Exchange Server
1. Présentation Exchange 2010 • • • •
Introduction aux articles Exchange 2010 1.1 Historique des versions de Exchange Server 1.2 Les nouveautés d’Exchange 2010 1.3 Les rôles
Introduction aux articles Exchange 2010 Cet article est le premier d'une longue série (une quinzaine) reprenant l'ensemble des éléments de configuration d'un serveur Exchange 2010. Microsoft Exchange 2010 est un serveur de messagerie collaboratif (email, calendrier, contact) prévu pour fonctionner sur un environnement Windows Server 2008 SP2 minimum ou Windows Server 2008 R2.
1.1 Historique des versions de Exchange Server Si la perspective de faire communiquer le serveur de messagerie avec la téléphonie d’entreprise pouvait sembler lointaine en 1996, le produit Exchange, lui, était disponible sous le nom d’Exchange Server 4.0. Si cette version était la première publiée sous le nom Exchange, celui-ci succédait alors à MS Mail 3.5, ce qui explique le numéro de version. MS Mail était lui-même le successeur de Network Courier Mail acheté au début des années 90 par Microsoft. Vous trouverez ci-dessous un descriptif des différentes versions d’Exchange Server. Version Fonctionnalités clés Exchange Server 4.0: Apparut en 1996, Exchange Server 4.0 est le remplaçant de Microsoft Mail. Il est basé sur le protocole de messagerie X.400 (comme avec MS Mail, de nombreux connecteurs sont disponibles pour fournir une interaction avec les autres protocoles de messagerie comme SMTP).
1/94
Exchange Server
Exchange Server 5.0 Le 23 Mai 1997, Microsoft commercialise la version 5 d'Exchange Server. Les principales nouveautés sont : • • •
intégration du protocole SMTP en standard apparition d'un webmail nommé Exchange Web Access, puis Outlook Web App nouvelle console d'administration
Exchange Server 5.5 A partir de la version 5.5 (novembre 1997), Exchange est proposé en deux éditions : standard et entreprise ! Sur la version standard, les bases de données sont limitées à 16Go alors que sur la version entreprise la limite est de 8To (même si Microsoft recommande de ne pas dépasser les 100Go...). Exchange 5.5 apporte le support du protocole IMAP4, le support du clustering à deux nœuds (uniquement sur la version entreprise) et intègre la fonction calendrier dans OWA. Exchange Server 2000 Commercialisé le 29 novembre 2000, Exchange 2000 ne dispose plus de son propre annuaire LDAP. Le produit est dorénavant intégré à Active Directory ce qui complexifie grandement le processus de migration à partir des versions précédentes ! Exchange 2000 apporte aussi son lot d'amélioration sur les fonctions existantes (support des clusters à 4 nœuds, amélioration d'Outlook Web App...). Exchange Server 2003 Apparut 3 ans plus tard, Exchange 2003 reste dans la lignée d'Exchange 2000. Ses principales nouveautés nouveautés concernent le domaine de la mobilité : •
• • •
Intégration d'Outlook Mobile Access (interface Web conçue pour le réseau WAP) et d'ActiveSync (protocole permettant de synchroniser une boîte aux lettres sur un smartphone ou un pocket pc) Ajout d'un mode "mis en cache" pour les clients MAPI (protocole RPC) Nouvelle interface pour Outlook Web App Intégration du protocole RPC sur HTTPs qui permet de synchroniser un client MAPI (Outlook) via des requêtes HTTP (ou HTTPs)
Le SP2 intègre deux fonctions liées à ActiveSync : le mode Direct Push qui permet de recevoir ses mails en temps réel, la fonction RemoteWipe qui permet d'effacer le contenu d'un téléphone ou d'un pocket pc volé ou perdu. Le produit apporte aussi des fonctionnalités de filtrage anti-spam performantes (SenderID, IMF...). Exchange Server 2007 La version 2007 correspond à une mise à jour majeure, introduisant de nouveaux concepts concepts mais qui a su garder et développer les fondements qui ont fait le succès de ce serveur : • • • •
Déploiement à l’aide de rôles. Nouveaux systèmes de hautes disponibilités (LCR, CCR, SCR). Nouvelle architecture d’administration. Intégration de PowerShell
2/94
Exchange Server
Exchange Server 5.0 Le 23 Mai 1997, Microsoft commercialise la version 5 d'Exchange Server. Les principales nouveautés sont : • • •
intégration du protocole SMTP en standard apparition d'un webmail nommé Exchange Web Access, puis Outlook Web App nouvelle console d'administration
Exchange Server 5.5 A partir de la version 5.5 (novembre 1997), Exchange est proposé en deux éditions : standard et entreprise ! Sur la version standard, les bases de données sont limitées à 16Go alors que sur la version entreprise la limite est de 8To (même si Microsoft recommande de ne pas dépasser les 100Go...). Exchange 5.5 apporte le support du protocole IMAP4, le support du clustering à deux nœuds (uniquement sur la version entreprise) et intègre la fonction calendrier dans OWA. Exchange Server 2000 Commercialisé le 29 novembre 2000, Exchange 2000 ne dispose plus de son propre annuaire LDAP. Le produit est dorénavant intégré à Active Directory ce qui complexifie grandement le processus de migration à partir des versions précédentes ! Exchange 2000 apporte aussi son lot d'amélioration sur les fonctions existantes (support des clusters à 4 nœuds, amélioration d'Outlook Web App...). Exchange Server 2003 Apparut 3 ans plus tard, Exchange 2003 reste dans la lignée d'Exchange 2000. Ses principales nouveautés nouveautés concernent le domaine de la mobilité : •
• • •
Intégration d'Outlook Mobile Access (interface Web conçue pour le réseau WAP) et d'ActiveSync (protocole permettant de synchroniser une boîte aux lettres sur un smartphone ou un pocket pc) Ajout d'un mode "mis en cache" pour les clients MAPI (protocole RPC) Nouvelle interface pour Outlook Web App Intégration du protocole RPC sur HTTPs qui permet de synchroniser un client MAPI (Outlook) via des requêtes HTTP (ou HTTPs)
Le SP2 intègre deux fonctions liées à ActiveSync : le mode Direct Push qui permet de recevoir ses mails en temps réel, la fonction RemoteWipe qui permet d'effacer le contenu d'un téléphone ou d'un pocket pc volé ou perdu. Le produit apporte aussi des fonctionnalités de filtrage anti-spam performantes (SenderID, IMF...). Exchange Server 2007 La version 2007 correspond à une mise à jour majeure, introduisant de nouveaux concepts concepts mais qui a su garder et développer les fondements qui ont fait le succès de ce serveur : • • • •
Déploiement à l’aide de rôles. Nouveaux systèmes de hautes disponibilités (LCR, CCR, SCR). Nouvelle architecture d’administration. Intégration de PowerShell
2/94
Exchange Server
1.2 Les nouveautés d’Exchange 2010 Depuis Exchange 2000, le produit utilise le même socle. Ainsi, on retrouve le moteur de base de données JET (qui ne correspond pas à la même déclinaison que celui utilisé dans Access). Certaines fonctionnalités présentes dans les versions précédentes ont disparus ou sont appelées à disparaître. Ainsi, les groupes de routage, les groupes administratifs et les groupes de stockages n’existent plus ce qui rend le produit d’autant plus simple à administrer. Par ailleurs, les dossiers publics sont appelés à disparaître dans les prochaines versions de Exchange Server, ce qui se traduit déjà par une intégration renforcée de SharePoint depuis Exchange 2007 et par l’absence de dossiers publics par défaut à la fin de l’installation (sauf dans le cadre de la compatibilité avec les versions précédentes du client Outlook 2007). Exchange 2010 est une évolution importante pour Microsoft : Le produit est intégralement développé en 64 bits avec la plateforme .net. Le passage à une architecture 64 bits n’entraine pas obligatoirement le changement du matériel physique. En effet, la plupart des processeurs actuels sont déjà 64 bits, une mise à jour du BIOS suffit dans bien des cas pour installer Windows Server 2008 en 64 bits (Attention tout de même aux drivers). Exchange 2010 est adapté au matériel actuel (optimisation pour les processeurs multi-core et les disques SATA, support de grandes quantités de mémoire...) L'intégration à Active Directory est conservée et renforcée avec l’utilisation des sites Active Directory pour le routage des messages. Les différentes fonctions d'Exchange sont éclatées en rôles pouvant être déployés de manière indépendante. De nouveaux outils d'administration apparaissent (Exchange Management Console et Exchange Management Shell). Intégration d'un système de messagerie vocale vocale basée sur la Voix sur IP (VoIP). Ajout de deux nouvelles fonctionnalités permettant d'assurer la haute disponibilité du service de messagerie (DAG – Data Availability Group). Intégration d'un système de règles de transport permettant de compartimenter facilement le système de messagerie Nouvelle interface Outlook Web Access qui est renommé Outlook Web App. L’interface ECP (Exchange Control Panel) qui est une nouvelle interface web qui permet d’effectuer la plupart des tâches t âches d’administration courantes.
3/94
Exchange Server
1.3 Les rôles Depuis Exchange 2007, la notion de rôle est incontournable. Certains doivent impérativement être implémentés pour obtenir un service de messagerie fonctionnel et d'autres sont optionnels (ils ajoutent des fonctionnalités supplémentaires ou bien permettent d'augmenter la sécurité). Voici une liste de ces cinq rôles accompagnés d'un petit descriptif: 1.3.1 Le rôle serveur de boîtes aux lettres (Mailbox)
Cette machine héberge les boîtes aux lettres des utilisateurs ainsi que les dossiers publics sous la forme de bases de données.
1.3.2 Le rôle serveur d'accès client (Client Access Server)
Ce serveur inclut la gestion de tous les accès client (MAPI, OWA, ActiveSync, POP3, IMAP4, Outlook Anywhere...).
4/94
Exchange Server 1.3.3 Le rôle serveur de transort !ub (!ub "ransort)
Il est responsable du routage SMTP des messages pour son site Active Directory. Ce serveur est conçu pour rediriger les mails externes vers un serveur configuré avec le rôle de transport Edge ou vers une passerelle SMTP (il peut éventuellement être configuré pour envoyer les mails externes lui-même). Il est recommandé de placer un antivirus sur le serveur "hub" car c'est par lui que transitent les mails (des fonctions anti-spam peuvent être activées sur ce rôle).
1.3.# Le rôle serveur de transort $d%e ($d%e "ransort)
Il fait office de passerelle SMTP. Ce serveur doit être accessible depuis Internet (port 25) et est typiquement situé dans une DMZ. Il traite tous les messages entrant et sortant de l'organisation et leur applique une stratégie anti-spam (Microsoft recommande aussi de déployer une solution antivirale sur le "Edge" comme ForeFront Protection for Exchange). Pour plus de sécurité, le serveur "Edge" ne doit pas être membre d’un domaine Active Directory. Il exécute aussi une instance AD LDS (Active Directory Lightweight Directory Services) qui stocke la liste des destinataires de l'organisation. Cette instance est utilisée pour filtrer les mails et est mise à jour grâce à une synchronisation monodirectionnelle avec le serveur "Hub". Enfin, ce rôle est optionnel et doit impérativement être installé sur un serveur dépourvu des autres rôles (le serveur "Hub" peut en effet se charger de l’envoi/réception des messages externes même si ça n'est pas son comportement par défaut). 1.3.& Le rôle serveur de essa%erie uniie (*niied Messa%in%)
Il joue le rôle d'intermédiaire entre l'infrastructure téléphonique de l'entreprise et l'organisation Exchange. Ce rôle permet la consultation des boîtes aux lettres via une messagerie vocale (à partir d'un téléphone fixe ou mobile) et gère l'envoi des messages vocaux dans les boîtes aux lettres (les messages vocaux sont envoyés sous la forme de pièces jointes). Ce rôle inclut aussi la gestion des télécopies (fax) et est optionnel.
5/94
Exchange Server
2. Rappels sur l'intégration d'Exchange 2010 à
Active Directory • •
2.1 Rappels sur Active Directory 2.2 tilisation du D!" par Exchange
2.1 Rappels sur Active Directory 2.1.1 +inition d,Active +irector-
Active Directory permet de centraliser, de structurer, d’organiser et de contrôler les ressources réseau dans les environnements Windows. Active Directory est un annuaire (base de données) des objets du réseau, il permet aux utilisateurs de localiser, de gérer et d’utiliser facilement les ressources. Il va permettre par exemple aux serveurs Exchange de localiser rapidement le serveur contenant la boite aux lettres d’un utilisateur lorsque celui-ci essaye d’y accéder.
6/94
Exchange Server 2.1.2 b/ets Active +irector-
Active Directory stocke des informations sur les objets du réseau. Il existe plusieurs types d’objets : • • • • • • •
serveurs do#aines sites utilisateurs ordinateurs i#pri#antes $
Chaque objet possède un ensemble d’attributs regroupant diverses informations permettant par exemple d’effectuer des recherches précises dans l’annuaire (trouver l’emplacement physique d’une imprimante, le numéro de téléphone ou l’adresse de messagerie d’un utilisateur, le système d’exploitation d’un serveur…). 2.1.3 Sc0a Active +irector-
Le schéma Active Directory stocke la définition de tous les objets d’Active Directory (ex : nom, prénom pour l’objet utilisateur). Il n’y a qu’un seul schéma pour l’ensemble de la forêt, ce qui permet une homogénéité de l’ensemble des domaines. Le schéma comprend deux types de définitions : •
•
Les classes d’obets % Décrit les o&ets d(Active Directory )u(il est possi&le de créer. *ha)ue classe est un regroupe#ent d(attri&uts. Les attributs % +ls sont dé,inis une seul ,ois et peuvent -tre utilisés dans plusieurs classes ex % Description/.
Le schéma est stocké dans la base de données d’Active Directory ce qui permet des modifications dynamiques exploitables instantanément.
7/94
Exchange Server 2.1.# artitions d,annuaire
La base de données Active Directory se compose de plusieurs partitions d’annuaire : la partition de schéma, la partition de configuration et les partitions de domaine. Une partition est une unité de réplication indépendante des autres utilisant une procédure de réplication propre. Partition de schéma Elle contient la définition de tous les objets et attributs pouvant être créés dans l’annuaire, ainsi que les règles de création et de gestion de ces objets. Ces informations sont répliquées sur tous les contrôleurs de domaine de la forêt car il ne peut y avoir qu’un seul schéma pour une forêt. Avant d'installer Exchange 2010, il faut mettre à jour le schéma Active Directory pour y inclure les classes et les attributs spécifiques à Exchange. Ces informations (classes et attributs) sont stockées dans la partition de schéma qui est répliquée sur tous les contrôleurs de domaine de la forêt Active Directory. Partition de configuration Elle contient toutes les informations liées à la structure d’Active Directory, avec entre autres les domaines, domaines enfants, sites, etc… La configuration de l'organisation Exchange est enregistrée dans la partition de configuration et tous les serveurs Exchange viennent interroger cette partition pour récupérer leurs paramètres de fonctionnement.
Ces informations sont, elles aussi, répliquées sur tous les contrôleurs de domaine afin de maintenir l’unicité dans la forêt.
!/94
Exchange Server
Partitions de domaine Une partition de domaine contient les informations liées aux objets d’un domaine Active Directory. Ces informations sont répliquées sur l’ensemble des DCs du domaine. Par conséquent, il peut exister plusieurs partitions de domaine dans une même forêt. Les informations sur les objets possédant une adresse e-mail ou bien une boîte aux lettres, encore appelés "destinataires", sont enregistrées dans la partition de domaine. Cette partition est spécifique au domaine et n'est répliquée que sur les contrôleurs de domaine appartenant à ce même domaine. Partitions applicatives Elles contiennent des informations liées à des services ou des applications tierces qui veulent utiliser le moteur d’Active Directory pour stocker et répliquer leurs données. 2.1.& Catalo%ue %lobal
Le catalogue global contient une partie des attributs les plus utilisés de tous les objets Active Directory. Il contient aussi les informations nécessaires pour déterminer l’emplacement de tout objet de l’annuaire. Le catalogue global permet aux utilisateurs d’effectuer 2 tâches importantes : •
•
rouver des in,or#ations Active Directory sur toute la ,or-t )uel )ue soit l(e#place#ent de ces données. tiliser des in,or#ations d(appartenance à des groupes universels pour ouvrir une session sur le réseau.
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requêtes qui lui sont destinées. Le premier contrôleur de domaine installé au sein d’une forêt est automatiquement serveur de catalogue global. Il est possible de configurer d’autres contrôleurs de domaine en tant que serveur de catalogue global afin de réguler le trafic. L’authentification lors d’une ouverture de session ne peut se faire sans un catalogue global. La liste de tous les destinataires de messagerie exchange d'une forêt est enregistrée dans le catalogue global. Sur les serveurs Exchange, les listes d'adresses globales ou GAL (Global Address List) sont générées à partir des informations contenues dans le catalogue global.
9/94
Exchange Server
2.2 Utilisation du DNS par Exchange La configuration DNS est particulièrement importante dans Exchange. Le résumé est simple, Active Directory a besoin d’un DNS et Exchange a besoin d’Active Directory. Pour accéder à Active directory, les serveurs DNS doivent pouvoir interroger les zones DNS du domaine Active Directory mais aussi les espaces de noms internet pour résoudre les domaines de messagerie de destination. 2.2.1 Lors de l,envoi d,un essa%e • • •
e serveur exchange recherche un D!" ,aisant autorité sur le do#aine de destination. +l recherche le ou les enregistre#ents 34 dans cet espace de no# D!". +l envoi le #essage à l(+P pointée par le 34 ayant la plus haute priorité ou au suivant si celui5 ci ne repond pas/.
2.2.2 Lors de la rcetion d,un essa%e •
•
n 34 de l(espace de no# pu&li)ue doit pointer vers le serveur Exchange ou une passerelle "3P pointant sur le serveur Exchange/. e serveur d(é#ission exécute la procédure d(envoi de #essage vers l(adresse +P du serveur Exchange.
