Migration Exchange 2003 vers Exchange 2007 -> le casse tête de l’accès OWA et ActiveSync

Publié le 20 octobre 2009 par Guillaume Mathieu

Salut à tous

Je travaille actuellement sur une migration Exchange 2003 vers Exchange 2007.
Dans le cadre de cette migration, les boîtes aux lettres vont être migrées progressivement.
Le serveur Exchange 2003 et le serveur Exchange 2007 doivent donc pouvoir cohabiter.
Vient la question qui est l’objet de cet article.
Comment puis je publier à la fois l’Outlook Web Access et l’ActiveSync du serveur Exchange 2003 et du serveur Exchange 2007.

ARCHITECTURE DU CLIENT :
– Un domaine msreport.local géré par deux contrôleurs de domaine (domaine unique).
– Un serveur Exchange 2003 SP2 membre du domaine.
– Un serveur Exchange 2007 SP1 rollup 9 membre du domaine.
– Un serveur Isa Server 2006 SP1 avec une seule carte réseau en groupe de travail (une seule IP).
– Un pare feu en frontal qui dispose d’une IP publique. Le trafic TCP 443 (HTTPS) est redirigé vers le port TCP 443 du serveur ISA 2006 SP1.
Le client ne dispose que d’une seule IP publique et d’un seul nom DNS (mail.msreport.free.fr). pour l’accès OWA et ActiveSync.

OBJECTIFS :
– Permettre aux utilisateurs dont la boîte aux lettres est hébergée sur Exchange 2003 d’accéder à leurs mails via OWA ou ActiveSync. L’accès doit être chiffré (HTTPS).
– Permettre aux utilisateurs dont la boîte aux lettres est hébergée sur Exchange 2007 d’accéder à leurs mails via OWA ou ActiveSync. L’accès doit être chiffré (HTTPS).

COMPLEMENTS D’INFORMATION :
– Avec Exchange 2007, l’accès OWA se fait via l’URL suivante :
https://mail.msreport.free.fr/owa
– Avec Exchange 2003, l’accès OWA se fait via l’URL suivante :
https://mail.msreport.free.fr/exchange

SOLUTION POUR L’ACCES OWA :
1. Créer une première “règle de publication de l’accès de client web Exchange” pour publier l’accès OWA pour le serveur Exchange 2003.
La règle publie en fait les répertoires virtuelles suivantes :
/Public/*
/Exchange/*
/ExchangeWeb/*
2. Créer une seconde règle de publication règle de publication de l’accès de client web Exchange pour publier l’accès OWA pour le serveur Exchange 2007.
La règle publie en fait les répertoires virtuelles suivantes :
/Public/*
/Exchange/*
/ExchangeWeb/*
/OWA/*

Monter la règle Publication OWA Exchange 2003 pour la prioriser par rapport à la règle de publication Exchange 2007.

Quand un utilisateur a une boîte aux lettres hébergée sur Exchange 2003, il doit se connecter via :
https://mail.msreport.free.fr/exchange.
Quand la boîte aux lettres est hébergées sur le serveur Exchange 2007, il doit se connecter via l’URL :
https://mail.msreport.free.fr/owa.

Remarque très importante pour le pontage SSL en mode HTTPS – HTTPS :
Il y a en fait deux connexions SSL :
– Une entre le client (utilisateur qui va lire ses mails) et le serveur Isa. Cela se configure au niveau du port d’écoute.
– Une entre le serveur ISA et le serveur Exchange : cette dernière ne peut s’effectuer que si le serveur Isa peut se connecter au serveur Exchange 2003 / 2007 en HTTPS sans aucun warning.
Il faut donc que ces 3 conditions soient respectées sinon la règle de publication échoue :
a. L’autorité de certification qui a émis le serveur du serveur Exchange 2003 / 2007 doit être reconnue par le serveur ISA.
b. Le certificat ne doit pas être expiré.
c. Le nom du certificat doit correspondre au nom indiqué dans l’onglet “A” de la règle de publication.

Remarque :
Si vous utilisez des certificats autosignés, bien que je ne le recommande pas, vous pouvez l’ajouter (export au format CER – clé publique uniquement) dans le magasin Autorité de certification racine de confiance au niveau du magasin de certificat ordinateur de Windows (MMC -> ajout composant logiciel enfichable -> Certificats -> Ordinateur). Le certificat est alors reconnu comme de confiance.

Pour plus d’informations, voir :
http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchange-ActiveSync-RPCHTTP-2006-ISA-Firewall-Part6.html
http://technet.microsoft.com/en-us/library/bb794751.aspx

SOLUTION POUR L’ACCES ACTIVESYNC :
1. Configurer le répertoire virtuel pour accepter l’Authentification Intégrée. Il sera nécessaire pour cela de passer un correctif sur le serveur Exchange 2003.
Pour plus d’informations, voir :
http://support.microsoft.com/kb/937031/en-us
http://msexchangeteam.com/archive/2007/01/05/432079.aspx
2. Créer une “règle de publication de l’accès de client web Exchange” pour publier L’ActiveSync du serveur Exchange 2007. Si la boîte aux lettres est hébergée sur un serveur Exchange 2003, le CAS (Exchange 2007) redirige la connexion sur le serveur Exchange 2003 (serveur dorsale : qui héberge des boîtes aux lettres).

a+
Guillaume MATHIEU
PROSERVIA
La connaissance s’accroît quand on la partage.

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Certificats, Exchange, IIS, Isa 2004, Isa 2006, Isa Server, Migration, avec comme mot(s)-clé(s) , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire