(ENI) ExchangeServer2016 Préparation À La Certification MCSE Messaging70 345
(ENI) ExchangeServer2016 Préparation À La Certification MCSE Messaging70 345
(ENI) ExchangeServer2016 Préparation À La Certification MCSE Messaging70 345
Pour vous aider à préparer efficacement l'examen, ce livre couvre tous les objectifs officiels, tant d'un point de vue
théorique que d'un point de vue pratique. Il a été rédigé en français (il ne s'agit pas d'une traduction) par deux auteurs
consultants et formateurs. Ainsi, leurs savoirfaire pédagogique et technique conduisent à une approche claire et
visuelle, d'un très haut niveau technique.
Chapitre après chapitre, vous pourrez valider vos acquis théoriques, à l'aide d'un grand nombre de questions
réponses (126 au total) mettant en exergue aussi bien les éléments fondamentaux que les caractéristiques
spécifiques aux concepts abordés.
Chaque chapitre s'achevant par des travaux pratiques (46 au total) vous aurez les moyens de mesurer votre
autonomie. Ces manipulations concrètes, audelà même des objectifs fixés par l'examen, vous permettront de vous
forger une première expérience significative et d'acquérir de véritables compétences techniques sur des mises en
situations réelles.
À cette maîtrise du produit et des concepts, s'ajoute la préparation spécifique à la certification : à l'adresse
www.edieni.com vous pourrez accéder gratuitement à 1 examen blanc en ligne, destiné à vous entraîner dans des
conditions proches de celles de l'épreuve. Sur ce site, chaque question posée s'inscrit dans l'esprit de la certification et,
pour chacune, les réponses sont suffisamment commentées pour combler ou identifier vos ultimes lacunes.
Brahim NEDJIM, Directeur des Systèmes d'Information d'un groupe spécialisé en marketing, est
également consultant formateur sur les architectures IT et la stratégie des services informatiques.
Les compétences pédagogiques des deux auteurs s'allient à leur expérience terrain et se
complètent pour fournir aux lecteurs un livre réellement opérationnel sur la préparation à la
certification 70345.
Pour vous aider à préparer efficacement l’examen, ce livre couvre tous les objectifs officiels, tant d’un point de vue
théorique que d’un point de vue pratique. Il a été rédigé en français (il ne s’agit pas d’une traduction) par deux
auteurs consultants et formateurs. Ainsi, leurs savoirfaire pédagogique et technique conduisent à une approche
claire et visuelle, d’un très haut niveau technique.
Chapitre après chapitre, vous pourrez valider vos acquis théoriques, à l’aide d’un grand nombre de questions
réponses mettant en exergue aussi bien les éléments fondamentaux que les caractéristiques spécifiques aux
concepts abordés.
Chaque chapitre s’achevant par des travaux pratiques vous aurez les moyens de mesurer votre autonomie. Ces
manipulations concrètes, audelà même des objectifs fixés par l’examen, vous permettront de vous forger une
première expérience significative et d’acquérir de véritables compétences techniques sur des mises en situation
réelles.
À cette maîtrise du produit et des concepts, s’ajoute la préparation spécifique à la certification : sur le site
www.edieni.com vous pourrez accéder gratuitement à 1 examen blanc en ligne, destiné à vous entraîner dans des
conditions proches de celles de l’épreuve. Sur ce site, chaque question posée s’inscrit dans l’esprit de la certification
et, pour chacune, les réponses sont suffisamment commentées pour combler ou identifier vos ultimes lacunes.
Les illustrations, en début de chapitre, ont été créées par Leffie. Illustratrice et motion designer, Leffie pose un regard
amusé sur le monde qui l’entoure. Curieuse et passionnée, elle aime explorer différents univers et relever de
nouveaux défis. Pour en savoir plus, www.lestudio100moustache.com.
1. Public visé
Cet ouvrage s’adresse aux administrateurs de services de messagerie Exchange souhaitant découvrir les nouvelles
fonctionnalités de ce produit et l’implémenter au sein d’une entreprise, mais également à tous ceux qui débutent
dans l’administration des solutions Exchange et qui souhaitent acquérir les compétences nécessaires à sa mise en
œ uvre.
Les administrateurs confirmés sur les versions antérieures d’Exchange 2016 pourront identifier précisément les
nouveautés apportées par cette nouvelle version, grâce notamment aux parallèles faits sur le fonctionnement des
versions antérieures du produit, et acquérir des bases solides leur permettant de déployer et d’administrer cette
nouvelle version dans les meilleures conditions possibles. Les administrateurs d’Exchange 2013 ne verront pas de
modifications majeures mais plutôt une série d’améliorations. Ceux qui emploient Exchange 2010 ou antérieurs
verront quant à eux des changements significatifs sur la plateforme.
Le néophyte, quant à lui, fera une immersion progressive dans le produit, grâce à des définitions précises des
fonctionnalités, aux nombreux rappels sur le fonctionnement des composants sur lesquels s’appuie Exchange 2016,
notamment Active Directory, et enfin au travers des nombreux ateliers de travaux pratiques détaillés proposés à la
fin des différentes parties de chaque chapitre. Cela leur permettra d’acquérir des connaissances solides dans
l’administration d’un serveur de messagerie Exchange 2016.
Par ailleurs, une série de questions/réponses est proposée à la fin de chaque chapitre permettant ainsi d’évaluer
ses connaissances et d’identifier les points à revoir ou à approfondir avant de passer au chapitre suivant.
Les systèmes de messagerie électronique n’ont eu de cesse d’évoluer depuis leur apparition dans les années 70.
Permettant au départ la communication de simples messages sous format électronique dans des domaines
restreints, ils sont désormais indispensables au sein des entreprises de toute taille à travers le monde. Véritable
pierre angulaire du système d’information au sein de l’entreprise, les systèmes de messagerie ont considérablement
évolué en termes de fonctionnalités et sont désormais axés autour du travail collaboratif. En effet, la messagerie
d’autrefois qui ne traitait que de simples emails, s’est vue, avec le temps, enrichie de nouvelles fonctionnalités
permettant de gérer la communication dans un sens beaucoup plus large. Aujourd’hui, il n’est plus question de
simplement communiquer des messages au travers de son PC au bureau, il faut également être mobile, disposer
d’un accès distant au travers de son smartphone, planifier une réunion dans une salle précise, identifier la
disponibilité des contacts, ou partager des informations.
Forgé dans le cloud, maintenant disponible sur site (« Forged on the Cloud, now available on premises »), tel est le
nouveau leitmotiv de Microsoft s’agissant d’Exchange 2016. Mais que signifietil concrètement ? Et bien, il s’agit de
la particularité de conception d’Exchange 2016. En effet, là où le développement traditionnel d’applications nous
induit à penser que celuici est créé dans leurs laboratoires, puis testé et enfin mis sur le marché, nous avons le
contraire. En effet, pour proposer cette édition d’Exchange, Microsoft s’est appuyé sur sa plateforme Office 365 en
production. Cette dernière, qui avait été migrée il y a quelques années vers Exchange 2013, a bénéficié de bon
nombre d’améliorations, tant fonctionnelles que techniques, distribuées au fil de l’eau. Cette approche a permis à
Microsoft, au travers des millions d’utilisateurs de sa plateforme à travers le monde, de fiabiliser sa plateforme, de la
dimensionner convenablement, mais également d’analyser le comportement des utilisateurs afin d’axer ses
démarches d’amélioration.
En effet, grâce au panel important de métriques dont dispose Microsoft sur sa plateforme Office 365, les équipes
techniques ont pu identifier précisément le comportement des utilisateurs et les catégoriser. Par exemple, ils ont pu
distinguer les proportions d’utilisateurs qui lisent et classent leurs mails tous les jours (aucun mail non lu dans la
boîte de réception) et ceux qui stockent leurs messages sans nécessairement les lire et qui les réutilisent a
postériori. Cette dernière catégorie représente une part significative des utilisateurs. Mais que faire de cette
information ? Eh bien Microsoft l’a corrélée avec les recherches faites sur les boîtes de messagerie et a constaté que
ces dernières n’étaient pas optimales. Ainsi, les utilisateurs devaient s’y reprendre à plusieurs fois dans leur
recherche pour localiser le bon élément. Par ailleurs, Microsoft a constaté que la majeure partie des motsclés
recherchés représentaient 5 ou 6 caractères, quel que soit le continent ou le pays (exception faite des
idéogrammes). Grâce à cela, la recherche d’informations a été optimisée pour ce type de recherches.