1"/94
Exchange Server
6. Prére)uis et installation de Exchange 2010 • • • • •
3.1 #r$re%uis & l’i'stallatio' d’()c*a'+e 2"1" 6.2 +nstallation de Exchange 2010 à l(aide de l(assistant 6.6 +nstallation d'Exchange 2010 sans assistance 6.7 Points à véri,ier apr8s l'installation d'un serveur Exchange 2010 6.9 Exchange "erver :est Practices Analyser Ex:PA/
3.1 Prérequis à l’installation d’Exchange 2010 3.1.1 Les rreuis Active +irector-
L'annuaire Active Directory doit remplir un certain nombre de critères : Le contrôleur de schéma doit impérativement exécuter Windows Server 2003 SP1 ou une version ultérieure. Le niveau fonctionnel de la forêt doit être supérieur ou égal à Windows 2003. L'annuaire doit aussi être préparé pour Exchange 2010. Avant d'installer le premier serveur Exchange 2010 de l'organisation, il faut désinstaller tous les serveurs exécutant Exchange 5.5. En effet cette version n'est plus supportée et ne peut pas cohabiter avec Exchange 2010 au sein de la même organisation. L’une des nouveautés apportée avec Exchange 2007 était la gestion du routage qui est dorénavant basée sur les sites Active Directory. Pour que le routage des messages fonctionne correctement, il faut définir correctement les objets sites Active Directory ainsi que les liens intersites. Le routage des messages étant assuré par le serveur "hub transport", il faut donc installer un serveur hub dans chaque site Active Directory possédant un serveur Exchange avec le rôle messagerie. Comme pour les précédentes versions, il faut impérativement qu'un serveur de catalogue global soit présent dans chacun des sites Active Directory où un serveur Exchange 2010 est déployé. Dans l’idéal l’architecture Active Directory doit respecter les points suivants : Nom de domaine AD à deux niveaux ou plus et donc pas de « single domain name ». Les contrôleurs de domaine doivent exécuter une version 64 bit de Windows Server. Les contrôleurs de domaine doivent disposer d’une quantité de mémoire suffisamment élevée pour mettre en cache la base « ntds.dit ».
11/94
Exchange Server 3.1.2 raration d'Active +irector- en vue du dloieent d'$xc0an%e 21
La préparation de l'annuaire pour Exchange 2010 doit être réalisée avant le déploiement des premiers serveurs. Il faut aussi prendre en compte le temps de réplication des modifications sur tous les contrôleurs de domaine (surtout si la forêt contient de nombreux sites et de nombreux domaines). Le tableau suivant liste les options concernant la préparation d'Active Directory dans l'ordre logique d'utilisation :
setup.com /PrepareLegacyExchangePermissions Ce commutateur doit être utilisé si des versions précédentes d'Exchange (2000 ou 2003) ont déjà été déployées dans la forêt. Il permet de modifier les autorisations associées au groupe Enterprise Exchange Servers (sans cela le service de mise à jour des destinataires d'Exchange 2010 ne pourra pas fonctionner correctement).
setup.com /PrepareSchema Ce commutateur permet de modifier le schéma Active Directory et d'y ajouter toutes les classes et tous les attributs nécessaires au bon fonctionnement d'Exchange 2010. Il est recommandé d'exécuter cette commande dans le même domaine et dans le même site Active Directory que le contrôleur de schéma (voire d'exécuter la commande localement sur le contrôleur de schéma).
setup.com /PrepareAD /OrganizationName:
Ce commutateur permet de créer l'organisation Exchange (c'est à dire le conteneur stockant les paramètres d'Exchange dans la partition de configuration Active Directory). Dans un second temps, il prépare le domaine en créant une unité d'organisation contenant les groupes universels de sécurité nécessaires à Exchange. Si les deux commandes précédentes (/PrepareLogacyExchangePermissions et /PrepareSchema) n'ont pas été exécutées, le commutateur /PrepareAD les lance automatiquement.
setup.com /PrepareDomain Ce commutateur prépare le domaine actuel en créant une unité d'organisation contenant le ou les groupes nécessaires au bon fonctionnement d'Exchange 2010. Cette option n'est utile que dans une infrastructure multidomaine (on exécute /PrepareAD dans un premier domaine, puis /PrepareDomain dans chacun des domaines restants).
setup.com /PrepareAllDomains Ce commutateur permet de préparer tous les domaines de la forêt en une seule opération (cela revient à exécuter /PrepareDomain dans chacun des domaines).
12/94
Exchange Server 3.1.3 raration de l'annuaire dans une inrastructure onodoaine
Quelle que soit le type d'architecture, la première étape consiste toujours à mettre à jour le schéma Active Directory. Pour se faire, il faut exécuter la commande :
setup.com /PrepareSchema Une fois la commande terminée, il est possible de vérifier sa bonne exécution en observant directement le contenu du schéma. Pour cela le plus simple reste d'utiliser la console Schéma Active Directory.
Composant logiciel enfichable Schéma Active Directory : Vous pouvez utiliser cet outil pour visualiser la configuration des attributs et classes. Vous pouvez par exemple modifier les attributs d’objets qui seront répliqué sur le catalogue global par exemple. Pour pouvoir utiliser ce composant, vous devez enregistrer la librairie DLL suivante : regsvr32.exe schmmgmt.msc La seconde étape consiste à exécuter la commande
setup.com /PrepareAd /OrganizationName: Dans un premier temps, la commande / PrepareAd crée l'organisation Exchange dans la partition de configuration de l'annuaire. L'organisation Exchange représente la configuration complète du système de messagerie de la forêt Active Directory. Il est possible de visualiser cette configuration en procédant comme suit : Lancer la console ADSIEdit (par exemple via le raccourci adsiedit.msc) Sélectionner la partition de configuration Développer CN=Configuration,DC=domaine,DC=suffixe , puis CN=Services Si la commande /PrepareAd s'est exécutée correctement, un conteneur nommé Microsoft Exchange doit être présent. Ce conteneur contient lui-même un autre conteneur portant le nom de l'organisation indiqué au niveau de la commande /PrepareAd. L'utilisation du commutateur / OrganizationName est obligatoire si et seulement si aucune version précédente d'Exchange n'est présente. En effet dans le cadre d'une migration depuis Exchange 2000/2003 vers Exchange 2010, l'organisation est déjà présente. Dans un second temps, la commande /PrepareAd, va créer un certain nombre d'objets dans la partition de domaine (c'est l'équivalent de la commande /PrepareDomain).
13/94
Exchange Server
Voici la liste de ces objets : •
•
• •
•
•
()c*a'+e ,r+a'i-atio' Adi'istrators les #e#&res de ce groupe ont un acc8s en lecture;écriture à la con,iguration Exchange/ ()c*a'+e Recipie't Adi'istrators les #e#&res de ce groupe peuvent #odi,ier les attri&uts Exchange sur les co#ptes utilisateurs/ ()c*a'+e ervers ce groupe contient tous les serveurs Exchange de l'organisation/ ()c*a'+e 0ie,'ly Adi'istrators les #e#&res de ce groupe peuvent uni)ue#ent lire la con,iguration Exchange/ ()c*a'+eLe+acy'terop ce groupe est uni)ue#ent utilisé lors)ue l'organisation contient des serveurs Exchange 2000;2006/ icrosot ()c*a'+e ecurity roups centralisant les 9 groupes
3.1.# Les rreuis rocesseur
Pour mettre en place Exchange 2010 en production, l'utilisation d'un processeur 64 bits est obligatoire. Seuls les processeurs compatibles avec les jeux d'instructions AMD64 (AMD) et EMT64 (Intel) sont supportés (les processeurs Intel Itanium ne sont pas supportés). Au niveau matériel, Exchange 2010 est optimisé pour les architectures multi-cores. Les processeurs récents équipés de deux cores ou plus sont donc à privilégier. Voici un tableau récapitulatif des besoins selon les rôles :
Rle8s par serveur
:b.
de
c;ur
recoa'd$
i'iu
:b. de c;ur a)iu
(D(
1
12
<=>
1
12
?A
2
12
essa+erie ='ii$e
2
12
>@
2
12
?A <=>
2
12
Rles ultiples
2
27
Concernant les serveurs virtualisés, il est recommandé de prévoir 10% (entre 9 et 12% exactement) de puissance processeur en plus.
14/94
Exchange Server 3.1.& Les rreuis oire
Deux des objectifs des développeurs de cette version 2010 étaient de réduire au maximum les I/O disques (les baies NAS/SAN étant généralement très couteuses) et d'améliorer la prise en charge des boîtes aux lettres volumineuses (1Go ou plus). Exchange 2010 a donc été conçu pour utiliser énormément la mémoire vive (principalement pour faire du cache); une grande quantité de mémoire est donc nécessaire pour qu'Exchange 2010 fonctionne correctement. Voici un tableau récapitulatif des besoins selon les rôles : Rle8s
par
serveur
$oire i'iu support$e
$oire par c;ur
$oire i'iu recoa'd$e
recoa'd$e
(D(
7
1
7
<=>
7
1
7
?A
7
2
=
7
7
essa+erie ='ii$e >@
7
?A <=>
7
Rles ultiples 10
7 entre 6 et 60 3o par &o?te 2 entre 6 et 60 3o par &o?te
7
A
calculer
via
cette
page %
http%;;technet.#icroso,t.co#;en5 us;li&rary;ee=62@6.aspx =
calculer
via
cette
page %
http%;;technet.#icroso,t.co#;en5 us;li&rary;ee=62@6.aspx
3.1.4 Les rreuis lo%iciels sur 5indo6s Server 27
Vous pouvez installer Exchange 2010 sur les éditions Standard, Enterprise et Datacenter de Windows Server 2008 x64 Service Pack 2 en version complète (Exchange ne peut pas s’installer sur la version Core ou sur une édition Web Server). Il faudra ensuite installer le .NET Framework 3.5 Service Pack 1. Puis le .NET Framework 3.5 SP1 Update. Ensuite le package PowerShell V2/Windows Remote. Sur les serveurs hébergeant les rôles HUB et Mailbox, installez aussi le Office Filter Pack qui permet l’indexation des documents Office dans le moteur de recherche de Exchange.
15/94
Exchange Server
Pour installer les prérequis spécifiques aux rôles Exchange positionnez-vous dans le sousdossier « Scripts » du dossier d’installation d’Exchange et lancez le script correspondant aux rôles que va accueillir votre serveur : Rles *A"
cript Bu&
et
"erver3anager*#d Cip #ediaF"criptsFExchange5ypical.x#l
3ail&ox *A"
"erver3anager*#d Cip #ediaF"criptsFExchange5*A".x#l
B:
"erver3anager*#d Cip #ediaF"criptsFExchange5Bu&.x#l
3ail&ox
"erver3anager*#d Cip #ediaF"criptsFExchange53:4.x#l
3
"erver3anager*#d Cip #ediaF"criptsFExchange53.x#l
Edge
"erver3anager*#d Cip #ediaF"criptsFExchange5Edge.x#l
Si vous avez installé le rôle CAS, exécutez la commande : sc config NetTcpPortSharing start= auto Ensuite redémarrez le serveur et lancez l’installation de Exchange par l’interface graphique ou par les commutateurs en ligne de commande décrites plus loin. 3.1.8 Les rreuis lo%iciels sur 5indo6s Server 27 92
Vous pouvez installer Exchange 2010 sur les éditions Standard, Enterprise et Datacenter de Windows Server 2008 R2 en version complète (Exchange ne peut pas s’installer sur la version Core ou sur une édition Web Server). Sur les serveurs hébergeant les rôles HUB et Mailbox, installez le Office Filter Pack qui permet l’indexation des documents Office dans le moteur de recherche d’Exchange. Pour installer les prérequis spécifiques aux rôles Exchange lancez une console Windows PowerShell, tapez Import-Module ServerManager et lancez le script correspondant aux rôles que va accueillir votre serveur :
CAS, Hub, et Mailbox Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,WebWindows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-ProcessModel,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NETHTTP-Activation,RPC-Over-HTTP-Proxy Set-Service NetTcpPortSharing -StartupType Automatic
16/94
Exchange Server
CAS Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,WebWindows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-ProcessModel,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NETHTTP-Activation,RPC-Over-HTTP-Proxy Set-Service NetTcpPortSharing -StartupType Automatic
HUB ou Mailbox Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,WebWindows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-ProcessModel,RSAT-Web-Server
UM Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,WebWindows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-ProcessModel,RSAT-Web-Server,Desktop-Experience
Edge Add-WindowsFeature NET-Framework,RSAT-ADDS,ADLDS Ensuite redémarrez le serveur et lancez l’installation de Exchange par l’interface graphique ou par les commutateurs en ligne de commande décrites plus loin.
3.2 Installation de Exchange 2010 à l’aide de l’assistant Une fois tous les prérequis remplis, l'administrateur peut passer à l'installation du produit. Pour cela, la méthode la plus simple reste l’utilisation de l'assistant. Les seuls points délicats sont les suivants :
L'administrateur doit sélectionner les rôles à installer. Si il s'agit de l'installation du premier serveur Exchange 2010 l'administrateur doit indiquer si les clients Outlook 2003 ou antérieurs sont supportés. Cela va influer sur la création, ou non, d’une base de données pour les dossiers publics. En effet les clients Outlook 2007 n'ont pas besoin des dossiers publics pour fonctionner en mode "serveur Exchange"; contrairement aux clients Outlook 2000/XP/2003.
17/94
Exchange Server
3.3 Installation d'Exchange 2010 sans assistance L'exécutable "setup.com" du DVD d'Exchange 2010 permet de réaliser différentes opérations en invite de commande. Voici un récapitulatif des actions réalisables : • • • •
Préparer l'annuaire +nstaller Exchange 2010 sur un serveur Désinstaller Exchange 2010 Restaurer un serveur Exchange
Le tableau suivant liste tous les commutateurs utilisables en mode "installation". Certains commutateurs ne fonctionnent que pour certains rôles. ?outateurs setup.co /A'serBile
Cc*ei'
Descriptio' 8ou
+ndi)ue le che#in vers un ,ichier de réponse
/a /Doai'?o'troller 8ou /dc
Per#et d'indi)uer le contrGleur de do#aine )ui sera utilisé pour lire ou écrire des in,or#ations dans l'annuaire.
/('ableLe+acy,utlooE
8rle
ailbo) ='i%uee't
+ndi)ue )ue les clients antérieurs à HutlooI 200@ seront supportés 5 ce co##utateur doit uni)ue#ent -tre précisé lors de l'installation du pre#ier serveur Exchange 2010 J3essagingJ dans l'organisation.
/odeFC'oduode 8ou
Per#et de spéci,ier si l'opération correspond à une installation
/
valeur JinstallJ/ ou à une désinstallation valeur JuninstallJ/.
/RolesFClistederles
Per#et de spéci,ier les rGles )ui doivent -tre installés sur le
ou
serveur. Koici la liste des valeurs supportées %
/roleFClistederles ou
•
/rFClistederles
• • • • •
/Gar+etDir 8ou /t
Bu&ransport ou B ou B *lientAccess ou *A ou * 3ail&ox ou 3: ou 3 ni,ied3essaging ou 3 ou Edgeransport ou E ou E 3anage#entools ou 3 ou
Per#et d'indi)uer le répertoire oL sera installé Exchange 2010 par dé,aut il s'agit de Mprogra#,ilesMF3icroso,t Exchange "erver/
3.3.1 $xele d,installation sans assistance
Installer un serveur Exchange avec les trois rôles principaux (Hub, Cas et Mailbox)
1!/94
Exchange Server
setup.com /mode:install /roles:HT,CA,MB /EnableErrorReporting "E:\Exchange2010" /DomainController:PAR-DC-1
/TargetDir:
Désinstallation d’exchange :
setup.com /mode:uninstall /roles:HT,CA,MB
3.4 Points à vérifier après l'installation d'un serveur Exchange 2010 Une fois l'installation d'Exchange 2010 terminée, il est traditionnellement recommandé de vérifier les points suivants : Vérifier que le répertoire d'installation d'Exchange est bien présent et qu'il contient les dossiers/fichiers ad hoc. Vérifier que le serveur Exchange a bien été ajouté dans le groupe universel de sécurité "Exchange Servers". Lancer la console MMC d'administration et vérifier que le serveur Exchange est bien listé en tant que serveur de boîtes aux lettres si le rôle a été installé, en tant que serveur de transport "hub" si le rôle a été installé... (Cette manipulation peut aussi être réalisée via la commande Shell Get-ExchangeServer). Vérifier la présence et l'état de tous les services liés à Exchange. Examiner le contenu du journal d'évènement " Application" à la recherche d'éventuelles erreurs. Examiner le contenu C:\ExchangeSetupLogs.
des
journaux
d'installation
situés
dans
le
répertoire
Une méthode rapide pour vérifier le bon fonctionnement du serveur, consiste à se connecter via Outlook Web App avec la boîte aux lettres de l'administrateur puis à s'auto-envoyer un mail ! Cela permet de vérifier l'état des rôles CAS (pour OWA), HUB (pour le routage) et Mailbox (pour l'accès aux données de la boîte aux lettres). Bien entendu cette procédure n'est valide que lorsque les 3 rôles nommés sont installés.
19/94
Exchange Server
3.5 Exchange Server Best Practices Analyser (ExBPA) Une autre méthode permettant de valider la configuration du serveur Exchange, consiste à lancer une analyse avec l'outil Exchange Server Best Practises Analyser (ExBPA). Cet outil examine votre serveur et détermine si sa configuration est conforme aux préconisations de Microsoft. De nombreux points sont pris en compte : conformité du matériel, paramétrage du serveur, vérification des autorisations, contenu des journaux d'évènements...
2"/94
Exchange Server
7. Présentation des outils d'ad#inistration • • •
4.1 ()c*a'+e a'a+ee't ?o'sole 8(? 7.2 Exchange 3anage#ent "hell E3"/ 7.6 a console Exchange *ontrol Panel E*P/
4.1 Exchange Management Console (EMC) Le premier outil mis à notre disposition est la console EMC. La console EMC est basée sur la MMC 3.0 (Microsoft Management Console 3.0). Elle remplace la console Gestionnaire du système Exchange présente dans les versions précédentes. Elle est organisée autour des différents rôles des serveurs Exchange au niveau de l’organisation d’Exchange ainsi qu’au niveau des serveurs. EMC est une interface graphique qui utilise EMS (Exchange Management Shell) en effet EMC n’est qu’un frontal d’exécution des commandes PowerShell d’Exchange 2010.
C’est dans la partie gauche de la console que l’on choisit quel serveur configurer ainsi que le rôle. On y trouve 4 partie qui représente l’organisation, les serveurs, les boite aux lettres utilisateurs et enfin la boite à outils.
