Configuration et gestion d’Exchange 2010 (v5.60)
Tutorial conçu et rédigé par Michel de CREVOISIER
ARTICLES ASSOCIES 1. 2. 3. 4.
Installation d’Exchange 2010 (lien) Configuration et gestion d’Exchange 2010 (lien) Outils pour Exchange 2010 (lien) Haute-disponibilité sous Exchange 2010 (lien)
SOURCES Configuration d’Exchange 2010 : http://mtodorovic.developpez.com/tutoriels/windows/installation-configuration-exchange-2010/ http://www.servolutions.com/fr/support/config_exchange_2010.htm
INDEX 1.
2.
3.
4.
5.
6.
Configuration DNS du registrar .................................................................................................................. 4 1.1
Accès à OWA et Outlook Anywhere (A) ............................................................................................... 4
1.2
Serveur mail (MX) ................................................................................................................................ 4
1.3
Autodiscover (A) .................................................................................................................................. 4
1.4
Solution alternative (CNAME) ............................................................................................................. 4
1.5
Protection antispam (TXT) ................................................................................................................... 5
Configuration du pare-feu .......................................................................................................................... 6 2.1
Accès à Outlook Anywhere et OWA : 443............................................................................................ 6
2.2
SMTP et authentification TLS : 25 et 587 ............................................................................................ 6
2.3
Ports utilisés par Exchange .................................................................................................................. 6
Configuration des bases de données ......................................................................................................... 7 3.1
Caractéristiques et fonctionnement ................................................................................................... 7
3.2
Création d’une base de données ......................................................................................................... 7
3.3
Gestion des fichiers de transactions.................................................................................................... 9
Gestion des boîtes aux lettres .................................................................................................................. 10 4.1
Types de boîtes aux lettres ................................................................................................................ 10
4.2
Création d’un compte de messagerie utilisateur .............................................................................. 10
4.3
Création automatisée de boîtes aux lettres ...................................................................................... 12
4.4
Quotas de boîtes aux lettres ............................................................................................................. 15
4.5
Suppression de boîtes aux lettres ..................................................................................................... 16
4.6
Déplacement de boîtes aux lettres ................................................................................................... 16
4.7
Nettoyage des BAL déconnectées ..................................................................................................... 17
Configuration de la fonctionnalité « Autodiscover » .............................................................................. 18 5.1
Présentation ...................................................................................................................................... 18
5.2
Fonctionnement ................................................................................................................................ 18
5.3
Configuration ..................................................................................................................................... 19
5.4
Vérifications ....................................................................................................................................... 19
5.5
Création d’une zone DNS supplémentaire ........................................................................................ 20
5.6
Test avec Outlook 2010 ..................................................................................................................... 20
Configuration d’Outlook Web App ........................................................................................................... 22 6.1
Configuration ..................................................................................................................................... 22 2
6.2
Authentification................................................................................................................................. 23
6.3
Historique des écrans d’accueil OWA ............................................................................................... 24
7.
Configuration d’Outlook Anywhere ......................................................................................................... 26 7.1
Configuration côté serveur ................................................................................................................ 26
7.2
Vérifications ....................................................................................................................................... 28
7.3
Configuration de la messagerie ......................................................................................................... 28
8.
Nom de domaine et approbation ............................................................................................................. 30 8.1
Ajout d’un nouveau domaine ............................................................................................................ 30
8.2
Création d’une stratégie de nom....................................................................................................... 30
8.3
Vérification de la stratégie ................................................................................................................ 33
9.
Configuration des connecteurs ................................................................................................................ 34 9.1
Fonctionnement général ................................................................................................................... 34
9.2
Connecteur d’envoi ........................................................................................................................... 34
9.3
Connecteurs de réception ................................................................................................................. 39
10.
Création et assignation d’un certificat ................................................................................................. 42
10.1
Génération d’une demande de certificat .......................................................................................... 42
10.2
Installation d’une autorité de certification (CA)................................................................................ 45
10.3
Création d’un modèle de certificat.................................................................................................... 45
10.4
Génération du certificat .................................................................................................................... 45
10.5
Importation du certificat ................................................................................................................... 46
10.6
Affectation de services au certificat .................................................................................................. 47
10.7
Création d’une GPO pour délivrer le certificat .................................................................................. 47
10.8
Vérification et test ............................................................................................................................. 48
11.
Optimisations ........................................................................................................................................ 49
11.1
Déplacement de la base de données et des journaux de transactions ............................................. 49
11.2
Déplacement des files d’attentes ...................................................................................................... 49
11.3
Déplacement des logs ....................................................................................................................... 51
11.4
Spécifications des serveurs AD et GC ................................................................................................ 51
11.5
Résolution externe de noms.............................................................................................................. 52
12. 12.1
Sécurité.................................................................................................................................................. 53 Activation du chiffrement SSL sur Anywhere .................................................................................... 53
Conclusion ......................................................................................................................................................... 53
3
1. Configuration DNS du registrar Avant de se lancer dans la configuration proprement dite d’Exchange, il est nécessaire de créer les enregistrements listés à la suite depuis l’interface web de votre registrar (cela suppose bien évidemment que vous ayez acquis au préalable un nom de domaine).
1.1 Accès à OWA et Outlook Anywhere (A) Ces enregistrements permettent d’accéder à OWA (point 6) et Outlook Anywhere (point 7) depuis l’extérieur. Hostname : mail.domaine-registrar.com
Record type : A
Data : X.X.X.X (public IP)
1.2 Serveur mail (MX) Cet enregistrement permet d’indiquer vers où doivent être redirigés les mails pointant vers votre domaine : Hostname : domaine-registrar.com Record type : MX 10
Data : X.X.X.X (public IP)
1.3 Autodiscover (A) Afin d’utiliser cette fonctionnalité présentée au point 5, il est nécessaire de rajouter une entrée de type A. Cela dit, elle n’est pas nécessaire si vous utilisez la méthode décrite au point 1.4. Hostname : autodiscover.domaine-registrar.com
Record type : A
Data : X.X.X.X (public IP)
1.4 Solution alternative (CNAME) Cette solution a pour avantage de n’avoir recours qu’à une seule entrée de type A tout en limitant le nombre d’enregistrements associés à votre nom de domaine. La solution consiste donc à utiliser une entrée de type CNAME pour l’accès au Webmail et Outlook Anywhere ainsi qu’une entrée de type A pour votre nom de domaine. En résumé : Host
Type
Data (Public IP)
mail.domaine-registrar.com
A CNAME
domaine-registrar.com
MX 10
domaine-registrar.com
domaine-registrar.com domaine-registrar.com
4
1.5 Protection antispam (TXT) Afin de limiter un afflux massif de spam, certains fournisseurs obligent de créer un enregistrement SPF (Sender Policy Framework) de type TXT. Ce dernier permet d’indiquer quelles IP sont autorisées à envoyer du courrier pour le ou les domaines en question : Host : domaine-registrar.com
Record type : TXT
Data : "xxxxxx"
Vous pouvez utiliser ce site pour compléter votre enregistrement et ce site pour vérifier si votre champ SPF a été correctement saisi. Par ailleurs, vous pouvez consulter ce site pour savoir si votre serveur mail n’est pas « blacklisté ». Vous trouverez ci-dessous un schéma résumant le fonctionnement de cet enregistrement. Sachez qu’il existe également un autre modèle de protection nommé DKIM.
5
2. Configuration du pare-feu
2.1 Accès à Outlook Anywhere et OWA : 443 Pour que ces deux fonctionnalités soient accessibles depuis l’extérieur, il est nécessaire d’ouvrir le port 443 en entrée et de le rediriger vers votre serveur CAS.
2.2 SMTP et authentification TLS : 25 et 587 Pour recevoir les mails de l’extérieur, il est nécessaire d’ouvrir le port 25 (SMTP) en entrée et de rediriger ces flux vers votre serveur CAS. Par ailleurs, si votre fournisseur requiert une authentification TLS pour l’envoi (point 9.2.3), il sera nécessaire d’ouvrir le port 587 (TLS).
2.3 Ports utilisés par Exchange Vous trouverez ici l’ensemble des ports internes utilisés par Exchange dans l’ensemble de ses rôles et services.
6
3. Configuration des bases de données 3.1 Caractéristiques et fonctionnement L’ensemble des boîtes aux lettres est stocké dans une base de données d’extension « EDB ». Microsoft recommande de ne pas dépasser les 2 To pour celle-ci, même si sa taille maximale est de 16 To. En complément de la base de données existe un certain nombre d’autres fichiers : *.log : fichier journal de transaction (2) *.chk : fichier moteur de transaction (5) *.jrs : fichiers temporaires de mémoire tampon (4) *.edb : fichier de la base de données Le schéma ci-dessous représente le traitement d’un mail :
3.2 Création d’une base de données Lors de son installation, Exchange créait automatiquement une base de données. Néanmoins nous allons voir comment en créer une nouvelle depuis la console : Allez dans Organization Configuration > Mailbox Dans l’aparté de droite, cliquez sur New Mailbox Database
7
Indiquez le nom de la base de données ainsi que le serveur l’hébergeant :
Indiquez ensuite l’emplacement de la base de données et des fichiers de logs
8
En général, il convient de stocker la base de données sur des disques durs performants de type SAS en RAID 5 et les fichiers de logs sur des disques de hautes capacités de type SATA en RAID 5. Il convient également de créer au moins deux bases de données : une base de données « utilisateurs VIP » disposant d’une capacité de stockage importante et une base de données « utilisateurs normaux » disposant d’une capacité inférieure.
3.3 Gestion des fichiers de transactions La méthode décrite précédemment (point 3.1) permet de garantir l’intégrité des données afin de pouvoir restaurer la totalité des mails en cas de crash. En revanche, elle nécessite une quantité d’espace disque importante. Si vous mettez en place un serveur de test ou que vous ne souhaitez pas offrir la possibilité de restauration totale, pour pouvez activer la Journalisation des logs circulaire qui limitera l’espace d’enregistrement circulaire à 5Mb : Allez dans Organization Configuration > Mailbox Clic droit sur votre base de données Onglet Maintenance Cochez la case Enable circular logging
9
4. Gestion des boîtes aux lettres 4.1 Types de boîtes aux lettres Il existe différents types de boîtes aux lettres : User mailbox : boîte classique pour un utilisateur Room mailbox : permet de réserver des salles de réunion (info ici) Equipment mailbox : permet de réserver des équipements (ex : vidéoprojecteurs) Linked mailbox : permet d’associer une adresse mail avec un compte situé par exemple dans une forêt différente (info ici) Autodiscover : permet d’activer la recherche d’un mail depuis les boîtes aux lettres (info ici)
4.2 Création d’un compte de messagerie utilisateur
Allez dans Recipient Configuration > Mailbox Dans l’aparté de droite, cliquez sur New Mailbox. L’écran ci-dessous apparaît :
Cliquez sur User Mailbox et indiquez l’utilisateur concerné en cliquant sur Add :
10
Remplissez ensuite l’alias, sachant que ce dernier sera le mail définitif de votre utilisateur (il peut être différent du nom d’utilisateur). Vous pouvez également choisir dans quelle base de données sera sauvegardé cette boîte mail
Félicitions, vous venez de créer votre premier utilisateur !
11
4.3 Création automatisée de boîtes aux lettres 4.3.1 Autorisations supplémentaires Pour importer et créer automatiquement une liste d’adresses mails à partir d’un fichier CSV, vous devez être membre d’un RBAC disposant de droits particuliers. Pour cela : Depuis la console Exchange, allez dans l’aparté ToolBox > Role Base Access Control (RBAC) User Editor
Cliquez sur l’icône RBAC. Votre navigateur s’ouvrira et vous demandera de vous authentifier afin d’accéder à l’ECP (Exchange Control Panel) Cliquez sur Nouveau et remplissez les informations demandées
Dans Rôles, cliquez sur Ajouter et cherchez le groupe MailBox Import Export
12
Dans la partie Membres, ajoutez l’utilisateur AD qui fera partie de ce groupe. Pour cela cliquez sur Ajouter et indiquez l’utilisateur concerné Cliquez sur Enregistrer
Votre utilisateur possède maintenant les autorisations nécessaires à la création automatisée de boîtes mails
4.3.2 Création du tableau et saisie des données
Créez un fichier Excel classique ayant pour intitulé de colonne les noms suivants (attention, certains champs servent uniquement à la génération d’autres champs) : o LastName o FirstName o Domaine o Alias (début adresse mail) o UPN (nom d’utilisateur AD :
[email protected]) o DisplayName (Nom affiché) o UO (Unité d’Organisation où seront enregistrés les utilisateurs) o Database o PSW (mot de passe par défaut, changement lors de la première ouverture de session) Remplissez ensuite ce fichier et enregistrez-le en tant que fichier CSV
13
4.3.3 Changement du séparateur pour les fichiers CSV Par défaut, l’exportation en fichier CSV depuis Excel est faite avec des points-virgules. Hors le séparateur reconnu par Exchange est la virgule. Il faut donc modifier les paramètres linguistiques de votre système pour que votre fichier CSV soit exporté avec des « , ». Cela dit, je les ai changés et l’exportation continue de se faire avec des « ; ».
Conclusion : une fois exporté en CSV, ouvrez votre fichier avec votre Notepad favori et faites « CTRL+H » pour remplacer tous les « ; » par des « , ».
4.3.4 Script
Une fois votre fichier CSV prêt, copiez-le sur votre serveur Exchange Exécutez ensuite la commande suivante depuis la console EMS :
Import-Csv file.csv | ForEach { New-Mailbox –Alias $_.Alias –Name $_.DisplayName – OrganizationalUnit $_.UO –FirstName $_.FirstName -LastName $_.LastName -UserPrincipalName $_.UPN –Database $_.Database –Password (ConvertTo-SecureString $_.PSW -AsPlainText -Force) – ResetPasswordOnNextLogon $True } 14
Et voici le résultat :
Il est bien évidemment possible d’ajouter d’autres paramètres. Pour cela je vous invite à consulter la syntaxe de la commande New-Mailbox ici
4.3.5 Erreurs Si votre fichier CSV contient comme séparateur des « ; » au lieu des « , », voici l’erreur que rencontrerez :
4.4 Quotas de boîtes aux lettres Vous pouvez définir une limite de taille des boîtes aux lettres au niveau de la base de données. Pour cela : Allez dans Organization Configuration > Mailbox Clic droit sur votre base de données Onglet Limites Vous pouvez alors indiquer les différentes actions possibles lorsqu’un certain seuil est atteint, et en parallèle programmer l’envoi d’un mail d’avertissement :
15
4.5 Suppression de boîtes aux lettres Si vous souhaitez supprimer une boîte aux lettres, deux solutions sont possibles : La désactiver (clic droit > Disable) : dans ce cas elle sera déplacée dans le dossier « Disconnected mailbox » La supprimer (clic droit > Delete) : dans ce cas la boîte et l’utilisateur AD seront supprimés
4.6 Déplacement de boîtes aux lettres Pour déplacer une boîte aux lettres d’une base de données vers un autre : Sélectionnez la boîte et dans l’aparté de droite cliquez sur New Local Move Request
L’assistant se lance. Indiquez alors la base de données vers laquelle vous souhaitez la déplacer :
Une fois l’assistant terminé, la boîte apparaitra dans Recipient Configuration > Move Request. Faites un clic droit sur celle-ci puis Clear pour effacer le journal
Le déplacement d’une boîte peut s’avérer être une opération très longue. Sous Exchange 2003 et 2007, la boîte était indisponible durant la totalité du déplacement. Depuis Exchange 2010, l’utilisateur peut continuer à utiliser sa boîte mail sans interruption. Notez également que le déplacement se fait via le protocole IMAP. Source 16
4.7 Nettoyage des BAL déconnectées Si vous souhaitez lister les BAL déconnectée, exécutez la commande suivante à partir de l’EMS : Get-MailboxStatistics -Database "
" | where-object { $_.DisconnectDate -ne $null } | Select DisplayName,MailboxGuid Vous pouvez également supprimer une BAL déconnectée à l’aide de la commande suivante : Remove-StoreMailbox -Database """ -Identity «
17
5. Configuration de la fonctionnalité « Autodiscover » 5.1 Présentation Autodiscover est un service Web représenté par un « Virtual Directory » sous IIS qui permet de : Configurer automatiquement les paramètres des profils Outlook pour les nouveaux utilisateurs Fournir l’accès à Exchange pour les périphériques mobiles tels qu’Android, iPhone ou Windows Phone Fournir l’accès à Exchange pour les périphériques anciens fonctionnant via Active Sync, à savoir Windows Mobile 6.x et Pocket PC
Fonctionnellement, un objet Active Directory de type SCP (Service Connection Points) est créé dans l’Active Directory. Cet objet contient et publie la liste de toutes les URL du service de découverte automatique : URL d’OWA URL du service de disponibilité URL d’absence du bureau URL du carnet d’adresses en mode hors connexion URL du service de messagerie unifiée URL du panneau de configuration Exchange (ECP)
5.2 Fonctionnement Depuis l’intranet, la découverte se fait via l’enregistrement SCP (source) :
18
Depuis internet, la découverte se fait respectivement via ces deux URL : 1. https://domaine-registrar.com/autodiscover/autodiscover.xml 2. https://autodiscover.domaine-registrar.com/autodiscover/autodiscover.xml
5.3 Configuration Par défaut, l’accès pointe vers https://SRV-MAIL.domaine-AD.com/autodiscover/autodiscover.xml. Cependant il est nécessaire de modifier cet enregistrement afin de rendre le service accessible aussi bien depuis l’intérieur que depuis l’extérieur. Pour cela :
Ouvrez la console EMS Exécutez la commande ci-dessous. Après quoi vous devrez exécuter la commande « IISreset » depuis une console CMD sur votre serveur Exchange pour prendre en compte la nouvelle URL : Set-ClientAccessServer -Identity VotreServeurCAS -AutoDiscoverServiceInternalUri https://autodiscover.domaine-registrar/autodiscover/autodiscover.xml
5.4 Vérifications Pour obtenir l’URL du service Autodiscover, exécutez la commande suivante : Get-ClientAccessServer | fl -p Name,*uri* Tapez la commande suivante pour vérifier le bon fonctionnement d’un utilisateur en particulier : Test-OutlookWebServices -identity
19
5.5 Création d’une zone DNS supplémentaire Maintenant que vous avez configuré l’adresse Autodiscover avec un lien du type https://autodiscover.domaine-registrar/autodiscover/autodiscover.xml, vous allez pouvoir ouvrir Outlook et vérifier le bon fonctionnement de ce service. Cela-dit, vous remarquerez que nous avons configuré l’URL en utilisant le nom de domaine fourni par votre registrar. Hors ce dernier n’est pas connu par votre DNS interne. Par conséquent lorsque vous lancerez Outlook pour la première fois, vous vous heurterez à l’erreur 80070057. Pour résoudre ce problème, vous devrez créer une zone supplémentaire dans votre AD. Cette dernière portera le nom du domaine fourni par votre registrar et contiendra une entrée de type A pointant vers l’IP interne de votre serveur Exchange. Cette configuration servira également la fonctionnalité Outlook Anywhere (point 7).
5.6 Test avec Outlook 2010
Récupération automatique de l’utilisateur et de l’adresse mail :
20
Si vous n’avez pas encore configuré de certificat (point 10), il est normal que le message suivant apparaisse :
Patientez ensuite quelques instants avant de voir ce message s’afficher :
Votre messagerie Outlook est dorénavant opérationnelle !
