PRINCIPE DE REDIRECTION A TRAVERS LES SERVEURS CAS EXCHANGE 2007

Publié le par Teruin

Dans une organisation Microsoft Exchange Serveur 2007 un serveur exécutant Exchange 2007 possédant le rôle Cas peut jouer le rôle de proxy pour d’autre serveur Cas au sein de cette même organisation.  Cette fonctionnalité est notamment très importante dans le cas ou les serveurs CAS sont présents dans des sites AD différents et ou seul un site, est exposé à l’internet.

Note : Dans le cas ou votre Active directory ne comporte pas plusieurs sites la configuration de cette redirection n’est pas donc pas nécessaire.

Un serveur CAS peut également effectuer une redirection pour les URL de Microsoft Outlook Web Access. Cette fonctionnalité de redirection est importante pour un utilisateur qui se connecte à un serveur CAS qui n’est pas dans son site Active Directory. Chaque site offrant un accès internet devrait avoir en principe une fonctionnalité de type ExternalUrl.  Ce qui n’est pas une configuration par défaut sur Exchange 2007

Cet article explique comment fonctionne le proxy CAS ainsi que la redirection et comment configurer le CAS serveur dans divers scénario.

Comprendre la fonctionnalité Cas Proxy.

Dans Exchange 2003, le serveur Frontal communique avec le serveur Dorsal via HTTP
Dans Exchange 2007 le CAS communique avec le serveur Mailbox à travers RPC.

Il est obligatoire d’avoir un serveur CAS dans chaque site possédant un serveur de boite aux lettres. La recommandation est d’installer en premier lieu dans chaque site Active Directory les serveurs CAS. Si vous avez installé un serveur de boites aux lettres sur un site sans serveur CAS au préalable, les utilisateurs ne pourront pas se connecter à travers  Outlook Web Access, ActiveSync, Exchange Web Services, POP3 et IMAP4 sur leurs boites aux lettres

Le serveur CAS peut être configuré pour des accès interne mais également pour être positionner vis-à-vis d’internet. On parlera alors de « Premier Serveur CAS »
S’il n’existe pas de CAS accessible depuis l’internet dans le même site qu’un serveur de boites aux lettres, alors la requête sera proxiée du serveur CAS Internet vers le serveur CAS du site possédant le serveur de boites aux lettres. Tout le trafic entre le « premier serveur CAS » et second serveur CAS s’effectuera par http.

Note : Par défaut Exchange installe un certificat autosigné lorsque vous installez le rôle CAS. Il est recommandé d’installer un certificat public ou privé.

La fonctionnalité proxy est supportée par les clients qui utilisent Outlook Web Access, Exchange ActiveSync, Exchange Web Services, ainsi que le serveur de disponibilité.

Un serveur Exchange 2007 peut proxier des requêtes dans deux types de scénarios.


Scénario 1 : Entre Serveur CAS Exchange 2007

Les organisations qui ont plusieurs Sites Active Directory peuvent designer un serveur CAS comme étant le “premier CAS” en relation avec l’Internet et proxyer ainsi les requêtes vers des serveurs CAS au sein de sites ne possédant pas de connexion internet « Second Cas »
Le premier serveur CAS proxy la requête vers le second serveur CAS le plus proche du serveur de boites aux lettres de l’utilisateur. On parle alors de proxy CAS-CAS. Cas de figure  illustré dans la figure ci-dessous.

 

La boite aux lettres de l’utilisateur 2 est localisée sur un serveur de boites aux lettres MBX2 dans un site AD distant sans aucune connexion Internet. Lorsque l’utilisateur2 accède à sa boite aux lettres via OWA ou ActiveSync, le Premier CAS présent sur l’internet reçois la requête et proxy cette dernière vers le deuxième CAS ou est situé la boite aux lettres de l’utilisateur.

Note : L’authentification Intégrée Windows pour le répertoire  virtuel /Owa doit être activée via la console de gestion Exchange (EMC) ou via Exchange Management Shell (EMS)
Pour le répertoire virtuel /Microsoft-Server-ActiveSync sur Exchange SP1 on peut activer cette authentification à travers l’Exchange Management Shell via la commande Set-ActiveSyncVirtualDirectory.