Cette nouvelle édition du produit, tout comme la précédente, est résolument tournée vers les métiers. Les
arguments mis en avant par Microsoft qui traitent principalement de l’exploitation du produit :
l La gestion des informations : Exchange, en tant que plateforme de communication, est amené à gérer un nombre
considérable d’informations au sein de l’entreprise, informations qui peuvent être disséminées à divers endroits. La
nouvelle architecture d’Exchange permet une recherche plus rapide et plus précise des informations.
l Le travail collaboratif est facilité : l’intégration avec SharePoint a été améliorée, permettant notamment à l’utilisateur
de s’affranchir de la complexité induite par l’utilisation des pièces jointes dans un milieu collaboratif. Partager des
documents via SharePoint ou OneDrive for Business n’aura jamais été aussi simple.
l Les clients Outlook 2016 et Outlook sur le Web (anciennement Outlook Web App) disposent de nouvelles interfaces
graphiques, toujours plus riches et beaucoup plus intuitives. Qu’il s’agisse du client web sur le poste de travail ou des
clients mobiles, les fonctionnalités proposées par Outlook Web App sont complètes et proches de celles proposées par
les clients lourds Outlook. Par ailleurs, Outlook Web App est désormais pleinement supporté sur IOS et Android.
l Le respect de la politique de sécurité de l’entreprise au travers d’un meilleur alignement avec les besoins en
conformité. La protection contre la diffusion d’informations sensibles à des tiers non autorisés a été optimisée et
enrichie avec de nouvelles règles de contrôle.
L’orientation métiers d’une plateforme de travail collaboratif est, évidemment, fondamentale, mais il ne faudra pas
s’y méprendre pour autant, cette nouvelle version d’Exchange propose également un certain nombre
d’améliorations destinées aux ingénieurs et administrateurs.
Comme pour son prédécesseur, Exchange 2013, le maître mot concernant Exchange 2016 demeure : « simplicité ».
Microsot nous le prouve une fois de plus que ce soit au point de vue architecture ou de la mise en œ uvre en
environnement de production.
Ceux d’entre vous qui exploitent Exchange apprécieront pleinement la simplification radicale de l’architecture sans
pour autant perdre en fonctionnalités :
l Les fondements de l’architecture n’ont subi aucune révolution majeure : Exchange 2016 reste fortement couplé à
Active Directory, les mécanismes intrinsèques de fonctionnement des rôles sont globalement identiques même si leur
forme a grandement évolué.
l Le moteur ESE (Extensible Storage Engine) demeure en place pour la gestion des bases de données de boîtes aux
lettres faisant fi des rumeurs d’une éventuelle bascule vers SQL Server.
Exchange 2016 se rapproche néanmoins beaucoup plus d’Exchange 2013 dans la forme. Aussi, si vous exploitez
actuellement une plateforme Exchange 2013, vous constaterez que l’administration d’Exchange 2016 est similaire, si
ce n’est qu’elle a été enrichie de nouvelles fonctionnalités.
Ainsi, tout comme Exchange 2013, Exchange 2016 est intégralement développé en 64 bits avec la plateforme .NET.
Il a été optimisé pour la prise en charge du matériel actuel, notamment au travers de l’optimisation pour les
processeurs multicore, la prise en charge de capacités de mémoire de plus en plus importantes ou l’utilisation des
disques SATA.
La simplification d’Exchange a également conduit au remaniement des rôles qui sont désormais au nombre de deux :
Edge et Boîte aux lettres.
Enfin, le protocole de communication par défaut de communication avec les clients est MAPI sur HTTP, introduit avec
le service pack 1 d’Exchange 2013, qui succède à Outlook Anywhere (qui est toujours supporté).
Sous Exchange 2010, l’administration s’effectuait au travers de deux outils principaux que sont le Panneau de
Configuration Exchange (ECP Exchange Control Panel) et la console de gestion Exchange (EMC Exchange
Management Console). Depuis Exchange 2013, une nouvelle interface d’administration centralisée a fait son
apparition. Il s’agit du Centre d’administration Exchange (EAC Exchange Administration Center) qui permet la
gestion globale des plateformes Exchange.
Parmi les principaux apports de cette nouvelle interface de gestion, nous pouvons citer :
l Interface web : le centre d’administration Exchange se présente sous la forme d’une interface web, basée sur des
répertoires virtuels IIS (d’ailleurs, le répertoire virtuel de l’EAC est nommé ECP). L’accès y est donc facilité au
l Optimisation de l’affichage des informations : même s’il s’agit d’une interface web, elle est beaucoup plus riche en
termes de fonctionnalités que ses prédécesseurs s’appuyant sur des MMC. Son affichage est personnalisable via des
cookies et, là où le Panneau de Configuration Exchange 2010 ne permettait d’afficher que 500 objets, le Centre
d’administration Exchange permet d’en afficher près de 20000, en s’appuyant sur des listes dotées de fonctions de
pagination. Il inclut également des fonctions d’export au format CSV. En termes de performances, il est optimisé
pour limiter la consommation de ressources sur les serveurs grâce au transfert des fonctions de recherche et de tri
sur le client.
l Suivi des tâches : le Centre d’administration Exchange permet de suivre la progression des actions réalisées et des
tâches exécutées au travers du volet de notifications. Il offre la possibilité d’être informé en temps réel sans qu’il soit
nécessaire de rester devant la fenêtre de suivi de l’action exécutée. Il permet l’affichage d’alertes prenant la forme
de popup à l’écran, mais également dans le cas d’une tâche très longue, d’être informé par courrier électronique de
la fin de l’exécution de l’opération.
l Intégration des fonctionnalités RBAC : les fonctionnalités de contrôle d’accès basé sur un rôle, RBAC (Role Based
Access Control), font désormais partie intégrante du Centre d’administration Exchange et ne nécessitent donc plus
d’outil additionnel pour éditer les utilisateurs RBAC.
l Gestion de la messagerie unifiée : les outils d’administration de la messagerie unifiée étaient intégrés au sein du
Centre d’administration Exchange. De ce fait, les statistiques et les journaux d’appels n’ont plus, comme cela était le
cas sous Exchange 2010, à être gérés au travers d’un outil complémentaire.
l Gestion des dossiers publics : sous Exchange 2007, et même sous Exchange 2010, la gestion des dossiers publics se
faisait au travers de la console d’administration des dossiers publics. Depuis Exchange 2013, leur administration a
été réintégrée dans le Centre d’administration Exchange.
Les dossiers publics ont fait l’objet d’une grande attention de la part des administrateurs Exchange, notamment
Exchange 2013, dans la mesure où Microsoft a plusieurs fois manifesté la volonté de les faire disparaître de ses
produits. Ainsi lors de la sortie d’Exchange 2010, aucune console ne permettait la gestion des dossiers publics,
toutefois encore supportés et administrables via PowerShell, Microsoft préconisant le recours aux boîtes aux
lettres partagées (shared mailboxes). Il a fallu attendre le Service Pack 1 pour enfin disposer de la console
d’administration des dossiers publics.
Depuis Exchange 2013, et maintenant sous Exchange 2016, Microsoft nous propose un excellent compromis : les
dossiers publics sont toujours présents, mais d’un point de vue technique, ils ont bel et bien disparu !
En effet, les dossiers publics sont désormais des boîtes aux lettres présentant peu de différences avec les boîtes
aux lettres utilisateurs et ils ne requièrent plus, de ce fait, d’être créés et gérés au sein de bases de données
spécifiques aux dossiers publics.
Exchange Management Shell (EMC) est l’environnement permettant d’administrer Exchange en ligne de commande,
via des scripts (cmdlets) PowerShell. Introduit avec Exchange 2007, ses capacités d’administration, toujours plus
importantes que celles proposées par les interfaces graphiques, sont enrichies au fil des versions.
D’ailleurs, au travers de ces outils, Microsoft montre de plus en clairement sa volonté de basculer vers une
administration basée sur la ligne de commande.
Pour prendre conscience de l’importance de l’EMS, sachez que toutes les commandes que vous exécutez au
travers du Centre d’administration Exchange sont transcrites en PowerShell afin d’être exécutées. Gardez à l’esprit
La plateforme de travail collaboratif est un élément essentiel au sein des entreprises. Le déploiement d’une telle
plateforme aura un impact certain d’un point de vue organisationnel mais également technique.
Au niveau organisationnel, l’implémentation d’Exchange 2016 va concerner à la fois les métiers, au travers des
fonctionnalités nouvelles ou améliorées, mais également les administrateurs Exchange dans la mesure où un nombre
important de remaniements ont été effectués sur cette nouvelle version. À ce titre, il faut que le changement sur
l’organisation soit géré, afin de s’assurer d’une exploitation optimale du produit et minimiser les effets de bord induits
par cette transition.
D’un point de vue technique, compte tenu du couplage fort d’Exchange avec Active Directory sur lequel il s’appuie et
pour lequel des modifications préalables seront nécessaires pour permettre le déploiement du serveur de
messagerie, il conviendra d’évaluer les impacts de la mise en œ uvre.
De ce fait, il est indispensable de gérer la mise en œ uvre d’Exchange au sein de l’entreprise qui va consister en la
définition des exigences métiers, la planification, la mise en œ uvre, les tests avant la mise en production effective du
produit.
Exchange 2016, en tant que plateforme de travail collaboratif résolument tournée vers les métiers, se prête volontiers
à une approche orientée service, d’autant plus que sur le cycle de vie du produit, la majeure partie des opérations
que vous réaliserez sur cette plateforme se situent en exploitation (administration du produit au quotidien par
exemple).