21
6. Configuration d’Outlook Web App Outlook Web App, anciennement Outlook Web Access, permet d’accéder à votre compte Exchange depuis votre navigateur. Par défaut, il est accessible via les adresses suivantes : https://srv-mail.domaine-AD/owa https://srv-mail/owa
6.1 Configuration
Allez dans Server Configuration > Client Access Dans l’aparté en bas, cliquez droit sur OWA > Properties
Indiquez alors les URL interne et externe d’OWA (il convient d’indiquer la même URL du point 1.1 pour les 2 sites) :
22
6.2 Authentification Il également possible de modifier le type d’authentification. L’option « user name only » permet quant à elle de s’abstenir du nom de domaine étant donné qu’il est indiqué en « dur » dans la configuration :
Attention ! Après avoir modifié l’un de ses paramètres, il sera nécessaire d’exécuter la commande iisreset /noforce sur votre serveur Exchange. Cela dit, et à plusieurs reprises, je me suis retrouvé avec le webmail planté….
23
6.3 Historique des écrans d’accueil OWA A titre d’illustration, vous trouverez à la suite les écrans d’accueil respectifs d’Exchange 2003, 2007 et 2010 :
24
25
7. Configuration d’Outlook Anywhere Cette fonctionnalité permet aux clients extérieurs de se connecter à la messagerie interne depuis Outlook sans établir de connexion VPN. Concrètement, l’ensemble du trafic MAPI est encapsulé dans connexion sécurisée de type « RPC over HTTPS » (également ancien nom de cette fonctionnalité sous Exchange 2003). Source
7.1 Configuration côté serveur 7.1.1 Via l’assistant graphique Pour activer cette fonctionnalité : Allez dans Server Configuration > Client Access Dans l’aparté à droite, cliquez sur Enable Outlook Anywhere
Indiquez ensuite le nom d’hôte externe (utilisez le même nom qu’au point 1.1) et choisissez le type d’authentification souhaitée : o Basic : les identifiants d’accès sont demandés à chaque reprise et sont envoyés en clair. Si ce choix est retenu, il est recommandé d’activer le chiffrement SSL sur le répertoire virtuel IIS (point 12.1) o NTLM : cette option utilise le protocole NTLM pour authentifier les utilisateurs. De ce fait il n’est pas nécessaire de renseigner les identifiants pour se connecter à Exchange. Hélas, ce protocole est très souvent bloqué par les pare-feu. Aussi, il est recommandé de mettre en place un serveur TMG ou Forefront. Une procédure est disponible ici
26
L’option « Allow secure channel (SSL) offloading » permet d’accélérerez les étapes de chiffrement/déchiffrement avec un « accélérateur SSL » (source).
Une fois l’assistant terminé, vous devrez attendre 15 minutes avant qu’Outlook Anywhere soit totalement actif. Vous pouvez toutefois accélérer ce processus en redémarrant le service « Microsoft Exchange Active Directory Topology »
27
7.1.2 En PowerShell Pour activer et configurer OWA en PowerShell, exécutez la commande suivante (Source) : Enable-OutlookAnywhere -Server '' -ExternalHostname ‘' -DefaultAuthenticationMethod 'Basic' -SSLOffloading $false Pour récupérer la configuration actuelle d’OWA (Source) : Get-OutlookAnywhere -Server
7.2 Vérifications Pour vérifier la connectivité avec OWA depuis votre serveur CAS (Source) : Test-OutlookConnectivity -Protocol:Http -GetDefaultsFromAutoDiscover:$true –verbose Vous pouvez également utiliser l’outil ExRCA présenté au point 13.2.2.
7.3 Configuration de la messagerie
Allez dans Fichier > Paramètres du compte > Paramètres du compte
Double clic sur votre compte Exchange > Paramètres supplémentaires > Connexion et cochez la case sous Outlook Anywhere
28
Cliquez ensuite sur Paramètres proxy Exchange En URL, saisissez l’adresse renseignée au point 1.1. Indiquez ensuite le type d’authentification définie auparavant, sachant que l’authentification de base ne supporte pas le SSL
Les cases à cocher « Sur des réseaux … » donnent priorité à l’utilisation d’une connexion « RPC over HTTPS » au lieu d’une connexion MAPI, même en étant connecté au réseau local.
