Voici un poste super intéressant que j’ai lu ce matin venant directement de l’équipe Exchange et que je voudrais partager avec vous. Le sujet concerne les versions d’Exchange 2007 et 2010 et plus précisément le placement du rôle CAS (Client Access Server) dans un réseau de périmètre, généralement appelé DMZ. Pour résumer directement le sujet dans l’introduction, cette configuration n’est pas possible et n’est pas supportée par Microsoft ! Voici maintenant toutes les explications…

En effet, avec Exchange 2000/2003, il était supporté de positionner les serveurs frontaux (FE) dans une DMZ avec un firewall activé qui les séparaient des serveurs dorsaux (BE). Nombre de clients ayant cette configuration actuellement pensent pouvoir la reproduire lors de leur migration vers Exchange 2007/2010.

Si aujourd’hui, il n’existe aucun document sur le Technet sur le déploiement de serveurs CAS en DMZ, c’est tout simplement que Microsoft ne supporte pas cette configuration. En effet, Microsoft ne test et ne supporte pas une topologie dans laquelle un pare-feu est activé entre le serveur CAS et le serveur de boîtes aux lettres (MBX). Le seul rôle d’Exchange 2007/2010 qui est supporté dans une DMZ est le rôle Egde.

Bien évidemment, la première réaction est quant est-il alors du pare-feu intégré de Windows ? Il est bien supporté d’avoir le pare-feu de Windows activé et cela est même fortement recommandé. En effet, Exchange 2010 est suffisamment intelligent pour configurer lui-même les exceptions dans le pare-feu lors de son installation. Exchange 2007 lui nécessite d’exécuter l’assistant de configuration de sécurité et d’appliquer le modèle dédié sur le serveur.

Maintenant la prochaine question logique que vous devez vous poser est "Pourquoi ?"

La première des raisons pour placer des serveurs frontaux dans une DMZ était d’empêcher tout trafic non identifié d’atteindre les serveurs sur le réseau interne. Ceci était une bonne pratique mais vous allez voir que ce n’est plus la meilleure façon d’atteindre cet objectif.

Il existe tout d’abord une multitude de différences entre les FE 2000/2003 et les serveurs CAS 2007/2010. En effet les serveurs FE 2000/2003 servaient à authentifier les utilisateurs et à transmettre le trafic vers les serveurs BE (Back End). Les serveurs CAS 2007/2010 agissent réellement dans une logique « middle-tier » pour OWA, ActiveSync (EAS) ou encore Web Services (EWS)…

Dans la même période qu’Exchange 2007, de nombreux clients ont commencé à déployer des Proxy Inverse comme ISA 2004 ou 2006 et maintenant FTMG 2010 avec des fonctionnalités comme la pré-authentification. Ce qui signifie que pour une véritable défense en profondeur, un proxy inverse fait un bien meilleur travail que ne pouvait le faire les FE ou que fait un CAS.

 La meilleure pratique est donc maintenant de positionner un serveur proxy inverse dans votre DMZ, de configurer le pare-feu entre les réseaux internes et DMZ le plus restrictif possible et de placer enfin votre CAS dans le réseau interne.