Accès carnet d'adresses général Exchange 2003 par LDAP

Le
Seb
Bonjour,
nous avons outsourcé notre serveur de mail chez un prestataire, il s'agit
d'un exchange 2003 / Windows2003 .
et souhaitons y connecter notre base de donnée clients . Ainsi toute
modification d'adresse
mail d'un client pourra etre repercutée dans le carnet d'addresses.

Sachant que le carnet d'adresses est abrité dans Active Directory le moyen
le plus simple est d'ultilister LDAP.
Notre prestataire nous a donc ouvert le port 3268, nous arrivons à nous
connecter, a lire,
mais impossible de modifier malgré les droit d'administration (nous argue le
prestataire).

Celà nous semble très bizarre car nous arrivons sans aucun probleme à
connecter notre base de donnée et
à effectuer des tests sur un Active Directory d'un serveur 2000 (mais sur
le port 389)

J'ai donc 3 petites questions

1) Est ce que le port 3268 est bien le port à utiliser et pourquoi pas le
389 ?
2) Est ce qu'il faut obligatoirement les droits admins pour modifier AD via
LDAP ?
3) Existe t'il un autre moyen de modifier via un processus facile le carnet
d'adresses d'exchange

Merci d'avance
Sebastien
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
The Wizard
Le #441979
1) le port 3268 est celui utilisé pour requêter le service Catalogue Global
de certains controleurs de domaine Active Directory. A mon sens, seules les
requêtes en lecture seule doivent être autorisées puisque le GC présente
seulement une partie des attributs d'un objet pour l'ensemble de la forêt.
Le GC est utilisé par Exchange pour accéder à la liste d'adresse globale,
par les stations de travail à l'ouverture de session pour vérifier la
présence de l'utilisateurs dans d'éventuels groupes universels mais toujours
en lecture seule.
Le port 389, pur LDAP me semble beaucoup plus approprié pour écrire dans
l'annuaire. Par contre, il faudra peut être spécifier le nom du ou des
domaines de manière plus explicite que lors d'une requête sur un GC.
2) Pour écrire dans AD, il suffit ... du droit d'écriture. Les membres du
groupe domain admin sont bien entendus les utilisateurs qui possèdent le
plus de droit : celui de controle total qui permet en plus de gérer les
permissions. Or dans votre cas, seul le droit de lecture et d'écriture est
nécessaire.
Il serait tout a fait envisageable, et fortement recommendable d'un point de
vue sécurité, d'utiliser un compte disposant de moins de privilège. Pour
cela, vous avez deux solutions, exécuter l'assistant de délégation depuis la
MMC users & computers (attribuez des permisssions à des groupes plutôt qu'à
des utilisateurs) ou atttibuer des permissions manuellement depuis l'onglet
sécurité d'un conteneur (une OU par exemple) et de laisser les permisssions
se propager par héritage. La deuxième méthode présente l'avantage d'une
gestion plus fine des droits attribués, la première est plus facile
(exécution d'un simple assistant).

3) comme je le disais au point 1, la liste d'adresse global d'Exchange (GAL)
est en fait une vue de requêtes adressées directement aux GC , soit par les
clients outlook 2000 SP2 minimum je crois ou par le serveur Exchange si
celui ci doit prendre en charge l'envoi de l'annuaire pour des clients
antérieures (Outlook 97,98,). Une modif sur l'annuaire via le port 389 sera
visible quelque temps après via les GC (temps dépendant de votre infra), et
du coup dans la GAL d'Exchange.

Pierre


"Seb" c4r51d$orn$
Bonjour,
nous avons outsourcé notre serveur de mail chez un prestataire, il s'agit
d'un exchange 2003 / Windows2003 .
et souhaitons y connecter notre base de donnée clients . Ainsi toute
modification d'adresse
mail d'un client pourra etre repercutée dans le carnet d'addresses.

Sachant que le carnet d'adresses est abrité dans Active Directory le moyen
le plus simple est d'ultilister LDAP.
Notre prestataire nous a donc ouvert le port 3268, nous arrivons à nous
connecter, a lire,
mais impossible de modifier malgré les droit d'administration (nous argue
le

prestataire).

Celà nous semble très bizarre car nous arrivons sans aucun probleme à
connecter notre base de donnée et
à effectuer des tests sur un Active Directory d'un serveur 2000 (mais sur
le port 389)

J'ai donc 3 petites questions

1) Est ce que le port 3268 est bien le port à utiliser et pourquoi pas le
389 ?
2) Est ce qu'il faut obligatoirement les droits admins pour modifier AD
via

LDAP ?
3) Existe t'il un autre moyen de modifier via un processus facile le
carnet

d'adresses d'exchange

Merci d'avance
Sebastien






Publicité
Poster une réponse
Anonyme