Contexte
Cet article présent la configuration du RPC/HTTP dans une architecture de type mono-serveur l’unique serveur ayant les rôles suivants :
- Contrôleur de domaine,
- Catalogue global,
- Serveur Exchange,
- Proxy RPC.
RPC/HTTP permet à une entreprise de relier ses clients Outlook mobile sans mettre en danger son environnement de production par l’ouverture de plusieurs ports (qui sont susceptibles d’être bloqués en sortie dans le réseau du client mobile) les seuls ports utilisés sont les ports TCP 80 ou TCP 443 dans le cas d’une utilisation avec SSL.
Installation du proxy RPC
- Dans « Panneau de configuration » choisir « Ajouter ou supprimer des programmes »
- Choisir « Service de mise en réseau » puis « Détails » :
- Sélectionner « Proxy RPC sur HTTP » puis lancer l’installation (le CD de Windows Server 2003 ou le dossier i386 est requis) :
Configuration du répertoire RPC depuis IIS
- Depuis la console IIS (Gestionnaire des Services Internet), afficher les propriétés du dossier RPC :
- Dans l’onglet « Sécurité du répertoire », cliquer sur le bouton Modifier de la partie « Authentification et contrôle d’accès » :
- Dans les Méthodes d’Authentification, décocher la case « Activer la connexion anonyme » et cocher « Authentification de base » :
(Une fois cette modification faite, un message d’information apparait vous signalant que le mot de passe est envoyé en clair via une connexion non-cryptée et est donc visible en utilisant un outil d’analyse de trames, bien sûr, si le SSL est déjà activé sur le site, ce message ne nous concerne pas.)
Activation du SSL pour le répertoire RPC
ATTENTION ! : Cette partie nécessite que la configuration d’SSL sur le Site par Défaut IIS soit fonctionnelle, avec un certificat de paramétré. Si SSL n’est pas utilisé cette étape peut être passée.
- Depuis la console IIS (Gestionnaire des Services Internet), afficher les propriétés du dossier RPC,
- Dans l’onglet « Sécurité du répertoire », cliquer sur le bouton Modifier de la partie « Communications sécurisées » :
- Cocher les cases « Requérir un canal sécurisé » ainsi que « Exiger le cryptage 128 bits »:
Activation du RPC-http depuis la console Exchange
- Depuis la console « Gestionnaire système Exchange » dans le dossier « Serveurs » sur le serveur RPC-http faire clique-droit puis « Propriétés » puis cocher la case « Serveur principal RPC-http :
Une erreur spécifiant qu’aucun serveur frontal Exchange n’existe est susceptible d’apparaitre. Ignorer ce message.
Configuration des ports utilisé par le serveur Proxy RPC
ATTENTION ! : Cette partie touche au registre. Avant toute modification du registre, il est fortement conseillé de sauvegarder le registre
La configuration des valeurs de registre suivantes est automatiquement exécutée lors du redémarrage suivant l’installation du Proxy RPC-HTTP (pour Exchange Server 2003 SP2). Cette partie est utile, si un reboot n’est pas envisageable ou si vous souhaitez vérifier la bonne configuration de ces valeurs.
- Chercher la clé de registre « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy » :
- L’attribut « ValidPorts » doit être configuré comme il ceci (le texte surligné en jaune doit être modifié en fonction de vos nom de serveurs :
| NomNETBIOSduServeur:6001-6002; FQDNInterneduServeur:6001-6002; FQDNExterneduServeur:6001-6002; NomNETBIOSduServeur:6004; FQDNInterneduServeur:6004; FQDNExterneduServeur:6004 |
Par exemple :
- Domaine : TEST.lab
- NomNETBIOSduServeur : EXCHANGE-SRV
- FQDNInterneduServeur : EXCHANGE-SRV.TEST.lab
- FQDNExterneduServeur : mail.TEST.lab
Soit :
| EXCHANGE-SRV:6001-6002; EXCHANGE-SRV.TEST.lab:6001-6002; mail.TEST.lab:6001-6002; EXCHANGE-SRV:6004; EXCHANGE-SRV.TEST.lab:6004; mail.TEST.lab:6004 |