29
8. Nom de domaine et approbation En règle générale, le nom obtenu auprès de votre registrar est différent de votre domaine Active Directory. Vous allez donc d’un côté avoir des adresses en « [email protected] » et de l’autre des adresses en « [email protected] ». Il va donc falloir configurer Exchange pour approuver ce nouveau nom de domaine, car autrement aucun email ne pourra outrepasser ce filtre. Pour ajouter un domaine approuvé :
8.1 Ajout d’un nouveau domaine
Allez dans Hub Transport > Accepted domains Cliquez sur New accepted domain
Définissez ensuite ce nouveau domaine comme celui par défaut : Clic droit > Set as default
8.2 Création d’une stratégie de nom Maintenant que vous avez approuvé ce nouveau nom de domaine, il est nécessaire de créer une stratégie permettant de convertir vos adresses au format « [email protected] ». Pour cela : Allez dans Hub Transport > E-mail address policies Cliquez sur New E-mail address policy La fenêtre ci-dessous s’ouvre :
30
Notez qu’il est possible de filtrer par OU les objets affectés par cette stratégie en cliquant sur Browse
Vous pouvez également indiquer ici d’autres critères de restriction :
Une fois arrivé à cette fenêtre, cliquez sur Add
31
Ensuite cliquez sur Browse et indiquez le domaine sur lequel vous souhaitez appliquer votre stratégie (en l’occurrence « domaine-registrar.com ») :
32
Exécutez la tâche immédiatement :
8.3 Vérification de la stratégie Nous allons maintenant vérifier que les utilisateurs existants ont bien reçu le nouveau nom de domaine via la stratégie créée : Allez dans Recipient Configuration > Mailbox Double clic sur un utilisateur existant > Onglet E-mail addresses Vous devriez constater alors la présence de 2 adresses mails : o « [email protected] » en gras (adresse utilisée par défaut) o « [email protected] » Si c’est le cas, votre stratégie a bien fonctionné
33
9. Configuration des connecteurs 9.1 Fonctionnement général Les « connecteurs » sont des éléments clefs au sein d’Exchange car ils permettent l’envoi et la réception des mails. En vulgarisant, on peut comparer les « connecteurs » aux protocoles POP et SMTP présents dans les paramètres des clients de messagerie classique.
9.2 Connecteur d’envoi 9.2.1 Création d’un connecteur Internet Pour créer un connecteur d’envoi vers internet (Source): Allez dans Organization Configuration > Hub Transport Dans l’aparté de droite, cliquez sur New send connector et choisissez les options comme cidessous :
34
Cliquez sur Add
Dans Address, indiquez un domaine en particulier ou bien insérez le champ « * » pour autoriser l’envoi vers tous les domaines. Vous pouvez également indiquer un coût dans le cas où vous souhaitez effectuer du routage de mails avec plusieurs connecteurs
Attention ! Pour la suite deux possibilités vous sont offertes : 9.2.2 Méthode d’envoi simple Pour envoyer directement vos mails sans les faire transiter par un serveur SMTP en particulier, optez pour l’option Use domaine name system (DNS) "MX". Cela dit, cette solution est déconseillée dans la mesure où votre IP pourrait être considérée comme source de « spam ». C’est pourquoi il vaut mieux utiliser la solution du point suivant.
35
Il est également recommandé de cocher la case Use the external DNS lookup. Plus de détails au point 11.5.
9.2.3 Méthode d’envoi avancée De plus en plus de FAI obligent leurs clients à s’authentifier afin de limiter l’afflux massif de SPAM. Si c’est votre cas, suivez comme suit : Choisissez l’option Route mail throught… et cliquez sur Add
Indiquez alors le nom du serveur mail de votre fournisseur (smtp.ovh.net, smtp.orange.fr, smtp.free.fr, …) :
36
Au menu suivant, configurez les paramètres d’authentification fournis par votre fournisseur. Dans le cas d’une authentification TLS, pensez à ouvrir le port 587 sur votre pare-feu comme indiqué au point 2.2
*********************************
37
A l’étape suivante, ajoutez le ou les serveur(s) HUB de transport permettant l’envoi d’email :
Pour terminer, validez la création du connecteur et vérifiez que votre connecteur d’envoi a bien été créé dans l’onglet Send connectors :
9.2.4 Notes importantes concernant l’envoi
Les SMTP de Free « routent » tout dans la limite de 200 mails et connexions par jours Votre Freebox bloque par défaut l’envoi de mail à partir du port 25 (option modifiable) afin de limiter les sources de « spam »
Il est possible d’utiliser l’authentification SMTP à condition de disposer d’un compte mail chez Free. Vous devrez ensuite vous connecter à l’aide de ce compte (pas votre numéro de ligne) pour activer l’option « Gestion du SMTP authentifié ». Toutefois, cette authentification n’est pas nécessaire si votre FAI est Free.
38
9.3 Connecteurs de réception 9.3.1 Fonctionnement Pour visualiser les connecteurs de réception créés par défaut (source) : Allez dans Server Configuration > Hub Transport Deux connecteurs sont alors présents :
Le connecteur « Client » autorise les communications sur le port 587 pour les clients non MAPI, tels que POP et IMAP. Quant au second, il permet la communication à partir de serveurs de transport sur le port 25.
9.3.2 Réception des mails extérieurs Pour permettre la réception de mails provenant d’internet, il est nécessaire de créer un nouveau connecteur. Pour cela : Allez dans Server Configuration > Hub Transport Cliquez sur New receive connector
39
Indiquez le port à utiliser (25 par défaut). Attention, certains fournisseurs ont tendance à utiliser un autre port pour des raisons de sécurité. Par ailleurs, il convient d’indiquer l’IP de votre serveur Exchange dans local IP address
Une fois l’assistant terminé, ouvrez les propriétés du connecteur et dans l’onglet Permission groups, cochez la case Anonymous. Décochez les autres pour terminer.
