Configuration du serveur frontal

1.1 Les différentes architectures

En choisissant d’implémenter une architecture de serveur frontaux et dorsaux, vous aurez plusieurs possibilités selon votre choix du niveau de sécurité ou de complexité de configuration. Microsoft propose principalement quatres types d’architecture :

L’architecture ci-contre isole les serveurs frontaux entre deux pare-feu. L’avantage de cette architecture est l’isolement de des serveurs frontaux puisque, si vos serveurs frontaux venaient à se faire pirater, le pirate n’aurait pas accès à vos banques de boîte aux lettres. Les deux pare-feu jouent également un rôle de filtrage puisque le pare-feu situé entre le client (réseau externe) et le serveur frontal servira à filtrer les demandes concernant les serveurs frontaux tandis que le deuxième pare-feu filtrera les demandes entre les serveurs frontaux et dorsaux.
Dans cette architecture, on place les serveurs frontaux dans le réseau interne avec les serveurs dorsaux. La particularité de cette infrastructure est le placement d’un serveur ISA jouant le rôle de proxy entre deux pare-feu. Les deux pare-feu dispose du même rôle que dans la configuration précédente, cependant, les demandes du client seront retransmises par le serveur ISA aux serveurs frontaux contrairement à l’architecture précédente où c’était les pare-feu qui transféraient la demande. Cette architecture offre un niveau de sécurité élevé et c’est la configuration recommandé par Microsoft.
Cette configuration place vos serveurs frontaux dans le réseau interne de votre entreprise. Afin de sécuriser l’accès à celui-ci on place un pare-feu entre le réseau externe et le réseau interne. Avec cette architecture, vous devez ouvrir certains ports et les rediriger vers vos serveurs Exchange frontaux, comme par exemple les ports http, imap, pop, ou bien https, imaps ou encore pops.
La dernière architecture est le placement de vos serveurs frontaux en dehors de votre réseau et de vos pare-feu. Bien évidement, c’est l’architecture la plus déconseillée puisqu’elle met à disposition de tout le monde vos serveurs frontaux sans sécurité.

Il ne vous reste plus qu’a choisir quelle architecture est la plus adaptée à votre réseau, selon vos besoins de sécurité et selon les ouvertures de ports qu’elles requièrent sur les différents pare-feu. Vous retrouverez ci-dessous les différents ports utilisés par les services de messagerie :

Protocole Numéro de port
SMTP 25
HTTP 80
POP3 110
NNTP 119
IMAP 143
LDAP 389
HTTPS 443
NNTPS 563
IMAPS 993
POPS 995

1.2 Déclaration d’un serveur frontal

Une fois que vous aurez installé Microsoft Exchange 2003 sur votre futur serveur frontal, il ne vous reste qu’a le déclarer dans le Gestionnaire de système Exchange. Lancez donc le Gestionnaire de système et rendez-vous dans le dossier “Serveurs”. Affichez les propriétés du serveur destiné à devenir un serveur frontal, puis cochez la case Serveur Frontal dans la nouvelle fenêtre qui s’affiche.

L’utilisation de serveurs frontaux demandent quelques petites modifications au niveau de l’application de mise à jour comme par exemple le service pack 2 de Microsoft Exchange 2003. En effet, vous devrez d’abord appliquer les mises à jour sur le ou les serveurs frontaux puis sur les serveurs dorsaux. Si vous essayez d’installer la mise d’abord sur un serveur dorsal, vous obtiendriez un message d’erreur et la mise à jour ne sera pas possible.

Configuration et sécurisation du serveur frontal

2.1 Paramétrage d’Outlook Web Access (OWA)

La principale interface de communication entre vos serveurs Exchange et vos clients sera Outlook Web Access. Il est donc important de bien configurer ce service pour permettre aux utilisateurs un accès simple et fiable.