L’approche orientée service fait opposition à l’approche projet usuelle dans le sens où elle se focalise non seulement
sur la phase de construction (build), tout comme l’approche projet, mais dont elle s’en démarque dans la mesure où
elle prend également en compte la phase opérationnelle d’exploitation (run).
Le référentiel en la matière est ITIL®, qui recense les meilleures pratiques de la gestion des services informatiques
(ITSM IT Services Management).
Les éléments décrits cidessous peuvent être intégrés dans le cadre d’une gestion de services ITIL®, démarche dans
laquelle Microsoft facilite l’inscription de ses produits en prenant en considération une grande variété des bonnes
pratiques dictées par ce référentiel.
Toutefois, vous verrez que l’approche proposée ici n’est aucunement prescriptive et ne requiert pas que vous vous
lanciez dans une initiative ITIL®, dans la mesure où tous les éléments énoncés relèvent avant tout du bon sens.
1. Identification de la stratégie
Votre service de messagerie devrait avant tout être justifié par un ou plusieurs besoins de votre entreprise. Que ce
soit une contribution directe pour les métiers, une réduction des coûts d’exploitation ou un meilleur alignement avec
la gouvernance d’entreprise, il conviendra de définir clairement ces besoins. Ceci influencera notamment la nature
de la plateforme, son dimensionnement, son architecture ainsi que les budgets alloués.
Il conviendra de détailler notamment les objectifs et impacts métiers, les bénéfices, les risques induits, les coûts au
travers de votre cas d’affaire (business case) ou dossier d’avantprojet.
2. Conception/spécification
Voici les éléments que nous allons déployer au travers de ces travaux pratiques :
l EXCHSRV1 (IP 172.16.1.21) : serveur Exchange 2016 disposant du rôle serveur de boîtes aux lettres.
l EXCHSRV2 (IP 172.16.1.22) : serveur Exchange 2016 disposant du rôle serveur de boîtes aux lettres.
l EXCHOWA (IP 172.16.1.23) : serveur sur lequel est installé Office Web Apps Server 2016
l EXCHEDGE (IP 172.16.1.25) : serveur Exchange 2016 disposant du rôle Edge Transport
l WINCLI1 (IP 172.16.1.101) : poste client Windows 10 Pro / Entreprise / Education disposant d’Outlook 2016.
Microsoft met à disposition des versions d’évaluation de l’ensemble des produits requis dans ces travaux pratiques
sur le centre de téléchargement Microsoft accessible à l’adresse suivante : http://www.microsoft.com/frfr/download
Vous pouvez naturellement utiliser un environnement de virtualisation pour ces TP, comme par exemple HyperV ou
tout autre environnement de votre choix, vous permettant de faire interagir les machines virtualisées entre elles.
Dans le cas où vous ne disposez d’aucun environnement de virtualisation, sachez que Windows 10 Pro ou Entreprise
intègrent l’environnement de virtualisation HyperV.
Concernant la connectivité, nous avons choisi un plan d’adressage de classe B (masque de sousréseau 255.255.0.0)
pour ce TP, mais vous pouvez choisir celui que vous voulez. Veillez dans ce cas à bien substituer vos adresses IP à
celles données dans les ateliers.
1. Questions
2 Quel rôle devrezvous déployer afin de limiter l’exposition aux menaces de votre serveur d’accès client et où
devrezvous le placer ?
3 Quels sont les outils d’administration disponibles sous Exchange 2016 ? Citez leurs caractéristiques et
fonctionnalités principales.
6 Quel est le protocole de communication par défaut avec Outlook sous Exchange 2016 ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
Nombre de points /6
3. Réponses
Exchange 2016 propose les rôles serveur de boîtes aux lettres et transport Edge. Le serveur d’accès client présent
sous Exchange 2013 fait désormais partie intégrante, du rôle serveur de boîtes aux lettres d’ Exchange 2016. Il est
en quelque sorte toujours présent dans l’architecture, mais sous la forme d’un service.
2 Quel rôle devrezvous déployer afin de limiter l’exposition aux menaces de votre serveur d’accès client et où
devrezvous le placer ?
Il faudrait recourir à un serveur de transport Edge disponible sous Exchange 2016. Il doit être installé sur un
serveur autonome.
3 Quels sont les outils d’administration disponibles sous Exchange 2016 ? Citez leurs caractéristiques et
fonctionnalités principales.
L’administration d’Exchange 2016 peut s’effectuer via le Centre d’administration Exchange, entièrement basé sur le
Web ou bien EMS (Exchange Management Shell) en ligne de commande. Le centre d’administration Exchange
permet d’effectuer les tâches courantes d’administration des boîtes aux lettres (création, suppression,
déplacement…), d’administration des dossiers publics ou de la messagerie unifiée. Il permet également le suivi de
l’exécution des tâches, au travers des notifications des dossiers publics et aussi la gestion du contrôle d’accès basé
sur les rôles (RBAC).
L’EMS (Exchange Management Shell) permet la gestion exhaustive d’Exchange. Le Centre d’administration
Exchange s’appuie intégralement sur l’EMS pour l’exécution des actions effectuées au travers de l’interface
graphique.
Comme pour toutes les versions depuis Exchange 2000, un domaine (ou plutôt même une forêt) est nécessaire.
Exchange s’appuie sur l’annuaire Active Directory, par exemple le serveur d’accès client va permettre
1. Prérequis
2. Objectifs
Nous allons voir précisément comment Exchange 2016 utilise les différents composants de l’annuaire afin de fournir
les services de travail collaboratif.
Active Directory permet de centraliser, de structurer, d’organiser et de contrôler les ressources réseau dans les
environnements Windows.
Il s’agit d’un annuaire (une base de données) centralisé contenant les objets du réseau et qui permet aux
utilisateurs de localiser, de gérer et d’exploiter aisément les ressources.
Parmi ses principales vocations, nous pouvons citer l’authentification des utilisateurs et des ressources, permettant
l’ouverture d’une session sur un domaine, ou encore la définition et l’application de stratégies de groupes (GPO
Group Policy Object).
Exchange va lui aussi s’appuyer sur Active Directory non seulement en utilisant des données issues de cet annuaire,
afin, par exemple, de créer une boîte aux lettres pour un compte d’utilisateur Active Directory, mais également pour
y stocker ses propres paramètres de configuration permettant à un client de localiser au travers d’Active Directory le
serveur Exchange qui héberge sa boîte aux lettres.
Active Directory s’appuie sur le protocole LDAP (Lightweight Directory Access Protocol) pour l’interrogation des bases
Contrairement à une requête SQL basée sur une approche relationnelle, une requête LDAP est hiérarchisée,
reflétant l’organisation des ressources.
Nous avons le domaine editioneni.lan dans lequel une unité d’organisation (OU Organizational Unit) nommée
« Formations » contient deux autres unités d’organisation Avaedos et Norelis. Elles contiennent respectivement
l’objet utilisateur nommé Loïc THOBOIS et Brahim NEDJIMI.
Cette arborescence, composée de racines, de branches et de feuilles propose les éléments suivants pour sa
définition :
l DC (Domain Component), qui désigne la racine ainsi que la première branche. Elle est calquée sur le domaine DNS.
Elle se désigne de la manière suivante : DC=EDITIONSENI, DC=LAN.
l OU (Organizational Unit), qui désigne les branches rattachées aux branches principales.
l CN (Common Name), qui désigne les feuilles, à savoir dans notre exemple l’utilisateur Loïc THOBOIS.
Pour identifier précisément l’utilisateur Loïc THOBOIS, on le désignera par son nom distingué (Distinguished Name), à
savoir :
CN="Loïc THOBOIS",OU=Avaedos,OU=Formations,DC=EDITIONSENI,DC=LAN
Chaque objet possède un ensemble d’attributs regroupant diverses informations permettant par exemple
d’effectuer des recherches précises dans l’annuaire (trouver l’emplacement physique d’une imprimante, le numéro
de téléphone ou l’adresse de messagerie d’un utilisateur, le système d’exploitation d’un serveur…).
l Les serveurs : il s’agit des machines du réseau disposant d’un système d’exploitation Windows Server dont la version
est un attribut.
l Les domaines : pour chacun des domaines de notre forêt Active Directory, nous allons avoir un objet domaine (dans
notre exemple editionseni.lan).
l Les sites : les sites Active Directory permettent de définir une segmentation reflétant la topologie physique du réseau
en se basant sur les sousréseaux. Ainsi, deux sites de la même entreprise éloignés géographiquement et reliés par
une liaison louée à faible débit pourront constituer deux sites Active Directory : ceci permettra entre autres d’optimiser
le trafic lié à la réplication des objets Active Directory à travers la liaison (voir la section Sites Active Directory et
réplication dans ce chapitre).
l Les utilisateurs : ces objets représentent ce que l’on dénomme communément les comptes d’utilisateurs (le compte
utilisateur est en fait un attribut de l’objet utilisateur, tout comme le mot de passe). Il s’agit des principales entités de
sécurité administrées au sein d’Active Directory.
l Les groupes : ces objets facilitent l’administration d’Active Directory. Ce sont des entités de sécurité dans lesquelles
nous retrouverons des utilisateurs, ordinateurs ou des groupes.
l Les ordinateurs : il s’agit des comptes d’ordinateurs rattachés à un domaine. Comme les utilisateurs, ce sont
également des entités de sécurité auxquelles il est possible d’affecter des permissions.
l Les imprimantes : ce type d’objet représente une imprimante publiée dans l’annuaire Active Directory.
l Les conteneurs : les conteneurs sont des objets qui contiennent d’autres objets. En tant qu’objets, ils disposent
également d’attributs. Les unités d’organisation (OU) sont un exemple de conteneurs.