21/94
Exchange Server #.1.1 Coni%uration de l,or%anisation
C’est dans la partie Configuration de l’organisation que l’on va configurer les paramètres globaux des différents rôles d’Exchange. Ces paramètres seront appliqués à tous les serveurs de l’organisation Exchange correspondant au rôle. Ces paramètres sont stockés dans la partition configuration de la forêt Active Directory. #.1.2 Coni%uration serveur
C’est dans la partie Configuration Serveur que l’on va configurer les spécificités serveur par serveur des différents rôles d’Exchange. Les paramètres ne vont s’appliquer qu’au serveur que nous avons configuré et non pas à l’ensemble. #.1.3 Coni%uration des destinataires
C’est dans la partie configuration des destinataires que l’on va retrouver la gestion des boites aux lettres, des groupes de distribution, l’historique des déplacements de boite, … #.1.# :oite ; outils
La boite à outil permet d’accéder à l’ensemble des autres outils comme : • EBPA (Exchange Best Practices Analyzer), un outil permettant d’avoir une analyse de l’infrastructure Exchange. • L’analyseur de la file d’attente SMTP • L’analyseur de suivi de message • L’outil d’administration des dossiers publiques •…
4.2 Exchange Management Shell (EMS) PowerShell est un environnement de scripting très puissant qui permet en autre d’automatiser des tâches dans un environnement Windows. EMS (Exchange Mangement Shell) est basée sur la technologie PowerShell. Lors de l’installation d’Exchange 2010, des commandes spécifiques à Exchange sont rajoutées dans PowerShell.
22/94
Exchange Server
Exchange 2010 inclus EMS afin de fournir une interface en ligne de commande pour administrer Exchange 2010. EMS est basé sur un développement objet ce qui permet d’accéder à des éléments .NET par exemple. On peut utiliser EMS pour : • •
Réaliser toutes les tNches )ue l(on réalise avec la console E3* Réaliser des tNches répétitives sous ,or#e de script par exe#ple/ pour gagner du te#ps et réduire les erreurs
Ainsi on peut automatiser des tâches, soit pour la maintenance d’Exchange ou pour la création de boites aux lettres utilisateurs en masse. De plus, certaines tâches administratives ne sont pas réalisables avec la console EMC, ainsi l’utilisation de EMS devient indispensable. #.2.1 Les coandes $MS
EMS étant un Shell, il utilise une syntaxe particulière. Chaque commande EMS utilise une syntaxe composée d’un verbe, d’un objet, et de différents paramètres. La combinaison verbe-objet décrit l’action qui va être réalisée, et les paramètres définissent exactement quels objets et/ou quels attributs vont être modifiés :
23/94
Exchange Server
Quelques exemples :
Get-MailBox : Cet exemple nous renvoie la liste des boites aux lettres. Set-MailUser –Identity lthobois –ExternalEmailAddress [email protected] : Cet exemple configure l’adresse mail externe de l’utilisateur lthobois. Vous pouvez également utiliser le “pipe” ( | ) afin de combiner plusieurs commandes :
Get-MailBox | FormatList : Cet exemple fournit une liste d’utilisateurs sous un format special (formatlist) Quelques exemples plus élaborés : Attribution d’un quota d’envoi de 1000 KB à l’ensemble des utilisateurs contenus dans le groupe appelé “EGILIA Trainers”.
Get-DistributionGroup "EGILIA Trainers" | Get-DistributionGroupMember | SetMailbox –ProhibitSendQuota 1000 Déplacement de l’ensemble des utilisateurs du serveur EXCH2007 dans la base appelée “DB1” du serveur EXCH2010.
Get-Mailbox –Server EXCH2007 | New-MoveRequest -targetDatabase DB2010 Assignation d’un responsable à un ensemble de listes de distributions.
Get-DistributionGroup | Where { $_.Name DistributionGroup -ManagedBy "DOMAIN\User"
-Like
"*Exchange*"
}|
Set-
Suppression de l’ensemble des messages envoyés par BOB dans les files d’attente.
Get-Message | where { $_.From -like *bob* } | Remove-Message
24/94
Exchange Server
4.3 La console Exchange Control Panel (ECP) Véritable nouvel outil d’administration de la version 2010, la console Exchange Control Panel permet d’administrer quelques aspects de la configuration Exchange.
Cette console se présente sous la forme d’un site web et va remplacer de base la page de paramétrage de la boite aux lettres des utilisateurs dans OWA. Cette console, accessible potentiellement par tous les utilisateurs, va aussi permettre de faciliter la délégation d’administration sur des fonctions comme la gestion des boites aux lettres existante (il n’est pas possible d’en créer de nouvelles). On va aussi pouvoir créer et gérer les listes de distribution, faire le suivi des messages et la gestion des synchronisations des périphériques mobiles parmi d’autres choses… Elle va donc permettre de rendre accessible facilement ces options à l’ensemble des utilisateurs sans la complexité du déploiement d’un client lourd sur les postes.
25/94
Exchange Server
9. *on,iguration du rGle :o?te aux lettres • •
5.1 estio' du stocEa+e des do''$es 9.2 +#plé#entation du serveur de &o?tes aux lettres
5.1 Gestion du stockage des données &.1.1
Les banques d'informations changent de nom depuis Exchange 2010 pour s’appeler bases de données. On distingue deux types de base de données : Les bases de boîtes aux lettres (base de données contenant des boîtes aux lettres personnelles des utilisateurs) Les bases de dossiers publics (base de données contenant les dossiers publics) Les bases de données Exchange sont enregistrées au format EDB dans un fichier unique par base. Lorsque vous installez un serveur Exchange 2010 avec le rôle "serveur de boîtes aux lettres", une base de données est automatiquement créée. &.1.2 Sciications de bases de donnes
Avec l’édition standard d’Exchange 2010, il n’est possible d’installer que 5 bases de données maximum par serveur. Avec l’édition entreprise, il est possible d’installer jusqu’à 100 bases de données. Il est recommandé par Microsoft de ne pas dépasser les 2 To de données par base de données même si la limite technique est à 16 To.
26/94
Exchange Server
5.2 Implémentation du serveur de boîtes aux lettres Le serveur de boite aux lettres est un rôle installé obligatoirement lors du déploiement d’Exchange 2010. C’est lui qui contient les informations des boites aux lettres des utilisateurs. &.2.1 "=c0es de ost>installation du serveur
Après avoir déployé le serveur de boîtes aux lettres, vous devez faire les tâches administratives suivantes sur le serveur : • •
•
•
*réer et con,igurer les &ases de données de &oites aux lettres pour garder les #essages. *on,igurer les dossiers pu&lics. 3-#e si les dossiers pu&lics ne sont pas utiles avec Exchange 2010 ils restent totale#ent supportés et doivent -tre con,igurés si le serveur accueille des clients 3icroso,t H,,ice HutlooI 2006 ou antérieurs. "écuriser le serveur. Avant de déployer les &oites aux lettres sur le serveur il est pré,éra&le de sécuriser c(est5à5dire con,igurer les per#issions aussi &ien au niveau de l(organisation )ue du serveur. *on,igurer l(HA: H,,line Address :ooI/. HA: est une copie d(une collection de listes d(adresses )u(un utilisateur HutlooI peut lire en #ode déconnecté. Exchange 2010 peut distri&uer les HA: aux clients via les dossiers pu&lics.
&.2.2 rocessus de %estion des transactions
Les bases de données Echange 2010 utilise un moteur de type transactionnel qui garantit l’intégrité des données. Une base de données est composée d’un fichier de base de données et de plusieurs fichiers de transaction : • • • • •
E00.log ,ichier ournal de transaction/ E00.chI ,ichier de point de contrGle/ E00res00001.rs ,ichier ournal de log de réserve 13o/ E00res00002.rs ,ichier ournal de log de réserve 13o/ #p.ed& ,ichier te#poraire de la &ase de données/
27/94
Exchange Server
Quand il reçoit des données, le serveur de boites aux lettres procède de la façon suivante :
Ce mode de stockage permet de garantir l’intégrité des données de la base mais implique une consommation importante d’espace disque à cause de l’archivage des journaux de transaction par défaut. Chaque fichier de transaction faisant 1Mo. Afin d’éviter de saturer l’espace de stockage, il est possible d’activer l’enregistrement circulaire pour que le moteur se limite à 20 fichiers (donc 20Mo) en roulement pour les fichiers de transaction.
Attention, la mise en place de l’enregistrement circulaire va annuler les possibilités de sauvegardes incrémentielles et différentielles d’Exchange.
2!/94
Exchange Server &.2.3 Les otions de stoc?a%e des donnes
Quand vous choisissez comment les données seront stockées, vous devez savoir ou les stocker et comment les stocker. Physiquement, vous pouvez choisir entre : •
•
e stocIage sur un dis)ue directe#ent connecté % out type de dis)ue physi)ue#ent connecté au serveur e réseau de stocIage % un "A! "torage Area netOorI/ est un réseau dédié pour le stocIage de données. e "A! ,ournit un gain de per,or#ance considéra&le.
Conseils pour le stockage dans Exchange Server : Les SAN sont complexes et requièrent des connaissances poussées pour les implémenter. La plupart sont plus chers que les disques directement connectés. Exchange 2010 a été particulièrement optimisé pour l’utilisation de disque SATA. &.2.# +laceent de la base de donne
Il est possible de déplacer le fichier de base de données ainsi que les fichiers de transaction à l’aide de la commande suivante :
Move-DatabasePath -Identity 'EGILIA Mailbox Database' -EdbFilePath 'C:\Mailbox\EGILIA Mailbox Database.edb‘ -LogFolderPath 'C:\Mailbox' &.2.& @estion des liites de boite aux lettres
La gestion des limites de boite aux lettres peut être configurée base par base mais aussi par l’intermédiaire d’une valeur par défaut au niveau de la base de données. Cela se fait comme d’habitude par l’intermédiaire de l’interface graphique ou par Exchange Management Shell :
Get-MailboxDatabase | Set-MailboxDatabase –ProhibitSendReceiveQuota unlimited
29/94
Exchange Server
&.2.4 +A@ Listes d,adresses strat%ie de rtention B
Les autres fonctions plus avancées de la gestion des boites aux lettres comme le DAG, la gestion des listes d’adresses hors connexion ou encore la rétention d’email et le lagal hold seront vu dans des articles ultérieurs.
3"/94
Exchange Server
. *on,iguration du rGle Bu&5ransport • • • • • • •
6.1 Présentation du rôle Hub-Transport 6.2 Gestion des domaines acceptées 6.3 Gestion des stratégies de messageries 6.4 Introduction au routage 6.5 Configuration du rôle Hub-Transport 6.6 Règles de transport 6.7 Résolution des problèmes de routage
6.1 Présentation du rôle Hub-Transport L’objectif du rôle Hub-Transport au sein de l’organisation Exchange est de permettre le routage des messages. Ainsi il implémente le protocole SMTP (Simple Mail Transfer Protocol) comme protocole d’échange des emails au sein de l’organisation Exchange comme lors des communications avec les domaines de messagerie sur Internet.
6.2 Gestion des domaines acceptées Une organisation Exchange Server peut être responsable de plusieurs domaines de messagerie. Pour configurer plusieurs domaines de messagerie pour une organisation Exchange, il faut ajouter les domaines acceptés. 4.2.1 rsentation
Un domaine accepté est un domaine DNS (Domain Name System) pour lequel l'organisation Exchange envoie et reçoit des messages électroniques. Cela inclut bien sûr les domaines pour lesquels l'organisation Exchange contient des boîtes aux lettres (domaines faisant autorité). Cela inclut aussi les domaines pour lesquels l'organisation Exchange reçoit des messages et ensuite relaie ceux-ci à un serveur de messagerie qui ne fait pas parti de l'organisation Exchange (domaines relais). Les domaines acceptés vont être utilisés pour contrôler les messages électroniques que l'organisation Exchange accepte depuis Internet. Une fois qu'un domaine accepté est configuré, l'organisation Exchange va accepter les messages depuis Internet pour ce domaine. Les tentatives des serveurs de messagerie Internet pour délivrer des messages pour des domaines qui ne sont pas des domaines acceptés vont être refusées.
31/94
Exchange Server 4.2.2 Coni%urer les doaines accets
Les domaines acceptés sont configurés deux fois, une fois en tant que paramètre global pour l'organisation Exchange Server, et une autre fois sur le serveur qui a le rôle Transport Edge. Les serveurs de Transport Hub ne traitent que les messages pour les domaines qui sont configurés en tant que domaines acceptés au niveau de l'organisation Exchange. Les serveurs de Transport Edge acceptent et relayent seulement les messages pour les domaines configurés en tant que domaines acceptés sur le serveur qui a le rôle Transport Edge. Pour simplifier l'administration lors de la configuration des domaines acceptés, il est possible de procéder de la façon suivante: 1. *réer et gérer tous les do#aines acceptés au niveau de l'organisation Exchange. 2. "ynchroniser ces in,or#ations avec le serveur de ransport Edge en créant une souscription Edge. Quand vous inscrive le serveur )ui a le rGle ransport Edge dans l'organisation Exchange 2010 tous les do#aines acceptés con,igurés au niveau des para#8tres de l'organisation pour le rGle ransport Bu& sont répli)ués vers le serveur )ui a le rGle ransport Edge pendant les synchronisations Edge"ync. !ous verrons plus tard co##ent aouter un serveur avec le rGle ransport Edge et l'inscrire à l'organisation Exchange 2010. 6. Pour #odi,ier la con,iguration des do#aines acceptés sur un serveur ransport Edge )ui est inscrit dans l'organisation il ,aut e,,ectuer les #odi,ic ations sur le serveur de ransport Bu&.
Quand vous créez des domaines acceptés, vous pouvez utiliser le caractère étoile ( * ) dans l'espace d'adresses pour indiquer à l'organisation Exchange d'accepter aussi tous les sousdomaines de l'espace d'adresse SMTP. Par exemple, pour configurer egilia.com et tous ces sous-domaines, il vous suffira d'entrer *.egilia.com comme espace d'adresse SMTP. Attention: Si un sous-domaine doit être utilisé dans une stratégie d'adresses de messagerie, chaque sous-domaine doit avoir une entrée explicite dans les domaines acceptés. 4.2.3 +oaines aisant autorit
Un domaine accepté faisant autorité est un domaine pour lequel l'organisation Exchange stocke des boîtes aux lettres pour des objets conteneurs de ce domaine SMTP. Par défaut, quand le premier serveur Transport Hub est installé, un domaine accepté est configuré comme faisant autorité pour l'organisation Exchange. Le domaine accepté par défaut est le nom de domaine pleinement qualifié (Full Qualified Domain Name) du domaine racine de la forêt. Souvent, le nom de domaine interne utilisé avec Active Directory est différent du domaine externe. Par exemple le nom de domaine interne peut être egilia.lan et le nom de domaine externe egilia-learning.com. L'enregistrement de ressource DNS pour le serveur de messagerie (MX) pour votre organisation référence egilia-learning.com. C'est l'espace de nom SMTP que vous voulez assigner aux utilisateurs en créant une stratégie d'adresses de messagerie. Pour cela, il faut créer un domaine accepté faisant autorité avec le nom de domaine externe egilia.com.
32/94
Exchange Server
Créer un nouveau domaine accepté faisant autorité avec Exchange Management Shell:
New-AcceptedDomain -Name DomainType Authoritative
"EGILIA
Learning"
-DomainName
egilia.com
-
Supprimer un domaine accepté avec Exchange Management Shell:
Remove-AcceptedDomain -Identity "Microsoft" 4.2.# +oaines relais
Dans Exchange 2010, vous pouvez configurer des domaines acceptés en tant que domaines relais. Les domaines relais reçoivent des e-mails pour des destinataires en dehors de l'organisation et ensuite relayent ces e-mails à un serveur qui ne fait pas parti de l'organisation Exchange. Il y a deux types de domaines relais. •
•
Doai'e de relai i'ter'eF Quand vous con,igure un do#aine de relai interne cela signi,ie )ue les destinataires de ce do#aine n'ont pas de &o?te aux lettres dans l'organisation Exchange #ais ont des contacts dans la liste d'adresse glo&ale
Tous les domaines acceptés sont administrables avec la console de gestion d'Exchange. Pour cela il suffit d'aller dans la partie Configuration de l'organisation dans l'arborescence de la console et de choisir Transport Hub. Enfin dans le panneau central, il suffit d'aller dans l'onglet Domaines Acceptés et vous pourrez créer, supprimer ou modifier les domaines acceptés. Il est aussi possible de gérer les domaines relais avec Exchange Management Shell. Voici quelques commandes qu'il est possible d'utiliser. Créer un domaine de relai interne:
New-AcceptedDomain -Name "Espace Microsoft" -DomainName espace-microsoft.com -DomainType InternalRelay Créer un domaine de relai externe:
New-AcceptedDomain -Name "Microsoft" -DomainName microsoft.com -DomainType ExternalRelay
33/94
Exchange Server
6.3 Gestion des stratégies de messageries Une fois que les domaines acceptés sont configurés, il faut utiliser les stratégies d'adresses de messagerie pour définir les adresses e-mails des destinataires dans l 'organisation Exchange. On utilise aussi les domaines acceptés pour configurer les stratégies d'adresses de messagerie. Il faut configurer un domaine accepté avant qu'un espace d'adresses SMTP (Simple Mail Transfer Protocol) puisse être utilisé dans une stratégie d'adresses de messagerie. Si vous supprimez un domaine accepté qui est utilisé dans une stratégie d'adresses de messagerie, alors celle-ci ne sera plus valide et les destinataires qui utilisent des adresses emails provenant de ce domaine SMTP ne pourront plus envoyer ni recevoir d'e-mails. Il faut savoir que les stratégies d'adresses de messagerie sont très utiles car elles permettent d'affecter les adresses e-mails pour de multiples objets conteneurs (destinataires) à la fois. Avant de pouvoir utiliser ces stratégies, il faut configurer les domaines acceptés pour votre organisation Exchange. Une stratégie d'adresses de messagerie permet de générer les adresses e-mails pour les utilisateurs, les contacts et les groupes. Lorsqu'on définit une stratégie d'adresses de messagerie, on définit le format de l'adresse e-mail et à quels objets destinataires elle va s'appliquer. Une organisation Exchange peut être utilisée pour gérer la messagerie de plusieurs sociétés. Dans cette situation, vous avez besoin d'attribuer des adresses e-mails différentes aux utilisateurs de chaque société. C'est un exemple d'utilisation des stratégies d'adresses de messagerie. Par exemple vous voudriez que certains objets destinataires aient l'adresse e-mail d'une première société (@egilia-learning.com) et d'autres destinataires une adresse e-mail correspondant à une deuxième société (@egilia.com). Lors de la création d'une stratégie d'adresses, il est possible de sélectionner les objets destinataires en se basant sur les éléments suivants: Le type de destinataire. Pour chaque stratégie, vous pouvez définir si elle sera appliquée à: • • • • •
Tous les types de destinataires Utilisateurs avec boîte aux lettres Exchange Boîtes aux lettres de ressources Contacts avec adresse de messagerie externe Groupes avec fonctionnalités messagerie
Conditions: • • •
Destinataire dans un état ou une province Destinataire dans un département Destinataire dans une société
Filtres de destinataires. Les filtres de destinataires permettent d'effectuer une requête sur les destinataires basée sur n'importe quel attribut Active Directory.
