Vous êtes sur la page 1sur 80

UNIVERSITE SIDI MOHAMED BEN ABDELLAH

FACULTE DES SCIENCES ET TECHNIQUES FES


DEPARTEMENT D’INFORMATIQUE

Projet de Fin d’Etudes


LLiicceennccee SScciieenncceess eett TTeecchhnniiqquueess G
Géénniiee IInnffoorrm
maattiiqquuee

La mise en place d’une plate forme de messagerie Sécurisée


- Exchange Server -

Lieu de stage : La Caisse Marocaine des Retraites – CMR (Rabat) -

Réalisé par :
Aya HASSANI

Année Universitaire 2008-2009


**-  louange à Dieu seul  -**

-  Que le salut et la paix soient sur l’envoyé du Dieu  -

Que ce travail présente mes respects :

A mes parents
Grâce à vos tendres encouragements et vos grands sacrifices, vous avez pu Créer
le climat affectueux propice à la poursuite de mes études.
Aucune dédicace ne saurait exprimer mes respects, mes considérations et mes
profonds sentiments pour vous.
Nous prions Dieu de vous bénir, de veiller sur vous, et nous espérons que vous
serez toujours fiers de moi.

A mes frères et ma sœur, ainsi qu’à mes collègues


Je vous dédie ce travail en vous souhaitant un avenir plein de réussite et de
bonheur.

A mes ami(e)s :
Trouvez ici le témoignage d’une fidélité et amitié infinies.

A mes chers formateur


Votre générosité et votre soutient m’oblige à vous prendre en considération sur
ce dédicace.

A tous ceux qui me sont très chères


Tous ceux qui m’ont soutenue moralement pour réaliser ce Projet.

2
Avant d’entamer la rédaction de ce rapport et à travers ce modeste travail, je tiens
à remercier tous ceux qui ont orienté les différents étapes de ce travail jusqu’à son terme,
par leurs estimables conseils et contributions.

Tout le corps administratif de la Faculté des Sciences et Techniques de Fès, tous


mes professeurs du Département Informatique et nos Formateurs, pour le suivi de notre
stage et pour leur disponibilités, leur assistance, et pour les renseignements qu’ils nous
ont fournis durant nos années de formation.

Mr Arsalane ZARGHILI, le chef de département, mon encadrant de la FST-F


pour son aide et son précieux conseils et qui m’a fait part de son riches expériences.

Je tiens finalement à remercier encors une fois les membres du jury et à exprimer
l'expression de mes gratitudes à ma famille et respects à tous mes ami(e)s pour leurs
conseils, critiques et observations, et tous ceux qui m’ont aidé.

Enfin merci à tous

3
Introduction ........................................................................................................................................... 7

I. Présentation de la caisse Marocaine des Retraites .................................................................................. 8

1. Introduction ............................................................................................................................. 8
2. Missions de la C.M.R............................................................................................................... 8
3. Organisation de la CMR ......................................................................................................... 8
4. Présentation de la DSI (secteur de stage)................................................................................ 9

II. La messagerie électronique ............................................................................................................... 12

1. Principaux avantages ............................................................................................................ 12


2. Outils d’envoie d’un courrier électronique .......................................................................... 12
3. Les protocoles ........................................................................................................................ 13
4. Les éléments du dialogue ....................................................................................................... 14
5. Principe de fonctionnement .................................................................................................. 15
6. Les logiciels Serveurs............................................................................................................. 16

III. Cahier de charges......................................................................................................................... 17

1. Présentation du projet ........................................................................................................... 17


2. Analyse des besoins................................................................................................................ 17
3. Planning du projet ................................................................................................................. 18
4. Choix Techniques .................................................................................................................. 19

IV. Analyse & Conception ................................................................................................................. 20

Introduction .................................................................................................................................. 21
1. Active directory ....................................................................................................................... 22
1) Introduction .................................................................................................................... 22
2) Qu'est-ce que Active Directory ? ................................................................................... 22
3) Création d’une structure de forêt et de domaine .......................................................... 23
4) Implémentation de la structure d’une unité d’organisation ......................................... 26
5) Implémentation d’une stratégie de groupe GPO .......................................................... 27
6) Implémentation du placement des contrôleurs de domaine ......................................... 28
2. Exchange Server ...................................................................................................................... 32
1) Introduction .................................................................................................................... 32
2) Définition ........................................................................................................................ 32
3) Architecture d'administration Exchange ...................................................................... 32
4) Fonctionnalités administratives ..................................................................................... 33
5) Fonctionnalités de routage de messages ........................................................................ 34
6) Banques d'informations et Groupes de stockage.......................................................... 34
7) Stratégies......................................................................................................................... 35

4
3. Public Key Infrastructure ........................................................................................................ 36
1) Introduction .................................................................................................................... 36
2) Définition ........................................................................................................................ 36
3) Le cryptage ..................................................................................................................... 37
4) Signature numérique et non répudiation des données .................................................. 38
5) Les infrastructures à clés publiques (PKI) .................................................................... 39

V. Installation & Implémentation ........................................................................................................ 40

1. Installation de VirtualBox ..................................................................................................... 41


2. Installation de Windows Server 2003 ................................................................................... 42
3. Installation Active Directory ................................................................................................. 43
4. Installation Microsoft Exchange Server 2003 ...................................................................... 46
5. Installation des Services de Certificats sous Windows Server 2003 .................................... 54

VI. Configuration & Exploitation ...................................................................................................... 55

1. Active directory ..................................................................................................................... 56


Configuration active directory ................................................................................................. 56
1) Configuration de Site...................................................................................................... 56
2) Serveur de catalogue global ........................................................................................... 57
3) Gérer les FSMO.............................................................................................................. 57
Exploitation Active Directory .................................................................................................. 59
1) Gérer des utilisateurs, groupes et ordinateurs .............................................................. 59
2) Création des unités d'organisation ................................................................................ 61
3) Gérer les Stratégies de groupe ....................................................................................... 61
2. Exchange Server 2003 ........................................................................................................... 63
1) Groupes d'administration/groupes de routage .............................................................. 65
2) Configuration paramètres de message pour les destinataires avec boîte aux lettres ... 65
3) Création d'une stratégie de destinataire ........................................................................ 67
4) Stratégies de banques de boîtes aux lettres.................................................................... 68
5) Création d'une stratégie système : stratégie de serveur ................................................ 68
6) Configuration du Serveur Virtuel SMTP ...................................................................... 69
7) Configuration du connecteur SMTP ............................................................................. 70
3. Public Key Infrastructure ..................................................................................................... 71
4. Mise en place d’un serveur HTTPS sous Windows 2003 ..................................................... 73
5. Microsoft Outlook Web Access ............................................................................................. 75
6. Microsoft Outlook ................................................................................................................. 76

Conclusion............................................................................................................................................ 77

Bibliographie ........................................................................................................................................ 77

5
Liste d’abréviations

cmr Caisse marocaine des retraites


FST-F Faculté des Sciences et Techniques
DSI Division système d’information
e-mail Electronic mail
SMTP Simple Mail Transport Protocol
POP Post Office Protocol
IMAP Internet Message Protocol
MUA Mail User Agent
MTA Mail Transfert Agent
MDA Mail Delivery Agent
AD Active Directory
FSMO Flexible Single Master Operation
GPO Group Policy Object
PKI Public Key Infrastructure
VM Machine Virtuelle
LDAP Lightweight Directory Access Protocol
LAN Local Area Network
MMC Microsoft Management Console
DNS Domain Name System
OU Unité d’Organisation
GC Global Catalog

6
Introduction

Pour relever les défis du marché compétitif actuel, les organisations doivent proposer des
moyens de communication et de collaboration plus efficaces à leurs utilisateurs professionnels. Le
courrier électronique constitue aujourd'hui la technologie de collaboration la plus répandue.

De plus en plus d'entreprises aujourd'hui considèrent les systèmes de messagerie comme des
systèmes stratégiques. C'est pour cette raison que les entreprises ont des exigences strictes en matière
de disponibilité et de fiabilité concernant leur système de messagerie. Tout aussi importante est la
demande accrue de nouvelles fonctionnalités de système de messagerie. La mobilité croissante des
employés et une grande dispersion géographique des entreprises impliquent que les besoins des
utilisateurs sont en évolution constante.

Il existe deux catégories de logiciel de messagerie: les logiciels serveurs et les logiciels clients.
Le serveur de messagerie utilisé à la CMR est Microsoft Exchange Server, il s'occupe de la réception
et de l'envoie des messages entre serveur de messagerie.
Les clients de messagerie sont des logiciels installés sur les postes de travail et qui permettent la
lecture et l'écriture de messages, dans notre cas de la CMR c’est Microsoft Outlook qui sera utilisé
comme clients de messagerie.

Pour garantir la sécurité des échanges et du partage des données, les professionnels de la CMR
doivent pouvoir disposer d'outils répondant à cette exigence.
Une messagerie sécurisée est une messagerie classique du marché Outlook à laquelle des fonctions de
sécurité ont été ajoutées : certificats électroniques de chiffrement et de signature. Elle permet
d'échanger des mails en toute confiance, garantir de l'identité et de la qualité du signataire et la
confidentialité du message.

Exchange 2003 c’est une plate-forme de messagerie et de collaboration à la fois fiable et facile
à gérer qui permet aux utilisateurs de communiquer par le biais de messages électroniques, de
conférences et de partages de documents. Dans ce rapport tout d’abord on va présenter l’organisme
d’accueil en parlant ensuite de la description des besoins dans le cahier de charge, puis nous nous
focaliserons sur les notions de base de la messagerie électronique, ensuite nous entamons les étapes de
la réalisation de notre projet en commençant par analyse et conception puis installation et enfin la
configuration nécessaire pour le bon fonctionnement de serveur de messagerie de la CMR en toute
sécurité.

7
I. Présentation de la caisse Marocaine des Retraites
1. Introduction

La caisse marocaine des Retraites C.M.R a été créée par le dahir du1 er Chaoual 1346(2 Mars 1930)
afin de gérer les pensions civiles et militaires des colons, et ce n’est qu’à partir de 1950 que les
marocains ont pu bénéficier de ses services.
En vertu de la loi n° 43-95 portant réorganisation de la Caisse Marocaine des Retraites publiée le 21
Novembre 1996, cette dernière est un Établissement public doté de la personnalité morale et de
l’autonomie financière. Elle est placée sous la tutelle du Ministère des Finances et soumise au contrôle
financier applicable aux établissements publics conformément à la législation et à la réglementation en
vigueur.
La gestion administrative de la CMR est assurée par un conseil d’administration composé de 14
membres dont 7 représentants des organismes employeurs, de 5 représentants du personnel affiliés aux
régimes des pensions civiles et militaires et de 2 représentants des retraités de ces mêmes régimes.
La Caisse est dirigée par un directeur qui détient tous les pouvoirs et attributions nécessaires à la
gestion de l’Établissement.

2. Missions de la C.M.R

La principale mission de la C.M.R est de garantir des pensions de retraite aux affiliés à la fin de leurs
carrières, ainsi que des pensions de réversion au profit de leurs ayants cause.
La C.M.R est donc chargée de gérer :
1- Le régime des pensions civiles :
 La pension de retraite, d’ascendant et La pension d’ayants cause.
 La pension d’invalidité (victime d’un accident de service ou maladie d’origine
professionnelle)
 Les allocations familiales.
2- Le régime des pensions militaires.
3- Le régime des pensions attribuées aux résistants et à leurs veuves, descendantes et ascendantes.
4- Les allocations forfaitaires attribuées à certains anciens résistants et anciens membres de
l’armée de libération et à leurs ayants cause.
La concession par la C.M.R de ces pensions est financée essentiellement par les retenues des affiliées
et les contributions des organismes employeurs (Etat, Collectivités Locales et Etablissements publics).

3. Organisation de la CMR

En vertu du nouvel organigramme prenant effet le 1er avril 2002 (qui annule et remplace celui du 8
mars 2000), la Caisse Marocaine des Retraites comprend outre la Direction et le Secrétariat Général,
11 Divisions et 33 services :

8
 Division des Pensions du Personnel Civils et fonctionnaire de l’Etat
 Division des Pensions du Personnel des Collectivités Locales et des fonctionnaires des
Etablissements Publics
 Division des Pensions des Personnels Militaires
 Division du Paiement des Pensions
 Division du Système d’Information
 Division Financière et Comptable
 Division de la Gestion du Portefeuille
 Division des Affaires Administratives et de la Logistique
 Division du Contrôle de Gestion, de la Programmation et du Budget
 Division de l'Audit et de l'Organisation
 Division des Etudes
 Division de la Communication

4. Présentation de la DSI (secteur de stage)


La Division du Système d’Information DSI (c’est le service où j’ai effectué mon stage pour réaliser ce
projet de fin d’étude), son rôle principal consiste à administrer, à assurer le suivi, à exploiter et à
assister les applications de gestion de l’administration de la CMR

4-1- Attributions de la DSI :


La tâche principale de la DSI est de proposer, mettre en œuvre et garantir la maintenance optimale
d’un système d’information qui répond aux orientations de développement de la CMR.
Activités principales :
Pour définir les orientations du système d’information de la CMR, la DSI :
 Propose la stratégie informatique de la CMR et s’assure de sa mise en œuvre.
 Evalue les moyens nécessaires et propose des solutions à la Direction.
 Assure une veille permanente des Technologies de l’Information et de la Communication.
Pour veiller à la pérennité du système, La DSI :
 Définit et met en place les procédures de maintenance et de sauvegarde du patrimoine
informatique.
 Contrôle le respect des normes et des procédures.
 Veille à ce que les compétences techniques de son équipe soient à jour.
Pour superviser les projets informatiques, la DSI :
 Organise la conduite des projets informatiques.
 Dimensionne les moyens nécessaires et définit l’organisation adaptée.
 Analyse régulièrement les écarts entre prévisions et réalisations (économiques, financières,
etc.) et décide des mesures correctives.
 Met en place les procédures d’assurance qualité et s’assure de leur application.
Pour assurer la gestion des ressources informatiques, la DSI :
 Etablit les architectures et les plates formes techniques
 Elabore le budget de fonctionnement et d’investissement informatique
 Définit, les spécifications techniques des logiciels et matériels à acquérir
 Réalise des commissions techniques d’achat de matériel et de logiciels informatiques

9
Pour assister efficacement les utilisateurs, il
 Contrôle et valide les formations des utilisateurs
 Définit et met en place les procédures d’assistance et les normes d’intervention.
 Contrôle la qualité de service ayant un impact sur la satisfaction du client par l’élaboration, la
mise en place et le suivi d’indicateurs de tableaux de bord.

