Publication initiale:lundi 16 février 2009
Outlook Anywhere, anciennement "RPC over HTTP", permet à un client Outlook de se connecter à Exchange depuis l’extérieur sans VPN.
Une connexion HTTPS est créé dans laquelle sont encapsulés les paquets RPC. La connexion HTTPS se fait entre le client Outlook et le proxy RPC du serveur CAS.
Deux connexions HTTPS existent comme le montrent la présence des verbes RPC_IN_DATA et RPC_DATA dans les logs IIS.
En effet RPC est "full duplex" contrairement à HTTP. Pour compenser cela le proxy HTTP envoi les données au client sur une connexion et les recoit sur l’autre.
Le proxyRPC transmet les requêtes RPC au serveur Mailbox, sur le lan.
Pour des raisons de sécurités, une clé de registre (validports) limite les serveurs internes et les ports auquels le proxyRPC peut se connecter.
Cela limite l’impacte qu’aurait la prise de control du proxyRPC par un attaquant. Les ports utilisés entre le CAS et le MBX sont ainsi déclarés dans cette clé et limités aux ports tcp 6001,6002 et 6004.
Aucun commentaire:
Enregistrer un commentaire