La publication OWA sécurisée derrière ISA Server peut nécessiter un en-tête HTTP personnalisé

Lorsque vous utilisez la publication sur le Web dans Internet Security and Acceleration (ISA) Server 2000 pour publier en toute sécurité Microsoft Outlook Web Access (OWA), les utilisateurs de Microsoft OWA risquent de rencontrer les symptômes suivants si la connexion SSL est arrêtée sur l'ordinateur ISA Server:

• Les utilisateurs peuvent recevoir des avertissements de sécurité similaires au suivant :
  Cette page contient des éléments sécurisés et non sécurisés. Souhaitez-vous afficher les éléments non sécurisés ?
• Les utilisateurs peuvent recevoir plusieurs invites d'authentification du serveur OWA, en raison de l'utilisation combinée des protocoles HTTP et HTTPS.
• Aucun verrouillage de clé de sécurité indiquant une connexion sécurisée n'apparaît dans le navigateur.

Si la règle de publication sur le Web OWA est configurée pour "Exiger un canal sécurisé (SSL) pour le site publié", les utilisateurs de Microsoft OWA peuvent recevoir l'un des messages d'erreur suivants dans le navigateur au lieu de recevoir les symptômes indiqués plus haut :

Ce problème peut se produire parce que le serveur OWA publié a parfois besoin d'envoyer au client OWA des références d'URL absolues.

Lorsque le client OWA utilise SSL pour se connecter à l'ordinateur ISA Server (et lorsque vous arrêtez la connexion SSL sur l'ordinateur ISA Server), le trafic entre l'ordinateur ISA Server et le serveur OWA est de type HTTP. Au fur et à mesure que le serveur OWA reçoit HTTP, il crée dynamiquement les URL qu'il renvoie au client OWA en utilisant http:// au lieu de https://. Cela provoque l'utilisation combinée des protocoles HTTP et HTTPS entre le client OWA et l'ordinateur ISA Server et risque de provoquer les symptômes décrits dans la section "Symptômes" de cet article.

AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour plus d'informations sur la procédure à suivre pour modifier le Registre, consultez la rubrique d'aide "Modification des clés et des valeurs" dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajout et suppression d'informations dans le Registre" et "Modification des données de Registre" dans Regedt32.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT ou Windows 2000, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence.

Pour résoudre ce problème, procédez comme suit :

1. Procurez-vous et installez le dernier service pack pour ISA Server 2000. Pour plus d'informations sur la procédure à suivre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
   313139  (http://support.microsoft.com/kb/313139/ ) Procédure pour obtenir le dernier Service Pack de Microsoft Internet Security and Acceleration Server 2000
2. Arrêtez le service Web Proxy.
3. Démarrez l'Éditeur du Registre.
4. Recherchez la clé de Registre suivante et cliquez dessus :
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
5. Créez une nouvelle valeur DWORD nommée AddFrontEndHttpsHeader, puis attribuez à cette nouvelle valeur une valeur de données égale à 1.
6. Démarrez le service Web Proxy.

Remarques

Pour revenir à la configuration d'origine, supprimez la valeur du Registre AddFrontEndHttpsHeader ou remplacez sa valeur de données par 0 (zéro), puis redémarrez le service Web Proxy.

En ajoutant la valeur du Registre AddFrontEndHttpsHeader, ISA Server ajoutera l'en-tête HTTP personnalisé "Front-End-Https: On" à toutes les requêtes HTTP entre ISA Server et le serveur OWA publié. Toutefois, il n'ajoutera l'en-tête personnalisé pour les demandes de publication Web que si la connexion entrante entre le client OWA et l'ordinateur ISA Server est de type HTTPS (SSL). Si cet en-tête est ajouté, tout le trafic entre le client OWA et l'ordinateur ISA Server sera de type SSL.

Pour contourner ce problème, appliquez l'une des méthodes suivantes.

Méthode 1

Dans ISA Server, publiez OWA en utilisant la publication Serveur au lieu de la publication Web.

Méthode 2

Au lieu de terminer SSL sur l'ordinateur ISA Server, utilisez SSL Bridging afin d'établir une nouvelle connexion SSL entre ISA Server et le serveur OWA interne.

Méthode 3

Écrivez dans ISA Server un filtre Web qui ajoute l'en-tête HTTP personnalisé "Front-End-Https: On". Notez que cette procédure a fondamentalement le même effet que celle décrite dans la section "Résolution" de cet article. Pour plus d'informations sur les filtres Web, consultez le Kit de réalisation de logiciel ISA Server.

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section "Liste des produits concernés par cet article".

Ce problème a été corrigé dans ISA Server 2000 SP1.

Si vous demandez à l'ordinateur ISA Server d'ajouter l'en-tête HTTP personnalisé "Front-End-Https: On", OWA identifiera cet en-tête, puis retournera son URL en utilisant https:// à la place de http://.

REMARQUE : "Front-End-Https: On" est un en-tête HTTP personnalisé identifié uniquement par OWA et Exchange. Si vous publiez d'autres applications derrière ISA selon un scénario similaire et rencontrez les mêmes symptômes que ceux décrits dans cet article, l'ajout de l'en-tête HTTP personnalisé n'aura aucun effet.