Les conteneurs : les conteneurs sont des objets qui contiennent d’autres objets. En tant qu’objets, ils disposent
également d’attributs. Les unités d’organisation (OU) sont un exemple de conteneurs.
Par exemple, nous avons un conteneur « Organisation » créé lors de l’installation d’Exchange 2016, dont l’attribut
msExchProductId est positionné sur la valeur : 15.01.225.042 ou supérieur si des mises à jour comme le
Cumulative Update 1 ont été appliquées.
Certains attributs sont automatiquement renseignés lors de la création de l’objet ou de la modification de ses
propriétés, mais ce n’est pas le cas de tous. Dans notre exemple, la localisation physique de l’imprimante devra être
renseignée alors que le système d’exploitation Windows d’un serveur le sera automatiquement.
Le niveau fonctionnel d’un domaine ou d’une forêt permet de définir l’ensemble des fonctionnalités supportées par
le service d’annuaire Active Directory dans ce domaine ou dans cette forêt. Ceci est capital dans la mesure où vous
pouvez combiner des contrôleurs de domaines disposant de versions de Windows Server différentes. En fonction de
la version du système d’exploitation utilisée, vous pourrez ou non utiliser certains niveaux de fonctionnalités sur le
domaine.
Lorsque vous installez Active Directory en déployant le premier contrôleur de domaine d’un domaine, vous devrez
choisir le niveau fonctionnel à utiliser. Vous pourrez choisir parmi ceuxci, en fonction du système d’exploitation choisi
(chaque niveau supérieur prend en charge les éléments du niveau inférieur) :
l Windows 2000 mixte : supporte la prise en charge des contrôleurs secondaires de domaine Windows NT 4.0 (BDC).
l Windows 2000 natif : supporte les groupes universels, les imbrications de groupes et l’historique SID.
l Windows Server 2003 : prise en charge du changement de nom d’un contrôleur de domaine, la mise à jour du cachet
d’ouverture de session, le numéro de version des clés Kerberos KDC et un mot de passe utilisateur sur l’objet
InetOrgPerson.
l Windows Server 2008 : support de la réplication via DFS (Distributed File System) pour SYSVOL et prise en charge des
stratégies de mot de passe multiples, stockage d’informations relatives à l’authentification des utilisateurs.
l Windows Server 2008 R2 : diverses améliorations sur l’authentification et la gestion des comptes.
Exchange 2016 requiert que votre forêt et votre domaine soient au minimum au niveau fonctionnel Windows 2008
pour pouvoir être installé.
4. Active Directory sous Windows Server 2012 /R2 et Windows Server 2016
Windows Server 2012, Windows Server 2012 R2 et ainsi le dernier Windows Server 2016 proposent un nombre
important d’améliorations, tant d’un point de vue fonctionnel que technique et Active Directory n’échappe pas à la
règle : ce dernier s’est vu transformé en service déployé sous la forme d’un rôle. En effet, là où auparavant la mise
en place d’un contrôleur de domaine nécessitait une préparation spécifique permettant de « transformer » un
serveur membre en contrôleur de domaine, aujourd’hui un contrôleur de domaine n’est ni plus ni moins qu’un
serveur membre qui exécute les services Active Directory. L’arrêt du service Active Directory sur un contrôleur de
domaine empêchera ce dernier de participer aux processus mis en jeu avec Active Directory (Authentification,
réplication, etc.).
Par ailleurs, depuis Windows 2012, le traditionnel dcpromo utilisé pour promouvoir un serveur en tant que
contrôleur de domaine a été mis au rebus. Ainsi, si l’on tente d’exécuter la commande dcpromo sous Windows
Server 2012, Windows Server 2012 R2 et sous Windows Server 2016, nous obtenons le message suivant :
Pour déployer votre forêt ainsi que votre domaine racine via PowerShell, vous devez procéder ainsi :
Chargez le rôle Active Directory, les services implicites requis pour ce rôle ainsi que les outils
d’administration associés :
Tous les composants nécessaires à Active Directory seront installés automatiquement (notamment le service DNS).
Vous trouverez sur la page Informations générales un script PowerShell nommé installad.ps1 dans lequel vous
trouverez des paramètres d’installation complémentaires.
Si le nom de domaine fait 15 caractères ou moins, le nom NetBIOS est calculé automatiquement, sa valeur sera
fixée au nom du domaine (dans notre exemple : domaine DNS = editionseni.lan, nom NETBIOS = EDITIONSENI).
Si le nom de domaine fait plus de 15 caractères, l’installation échoue (le nom de domaine ne sera pas tronqué). Il faut
alors ajouter l’argument DomainNetbiosName : NOMNETBIOS où NOMNETBIOS est le nom NETBIOS que vous
souhaitez affecter à votre domaine.
Un site Active Directory peut être défini comme le regroupement d’un ou plusieurs sousréseaux connectés entre
eux par une liaison à haut débit fiable (liaison LAN). La définition des sites va permettre à Active Directory
d’optimiser la réplication et l’authentification afin d’exploiter au mieux les liaisons les plus rapides.
Généralement, un réseau local correspondra à un site Active Directory, alors que deux bâtiments interconnectés par
une liaison louée dont le débit est limité pourraient représenter deux sites Active Directory :
En effet, les différents sites d’une entreprise sont souvent reliés entre eux par des liaisons avec un débit beaucoup
plus faible que celui du réseau local, et parfois avec un niveau de fiabilité relativement bas. La création de liens de
sites va permettre dans ce cas de prendre en compte la topologie physique du réseau pour les opérations de
réplication. Parmi ces paramètres, on retrouvera notamment le coût de la liaison, une planification ainsi que
l’intervalle de temps entre deux réplications.
Par défaut, même lorsque vous n’avez pas défini de site, lorsque vous installez un contrôleur de domaine, celuici est
placé dans le site par défaut nommé DefaultFirstSiteName.
Lorsqu’un seul site existe, les réplications sont propagées au fil de l’eau vers et depuis tous les contrôleurs de
domaine du domaine.
Concernant Exchange, il va s’appuyer sur les sites Active Directory pour le transport, mais également pour la
La définition des sites permettra par exemple pour Exchange d’optimiser les connexions de vos clients qui, plutôt
que de se connecter à l’importe quel serveur d’accès client, privilégieront celui qui est sur leur site.
Enfin, veuillez noter que dans l’illustration, nous avons placé, conformément aux recommandations de Microsoft et
comme mentionné plus haut, un contrôleur de domaine agissant comme catalogue global sur chacun des sites.
Un même site Active Directory peut contenir des contrôleurs de domaines de différents domaines d’une même forêt.
La définition des sites Active Directory vous permettra donc d’optimiser votre réplication et de fournir une topologie
de base pour le routage Exchange.
a. Réplication intrasite
La réplication intrasite correspond à la réplication entre les contrôleurs de domaine appartenant au même site. Par
définition, dans la mesure où elle est opérée sur le réseau local, elle n’est pas soumise aux contraintes liées à des
liaisons lentes. Ceci va influer sur le processus de propagation des modifications Active Directory qui ne seront pas
compressées afin de limiter la consommation de ressources sur les contrôleurs de domaine.
Si vous avez déjà installé un ou plusieurs contrôleurs de domaine sur le même site, vous ne vous êtes peutêtre
jamais soucié du paramétrage de la réplication intrasite. Ceci est normal car un processus nommé KCC (Knowledge
Consistancy Checker vérificateur de cohérence des connaissances) exécuté sur chaque contrôleur de domaine est
chargé de mettre en place cette topologie locale et de la mettre à jour après l’ajout ou la suppression d’un
contrôleur de domaine sur le site. Il privilégiera une topologie en anneau comme la suivante :
Deux contrôleurs de domaines ayant une liaison établie entre eux (une flèche dans le schéma cidessus) sont
appelés des partenaires de réplication.
Cette base de données se compose de plusieurs partitions d’annuaire, la partition d’annuaire de schéma, la partition
d’annuaire de configuration, la partition d’annuaire de domaine et la partition d’applications.
Le schéma cidessous illustre le partitionnement de la base NTDS.DIT ainsi que la portée des partitions dans la forêt
Active Directory :
Cette partition contient la définition exhaustive des objets et attributs pouvant être créés dans l’annuaire, ainsi que
les règles de création et de gestion de ces objets. Ces informations sont répliquées sur l’ensemble des contrôleurs
de domaine de la forêt (il ne peut y avoir qu’un seul schéma Active Directory pour une forêt).