4- 2- Description des services relevant de la DSI :


La Division du système d’information comprend 3 services :
1) Service études et développement :
 Proposer les orientations générales du système d’information de la CMR
 Assurer la responsabilité de maître d’œuvre dans le développement d’applications
informatiques
 Assurer une veille technologique du marché des Technologies de l’Information et de la
Communication
Activités principales :
Pour réaliser le plan d’informatisation, le SED :
 Recense, en liaison avec les différents services, les besoins informatiques de la caisse et élabore
un plan informatique qui inclut la définition des moyens humains et techniques à mettre en
œuvre
 Collabore à l’établissement du plan directeur informatique de la caisse
 Coordonne la mise en œuvre du plan informatique
Pour conduire des projets et développer des applications informatiques, le SED :
 Est l’interlocuteur des différentes entités pour la mise en place des applications informatiques
pour les différentes phases : étude de faisabilité, conception, réalisation des applications, mise
en place et formation des utilisateurs.
 Veille à la qualité des développements en terme de clarté des spécifications, lisibilité des
programmes, ergonomie, documentation, et fiabilité des tests
 Assure la mise en exploitation des applications développées et la formation des utilisateurs sur
les applications
 Assiste les administrateurs d’applications dans les post-paramétrages des applications
2) Service de Gestion des Ressources Informatiques :
 Participe à la conception des architectures informatiques
 Gère et administre les systèmes informatiques et les réseaux locaux et étendus , ainsi que les
systèmes de gestion de bases de données
 Assure la disponibilité, la sécurité et l’optimisation des moyens informatiques de la CMR
 Assure une veille technologique du marché des solutions matérielles, bureautiques et des
environnements système
Activités principales :
Pour participer à la conception des architectures, le SGRI :
 Tient à jour un état quantitatif et qualitatif des architectures et équipements matériels et
logiciels existants
 Participe à l’évaluation des besoins des utilisateurs et à l’élaboration des différents cahiers de
charges

10
Pour gérer et administrer les systèmes informatiques et les réseaux locaux et étendus, le SGRD :
 Participe au dimensionnement des systèmes et à la conception des plates-formes
 Met en œuvre des procédures d’administration et en assure le contrôle
 Assure le suivi des déploiements, des installations et des mises à jour
Pour administrer les systèmes de gestion de bases de données, le SGRD :
 Participe à la configuration et au paramétrage des SGBD, Assure l’optimisation des SGBD et
l’administration technique de l’ensemble des bases de données.
Pour assurer la disponibilité, la sécurité et l’optimisation des moyens informatiques de la CMR, il :
 Assure la mise en place de la plate forme technique du système informatique de la CMR
 Assure l’administration technique des sites Internet et Intranet de la CMR et des équipements
de télécommunication
 Assure la gestion du parc informatique : approvisionnement, stocks, tenue d’un fichier du parc
informatique
 Garantit la disponibilité du réseau informatique de la caisse par son entretien et son contrôle,
par l’optimisation des bases de données
 Administre la messagerie interne et assure sa sécurité
3) Service de gestion des données :
 Assure la qualité des données d’exploitation de la CMR
Activités principales :
Pour assurer la qualité des données d’exploitation de la CMR, le SGD :
 Assure la conception et la mise en place des protocoles de communication et d’intégration avec
les différents partenaires de la CMR (CED, TG, etc.) , et assure l’audit régulier de la cohérence
et de l’intégrité des données d’exploitation
 Conçoit, met en place et maintient un Système Qualité concernant les activités liées au système
d’information, en collaboration avec les services concernés

5. Délégations régionales de la CMR


Objectifs stratégiques
Dynamiser la politique de proximité, Améliorer la qualité des prestations , et Ouverture sur
l’environnement externe
Objectif opérationnel
Les délégations régionales ont pour rôle d’assurer des prestations de service au profit des affiliés actifs
et pensionnés en mettant à leur disposition les conditions optimales en vue de leur faciliter l’accès à
l’information et leurs démarches administratives.
 Siège de la CMR à rabat (Alaouite)
 Annexe Agdal
 Annexe Benghazi
 Annexe le Golan
 Annexe Tindouf
 Délégation à Fès, Casablanca, Marrakech, Agadir, Tétouan, Oujda et Laâyoune

11
II. La messagerie électronique
Un système de messagerie électronique est l'ensemble des éléments contribuant à transmettre un
courriel de l'émetteur au récepteur.
Un e-mail (electronic mail) ou courriel (courrier électronique) est un message électronique de type
courrier ou lettre, que l'on peut envoyer de l'ordinateur de l'émetteur à la boîte aux lettres électronique
du destinataire.
L'avantage d'un tel type de courrier réside tout d'abord dans la vitesse que celui-ci met pour atteindre le
ou les destinataires (de l'ordre de quelques secondes à quelques minutes) mais aussi dans le fait de
pouvoir envoyer gratuitement des pièces jointes (textes, photos, vidéos, sons, diaporama, lien
hypertextes...) attachées à un message.

1. Principaux avantages

la rapidité de circulation des messages : temps réel


l'asynchronisme :
o possibilité d'envoyer un message même si le destinataire n'est pas connecté et
consultation de ses messages au moment choisi
l'abolition des distances : comme sur Internet en général
la facilité d'utilisation
l'économie :
o gratuité pour les utilisateurs et coût très peu élevé pour les serveurs
l'universalité technique :
o la messagerie fonctionne sur tous types de matériels, de réseaux...
la communication de groupe :
o possibilité de "mailing" (envoi groupé), de listes de diffusion personnelles
la trace écrite des messages :
o la conservation, l'archivage des messages
o l'exploitation des données et le classement des messages
l'envoi de documents joints
la réutilisation des messages :
o dans la messagerie : transférer, répondre, etc.
o dans d'autres systèmes : traitement de texte, etc.

2. Outils d’envoie d’un courrier électronique

Le Webmail
Avec cette méthode, toutes les opérations sont réalisées sur le serveur. Rien ne se passe
sur l’ordinateur qui n'est alors qu'un relais entre l’utilisateur et l'ordinateur (serveur) sur
lequel est installée la messagerie. On travaille donc directement sur le serveur. Les
messages ne sont pas à disposition l’ordinateur.

12
Le Client de Messagerie
La deuxième méthode (qui nous intéresse ici) consiste à installer un client de
messagerie. Les opérations se déroulent alors sur l’ordinateur de l’utilisateur. Les
messages et les fichiers joints téléchargés sur son disque dur sont toujours à leur
disposition, de même que les messages crées. On dispose de fonctionnalités
complémentaires permettant une gestion facile des courriers provenant des différents
comptes de messagerie, professionnels et privés. L'ordinateur qui rend ces services est
appelé "serveur de messagerie". Les échanges entre le client et le serveur se font suivant
des protocoles parfaitement définis.

3. Les protocoles

les protocoles "sortants", permettant de gérer la transmission du courrier entre les serveurs.
o SMTP
 Simple Mail Transport Protocol / Protocole Simple de Transfert de Courrier
 Envoi et routage des messages
 L'un des standards d'Internet ; c'est un protocole de communication pour le courrier
permettant d'établir l'interface entre un réseau local et Internet.
 Il utilise le port TCP 25
 Il s'occupe du transport des messages entre serveurs de messagerie

les protocoles "entrants", qui gèrent l'envoi des messages dans les messageries personnelles.
Ce sont des protocoles de réception et de distribution du courrier.

o POP
 Post Office Protocol, ou Protocole de Bureau de Poste
 Récupération des messages.
o Messages complets uniquement
 Il utilise TCP comme protocole de transport sur le port 110.
 POP3 n'est utilisé que pour télécharger les messages du serveur vers la station de travail,
pour l'envoi des messages on utilise toujours SMTP
 Il gère l'authentification du titulaire d'un compte de messagerie, avec l'identifiant et le
mot de passe et il authentifie les destinataires, met les messages en attente
 Avec un serveur POP, les messages reçus peuvent :
Etre envoyés en bloc sur votre ordinateur : on peut les lire "hors ligne"
conservés ou effacés sur le serveur
o IMAP
 Internet Message Access Protocol
 Récupération des messages. Lecture des entêtes de messages. Lecture sans pièces
jointes
 Contrairement à POP, IMAP permet de manipuler les messages directement sur le
serveur

13
Ces principales fonctionnalités sont les suivantes :
 Accéder et manipuler des portions de messages sur le serveur sans avoir à les
télécharger
 Voir les messages et les pièces jointes sans les télécharger
 Télécharger tous les messages pour les consulter hors connexion
 Créer, supprimer et renommer une boîte aux lettres
 Vérifier l'arrivée de nouveaux messages
 Supprimer des messages de la boîte aux lettres
 IMAP4 utilise le port TCP 143
 Tout comme POP3, IMAP4 ne spécifie pas de méthode d'envoi de courrier. Cette
fonctionnalité doit être gérée par un autre protocole comme SMTP
 Mais IMAP demande plus de ressources côté serveur (pour l'accès simultané, le tri...)
et peut augmenter le temps de téléchargement côté utilisateur (pour les connexions par
Modem)
o Tous les FAI ne prennent pas en charge les serveurs IMAP.

Un autre standard important utilisé par la plupart des serveurs de courriel est MIME, utilisé
pour envoyer des fichiers attachés de type image, document ou autre. Ces fichiers ne font alors pas
partie du texte du message en tant que tel, mais sont envoyés en attachement avec ce message.

En plus de ces mécanismes standards disponibles dans tous les logiciels de courrier
électronique clients et serveur, il existe des mécanismes d'échange spécifiques à certains systèmes.
Par exemple, MAPI est une API propriétaire de Microsoft, utilisés dans certains environnements
Windows (par exemple Microsoft Outlook) pour communiquer avec des serveurs de messagerie de
type Microsoft Exchange.

4. Les éléments du dialogue

UA ou MUA– Mail User Agent


 Processus du poste client permettant de rédiger, envoyer et lire les messages.
Logiciel de type : Outlook Express, Eudora …
MTA – Mail Transfert Agent
 Processus Serveur permettant d’acheminer les courriers. Protocole associé : SMTP
MDA – Mail Delivery Agent
 Processus Serveur qui délivre les messages dans les boîtes aux lettres utilisateurs.
Protocoles associés : POP, IMAP
 Le Service SMTP ne délivre pas lui-même les messages dans les boîtes aux lettres,
il est associé à d’autres logiciels.
 Le MDA chargé de gérer le stockage des messages sur les disques, et permet
l’application de nombreux filtres (AntiSpams, Antivirus etc. …)

14
5. Principe de fonctionnement

Les différents éléments du système de messagerie sont agencés selon une architecture logique,
pour en assurer le fonctionnement.

Nous représentons cette architecture par le schéma suivant:

Ce schéma présente le transfert d'un courriel d'un expéditeur à un destinataire.


1 - L'expéditeur communique son courriel via le MUA.
2 - Le MUA transmet ce courriel au MTA (la plupart des MUA intègre des clients SMTP).
3 et 4- Le MTA du système de l'émetteur établit un canal de transmission avec le MTA du système
du destinataire, par émissions successives de requêtes bidirectionnelles.
5 - Une fois le canal établit, le courriel est transmis d'un système à un autre par les MTA.
6 - Dans le système du destinataire, Le MTA transmet le courrier reçu au serveur IMAP ou POP3.
7, 8 et 9 - Le MDA récupère le courriel du serveur IMAP / POP 3, et le met à disposition du MDA.
10 - Le MDA dépose le courriel dans la boîte aux lettres du destinataire qui pourra le consulter à
tout moment, sur authentification.

15
6. Les logiciels Serveurs
Sous Linux : (MTA Uniquement)
 SendMail
 le code source est ouvert.
 C’est un programme très flexible supportant un large éventail de moyens de transfert
et de livraison de courriers électroniques, incluant le populaire SMTP
 Il est très critiqué pour sa lenteur, sa complexité et sa maintenance difficile en
comparaison avec d'autres MTA tels que Qmail et Postfix.
 Il est le MTA le plus populaire sur Internet, ce qui est certainement dû à son
implémentation par défaut dans les différentes variantes d'Unix.
 Postfix
 Il a été conçu comme une alternative plus rapide, plus facile à administrer et plus
sécurisée que l'historique SendMail.
 Il est le serveur de courriel par défaut dans plusieurs systèmes de type UNIX
 La licence de Postfix est une licence libre
 Il permet de gérer presque tous les cas d'une utilisation professionnelle.
 Il permet d'éviter bon nombre de spam sans même devoir scanner les contenus de
message. Il remplace idéalement toutes sortes de solutions moins libres.
 Exim
 EXperimental Internet Mailer (gestionnaire de mail internet expérimental).
 Exim a été déployé dans des environnements très chargés, traitant souvent plusieurs
milliers de messages à l'heure efficacement ; Mais il ne se comporte pas
particulièrement bien dans des environnements où la file d'attente devient très longue
 À l'inverse de qmail et postfix , exim n'a pas de gestion de queue centralisée. Il n'y a
donc pas de gestion de la file d'attente ni de la concurrence des transports de mail.