34/94
Exchange Server
Les stratégies d'adresses de messagerie sont appliquées en fonction de leur priorité. Quand plusieurs stratégies sont destinées à un même objet, seule la stratégie d'adresses avec la plus grande priorité sera appliquée. C'est à l'administrateur de définir la priorité des stratégies d'adresses dans la console de gestion d'Exchange. La stratégie d'adresses de messagerie par défaut qui est créée pendant l'installation est listé à la fin et a automatiquement la priorité la plus faible et s'applique à tous les destinataires qui ne sont pas affectés par une autre stratégie d'adresses de messagerie. Lorsque vous modifier une stratégie, vous avez la possibilité d'appliquer les modifications immédiatement ou alors de planifier l'application. Cela peut être intéressant dans les grandes entreprises car l'application immédiatement d'un changement dans une stratégie d'adresses de messagerie peut entraîner un ralentissement important du serveur. Le fait de pouvoir planifier l'application des paramètres permet de ne pas gêner le fonctionnement normal de la messagerie. Les stratégies sont aussi réévaluées et appliquées à chaque fois qu'un objet destinataire est modifié.
6.4 Introduction au routage Si avec Exchange 2000/2003 le routage des messages internes à l'entreprise était basé sur des groupes de routage interconnectés par des connecteurs de groupe de routage, ce système a été totalement modifié depuis Exchange 2007. Le routage des messages s’appuie désormais sur les sites Active Directory. Il est donc primordial que votre configuration de réplication Active Directory soit correctement configurée pour que le routage des messages soit fonctionnel. La topologie de routage étant basé sur les sites Active Directory, il va être possible de déterminer les serveurs qui peuvent échanger des mails, l’instant où se produit cet échange et le connecteur à utiliser pour envoyer les mails vers l’extérieur de l’organisation. Dans la mesure où Exchange 2010 s’appuie sur les sites Active Directory, seuls les membres du groupe Administrateur de l’entreprise peuvent créer, modifier ou supprimer les sites AD. Il en sera de même pour la gestion des liens de sites. Néanmoins, un administrateur exchange pourra gérer les paramètres des sites spécifiques à Exchange. Lors de l’envoi d’un message, le serveur de transport hub a plusieurs possibilités : •
•
Le message est destiné à un utilisateur du même site : le serveur hub-transport l’enverra dans la boite aux lettres appropriée. Le message passe par le hub-transport même si la boite aux lettres de destination est sur le même serveur que la boite aux lettres source. Le message est pour un utilisateur sur un site distant : il transmet le message vers le serveur hub-transport du site distant qui l’enverra au serveur de boite de lettre de son site.
35/94
Exchange Server
•
Le message est pour un utilisateur du réseau public (Internet) : le serveur de transport hub l’enverra vers le serveur de transport Edge qui utilisera un connecteur d’envoi pour remettre le message. S’il n’y a pas de serveur Edge, il utilisera un connecteur d’envoi directement à destination d’internet.
6.5 Configuration du rôle Hub-Transport Lors de l’installation d’Exchange 2010 par défaut, seuls les emails internes peuvent être échangés. Pour cela, l’infrastructure Exchange 2010 utilise des connecteurs d’envoi implicite et invisible qui utilisent les services de topologie d’Active Directory pour router correctement les mails. Pour pouvoir communiquer avec l’extérieur de l’organisation, il va falloir configurer deux types de connecteurs : Le connecteur d’envoi et le connecteur de réception. 4.&.1 Le connecteur d'envoi
Situé au niveau de l’organisation, il va permettre de déterminer les chemins de remise des messages vers l’extérieur. Le serveur Exchange considère qu’il doit remettre un message à l’aide d’un connecteur d’envoi lorsque le domaine de destination ne se trouve pas dans la liste des domaines acceptés de l’organisation. Un domaine accepté étant un domaine de messagerie que l’organisation gère en interne comme présenté précedement.
36/94
Exchange Server
Dans le cas où l’organisation dispose d’un serveur Edge, le rôle du connecteur d’envoi sera de rediriger l’ensemble du flux à destination d’internet vers le serveur Edge. Dans le cas contraire, il aura pour charge de déterminer le mode d’envoi ainsi que les différentes destinations possibles pour la remise de message. La configuration la plus courante d’un connecteur d’envoi à destination d’internet étant la suivante : • • •
!o# % +nternet Espace de re#ise % S 3ode de résolution % Résolution 34
Des configurations spécifiques à destination de partenaires par exemple peuvent inclurent des niveaux des sécurités plus élevés que ce qui est couramment utilisé pour l’échange d’email.
Pour configurer les connecteurs d’envoi via Exchange Management Shell, il est possible d'utiliser les commandes de type Get-SendConnector, New-SendConnector, SetSendConnector, Remove-SendConnector. 4.&.2 Le connecteur de rcetion
La configuration d’un connecteur de réception s’effectue au niveau de chaque serveur Exchange de l’organisation. Elle permet de déterminer si le serveur va accepter les messages entrant et dans quel mesure. Les critères de configuration d’un connecteur de réception sont basés sur les trois paramètres suivants : •
•
•
Réseau % Per#et de spéci,ier les plages +P de serveurs )ui pourront envoyer des #essages au connecteur de réception. Authenti,ication % Per#et de spéci,ier les #éthodes d(authenti,ications acceptées par le serveur. Autorisations % Per#et de spéci,ier les populations de #achine )ui pourront envoyer des #essages au connecteur de réception.
37/94
Exchange Server
Il est courant pour permettre la communication avec des serveurs tiers au travers d’internet de configurer un connecteur de réception avec une autorisation pour l es connexions anonymes. Même si votre connecteur de réception est accessible de manière anonyme cela ne signifie pas que le serveur Exchange acceptera de faire du relaying ! En effet, le serveur de transport Hub accepte uniquement de forwarder les mails à destination des domaines explicitement présents dans l'onglet "Accepted Domain". Si vous souhaitez permettre le relaying pour des serveurs spécifique (CRM, Serveurs Web, SharePoint, …), vous pouvez créer un connecteur de réception spécifique autorisé uniquement aux serveurs que vous aurez référencé par l’intermédiaire de leurs adresses IP. Pour configurer les connecteurs de réception via Exchange Management Shell, il est possible d'utiliser les commandes de type Get-ReceiveConnector, New- ReceiveConnector, SetReceiveConnector, Remove- ReceiveConnector. 4.&.3 Site concentrateur
Dans certains cas, il est nécessaire de faire transiter les messages via un site prédéterminé. Le site en question devient alors site concentrateur. Pour définir un site concentrateur, on utilise la commande Set-ADSite. Une fois qu’un site concentrateur est défini, les messages acheminés par un chemin de routage ou se trouve ce concentrateur transite forcement par le serveur hub présent sur le site en question.
3!/94
Exchange Server
Au niveau des liaisons de sites, si Exchange 2010 réutilise les paramètres de la réplication AD en ce qui concerne le coût de la liaison, il est possible d’affecter un coût de liaison spécifique à Exchange via la commande Set-ADSiteLink. 4.&.# Coexistence avec $xc0an%e Server 23
Si Exchange 2010 coexistent avec Exchange Server 2000 ou 2003, il est nécessaire de configurer un connecteur de groupes de routages. Le premier connecteur de ce type est créé automatiquement lors de l’installation du premier Hub server dans une organisation Exchange 2000 ou 2003 si on utilise l’interface graphique. Lors d’une installation en ligne de commande il faudra utiliser PowerShell (New-RoutingGroupConnector) pour créer ce connecteur.
6.6 Règles de transport Les règles de transports permettent d’appliquer des paramètres à l’ensemble de l’organisation ou à certains cas de figures précis. On parle alors de stratégie de messagerie. Deux agents sont utilisés pour appliquer ces stratégies : •
•
Agent de r8gle de transport % appli)ue les r8gles au niveau Bu& transport % veille à la con,or#ité vis5à5vis de la politi)ue de l(entreprise. Agent de r8gle Edge % appli)ue les r8gles au niveau Edge transport % ,onctionnalités anti5virus et anti5spa#.
4.4.1 A%ent de rè%le de transort
La politique de l’entreprise définit un certains nombres de règles, notamment de confidentialités ou de stratégies. Certaines de ses règles peuvent avoir un impact fort sur la messagerie. L’agent de règle de transport est l’outil qui permet de mettre en œuvre l’ensemble de ces règles (exemple : disclaimer). Grâce à l’intégration dans Active Directory, chaque serveur Hub transport peut ainsi récupérer la stratégie de messagerie, ce qui permet d’avoir une gestion centralisé de la conformité de l’entreprise vis-à-vis de la loi, des règlements et de sa propre politique. 4.4.2 @estion des rè%les
Les règles de transport permettent d’appliquer des actions sur les courriers qui transitent via les rôles hub-transport et edge-transport. Ainsi on peut ajouter des disclaimer, modifier des formats, transférer des emails, … Les règles peuvent être créés et modifiées via le Shell ou la console, néanmoins, l’infrastructure d’Exchange 2010 implique que les conséquences de la modification des règles ai un impact différent selon le type de règle modifiée.
39/94
Exchange Server
Si une règle de transport liée au hub-transport est créée ou modifiée, elle s’applique à l’ensemble de l’organisation, alors qu’une règle liée à un edge-transport ne s’appliquera que sur le serveur Edge cible. Les champs d’applications différent également, et ce bien que la structure soit la même : • •
•
*onditions % cadre dans le)uel la r8gle sera appli)uée. Exceptions % cas ou la r8gle ne s(appli)uera pas #-#e si la condition ou les conditions re)uises sont re#plies T Actions % consé)uence de l(application de la r8gle.
6.7 Résolution des problèmes de routage Quatre outils principaux sont utilisables pour résoudre les problèmes de routage : •
•
Exchange Server Best Practices Analyzer : présenté dans le premier module, cet outil permet de vérifier si la configuration semble correcte (problèmes de pilotes,…). Utilitaire de résolution des problèmes de flux de messagerie Exchange : cet outil est spécifiquement conçu pour vous aider à diagnostiquer les problèmes de routages des flux de messageries.
4"/94
Exchange Server
•
•
Suivi des messages : outil permettant d’accéder aux journaux de suivi des messages : permet d’obtenir des informations sur l’état des messages au sein de l’organisation. Afficheur des files d’attente : outil permettant de lister et de gérer les tailles d’attentes.
41/94
Exchange Server
@. *on,iguration du rGle Acc8s clients • • • • • •
7.1 'troductio' & la +estio' des accHs clie'ts @.2
7.1 Introduction à la gestion des accès clients 8.1.1 rsentation du rôle serveur d,accès client (CAS)
Le rôle serveur d’accès client (CAS) est le rôle qui va nous permettre de gérer tous les accès clients, c'est-à-dire le MAPI (Outlook), le POP3 ou le IMAP4 mais aussi les différents services d’accès à distance comme Outlook Web App, Outlook Anywhere et Exchange ActiveSync. Il faut savoir que l’accès en POP ou IMAP est désactivé par défaut avec Exchange 2010. 8.1.2 *tilisation du serveur d,accès client
Le rôle serveur d’accès client installé sur un serveur Exchange 2010 donne accès aux applications et aux protocoles clients suivants :
Protocole MAPI (Outlook) : Offre l’intégralité des fonctionnalités de messagerie, gestion du calendrier et gestion des contacts à Outlook. Utilise le protocole RPC (ou RPC over HTTPS via Outlook AnyWhere) Synchronise la boîte localement dans un fichier OST (et OAB) Protocole POP3 : Permet aux utilisateurs d'accéder aux messages de leurs boîtes aux lettres via un client de type Outlook Express ou Windows Mail. Protocole IMAP4 : Permet aux utilisateurs d'accéder aux messages de leurs boîtes aux lettres via un client de type Outlook Express ou Windows Mail. Stocke les messages sur le serveur en maintenant l’arborescence d’organisation des emails. Outlook Web Apps (OWA) : Fournit la messagerie légère via une interface Web complète. Prend en charge les utilisateurs itinérants Exchange Control Panel (ECP) : Fournit une console d’administration via une interface Web. Cette console est personnalisable selon les droits des uti lisateurs qui s’y connectent.
42/94
Exchange Server
Protocole Outlook Anywhere : Protocole qui encapsule le protocole MAPI dans un flux HTTPS afin de faciliter le passage des pare-feu. Il est utilisé par les clients Outlook et permet à ces derniers de se connecter au serveur Exchange de n’importe où. Protocole Exchange ActiveSync : Protocole permettant aux périphériques mobile de type Windows Mobile, Windows Phone, iPhone et Android de se connecter à Exchange en bénéficiant de toutes les fonctionnalitées de synchronisation et de contrôle des terminaux. Auto-discover : Protocole permettant aux clients de s’auto configurer avec simplement l’adresse email et le mot de passe du compte. Mets à disposition un fichier XML contenant toutes les informations de type serveur, passerelle, … Publication du carnet d’adresse hors-ligne : Permet aux clients Outlook de récupérer .un carnet d’adresse hors-connexion. Une description et la configuration à mettre en œuvre pour implémenter la plupart de ces fonctionnalités sera vu ci-après. Exchange 2010 fournit une grande diversité de méthodes de connexions clientes et assure un niveau élevé de disponibilité et de sécurité pour chacune d’entre elles. Il est nécessaire d’avoir un Serveur d’Accès Client sur chaque site Active Directory où il y a un serveur qui a le rôle de boîtes aux lettres. 8.1.3 Aut0entiication via le serveur d,accès client
43/94
Exchange Server
Quand des clients accèdent à leur boite aux lettres en utilisant Outlook (MAPI), Outlook Web App, Outlook Anywhere, Exchange ActiveSync, Post Office Protocol 3 (POP3) ou bien Internet Message Access Protocol 4 (IMAP4), ils passent obligatoirement par le rôle Serveur d’Accès Client. •
•
•
•
e client se connecte avec le protocole )u(il souhaite. es ports des di,,érents protocoles autorisés doivent -tre dé&lo)ués sur le pare5,eu. Dans le cas du protocole 3AP+ donc d(un client HutlooI/ il est pré,éra&le d(utiliser le protocole HutlooI AnyVhere RP* over BP"/ lors)ue l(on doit traverser un ,ireOall et ainsi ouvrir )u(un seul et uni)ue port sur le ,ireOall le 776/. e "erveur d(Acc8s *lient se connecte à un contrGleur de do#aine Active Directory a,in d(authenti,ier l(utilisateur grNce au protocole Wer&eros. *(est le service ++" +nternet +n,or#ation "ervices/ )ui s(occupe de l(authenti,ication. Ensuite le "erveur d(Acc8s *lient utilise une re)u-te DAP ightOeight Directory Access Protocol/ sur un serveur de catalogue glo&al a,in de localiser le serveur de &o?te aux lettres )ui contient la &oite aux lettres de l(utilisateur. e "erveur d(Acc8s *lient se connecte ensuite au serveur de &o?te aux lettres avec le protocole 3AP+ RP* pour envoyer ou réc upérer les #essages de l(utilisateur. Quand un client envoie un #essage le serveur de &oite aux lettres noti,ie le serveur de ransport Bu& )u(un nouveau #essage est en attente. e serveur de ransport Bu& récup8re ce #essage et le catégorise c'est5à5dire )u(il déter#ine )uels sont le ou les destinataires appli)ue les stratégies de #essages )ui peuvent exister et ensuite renvoie le #essage au rGle serveur de &oite aux lettres.
Quand les clients POP3 ou IMAP4 envoient un message, ils doivent directement l’envoyer à un serveur SMTP (Simple Mail Transfer Protocol). Ce serveur SMTP peut être soit un serveur qui a soit le rôle Serveur de Transport Hub, soit le rôle Serveur de Transport Edge. Les clients MAPI (Outlook) utilisent le rôle CAS aussi pour Autodiscover, le carnet d’adresse hors-ligne, les informations de disponibilité (libre/occupé).
7.2 Gestion des accès POP3 et IMAP4 8.2.1 rsentation de 3 et
Si les deux protocoles permettent la récupération des emails depuis un serveur de messagerie, ils sont différents sur de nombreux points.
POP – Post Office Protocol (RFC 1939) utilise le port 110 depuis l’actuelle version 3. Par défaut, le mot de passe transite en clair sur le réseau. Néanmoins, sur certains serveurs de messagerie, celui-ci peut être crypté (MD5). Il peut également être implémenté avec SSL (port : 995, RFC 2595). IMAP – Internet Message Access Protocol (RFC 3501) est un protocole qui a la particularité de laisser les messages sur le serveur, ce qui permet, entre autre, de les consulter depuis différents clients de messagerie. Ne téléchargeant par défaut que les entêtes des mails, il est particulièrement adapté aux connexions lentes, l’utilisateur choisissant les emails devant être intégralement téléchargés.
44/94
Exchange Server
Il utilise le port 143 (TCP) et peut être implémenté avec SSL (port : 993, RFC 2595). Il ne faut néanmoins pas le confondre avec le protocole MAPI (utilisé par défaut sous Exchange Server), et ce, bien que les fonctionnalités basiques semblent similaires. Bien qu’IMAP4 soit plus performant, il est moins populaire que le POP, cela étant en partie dû à sa faible implémentation par les fournisseurs d’accès car il demande plus de ressource. Bo'ctio''alit$s
#,#
A#
AccHs *orsli+'e
4
4
Accessible depuis de 'obreu) clie'ts
4
4
iplicit$ d’ipl$e'tatio'
4
a'ipulatio' des drapeau) d’$tats
4
AccHs & plusieurs boItes au) lettres
4
=tilisatio' de boIte au) lettres parta+$es 8accHs co'curre'ts
4
(icace sur du basd$bit
4
A l'instar d'Exchange Server 2003, les services POP3 et IMAP4 ne sont pas activés par défaut sur un serveur d'accès client Exchange 2010. Cela est parfaitement compréhensible étant donné que ces protocoles sont anciens et ne permettent pas de gérer les fonctionnalités collaboratives d'Exchange (partage de calendrier, tâches, notes...). Cependant si vous souhaitez rapatrier vos mails sans passer par OWA et avec un logiciel de messagerie autre qu'Outlook (comme Outlook express, Mozilla Thunderbird, …), la mise en œuvre de l'un de ces protocoles sera un passage obligatoire. 8.2.2 Activation et autorisation du rotocole 3
Voici la procédure de mise en place du protocole POP3 avec Exchange 2010: Par défaut le service Microsoft Exchange POP3 est désactivé. Il faut donc passer son type de démarrage à "automatique", puis démarrer le service. Tout cela peut être réalisé via la console MMC "Services" ou bien via le Shell avec les commandes Set-Service et Start-Service.
