Configuration de la publication ActiveSync
Publication: novembre 2009
Mis à jour: février 2010
S'applique à: Forefront Threat Management Gateway (TMG)
À l'aide d'Exchange ActiveSync, les utilisateurs peuvent accéder à leurs boîtes aux lettres Exchange à partir de périphériques Microsoft Windows Mobile® comme Windows Mobile 2003 pour Pocket PC, notamment Pocket PC Phone Edition et Windows Mobile 2003 pour Smartphone, avec des niveaux de sécurité élevés. Ils peuvent synchroniser leurs messages électroniques, rendez-vous, informations de contact et tâches dans leurs boîtes aux lettres et utiliser ces informations lorsque le périphérique mobile est hors connexion.
Lorsque vous utilisez Exchange Server 2007 ou Exchange Server 2010, vous pouvez authentifier une connexion ActiveSync à l'aide de l'authentification par certificat client. Forefront TMG prend en charge la délégation Kerberos contrainte, qui permet à Forefront TMG d'authentifier une connexion de client à l'aide d'un certificat client et d'obtenir un ticket Kerberos. Ce ticket peut être présenté au serveur Web publié, qui accepte le ticket Kerberos plutôt que les informations d'identification du client.
Pour configurer la publication ActiveSync
Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.
Dans le volet des tâches, cliquez sur l'onglet Boîte à outils.
Sous l'onglet Boîte à outils, cliquez sur Objets réseau et sur Nouveau, puis sélectionnez Port d'écoute Web pour ouvrir l'Assistant Nouveau port d'écoute Web.
Suivez les étapes de l'Assistant Nouveau port d'écoute Web, tel qu'indiqué dans le tableau suivant.
Page Champ ou propriété Paramètre ou action Assistant Nouveau port d'écoute Web
Nom du port d'écoute Web
Tapez un nom pour le port d'écoute Web. Par exemple, tapez Port d'écoute ActiveSync.
Sécurité de la connexion des clients
Sélectionnez Requiert des connexions sécurisées SSL avec des clients.
Adresses IP du port d'écoute Web
Écouter les demandes Web entrantes sur ces réseaux
Sélectionnez le réseau Externe. Cliquez sur Sélectionner les adresses IP, puis sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur Forefront TMG qui sont dans le réseau sélectionné. Sous Adresses IP disponibles, sélectionnez l'adresse IP du site Web, cliquez sur Ajouter, puis sur OK.
</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Certificats SSL de port d'écoute</strong> </p> </td> <td colspan="1"> <p /> <p> </p> </td> <td colspan="2"> <p>Sélectionnez <strong>Utiliser un certificat unique pour ce port d'écoute Web</strong>, cliquez sur <strong>Sélectionner un certificat</strong>, puis sélectionnez un certificat pour lequel le nom d'hôte dont se servent les utilisateurs pour accéder au site Web publié apparaît dans le champ <strong>Émis pour</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Paramètres d'authentification</strong> </p> </td> <td colspan="1"> <p> <strong>Sélectionner la manière dont les clients fournissent des informations d'identification à Forefront TMG</strong> </p> </td> <td colspan="2"> <p>Dans la liste déroulante, sélectionnez <strong>Authentification par formulaire HTML</strong>. Si vous voulez utiliser la délégation contrainte Kerberos, sélectionnez <strong>Authentification par certificats clients SSL</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Collecter des informations d'identification de délégation supplémentaires dans le formulaire</strong> </p> </td> <td colspan="2"> <p>Désactivez cette case à cocher.</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Sélectionner le mode de validation par Forefront TMG des informations d'identification des clients</strong> </p> </td> <td colspan="2"> <p>Si Forefront TMG est déployé dans un domaine, sélectionnez Windows (Active Directory). Dans le déploiement d'un groupe de travail, vous pouvez sélectionner <strong>LDAP (Active Directory)</strong>, <strong>RADIUS</strong>, <strong>RADIUS OTP</strong> ou <strong>SecurID</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Paramètres d'authentification unique</strong> </p> </td> <td colspan="1"> <p> <strong>Activer SSO pour les sites Web publiés à l'aide de ce port d'écoute</strong> </p> </td> <td colspan="2"> <p>Désactivez cette case à cocher.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Fin de l'Assistant Nouveau port d'écoute Web</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>Vérifiez les paramètres, puis cliquez sur <strong>Terminer</strong>. </p> </td> </tr> </table>
Dans le volet des tâches, cliquez sur l'onglet Tâches.
Sous l'onglet Tâches, cliquez sur Publier l'accès de client Web Exchange pour ouvrir l'Assistant Nouvelle règle de publication Exchange.
Effectuez les étapes de l'Assistant Nouvelle règle de publication Exchange comme indiqué dans le tableau suivant.
Page Champ ou propriété Paramètre ou action Assistant Nouvelle règle de publication Exchange
Nom de la règle de publication Exchange
Tapez un nom pour la règle de publication Exchange. Par exemple, tapez Clients ActiveSync.
Sélectionnez les services
Version Exchange
Sélectionnez Exchange Server 2003, Exchange Server 2007 ou Exchange Server 2010.
Services de messagerie de client Web
Sélectionnez Exchange ActiveSync.
Type de publication
Sélectionnez Publier un seul site Web ou un équilibrage de charge. Les autres options ne sont pas traitées dans cette procédure.