La première étape de configuration sera la mise en place d’une authentification à OWA avec des formulaire afin d’obetnir une authentification avec une page web et donc personnalisable. Pour se faire, rendez-vous dans le Gestionnaire de système Exchange, puis développez l’arborescence ci-dessous :

A partir de cet emplacement, il vous suffit d’afficher les propriétés de l’objet Serveur virtuel Exchange du conteneur HTTP. Dans la nouvelle fenêtre qui s’affiche, il vous suffit d’aller dans l’onglet Paramètre, puis de sélectionner Activer l’authentification basée sur les formulaire ainsi qu’une haute compréhension pour minimiser la taille des trames HTTP.

2.2 Sécurisation d’OWA

Afin de sécuriser la communication des mots de passe à Outlook Web Acces, vous pouvez implémenter HTTPS sur le site web. Pour se faire, l’utilisation de certificat est nécessaire. Cette demande de certificat demande plusieurs étapes, et la première de ces étapes s’effectuent sur votre serveur frontal et plus précisément dans la console IIS, que vous pouvez lancer à partir de la commandeExécuter et entrant inetmgr. Faites ensuite un clic droit pour afficher les propriétés du site contenant le répertoire virtuel Exchange (le site par défaut, sauf si changement) afin d’en afficher les propriétés. Allez ensuite dans l’onglet Sécurité de répertoire et cliquez sur Certificat de serveur.

Cette action va lancer un assistant qui vous permettra d’obtenir un certificat pour le https. Suivez l’assistant en entrant les paramètres suivant :

  • Création d’un certificat.
  • Préparation de la demande, mais ne pas l’envoyer maintenant.
  • Rentrez le nom de votre site web et laissez la longueur de la clef (1024 bits).
  • L’assistant vous demande des informations concernant le serveur de certificat, rentrez simplement le nom de votre autorité de certification dans le champ Organisation et Websrv dans le champ Unité d’organisation.
  • Remplissez ensuite les demandes de localité et laissez l’emplacement par défaut du certificat (c:\certreq.txt)

Vous venez de créer une demande de certificat, il ne vous reste plus qu’à l’envoyer au serveur de certificat. Pour ce faire, connectez-vous au site web du serveur de certificat à l’adresse suivante :https://adresse_du_serveur/certSrv.

Cliquez sur le lien Demander un certificat, puis surdemande de certificat avancée. On vous proposera plusieurs choix avec différent mode de chiffrage, choisissez :

Copiez/collez dans la fenêtre l’ensemble du document se trouvant dans c:\certreq.txt. Pensez à mettre Serveur Web dans le champ Modèle de certificat et validez la demande. On vous proposera enfin de télécharger votre certificat. Enregistrez-le avec un nom clair et dans un emplacement que vous pourrez facilement retrouver. Il ne vous reste plus qu’a l’installer dans IIS. Pour se faire, dans la console de gestion d’IIS, retournez dans l’assistant que vous avez utilisé pour créer une demande de certificat. Vous remarquerez que l’assistant a changé et vous propose de traiter votre demande de certificat en attente. Choisissez donc cette option et indiquez l’emplacement du certificat que vous venez d’enregistrer. Laissez ensuite le port par défaut pour le SSL et validez la fin de l’assistant.Maintenant que votre site web possède un certificat, il faut le configurer pour qu’il l’utilise. Encore une fois, affichez les propriétés du site web contenant le répertoire virtuel Exchange, et allez dans l’onglet Sécurité de répertoire. Modifiez ensuite les communications sécurisées et cochez la case Requérir un canal sécurisé et Exiger le cryptage 128 bits.

Dernière petite chose concernant la configuration d’IIS avec HTTPS, vous devrez permettre un accès authentifier de base en cochant la case Authentification de base dans la fenêtre de méthode d’authentification. Cette fenêtre s’obtient en cliquant sur Modifier de la partie Authentification et contrôle d’accès de l’onglet Sécurité de répertoire. Vous pouvez également spécifier un domaine par défaut dans cette fenêtre de manière à ce que les utilisateurs n’aient pas besoin de l’indiquer lors de leur accès à OWA.