Entre serveur Exchange 2007 CAS et un serveur Exchange 2003 Frontal.

Les fonctionnalités proxy entre un serveur CAS 2007 et un serveur  Microsoft Exchange 2003 frontal permet de faire coexister les deux technologies au sein d’une même organisation.
Les clients Externes qui se connectent à OWA en utilisant le répertoire virtuel /Exchange ou qui se connectent via ActiveSync en utilisant le répertoire virtuel /Microsoft Server-ActiveSync verront leurs requêtes proxyer vers les serveurs Exchange dorsaux Exchange 2003

 

La figure ci dessus présente le scenario ou la boite aux lettres de l’utilisateur 2 est localisé sur un serveur Exchange 2003 Dorsal au sein d’un site Active Directory distant. Lorsque l’utilisateur 2 accède a sa boites aux lettres via OWA ou Active Sync le Premier CAS proxy la requête non pas vers le second CAS ou vers n’importe quel autre serveur Frontal, mais directement sur le serveur Exchange Dorsal 2003 ou la boite aux lettres de l’utilisateur réside. Si la boite aux lettres est située sur un serveur Exchange 2003 dorsal au sein du même site Active Directory que le serveur CAS,(cas de l’utilisateur 1) le Premier CAS proxy la requête directement vers le serveur Dorsal Exchange 2003 via http.

Note : l’authentification intégrée Windows pour les répertoires virtuels /Exchange et Microsoft-Server-ActiveSync doit être activée sur les serveurs Exchange 2003 dorsaux.


Les fonctions de proxy et de redirection ne supportent l’authentification de type Basic.
Par contre la fonctionnalité de Proxy CAS-CAS ne fonctionne pas via les protocoles POP3 et IMAP4. Un client qui utilise POP3 et IMAP4 doit se connecter au CAS Serveur du site ou ce situe sa boite aux lettres

Comprendre la redirection CAS

Understanding CAS Redirection

La redirection est utilisée lorsque l’organisation à plusieurs serveurs CAS dans différents sites Active Directory et une connexion Internet avec l’attribut ExternalURL activée.

Les utilisateurs OWA qui accèdent à un serveur CAS via Internet et qui est positionné dans un site différent de celui ou se trouve leurs boites aux lettres sont rediriger vers le serveur CAS de  leurs sites si celui si est face à Internet. Lorsque les utilisateurs OWA essayent de se connecté au serveur CAS en dehors de leurs Site Active Directory ils verront une page Web contenant un lien vers le serveur CAS qui correspond a l’emplacement de leurs boite aux lettres.

Le scenario ci dessous présente la façon dont fonctionnent la redirection pour les accès OWA et ActiveSync.
La boite aux lettre de l’utilisateur2 est localisée sur le serveur MBX2 au sein du site distant ou le serveur « Second Cas » est connecté à l’internet. Ce dernier a positionné l’attribut ExternalURL sur le répertoire virtuel /owa.


Lorsque l’utilisateur 2 accède a sa boite aux lettre via OWA en utilisant le premier serveur CAS, ce dernier vérifie si l’attribut ExternalUrl est positionnée sur le second serveur CAS. Si cela est le cas, le premier serveur Cas retournera une page Web contenant un lien vers le CAS correct.

Dans le cas de la boite aux lettres de l’utilisateur 2  qui est localisée sur le serveur MBX2 sur le site distant ou le Second Serveur CAS est connecté à internet et ou l’attribut ExternalURL est positionné sur les répertoires virtuel /Microsoft-Server-ActiveSync, les choses sont différentes. Lorsque l’utilisateur 2 accède à sa boite aux lettres via ActiveSync en pointant sur le premier CAS, ce dernier vérifie si l’attribut ExternalURL est configuré sur le second CAS et si cela est le cas, retourne une erreur http code 451 en un événement ID 1008.

 Dans ce cas il faut recréer le partenariat en faisant pointer le périphérique mobile vers le bon serveur CAS.

La redirection est en effet uniquement supportée par les clients qui utilisent OWA. Les clients qui utilisent Exchange ActiveSync, Exchange Web Services, POP3, et IMAP4 ne peuvent pas bénéficier de la redirection.

Retrouver l'article complet sur www.gu-cu.com

 


Publié dans Exchange 2007

Commenter cet article