Sous Windows : (Solutions Complètes)


 Exchange (Windows Serveur)
 Fait parti des serveurs de messagerie les plus utilisés dans le milieu professionnel,
son concurrent principal en France reste, Lotus Notes.
 La gestion de contacts, intégration à Active Directory, calendriers partagés, tâches,
composants Web, etc....
 Utilise toute la puissance d'Active Directory 2003, une multitude de fonctionnalités
optimisent et facilitent l'administration du système d'informations de messagerie via
AD et ses divers composants.
 Lotus Notes
 un logiciel de travail collaboratif, utilisé dans des entreprise ou des administrations
pour gérer les projets, les courriels et les échanges d'informations autour d'une base
commune.
 Permettre la publication, la communication, la collaboration et la réplication
 Conforté par la notion de sécurisation des données, respect et confidentialité des
informations utilisées ou fournies par les utilisateurs

16
III. Cahier de charges
1. Présentation du projet
L’objectif de ce projet est la mise en place d’une plate forme de messagerie Exchange sécurisée pour le
compte de la caisse marocaine des retraites sur un environnement de test. Il s’agit de prendre en
charge :
La mise en place d’une nouvelle structure Active Directory pour la CMR;
La mise en place d’un nouveau serveur Exchange sécurisé pour la CMR;
La mise en place d’une autorité de certificat intégrée à Active Directory pour le
cryptage et la signature des messages;
Test et présentation du bon fonctionnement de ces solutions.
Les livrables de ce projet sont :
La machine virtuelle avec les trois solutions (Active Directory, Exchange et PKI)
fonctionnelles.
Le Document d’installation et de configuration de ces trois solutions.

2. Analyse des besoins


Ce projet consiste en la mise en place, avec les outils Microsoft, d’un nouvel annuaire et d’une
nouvelle plate forme de messagerie fiable et sécurisé pour répondre au besoin du nouveau siège de la
CMR. Il s’agit de prendre en charge :
La mise en place d’une nouvelle structure Active Directory pour la CMR :
i. Etudier les choix possibles concernant le nombre de contrôleur de domaine, de site,
et d’unité d’organisation à créer ainsi que la disposition des catalogues globaux et
des rôles FSMO.
ii. Justifier les choix retenus en se basant sur les bonnes pratiques Microsoft pour les
cas similaires à la CMR.
iii. Implémenter la conception Active Directory retenue sur un environnement de test
sous machine virtuelle.
iv. Implémenter la stratégie de domaine pour la sécurisation du domaine créé.
La mise en place d’un nouveau serveur Exchange sécurisé pour la CMR :
i. Installation d’un serveur de messagerie Exchange, intégré à l’Active Directory,
permettant l’envoie et la réception des messages (en interne et vers Internet) sur un
environnement de test sous machine virtuelle.
ii. Sécurisation du serveur virtuelle SMTP.
iii. Configuration de SSL pour l’accès en Outlook Web Access.
La mise en place d’une autorité de certificat sur machine virtuelle intégrée à Active
Directory permettant :
i. La génération d’une paire de clé de cryptage (publique et privée) pour chaque
utilisateur.
ii. La publication des clés publiques à travers Active Directory.

17
iii. Le déploiement des clés privées sur le PC de l’utilisateur.
iv. L’envoi et la réception des messages cryptés et signés via Outlook2003.
Test et présentation du bon fonctionnement de ces solutions.

3. Planning du projet

La planification, réalisée le plus souvent avant le lancement d’un projet, présente la manière dont le
chef de projet souhaite atteindre l’objectif.
Une planification se déroule suivant 4 étapes:
1ère étape : Lister les tâches, estimer la durée des tâches et les ressources à employer
2ème étape : Ordonnancer les tâches et établir les relations
3ème étape : Construire la planification
4ème étape : Optimiser si possible la planification
5ème étape : Contrôler les coûts et les délais
Organigramme de Gantt :
Chaque barre représente une tâche. Sa position sur l'échelle de temps est significative de la période
d'activité (début, durée et fin)

Ci dessous captures d'écran de Microsoft Project pour réaliser mon PFE :

18
4. Choix Techniques

Le présent projet est réalisé pour la mise en place d’une plate forme de messagerie sécurisée
pour la Caisse Marocaine des Retraites à rabat, sur la base de :

 Machine virtuelle VBOX : virtuelbox  c’est un logiciel de virtualisation créée sur les
hôtes Windows, Linux ; la machine virtuelle VirtualBox , crée un ordinateur virtuel et
permet d'installer dans ce dernier n'importe quel type de système d'exploitation, et ses
périphériques

 Microsoft Windows Server 2003 ‘‘Entreprise Edition’’  c’est un système d'exploitation


orienté serveur développé par Microsoft. Présenté le 24 avril 2003 comme le successeur de
Windows 2000 Server, il est considéré par Microsoft comme étant la pierre angulaire de la
ligne de produits serveurs professionnels Windows Server System. Une version évoluée
intitulée Windows 2003 Server R2 a été finalisée le 6 décembre 2005. Son successeur,
Windows 2008 Server est sortie le 4 février 2008. Selon Microsoft, Windows 2003 Server est
plus évolutif et fournit de meilleures performances que son prédécesseur Windows 2000
Server.

 Microsoft Exchange Server 2003  c’est un logiciel collaboratif pour serveur de messagerie
électronique créé par Microsoft. Microsoft Exchange est très utilisé dans les entreprises. C'est
un produit de la gamme des serveurs Microsoft, conçu pour la messagerie électronique, mais
aussi pour la gestion d'agenda, de contacts et de tâches, qui assurent le stockage des
informations et permet des accès à partir de clients.

 Microsoft Office Outlook  c’est un gestionnaire d'informations personnelles et un client de


courrier électronique propriétaire édité par Microsoft. Il fait partie de la suite bureautique
Office. Bien qu'il soit principalement utilisé en tant qu'application de courrier électronique, il
propose aussi un calendrier et un gestionnaire de tâche et de contact.
Il peut être utilisé de manière autonome, mais il a aussi la possibilité de fonctionner
conjointement à Microsoft Exchange Server pour fournir des fonctions étendues pour une
utilisation multi-utilisateurs dans une organisation, telles que le partage des boîtes mèl, des
calendriers et des emplois du temps des réunions.

19
IV.Analyse & Conception

20
Introduction

Pour la mise en place d’une plate forme de messagerie sécurisée Exchange 2003, on doit travailler sur
un serveur contenant la plate forme Windows Server 2003 pour ce faire on a choisi d’utiliser la notion
de virtualisation.
La machine virtuelle (ou Virtual Machine (VM) en anglais) est la création de plusieurs environnements
d'exécution sur un seul ordinateur, dont chacun émule l'ordinateur hôte. Cela fournit à chaque
utilisateur l'illusion de disposer d'un ordinateur complet alors que chaque machine virtuelle est isolée
des autres.
Les intérêts de la virtualisation sont multiples. Tout d'abord, cela permet de faire fonctionner un
programme prévu initialement sur un système d'exploitation différent de celui qu’on utilise
habituellement. Il est ainsi possible de faire cohabiter simultanément différents "univers" sur la même
machine.
De même, la virtualisation permet de créer une machine virtuelle destinée à installer et tester différents
programmes sans pour autant "polluer" son environnement de travail principal. Côté sécurité, cette
machine virtuelle permet également de surfer de manière totalement sécurisé puisque les éventuelles
infections contractées se feront au niveau de la machine virtuelle et non de la machine hôte.

Enfin, on aura la possibilité de créer différents environnements de développement et/ou de tests


spécifiques sur une même et unique machine.

S'il existe différentes solutions de virtualisation comme par exemple Virtual PC, VMWare ou encore
Parallels Desktop, nous avons choisi d’utiliser VirtualBox.
Notre choix s'est arrêté sur ce logiciel édité par innotek pour différentes raisons. Tout d'abord,
VirtualBox est libre et gratuit, ce qui n'est pas le cas dans toutes les solutions existantes. De plus, le
logiciel est simple à utiliser et supporte de nombreux système d'exploitation (la majorité des versions
Windows, Linux, OS/2, FreeBSD, OpenBSD, Net BSD, Netware, Solaris...). Et enfin, dernier
argument et non des moindres, VirtualBox est disponible en français.
Dans notre projet on va installer dans cette machine virtuelle Windows Server 2003 comme système
d’exploitation pour configurer le serveur de messagerie Exchange 2003 il faudra tout d’abord
configurer Active directory donc il faut savoir c’est quoi active directory ?

21
1. Active directory

1) Introduction

Dans de grands réseaux, les ressources sont partagées par de nombreux utilisateurs et applications.
Pour permettre aux utilisateurs et aux applications d’accéder à ces ressources et aux informations les
concernant, une méthode cohérente est nécessaire pour nommer, décrire, localiser, accéder, gérer et
sécuriser les informations concernant ces ressources. Un service d’annuaire remplit cette fonction.
Un annuaire est une source d'informations utilisée pour stocker des informations sur certains objets
importants. Mais il ne faut pas confondre un annuaire avec un répertoire, selon Larousse : « Un
répertoire est une table, un carnet où les matières sont rangées dans un ordre qui les rend faciles à
trouver. », alors qu’un annuaire est un « ouvrage publié donnant la liste des abonnés à un service ».
La différence entre un annuaire et un service d'annuaire, c'est que ce dernier constitue à la fois la
source d'information et les services rendant cette information disponible et exploitable pour les
utilisateurs.

Un service d'annuaire peut :


 Appliquer les consignes de sécurité définies par les administrateurs pour garder l'information à
l'abri de toute intrusion ;
 Distribuer un annuaire à de nombreux ordinateurs au sein d'un réseau ;
 Dupliquer un annuaire pour le rendre disponible à un nombre accru d'utilisateurs et pallier une
éventuelle défaillance ;
 Partitionner un annuaire en plusieurs banques pour permettre le stockage d'un très grand
nombre d'objets.

Un service d'annuaire est à la fois un outil de gestion et un outil destiné à l'utilisateur final. Plus le
nombre d'objets d'un réseau augmente, plus le service d'annuaire s'avère essentiel.
LDAP (Lightweight Directory Access Protocol) est Parmi les protocoles standards les plus utilisés
d'accès aux annuaires. Ce protocole permet d'ajouter, de modifier, de supprimer des données
enregistrées dans un annuaire, et surtout de rechercher et de récupérer rapidement ces données.
N'importe quelle application cliente conforme à LDAP peut être utilisée pour parcourir et interroger un
annuaire LDAP.
Il existe plusieurs annuaires openLdap, Active directory…., nous avons choisis de travailler avec
Active Directory dans le cas de la CMR parce qu’il offre de nouvelles fonctionnalités qui rendent aisée
la navigation parmi d'importants volumes d'informations et facilitent leur gestion, en permettant des
gains de temps importants tant pour les administrateurs que pour les utilisateurs finaux.

2) Qu'est-ce que Active Directory ?

Active Directory est l’annuaire fourni par Microsoft. Il permet un stockage (distribué) de données
identifiant les ressources présentes dans le système informatique : utilisateur, ordinateur, groupe,
domaine, application, imprimante, stratégie…

22
Active Directory se base sur des protocoles standards pour accéder et manipuler les données : Domain
Name System (DNS) et Lightweight Directory Access Protocol (LDAP). L’annuaire Active Directory
est généralement utilisé comme source d’information globale pour l’entreprise, il a été conçu pour
fonctionner correctement quelle que soit la taille de l'installation, d'un serveur unique comportant
quelques centaines d'objets à un ensemble de milliers de serveurs.

Caractéristiques

Active Directory permet de recenser toutes les informations concernant le réseau, que ce soit les
utilisateurs, les machines, les imprimantes, ou les applications. Il constitue ainsi le moyen central de
toute l'architecture réseau et a vocation à permettre à un utilisateur de retrouver et d'accéder à
n'importe quelle ressource identifiée par ce service.
Active Directory est donc un outil destiné aux utilisateurs mais dans la mesure où il permet une
représentation globale de l'ensemble des ressources et des droits associés il constitue également un
outil d'administration et de gestion du réseau. Il fournit à ce titre des outils permettant de gérer la
répartition de l'annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l'annuaire
de l'entreprise.
La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de
quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples sites.
Avant de créer une structure Active Directory efficace et fiable, il est essentiel que nous ayons une
bonne compréhension des structures tant logique que physique de notre réseau.
La structure logique d'un réseau est l'ensemble de ses éléments intangibles (objets, domaines, arbres et
forêts). Les contrôleurs et sites de domaine sont les seuls éléments de base constituant la structure
physique d'une configuration de Réseau local (LAN).

