Accès carnet d'adresses général Exchange 2003 par LDAP
1 réponse
Seb
Bonjour,
nous avons outsourcé notre serveur de mail chez un prestataire, il s'agit
d'un exchange 2003 / Windows2003 .
et souhaitons y connecter notre base de donnée clients . Ainsi toute
modification d'adresse
mail d'un client pourra etre repercutée dans le carnet d'addresses.
Sachant que le carnet d'adresses est abrité dans Active Directory le moyen
le plus simple est d'ultilister LDAP.
Notre prestataire nous a donc ouvert le port 3268, nous arrivons à nous
connecter, a lire,
mais impossible de modifier malgré les droit d'administration (nous argue le
prestataire).
Celà nous semble très bizarre car nous arrivons sans aucun probleme à
connecter notre base de donnée et
à effectuer des tests sur un Active Directory d'un serveur 2000 (mais sur
le port 389)
J'ai donc 3 petites questions
1) Est ce que le port 3268 est bien le port à utiliser et pourquoi pas le
389 ?
2) Est ce qu'il faut obligatoirement les droits admins pour modifier AD via
LDAP ?
3) Existe t'il un autre moyen de modifier via un processus facile le carnet
d'adresses d'exchange
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
The Wizard
1) le port 3268 est celui utilisé pour requêter le service Catalogue Global de certains controleurs de domaine Active Directory. A mon sens, seules les requêtes en lecture seule doivent être autorisées puisque le GC présente seulement une partie des attributs d'un objet pour l'ensemble de la forêt. Le GC est utilisé par Exchange pour accéder à la liste d'adresse globale, par les stations de travail à l'ouverture de session pour vérifier la présence de l'utilisateurs dans d'éventuels groupes universels mais toujours en lecture seule. Le port 389, pur LDAP me semble beaucoup plus approprié pour écrire dans l'annuaire. Par contre, il faudra peut être spécifier le nom du ou des domaines de manière plus explicite que lors d'une requête sur un GC. 2) Pour écrire dans AD, il suffit ... du droit d'écriture. Les membres du groupe domain admin sont bien entendus les utilisateurs qui possèdent le plus de droit : celui de controle total qui permet en plus de gérer les permissions. Or dans votre cas, seul le droit de lecture et d'écriture est nécessaire. Il serait tout a fait envisageable, et fortement recommendable d'un point de vue sécurité, d'utiliser un compte disposant de moins de privilège. Pour cela, vous avez deux solutions, exécuter l'assistant de délégation depuis la MMC users & computers (attribuez des permisssions à des groupes plutôt qu'à des utilisateurs) ou atttibuer des permissions manuellement depuis l'onglet sécurité d'un conteneur (une OU par exemple) et de laisser les permisssions se propager par héritage. La deuxième méthode présente l'avantage d'une gestion plus fine des droits attribués, la première est plus facile (exécution d'un simple assistant).
3) comme je le disais au point 1, la liste d'adresse global d'Exchange (GAL) est en fait une vue de requêtes adressées directement aux GC , soit par les clients outlook 2000 SP2 minimum je crois ou par le serveur Exchange si celui ci doit prendre en charge l'envoi de l'annuaire pour des clients antérieures (Outlook 97,98,). Une modif sur l'annuaire via le port 389 sera visible quelque temps après via les GC (temps dépendant de votre infra), et du coup dans la GAL d'Exchange.
Pierre
"Seb" a écrit dans le message de news: c4r51d$orn$
Bonjour, nous avons outsourcé notre serveur de mail chez un prestataire, il s'agit d'un exchange 2003 / Windows2003 . et souhaitons y connecter notre base de donnée clients . Ainsi toute modification d'adresse mail d'un client pourra etre repercutée dans le carnet d'addresses.
Sachant que le carnet d'adresses est abrité dans Active Directory le moyen le plus simple est d'ultilister LDAP. Notre prestataire nous a donc ouvert le port 3268, nous arrivons à nous connecter, a lire, mais impossible de modifier malgré les droit d'administration (nous argue le
prestataire).
Celà nous semble très bizarre car nous arrivons sans aucun probleme à connecter notre base de donnée et à effectuer des tests sur un Active Directory d'un serveur 2000 (mais sur le port 389)
J'ai donc 3 petites questions
1) Est ce que le port 3268 est bien le port à utiliser et pourquoi pas le 389 ? 2) Est ce qu'il faut obligatoirement les droits admins pour modifier AD via
LDAP ? 3) Existe t'il un autre moyen de modifier via un processus facile le carnet
d'adresses d'exchange
Merci d'avance Sebastien
1) le port 3268 est celui utilisé pour requêter le service Catalogue Global
de certains controleurs de domaine Active Directory. A mon sens, seules les
requêtes en lecture seule doivent être autorisées puisque le GC présente
seulement une partie des attributs d'un objet pour l'ensemble de la forêt.
Le GC est utilisé par Exchange pour accéder à la liste d'adresse globale,
par les stations de travail à l'ouverture de session pour vérifier la
présence de l'utilisateurs dans d'éventuels groupes universels mais toujours
en lecture seule.
Le port 389, pur LDAP me semble beaucoup plus approprié pour écrire dans
l'annuaire. Par contre, il faudra peut être spécifier le nom du ou des
domaines de manière plus explicite que lors d'une requête sur un GC.
2) Pour écrire dans AD, il suffit ... du droit d'écriture. Les membres du
groupe domain admin sont bien entendus les utilisateurs qui possèdent le
plus de droit : celui de controle total qui permet en plus de gérer les
permissions. Or dans votre cas, seul le droit de lecture et d'écriture est
nécessaire.