Set-service msExchangePOP3 Start-service –service –service msExchangePOP3
–StartupType
automatic
Il faut ensuite activer l'accès POP3 au niveau de chaque boîte aux lettres. Pour cela vous devez utiliser la commande Set-CASMailbox comme suit :
Set-CASMailbox –identity adresse_mail –PopEnable :$true
45/94
Exchange Server
Si vous souhaitez activer l'accès POP3 sur toutes les boîtes aux lettres, le plus simple est d'utiliser un pipe et de saisir la commande suivante :
Get-Mailbox | Set-CASMailbox -PopEnabled:$true Il est aussi possible de définir le format de message (HTML, texte brut...) à l'aide de l'option PopMessagesRetrievalMimeFormat Il est recommandé de sécuriser l'accès POP3 en choisissant une méthode d'authentification adaptée. Trois méthodes sont disponibles : • • •
PlainextAuthenti,ication l'identi,iant et le #ot de passe sont envoyés en clair/ Plainextogin seul l'identi,iant est envoyé en clair/ "ecureogin l'identi,iant et le #ot de passe sont chi,,rés/
Il est conseillé d'utiliser la troisième méthode. Si vous rencontrez des problèmes lors de l'authentification (mot de passe demandé en boucle, rabattez-vous sur la deuxième méthode et redémarrez le service POP3.
Set-PopSettings –Logintype SecureLogin Il faut impérativement redémarrer le service "Microsoft Exchange POP3" après l'exécution de la commande Set-PopSettings sinon les nouveaux paramètres ne sont pas pris en compte ! 8.2.3 Activation et autorisation du rotocole
Pour configurer un accès IMAP4, il suffit de suivre la même procédure que celle pour le protocole POP3 (seul le nom des commandes change) ! Voici un résumé des commandes à exécuter :
Set-Service MSExchangeIMAP4 -StartupType automatic Start-Service MSExchangeIMAP4 Get-Mailbox | Set-CASMailbox -ImapEnabled:$true Set-ImapSettings -Server -LoginType SecureLogin X509CertificateName Stop-Service MSExchangeIMAP4 Start-Service MSExchangeIMAP4
46/94
Exchange Server
7.3 Autodiscover (Auto-découverte) 8.3.1 rsentation de Autodiscover
Supporté depuis Outlook 2007, le système de découverte automatique utilise l'annuaire Active Directory ainsi que le serveur Exchange avec le rôle accès client (CAS) pour configurer automatiquement le client Outlook. Ainsi les utilisateurs utilisant une machine membre du domaine n’ont aucune information à saisir pour accéder à leurs emails (l’authentification de leur compte est utilisé) et les utilisateurs utilisant un poste externe au domaine n’ont qu’à saisir leur email et mot de passe. 8.3.2 rincie de onctionneent
Un objet de type SCP (Service Connection Point) est créé lors de l'installation du rôle CAS sur un serveur. Il est créé dans la partition de configuration de l'annuaire Active Directory et porte le nom du serveur Exchange.
L'objet SCP a pour objectif le stockage de l'URL ou des URLs correspondantes au service de découverte automatique. La liste des URLs est enregistrée dans un attribut nommé serviceBindingInformation. Il y a aura autant d'objets SCP dans l'annuaire que de serveur CAS dans l'organisation. Si le client Outlook utilise une machine membre du domaine, le client Outlook va envoyer une requête LDAP à un contrôleur de domaine pour récupérer les informations des objets SCP. Si le client Outlook n’est pas sur une machine membre du domaine, il localise un serveur CAS ayant autorité sur le domaine de messagerie de l’utilisateur. Pour cela il analyse l’adresse email pour en extraire le domaine de messagerie puis lance une requête de résolution dns de type autodiscover.. Exemple : pour l’adresse [email protected], il essaye de résoudre autodiscover.egilia.com. Le client Outlook se connecte ensuite sur le service autodiscover (sur le répertoire virtuel /Autodiscover) du serveur CAS à l’aide du protocole HTTPs. Cela signifie que vous devez impérativement créer un enregistrement de type CNAME nommé autodiscover dans la zone DNS publique de votre entreprise et utiliser un certificat numérique valide sur le CAS (ou bien sur le proxy inverse publiant le CA S). Le rôle CAS exécute ensuite une fonction pour récupérer la configuration de la boîte aux lettres utilisateur auprès d'Active Directory. Une fois qu'il a obtenu toutes les informations (nom du serveur Exchange...), le CAS génère un fichier XML de configuration et l'envoi au client.
47/94
Exchange Server
Pour finir le client Outlook applique les paramètres renvoyés par le serveur, puis se connecte au serveur de messagerie Exchange 2010 référencé dans le fichier XML. 8.3.3 Coni%uration de Autodiscover
Coté client Outlook, vous pouvez tester le fonctionnement du service autodiscover et visualiser le fichier XML généré en laissant enfoncer la touche CTRL, puis en cliquant sur l'icône d'Outlook dans la barre des tâches. Deux options "cachées" apparaissent alors dans le menu : Etat de la connexion... et Tester la configuration automatique de la messagerie....
Coté organisation Exchange, il est possible de configurer le répertoire virtuel auquel le client Outlook se connecte, à l’aide des commandes PowerShell suivantes : • • • •
etAutoDiscover0irtualDirectory F per#et d'a,,icher la con,iguration du répertoire virtuel. :eAutoDiscover0irtualDirectory F per#et de créer un nouveau répertoire virtuel. ReoveAutoDiscover0irtualDirectory F per#et de suppri#er un répertoire virtuel. etAutoDiscover0irtualDirectory F per#et de con,igurer un répertoire virtuel existant.
Il est aussi possible de modifier les certificats qui sont utilisés via les commandes PowerShell suivantes: •
•
•
:e()c*a'+e?ertiicate F per#et d'envoyer une re)u-te de de#ande de certi,icat à une autorité de certi,ication. port()c*a'+e?ertiicate F per#et d'i#porter un certi,icat sur le serveur Exchange à partir d'un ,ichier S.cer. et()c*a'+e?ertiicate F per#et d'a,,icher les certi,icats actuelle#ent con,igurés sur le serveur Exchange.
7.4 Mise en œuvre d’Outlook Web App 8.#.1 rsentation
Outlook Web App est le webmail fourni avec Exchange Server. Il permet aux utilisateurs d’accéder à leurs emails depuis un navigateur internet et depuis n’importe quelle machine.
4!/94
Exchange Server
Grâce à cet outil, les utilisateurs ont accès à leur messagerie où qu’ils se trouvent, à condition d’avoir un accès internet. Cette interface web permet aussi un accès aux utilisateurs qui sont sur des plateformes non Windows (Linux, Mac, UNIX) avec le support sans dégradation des fonctionnalités des navigateurs les plus répandus (Chrome, Firefox, Internet Explorer, Safari, Opéra, …). Les fonctionnalités présentes dans Outlook Web App sont quasiment identiques à celle que l’on retrouve sur le client lourd Microsoft Outlook 2010. Voici une partie des différentes fonctionnalités offertes par OWA : • • • • • • • • • •
ire et envoyer des e#ails Accéder aux listes d(adresses Koir le calendrier et plani,ier des réunions *réer et éditer des contacts et des tNches Accéder à des serveurs "harePoint et des partages de ,ichiers *on,igurer les signatures d(e5#ails *on,igurer les #essages d(a&sence du &ureau *on,igurer les para#8tres de spa# *hanger de #ot de passe *on,igurer les périphéri)ues #o&iles
8.#.2 Coni%uration
Outlook Web App est disponible automatiquement sur le rôle Serveur d’Accès Client. Cependant, vous disposez de différents outils qui vous permettent de gérer ce service.
Console de Gestion Exchange (Exchange Management Console) : Utilisée pour configurer un certain nombre d’options de configuration d’OWA. Avec cet outil vous pouvez accéder à la configuration des répertoires virtuels d’OWA pour par exemple gérer l’authentification des utilisateurs, désactiver certaines fonctionnalités d’OWA, configurer les adresses internes ou externes, autoriser les serveurs Sharepoint.
Shell de Gestion Exchange (Exchange Management Shell) : Utilisée pour configurer la plupart des options de configuration d’OWA. Il suffit d’utiliser la commande Set-OwaVirtualDirectory.
Gestionnaire IIS (Internet Information Services Manager) : Utilisé pour configurer les répertoires virtuels Outlook Web App, Exchange Server, Exchweb et Public. C’est ici aussi que vous pourrez sécuriser les communications avec SSL.
49/94
Exchange Server
Web.config : Certains paramètres d’OWA comme ConnectionCacheSize et MaxRequestLength doivent être configurés en modifiant le fichier Web.config qui se trouve dans les répertoires virtuels Outlook Web App.
Editeur du registre : Enfin, certains paramètres de configuration comme PublicClientTimeout, TrustedClientTimeout et SSLOffloaded doivent être configurés en utilisant l’éditeur de registre.
7.5 Mise en œuvre d'Outlook Anywhere 8.&.1 rsentation
Outlook Anywhere est une fonctionnalité qui permet aux logiciels clients Outlook 2003 et ultérieurs de se connecter à un serveur Exchange en utilisant le protocole RPC via HTTPs. Cette fonctionnalité est très intéressante car elle permet aux clients MAPI (Outlook) de se connecter de manière sécurisée à leur compte de messagerie depuis Internet, quand ils ne sont pas sur le réseau de l’entreprise.
5"/94
Exchange Server
En effet, le principe de fonctionnement du MAPI est d’associer dynamiquement à l’aide du service RPC un port de connexion pour chaque client. Ce mode de fonctionnement pose un souci de sécurité au niveau des pare-feu protégeant le réseau de l’entreprise. Pour permettre l’utilisation de ce protocole à partir d’internet, les solutions suivantes (peu satisfaisantes) doivent donc être envisagées : •
•
,uvrir le ireall F *ela consiste à li#iter la plage des ports )ue le service RP* va associer aux clients HutlooI et rediriger l(ense#&le de cette plage à destination du serveur hé&ergeant le rGle *A". Plus la plage de port +P sera i#portante plus l(exposition du serveur *A" aux atta)ues le sera. Autant dire )ue dans ce scenario le pare5,eu ne sert pas à grand5chose et )ue cette con,iguration est à proscrire. o'ter u' vp' F e client doit alors se connecter dans un pre#ier te#ps au réseau interne de l(entreprise puis se connecter à l(in,rastructure Exchange. 3-#e si cette con,iguration respecte les consignes de sécurité élé#entaires le seul port du vpn sera ouvert sur le pare5 ,eu/ elle alourdi la procédure d(utilisation de la #essagerie pour l(utilisateur.
Outlook Anywhere fonctionne de la manière suivante : le client Outlook utilise le protocole HTTPS pour encapsuler ses requêtes MAPI vers le serveur Exchange. Il suffit d’ouvrir le port 443 sur votre pare-feu pour que les utilisateurs puissent synchroniser leurs dossiers de messagerie quel que soit l’endroit où ils se trouvent. C’est le CAS qui établit une connexion HTTPS longue durée avec le serveur afin que celui-ci et le client puissent se synchroniser. 8.&.2 Coni%uration de utloo? An-50ere
Pour utiliser Outlook Anywhere, il faut avoir mis en place une infrastructure à clé publique afin de permettre l’utilisation du protocole HTTPs. Ensuite il faut activer le protocole Outlook Anywhere pour chaque serveur en saisissant l’url utilisée en externe et le mode d’authentification.
51/94
Exchange Server
Publiez le service Outlook AnyWhere dans le pare-feu. Pour finir, configurez le client Outlook à l’aide de la procédure suivante : •
•
•
•
Dans le panneau de con,iguration ?ourrier cli)ue sur ?optes de essa+erieJ. et #odi,ie le co#pte en véri,iant )ue le Gype est &ien icrosot ()c*a'+e/. Dans les #araHtres suppl$e'tairesJ alle dans l'onglet ?o''e)io' et coche la case e co''ecter & icrosot ()c*a'+e avec
7.6 ActiveSync ActiveSync est une méthode permettant de synchroniser ses mails sur un Pocket PC et/ou un SmartPhone depuis le réseau GPS/GPRS (le protocole HTTPs est utilisé pour la synchronisation). La connexion se fait par l’intermédiaire du répertoire virtuel /Microsoft-Server-ActiveSync. La découverte automatique (autodiscover) est supporté de si le périphérique exécute Windows Mobile 6 ou une version ultérieur.
52/94
Exchange Server
=. *on,iguration du rGle Edge5ransport • • • •
8.1 Présentation du rôle Edge 8.2 Configuration d’un serveur Edge 8.3 EdgeSync 8.4 Agent de règle Edge
8.1 Présentation du rôle Edge L’objectif du serveur Edge est de fournir une protection supplémentaire face aux menaces toujours plus nombreuses sur Internet (anti-virus, anti-spam,…). Pour cela, ce serveur n’appartient pas au domaine Active Directory, il est placé en DMZ et n’accède aux données Active Directory que par l’intermédiaire d’ADLDS (Active Directory Lightweight Directory Services). Il s’agit d’un rôle facultatif, qui nécessite au moins une topologie avec deux serveurs Exchange, ce dernier rôle ne pouvant être déployé sur le même serveur qu’un serveur ayant un autre rôle.
8.2 Configuration d’un serveur Edge Il est important de surveiller les capacités physiques du serveur sur lequel le rôle de serveur Edge est installé dans la mesure où l’ensemble du trafic mail échangé avec l’extérieure passe par ce serveur, et ce d’autant plus dans l’hypothèse où vous déployez une solution antivirale
53/94
Exchange Server
sur ce serveur. Il est en effet recommandé de déployer la solution antivirus-antispam sur le rôle Edge ce qui permet de filtrer les mails en DMZ et non sur le réseau interne. Comme tous les serveurs sensibles (en DMZ notamment), il est indispensable de bien surveiller la configuration du serveur : désactiver les services inutiles, le compte administrateur,… Au niveau de la configuration réseaux, un serveur Edge est généralement équipé de deux cartes réseaux : une vers le pare-feu extérieure-dmz et l’autre vers le second pare-feu dmzinterne. Les protocoles utilisés sont SMTP, LDAP et RPC avec la configuration suivante :
Les ports utilisés pour l’accès à LDAP ne correspondent pas aux ports standards, ils découlent de l’utilisation d’un intermédiaire entre le serveur LDAP et le serveur EDGE : ADLDS. Pour installer un serveur Edge, il est donc nécessaire de respecter les points suivants : • • • • •
•
• •
Le serveur ne soit pas membre d’un domaine. Configurer le suffixe DNS principal . Installer le .NET framework 3.5.1 ainsi que AD LDS . Installer ensuite le rôle Edge-Transport. Faire pointer le MX publique de la zone DNS de messagerie sur l’adresse IP du serveur Edge. Exporter le fichier de souscription Edge à l’aide de la commande : NewEdgeSubscription -Filename "c:\EdgeSubscription.xml" Importer le fichier de souscription sur le serveur hub-transport partenaire. Lancer la sychronisation.
8.3 EdgeSync Lorsque vous abonnez un serveur Edge à l’organisation Exchange, les données des destinataires présentes dans Active Directory sont dupliquées via AD LDS. Par la suite, le service EdgeSync qui s’exécute sur les serveurs hub transport maintient à jour les données. L’abonnement permet également de mettre automatiquement en place les connecteurs d’envoi requis. La duplication des données via AD LDS permet par la suite d’activer des fonctionnalités avancées du serveur Edge tel que des fonctions de recherche de destinataire. L’ensemble de
54/94
Exchange Server
ces fonctionnalités permettent de garantir un niveau de sécurité élevé, le serveur Edge n’a yant accès qu’à un nombre limité d’informations issu d’Active Directory, et ce en lecture seule uniquement. Vous pouvez lancer la synchronisation manuellement à l’aide de la commande StartEdgeSynchronization.
8.4 Agent de règle Edge A la différence des serveurs Hub transport, l’agent de règle Edge présent dans les serveurs Edge transport n’a pas pour objectif de veiller à la conformité de la messagerie de l’entreprise mais veille à la lutte contre le courrier indésirable, qu’il soit entrant ou sortant. L’agent de règle Edge possède des fonctions permettant de limiter le spam et la propagation de virus, néanmoins, il ne dispense pas de l’installation d’un produit anti-virus (exemple : Forefront for Exchange server).
55/94
Exchange Server
.
9.1 #r$se'tatio' des obets desti'ataires .2 Ad#inistration des &o?tes aux lettres .6
9.1 Présentation des objets destinataires .1.1 +inition d,un ob/et destinataires
Les objets conteneurs ou aussi appelés objets destinataires. Il est très important de savoir que les objets conteneurs d'Exchange Server sont des objets dans Active Directory auxquels Exchange Server peut délivrer des messages. L'utilisateur avec boîte aux lettres est le type d'objet conteneur le plus commun dans Exchange Server. La gestion des objets conteneurs est l'un des tâches premières et essentielles dans l’administration d'Exchange Server. Dans les objets destinataires, nous retrouverons donc les utilisateurs de boîte aux lettres, les utilisateurs à messagerie activée, les contacts de messagerie, les groupes de distribution et les dossiers publics que nous pourrons transformer en objets destinataires en leur activant la messagerie. Dans les versions précédentes à Exchange Server 2007, il fallait utiliser la console Utilisateurs et ordinateurs Active Directory pour effectuer les tâches de gestion des objets destinataires. A partir d’Exchange 2007, vous pouvez maintenant effectuer ces tâches dans la console de gestion d'Exchange (Exchange Management Console) ou bien dans l’environnement en ligne de commande Exchange management Shell. .1.2 "-es d'ob/ets conteneurs
Voici les différents types d'objets destinataires que vous pourrez trouver dans Exchange 2010.