3) Création d’une structure de forêt et de domaine

3.1 Concepts et définitions

La structure Active Directory est composée de : la forêt, l’arbre et le domaine

Domaine
Un domaine est l’unité fondamentale de la structure logique d’Active Directory. Un domaine est
un ensemble d’objets définis par un administrateur qui partagent une même base de données
d’annuaire. Un domaine a un nom unique et permet d’accéder aux objets centralisés maintenus par
un administrateur de domaine. Dans une architecture Active directory un domaine constitue une
limite de sécurité unique, ainsi qu’une unité de duplication de données entre contrôleur de
domaine.
Arbres de domaines
Un arbre est une collection de domaines et d’unités organisationnelles reflétant la structure
géographique ou administrative de l’organisation .Un arbre de domaines est constitué de plusieurs
domaines qui partagent un même schéma et une même configuration, formant un espace de noms
continu.

23
Forêt
Une forêt forme la structure de base d’Active Directory. Elle regroupe des arbres, des
domaines, des unités organisationnelles et des sites. Tous les arbres d'une forêt partagent un
même schéma, une même configuration et un même catalogue global. Les arbres d'une forêt
forment une hiérarchie pour les besoins de l'approbation Kerberos ; le nom de l'arbre situé à la
racine de l'arbre d'approbation peut servir pour faire référence à une forêt donnée.
3.1.1 Relation d’approbation
Lorsqu'un domaine est associé à un arbre de domaines, une relation d'approbation
bidirectionnelle transitive est automatiquement établie entre le domaine d'origine et son parent
dans l'arbre. L'approbation étant transitive et bidirectionnelle. La hiérarchie d'approbation est
stockée comme élément des métadonnées de l'annuaire dans le conteneur Configuration. Les
domaines d'un arbre de domaines doivent constituer un espace de noms contigu.

Représentation d’une forêt d’arborescence de domaine

Rôles FSMO / rôles de maîtres d'opérations


A partir de la version 2000 de Windows Server, tous les contrôleurs de domaine contiennent
une réplique de la base de données Active Directory. Ce système de réplication est dit multi
maître car chaque contrôleur de domaine a la possibilité de modifier cette base de données et de
transmettre ces modifications aux autres contrôleurs de domaine afin que tous possèdent la
même base de données Active Directory. Microsoft a créé depuis Windows 2000 Server les
Flexible Single Master Operation (FSMO). Ce sont en fait des rôles attribués à différents
serveurs de manière à ce que seuls certains serveurs permettent de modifier des aspects internes
à Active Directory.
Nom du rôle Position Description
Maître de schéma Unique au sein d'une forêt Gère la modification du schéma Active
Directory
Maître d'attribution Unique au sein d'une forêt Contrôle l'ajout et la suppression des noms de
de noms de domaines dans une forêt afin de garantir leur
domaine unicité.
Émulateur de PDC Unique au sein d'un domaine Se comporte comme un contrôleur de
domaine NT4 pour permettre le support de
clients NT4 (par exemple pour gérer les
changements de mots de passe), ce contrôleur
fournit également l'horloge de référence du
domaine.

24
Garantie une compatibilité avec les anciens
systèmes
Maître RID Unique au sein d'un domaine Fournit des tranches d'identifiants uniques
aux autres contrôleurs de domaine.
Distribue des plages RID pour les SIDs
Maître Unique au sein d'un domaine Synchronise les changements inter-domaines.
d'infrastructure Gère le déplacement des objets

3.2 Conception de la structure Active Directory de la CMR


Création d’une forêt
L'une des premières étapes d'un processus de conception Active Directory consiste à
déterminer le nombre de forêts nécessaires à l'organisation concernée.
une seule forêt  les utilisateurs n'ont pas à se familiariser avec une structure d'annuaires,
puisque le catalogue global leur permet de visualiser un annuaire unique.
 Lorsqu'un domaine est ajouté à une forêt, il n'est pas nécessaire de
configurer de nouvelles approbations car tous les domaines de celle-ci sont reliés
par des approbations transitives bidirectionnelles.
 Dans une forêt multidomaine, il suffit d'appliquer une seule fois les
modifications de la configuration pour actualiser tous les domaines.
plusieurs forêts  isoler les partitions d'annuaire de configuration et de schéma.
 ajouter des limites de sécurité distinctes
 rendre une administration autonome
 bénéficier de la souplesse que fournit l'utilisation d'une configuration
d'espace de noms indépendante pour chaque forêt.
Inconvénients
augmente la complexité
augmente le coût d'implémentation et de gestion de votre déploiement
Dès lors, la décision visant à créer une nouvelle forêt ne doit pas être prise à la légère. On doit
créer une forêt pour laquelle on a une exigence de déploiement spécifique. Dans notre cas de la
CMR, une seule forêt est estimée suffisante, et plus simple à administrer.

Création d'une arborescence de domaine


On crée une arborescence de domaine uniquement lorsqu’ on doit créer un domaine dont
l'espace de noms DNS n'est pas lié aux autres domaines de la forêt. Cela signifie qu'il n'est pas
nécessaire que le nom du domaine racine de l'arborescence (et tous ses enfants) ne contienne le
nom complet du domaine parent. Dans notre cas de la CMR on a besoin d’un espace de nom
contigu donc on devra installer une seule arborescence de domaine.

Création d'un domaine


Modèle de domaine
Modèle de Maintenance moins coûteuse
domaine unique N'importe quel contrôleur de domaine peut Authentifier n'importe quel utilisateur
(recommandé) et Tous les contrôleurs de domaine peuvent Héberger le catalogue global
Publication des ressources et des informations sur les objets du domaine
En appliquant un objet Stratégie de groupe au domaine, vous consolidez la gestion

25
des ressources et de la sécurité
En déléguant l'autorité, il n'est plus nécessaire d'avoir un certain nombre
d'administrateurs avec des droits d'administration étendus
Les stratégies et les paramètres de sécurité (notamment les droits d'utilisateur et les
stratégies de mot de passe) ne passent pas d'un domaine à l'autre
Modèle de Trafic de réplication réduit sur les liaisons WAN
domaine Stratégies de niveau domaine distinctes
régional Administration décentralisée (régionale)

Dans le cas de la CMR, on dispose d’une seule équipe d’administration, et on a besoin


d’appliquer les mêmes stratégies de sécurité des comptes pour l’ensemble de l’organisation,
c’est ce qui a motivé notre choix pour un domaine unique pour l'ensemble du réseau. Le
domaine sera identifié par un nom de domaine DNS (Domain Name System) : « cmr.local ».

Affectation des rôles FSMO


Puisqu’il est recommandé de placer les rôles au niveau du domaine dans un site qui contient
un grand nombre d'utilisateurs, on a décidé dans le cas de la CMR d’affecter les rôles FSMO au
contrôleur de domaine du site siège, ce site contient le plus d’utilisateurs.

4) Implémentation de la structure d’une unité d’organisation

4.1 Définition
Une Unité d'Organisation est un objet conteneur Active Directory utilisé à l'intérieur des
domaines. Les unités d'organisation peuvent contenir des utilisateurs, des groupes, des
ordinateurs, des imprimantes, des dossiers partagés et une quantité illimitée d'autres unités
d'organisation, mais elles ne peuvent pas contenir d'objets d'autres domaines.

Tel qu'il apparaît dans l'illustration, les unités d'organisation peuvent contenir d'autres
unités d'organisation.
L'unité d'organisation est la plus petite étendue à laquelle un objet de stratégie de groupe peut
être lié, ou sur laquelle une autorité administrative peut être déléguée.

4.2 Conception des unités d’organisation de la CMR :


Deux critères motivent la création d’unité d’organisation :
 On crée une unité d’organisation lorsqu’on veut appliquer une stratégie de groupe
particulière sur un ensemble d’objets
 On crée une unité d’organisation lorsqu’on veut déléguer l’administration d’un ensemble
d’objets à un utilisateur spécifique.

26
Dans le cas de la CMR, on va créer 3 unités d'organisation parce qu’il y a un besoin d’appliquer
des GPO différentes sur chaque Unité :
1. Division du système d’information
2. Divisions métiers
3. Divisions de gestions

5) Implémentation d’une stratégie de groupe GPO

5.1 Définition

Les stratégies de groupe (ou GPO en anglais, Group Policy Object) sont des fonctions de
gestion centralisée de la famille Windows. Elles permettent la gestion des ordinateurs et des
utilisateurs dans un environnement Active Directory. Les stratégies de groupe permettent la
gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la
redirection des dossiers ainsi que la gestion des fichiers en mode déconnecté.
Elles sont également utilisées pour restreindre les actions et les risques potentiels comme par
exemple : verrouillage du panneau de configuration, restriction d’accès à certains dossiers,
désactivation de l’utilisation de certains exécutables, etc.…

Les trois phases de l'utilisation des stratégies de groupe


Les stratégies de groupe peuvent être considérées en trois phases distinctes : Création de la
stratégie de groupe, Liaison des stratégies de groupe et application des stratégies de groupe.

Création et édition des stratégies de groupe


Les stratégies de groupe peuvent être éditées au travers de deux outils – le Group Policy
Object Editor (Gpedit.msc) et la Group Policy Management Console (GPMC).
 GPEdit est utilisé pour créer et éditer une stratégie de groupe de façon unitaire.
 La GPMC simplifie grandement la gestion des stratégies de groupe en fournissant
un outil permettant une gestion centralisé et collective des objets. La GPMC inclus de
nombreuses fonctionnalités telles que la gestion des paramètres, un panneau pour la
gestion du filtrage par groupe de sécurité, des outils de sauvegarde et de restauration
…etc. Le nom d’une stratégie de groupe peut être déterminé en utilisant l’outil
GPOTool.exe

Liaison des stratégies de groupe


Après avoir créé une stratégie de groupe, elle peut être liée à un site Active Directory, à
un domaine ou à une unité d'organisation (OU).

Application des stratégies de groupe


Le client de stratégie de groupe du poste récupère la configuration (de base dans un
intervalle aléatoire compris entre 60 et 120 minutes, mais cela est configurable via les
stratégies de groupe) qui est applicable à l’ordinateur et à l’utilisateur connecté et
l’applique en tenant compte des différents critère de filtre, de sécurité et d’héritage.
27
5.2 Stratégie de groupe CMR

Dans le cas de la CMR, nous allons créer 3 GPO : la GPO du domaine, GPO structure métier et
la GPO structure de gestion.
Les GPO à crées permettront la gestion selon la politique de sécurité de la CMR de :
 La stratégie de mot de passe: les stratégies de mots de passe sont utilisées pour les comptes
de domaine ou les comptes d'utilisateurs locaux. Elles déterminent les paramètres des mots
de passe, tels que leur mise en application et leur durée de vie.
 La stratégie de verrouillage du compte : les stratégies de verrouillage de comptes sont
utilisées pour les comptes de domaine ou les comptes d'utilisateurs locaux. Elles
déterminent les circonstances et la durée pendant lesquelles un compte est verrouillé hors
du système
 La stratégie d’audit : Ces paramètres d'audit, pour des catégories d'événements spécifiques,
permettent de créer une stratégie d'audit qui répond aux impératifs de sécurité de
l’organisation.
 La stratégie d’attribution des droits utilisateurs : Ces paramètres permettent d’attribuer des
droits au groupe d’utilisateurs spécifiés, comme le droit de jonction d’un ordinateur au
domaine, le droit d’arrêter le système, le droit de modification d’horloge….
 La stratégie paramètre de sécurité : Ces paramètres traitent la sécurité de la station cliente
en terme de compte invité, administrateur local, audit, base de registre…
 Stratégie Windows Update : Cette stratégie permet de configurer les paramètres de la mise
à jour des systèmes clients Windows, soit par connexion automatique au site Internet de
Microsoft, ou par une infrastructure de mise à jour Windows Server Update Services
(WSUS).
 Stratégies des groupes restreints : Les Groupes restreints doivent être principalement
utilisés pour configurer l'appartenance de groupes locaux sur des stations de travail ou des
serveurs membres.
 Stratégies de connexion réseau : Ces stratégies permettent la configuration des paramètres
réseau tel que le Proxy d’accès à Internet et le firewall sur les cartes réseau.

6) Implémentation du placement des contrôleurs de domaine

6.1 Concepts et définitions

6.1.1 Contrôleurs de domaine

Un contrôleur de domaines est un serveur qui gère les composantes d’Active Directory.
Les principaux critères de choix pour l’ajout d’un contrôleur de domaine sont :
 Le nombre d’utilisateurs ;
 Le niveau de disponibilité exigée ;
 La tolérance de pannes.

28
6.1.2 Sites
Les sites sont des groupes d’ordinateurs connectés par des liaisons rapides. Lorsque
nous créons des sites, les contrôleurs de domaine au sein d’un même site communiquent
fréquemment. Ces communications réduisent le délai de latence de réplication à
l’intérieur du site ; autrement dit, le temps requis pour qu’une modification effectuée sur
un contrôleur de domaine soit répliquée sur d’autres contrôleurs de domaine. Nous
pouvons donc créer des sites pour optimiser l’utilisation de la bande passante entre des
contrôleurs de domaines situés à des emplacements différents.

Windows 2003 définit un site comme un sous réseau IP ou comme un ensemble de sous
réseaux IP. Cette définition est basée sur l'idée que des ordinateurs possédant la même
adresse de sous réseau sont connectés au même segment de réseau, typiquement un
LAN ou autres.
Windows 2003 utilise les informations de site pour localiser un serveur Active
Directory proche de l'utilisateur. Lorsque le poste de travail d'un utilisateur se connecte
au réseau, il reçoit une adresse TCP/IP de la part d'un serveur DHCP, qui identifie
également le sous réseau auquel appartient le poste de travail. Les postes de travail dont
les adresses IP sont statiques disposent également d'informations de sous réseau
statiques. Donc, le releveur de coordonnées du contrôleur de domaines (DC) tentera de
localiser un serveur Active Directory situé sur le même sous réseau que l'utilisateur, en
fonction des informations de sous réseau connues du poste de travail.