Sécurité de la connexion des serveurs
Sélectionnez Utiliser le protocole SSL pour se connecter au serveur Web publié ou à la batterie de serveurs. Pour activer cette option, il est nécessaire d'installer sur chaque serveur frontal Exchange un certificat de serveur SSL pour lequel le nom d'hôte est spécifié comme nom de site local dans le champ Émis pour.
Informations de publication interne
Nom de site local
Tapez le nom d'hôte qui sera utilisé par Forefront TMG dans les messages de requête HTTP envoyés au serveur publié.
Si le nom de site local spécifié dans ce champ ne peut pas être résolu et n'est ni le nom de l'ordinateur ni l'adresse IP du serveur publié, sélectionnez Utiliser un nom ou une adresse IP d'ordinateur pour se connecter au serveur publié, puis tapez le nom d'ordinateur pouvant être résolu ou l'adresse IP du serveur publié.
Informations sur le nom public
Accepter les demandes pour
Sélectionnez Ce nom de domaine (saisissez ci-dessous).
Nom public
Tapez le nom de domaine complet public ou l'adresse IP que les utilisateurs externes utiliseront pour accéder au site Exchange ActiveSync publié.
Sélectionnez le port d'écoute Web
Port d'écoute Web
Dans la liste déroulante, sélectionnez le port d'écoute Web créé à l'étape 4. Vous pouvez ensuite cliquer sur Modifier pour modifier les propriétés du port d'écoute Web sélectionné.
Délégation d'authentification
Sélectionnez la méthode utilisée par Forefront TMG pour authentifier le serveur Web publié
Pour utiliser l'authentification par formulaires, sélectionnez Authentification de base. Pour l'authentification par certificats clients SSL, sélectionnez Délégation contrainte Kerberos.
Ensembles d'utilisateurs
Cette règle s'applique aux demandes émanant des ensembles d'utilisateurs suivants
Si vous utilisez la validation des informations d'identification Windows, ne modifiez pas l'option par défaut Tous les utilisateurs authentifiés. Si vous utilisez la validation RADIUS, LDAP ou SecurID, vous devez utiliser un ensemble d'utilisateurs configuré pour l'espace de noms applicable.
Fin de l'Assistant Nouvelle règle de publication Exchange
Vérifiez les paramètres, puis cliquez sur Terminer.
Dans le volet d'informations, cliquez sur le bouton Appliquer pour enregistrer et mettre à jour la configuration, puis cliquez sur OK.
Remarque : - Lors de la publication sur SSL, le certificat de serveur SSL émis pour le nom d'hôte du site Web publié doit être installé dans le magasin personnel de l'ordinateur local sur l'ordinateur Forefront TMG. Pour plus d'informations sur l'obtention et l'installation d'un certificat de serveur SSL, consultez Configuration de certificats de serveur pour la publication Web sécurisée.
- Dans la page Adresses IP des ports d'écoute Web de l'Assistant Nouveau port d'écoute Web, vous pouvez également sélectionner Adresses IP par défaut pour les cartes réseau sur ce réseau. Si l'équilibrage de la charge réseau est activé, cette option sélectionne automatiquement les adresses IP virtuelles. Sinon, l'adresse IP par défaut est automatiquement sélectionnée pour chaque carte réseau.
- Si vous utilisez la validation des informations d'identification RADIUS, l'ordinateur Forefront TMG doit être enregistré en tant que client RADIUS sur le serveur RADIUS et la règle de stratégie système RADIUS doit être activée pour autoriser le trafic RADIUS de l'ordinateur Forefront TMG (réseau de l'hôte local) vers le réseau interne. Cette règle suppose que le serveur RADIUS est situé sur le réseau interne.
- Si vous sélectionnez la validation des informations d'identification RADIUS, LDAP ou RADIUS OTP, vous devez modifier les propriétés du port d'écoute Web que vous créez pour spécifier les serveurs RADIUS ou LDAP qui seront interrogés en vue de l'authentification.
- Exchange ActiveSync est uniquement pris en charge par Exchange Server 2003 et Exchange Server 2007.
- Avec Exchange ActiveSync, vous pouvez vous synchroniser avec des niveaux de sécurité élevés, dans vos boîtes aux lettres Exchange à partir de périphériques Microsoft Windows Mobile comme Windows Mobile 2003 pour Pocket PC, notamment Pocket PC Phone Edition et Windows Mobile 2003 pour Smartphone.
- Forefront TMG utilise l'en-tête de l'agent-utilisateur d'une demande de client pour déterminer le formulaire HTML qui sera utilisé dans la réponse renvoyée au navigateur Web. Les types de formulaires pris en charge sont HTML 4.01, XHTML-MP et cHTML. Lorsque l'en-tête de l'agent-utilisateur de la demande ne correspond à aucun de ces formats, Forefront TMG utilise l'authentification de base.
- Les utilisateurs se connectent à Exchange ActiveSync en ouvrant une URL qui se présente généralement sous la forme suivante : https://nom_hôte/Microsoft-Server-ActiveSync. Il se peut que vous deviez modifier les mappages entre les chemins d'accès spécifiés par les utilisateurs et les chemins d'accès internes sous l'onglet Chemins d'accès des propriétés de votre règle de publication Web.
- Pour plus d'informations sur les paramètres dans les règles de publication Web, consultez Planification de la publication.
Rubriques connexes
Concepts