Publication initiale: lundi 16 février 2009
Une fois la configuration du serveur passée en revue, nous allons vérifier la configuration du poste client.
Validation du certificat SSL présenté par le serveur Exchange
Si le certificat SSL présenté par le serveur n’est pas accepté par le client, Outlook Anywhere ne fonctionnera pas. Les deux cas les plus fréquents sont les suivants :
a) L’URL HTTPS et le nom de domaine du certificat ne correspondent pas. Il faut donc soit recréer le certificat avec le bon nom de domaine, soit créer un enregistrement DNS pour que l’URL HTTPS corresponde au certificat.
b) L’autorité de certification, dont est issu le certificat du serveur, n’est pas reconnue par le poste client. Il suffit d’installer le certificat de l’autorité de certification sur le client.
Un moyen simple de vérifier le certificat SSL du serveur consiste à ouvrir Internet Explorer et saisir l’adresse HTTPS utilisée pour OL Anywhere.
Dans l’exemple ci-dessous, le navigateur indique clairement que l’autorité de certification n’est pas connue.
Vérification de la configuration du client
Lors de la création du compte Exchange, il faut indiquer le nom complet interne (FQDN) du serveur de boite aux lettres :
Ensuite dans les propriétés avancées du compte de messagerie, dans l’onglet "connexions", cliquer sur le bouton "Exchange Proxy Settings".
Saisissez alors dans l’URL HTTPS publique par laquelle le serveur CAS est publié sur internet. Le nom de domaine utilisé dans l’URL doit être présent sur le certificat installé sur le serveur CAS, comme expliqué précédemment.
Dans un premier temps faites vos tests avec l’authentification "Basic" (le répertoire RPC du serveur CAS doit également etre en "Basic") et ne sélectionnez pas la case à cocher "Authentification mutuelle".
You must sometimes use Basic authentication because NTLM authentication will fail if the proxy server for Exchange does not trust the authentication information. This issue can be caused by firewalls that examine the HTTP traffic and modify it in some way
KB 820281 : You must provide Windows account credentials
Vérification du status de la connexion du client
Pour vérifier que Outlook Anywhere fonctionne bien, maintenir enfoncé la touche du clavier Ctrl-Gauche et faire un clique droit sur l’icone d’Outlook, dans la barre des tâches.
Outlook affiche alors l’état des différentes connexion avec Exchange :
Dans l’exemple ci-dessus la connexion n’a été établie que partiellement en HTTPS. L’utilisation de RPCping pourra ici s’avérer précieuse.
Authentification Mutuelle
L’authentification mutuelle est une option de configuration HTTPS d’Outlook qui évite la saisie du mot de passe en mode NTLM.
Outlook envoie alors automatiquement les informations d’authentification NTLM. La case à cocher s’appelle respectivement selon la version du client :
- OL07 : "Only connect to proxy servers that have this principal name in their certificate"
- OL03 : "Mutual Authentication"
La syntaxe de l’URL pour l’authentification mutuelle est : msstd:mail.domain.com
"mail.domain.com" est en général identique à l’URL HTTPS. Il est primordial que le nom de domaine saisi sans l’URL MSSTD corresponde au nom principal du certificat (celui présent sur l’onglet ’général’, à la ligne ’issued to’.)
Une autre solution (KB820281) pour accomplir l’authentification mutuelle consiste à modifier la clé de registre :
Liens utiles
TECHNET : How to Create an Outlook Profile for Users to Use with RPC over HTTP
TECHNET : RPC over HTTP Authentication and Security
KB 820281 : You must provide Windows account credentials
Aucun commentaire:
Enregistrer un commentaire