6.1.3 Catalogue global « GC »


Active Directory peut être constitué de nombreuses partitions ou de nombreux contextes
d'appellation. Le nom unique (DN) d'un objet contient assez d'informations pour
localiser une réplique de la partition contenant l'objet. Mais bien souvent l'utilisateur ou
l'application ne connaissent pas le nom unique de l'objet cible et ne savent pas quelle
partition pourrait le contenir. Le Catalogue global (GC – Global Catalog) permet aux
utilisateurs et aux applications de trouver des objets dans l'arbre de domaines Active
Directory pour peu qu'ils connaissent un ou plusieurs attributs de l'objet cible.
Les attributs trouvés dans le catalogue général sont ceux les plus fréquemment utilisés
dans les opérations de recherche (comme le prénom et le nom d'un utilisateur, les noms
de connexion, etc.) et ceux nécessaires à la localisation d'un réplique complète de
l'objet. Le catalogue général permet aux utilisateurs de trouver rapidement les objets qui
les intéressent sans savoir quel domaine les contient et sans exiger l'existence d'un
espace de nom étendu contigu dans l'entreprise.

6.1.4 Réplication
Grâce à Active Directory, tous les contrôleurs de domaine se répliquent
automatiquement sur un site et supportent une réplication multi maîtres, la réplication
des informations d’Active Directory sur tous les contrôleurs de domaine.

29
L'introduction de la réplication multi maîtres signifie que les administrateurs peuvent
opérer des mises à jour vers Active Directory sur n'importe quel contrôleur de domaine
Windows 2003 du domaine.
La réplication d'une base de données multi maîtres aide aussi à contrôler les décisions
portant sur la synchronisation des modifications, les informations les plus fréquentes et
l'arrêt de la réplication de données (afin d'éviter des duplications ou redondances).

6.2 Implémentation et placement des contrôleurs de domaine de la CMR

Placement des contrôleurs de domaine CMR

Le tableau ci-dessous présente la relation, recommandée par Microsoft, entre le nombre


d’utilisateurs et le nombre de contrôleurs de domaine :
Critère Nombre de contrôleurs de domaine
> 1 000 utilisateurs Un
De 1 000 à 10 000 utilisateurs Deux
< 10 000 utilisateurs Un tous les 5 000 utilisateurs
Ajouter un contrôleur de domaine
Pour assurer la tolérance de pannes
supplémentaire
Dans le cas de la CMR, une organisation de petite taille, à peut près 400 utilisateurs, avec un
seul domaine : un seul contrôleur de domaine est suffisant. Mais nous avons choisis de mettre
deux contrôleurs de domaine : un sur le siège principal et un sur le siège Agdal pour augmenter
la disponibilité du système et assurer la tolérance aux pannes.

Création des sites

Dans Active Directory, les sites correspondent généralement à la structure physique du réseau
tandis que les domaines correspondent à la structure logique ou administrative de notre
organisation. Cette séparation de la structure physique et de la structure logique offre les
avantages suivants :
 On peut concevoir et maintenir les structures logiques et physiques de notre réseau
indépendamment.
 On n’a pas besoin de baser les espaces de noms de domaine sur notre réseau physique.
 On peut déployer des contrôleurs de domaine pour plusieurs domaines au sein du même
site. On peut également déployer des contrôleurs de domaine pour le même domaine dans
plusieurs sites.

30
La structure réseau de la CMR se présente comme suit :

Délégation à Délégation à Casablanca Délégation


Fès Marrakech

Annexe Agdal –rabat-


Annexe Benghazi –rabat-
Siège de la
CMR Annexe Le Golan –rabat-
- rabat- Annexe Tindouf –laâyoune-

Délégation Délégation
Agadir Délégation Laayoune Délégation Oujda Tétouan

Microsoft préconise que les sites AD reflètent la configuration réseau de l’organisation. Mais
elle recommande aussi de ne pas créer de site qui ne contient pas de contrôleur de domaine.
Dans le cas de la CMR et vu le nombre d’utilisateurs limités par délégation, nous avons choisi
de ne pas y placer des contrôleurs de domaine.
On aura donc deux contrôleurs de domaine : un sur « siège principal» et un sur Agdal, on
créera donc deux sites : un site « siège principal » et un site agdal.

Catalogue global

Les meilleures performances du réseau sont obtenues lorsque le contrôleur de domaine d'un site
est également un catalogue global. Le serveur peut ainsi répondre aux requêtes sur les objets
situés n'importe où dans la forêt. Toutefois, l'activation de nombreux contrôleurs de domaine en
tant que catalogues globaux risque d'augmenter le trafic de réplication sur le réseau.
Dans le cas de la CMR, on s’est basé sur les recommandations Microsoft suivante pour le
placement des GC :
 Dans une forêt à un seul domaine, désignez tous les contrôleurs de domaine comme serveurs
de catalogue global ;
 Si tous les contrôleurs de domaine dans le domaine racine de la forêt sont aussi des serveurs
de catalogue global : laissez tous les rôles de maître d'opérations sur le premier contrôleur de
domaine et désignez le deuxième contrôleur de domaine comme le maître d'opérations en
attente.
Donc nous allons désigner les deux contrôleurs de domaine du domaine « cmr.local » comme
catalogue global et laisser le premier contrôleur de domaine (qui est au niveau du siège ‘ siège
principal ‘) comme maître d’opérations.

31
2. Exchange Server

1) Introduction

Exchange 2003 permet aux utilisateurs professionnels d'accéder à des moyens de communication
professionnels critiques presque partout et à tout moment, avec une sécurité, une disponibilité et une
fiabilité accrues. Exchange 2003 établit un record en matière de faible coût total de propriété, en aidant
les informaticiens à accomplir davantage de tâches avec moins de moyens, grâce à des outils de
gestion améliorés.
L'exécution de Microsoft Exchange 2003 sur Windows Server 2003 offre plusieurs avantages, tels que
l'amélioration de l'allocation de mémoire, la réduction du trafic de réplication du service d'annuaire
Microsoft Active Directory et la possibilité d'annuler les modifications apportées à Active Directory.

2) Définition

Exchange 2003 serveur fait parti de la gamme Windows Server System, Exchange fait parti des 3
serveurs de messagerie les plus utilisés dans le milieu professionnel, son concurrent principal en
France reste, Lotus Notes.
En plus d'être un serveur de messagerie puissant, vienne se greffer à Exchange 2003 une multitude de
composants, comme la gestion de contacts, intégration à Active Directory, calendriers partagés, tâches,
composants Web, etc. ...
Ce serveur de travail collaboratif regroupe tous les outils et composants nécessaires pour l'échange
d'informations entre différents collaborateurs et cela sur différentes plates-formes. (Client MAPI, client
Web, Smart phone ou autres...). L'ajout de ces composants fait d'Exchange serveur 2003 un groupware
performant (application permettant le travail collaboratif, la centralisation de ressources et de
documents partagés).
Exchange Serveur utilise toute la puissance d'Active Directory 2003, une multitude de fonctionnalités
optimisent et facilitent l'administration du système d'informations de messagerie via AD et ses diverses
composants.
Exchange 2003 Entreprise Edition vise les moyennes et grandes infrastructures jusqu'aux
multinationales. C’est la version qu’on va utiliser dans le cas de la CMR.

3) Architecture d'administration Exchange

Exchange 2003 utilise Active Directory pour stocker et partager les informations avec Windows.
Ainsi, toutes les informations d'annuaire créées et gérées dans Windows, telles que les groupes et la
structure des unités d'organisation, peuvent également être utilisées à partir d'Exchange.
Il est possible d'étendre le schéma Active Directory pour qu'il comprenne des attributs et des types
d'objets personnalisés de manière à centraliser et à minimiser l'administration des données, tout en
autorisant un accès à ces données à partir d'applications pouvant accéder aux informations
Active Directory. En fait, lorsqu’on installe notre premier serveur Exchange, Exchange 2003 étend le

32
schéma Active Directory pour inclure des informations spécifiques à Exchange. Ce processus affecte
la totalité de la forêt et, en fonction de la taille d'Active Directory, peut prendre un temps important.

Comme le montre cette figure, toutes les informations que nous consultons (lecture) et utilisons
(écriture) à l'aide du composant Utilisateurs et ordinateurs Active Directory sont stockées dans
Active Directory. La plupart, mais pas la totalité, des informations qui sont lues et écrites par le
Gestionnaire système Exchange proviennent également d'Active Directory. Cependant, en plus des
données stockées dans Active Directory, le Gestionnaire système Exchange utilise des informations
provenant d'autres sources, à savoir :
 MAPI Le Gestionnaire système Exchange utilise MAPI pour rassembler des données de la
banque d'informations Exchange afin d'afficher des boîtes aux lettres.
 WMI (Windows Management Instrumentation) Le Gestionnaire système Exchange utilise
les données fournies par WMI pour afficher les informations d'annuaire mises en cache
(DSAccess, cache d'informations d'annuaire qui réduit le nombre d'appels à votre serveur de
catalogue global) et les informations sur la file d'attente.
 WebDAV (Web Distributed Authoring and Versioning) Le Gestionnaire système
Exchange utilise les données fournies par WebDAV pour afficher les dossiers publics à l'aide
du répertoire virtuel Exadmin.

4) Fonctionnalités administratives

Le composant logiciel enfichable Gestionnaire système Exchange de la console MMC fournit un outil
d'administration unifié des objets Active Directory et Exchange 2003, ce qui facilite les tâches
administratives et réduit le temps consacré à l'administration.
Un groupe administratif est un ensemble d'objets Exchange 2003 regroupés pour les besoins de la
gestion des autorisations. L'ensemble des groupes administratifs définit la topologie administrative
d'une entreprise. Un groupe administratif peut contenir des groupes de routage, des arborescences de
dossiers publics, des stratégies, des moniteurs, des serveurs, des services de conférence et des réseaux
de conversation (chat).
Si une entreprise s'articule autour de deux ensembles distincts d'administrateurs qui gèrent deux
ensembles séparés de serveurs exécutant Exchange 2003, nous pouvons créer deux groupes
administratifs contenant ces deux ensembles de serveurs. Pour définir des autorisations, il suffit
d'ajouter les utilisateurs et/ou les groupes Windows 2003 appropriés aux paramètres de sécurité des
deux groupes administratifs.
Mais pour la CMR, on a un seul ensemble d’administrateurs qui gèrent le serveurs exécutant Exchange
2003, nous allons créer donc un groupe administratif pour gérer le serveur.
33
5) Fonctionnalités de routage de messages

Les groupes de routage permettent notamment de contrôler le trafic des messages, d'effectuer le suivi
des messages et de résoudre les échecs de remise. L'association de groupes de routage et de
connecteurs de groupes de routage constitue la topologie de routage de l'organisation Exchange.
Les groupes de routage sont un concept différent des groupes administratifs. Ils permettent de définir
la manière dont le courrier est transféré. Les groupes administratifs, quant à eux, servent à définir les
autorisations administratives.
Un groupe de routage est un ensemble de serveurs exécutant Exchange et connectés entre eux. Les
messages envoyés d'un serveur à un autre au sein d'un groupe de routage sont acheminés directement
du serveur expéditeur vers le serveur de destination. Une connectivité point à point, 24 heures sur 24,
est donc requise entre les serveurs qui exécutent Exchange et appartiennent au même groupe de
routage.
Dans la CMR, il suffit d’avoir un seul groupe de routage, dans un groupe de routage, tous les serveurs
Exchange communiquent et transfèrent des messages directement entre eux à l'aide de serveurs virtuels
SMTP (Simple Mail Transfer Protocol).

6) Banques d'informations et Groupes de stockage


Banques d'informations
Une banque d'informations est une base de données qui contient des données. Exchange peut prendre
en charge plusieurs banques par serveur. Les banques d'informations sont contenues dans des groupes
de stockage et n'ont pas de limite de taille programmée.
Les avantages liés à l'implémentation de plusieurs bases de données de messages pour la CMR sont
répertoriés ci-dessous.
 La fiabilité du système est accrue car en cas d'échec dans une base de données, les utilisateurs
de la CMR d'une autre base de données ne sont pas concernés.
 Il est possible de planifier les sauvegardes de manière plus rapide et plus souple car les bases
de données sont en général plus petites.
 Le temps de restauration est réduit en cas de défaillance matérielle car chaque base de données
peut être restaurée séparément.
 L'efficacité est accrue car nous plaçons dans la même banque d'informations des utilisateurs qui
communiquent entre eux.
Groupes de stockage
Un groupe de stockage est un ensemble de banques d'informations qui partagent le même jeu de
fichiers journaux de transactions. Exchange 2003 utilise des groupes de stockage pour réduire la
surcharge engendrée par plusieurs jeux de fichiers journaux de transactions. Un groupe de stockage
peut contenir jusqu'à cinq banques qui utilisent le même jeu de fichiers journaux de transactions. Il est
possible de gérer ces banques par groupe ou indépendamment.
Les groupes de stockage nous permettent d'effectuer les tâches suivantes :
 prendre en charge davantage d'utilisateurs sur chaque serveur car nous pouvons créer et gérer
plus facilement un plus grand nombre de banques de taille réduite ;
 sauvegarder et restaurer des activités sur une seule banque sans affecter le fonctionnement des
autres banques du groupe de stockage ;

34
 héberger plusieurs entreprises sur un seul serveur. Chaque société peut disposer de sa propre
banque d'informations ou de son propre groupe de stockage. Nous pouvons configurer et gérer
chaque groupe de stockage en fonction des besoins commerciaux d'une entreprise donnée

7) Stratégies

On peut simplifier l'administration des objets Exchange par l'utilisation de stratégies. Une stratégie est
un ensemble de paramètres de configuration qui peuvent être appliqués à un ou plusieurs objets
Exchange.