Utilisateurs à extension de boîte aux lettres : Un utilisateur à extension de boîte aux lettres possède un compte dans Active Directory, une boîte aux lettres dans Exchange Server et une adresse e-mail. Cet utilisateur peut envoyer et recevoir des messages en utilisant l'infrastructure Exchange Server dans l'organisation. Par exemple, un employé d’une entreprise est généralement un utilisateur de boîtes aux lettres. 56/94
Exchange Server
Utilisateurs à extension de messagerie : Un utilisateur à extension de messagerie possède un compte Active Directory pour l'authentification et une adresse de messagerie externe associée à ce compte. Il n'a pas de boîte aux lettres Exchange Server. Ces utilisateurs apparaissent dans la liste d'adresses globale (GAL) qui est la liste de tous les objets utilisateurs de messagerie et utilisateurs de boîtes aux lettres dans Active Directory. Par exemple, un employé qui a besoin d'un accès au réseau mais qui souhaitent continuer à recevoir ces e-mails sur une autre boîte aux lettres. Boîtes aux lettres de ressources : Une boîte aux lettres de ressources gère les salles ou les équipements. Un compte d'utilisateur Active Directory est créé pour ce type d'objet mais le compte est désactivé. Après avoir créé la boîte aux lettres de ressources, vous pouvez l'utiliser pour réserver la ressource pour des réunions ou autres évènements. Boîtes aux lettres liées : Une boîte aux lettres liée est associée à un utilisateur dans une forêt approuvée. L’authentification du compte se fait sur une forêt alors que la boite aux lettres se trouve dans une autre. Contacts de messagerie : Un contact de messagerie est un objet de type contact dans Active Directory qui a une adresse de messagerie associée. Il ne peut pas s'authentifier sur Active Directory et n'a pas de boîte aux lettres Exchange Server. Les contacts de messagerie apparaissent aussi dans la liste d'adresse globale ce qui vous permet d'intégrer des personnes externes à votre organisation dans votre liste d'adresse globale. Vous pouvez aussi intégrer ces personnes externes dans des groupes de distribution. Groupes de distributions : Les groupes de distribution sont des groupes universels contenant des utilisateurs, des groupes et de contacts auxquels on a assigné une adresse de messagerie. L’envoi d’un email à cette adresse transfert l’email à l’ensemble des membres du groupe possédant une adresse de messagerie. Groupes de distributions dynamiques : Vous pouvez aussi créer des groupes de distribution dynamiques qui déterminent la liste de leurs membres en interrogeant Active Directory via une requête LDAP. La liste est créée à chaque sollicitation du groupe.
Boîtes aux lettres de découverte : Une boite aux lettres de découverte permet de stocker le résultat d’une recherche inter-boîte. Elle est par exemple utilisée dans le cas d’une recherche de type Legal Hold. Dossiers publics : Il est possible d'affecter une adresse de messagerie à un dossier public et ainsi en faire un objet destinataire. Un dossier public avec messagerie activée peut être utilisé pour créer une boîte aux lettres communes à plusieurs utilisateurs ou groupes. 57/94
Exchange Server
9.2 Administration des boîtes aux lettres .2.1 rsentation de la %estion des boîtes aux lettres
Gérer les utilisateurs de boîtes aux lettres est important car c'est la tâche la plus commune à effectuer pour un administrateur Exchange Server. Il faut effectuer des tâches d'administration à chaque fois qu'un utilisateur est créé, modifié ou supprimé du système. Il est possible d'utiliser Exchange Management Shell pour effectuer des opérations sur plusieurs utilisateurs en une fois. La gestion des utilisateurs de boîtes aux lettres inclue: • • • • •
*réation de nouveaux co#ptes d'utilisateurs de &o?tes aux lettres Activer la #essagerie pour un co#pte d'utilisateur existant "uppri#er des co#ptes d'utilisateurs de &o?tes aux lettres "uppri#er la &o?te aux lettres d'un utilisateur Déplacer une &o?te aux lettres
.2.2 Cration d'un utilisateur de boîte aux lettres
La commande suivante à exécuter dans Exchange Management Shell crée un nouvel utilisateur de boîte aux lettres dans l'unité d'organisation "Formateurs". Sa boîte aux lettres sera stockée dans la base de données "EGILIA Database".
New-Mailbox –UserPrincipalName [email protected] -Alias lthobois –Database "EGILIA Database" –Name Loïc –OrganizationalUnit Formateurs –FirstName Loïc – LastName THOBOIS –DisplayName "Loïc THOBOIS" Attention, le mot de passe doit être au format crypté à l’aide de la commande :
$secureString = new-object System.Security.SecureString La commande suivante, à exécuter dans Exchange Management Shell, permet d'activer la messagerie pour un compte d'utilisateur existant déjà dans Active Directory.
Enable-Mailbox "Loïc THOBOIS" –Database "EGILIA Database" Dans le cas d’une boite aux lettres de ressources, voici un exemple :
New-Mailbox –alias ExecMeet –database “EGILIA Database” –Name “Salle de réunion” –OrganizationalUnit Salles -DisplayName “Salle de réunion” – UserPrincipalName “[email protected]” –room .2.3 +laceent de boîtes aux lettres
En tant qu'administrateur Exchange, il est possible d'être amené à déplacer des boîtes aux lettres entre des bases de données de boîtes aux lettres, des serveurs, des domaines, ou même entre des organisations Exchange Server.
5!/94
Exchange Server
Voici quelques situations qui peuvent amener à déplacer des boîtes aux lettres: •
•
•
•
3ise à our #atérielle % Apr8s avoir installé Exchange 2010 sur du nouveau #atériel vous pouve #igrer toutes les &o?tes aux lettres de l'ancien serveur vers le nouveau. Répartition de charge % "i un serveur est trop occupé vous pouve déplacer )uel)ues &o?tes aux lettres vers un autre serveur )ui est #oins chargé. *hange#ent de lieu % "i un utilisateur est #uté et change de ville vous pouve déplacer sa &o?te aux lettres vers un serveur se trouvant dans sa nouvelle ville. Ac)uisition ou ,usion % "i votre entreprise rach8te ou ,usionne avec une autre entreprise vous pouve déplacer toutes les &o?tes aux lettres d'une organisation vers l'autre.
Quand vous souhaitez déplacer des boîtes aux lettres au sein de la même organisation Exchange Server, il est possible d'utiliser soit l'assistant Déplacement de boîte aux lettres dans la console de gestion d'Exchange ou bien la commande New-MoveRequest dans Exchange Management Shell.
Get-Mailbox –Database “DB01” | New-MoveRequest –TargetDatabase “DB02” .2.# tions de coni%uration des boîtes aux lettres
Après avoir créé de nouveaux utilisateurs de boîte aux lettres, il faut les configurer pour qu'ils correspondent aux besoins de votre organisation et des utili sateurs. Quelques exemples pour une boite aux lettres : Configurer des limites de taille de boîtes aux lettres
Set-Mailbox Brahim –ProhibitSendQuota unlimited Masquer dans les listes d'adresses
Set-Mailbox Brahim -HiddenFromAddressListsEnabled $true Assigner des adresses SMTP
Set-Mailbox Brahim -PrimarySmtpAddress “[email protected]” Configurer des protocoles client
Set-CASMailbox –ActiveSyncEnabled $false Configurer les paramètres d'acceptation automatique pour une boite aux lettres de ressources
Set-MailboxCalendarSettings " Salle de réunion" -AutomateProcessing AutoAccept
59/94
Exchange Server .2.& Suression de boîtes aux lettres
Lors de la suppression d’une boîte aux lettres dans Exchange 2010, celle-ci n'est pas supprimée immédiatement de la base de données de boîtes aux lettres. Par défaut, une boîte aux lettres supprimée est gardée dans la base de données pendant 30 jours. Cela permet d'avoir le temps et l'opportunité de récupérer une boîte aux lettres qui aurait été supprimée par erreur. Il est possible de modifier la limite de rétention des boîtes aux lettres supprimées à une autre valeur à l’aide de la commande suivante :
Set-MailboxDatabase "EGILIA Mailbox" –MailboxRetention 45.12:30:00 (pour 45 jours, 12h. et 30 min. – Max à 24 855 jours) Il est possible de supprimer la boîte aux lettres ce qui revient à enlever les propriétés Exchange de l'utilisateur et à marquer la boîte aux lettres pour la suppression sans supprimer le compte utilisateur Active Directory. Ou supprimer un utilisateur de boîte aux lettres ce qui marque la boîte aux lettres pour la suppression et supprime aussi le compte utilisateur Active Directory. Pour supprimer boîtes aux lettres avec Exchange Management Shell. Voici les commandes à utiliser: Pour déconnecter la boîte aux lettres de l'utilisateur "bnedjimi" ainsi que supprimer le compte d'utilisateur, utilisez la commande suivante:
Remove-Mailbox -Identity egilia\bnedjimi Pour supprimer la boîte aux lettres et le compte d'utilisateur, utilisez la commande suivante:
Remove-Mailbox -Identity egilia\bnedjimi -Permanent Pour désactiver une boîte aux lettres pour un utilisateur:
Disable-Mailbox [email protected]
9.3 Gestion des groupes de distribution .3.1 rsentation
Un groupe de distribution Exchange Server est une collection d'objets destinataires Exchange Server. Vous pouvez envoyer des messages à tous les destinataires du groupe en envoyant le message au groupe de distribution Exchange Server. Cela permet de faciliter l'envoi de messages à plusieurs personnes. On envoie un message au groupe de distribution et Exchange Server s'arrange pour remettre le message à tous les membres du groupe de distribution.
6"/94
Exchange Server
Par défaut les groupes de distribution ne sont pas utilisable par les utilisateurs externes à l’organisation Exchange. Pour que ces groupes soient utilisables par n’importe quel utilisateur à partir d’Internet, il suffit de décocher l’option Require that all senders are authenticated.
.3.2 9ael sur les t-es de %roues Active +irector-
Dans Active Directory, il est possible de créer des groupes de sécurité et des groupes de distribution. Les deux types de groupe, sécurité et distribution, peuvent être configurés comme des groupes de distribution Exchange Server.
Groupes de sécurité : Les groupes de sécurité Active Directory sont utilisés pour l'environnement de sécurité, comme donner des autorisations à des ressources réseau. Il est possible de configurer des groupes de sécurité comme des groupes de distribution Exchange Server et de les utiliser pour envoyer des e-mails à plusieurs utilisateurs. Envoyer un message à un groupe de distribution Exchange Server envoie le message à tous les membres du groupe qui sont des objets destinataires Exchange Server. Groupes de distribution : Les groupes de distribution Active Directory sont utilisés uniquement pour envoyer des e-mails à des groupes d'utilisateurs. Il n'est pas possible d'attribuer des autorisations à des groupes de distribution. C'est pourquoi, il n'est pas possible d'utiliser le même groupe de distribution pour les besoins de messagerie et pour donner des accès à des ressources réseau. Les groupes de distribution Active Directory ne sont pas activés pour la messagerie par défaut. .3.3 C0oisir le t-e de %roue
Certains administrateurs de messagerie décident de n'utiliser que des groupes de sécurité comme groupes de distributions Exchange Server. Cela permet de n'avoir à gérer qu'une seule liste de groupes pour l'accès aux ressources et les e-mails. Cela peut réduire l'effort de maintenance des groupes Active Directory. Par exemple il est plus simple de réutiliser le groupe de sécurité Finance en groupe de distribution Exchange Server plutôt que de maintenir un groupe de distribution universel et de devoir synchroniser la liste des membres à chaque fois.
61/94
Exchange Server
Quand on utilise uniquement des groupes de sécurité comme groupes de distribution Exchange, il faut bien comprendre que les membres qui sont ajoutés au groupe de sécurité universel avec messagerie activée héritent aussi de tous les droits et autorisations affectés au groupe. Si vos besoins en termes de distribution d'e-mails ne correspondent pas à vos groupes de sécurité, il vous faut utiliser des groupes de distribution. Par exemple vous voulez qu'un utilisateur reçoive les messages adressés au groupe de distribution Exchange "Direction", mais vous ne voulez pas que cet utilisateur obtienne les droits et autorisations affectés au groupe de sécurité "Direction". .3.# $tendue des %roues Active +irector-
Exchange 2010 n'autorise que les groupes Active Directory qui sont des groupes universels pour être utilisé en tant que groupes de distributions Exchange Server. L'appartenance aux groupes universels est publiée dans tous les serveurs de catalogue global de la forêt. Cela signifie que n'importe quel utilisateur dans n'importe quel domaine peut voir l'appartenance complète des groupes universels. .3.& Modration de la %estion des %roues de distribution
Plusieurs options de modération sont disponibles pour la gestion des groupes de distribution : Ces options de modérations permettent aussi bien de controler qui peut envoyer des messages à une liste de distribution que si le contenu doit être approuvé par un modérateur.
62/94
Exchange Server
La liste des membres d’un groupe peut être elle aussi modérer notament dans le cas de l’utilisation de la console ECP (Exchange Control Panl).
Il est possible groupe par groupe d’autoriser les utilisateurs à joindre la liste avec ou sans validation. De même, le retrait de la liste peut être libre ou aprouvé.
63/94
Exchange Server
L’approbation est délégué aux gestionnaire du groupe.
9.4 Gestion des groupes de distribution dynamiques .#.1 rsentation rsentation
Un groupe de distribution dynamique est une collection d'utilisateurs de boîtes aux lettres, d'autres groupes de distribution, d'utilisateurs à messagerie activée et de contacts de messagerie dont l'appartenance est calculée au moment de l’envoi de l'e-mail en se basant sur les filtres et les conditions qui ont été définies à la création du groupe de distribution dynamique. Quand un e-mail est envoyé à un groupe de distribution dynamique, le message est délivré à tous les objets destinataires dans l'organisation qui correspondent aux critères définis pour ce groupe de distribution dynamique. .#.2 Conditions et iltres
Les conditions et filtres qui sont définis lors de la création du groupe de distribution dynamique forment une requête LDAP qui est envoyé à un serveur de catalogue global pour calculer l'appartenance au groupe de distribution dynamique. Cela signifie qu'un administrateur n'a pas besoin de rajouter ou supprimer manuellement les membres du groupe. Cependant, les propriétés des objets destinataires comme le département doivent être tenues à jour dans Active Directory pour que le résultat des requêtes soit fiable. Les filtres permettent d'inclure ou d'exclure les types d'objets conteneurs suivants: • • • •
tilisateurs avec &o?te aux lettres Exchange :o?te aux lettres de ressource *ontacts avec adresse de #essagerie externe
64/94
Exchange Server
Les conditions permettent d'inclure ou d'exclure des objets destinataires en fonction des propriétés suivantes: • • • •
Etat ou Province Départe#ent "ociété Para#8tres spéci,i)ues
Attention : En termes de performance, les groupes de distribution dynamiques demandent beaucoup plus de ressources que les groupes de distribution statiques. A chaque fois qu'un email est envoyé à un groupe de distribution dynamique, une requête est lancée par le serveur Exchange sur un serveur de catalogue global pour déterminer les membres du groupe de distribution dynamique. Cela peut donc ralentir la remise des messages et surcharger le serveur de catalogue global sur le site local.
9.5 Gestion des contacts de messagerie .&.1 rsentation rsentation
Un contact de messagerie est un objet de type contact dans Active Directory qui est associé à une adresse de messagerie, mais qui ne peut pas s'authentifier sur Active Directory et n'a pas de boîte aux lettres Exchange. Exchange. Les contacts de messagerie apparaissent dans la liste d'adresses globale, ce qui permet d'ajouter des personnes extérieures à l'organisation à la liste d'adresses globale et à n'importe quelle autre liste d'adresses Exchange. Vous pouvez utiliser les contacts de messagerie pour: •
•
+nclure des utilisateurs externes dans un groupe de distri&ution Exchange "erver. *'est la seule solution pour pouvoir aouter des utilisateurs externes à un groupe de distri&ution. +l peut arriver d'avoir un grand no#&re de contacts de #essagerie si vous gére une grosse liste d'utilisateurs externes pour des tNches c o##e une neOsletter. rans,érer les #essages vers une adresse e5#ail externe dans les propriétés d'un o&et destinataire. +l n'est pas possi&le d'entrer #anuelle une adresse e5#ail vers la)uelle on voudrait trans,érer les #essages il ,aut donc créer des contacts de #essagerie.
.&.2 Adinistration des contacts de essa%erie
Il vous est possible de gérer les contacts de messagerie depuis la console de gestion d'Exchange. Pour cela il suffit d'aller dans la partie Configuration du destinataire dans l'arborescence de la console et ensuite Contacts de messagerie. Vous pourrez créer ou supprimer un contact de messagerie ou bien activer la messagerie sur un contact existant dans Active Directory et enfin désactiver la messagerie pour un contact. Il est bien sûr aussi possible de gérer les contacts de messagerie avec Exchange Management Shell. Voici quelques commandes utiles:
65/94
Exchange Server
Créer un contact de messagerie:
New-MailContact -Name "Saïda AZIRI" -ExternalEmailAddress [email protected] OrganizationalUnit Consultant Suppression d'un contact de messagerie:
Remove-MailContact exch01.egilia.lan
-Identity
"Saïda
AZIRI"
-DomainController
egilia-
Activation de la messagerie pour un contact existant:
Enable-MailContact -Identity "Saïda AZIRI" -ExternalEmailAddress [email protected] Désactivation de la messagerie pour un contact:
Disable-MailContact exch01.egilia.com
-Identity
"Saïda
AZIRI"
-DomainController
egilia-
66/94
Exchange Server
10. • • •
1".1 estio' des listes d’adresses 10.2
10.1 Gestion des listes d’adresses 1.1.1 rsentation des listes d'adresses
Les utilisateurs d'Exchange 2010 utilisent généralement la liste d'adresse globale pour chercher d'autres utilisateurs dans l'organisation. Cependant, par défaut, la liste d'adresses globale contient tous les objets destinataires Exchange, incluant les contacts de messagerie et les groupes de distribution. Donc, dans une grande entreprise, la liste d'adresse globale peut contenir des milliers voir de dizaines de milliers d'entrées, ce qui peut compliquer la recherche d'utilisateurs. C'est pourquoi il est conseillé d'utiliser des listes d'adresses pour réduire la liste d'adresses globale en plusieurs listes plus restreintes. Une liste d'adresses et donc une collection d'objets conteneurs qui sont groupés à partir d'une requête LDAP (Lightweight Directory Access Protocol) sur des attributs Active Directory. Chaque liste d'adresse peut contenir plusieurs types d'objets destinataires comme des utilisateurs, des groupes de distribution ou bien des contacts. Les listes d'adresses vont permettre de trier les destinataires pour que les utilisateurs puissent facilement trouver les personnes à qui ils veulent envoyer des messages ou planifier des réunions. Les listes d'adresses sont dynamiques ce qui signifie que leur contenu change automatiquement en fonction des objets destinataires ajoutés dans l'organisation ou simplement modifié. En fait, les listes d'adresses sont calculées de la même façon que les stratégies d'adresses de messagerie. •
•
Quand vous #odi,ie une liste d'adresses vous pouve choisir d'appli)uer les #odi,ications i##édiate#ent ou &ien plani,ier la #ise à our. Dans les grandes organisations il peut -tre intéressant de plani,ier la #ise à our car elle peut entra?ner de gros ralentisse#ents du syst8#e. A cha)ue ,ois )u'un o&et conteneur est #odi,ié les listes d'adresses pour cet o&et sont réévaluées i##édiate#ent et appli)uées.