2.3 Utilisation de S/MIME avec OWA

Pour pouvoir utiliser la signature des messages avec Exchange 2003, il vous faut installer le service pack 2 sur vos serveurs. De plus, comme HTTPS, S/MIME requiert un certificat, et donc une autorité de certificat.

S/MIME servira à deux choses dans votre infrastructure Exchange. La première concernera la signature des messages afin de pouvoir identifier de manière sure les utilisateurs vous envoyant des mails. En effet, il peut arriver que l’identité d’un utilisateur soit usurpée pour l’envoie de pièce jointe contenant des virus. Le système de signature permettra donc d’identifier ce type de mail afin de ne pas les ouvrir. La deuxième utilisation de S/MIME sera le chiffrement des mails. De cette manière, avec le système de clef publique / clef privée, vous pouvez vous assurer que seul la personne possédant un de ces certificats pourra lire votre message. Cet article concernera la configuration de S/MIME avec Outlook Web Acces, si vous désirez configurer S/MIME avec Outlook 2003, vous pouvez consulter l’article de Nicolas Milbrandici.

La première étape de configuration de S/MIME sera la demande de certificat pour vos utilisateurs. De la même manière que le HTTPS, connectez-vous à l’adresse https://nom_serveur/certSrv. Cliquez ensuite sur Demander un certificat, puis Certificat utilisateur. Validez enfin en cliquant sur Envoyer. Cette action installera un certificat utilisateur au nom de l’utilisateur sur l’ordinateur.

L’utilisation de S/MIME avec OWA requiert l’installation d’un module. Pour pouvoir l’installer, il vous suffit d’ouvrir une session sur OWA. Choisissez ensuite d’afficher les options d’OWA en cliquant sur Option dans le menu en bas, et dans la nouvelle page qui s’affiche, cliquez sur Télécharger dans la zone Sécurité de messagerie.

Une fois le fichier setupmcl.exe exécuté, retournez dans la page des options d’OWA et vous verrez que la zone Sécurité de messagerie a changé. Il ne reste plus qu’à cocher la case Ajouter une signature numérique aux messages sortants.

Vous remarquerez également l’apparition de nouvelles options dans la fenêtre de composition d’un mail.

Cependant, vous l’aurez remarqué, avec cette méthode, tous vos utilisateurs vont devoir faire une demande sur le serveur de certificat. Afin d’automatiser cette demande, vous pouvez déployer les certificats via les GPO.

Pour se faire, rendez-vous dans la console d’administration de certificat : Autorité de certificat. Dans la console, développez l’arborescence afin d’obtenir le dossier Modèle de certificat, puis dans la partie de droite, faites un clic droit puis sélectionnez Gérer afin de lancer une nouvelle console : Certtmpl.msc. Faites un clic droit sur Utilisateur et choisissez Dupliquer. Validez la nouvelle fenêtre sans modifier les paramètres par défaut pour permettre au certificat d’être délivré automatiquement. Affichez les propriétés de votre nouveau modèle et rendez vous dans l’onglet Sécurité. Assignez à Utilisateurs du domaine le droit d’inscrire automatiquement ce certificat.

Fermez la console pour retourner dans la console Autorité de certificat. Il vous suffit ensuite de rajouter le modèle que vous venez de créer comme dans la partie 2.4. Il vous suffit de configurer une GPO à l’arborescence ci-contre.Le paramètre à configurer est Paramètre d’inscription automatique. Il ne vous reste plus qu’a configurer votre GPO pour la lier à votre domaine et de cette manière, tous vos utilisateurs posséderont un certificat pour signer leurs mails.