40
9.3.3 Ajout d’un connecteur pour équipements spécifiques Vous pouvez également autoriser certains équipements spécifiques (serveurs, switchs, …) à envoyer des mails via votre serveur Exchange. Pour cela exécutez la commande suivante : new-ReceiveConnector -Name ' -Usage 'Client' -RemoteIPRanges '192.168.0.1/32','192.168.0.2/32' -Server '' Une fois le connecteur créé, pensez à vérifier que votre équipement supporte bien l’envoi sur le port 587. Dans le cas contraire, il faudra modifier graphiquement votre connecteur afin de spécifier le port 25. Il se peut également que deviez créer une règle sur le pare-feu du serveur afin d’autoriser le trafic entrant sur ce port. De plus, il faudra autoriser les « utilisateurs anonymes » pour ce connecteur. Source
41
10.
Création et assignation d’un certificat
Lors de l’installation de votre serveur Exchange, ce dernier va créer un certificat auto-signé. De ce fait, en vous connectant à OWA (et d’autres services également) vous recevrez le message d’erreur suivant :
Ceci est simplement dû au fait que votre certificat n’a pas été délivré par une autorité de certification approuvée. Pour parer à ce problème, vous avez le choix entre acquérir un certificat (payant) ou créer votre propre autorité de certification (gratuit). Et c’est donc ce que nous allons faire par la suite
10.1
Génération d’une demande de certificat
Allez dans Server configuration > SRV-MAIL > New exchange Certificate
Indiquer un nom pour votre certificat
42
Remplissez ensuite les noms que vous voulez « certifier » :
Client Access Server (OWA) o OWA on the intranet MAIL.domaine-registrar.com Domaine-AD (englobe MAIL.domaine-AD.com et FQDN interne serveur-mail MAIL (si CNAME créé sur DNS interne) o OWA on the internet MAIL.domaine-registrar.com CAS (Active Sync) o MAIL.domaine-registrar.com (on considère l’accès mobile uniquement via internet) CAS (Web Services, Outlook Anywhere, Autodiscover) o MAIL.domaine-registrar.com Autodiscover o Autodisover.domaine-registrar.com
43
o Autodisover.domaine-AD.com ************************** Indiquez ensuite le nom de domaine à utiliser par défaut. Ce dernier servira également à identifier votre certificat dans vos magasins :
Remplissez ensuite les informations demandées et cliquez sur Browse pour indiquer l’emplacement du fichier de requête :
Une fois terminé, vous obtenez un fichier *.req 44
10.2
Installation d’une autorité de certification (CA)
L’installation du rôle ADCS (Active Directory Certification Services) n’est pas détaillée ici. En revanche,
elle est expliquée au sein de mon tuto intitulé « VPN SSTP sous Server 2008 R2 (tuto de A à Z) » disponible sur Scribd (rendez-vous directement au point II et optez pour une autorité de type Enterprise).
10.3
Création d’un modèle de certificat
Ouvrez le gestionnaire de serveur où se trouve installé le rôle ADCS :
Dans Certificate Template, clic droit sur modèle Web Server > Duplicate Template > Windows Server 2003 Enterprise > OK Indiquez ensuite un nom et une période de validité :
OK Clic droit sur votre nouveau modèle > Reenroll all certificate holders Ensuite, déroulez le menu portant le nom de votre CA puis faites un clic droit sur Certificate Templates > New certificate template to issue et indiquez le modèle créait auparavant (celui qui a été dupliqué)
10.4
Génération du certificat
Une fois votre modèle prêt, dirigez-vous sur le site ADCS afin d’effectuer la demande de certificat (http://SRV-ADCS/certsrv/en-us):
45
Allez dans Request a certificate > Advanced certificate request > Submit a certificate […]
Dans la partie haute du formulaire, collez le contenu du fichier *.req généré au point 10.1. Dans le menu déroulant, choisissez le modèle de certificat créé auparavant Cliquez sur Submit puis Download certificate. Indiquez alors l’emplacement où sera stocké votre certificat
10.5
Importation du certificat
Maintenant que votre certificat est créé, il est nécessaire de l’importer sous Exchange. Pour cela : Allez dans Server configuration > SRV-MAIL
46
Vous remarquerez alors un certificat ayant pour statut This is a pending certificate signing resquest. Faites un clic droit dessus > Complete pending request Une fenêtre s’ouvre. Indiquez alors l’emplacement du certificat généré au point précédent
10.6
Affectation de services au certificat
Votre certificat est dorénavant reconnu par Exchange. Il faut maintenant indiquer par quels services d’Exchange ce dernier sera utilisé. Pour cela : Clic droit sur votre certificat > Assign services to certificate Une nouvelle fenêtre s’ouvre, vous demandant les services à affecter à ce certificat. Cochez IMAP et IIS (SMTP se rajoutera par défaut) :
10.7
Création d’une GPO pour délivrer le certificat
Il est maintenant nécessaire de distribuer et d’installer ce certificat sur tous vos postes client. Pour cela : Ouvrez la console Group Policy Management Créez une nouvelle GPO et appliquez là à l’ensemble de votre domaine Editez-là et dirigez-vous dans Computer Configuration > Windows Settings > Security settings > Public key policies > Trusted root […] Clic droit > Import. Indiquez alors l’emplacement de votre certificat Exchange > OK 47
Faites un gpupdate/force ou redémarrez vos ordinateurs pour prendre en compte cette nouvelle GPO
10.8
Vérification et test
Si vous avez correctement configuré et déployé votre certificat, vous ne devriez plus avoir de message d’erreur :
48
11.