Par défaut, Exchange 2010 crée quelques listes d'adresses. Pour les petites entreprises, cellesci peuvent être suffisantes: • • • • •
Gous les co'tacts % tous les contacts de #essagerie dans l'organisation Exchange "erver. Gous les +roupes % tous les groupes de distri&ution dans l'organisation Exchange "erver. Goutes les salles % toutes les &o?tes aux lettres de salles dans l'organisation. Gous les utilisateurs % tous les utilisateurs de l'organisation Exchange "erver Liste dadresse +lobale par d$aut % ous les o&ets destinataires dans l'organisation.
67/94
Exchange Server
Lorsque l'on crée une liste d'adresses, il est possible de sélectionner les destinataires qui y seront contenus en fonction de leur type et de conditions, à la manière des stratégies d'adresses. Types de destinataires: • • • • •
tilisateurs avec &o?tes aux lettres Exchange tilisateurs avec adresses de #essagerie externes :o?tes aux lettres de ressources *ontacts avec adresses de #essagerie externes
Conditions: • • • •
e destinataire est dans un état ou une province e destinataire est dans un service e destinataire est dans une société Attri&ut personnalisé égal Kaleur
Dans les attributs d'un destinataire, il y a 15 attributs personnalisés que vous pouvez utiliser comme vous voulez. Si vous en remplissez certains, vous pourrez utiliser ces attributs pour la sélection dans les listes d'adresses. Les filtres de destinataires permettent d'effectuer une requête sur les destinataires basée sur n'importe quel attribut Active Directory. 1.1.2 *tilisation
Les listes d'adresses peuvent être créées et gérées avec la console de gestion d'Exchange. Bien sûr il est aussi possible de les administrer avec Exchange Management Shell. Voici quelques commandes de bases concernant les listes d'adresses. Création d'une liste d'adresse enfant qui contient toutes les boîtes aux lettres de salles pour le bâtiment 34: (pour cela on utilise l'attribut personnalisé numéro 1)
New-AddressList -Name "Salles Batiment 34" -Container "\All Rooms" IncludedRecipients Resources -ConditionalCustomAttribute1 "Batiment 34"
-
6!/94
Exchange Server
Appliquer une liste d'adresses (mise à jour):
Update-AddressList -Identity "Salles Batiment 34" Supprimer une liste d'adresses ne contenant pas de listes d'adresses enfants:
Remove-AddressList -Identity "Salles Batiment 34" Supprimer une liste d'adresses contenant des listes d'adresses enfants:
Remove-AddressList -Identity "Salles Batiment 34" -Recursive
10.2 Gestion des listes d'adresses globales 1.2.1 rsentation
Dans Exchange 2010, il existe une liste d'adresses globale (Global Address list) par défaut qui est créée lors de l'installation. Cette liste d'adresses globale contient tous les objets destinataires de l'organisation Exchange Server. Le fait de créer plusieurs listes d'adresses globales est utile principalement pour supporter les environnements mutualisés, quand une seule organisation Exchange Server gère plusieurs sociétés en même temps. Des listes d'adresses globales sont créées pour chaque société afin que les utilisateurs de chaque société ne voient que les utilisateurs qui appartiennent à leur société. Les utilisateurs choisissent automatiquement quelle liste d'adresse globale utiliser par défaut en fonction des autorisations qu'ils ont dessus. S'ils ont accès à plusieurs listes d'adresses globales, alors celle qui contient le plus d'objets destinataires sera utilisée. Un utilisateur ne peut donc accéder qu'à une seule liste d'adresse globale. 1.2.2 *tilisation
Les listes d'adresses globales ne sont administrables qu'avec Exchange Management Shell. Il n'est pas possible de créer, modifier ou supprimer des listes d'adresses globales avec la console de gestion d'Exchange. Voici quelques commandes pour administrer les listes d'adresses globales avec Exchange Management Shell. Créer une liste d'adresse globale qui contiendra les utilisateurs avec boîtes aux lettres et les boîtes aux lettres de ressources pour la société EGILIA.
New-GlobalAddressList –name "EGILIA GAL" –ConditionalCompany "EGILIA" – IncludedRecipients "MailboxUsers,Resources"
69/94
Exchange Server
Mettre à jour une liste d'adresses globale:
Update-GlobalAddressList –Identity "EGILIA GAL" Modifier une liste d'adresses globale:
Set-GlobalAddressList –Identity "EGILIA GAL –IncludedRecipients "MailboxUsers,MailUsers,Resources" –ConditionalCompany "EGILIA" Supprimer une liste d'adresses globale:
Remove-GlobalAddressList –Identity "EGILIA GAL"
10.3 Gestion des carnets d'adresses en mode horsconnexion 1.3.1 rsentation
Un carnet d'adresses en mode hors connexion (Offline Address Book) est une copie de carnet d'adresses qui a été téléchargée de façon à ce qu'un utilisateur Microsoft Outlook puisse accéder aux informations qu'il contient tout en étant déconnecté du serveur Exchange. C'est donc une collection de listes d'adresses qui est disponible pour les utilisateurs lorsqu'ils ne sont pas connectés au serveur. Les utilisateurs peuvent accéder au contenu du carnet d'adresses en mode hors connexion, écrire des messages et affecter les destinataires des messages tout ça sans être connecté au serveur Exchange Server. Quand Exchange 2010 est installé, un carnet d'adresses en mode hors connexion par défaut est créé et mis à disposition de tous les utilisateurs. Ce carnet d'adresses en mode hors connexion par défaut contient la liste d'adresses globale uniquement mais il est possible de le modifier pour contenir des listes d'adresses supplémentaires ou encore de créer de nouveaux carnets d'adresses en mode hors connexion avec d'autres listes d'adresses. Seules des listes d'adresses existantes peuvent être rajoutées à un carnet d'adresses en mode hors connexion.
7"/94
Exchange Server
Le contenu d'un carnet d'adresses en mode hors connexion est mis à jour périodiquement. Par défaut, ils sont mis à jour toutes les 24h mais cette valeur est modifiable. Il faut comprendre que les modifications apportées aux listes d'adresses ne sont pas forcément reportées immédiatement dans le carnet d'adresses hors connexion qui contient ces listes d'adresses. Quand plusieurs carnets d'adresses en mode hors connexion sont créés, le carnet d'adresses hors connexion d'un utilisateur est défini au niveau de la base de données de boîtes aux lettres de cet utilisateur. 1.3.2 +istribution des carnets d'adresses en ode 0ors connexion
Il faut savoir que pour chaque carnet d'adresses en mode hors connexion, il est possible de définir la version du carnet d'adresses ce qui correspond en fait aux clients que vous allez supporter et le mode de distribution disponible.
Support client : Les options de support client permettent de choisir la version de carnet d'adresses hors connexion qui est générée. Les options sont l es suivantes: •
•
•
icrosot ,ice ,utlooE 9! ervice #acE 1 ou a't$rieur 80ersio' 2. *e ,or#at de carnet d'adresses est aussi appelé carnet d'adresses hors co nnexion A!"+. ,utlooE 9! ervice #acE 2 ou ult$rieur 80ersio' 3. *e ,or#at est aussi appelé carnet d'adresses hors connexion nicode. +l #ini#ise les appels de procédure à distance pendant les télécharge#ents et propose des ,onctionnalités supplé#entaires pour utiliser di,,érentes langues. icrosot ,ice ,utlooE 2""3 #2 ou ult$rieur 80ersio' 4. *e ,or#at de carnet d'adresses hors connexion est uni)ue#ent disponi&le avec Exchange 2010 ou &ien Exchange "erver 2006 "P2. +l apporte des ,onctionnalités supplé#entaires )ui #ini#isent les télécharge#ents des carnets d'adresses en e,,ectuant des #ises à our di,,érentielles.
71/94
Exchange Server
Points de distribution : Les points de distribution déterminent la façon dont les carnets d'adresses hors connexion sont mis à disposition des clients. •
•
Distri&ution Ve&. Exchange 2010 est capa&le de distri&uer les carnets d'adresses en #ode hors connexion au travers d'un service Ve&. "euls les clients 3icroso,t HutlooI 200@ sont capa&les de récupérer les carnets d'adresses hors connexion au travers d'un service Ve&. *ependant cette #éthode per#et de ne pas avoir &esoin des dossiers pu&lics pour la distri&ution des carnets d'adresses en #ode hors connexion. Avec la distri&ution Ve& Exchange "erver utilise des répertoires virtuels dans ++" +nternet +n,or#ation "ervice/ pour distri&uer. Distri&ution avec les dossiers pu&lics. es précédentes versions d'Exchange 2010 utilisaient les dossiers pu&lics pour distri&uer les carnets d'adresses en #ode hors connexion. ous les clients HutlooI antérieurs à HutlooI 200@ nécessitent ce #ode de distri&ution.
Comme il a déjà été, quand plusieurs carnets d'adresses en mode hors connexion sont créés, les clients choisissent leur carnet d'adresses en mode hors connexion par défaut en prenant celui qui est configuré dans leur base de données de boîtes aux lettres. Chaque base de données de boîtes aux lettres est configurée avec un carnet d'adresses en mode hors connexion par défaut. 1.3.3 *tilisation
Pour les carnets d'adresses en mode hors connexion, il est possible d'utiliser la console de gestion d'Exchange pour administrer ceux-ci avec une interface graphique. Bien sûr, il est aussi possible d'administrer les carnets d'adresses hors connexion avec Exchange Management Shell, nous allons donc voir quelques commandes de bases pour gérer ceux-ci. Création d'un carnet d'adresses hors connexion en distribution Web pour les clients Outlook 2007 qui contient la liste d'adresses globale par défaut, généré sur EGILIA-EXCH01 et distribué dans le répertoire virtuel OAB sur EGILIA-EXCH01:
New-OfflineAddressBook -Name "Mon OAB" -AddressLists "\Default Global Address List" -Server EGILIA-EXCH01 -VirtualDirectories " EGILIA-EXCH01\OAB (Default Web Site)" Ajouter des listes d'adresses à un carnet d'adresses en mode hors connexion:
Set-OfflineAddressBook -Identity AddressList1,AddressList2,AddressList3
"Mon
OAB"
-AddressLists
Supprimer des listes d'adresses d'un carnet d'adresses en mode hors connexion:
Set-OfflineAddressBook AddressList1,AddressList2
-Identity
"Mon
OAB"
-AddressLists
Suppression d'un carnet d'adresses hors connexion:
Remove-OfflineAddressBook -Identity "Mon OAB"
72/94
Exchange Server
11. • • •
Délégation d'ad#inistration R:A*/
11.1 Présentation de la délégation à l’aide de RBAC 11.2 Principe de mise en place d’une délégation RBAC 11.3 Implémentation d’une règle RBAC
11.1 Présentation de la délégation à l’aide de RBAC La délégation d’administration a été entièrement revue sous Exchange Server 2010 afin d’être plus souple et utilisable par des populations autres que les administrateurs de messagerie. Elle repose dorénavant sur le principe RBAC (Role Based Access Control) dont l’objectif est d’utiliser des modèles prédéfinis mais personnalisables de délégation. Chaque modèle correspond à un rôle d’administration d’Exchange et sera affecté à une population d’utilisateur. Il n’est donc maintenant plus nécessaire de modifier directement les listes de contrôle d’accès (ACL) comme c’était le cas précédemment.
11.2 Principe de mise en place d’une délégation RBAC La mise en place d’une délégation RBAC passe par la configuration de trois éléments : • • •
Le périmètre d’application Les autorisations Les membres
73/94
Exchange Server
1. Périmètre d’application Il s’agît d’une OU, d’un groupe d’utilisateurs ou tout simplement d’un container de configuration. Tous les rôles ont par défaut un périmètre d’application. Lorsque vous créez un nouveau rôle RBAC il est enfant d’un rôle déjà existant et hérite du périmètre de son parent. Il est toutefois possible de spécifier un périmètre spécifique lors de sa création ou de le modifier par la suite.
2. Les autorisations Exchange 2010 possède autour de 70 rôles prédéfinis (56 coté administrateur et 14 coté utilisateurs). Vous pouvez créer des rôles personnalisés enfants de rôle existant mais ayant moins de droits. L’attribution des droits se fait par sélection des cmdlets PowerShell que le rôle pourra exécuter au final. Les autorisations sont en fait des autorisations sur les cmdlets PowerShell qui pourront être exécutée.
3. Les membres Vous pouvez assigner le rôle aussi bien à un utilisateur unique qu’à un groupe entier mais il est recommandé d’utiliser les groupes dans l’administration.
Rôle Chaque élément étant un objet dans l’Active Directory, le tout forme également un nouvel objet « ManagementRoleAssignment » défini par le principe RBAC. Gardez en tête ce fameux triangle du pouvoir afin de visionner les différents composants pour vous y retrouver.
11.3 Implémentation d’une règle RBAC La création d’une règle RBAC peut se faire par l’outil ECP (Exchange Control Panel) ou par la console EMS (Exchange Management Shell). Il est aussi possible d’affecter un utilisateur à un rôle existant à l’aide de la console Utilisateurs et ordinateurs Active Directory 11.3.1 <lentation ; l,aide de *tilisateurs et ordinateurs Active +irector-
Dans l’arborescence de la console Utilisateurs et ordinateurs Active Directory, il vous suffit de naviguer dans l’UO Microsoft Exchange Security Groups, puis d’ajouter les utilisateurs aux groupes s’y trouvant selon les autorisations que vous souhaitez déléguer.
74/94
Exchange Server
11.3.2 <lentation ; l,aide de $MC
Vous pouvez lancer l’outil de gestion des rôles à l’aide de la console EMC et du nœud Tools.
Ou directement à partir de l’url https:///ecp. Dans la section Gérer Mon organisation, vous pouvez ajouter ou modifier les rôles de votre organisation. Par contre il n’est pas possible de personnaliser à partir de cette interface des composants comme la portée d’utilisation du rôle. Ceci devra être fait à partir de la console EMS.
75/94
Exchange Server
11.3.3 <lentation ; l,aide de $MS
Voici un exemple de création d’un rôle RBAC à l’aide de EMS : On crée un nouveau périmètre d’application appelé MS-Trainers basée sur les objets contenu dans l’unité d’organisation Trainers du domaine egilia.lan. et membre du groupe GGTrainers.
New-ManagementScope "MS-Trainers" -RecipientRestrictionFilter {MemberOfGroup -eq "CN=GG-Trainers,DC=egilia,DC=lan"} -RecipientRoot "OU=Trainers,DC=egilia,DC=lan" On crée un rôle MR-MailboxReader base sur le rôle Mail Recipients sur lequel on retire l’ensemble des cmdlets accessible hormis Get-User (à l’origine il y avait plus de 60 cmdlets utilisable).
New-ManagementRole -Name MR-MailboxReader -Parent "Mail Recipients" Get-ManagementRoleEntry -Identity "MR-MailboxReader\*" | Where{$_.Name -ne "Get-User"} | Remove-ManagementRoleEntry
76/94
Exchange Server
On crée un rôle appelé RG-MailBoxReader qui reprend les autorisations de MRMailboxReader et l’étendue de MS-Trainers.
New-RoleGroup -name "RG-MailboxReader" CustomRecipientWriteScope "MS-Trainers"
-Role
"MR-MailboxReader"
-
Suite à cette commande, un nouveau groupe dans l’UO Microsoft Exchange Security Groups a été ajouté qui permet d’affecter les permissions du nouveau rôle à des utilisateurs.
77/94
Exchange Server
12. • • • •
12.1 Composants de la haute disponibilité Exchange 12.2 Haute disponibilité pour le rôle CAS (NLB) 12.3 Haute disponibilité pour le rôle MBX (DAG) 12.4 Haute disponibilité pour le rôle HT
12.1 Composants de la haute disponibilité Exchange Afin de réduire les risque d’indisponibilité de service, il est important d’éviter le point de cassure unique dans l’infrastructure de messagerie (SPOF – Single Point Of Failure). Ainsi, la fiabilité réseau, matériel, logiciel doit être surveillée et une redondance doit permettre la perte de n‘importe lequel des composants de l’infrastructure sans perte d’accès au service. Pour la partie système, deux technologies permettent la haute disponibilité des machines et des logiciels :
Le Network Load Balancing (NLB – Répartition de charges réseau) Indépendant de l’application, il permet la répartition de charges des clients sur la ferme de serveur en plus de la haute disponibilité.
Le Failover clustering (WSFC - Cluster de basculement) Lié à l’application, il permet de maintenir l’intégrité des données utilisé par le logiciel en garantissant que l’accès aux disques stockant les fichiers ne se fait que par une machine à la fois.
7!/94
Exchange Server
12.2 Haute disponibilité pour le rôle CAS (NLB) Avec Exchange 2010, le CAS devient le point de connexion pour tous les protocoles: MAPI, Outlook Anywhere, OWA, ActiveSync, IMAP, POP, EWS, Entourage. Il agit donc comme passerelle pour ces différents protocoles avec pour mission de mettre en forme le contenu des boites aux lettres pour les clients utilisant ces protocoles d’accès au contenu de la boite. La haute disponibilité du rôle CAS ne nécessite donc pas de garantir l’intégrité d’une donnée quelconque et s’implémente à l’aide du composant Network Load Balancing. Le Network Balancing est une fonctionnalité disponible nativement sous Windows Server 2008. Il est à noter dans le cas d’une implémentation sur les mêmes serveurs d’un CAS en haute disponibilité et d’un DAG (Haute disponibilité du rôle de boîte aux lettres), il est obligatoire d’utiliser un boitier extérieur assurant la répartition de charges (HLB - Hardware Load Balancer) à la place du composant Windows car il est incompatible avec la fonctionnalité Windows Failover Clustering du DAG. Il est aussi conseillé d’utiliser un système de répartition de charges matériel dans le cas d’une ferme de plus de 8 CAS.