2.4 Implémentation de IPSec entre les serveurs frontaux et dorsaux

Afin que la communication entre vos serveurs frontaux et vos serveurs dorsaux soient sécurisées, il est recommandé de mettre en place un système de chiffrement avec IPSec. Pour se faire, IPSec permet l’utilisation de plusieurs possibilités d’authentification des clients, notamment l’utilisation d’une clé pré-partagée, l’utilisation de Kerberos ou encore d’utiliser une structure PKI avec les certificats. Bien évidement, cette dernière solution est de loin la plus sécurisée, et c’est pourquoi nous détaillerons son utilisation dans cet article. Il est à noter que vos serveurs frontaux et dorsaux devront posséder un certificat et IPSec de configurer afin de permettre le chiffrement des communications.

Outre la configuration du serveur du certificat, vous devrez dans un premier temps configurer ce serveur de certificat à distribuer des certificats IPSec aux ordinateurs. Pour se faire, ouvrez la console Autorité de certification se trouvant dans les outils d’administrations. Développez ensuite l’arborescence de la console, puis faites un clic droit sur Modèles de certificats, sélectionnez ensuite Nouveau / Modèle de certificat à délivrer. Dans la fenêtre Activer les modèles de certificats, sélectionnez IPSEC.

Une fois que votre ordinateur est capable de distribuer des certificats IPSec, il ne vous reste plus qu’a l’attribuer à vos serveurs. Pour se faire, vous pouvez le faire manuellement en important le certificat localement, ou bien en utilisant les Stratégies de groupe. Cet article détaillera l’attribution via les Stratégies de groupe puisque d’un point de vu pratique, il est préférable de les utiliser dans le cas où vous disposez d’un parc d’ordinateur assez conséquent. Créez donc une nouvelle stratégie de groupe, soit via GPMC ou bien la console Utilisateur et ordinateur Active Directory, puis rendez-vous dans Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, puis Stratégies de clé publique. Faites ensuite un clic droit sur Paramètres de demande automatique de certificat, et enfn sélectionnezNouveau / Demande automatique de certificat… Vous lancerez un assistant. Dans la page Modèle de certificat, sélectionnez IPSEC. Il ne vous reste plus qu’a lier votre GPO à une unité d’organisation contenant vos serveurs afin de déployer vos certificats.

Il ne vous reste plus qu’a configurer IPSec sur vos serveurs Exchange. Pour se faire, il suffit d’ouvrir une console MMC afin d’y ajouter le composant Gestion de la stratégie de sécurité IP. Lors de l’ajout du composant, il faut bien vérifier que celui-ci va configurer l’ordinateur local. L’ajout du composantMoniteur de sécurité IP peut être utile afin de vérifier que le trafic est sécurisé. De la même manière que pour l’attribution des certificats IPSec, vous pouvez utiliser les stratégies de groupe pour affecter une configuration IPSec sur vos ordinateurs. Dans votre GPO, développez l’arborescence Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, puis cliquez sur Stratégie de sécurité IP sur Active Directory, puis dans le panneau à droite sur Serveur (demandez la sécurité) afin d’en afficher les propriétés. Dans l’onglet Règles, Modifiez Tout le trafic IP. Sélectionnez ensuite l’onglet Méthode d’authentification. Supprimez les éventuelles entrées déjà existantes, puis créer une nouvelle méthode d’authentification avec le bouton Ajouter. Dans la nouvelle fenêtre, cochez le bouton radio Utiliser un certificat émis par cette Autorité de certification et sélectionnez le nom de votre autorité de certificat en cliquant sur Parcourir.

2.5 Sécurisation de POP et IMAP

Pour clore ce chapitre, nous allons sécuriser avec SSL les services POP et IMAP. Il est important de noter la configuration de ces services avec SSL doit être faite sur vos serveurs frontaux

et

dorsaux. Cependant, la configuration pour POPS ou IMAPS étant la même procédure, cet article ne détaillera que la mise en place de POPS.

