accéder au courrier électronique en toute sécurité depuis n'importe où et la messagerie unifiée permet aux utilisateurs d'accéder à leur courrier électronique, aux messages de télécopie et aux autres données de boîte aux lettres qui peuvent arriver dans leur boîte aux lettres Exchange 2007.
Joshua Trupin est le rédacteur en chef technique de MSDN Magazine et TechNet Magazine. Il a écrit de nombreux articles pour MSJ, MIND, MSDN Magazine et TechNet Magazine, ainsi qu'un livre intitulé Hoop Stats: The Basketball Abstract.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.