79/94
Exchange Server
12.3 Haute disponibilité pour le rôle MBX (DAG) L’une des nouveautés les plus marquantes d’Exchange Server 2010 est le DAG (Data Availability Group) qui remplace l’ensemble des mécanismes de haute disponibilité que l’on pouvait trouver sur les versions précédentes. Un DAG symbolise la réunion d’un maximum de 16 serveurs qui vont pouvoir répliquer les bases Exchange 2010 pour en assurer la haute disponibilité. Il utilise la fonctionnalité Windows Failover Clustering de manière transparente afin de faire basculer automatiquement les composants de l’infrastructure Exchange, sur une copie de la base en état de fonctionnement. La mise en place du DAG n’utilisant pas d’espace disque partagé, sa mécanique de fonctionnement s’apparente à un cluster à quorum MNS (Majority Node Set –Jeu de nœud majoritaire). Le Quorum MNS a pour charge de répliquer le Quorum qui contient la configuration du cluster sur l’ensemble des nœuds du cluster. Pour que le cluster soit en ligne, la majorité absolue des nœuds est nécessaire, si ce n’est pas le cas, l’ensemble des nœuds s’arrête. Exemple:
Nombre de nœuds du cluster 2 nœuds 3 nœuds 4 nœuds 5 nœuds 6 nœuds 7 nœuds 8 nœuds
Majorité atteinte à 2 nœuds 2 nœuds 3 nœuds 3 nœuds 4 nœuds 4 nœuds 5 nœuds
Pannes possibles 0 1 1 2 2 3 3
Afin d’éviter des clusters bloqués par un partage à égalité parfaite du cluster (coupure réseau entre les nœuds dans le cas d'un cluster deux noeuds par exemple), on peut ajouter une référence supplémentaire sous la forme d’un partage de fichier sur une machine qui n’est pas membre du cluster.
!"/94
Exchange Server
Ce partage contiendra un répertoire et des fichiers témoins pour le cluster et permettra d’arbitrer les conflits dans le cas d’une connectivité coupée entre les nœuds. La mise en place du DAG est très simple car elle peut se faire sans réinstallation du serveur Exchange. Il suffit de créer le DAG dans l’organisation Exchange, d’ajouter des serveurs membres à ce DAG et de spécifier pour chaque base de données sur quel membre du DAG elles doivent être répliquées.
Le principe de réplication s’appuie sur la copie des fichiers de transaction sur l‘ensemble des membres du DAG ayant un réplica de la base de données (log shipping). Les fichiers sont ensuite rejoués dans la base de données (log replay). Le contrôle de l’état de synchronisation peut se voir dans la console EMC ou dans l’interface EMS à l’aide de la commande suivante : Get-MailboxDatabaseCopyStatus EGILIA-DataBase Il est aussi possible, dans les paramètres de la copie d’une base sur un serveur membre du DAG, de spécifier une durée de latence avant de rejouer les logs dans la base afin d’avoir une base décalée. !1/94
Exchange Server
12.4 Haute disponibilité pour le rôle HT Les rôles Hub-Transport et Edge Transport intègrent nativement des fonctionnalités de haute disponibilité par l’intermédiaire de deux technologies.
Transport Redundancy Le principe consiste à conserver les messages sur le serveur précédent jusqu'à ce qu'il soit délivré plus loin. Lorsqu'une erreur est détectée (timeout), le serveur précédent délivre de nouveau les messages (à un autre HUB par exemple). Pour la mise en place de cette technologie, des extensions SMTP sont utilisées (XSHADOW, XDISCARD) qui génère une légère surcharge réseau et qui nécessite une chaine de serveurs sous Exchange 2010. Par le biais du Mailbox Server resubmission, ce principe est aussi vrai si le Hub n’émet pas d’avis de réception au rôle Mailbox qui va resoumettre les messages.
Transport Dumpster Lorsque vous utilisez la technologie du DAG, le transport dumpster reçoit les informations de la file d’attente de réplication entre les bases pour déterminer quels sont les messages qui ont été remis et répliquées. Tant qu’un message n’est pas répliqué sur l’ensemble des bases de données du DAG, un exemplaire est conservé dans la file d'attente du hub-transport qui en assure la remise par sécurité.
!2/94
Exchange Server
16.
• • • • • • • • • •
sauvegardes
et
de
la
13.1 Pourquoi ne faut-il plus sauvegarder sous Exchange 2010 ? 13.2 Mise en place des boîtes aux lettres d’archive 13.3 Configuration de la rétention d’email 13.4 Configuration de la rétention de boite aux lettres 13.5 Mise en place du legal hold 13.6 Architecture du DAG 13.7 Mise en place d’une copie du DAG en décalée 13.8 Stratégie de sauvegarde 13.9 Restauration d’un serveur Exchange 2010 13.10 Outil de maintenance (eseutil.exe)
13.1 Pourquoi ne faut-il plus sauvegarder sous Exchange 2010 ? Le contexte de sauvegarde des services de messagerie est devenu extrêmement complexe ces dernières années avec l’augmentation significative des volumes de données à gérer. La sollicitation des serveurs, la durée des opérations et l’espace disque nécessaires sont des paramètres à ne pas négliger aussi bien dans l’élaboration des stratégies de sauvegarde que celles de restauration. On peut garder à l’esprit que la mise en place d’un plan de sauvegarde permet de répondre à deux types de besoins : •
•
Restauration suite à un sinistre naturel : Le serveur ou un disque dur tombe en panne, il faut tout restaurer pour remettre en production le système. Restauration suite à une erreur humaine : Un utilisateur supprime par erreur un email ou une boîte aux lettres et il faut restaurer spécifiquement cet élément sans toucher au reste du contenu en production.
Ainsi, même si les méthodes classiques de sauvegarde et de restauration sont toujours supportées sous Exchange 2010, Microsoft a préféré mettre à disposition des administrateurs et des utilisateurs une batterie de fonctionnalités et d’outils permettant d’éviter de plonger dans les processus de restauration couteux en temps et en stress.
!3/94
Exchange Server
On retrouve donc les fonctionnalités suivantes pour nous aider. •
•
•
•
•
•
•
Boîtes aux lettre d’archive : Les utilisateurs ne sont plus obligés de recourir aux fichiers d’archives locaux (fichiers .pst), ils peuvent maintenant sauvegarder leurs archives dans l’infrastructure Exchange. Rétention des emails : Même si les emails sont supprimés de la corbeille de la boîte aux lettres de l’utilisateur, il pourra les récupérer de manière autonome. Rétention légale (Legal Hold) : Si pour des raisons légales, le contenu d’une boîte aux lettres ne doit jamais être supprimé, un administrateur spécifiquement désigné pourra toujours le récupérer. Rétention des boîtes aux lettres : Si un utilisateur possédant une boîte aux lettres est supprimé, sa boîte aux lettres peut être réassociée à un autre utilisateur. Haute disponibilité avec le DAG : Si un disque ou un serveur tombe en panne, les réplicas de cette base prennent le relai et le service n’est pas arrêté. Copie décalée d’une base de données (DAG) : Si un contenu n’est plus disponible dans la base de données en production, il est possible de revenir à un état antérieur de la base sur un serveur dédié pour récupérer le contenu. Sauvegarde / Restauration : Si toutes ces solutions n’ont pas permis de récupérer ou de restaurer les données, il est toujours possible de s’appuyer sur les mécanismes classiques de sauvegarde et de restauration.
13.2 Mise en place des boîtes aux lettres d’archive Historiquement, le client Outlook a toujours limité la taill e des boites aux lettres d’Exchange à 2 Go puis 4 Go et maintenant 20Go pour pouvoir stocker le contenu de celles-ci dans son cache (fichier .ost). Avec ces limitations, les infrastructures ont vu proliférées des archives d’emails au format .pst sur les partages et les disques locaux des utilisateurs. Ces archives sortant la plupart du temps des circuits traditionnels de gestion des services informatiques posaient des problèmes importants d’archivages et de sécurités. Ainsi Microsoft permet, dans la version 2010 d’Exchange, d’ajouter une seconde boîte aux lettres à un compte utilisateur. Cette boîte dis « d’archivage » peut être stockée dans une autre base de données que la boîte aux lettres d’origine voir même dans les services cloud de Microsoft.
!4/94
Exchange Server
La boîte d’archive est disponible à partir de Outlook 2007, Outlook 2010 et Outlook Web Apps et ceci uniquement lorsque les clients sont connéctés au serveur Exchange (Pas de cache ni de mode hors connexion disponible).
Cette fonctionnalité n’est disponible qu’aux utilisateurs détenteurs d’une licence client Enterprise et doit être activée boîte aux lettres par boîte aux lettres.
!5/94
Exchange Server
13.3 Configuration de la rétention d’email La rétention d’email permet à l’utilisateur de récupérer de manière autonome le contenu qu’il aurait supprimé par erreur pendant une durée de 14 jours par défaut. Cette opération de récupération est disponible aussi bien via Outlook que Outlook Web Apps.
La configuration de la valeur par défaut est située au niveau des propriétés de la base de données.
Il est aussi possible de spécifier, dossier par dossier, une durée de rétention ainsi qu’une action au terme de cette durée (suppression, déplacement déplacement dans l’archive, …).
!6/94
Exchange Server
Les stratégies de rétention se configurent au niveau de l’organisation dans la gestion des boîtes aux lettres. Des règles de rétention sont alors créées puis associées à une stratégie de rétention. Cette stratégie est ensuite liée aux boîtes aux lettres selon leurs besoins. Une boîte aux lettres est liée à une seule stratégie de rétention.
!7/94
Exchange Server
13.4 Configuration de la rétention de boite aux lettres La rétention d’une boîte aux lettres permet de récupérer à partir du nœud Disconnected Mailbox une boîte ayant était éffacée ou dont l’utilisateur a été effacé. La boîte pourra être réafféctée à un autre utilisateur pendant une durée de 30 jours par défaut.
Il est possible de modifier cette valeur par défaut à partir des propriétés de la base de données.
Suite à une suppression, si la boîte aux lettres n’apparait pas dans le nœud Disconnected Mailbox, vous pouvez lancer la commande suivante :
Get-MailboxDatabase | Clean-MailboxDatabase
13.5 Mise en place du legal hold Le Legal hold permet d’empêcher la suppression définitive du contenu des boîtes aux lettres sur lequel il est activé. Ainsi même si les utilisateurs vident la corbeille et dépassent la durée de rétention, il sera toujours possible de récupérer les emails.
!!/94
Exchange Server
L’activation peut se faire via l’interface graphique dans le propriétés avancées de la boîte ou via la commande suivante :
Set-Mailbox "Loïc THOBOIS" –LitigationHoldEnabled $true Un administrateur spécifique devra ensuite être désigné (le compte administrateur n’a pas les droits par défaut) en étant ajouté au groupe Discovery Management (via le groupe Active Directory ou le rôle Exchange). Il est aussi possible de créer un nouveau rôle avec les autorisations Legal Hold et Mailbox Search si besoin. Une fois l’administrateur désigné, il devra à partir de la console ECP (Exchange Control Panel), créer une recherche dont les résultats seront stockés dans une boite aux lettres de découvertes.
La recherche pourra être basée sur les critères suivants : • • • • •
Mots clés dans le message Types de messages (Courrier, notes, contacts, …) L’émetteur ou les destinataires Une plage de dates Une liste de boïtes aux lettres
Il suffira ensuite de parcourir cette boïte pour retrouver les messages perdus.
13.6 Architecture du DAG Avec l’implémentation du système DAG pour protéger les bases de données contenant les boîtes aux lettres, l’infrastructure Exchange bénéficie non seulement d’un système hautement disponible mais aussi de mécanisme efficace de sauvegarde sans influer sur les performances des serveurs en productions. !9/94
Exchange Server
Les bases de données sous la tutelle du DAG sont ainsi répliquées sur différents serveurs afin de les protéger. Microsoft supporte le raidless à partir de 3 copies d’une base de données, ce qui permet d’avoir: • • •
1 serveur en production 1 serveur en panne (si la situation se présente évidement ?) 1 serveur de restauration (qui permettra de restaurer le serveur en panne sans que les performances du serveur en production ne soient altérées)
Ainsi l’infrastructure DAG permet des économies d’espace disque (pas de RAID disque), de performance et de temps. Il faut juste trois serveur …
13.7 Mise en place d’une copie du DAG en décalée Suite à l’implémentation d’un DAG, il est possible d’avoir une copie d’une base décalée dans le temps. Cette copie décalera l’intégration des journaux de transaction issue de la réplication et permettra de revenir à une version antérieure de la base. La configuration de la copie décalée se fait à l’aide de l’invite de commande Exchange Management Shell et de la commande Set-MailboxDatabaseCopy. Les paramètres à configurer sont -ReplayLagTime et -TruncationLagTime. Ils peuvent accepter 14 jours comme valeur maximum.
13.8 Stratégie de sauvegarde 13.7.1 Considrations our la sauve%arde
La sauvegarde dépend directement de la stratégie de restauration voulue. En effet, en fonction de ce qui est souhaité comme condition de restauration on implémentera une sauvegarde qui répond aux besoins.
9"/94
Exchange Server
Il est important d’utiliser pour le processus de sauvegarde un logiciel qui supporte les API de sauvegarde d’Exchange. Ainsi, les sauvegardes seront faites à chaud (utilisation du Shadow Copy) et les journaux de transactions seront supprimés en regard à la stratégie de sauvegarde choisie. 13.7.2 "-e de sauve%arde
Plusieurs types de sauvegarde sont disponibles sous Exchange 2010. Les critères déterminant le choix est basé principalement, sur le temps de sauvegarde et de restauration et la complexité des procédures. Plus court est la sauvegarde, plus long et complexe est la restauration. Plus court est la restauration, plus long et complexe sera la sauvegarde. •
•
•
•
•
?oplHte F "auvegarde à chaud du ,ichier .ed& de la &ase de données et suppression des ournaux de transaction. 'cr$e'tielle F "auvegarde uni)ue#ent les données #odi,iées depuis la derni8re sauvegarde en sauvegardant uni)ue#ent les nouveaux ournaux de transactions puis en les suppri#ant. Di$re'tielle F "auvegardes uni)ue#ent les ,ichiers ournaux ayant changés depuis la derni8re sauvegarde co#pl8te #ais ne les suppri#es pas. ?opie F A l(instar de la sauvegarde co#pl8te ce type de sauvegarde copie à chaud le ,ichier .ed& sans toucher aux ournaux de transaction. Au 'iveau des bri%ues F es sauvegardes au niveau des &ri)ues copient cha)ue #essage de cha)ue &o?te aux lettres. *ette sauvegarde est &eaucoup plus longue #ais per#et une restauration sélective uste un e#ail ou une &o?te/ plus rapide.
13.7.3 +onnes ; sauve%arder
Les paramètres de l’organisation Exchange sont stockés dans la partition configuration d’Active Directory. Ainsi le premier élément à sécuriser est Active Directory avec notamment la sauvegarde de l’état du système. Ensuite chaque rôle va nécessiter des paramètres de sauvegarde spécifique : Mailbox : les bases de données, … CAS : les certificats et les paramètres IIS, … … Il convient donc d’adapter la sauvegarde de ses serveurs à son architecture. 13.7.# Sauve%arde au orat S"
Exchange 2010 SP1 permet l’export des boîtes aux lettres directement en PST. Cette fonctionnalité permet la mise à disposition facile d’archives aux utilisateurs mais peu aussi permettre la mise en place d’une procédure de sauvegarde simplifiée pour les petites structures.
91/94
Exchange Server
Pour permettre l’export au format PST, il faut être membre du rôle Mailbox Import Export à l’aide des commandes EMS suivantes :
New-ManagementRoleAssignment AD\Administrator
–Role
“Mailbox
Import
Export”
–User
Ensuite il faut faire une demande d’export (l’export étant réalisé en asynchrone) :
New-MailboxExportRequest -Mailbox EXCH\ExportsPST\Administrator.pst"
Administrator
-FilePath
"\\EGILIA-
Vous pouvez vérifier l’état puis supprimer les requêtes d’export à l’aide des commandes suivantes :
Get-MailboxExportRequest | Get-MailboxExportRequestStatistics Get-MailboxExportRequest | Remove-MailboxExportRequest Si vous souhaitez faire un export de l’ensemble de vos boîtes aux lettres, vous pouvez utiliser le script suivant :
foreach ($i in (Get-Mailbox)) { New-MailboxExportRequest -Mailbox $i -FilePath "\\ EGILIA-EXCH \ ExportsPST \$($i.Alias).pst" }
13.9 Restauration d’un serveur Exchange 2010 13..1 9estauration ar ortabilit des bases
La portabilité des bases de données permet de déplacer des bases de données de boîtes aux lettres entre serveurs de boîtes aux lettres et de les monter sans modifier leur configuration ou celle des serveurs. Pour déplacer une base de données de boîtes aux lettres vers un autre serveur : • • • •
E,,ectuer une récupération logicielle au niveau de la &ase de données *réer la &ase de données de destination sur le nouveau serveur Déplacer les ,ichiers de &ase de données et #onter la &ase de données Recon,igurer les &o?tes aux lettres des utilisateurs
13..2 9curation de la tonalit
La taille d’une base de données pouvant être très importante, devoir restaurer celle-ci peut s’avérer trop long dans le processus de remise en production du système de messagerie. On procède donc à une remise en ligne progressives des services. La récupération de tonalité consiste ainsi à implémenter l'accès aux services de messagerie sans restaurer les données dans les boîtes aux lettres des utilisateurs.
92/94
Exchange Server
Les avantages de la récupération de tonalité sont : •
•
Per#et aux utilisateurs d'envoyer et de recevoir du courrier électroni)ue le plus rapide#ent possi&le apr8s la perte d'une &ase de données ou d'un serveur. ne &ase de données de tonalité peut -tre ,usionnée avec la &ase de données récupérée en une &ase de données de &o?tes aux lettres uni)ue et actualisée.
Procédure de récupération de la tonalité : • •
• •
*réer la &ase de données de tonalité. "i nécessaire con,igurer les &o?tes aux lettres )ui se trouvaient dans la &ase de données dé,aillante de ,aXon à utiliser la nouvelle &ase de données de tonalité. Restaurer les &ases de données dé,aillantes à partir d'une sauvegarde. Yusionner les données des deux &ases de do nnées.
13..3 9estauration artielle d,une base de donnes
Pour restaurer un contenu précis, il est nécessaire de restaurer le contenu de la sauvegarder, puis de l’importer dans une base de données dédiée appelée «Base de donnée de récupération». Cette opération est bien évidement couteuse en espace disque car il faut stocker le contenu de la sauvegarde « à coté » de la base en production. Pour créer une base de données de récupération :
New-MailboxDatabase -Recovery dbname –Server servername Pour restaurer une boîte aux lettres :
Restore-Mailbox -Identity user –RecoveryDatabase dbname 13.9.4 Récupération d’urgence d’un serveur Si le serveur Exchange complet est défaillant, il est nécessaire de restaurer sa configuration à partir des informations stockées dans Active Directory. Pour cela il faut, dans un premier temps, réinstaller le serveur 64 Bits, puis pour réinstaller le serveur Exchange 2010 en utilisant la commande setup /m :RecoverServer. A l’aide de cette commande, les informations de configuration du serveur Exchange 2010 seront récupérées dans AD. Attention néanmoins à redonner le même nom au serveur lors de la réinstallation de Windows Server.
93/94