Avant d’installer Exchange 2016, il est nécessaire de mettre à jour le schéma Active Directory pour y inclure les
classes et attributs spécifiques à Exchange (par exemple, la classe connecteur, ou les attributs de compte liés à la
messagerie, tels l’accès à OutlookWebApp). Ces informations (classes et attributs) sont stockées dans la partition
de schéma.
Dans la mesure où ces modifications affectent l’ensemble des contrôleurs de domaine de la forêt, recommandation
est faite de réaliser, de tester et de valider tout changement à apporter au schéma avant un déploiement en
production afin de limiter les effets de bord.
Lorsque l’on souhaite effectuer une modification, par exemple, l’ajout d’un compte utilisateur, cette opération est
effectuée sur un seul contrôleur de domaine, auquel votre console d’administration est connectée. Dans l’illustration
suivante, vous pourrez constater que nous sommes connectés sur le contrôleur de domaine ADDC01 :
Lorsque l’on apporte une modification à Active Directory sur un contrôleur de domaine, elle sera donc répliquée sur
différents contrôleurs de domaine en fonction de leur portée.
Généralement, cette modification sera propagée sur l’ensemble des contrôleurs de domaines, qui fonctionnent donc
en réplication multimaître.
Néanmoins, il existe des opérations critiques pour la forêt et/ou les domaines qui ne peuvent être prises en charge
par n’importe quel contrôleur de domaine. Aussi, pour éviter les conflits liés à des modifications sur ces éléments,
Active Directory utilise un mode de réplication monomaître, en s’appuyant sur des contrôleurs de domaine désignés
comme maîtres d’opérations pour certaines actions, c’estàdire qu’un ou plusieurs rôles FSMO (Flexible Single
Operations Master) leur ont été affectés.
l Le maître d’attribution des noms de domaine : il gère les domaines de l’ensemble de la forêt.
l Le maître RID : il gère les pools de RID pour les contrôleurs de domaine d’un même domaine. Il est unique au sein de
chaque domaine.
l L’émulateur PDC : il est, entre autres, chargé des modifications de mot de passe, des problématiques liées à
l’authentification (échec, verrouillage). Il est unique au sein de chaque domaine.
l Le maître d’infrastructures : il est en charge de la translation et de la mise à jour des identifiants d’objets des autres
domaines (GUID Globlal Unique ID) en leur nom.
1. Contrôleur de schéma
Le rôle de contrôleur de schéma traite l’ensemble des modifications apportées au schéma Active Directory, commun
à toute la forêt.
1. Concepts fondamentaux
Un serveur DNS (Domain Name System) permet de traduire des noms de ressources intelligibles en adresses IP.
Il s’agit, pour l’expliquer simplement, d’une base de données contenant des tables de correspondance entre les
noms intelligibles que l’on donne aux ressources et les adresses IP correspondantes.
Sur Internet, toute ressource à laquelle nous souhaitons accéder dispose d’une adresse IP. Ceci va de soi lorsque
l’on sait que TCP/IP signifie Transmission Control Protocol/Internet Protocol.
Lorsque l’on tape http://www.editionseni.fr dans un navigateur, une demande de résolution est envoyée au
serveur DNS désigné dans les paramètres réseau afin qu’il résolve "www.editionseni.fr" en son adresse IP
correspondante.
Au sein d’un domaine, le principe est similaire pour nos ressources internes.
Le système de nommage sur lequel s’appuie DNS est une structure hiérarchique et logique appelée espace de noms
de domaine. L’InterNIC (Internet Network Information Center) gère la racine de cette arborescence. L’InterNIC est
chargé de déléguer la responsabilité administrative de portions de l’espace de noms de domaine mais aussi
d’inscrire les noms de domaine.
Les ressources, qu’elles soient internes ou externes, sont désignées par un nom de domaine pleinement qualifié
ou FQDN (Fully Qualified Domain Name).
l Le nom de domaine racine, matérialisé par un point (.) : il se trouve au plus haut de la structure du nom de
domaine.
l Le TLD (Top Level Domain) ou domaine de niveau supérieur : il se situe juste en dessous du nom de domaine racine.
Il s’agit de la dernière partie du nom de domaine (par exemple fr, com, org…). Dans notre exemple, il s’agit de "fr".
l Les domaines de second niveau : ils se situent en dessous du TLD. Dans notre exemple, il s’agit de editionseni.fr
(editionseni est le domaine de second niveau).
l Les sousdomaines : placés sous les domaines de second niveau, ils permettent de subdiviser un nom de domaine.
Dans notre exemple, il s’agit de training.editionseni.fr et consulting.editionseni.fr (training et consulting sont les
sousdomaines).
À cet espace de noms de domaine, on ajoute le nom d’hôte qui désigne la ressource, il s’agit de la première partie
du FQDN qui s’arrête au premier point. Dans notre exemple, il s’agit de EXCHEDGE.
Dans une adresse contenant "www" comme http://www.editionseni.fr, vous vous connectez en fait à une
machine pour laquelle le nom d’hôte www a été déclaré dans les serveurs DNS.
b. Zones DNS
Sur un serveur DNS, les noms d’hôtes constituent des enregistrements DNS qui sont stockés au sein de zones,
matérialisés par des fichiers de zones.
Un serveur DNS va stocker le couple nom d’hôte/adresse IP, mais il peut également stocker dans le sens inverse le
En effet, lorsque l’on parle de résolution de noms, on envisage généralement la résolution d’un nom d’hôte
intelligible et facilement mémorisable en son adresse IP. On parle alors de recherche directe, pour laquelle la
correspondance entre les noms d’hôtes et les adresses IP sera stockée dans une zone de recherche directe.
Mais dans certains cas, par exemple, pour vérifier que l’adresse IP d’un serveur SMTP qui tente d’envoyer un mail
vers ma plateforme de messagerie correspond bien à un serveur de messagerie dans son domaine (pour limiter le
spam), il faudra stocker la correspondance entre les adresses IP et les noms d’hôtes. On parle alors de recherche
inversée pour laquelle les adresses IP ainsi que les noms d’hôtes correspondants seront stockés au sein d’une
zone de recherche inversée.
Lorsque l’on crée une zone de recherche inversée, l’identifiant de la zone n’est pas le nom du domaine comme pour
une zone de recherche directe, mais le sousréseau correspondant aux adresses IP. Cet identifiant est affiché en
ordre inverse suivi de ".inaddr.arpa" qui est un domaine réservé aux niveaux DNS pour la résolution d’adresses IP en
noms d’hôtes (par exemple pour le sousréseau 172.16.0.0/16 nous aurons l’identifiant 16.172.inaddr.arpa).
Qu’elles soient directes ou inversées, les zones DNS hébergées sur un serveur DNS peuvent être de trois
catégories :
l Zone principale : elle contient les enregistrements pour l’espace de noms qu’elle contrôle (on dit qu’elle fait
autorité sur le domaine en question). Elle est en lecture/écriture et stocke l’ensemble des modifications apportées au
sein de cette zone. Sur un serveur DNS Active Directory, la zone principale correspondant au domaine est dite
intégrée à Active Directory et bénéficie donc des mécanismes de réplication de celuici (vous pouvez également
intégrer d’autres zones principales pour d’autres usages pour profiter de la réplication Active Directory).
l Zone secondaire : elle contient une copie en lecture seule de la zone principale. Toute modification apportée à la
zone principale y sera répliquée. Tout comme la zone principale, elle fait autorité sur le domaine.
l Zone de stub : elle contient une copie partielle d’une zone dans la mesure où elle ne stocke que les
enregistrements de ressources nécessaires à l’identification des serveurs DNS faisant autorité pour la zone en
question.
c. Enregistrements DNS
Un serveur DNS permet, outre la résolution de noms d’hôtes en adresses IP, de localiser certains types de
ressources, en voici les principaux types :
l Hôte (A) : les enregistrements de type A sont les plus courants. Ils désignent une ressource réseau comme un
serveur, mais aussi par exemple un routeur pour lequel on a souhaité définir un nom. Ils permettent par exemple la
l Pointeur (PTR) : les enregistrements PTR utilisés dans les zones de recherche inverse permettent de retrouver un
nom d’hôte à partir de son adresse IP. Par exemple, 172.16.1.21 résolu en exchsrv1.editionseni.lan.
l Service (SRV) : les enregistrements SRV permettent l’identification de l’hôte qui offre le service recherché sur le
réseau. Par exemple, pour Active Directory, nous aurons l’enregistrement _TCP._LDAP.editionseni.lan qui sera
résolu en addc01.editionseni.lan.
l Serveur de messagerie (MX Mail Exchanger) : particulièrement intéressant pour nous, les enregistrements de type
MX permettent de localiser les serveurs de messagerie pour un domaine. Par exemple, editionseni.lan sera résolu
en exchsrv1.editionseni.lan.