Stratégies de destinataire
Lorsqu’on termine l’installation d’EXchange, une stratégie de destinataire par défaut est créée. Cette
stratégie par défaut génère automatiquement des adresses SMTP et X.400 pour les utilisateurs.
Dans notre cas la stratégie utilisée par défaut pour l’adresse SMTP est :@cmr.local, on doit créer une
nouvelle stratégie SMTP qui sera nommée : @cmr .gov.ma
Les stratégies de destinataire sont appliquées aux destinataires par l'intermédiaire du Service de mise
à jour de destinataire, selon l'intervalle établi pour le domaine dans ce service.
Dans le cas de la cmr, c’est la nouvelle stratégie crée qui doit être utilisé, donc on doit lui a donné la
priorité la plus élevée pour garder la sécurité du nom du domaine (cmr. Local) qui sera connu que par
l’administrateur du serveur Exchange.

Stratégies de banques de boîtes aux lettres


Les stratégies de banque de boîtes aux lettres sont appliquées à une ou plusieurs banques de boîtes
aux lettres sur un ou plusieurs serveurs. Dans notre serveur exchange de la CMR On peut remplacer
les paramètres par défaut que nous spécifions pour une banque de boîtes aux lettres en configurant
l'objet de stratégie de banque de boîtes aux lettres.
 Émettre un avertissement à (Ko)
 Interdire l'envoi à partir de (Ko)
 Interdire l'envoi et la réception à partir de (Ko)
 Intervalle entre les messages d'avertissement
 Conserver les éléments supprimés pendant (jours)
 Conserver les boîtes aux lettres supprimées pendant (jours)
 Ne pas supprimer définitivement les boîtes aux lettres et éléments tant que la banque
d'informations n'a pas été sauvegardée
 …. et autres

Stratégies Serveurs
Une stratégie de serveur est utilisée pour le suivi des messages, et les paramètres de maintenance
servent aux fichiers journaux de suivi des messages.
Pour activer le suivi de messages dans le serveur exchange de la CMR sur plusieurs serveurs, nous
pouvons définir une seule stratégie, au lieu de définir des stratégies individuelles pour activer le suivi
des messages sur chaque serveur, ce qui représente une tâche fastidieuse.

35
3. Public Key Infrastructure

1) Introduction

L'authentification des utilisateurs est la base fondamentale de la sécurité. Le moyen actuel le plus
utilisé est l'utilisation du couple nom d'utilisateur et mot de passe statique.
Cependant, pour un pirate expérimenté ou un utilisateur initié, le mot de passe statique est facilement
vulnérable. Ils sont, à ce titre, la cible privilégiée de tout intrus qui cherche à obtenir des informations
auxquelles il n'a normalement pas accès.
Il est en effet facile de découvrir le mot de passe d'un utilisateur. Ceux-ci sont souvent faciles à deviner
(nom des enfants, date d’anniversaire…) et, même dans le cas contraire, il existe des programmes (en
libre accès sur Internet) qui permettent de capturer et décrypter les bases de comptes utilisateurs des
principaux systèmes d'exploitation (Unix, Microsoft…).
Dès qu'un intrus réussit à s'approprier l'identité d'un utilisateur autorisé, toutes les fonctions de
contrôle, de suivi, d'audit et de gestion des habilitations, perdent toute pertinence. Pour l'essentiel le
mal est fait et le travail de suivi et de contrôle des activités des utilisateurs est perdu.
La solution à ce problème consiste dans la création de compte d'accès dont le mot de passe ne puisse
être usurpé.

2) Définition

 Une Infrastructure à clés publiques (ICP) ou Infrastructure de Gestion de Clefs (IGC) ou encore
Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des
équipements cryptographiques ou HSM, des cartes à puces), de procédures humaines (vérifications,
validation) et de logiciels (système et application) en vue de gérer le cycle de vie des certificats
numériques ou certificats électroniques.
Une infrastructure à clés publiques délivre un ensemble de services pour le compte de ses utilisateurs.
En résumé, ces services sont les suivants :
Enregistrement des utilisateurs (ou équipement informatique),
Génération de certificats,
Renouvellement de certificats,
o Révocation de certificats,
Publication des certificats,
o Publication des listes de révocation (comprenant la liste des certificats révoqués),
o Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui
accèdent à l'IGC),
Archivage, séquestre et recouvrement des certificats (option).

 Un certificat numérique (aussi appelé certificat électronique) est un fichier permettant de


certifier l'identité du propriétaire d'une clé publique, un peu à la manière d'une carte d'identité.
Un certificat est généré dans une infrastructure à clés publiques (aussi appelé PKI pour Public Key

36
Infrastructure) par une autorité de certification (Certification Authority , CA) qui a donc la capacité de
générer des certificats numériques contenant la clé publique en question.
Actuellement, les certificats numériques sont reconnus à la norme X.509 version 3. Ce format se
compose entre autre de :
 la version du certificat X.509 (actuellement la V3)
 le numéro de série
 l'algorithme de signature
 le nom de l'émetteur (autorité de certification)
 la date de début de fin de validité
 l'adresse électronique du propriétaire
 la clé publique à transmettre
 le type de certificat
 l'empreinte du certificat (signature électronique)
La signature électronique est générée par l'autorité de certification à l'aide d'informations personnelles
(telles que le nom, le prénom, l'adresse e-mail, le pays du demandeur, etc) en utilisant sa propre clé
privée.
Il existe de nombreux types de certificats numériques, répondant chacun à un besoin particulier. Les
principaux types sont :
 Certificat de messagerie (permet de crypter et de signer ses e-mails)
 Authentification IPSec pour un accès distant par VPN
 Authentification Internet pour les pages Web sécurisées
 Cryptage des données avec EFS
 Signature de logiciel

3) Le cryptage

Il existe deux types de cryptage : le cryptage symétrique et le cryptage asymétrique. Seul le cryptage
asymétrique nécessite l'utilisation de certificats numériques.
Le cryptage symétrique
Le cryptage symétrique fonctionne à l'aide d'une et unique clé, qui permet à la fois de crypter les
données et de les décrypter.

Le cryptage symétrique reposant sur le fait que l'expéditeur ait communiqué au destinataire du
message la clé privée lui permettant de décrypter le message, il n'y a pas besoin de garantir l'identité de
l'expéditeur.
Le cryptage asymétrique
o Principe du cryptage asymétrique
Le cryptage asymétrique s'appui sur un couple de clés composé d'une clé publique permettant à
n'importe qui de crypter un message, un destinataire muni de sa propre clé privée.

37
le cryptage asymétrique (plus sécurisé). Dans ce cas la clé privée est appelée clé de session.

4) Signature numérique et non répudiation des données

La signature d'un message passe par deux étapes successives et complémentaires : la création d'un
condensé du message puis sa signature.

Tout d'abord, l'émetteur du message, Pierre, va créer un condensé (en quelque sorte l'empreinte
numérique de son message). Il va ensuite crypter ce condensé à l'aide de sa clé privée (que lui seul
possède, ce qui garantit son origine) et joindre ce résultat, appelé la signature numérique du message, à
son message. Il pourra ensuite envoyer son message à Paul. Lorsque Paul recevra le message, il va tout
d'abord décrypter le condensé à l'aide de la clé publique de Pierre. Ensuite il va créer un condensé du
message reçu qu'il pourra enfin comparer au condensé reçu avec le message. Si son condensé et celui
reçu sont identiques, cela signifie que le message est exactement le même que Pierre a envoyé.

38
5) Les infrastructures à clés publiques (PKI)
Cette infrastructure se compose de quatre éléments essentiels :
 Une Autorité d'Enregistrement (Registration Authorities) : c'est cette autorité qui aura pour
mission de traiter les demandes de certificat émanant des utilisateurs et de générer les couples
de clés nécessaires (clé publique et clé privée). Son rôle peut s'apparenter à la préfecture lors
d'une demande de carte d'identité.
 Une Autorité de Certification (Certification Authorities) : elle reçoit de l'Autorité
d'Enregistrement les demandes de certificats accompagnées de la clé publique à certifier. Elle
va signer à l'aide de sa clé privée les certificats, un peu à la manière de la signature de l'autorité
sur une carte d'identité. Il s'agit du composant le plus critique de cette infrastructure en raison
du degré de sécurité requis par sa clé privée.
 Une Autorité de Dépôt (PKI Repositories) : il s'agit de l'élément chargé de diffuser les
certificats numériques signés par la CA sur le réseau (privé, Internet, etc).
 Les utilisateurs de la PKI : ce sont les personnes effectuant des demandes de certificat mais
aussi ceux qui souhaitent vérifier l'identité d'un certificat qu'ils ont reçu.

Exemple de demande d'un certificat pour signer numériquement les e-mails de Pierre
Lorsque l'Autorité de Certification reçoit une demande de certificat par l'intermédiaire de l'Autorité
d'Enregistrement, elle doit générer un certificat. Pour prouver que le certificat émane réellement de
cette CA, il doit être signé avec la clé privée de l'Autorité de Certification. Cela signifie que si un
utilisateur arrive à se procurer cette clé privée, il pourrait créer des certificats numériques valides en
générant lui-même le couple de clés. Il pourrait donc signer et décrypter l'intégralité des données
circulant. Il est donc primordial d'assurer la sécurité et la confidentialité de la clé privée de l'Autorité
de Certification.
Une Autorité de certification d'entreprise offre à un demandeur plusieurs types de certificats, selon les
certificats qu'elle est habilitée à émettre et les autorisations de sécurité du demandeur . Pour le cas de la
CMR , on utilisera le cryptage asymétrique , chaque utilisateur doit avoir un couple de clés composé
d'une clé publique et une autre privée, donc chaque utilisateur doit demander deux certificats une pour
la signature numérique et une autre pour le cryptage des messages .
39
V. Installation & Implémentation

40
1. Installation de VirtualBox

Lorsque l'on souhaite faire fonctionner simultanément différents systèmes d'exploitation sur la même
machine, il est alors nécessaire de créer une machine virtuelle qui accueillera un nouveau système.
VirtualBox est un outil gratuit qui permet de virtualiser un système d'exploitation de notre choix.
L'utilisateur peut ainsi avoir à disposition différents systèmes de façon simultanée, sans avoir à
rebooter l’ordinateur.

La création d’une nouvelle machine virtuelle en utilisant VirtualBox-2.2.0 :


On va choisir un nom pour la nouvelle machine virtuelle et choisir le type du système d’exploitation
que nous désirons installer sur cette machine
Nom de la machine : EXCHANGE SERVER 2003
Système d’exploitation : Microsoft Windows
Version : Windows 2003

Ensuite on va choisir la taille, en méga octets, de la mémoire vive RAM réservée à la machine
Taille pour la mémoire vive de base : 256MO

pour la création d’un disque dur virtuel de démarrage de la machine virtuelle Choisissons créer
un nouveau disque dur qui aura comme type « image disque à taille dynamique » c’est un disque de
taille initiale réduite et est agrandie en fonction des besoins du système d’exploitation invité.
Choisissons l’emplacement du fichier dans le chemin « D:\MachineVirtuelle » pour contenir les
données du disque dur
Puis spécifions la taille maximale du disque dur virtuel : 10,00GB

Maintenant la nouvelle machine s’ajoute dans la partie gauche contenant la liste des machines
crées :

41
2. Installation de Windows Server 2003

Système d'exploitation serveur nouvelle génération, Windows Server 2003 est conçu pour répondre
aux besoins des entreprises modernes. Evolution naturelle des serveurs Windows 2000, la famille
Windows Server 2003 reprend les technologies déjà présentes dans Windows 2000 Server en les
améliorant et en simplifiant la mise en œuvre. Windows Server 2003 SP1 améliore la sécurité, la
fiabilité et l’administration du produit.

En décembre 2005, la Release 2 des éditions Standard, Enterprise et Datacenter de Windows Server
2003 ont été lancées. Elles apportent une nouvelle vague d’améliorations relatives entre autres à la
gestion des identités, du stockage et des serveurs d’agence.

C’est le système d’exploitation qu’on a installé dans notre serveur Exchange dans la machine virtuelle.