Il serait tout a fait envisageable, et fortement recommendable d'un point de
vue sécurité, d'utiliser un compte disposant de moins de privilège. Pour
cela, vous avez deux solutions, exécuter l'assistant de délégation depuis la
MMC users & computers (attribuez des permisssions à des groupes plutôt qu'à
des utilisateurs) ou atttibuer des permissions manuellement depuis l'onglet
sécurité d'un conteneur (une OU par exemple) et de laisser les permisssions
se propager par héritage. La deuxième méthode présente l'avantage d'une
gestion plus fine des droits attribués, la première est plus facile
(exécution d'un simple assistant).
3) comme je le disais au point 1, la liste d'adresse global d'Exchange (GAL)
est en fait une vue de requêtes adressées directement aux GC , soit par les
clients outlook 2000 SP2 minimum je crois ou par le serveur Exchange si
celui ci doit prendre en charge l'envoi de l'annuaire pour des clients
antérieures (Outlook 97,98,). Une modif sur l'annuaire via le port 389 sera
visible quelque temps après via les GC (temps dépendant de votre infra), et
du coup dans la GAL d'Exchange.
Pierre
"Seb" <nobody@nowhere.com> a écrit dans le message de news:
c4r51d$orn$1@reader1.imaginet.fr...
Bonjour,
nous avons outsourcé notre serveur de mail chez un prestataire, il s'agit
d'un exchange 2003 / Windows2003 .
et souhaitons y connecter notre base de donnée clients . Ainsi toute
modification d'adresse
mail d'un client pourra etre repercutée dans le carnet d'addresses.
Sachant que le carnet d'adresses est abrité dans Active Directory le moyen
le plus simple est d'ultilister LDAP.
Notre prestataire nous a donc ouvert le port 3268, nous arrivons à nous
connecter, a lire,
mais impossible de modifier malgré les droit d'administration (nous argue
le
prestataire).
Celà nous semble très bizarre car nous arrivons sans aucun probleme à
connecter notre base de donnée et
à effectuer des tests sur un Active Directory d'un serveur 2000 (mais sur
le port 389)
J'ai donc 3 petites questions
1) Est ce que le port 3268 est bien le port à utiliser et pourquoi pas le
389 ?
2) Est ce qu'il faut obligatoirement les droits admins pour modifier AD
via
LDAP ?
3) Existe t'il un autre moyen de modifier via un processus facile le
carnet
1) le port 3268 est celui utilisé pour requêter le service Catalogue Global de certains controleurs de domaine Active Directory. A mon sens, seules les requêtes en lecture seule doivent être autorisées puisque le GC présente seulement une partie des attributs d'un objet pour l'ensemble de la forêt. Le GC est utilisé par Exchange pour accéder à la liste d'adresse globale, par les stations de travail à l'ouverture de session pour vérifier la présence de l'utilisateurs dans d'éventuels groupes universels mais toujours en lecture seule. Le port 389, pur LDAP me semble beaucoup plus approprié pour écrire dans l'annuaire. Par contre, il faudra peut être spécifier le nom du ou des domaines de manière plus explicite que lors d'une requête sur un GC. 2) Pour écrire dans AD, il suffit ... du droit d'écriture. Les membres du groupe domain admin sont bien entendus les utilisateurs qui possèdent le plus de droit : celui de controle total qui permet en plus de gérer les permissions. Or dans votre cas, seul le droit de lecture et d'écriture est nécessaire. Il serait tout a fait envisageable, et fortement recommendable d'un point de vue sécurité, d'utiliser un compte disposant de moins de privilège. Pour cela, vous avez deux solutions, exécuter l'assistant de délégation depuis la MMC users & computers (attribuez des permisssions à des groupes plutôt qu'à des utilisateurs) ou atttibuer des permissions manuellement depuis l'onglet sécurité d'un conteneur (une OU par exemple) et de laisser les permisssions se propager par héritage. La deuxième méthode présente l'avantage d'une gestion plus fine des droits attribués, la première est plus facile (exécution d'un simple assistant).
3) comme je le disais au point 1, la liste d'adresse global d'Exchange (GAL) est en fait une vue de requêtes adressées directement aux GC , soit par les clients outlook 2000 SP2 minimum je crois ou par le serveur Exchange si celui ci doit prendre en charge l'envoi de l'annuaire pour des clients antérieures (Outlook 97,98,). Une modif sur l'annuaire via le port 389 sera visible quelque temps après via les GC (temps dépendant de votre infra), et du coup dans la GAL d'Exchange.
Pierre
"Seb" a écrit dans le message de news: c4r51d$orn$
Bonjour, nous avons outsourcé notre serveur de mail chez un prestataire, il s'agit d'un exchange 2003 / Windows2003 . et souhaitons y connecter notre base de donnée clients . Ainsi toute modification d'adresse mail d'un client pourra etre repercutée dans le carnet d'addresses.
Sachant que le carnet d'adresses est abrité dans Active Directory le moyen le plus simple est d'ultilister LDAP. Notre prestataire nous a donc ouvert le port 3268, nous arrivons à nous connecter, a lire, mais impossible de modifier malgré les droit d'administration (nous argue le
prestataire).
Celà nous semble très bizarre car nous arrivons sans aucun probleme à connecter notre base de donnée et à effectuer des tests sur un Active Directory d'un serveur 2000 (mais sur le port 389)
J'ai donc 3 petites questions
1) Est ce que le port 3268 est bien le port à utiliser et pourquoi pas le 389 ? 2) Est ce qu'il faut obligatoirement les droits admins pour modifier AD via
LDAP ? 3) Existe t'il un autre moyen de modifier via un processus facile le carnet