l Alias (CNAME Canonical Name) : permet d’ajouter un alias à un nom d’hôte existant. Par exemple, le CNAME
mail.editionseni.lan sera l’alias de exchsrv1.editionseni.lan.
l Serveur de noms (NS Name Server) : ils permettent l’identification des serveurs DNS pour une zone. Votre serveur
DNS ne contenant pas les enregistrements pour l’ensemble des domaines de la planète, il s’appuie sur ces
enregistrements de zone pour déterminer le serveur DNS faisant autorité sur le domaine recherché afin de
l’interroger et de récupérer l’information recherchée. Par exemple, editionseni.lan sera résolu en NS1.editions
eni.lan.
l Source de noms (SOA Start of Authority) : il s’agit du premier enregistrement contenu dans chaque fichier de zone
permettant d’identifier le serveur DNS principal de la zone concernée. Par exemple editionseni.lan sera résolu en
addc01.editionseni.lan.
l Enregistrements SPF (SPF Sender Policy Framework) : il s’agit d’enregistrements quelque peu particuliers. En effet,
leur type réel est le texte (TXT) et leur utilité est de définir les serveurs de messagerie autorisés à envoyer des
messages électroniques pour un nom de domaine spécifique. Ils sont employés afin de lutter contre les spams.
d. Indicateurs racine
Les indicateurs racine sont des enregistrements de ressources DNS stockés sur un serveur DNS qui répertorient
les adresses IP des serveurs racines du système DNS sur Internet, permettant de résoudre les adresses du
type .com, .fr, .org, etc.
Lorsque l’on emploie les indicateurs racine sur un serveur DNS, celuici doit disposer d’un accès Internet afin
d’effectuer les résolutions de noms d’hôtes au travers de ces enregistrements. En voici le processus :
Nous traiterons ici de l’installation des produits sous Windows Server 2012 R2, mais vous pouvez déployer votre
propre infrastructure sous Windows Server 2012 ou Windows Server 2016. Quel que soit le système que vous
choisirez, les étapes indiquées sont totalement identiques (exception faite du lancement du Gestionnaire de serveur
sous Windows Server 2016 comme évoqué plus haut dans la section Installation d’Active Directory via le Gestionnaire
de serveur).
1. Infrastructure requise
Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :
DC serveur autonome sous Windows Server 2012 R2 avec une interface graphique (pas d’édition Core) installé avec
les options par défaut. Ce serveur sera nommé ADDC1 et configuré avec l’adresse IP 172.16.1.1.
l L’ajout du rôle services Active Directory (AD DS Active Directory Directory Services).
l La configuration du rôle services Active Directory (AD DS Active Directory Directory Services).
Dans le menu Gérer, cliquez sur Ajouter des rôles et des fonctionnalités.
Sur la page Sélectionner le type d’installation, cliquez sur Suivant pour accepter l’option par défaut
Installation basée sur un rôle ou une fonctionnalité.
Sur la page Sélectionner le serveur de destination, cliquez sur Suivant pour accepter l’installation locale
sur ce serveur :
Dans la fenêtre Ajouter les fonctionnalités requises pour Services AD DS qui apparaît, cliquez sur
Ajouter des fonctionnalités :
De retour dans la page Sélectionner des rôles de serveurs, cliquez sur Suivant.
Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant (les fonctionnalités nécessaires ont
été présélectionnées automatiquement lors de l’étape précédente).
1. Questions
2 Sur quels types d’enregistrements Exchange vatil s’appuyer pour localiser le serveur SMTP d’un destinataire
externe ?
¡ B) La partition de schéma
5 Sur quel élément Exchange peutil s’appuyer pour identifier le serveur d’accès client sur lequel il va rediriger
un client qui souhaite se connecter à une boîte aux lettres ?
6 Comment appelleton la structure composée du nom d’une ressource suivie du ou des domaines associés et
qui se termine par un point ?
8 Quels types d’enregistrements DNS permettent de résoudre les adresses IP en noms d’hôtes ?
¡ A) Maître RID
¡ B) Émulateur PDC
¡ C) Catalogue global
10 Puisje utiliser le même nom DNS pour mes sites externes et pour mon domaine Active Directory (par exemple
editioneni.fr) ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
Le service DNS est tout d’abord important pour Active Directory, ce dernier y publie les enregistrements
nécessaires pour les applications s’appuyant sur celuici pour localiser les services proposés.
1. Prérequis
2. Objectifs
Tout d’abord, si nous nous référons au chapitre précédent, nous avons vu qu’Exchange 2016 s’appuyait grandement
sur l’infrastructure en place, notamment Active Directory et le DNS : il va non seulement lire des informations dans
l’annuaire, mais il va également y stocker des éléments de sa configuration. À ce titre, nous devrons préparer
l’environnement afin de pouvoir déployer un service de messagerie Exchange opérationnel.
Ensuite, il faudra se focaliser sur le serveur sur lequel Exchange sera déployé, en identifiant la configuration matérielle
requise. Outre la plateforme, une série de composants devront préalablement être installés sur le serveur avant de
pouvoir envisager un déploiement.
De ce fait, l’installation d’une solution Exchange va passer par trois étapes majeures :
Elle consiste tout d’abord en la modification du schéma Active Directory, afin d’y ajouter tous les attributs d’Exchange
2016, permettant à ce dernier de pouvoir s’appuyer sur Active Directory pour la définition et le stockage des
paramètres et attributs le concernant. Vient ensuite la préparation du domaine, consistant en l’ajout dans le domaine
où est déployé le serveur Exchange 2016 des objets requis par celuici.
Les étapes de préparation d’Active Directory seront nécessaires lors du déploiement de votre premier serveur
Exchange 2016. En revanche, pour les serveurs suivants, cela ne sera pas nécessairement le cas :
l La préparation du schéma effectuée avant le déploiement du premier serveur Exchange aura eu pour effet de préparer
le schéma de votre forêt qui est commun à l’ensemble de la forêt et donc des domaines qui le composent. De ce fait,
vous ne devriez donc pas avoir à préparer à nouveau votre schéma lors de l’installation d’un serveur Exchange 2016
additionnel. Dans le schéma cidessus, si vous avez déployé un serveur Exchange sur le domaine consulting.editions
eni.lan, alors vous n’aurez pas à préparer à nouveau le schéma si vous décidez de déployer un serveur Exchange sur le
domaine editionseni.lan ou training.editionseni.lan.
l La préparation du domaine est indispensable lorsque vous installez le premier serveur Exchange 2016 dans un domaine
Active Directory et inutile lorsque vous ajoutez un serveur Exchange supplémentaire au sein du même domaine. Mais si
vous souhaitez déployer un serveur Exchange dans un autre domaine au sein de la même forêt et s’il s’agit du premier
serveur Exchange 2016 de cet autre domaine, alors vous devrez préparer ce domaine, dans la mesure où la partition de
domaine Active Directory est spécifique à chacun de vos domaines. Dans l’illustration précédente, si vous déployez le
premier serveur Exchange 2016 du domaine consulting.editionseni.lan alors qu’il existe un serveur Exchange 2016 dans
le domaine training.editionseni.lan, alors vous devrez préparer le domaine consulting.editionseni.lan.
Pour permettre le déploiement du premier serveur Exchange 2016 de l’organisation, il faut avant tout mettre à jour
l’annuaire Active Directory quel que soit le système d’exploitation utilisé.
Les composants requis pour la mise à jour du schéma vont varier en fonction du système d’exploitation.
Si Exchange 2016 requiert d’être déployé sur un serveur sous Windows Server 2012, 2012 R2 ou Windows Server
2016, il n’impose nullement que votre domaine utilise ces mêmes systèmes d’exploitation.
Voici les prérequis pour votre environnement permettant l’installation d’Exchange 2016 sur votre forêt :
l Le contrôleur de schéma de votre forêt doit être au minimum sous Windows Server 2008.
l Les contrôleurs de domaine du domaine où vous souhaitez déployer Exchange 2016 doivent utiliser au minimum
Windows Server 2008.
l Le niveau fonctionnel de votre forêt Active Directory doit être Windows Server 2008 ou supérieur.
Si vous devez vérifier le système d’exploitation utilisé par le contrôleur de domaine de votre forêt qui héberge le
rôle FSMO contrôleur de schéma, il faut avant tout l’identifier. Il faut pour cela utiliser la console MMC Schéma
Active Directory qu’il faudra installer au préalable.
Pour déterminer quel est le contrôleur de domaine qui fait office de contrôleur de schéma pour votre forêt, vous
pouvez utiliser soit PowerShell, soit la ligne de commande ou bien l’interface graphique sur n’importe quel
contrôleur de domaine de votre forêt. Notez que la commande PowerShell donnée n’est pas disponible pour
Windows 2008/R2.
Pour déterminer le contrôleur de schéma en utilisant PowerShell (Windows 2012 / R2 et 2016), tapez la commande
suivante :
Get-ADForest
Vous obtenez alors la liste des paramètres de votre forêt, dont le nom du contrôleur de schéma :
Vous pouvez également spécifier que vous ne souhaitez afficher que le contrôleur de schéma, auquel cas, votre
commande serait la suivante :
regsvr32 schmmgmt.dll
Dans le menu Fichier de la fenêtre Console1, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable….