Ci-dessous capture écran après installation du Windows Server 2003

42
3. Installation Active Directory

Active Directory Service (ADS) est le service LDAP implanté par Windows 2003 Server pour la
gestion d'annuaires.
De base, AD n'est pas installé sous Windows 2003. Au cours de son installation, un domaine devra être
défini. La machine d'installation pourra prendre différents rôles:
 premier contrôleur d'un nouveau domaine dans une nouvelle forêt,
 premier contrôleur d'un domaine enfant d'un domaine existant,
 premier contrôleur d'un nouveau domaine dans une forêt existante,
 contrôleur supplémentaire au sein d'un domaine existant.
Deux méthodes sont possibles pour installer Active Directory:
 En utilisant l'utilitaire "Gérer votre serveur" qui simplifie l'installation sans poser les questions
les plus pointues. Il installe et configure à minima AD, DNS et DHCP pour un nouveau
domaine dans une nouvelle forêt.
 En utilisant l'assistant "dcpromo" (commande à exécuter) qui permet de contrôler tous les
aspects de l'installation.
Après avoir installé Windows Server 2003 sur un serveur autonome, Pour convertir un ordinateur
Windows Server 2003 en premier contrôleur de domaine dans la forêt, on a procédé comme suit :

1. On a installé l’active Directory en exécutant la commande DCPROMO


2. Démarrer l'Assistant Installation de ‘Active Directory’

3. Création d’un Contrôleur de domaine 4. création d’une nouvelle forêt

5. Indiquons le nom DNS (Domain Name Service) complet du nouveau domaine : « cmr .local »
Avant de saisir le nom du domaine nous devrons obligatoirement spécifier une adresse IP et
DNS

43
6. Acceptons le nom de domaine NetBIOS par défaut (il s'agit de "CMR" d’après la suggestion
de l'étape 5).

7. Choix de l’emplacement où sera stockée la base de données Active Directory


Affectons à la base de données et au fichier journal l'emplacement par défaut correspondant au
dossier c:\winnt\ntds

8. choix du volume Système partagé : Affectons au dossier Sysvol l'emplacement par défaut
correspondant au dossier c:\winnt\sysvol

44
9. Installer et configurer le service DNS sur cet ordinateur

10. Autorisations compatibles uniquement avec les systèmes d'exploitation serveurs Windows 2000
ou Windows Server 2003

11. Remplir le mot de passe dans le champ Mot de passe administrateur de restauration des services
d'annuaire.
45
12. Passons en revue (résumé) et confirmons les options sélectionnées
13. L'installation de ‘Active Directory’ se poursuit.
14. Lorsque l'ordinateur est redémarré, les enregistrements d'emplacement du service DNS du
nouveau contrôleur de domaine ont été créés.
Ci-dessous capture écran la console Administrateur DNS.

4. Installation Microsoft Exchange Server 2003

Pour cette démonstration nous choisirons de faire une nouvelle installation d'Exchange 2003, pas
d'installation en mode mixte ou de mise à jour Exchange 2000 vers Exchange 2003.

1. Lancer l’installation :
 Une fenêtre apparaît lors de l'insertion du CD ou de l'exécution de celui-ci, on peut évidement
disposé d'un accès distant où seront stockés les fichiers d'installation pour exécuter
l'installation.

46
 Choisissons "Déployer le premier serveur Exchange 2003".

 La fenêtre suivante s'affiche, on va faire alors une Nouvelle installation d'Exchange 2003

2. Etapes d’installation
 Une page s'affiche alors, cette page nous permettra d'effectuer une installation correcte et
cohérente, étape par étape. Voici les 8 étapes d'installation :

47
 Installation de Windows Server 2003 est déjà effectué
 Activation des services Windows
Installation du serveur Web IIS ( ajout\suppression de composants Windows) , et Vérifions que
les services NNTP, SMTP et Web sont sélectionnés.

48
Installation ensuite du composant ASP.NET

Dans la console IIS vérifions que celui-ci est bien Autorisé.

 L'étape suivante consiste à installer le package d'utilitaires présent sur le CD-ROM


d'installation de Windows Serveur dans le répertoire D : \support\tools

Ce package est composé de plusieurs commandes permettant d'effectuer des vérifications ou


modifications sur les composants du serveur, dans notre cas seul 2 utilitaires seront utilisés, DCDIAG
et NETDIAG.

49
 L'étape suivante consiste à effectuer des vérifications au niveau du contrôleur de domaine et
des connexions réseau avec les outils DCDiag et NETDiag.
Exécutons la commande: DCDIAG, l'exécution de cet utilitaire nous permet d'effectuer une
série de test sur la connectivité du contrôleur de domaine et de ses multiples fonctions (Rôle
FSMO, réplication, KCC, sysvol, netlogon ...)

Lorsque tous les tests ont été passés, exécutons la commande:NETDIAG, l'exécution de cette
commande vous permet d'effectuer une série de test sur la connectivité réseau de votre serveur
Exchange.

 Une fois les tests réussis, exécutons ForestPrep, qui a pour but de préparer le schéma Active
Directory, en ajoutant des classes d'objets spécifiques à Exchange.
En exécutant : D:\setup\i386\setup.exe /forestprep

50
Assistant d’installation :

 Exécutons ensuite DomainPrep, qui a pour but de préparer le domaine Active Directory en
créant le groupe de sécurité globale Exchange Domaine Serveur et le groupe de sécurité locale
Exchange Entreprise Serveur.
En exécutant : D:\setup\i386\setup.exe /domainprep

Assistant d’installation :

3. installation
 Une fois toutes ces pré-installations effectuées, nous pouvons lancer le SETUP.EXE, qui
installera le serveur Exchange 2003.
En exécutant : D:\setup\i386\setup.exe

51
 Dans notre cas nous choisissons la création d'une nouvelle organisation Exchange.

 Choisissons un nom pour notre organisation Exchange pour la CMR, et acceptons le contrat de
licence après nous somme assuré que nous disposons d'une licence pour tous les clients devant se
connecter au serveur Exchange.

 Acceptons nos choix d’installation des composants :


Microsoft Exchange
 Service collaboration et Messagerie Microsoft Exchange
 Outils de gestion du système Microsoft Exchange

52
 L'installation commence alors, la durée de celle-ci dépend de la configuration matérielle et de
l'environnement dans lequel est installé le serveur Exchange 2003.

Notre serveur EXCHANGE 2003 est maintenant installé !

4. Vérification post-installation
Après avoir fini l'exécution de l'assistant d'installation, il est préférable d'effectuer un contrôle dans le
gestionnaire de services, en exécutant la commande : SERVICES.MSC

Vérifions que les 9 services suivants sont présents (Le démarrage de tous les services n'est pas
nécessaire).

53
5. Installation des Services de Certificats sous Windows Server 2003

Pour installer une autorité de certification sous Windows Server 2003, il faut se rendre dans
« Ajout/Suppression de programmes » dans le panneau de configuration. Sélectionner « Ajouter ou
supprimer des composants Windows », cocher « Services de certificats » puis cliquer sur le bouton
« Suivant ». La première étape de l'installation consiste à choisir le type d'autorité de certification.

 Autorité d'entreprise : à utiliser si l'autorité de certification doit délivrer des certificats dans un
domaine auquel appartient le serveur (se base sur l'annuaire d'Active Directory). Cette autorité
doit-être contrôleur de domaine.
 Autorité autonome : permet de délivrer des certificats dans un réseau comme Internet
 Autorité racine : l'autorité de certification est la première du réseau
 Autorité secondaire : dépend d'une autorité racine
 Il faut ensuite choisir un nom pour cette autorité de certification pour la CMR nommé :
certificatCMR; ainsi que, dans le cas d'une autorité racine, la période de validité des certificats
délivrés.

Pour terminer, l'installation propose de changer l'emplacement de la base des certificats et des fichiers
journaux. Après avoir validé cette dernière étape, la copie des fichiers nécessaires commence. Une fois
l'installation effectuée, un nouveau composant apparait dans le menu « Outils d'administration » :
Autorité de certification.

54
VI.Configuration & Exploitation

55
1. Active directory

Configuration active directory

1) Configuration de Site
 Création d'un site
Pour la création des 2 sites (« siège principal » « Agdal »), de la même façons : Dans
l'arborescence de la console ‘Sites et services Active Directory, avec un clique droit
choisissons nouveau site

 Création d'un objet sous-réseau


Après avoir défini les sites, on va créer des sous sous-réseaux et les associer aux sites.
Le système d'exploitation et les applications utilisent les informations sous-réseaux afin
de réduire le trafic réseau en trouvant le serveur le plus près du client.
Création d’un objet sous réseau pour SiègePrincipal , adresse sous réseau 198 .168.1.0

 Création de liens de site


Après avoir configuré les sites de réseau, on crée des liens de site dans Active Directory
afin de mapper les connexions intersites. On peut définir le calendrier en fonction des
heures de réplication les plus avantageuses en tenant compte du trafic réseau et du coût.
Créons des liens de site qui utilisent un transport intersites spécifique. Ces liens de site
sont soit RPC, soit SMTP.

56
Dans la console Sites et services Active Directory, double-clique sur Inter-Site
Transports , clique droit sur le protocole SMTP et choisissons lien vers un nouveau site
Le lien crée entre les deux sites pour la cmr nommé : lienCMR

 Configuration des liens de site


Dans l'onglet Général de la boîte de dialogue Propriétés, on peut modifier le coût,
l'intervalle de réplication et le calendrier si nécessaire.

2) Serveur de catalogue global


Le premier contrôleur de domaine d'une forêt est désigné automatiquement comme serveur de
catalogue global. On peut autoriser n'importe quel contrôleur de domaine comme serveur de
catalogue global ; cependant, un serveur de catalogue global est en général utile dans chaque
site.
Dans la console Sites et services Active Directory, dans l'arborescence de la console, on
développe le contrôleur de domaine qui va héberger ou héberge le catalogue global.
Cliquons avec le bouton droit sur NTDS Settings, puis Propriétés.

3) Gérer les FSMO


Identification du maître RID, de l'émulateur CPD et du maître d'infrastructure

57
Identification du maître d'attribution de nom de domaine

Identification du contrôleur de schéma


1. Inscrire le composant logiciel enfichable Schéma Active Directory en exécutant la
commande suivante : regsvr32.exe %systemroot%\system32\schmmgmt.dll

2. Création une console MMC (Microsoft Management Console) personnalisée et Ajout du


composant logiciel enfichable Schéma Active Directory à la console.

3. Dans l'arborescence de la console, cliquons avec le bouton droit sur Active Directory
Schéma, puis cliquons sur Maître d'opérations. Le nom contrôleur de schéma actuel
s'affiche dans la boite de dialogue Modifier le contrôleur de schéma .

58
Exploitation Active Directory

1) Gérer des utilisateurs, groupes et ordinateurs

Gestion des utilisateurs :


Création d’un objet utilisateur dans notre domaine nommé CMR.LOCAL :

Boite aux lettres pour cet utilisateur :

59
Après la création de l’ensemble des utilisateurs on peut effectuer des opérations comme :
 La réinitialisation d’un mot de passe utilisateur
 Copier un compte d'utilisateur
 Le Déplacement un compte d'utilisateur
 Définir des horaires d'accès
 Activer ou désactiver un compte d'utilisateur
 Modification du groupe principal d'un utilisateur
 Suppression d’un compte d'utilisateur

Gestion des groupes


Création du groupe. On va créer 2 groupes :
 un groupe de distribution
 un groupe de sécurité

On a plusieurs opérations possible à faire sur un groupe, citons par exemple qu’on peut :
 Ajouter un membre à un groupe
 Autoriser les utilisateurs anonymes à être membres du groupe de sécurité Tout le monde sur un
contrôleur de domaine
 Convertir un groupe en un autre type de groupe
 modifier l'étendue d'un groupe
 Supprimer un groupe
 Rechercher des groupes dont un utilisateur est membre
 Affecter des droits utilisateur à un groupe dans Active Directory

Gestion des ordinateurs


Création d’un compte d'ordinateur

60
On peut aussi joindre un ordinateur à un domaine :
Sous l’onglet nom de l’ordinateur dans les propriétés système, avec un clic sur le bouton modifier,
on peut joindre l’ordinateur à un domaine : devenir membre de Domaine CMR.LOCAL

On peut effectuer d’autres opérations sur un ordinateur par exemple :


 Ajouter un compte d'ordinateur à un groupe
 Supprimer un compte d'ordinateur
 Gérer un ordinateur distant
 Déplacer un compte d'ordinateur
 Réinitialiser un compte d'ordinateur
 Activer ou désactiver un compte d'ordinateur

2) Création des unités d'organisation

Pour la création des 3 OU, de la même façons : Dans l'arborescence de la console ‘Utilisateurs
et ordinateurs Active Directory’ ,avec un clique droit choisissons nouveau unité d’organisation

Après avoir créer les 3 unités d’organisation pour la CMR,en cas de besoins plusieurs
opérations peuvent être appliquées :
 Déléguer le contrôle d'une unité d'organisation
 Supprimer une unité d'organisation
 Déplacer une unité d'organisation

3) Gérer les Stratégies de groupe

Création d'objets Stratégie de groupe liés


Lorsqu’on crée un objet GPO, il est lié au conteneur pour lequel nous l'avons créé. Toutefois,
aucun paramètre de stratégie de groupe n'y est défini.

o Création d'objets Stratégie de groupe liés à des domaines et des unités d'organisation
On crée un objet GPO pour des domaines et des unités d'organisation à l'aide du composant
Utilisateurs et ordinateurs Active Directory.
Appliquons par exemple une nouvelle stratégie sur l’unité d’organisation : division métiers
Cette nouvelle stratégie nommée : GPOproxy

61
o Création d'objets Stratégie de groupe liés à des sites
La création d'un objet GPO lié à un site diffère de celle d'un objet GPO lié à un domaine ou à
une unité d'organisation car on utilise le composant Sites et services Active Directory pour
administrer les sites.
Dans le composant Sites et services Active Directory. Clique avec le bouton droit sur le site
pour lequel on souhaite créer un objet GPO, puis Propriétés.
Dans l'onglet Stratégie de groupe, créons une nouvelle stratégie pour le site du siège principal,
on tape le nom du nouvel objet GPO : StrategieSite_SiegePrincipal. L'objet GPO créé s'affiche
dans la liste des objets GPO associés au site dans l'onglet Stratégie de groupe correspondant.