Optimisations
11.1
Déplacement de la base de données et des journaux de transactions
Dans un souci de performance, il convient de déplacer la base de données ainsi que les journaux de transactions sur une partition ou un disque dédié. Pour cela :
Allez dans Organization Configuration > Mailbox Clic droit sur votre base de données > Move Database Path Indiquez alors les nouveaux emplacements :
11.2
Déplacement des files d’attentes
Il est également conseillé de placer les files d’attentes des messages sur une partition ou un disque dur dédié. Source
11.2.1 Modifications des droits NTFS
Créer un nouveau dossier à l’emplacement de votre choix Modifier les droits NTFS du dossier en ajoutant les utilisateurs ci-dessous en « Full control » : o Network Service o System o Administrators
49
11.2.2 Déplacement des files Editez le fichier suivant avec votre Notepad favori : C:\Program Files\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config
Rechercher la valeur ci-dessous dans le fichier précédemment ouvert et remplacez le chemin d’accès par le celui souhaité. Pour terminer, enregistrez et quittez le fichier. " />
Arrêter le service Microsoft Exchange Transport Copier les fichiers suivants dans le nouvel emplacement : o Trn.log o Trnres00001.jrs o Trnres00002.jrs o Trntmp.log Démarrer le service Microsoft Exchange Transport Vérifiez que le fichier tmp.edb est bien créé
Supprimer le contenu de l’ancien répertoire
Note : lorsque le service Microsoft Exchange Transport est arrêté, le fichier tmp.edb disparait. Il est recréé automatiquement dans le nouveau répertoire au lancement du service
50
11.3
Déplacement des logs
Pour déplacer les logs (suivi des messages, connectivité, envoi et réception), allez dans : Server Configuration > Hub Transport > clic droit sur votre serveur > Log settings Indiquez les emplacements de votre choix :
11.4
Spécifications des serveurs AD et GC
Vous avez également la possibilité d’indiquer quels sont vos contrôleurs de domaine ainsi que vos catalogues globaux :
11.4.1 Via l’interface graphique
Server Configuration > Hub Transport > clic droit sur votre serveur > System settings
51
11.4.2 En PowerShell Pour les modifier Set-ExchangeServer -Identity -StaticDomainControllers DC1.local,DC2.local Set-ExchangeServer -Identity -StaticGlobalCatalogs DC1.local,DC2.local Pour les afficher : Get-ExchangeServer –Identity -Status | FL
11.5
Résolution externe de noms
Comme présenté au point 9.2.2, la case Use external DNS lookup permet d’indiquer que vous souhaitez utiliser des DNS différents de ceux indiqués dans votre carte réseau pour effectuer la résolution de noms. En général, cette configuration est nécessaire quand votre fournisseur de mail requiert que vous passiez obligatoirement par ses DNS (ce qui est le cas d’Orange par exemple). Source
11.5.1 Via l’assistant graphique
Server Configuration > Hub Transport > clic droit sur votre serveur > System settings
11.5.2 En PowerShell Set-TransportServer -ExternalDNSServers '80.10.242.2' -ExternalDNSAdapterEnabled $false -Identity 'server_name'
52
12.
Sécurité
12.1
Activation du chiffrement SSL sur Anywhere
Pour des raisons de sécurité, il est recommandé d’activer l’utilisation du SSL sur le répertoire virtuel d’Outlook Anywhere. Pour cela, suivez ces instructions.
Conclusion Exchange 2010 apporte donc de nombreuses nouveautés par rapport à son prédécesseur Exchange 2007. Grâce à la gestion simplifiée des RBAC, une connectivité améliorée pour les périphériques mobiles et une refonte totale du système de clustering, son implémentation est devenue beaucoup plus souple qu’auparavant. Par ailleurs, le langage PowerShell apporte une souplesse incroyable en ce qui concerne l’administration quotidienne des serveurs de messagerie. Quant aux solutions concurrentes, essentiellement Postfix et Lotus, elles restent toutefois intéressantes même si l’aspect « messagerie mobile » n’est pas aussi bien développé et intégré qu’au sein d’Exchange.
N’hésitez pas m’envoyer vos commentaires ou retours à l’adresse suivante : m.decrevoisier A-R-0-B-A-5 outlook . com
Soyez-en d’ores et déjà remercié 53