Sélectionnez dans la liste de gauche le composant Schéma Active Directory, cliquez sur Ajouter et
enfin sur OK :
Dans la fenêtre Console1, déployez l’arborescence Schéma Active Directory [Votre Contrôleur de
Domaine] afin de lancer la connexion au contrôleur de domaine.
Faites ensuite un clic droit sur Schéma Active Directory [Votre Contrôleur de Domaine] puis cliquez
sur Maître d’opérations….
Pour afficher le contrôleur de schéma, ainsi que tous les autres FSMO en ligne de commande, utilisez la syntaxe
suivante :
Pour déterminer le niveau fonctionnel actuel de votre forêt, procédez de la façon suivante :
Dans le menu Outils du Gestionnaire de serveur (ou depuis les outils d’administration sous Windows
2008/R2) de n’importe quel contrôleur de domaine, lancez la console Utilisateurs et ordinateurs Active
Directory.
Dans l’arborescence de gauche, faites un clic droit sur le nom de votre domaine puis cliquez sur
Propriétés.
Si le niveau fonctionnel de votre forêt est inférieur à Windows Server 2008, à savoir Windows 2000 mixte,
Windows 2000 natif ou Windows 2003, alors vous devrez songer, avant toute autre opération d’installation, à
augmenter le niveau fonctionnel de la forêt.
Attention ! Augmenter le niveau fonctionnel de la forêt aura un impact sur l’ensemble de votre domaine et n’est pas
une opération à mener à la légère. Chaque niveau fonctionnel vous apporte des améliorations mais réduit
également la compatibilité avec les systèmes antérieurs. Avant de passer vers le niveau fonctionnel Windows Server
2008, il faut impérativement veiller à ce qu’il n’y ait plus de contrôleurs de domaine Windows NT4, Windows 2000 ou
Windows 2003 au sein de votre forêt, dans la mesure où le passage vers le niveau fonctionnel Windows Server 2008
est irréversible. Néanmoins, vos serveurs Windows 2003 membres du domaine ne seront pas affectés par cette
opération.
Avant de modifier le niveau fonctionnel de votre forêt, vérifiez que vous disposez des droits suffisants
(Administrateur de l’entreprise ou une délégation suffisante).
Connectezvous sur le contrôleur de domaine qui héberge le rôle FSMO contrôleur de schéma que vous
aurez identifié au préalable.
Dans le menu Outils du Gestionnaire de serveur (ou depuis les outils d’administration sous Windows
2008/R2), cliquez sur Domaines et approbations Active Directory.
Sur la fenêtre Domaines et approbations Active Directory, dans l’arborescence de gauche, faites un clic
droit sur Domaines et approbations Active Directory (et non pas sur votre domaine) puis sélectionnez
Augmenter le niveau fonctionnel de la forêt :
Acquittez le message d’avertissement vous indiquant que l’opération effectuée affectera l’ensemble de
la forêt et qu’elle sera certainement irréversible, ainsi que la confirmation de l’augmentation du
niveau fonctionnel.
Le temps nécessaire à la propagation de la modification à l’ensemble des contrôleurs de domaine de votre forêt
dépend de vos infrastructures et de votre topologie de réplication. Contrôlez à nouveau le niveau fonctionnel de
votre forêt avant de procéder aux étapes de préparation du schéma pour Exchange.
Pour réaliser les étapes suivantes, vous devez être membre du groupe Administrateurs de domaine du domaine
concerné.
Pour déterminer le niveau fonctionnel actuel de votre domaine, procédez de la façon suivante :
Connectezvous sur un contrôleur de domaine du domaine où sera installé le serveur Exchange 2016.
Dans le menu Outils du Gestionnaire de serveur (ou depuis les outils d’administration sous Windows
2008/R2) de n’importe quel contrôleur de domaine, lancez la console Utilisateurs et ordinateurs Active
Avant toute chose, nous allons nous attacher à la configuration minimale requise pour déployer Exchange sur un
serveur, puis sur ce serveur, nous allons installer les prérequis et enfin, déployer Exchange.
Nous traitons bien ici des minimas nécessaires, le dimensionnement étant traité dans le chapitre
Dimensionnement et architecture.
Commençons tout d’abord par le matériel : les trois composants majeurs à évaluer sont le processeur, la mémoire
vive et le stockage.
Concernant le processeur, il doit s’agir d’un processeur basé sur une architecture 64bits x64, Intel (Intel EM64T) ou
AMD (AMD64).
Les processeurs Intel Itanium architecture IA64 ne sont pas pris en charge.
Concernant la mémoire vive (RAM Random Access Memory) la capacité requise va dépendre des rôles déployés sur
un serveur Exchange 2016 :
l Pour un serveur hébergeant le rôle Serveur de boîtes aux lettres, il faut prévoir 8 Go de RAM.
En termes de stockage, vous devez disposer de 30 Go d’espace disponible sur le lecteur où vous souhaitez déployer
Exchange 2016.
Les considérations quant au stockage des bases de données de boîtes aux lettres sont traitées dans le chapitre
Dimensionnement et architecture.
Ensuite, nous devons déterminer le système d’exploitation à utiliser sur notre serveur Exchange 2016. Vous devrez
choisir entre :
l Windows Server 2012 R2 : Éditions Standard ou Datacenter de Windows Server 2012 R2.
Exchange 2016 ne peut pas être déployé sur les éditions Core de Windows Server.
L’installation des prérequis va consister tout d’abord en la vérification de la version des composants installés sur le
serveur, ainsi que l’installation de composants que l’on téléchargera au préalable.
Contrairement à la version précédente, il n’est plus nécessaire de déployer une série de fonctionnalités au
a. Vérification du Framework.NET
Exchange 2016 s’appuie sur le Framework .NET 4.5.2 dans sa version initiale sur le marché (RTM Release to
Manufacturing). Exchange Server 2016 Cumulative Update 2 supporte quant à lui le framework 4.5.2 et 4.6.1.
Vous pouvez vérifier la matrice de compatibilité d’Exchange 2016 avec le Framework .NET à l’adresse suivante :
https://technet.microsoft.com/frfr/library/aa996719(v=exchg.160).aspx
Par défaut, Windows server 2012 est livré avec le Framework .NET 4.5, Windows Server 2012 R2 est livré avec la
version 4.5.1 et Windows Server 2016, à l’heure où nous écrivons ces lignes, avec la version 4.6.1.
Il est probable que le Framework .NET ait été mis à jour au travers de Windows Update, mais il conviendra tout de
même de vérifier la version déployée sur votre serveur. Microsoft recommande de déployer, avec les
Framework .NET requis, l’ensemble des correctifs afférents.
Afin de vérifier la version actuellement déployée sur votre serveur, nous allons consulter le Registre Windows. Voici
la procédure à suivre :
Tapez regedit.
Dans le volet de droite, vérifiez alors la valeur entre parenthèses de la clé Release :
n Valeur égale à 378389 : Framework .NET 4.5 (Windows Server 2012 de base)
n Valeur égale à 378675 : Framework .NET 4.5.1 (Windows Server 2012 R2 de base)
n Valeur égale à 394254 ou 394271 : Framework .NET 4.6.1 (correctifs installés ou non)
n Valeur égale à 394747 ou 394748 : Framework .NET 4.6.2 Preview (correctifs installés ou non)
Si vous obtenez une autre valeur, vous pouvez la vérifier dans le tableau proposé par Microsoft disponible à
l’adresse suivante : https://msdn.microsoft.com/frfr/library/hh925568(v=vs.110).aspx
Dans le cas où vous ne disposeriez pas du Framework .NET 4.5.2 ou 4.6.1, il faudra le mettre à jour soit via
Windows Update, soit en le téléchargeant sur le site de Microsoft à l’adresse suivante :
https://www.microsoft.com/frfr/download
À l’heure où nous écrivons ces lignes, Microsoft recommande vivement d’employer le Framework 4.5.2 sur les
serveurs Windows 2012 et Windows 2012 R2. Le Framework 4.6.1 présent sur Windows Server 2016 devra être
mis à jour avec les derniers correctifs en vue du déploiement.
Après la mise à jour du Framework 4.5 ou ultérieur, vous devrez télécharger et installer Microsoft Unified
Communications Managed API 4.0, Runtime Core 64bits disponible à l’adresse suivante :
http://www.microsoft.com/frfr/download/details.aspx?id=34992
Pour le moment, Microsoft recommande l’installation de la version 4.0 de son UCMA, malgré la présence de la
version 5.0. Nous vous invitons à vérifier, lors de votre installation l’évolution des prérequis pour Exchange 2016 à
l’adresse suivante : https://technet.microsoft.com/frfr/library/bb691354(v=exchg.160).aspx
Exchange 2016 s’appuie sur le planificateur de tâches qu’il enrichit de nouvelles tâches suite à son
installation. Ces tâches, employées entre autres pour la maintenance, sont essentielles pour le bon
fonctionnement d’Exchange 2016.