De la même manière qu’HTTPS, il faut que votre serveur possède un certificat afin de pouvoir chiffrer avec SSL. Afin de faire la demande, rendez-vous dans la console de gestion d’Exchange : Gestionnaire de système Exchange. Affichez ensuite les propriétés de votre serveur virtuel et rendez-vous dans l’onglet Accès. Cliquez ensuite sur le bouton Certificat pour lancer un assistant de demande de certificat. Cette assistant se présente de la même manière que celui créé pour https, il ne vous reste qu’a le suivre afin d’obtenir votre certificat.

Une fois votre certificat obtenu correctement, cliquez sur Communication pour cocher les cases Requérir un canal sécurisé puisRequérir un cryptage sur 128 bits et obtenir votre communication POP avec SSL.

Exchange et le clustering

Microsoft Exchange 2003 supporte les deux types de cluster Microsoft : le Network Load Balancing et le Microsoft Clustering Services. Cependant,

3.1 NLB

Contrairement au cluster MSCS, le cluster NLB (Network Load Balancing) ne nécessite pas de configuration particulière ou serveur reproduisant la même configuration matérielle. En effet, la configuration du cluster peut se faire directement dans les cartes réseau du serveur. Plus précisément, l’implémentation du cluster NLB se matérialise par l’élément Equilibrage de la charge réseau dans les propriétés de votre carte réseau.

De cette manière, pour installer et configurer le cluster, il vous suffit de cocher la case. Une fois activée, vous aller pouvoir configurer certains paramètres pour le cluster. La première chose à configurer est l’adresse IP de votre cluster. En effet, votre groupe de cluster va posséder sa propre adresse IP, ainsi que son propre nom DNS, de cette manière, vos clients pourront accéder au cluster via un nom DNS ou bien une adresse IP. A partir de cette adresse IP, le service de cluster va rediriger les utilisateurs selon la priorité de l’ordinateur. Vous pouvez également configurer un mode d’opération de cluster : Monodiffusion ou Multidiffusion. Cette option fait référence aux nombres de carte réseau sur votre ordinateur. En effet, si vous disposez d’une carte réseau, vous devrez utiliser le mode de multidiffusion pour coupler le traffic réseau normale et celui du cluster. Tandis que si vous avec une carte réseau dédié au cluster, donc au minimum deux cartes réseau sur votre serveur, vous pourrez sélectionner le mode de monodiffusion. La dernière option de cet onglet est l’autorisation de l’administration à distance et la définition du mot de passe. Ce mode vous permet de prendre le controle à distance de votre cluster via un système en ligne de commande.

Le deuxième onglet, Paramètres de l’hôte va vous permettre de configurer notamment la priorité d’un nœud du cluster. Cette priorité s’effectue par ordre croissant, c’est à dire que celui qui a la plus petite priorité sera considéré comme le serveur par défaut pour les utilisateurs. Vous aurez également la possibilité d’attribuer une adresse IP à la machine de manière à ce que le nœud soit joignable dans le réseau du cluster.Et enfin, vous pourrez paramétrer l’état d’initialisation du cluster.

3.2 MSCS

Le clustering MSCS est plus destiné aux serveurs dorsaux ainsi qu’aux serveurs de base de données comme par exemple SQL Server. C’est pourquoi cet article ne parlera pas plus de ce type de cluster. Cependant, vous trouverezici tout un tutorial concernant Microsoft Exchange 2003 et le clustering MSCS.

Conclusion

Tout au long de l’article nous avons vu que Microsoft Exchange offrait de grandes possibilités d’architecture et de sécurisation via la possibilité de serveurs frontaux et dorsaux. Chacune des quatre architectures offrent des possibilités au niveau différentes selon le besoin de sécurité de votre entreprise. Exchange offre également des possibilités de mise en cluster afin que vos utilisateurs puissent accéder à tout moment à leurs mails. Il ne reste plus qu’a attendre la sortie de Microsoft Exchange 2007, actuellement en version Beta, pour voir les nouvelles implémentations de Microsoft au niveau des serveurs de messagerie.

Sources

https://technet.microsoft.com//articles/win/nlb//mcp/70-284/