Création d’un objet Stratégie de groupe non lié


1. Exécutons Mmc.exe et ajoutons le composant logiciel enfichable Stratégie de groupe.

2. Dans la boîte de dialogue Sélection d'un objet Stratégie de groupe, cliquons sur Parcourir.
3. Dans la boîte de dialogue Rechercher un objet Stratégie de groupe, dans l'onglet Tous,
cliquons avec le bouton droit n'importe où dans la liste Tous les objets Stratégie de groupe
stockés dans ce domaine, puis cliquons sur Nouveau.

62
4. On Tape le nom du nouvel objet GPO, puis cliquons sur OK pour fermer la boîte de
dialogue Rechercher un objet Stratégie de groupe.
5. Pour modifier le nouvel objet GPO, dans la boîte de dialogue Sélection d'un objet Stratégie
de groupe, cliquons sur Terminer.

Les objets GPO non liés peuvent être créés dans des entreprises de grande envergure où un groupe
est responsable de la création d'objets GPO tandis qu'un autre groupe est responsable de leur
association au site, domaine ou unité d'organisation approprié.
o lier un objet Stratégie de groupe existant à des domaines et des unités
d'organisation
On peut lier un objet GPO existant à des domaines et des unités d'organisation à l'aide
du composant Utilisateurs et ordinateurs Active Directory.
Pour lier un objet GPO à un domaine ou une unité d'organisation :
Cliquons avec le bouton droit sur le domaine ou l'unité d'organisation à lier à un objet
GPO existant, puis Propriétés. Dans l'onglet Stratégie de groupe, clique sur Ajouter.
Cliquons sur l'onglet Domaine/unités d'organisation, Sites ou Tous, selon l'emplacement
auquel l'objet GPO que nous souhaitons lier est actuellement associé
.
2. Exchange Server 2003

Dans ce chapitre on va configurer notre organisation exchange, Exchange 2003 interagit avec les
données du service d'annuaire Microsoft Active Directory et dépend de celles-ci. De plus,
Exchange 2003 stocke et récupère des données dans d'autres emplacements qui comprennent la banque
de boîtes aux lettres, le Registre Microsoft Windows et le répertoire virtuel Exadmin. Pour accéder aux
données Exchange et les gérer, on a de deux composants logiciels enfichables MMC (Microsoft
Management Console) : le Gestionnaire système Exchange et le composant Utilisateurs et ordinateurs
Active Directory. Ce sont vos deux outils principaux en tant qu'administrateur.

63
D'une manière générale, on utilisera :
 le Gestionnaire système Exchange pour configurer des données pour le serveur et
l'organisation ;
 Utilisateurs et ordinateurs Active Directory pour les données des destinataires.
Hiérarchies du composant Utilisateurs et ordinateurs Active Directory

Hiérarchie du Gestionnaire système Exchange

64
1) Groupes d'administration/groupes de routage
Après avoir installé Exchange dans une organisation Exchange 2003, le Gestionnaire système
Exchange n'affiche pas automatiquement les groupes d'administration et les groupes de routage. On
doit configurer notre organisation Exchange pour afficher les groupes d'administration.

2) Configuration paramètres de message pour les destinataires avec boîte aux lettres
Pour définir des paramètres de message pour des destinataires avec boîte aux lettres, on doit naviguer
tout d'abord jusqu'à l'onglet Exchange - Général.

 Restrictions de remise
La boîte de dialogue Restrictions de remise permet de passer outre le paramètre global pour les
utilisateurs qui ont des exigences particulières et qui doivent envoyer des fichiers d'une taille
supérieure à la limite globale autorisée.

65
 Options de remise
L'adresse de transfert est une autre option de remise, par le biais de laquelle le message envoyé à
l'utilisateur est transféré à une autre adresse dans l'organisation. On a également la possibilité
d'envoyer des copies du message à l'adresse de transfert et à la boîte aux lettres de l'utilisateur.
Un utilisateur peut recevoir les messages dans une adresse E-mail dans internet pour cela on va
procéder comme suit :
Création d’un objet contact pour utilisateur nommé: user2 (adresse : user2@gmail.com)

Accorder cette autorisation à l’objet utilisateur : user2


Transfert à La boite aux lettres et à l’adresse de transfert (user2@gmail.com) comme
destinataire choisissons l’objet contact crée : user_2

66
 Limites de stockage
Les membres de l’organisation peuvent avoir besoin d'un espace de stockage sur leurs serveurs
Exchange, qui soit supérieur au seuil autorisé pour la banque de boîtes aux lettres.

3) Création d'une stratégie de destinataire


Lors de l'installation d'Exchange, une stratégie de destinataire par défaut est créée, qui applique des
adresses SMTP et X.400 à tous les destinataires dans votre organisation Exchange. On peut modifier
cette stratégie ou en créer de nouvelles.
Pour démarrer la création d'une stratégie de destinataire, cliquons avec le bouton droit sur le conteneur
Stratégies de destinataire dans le Gestionnaire système Exchange, on pointe sur Nouveau, puis
cliquons sur Stratégie de destinataire.

67
4) Stratégies de banques de boîtes aux lettres
Les boîtes aux lettres constituent l'emplacement de remise de tous les messages entrants pour un
propriétaire déterminé. Une boîte aux lettres peut contenir des messages, des pièces jointes, des
dossiers, des documents et d'autres fichiers. Les informations contenues dans la boîte aux lettres d'un
utilisateur sont enregistrées dans une banque de boîtes aux lettres sur un serveur Exchange

Création dans stratégies système : une stratégie de banques de boites aux lettres nommée ‘limite BAL’

Par le biais des paramètres de limites de l'onglet Limites, On peut gérer la taille maximale des boîtes
aux lettres dans la banque de boîtes aux lettres et gérer le mode de traitement des éléments supprimés.
On peut accéder aux paramètres de limites sous l'onglet Limites de la boîte de dialogue Propriétés de la
banque de boîtes aux lettres ou bien on peut appliquer une stratégie de banques de boites aux lettres.

5) Création d'une stratégie système : stratégie de serveur


Une stratégie de serveur est utilisée pour le suivi des messages, et les paramètres de maintenance
servent aux fichiers journaux de suivi des messages.

68
Options de suivi des messages sur une stratégie de serveur

Ajout de serveurs à une stratégie de serveur


Après avoir créé une stratégie de serveur, on doit lui ajouter des serveurs.

6) Configuration du Serveur Virtuel SMTP

69
7) Configuration du connecteur SMTP
Ajouter connecteur SMTP : nommé « connecteur SMTP cmr »

70
3. Public Key Infrastructure

Pour effectuer une nouvelle demande de certificat, les utilisateurs peuvent se connecter à l'aide
d'Internet Explorer sur le site Web : http://cmr/certsrv (ou https://cmr/certsrv dans le cas d'une
connexion sécurisée).
L'interface Web se décompose en trois parties :
 Demander un certificat : permet de demander des certificats standards ou avancés
 Afficher le statut d'une requête de certificat en attente : permet dans le cas d'une autorité de
certification autonome, de récupérer un certificat après ayant été validé par l'administrateur
 Télécharger un certificat d'autorité de certification… : permet de télécharger le certificat de
l'autorité de certification ainsi que la liste de révocations des certificats de cette infrastructure

Pour pouvoir installer un certificat, il faut tout d'abord en faire la demande (Demander un
certificat).

On peut choisir entre différents types de certificat selon les besoins dans notre réseau. Mais pour
la CMR , on dois créer tout d’abords deux certificats : une pour le cryptage et une autre pour la
signature ; les deux certificats crées figure dans la liste du dossiers Modèles de certificats

71
Il nous faudra entrer des informations d'identification (nom, société, pays etc) permettant de nous
identifier sur notre certificat avant de pouvoir soumettre notre demande.

Il faudra ensuite patienter jusqu'à ce qu'un administrateur autorise manuellement notre demande.

De la meme façon , pour le meme client on fait une autre demande de certificats mais dans ce cas une
certificat de signature
Certificats delivré par l’administrateur :

Lorsque cela aura été fait, on peut installer notre nouveau certificat (« Afficher le statut d'une
requête de certificat en attente » sur l'interface Web). Dans le cas d'une demande à une
autorité d'entreprise il suffit de sélectionner le type de certificat puis de l'installer.

72
4. Mise en place d’un serveur HTTPS sous Windows 2003
La première étape de la configuration de SSL consiste à configurer le site Web ou le fichier à protéger
pour qu'il demande SSL.
1. Dans le Gestionnaire des services Internet, on développe l'ordinateur local, puis le dossier Sites
Web. Cliquons avec le bouton droit sur le site Web ou le fichier que nous voulons protéger
avec SSL, puis Propriétés.
2. Sous Identification de site Web, cliquons sur Avancé.
3. Dans la zone Identification avancée de site Web, sous Identités multiples pour ce site Web,
vérifions que l'adresse IP du site Web est affectée au port 443 (port par défaut pour les
communications sécurisées.

4. Dans la fenêtre qui s'affiche, sélectionnez l'onglet « Sécurité du répertoire ».

Sur la page qui s'affiche, cliquons sur le bouton « Certificat de serveur ». Suivons l'assistant pour
« Créer un certificat ».
Le serveur appartient à un domaine, donc il est possible de transmettre directement la demande à
l'autorité de certification en cliquant sur « Envoyer immédiatement la demande à une autorité de
certification en ligne ». Dans le cas contraire choisissez « Préparer la demande, mais ne pas l'envoyer
maintenant ».
Choisissons ensuite un nom pour le nouveau certificat, l'organisation et l'unité d'organisation, le nom
du site Web et enfin le pays, le département et la région où se situe votre serveur.
Affichage du certificat crée :

73
5. Dans la boîte de dialogue Communications sécurisées, activez la case à cocher Requérir un
canal sécurisé (SSL).

L'interface Web de l'autorité de certification est désormais accessible en entrant l'url suivante :
https://nom-de-lautorite/certsrv.
Dans le cas d’utilisation de http :… on aura affichage de la fenêtre suivante

74
5. Microsoft Outlook Web Access
Avec internet explorer en utilisant l’adresse suivante pour l’utilisateur bouallou :
https://cmr/exchange/bouallou/, il peut acceder à sa boite de messagerie

75
6. Microsoft Outlook
Configuration

Ajouter un nouveau compte de messagerie dans Outlook :

Choisissons serveur exchange:

Indiquant le domaine et l’utilisateur : Fatima Ouhmiz

76
Vérification cryptage /signature

On peut voir dans cette fenetre de Microsoft Otlook les certificats associé pour cet utilisateur :
certificat de signature et certificat de cryptage crée avec exchange

77
Envoie nouveau message signé et crypté :
Les messages signés numériquement apparaissent dans Microsoft Outlook avec une icône particulière
pour la signature et pour le cryptage du message.

Lors de la réception du message : on peut vérifier est ce que message est signé et crypté !

78
Conclusion

Le stage que j’ai effectué à la CMR m’a permis d’améliorer mes compétences et de
valider mes connaissances techniques que j’ai déjà acquises lors de ma formation à la
FST-F ; aussi ce stage m’a permis d’acquérir plusieurs profits, plusieurs notions, que je
n’ai pas vu pendant la période d’étude, ce qui m’a donné l’occasion de faire des
recherches, sachant que tout cela pourra me servir dans ma vie professionnelle, et
d’acquérir une grande confiance en soi avec de nouvelles connaissances.

Dans le cadre de mon stage, j’ai pu installer et configurer le serveur de messagerie


Exchange dans un environnement de test en utilisant une machine virtuelle avec
Windows server comme système d’exploitation, en mettant en place une infrastructure
de clé public pour le cryptage et la signature des messages dans Outlook pour sécuriser
l’échange des données. ET du coté client, il peut accéder à la boite de messages soit avec
Outlook Web Access en utilisant https ou bien avec Microsoft Outlook.

Enfin, dans ce domaine vaste qui ne cesse d’évoluer, j’espère avoir fait de mon
mieux pour éclaircir et mettre en valeur l’utilisation de Microsoft Exchange Server
conformément aux besoins de la CMR.

79
Bibliographie

Je liste ici un certain nombre de références indicatives, dont la consultation pourra être
profitable au lecteur de ce rapport souhaitant en savoir davantage sur la Messagerie.

 Des supports de cours Microsoft


Cours n° 2406A : conception et planification d’une organisation Microsoft Exchange Server
2003
Cours n° 2402A : Implémentation et administration de Microsoft Exchange Server 2003
Cours n° 2194A : planification, implémentation et maintenance d’une infrastructure Active
directory Microsoft Windows server 2003

 Microsoft bibliothèque eLearning :


Implémentation et gestion de Microsoft Exchange
Service d’annuaire Microsoft Windows
Support de Microsoft Windows professionnel

 Site Internet :
 Exchange server 2003 :
http://www.laboratoire-microsoft.org/articles/server/exchange2003/
http://www.supinfo-projects.com/fr/2005/exc2003%5Finstallation/5/
 Active directory :
http://support.microsoft.com/default.aspx?scid=kb;fr;f196464#top
 Machine virtuelle
http://fr.wikipedia.org/wiki/Machine_virtuelle
 Microsoft Project
http://www.innovaxion.net/cles_pour_ms_project.php#haut
 Windows server
http://windowsitpro.itpro.fr/Dossiers-par-Theme

80