Par défaut, le planificateur de tâches est exécuté au démarrage de Windows Server 2012 / R2 et 2016, mais vous
pouvez, si nécessaire vérifier que le service est bien en cours d’exécution et démarré automatiquement en
procédant de la façon suivante :
Dans la liste des services, localisez le service Planificateur de tâches puis faites un clic droit dessus et
sélectionnez Propriétés :
Vérifiez que le Type de démarrage est bien Automatique et que l’État du service affiche En cours
d’exécution.
Exchange 2016 nécessite pour pouvoir fonctionner correctement, la présence de plusieurs fonctionnalités
Windows. Contrairement à la version précédente du produit, cette étape est désormais optionnelle, car l’installeur,
peut effectuer cette opération : soit en cochant la case correspondante dans l’installation en mode graphique, soit
en ajoutant un commutateur dans une installation sans assistance. Ceux d’entre vous qui souhaitez néanmoins,
pour une meilleure maîtrise, installer les fonctionnalités nécessaires avant le déploiement d’Exchange, pourront
s’appuyer sur les points suivants. Comme vous le verrez cidessous, les commandes vont varier en fonction de
l’environnement entre Windows Server 2012 / R2 et Windows Server 2016
Pour l’installation du serveur de boîtes aux lettres sous Windows Server 2012 ou 2012 R2, vous devez ajouter les
fonctionnalités requises via PowerShell grâce à la commande suivante :
Ce script est disponible en téléchargement depuis la page Informations générales. Il est nommé
prerequisW2012MB.ps1.
Un redémarrage sera nécessaire à l’issue de l’installation. Si vous souhaitez que votre serveur redémarre
automatiquement après l’installation des fonctionnalités requises, vous devrez employer le commutateur -
restart comme cidessous :
Pour l’installation du serveur de boîtes aux lettres sous Windows Server 2016, vous devez ajouter les
fonctionnalités requises, qui different légèrement de celles pour Windows Server 2012/R2 via PowerShell grâce à
la commande suivante :
Install-WindowsFeature NET-WCF-HTTP-Activation45,
NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering,
RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt,
Nous allons utiliser ici une infrastructure complète basée sur Windows Server 2012, mais vous pourrez l’adapter si
nécessaire à votre besoin grâce aux éléments fournis dans ce chapitre.
1. Infrastructure requise
Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :
l DC : Serveur Windows 2012 R2, contrôleur de domaine du domaine editionseni.lan nommé ADDC1 et configuré
avec l’adresse IP 172.16.1.1 (si vous avez besoin de l’installer ou de le réinstaller, référezvous aux ateliers pratiques
du chapitre Intégration à Active Directory). Les services DNS pour Active Directory doivent être installés.
l EXCH : Serveur sous Windows Server 2012 R2 avec une interface graphique (pas d’édition Core) installé avec les
options par défaut. Ce serveur, nommé EXCHSRV1, doit être configuré avec l’adresse IP 172.16.1.21 et le DNS
principal 172.16.1.1. Enfin, il doit être membre du domaine editionseni.lan.
Ces machines doivent être en mesure de communiquer entre elles et devraient, dans la mesure du possible, disposer
d’un accès Internet. Assurezvous de paramétrer vos passerelles en ce sens, et dans le cas d’un environnement
virtualisé, de disposer du commutateur virtuel adéquat. Dans le cas contraire, vous devrez télécharger les outils
demandés lors du TP et les copier sur les machines où ils sont requis.
La machine sur laquelle les manipulations devront être réalisées sera indiquée dans le titre entre crochets "[ ]".
a. Préparation de l’annuaire
Ouvrez une fenêtre d’invite de commandes et positionnezvous sur le lecteur ou bien le répertoire
contenant les fichiers d’installation d’Exchange 2016 et lancez la commande suivante afin de préparer le
schéma Active Directory :
Lancez ensuite la commande de préparation du domaine Active Directory qui créera également une
organisation Exchange nommée EDITIONSENI :
La préparation de l’annuaire est terminée. Nous allons maintenant basculer sur le serveur afin d’y installer ses
prérequis.
Lancez l’environnement Windows PowerShell à partir de la barre des tâches, puis exécutez la commande
suivante, ou exécutez le script prerequis2012.ps1 que vous aurez téléchargé au préalable depuis la page
Informations générales :
À la fin de l’installation, vous pouvez obtenir un message d’avertissement vous conseillant d’activer les mises à jour
Windows Update.
Rappelezvous que cette étape peut être ignorée si vous décidez de recourir à l’installation des fonctionnalités
automatique pendant l’installation d’Exchange 2016.
Vous devez télécharger et installer les composants suivants dans l’ordre indiqué :
n 2. Microsoft Unified Communications Managed API 4.0, Runtime Core 64bits disponible à l’adresse suivante :
https://www.microsoft.com/frfr/download/details.aspx?id=34992
Rappel ! Le Framework.NET 4.5.2 ne concerne que Windows 2012 et Windows 2012 R2. Si vous déployez un serveur
Exchange sous Windows Server 2016, vous devez installer les correctifs pour le Framework .NET 4.6.1.
Démarrez l’installation d’Exchange au travers de l’autorun de votre CDROM d’installation d’Exchange 2016
ou bien en double cliquant sur le fichier setup.exe du répertoire contenant les fichiers d’installation
d’Exchange 2016.
Si l’assistant s’affiche en anglais alors que vous employez un système d’exploitation en français et que vous utilisez
une image ISO, copiez les fichiers d’installation dans un répertoire local du serveur Exchange et relancez le processus
d’installation depuis ce répertoire.
Dans la fenêtre Vérifier les mises à jour, sélectionnez Ne pas vérifier les mises à jour maintenant, puis
cliquez sur suivant.
Sur la page Contrat de licence, sélectionnez J’accepte les termes du contrat de licence (si vous êtes
d’accord) puis cliquez sur suivant.
Sur la page Paramètres recommandés, laissez l’option par défaut et cliquez sur suivant.
Sur la page Sélection du rôle serveur, cochez Rôle de boîte aux lettres puis cliquez sur suivant :
1. Questions
2 Si je suis l’administrateur d’un sousdomaine d’une forêt, puisje préparer l’annuaire au travers de mes droits
d’administrateur de mon domaine ?
5 Doisje installer tous les rôles sur l’ensemble de mes serveurs Exchange 2016 ?
7 Je dispose d’une infrastructure Active Directory Windows 2003, puisje déployer Exchange 2016 ?
9 Quels sont les deux principaux outils déployés lors de l’installation d’Exchange 2016 qui me permettront
d’administrer Exchange ?
10 Estil obligatoire de déployer les fonctionnalités Windows requises par Exchange 2016 avant l’installation de
ce dernier ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
Il faut en premier lieu préparer l’annuaire Active Directory (schéma et domaine) puis installer sur le serveur qui
hébergera Exchange les composants logiciels nécessaires. Sans cela, le processus d’installation vous empêchera de
poursuivre le déploiement après l’étape de vérification des prérequis.
2 Si je suis l’administrateur d’un sousdomaine d’une forêt, puisje préparer l’annuaire au travers de mes droits
d’administrateur de mon domaine ?
Non. Vous devriez disposer des droits d’administrateur du schéma pour effectuer cette opération dans ce cas de
figure, ou bien être membre du groupe Administrateurs de l’entreprise, dans la mesure où la préparation du
schéma va impacter l’ensemble des domaines de la forêt.
Non, vous ne pouvez déployer qu’une seule organisation Exchange au sein de votre forêt qui pourra gérer les
services de messagerie pour l’ensemble des domaines de la forêt.
L’installation via l’assistant d’installation Exchange utilisant une interface graphique et l’installation sans assistance
utilisée en ligne de commande, via le fichier setup.exe situé à la racine du répertoire d’installation d’Exchange.
1. Prérequis
Connaissances sur les prérequis de déploiement d’une infrastructure Exchange Server 2016.
Connaissances sur les scénarios de déploiement d’une infrastructure Exchange Server 2016.
2. Objectifs
Savoir lancer et identifier les outils présents dans la console Exchange Toolbox.
Savoir quand et comment écrire un script PowerShell utilisant les cmdlets Exchange.
Savoir lancer et utiliser les options de boîte aux lettres Outlook sur le Web.
Savoir mettre en place une stratégie d’audit d’administration et de boîte aux lettres.
L’offre globale de gestion de la messagerie par Microsoft s’appuie donc non seulement sur Exchange mais aussi sur
Office 365. L’intégration des deux solutions met en valeur des scénarios hybrides qui vont permettre par
l’intermédiaire d’une interface web et d’un outil en ligne de commande très proche, de rendre homogène l’expérience
d’administration.
Toutefois, Office 365 bénéficiant d’un cycle de mise à disposition des développements beaucoup plus court
qu’Exchange, on peut voit régulièrement apparaître des décalages au niveau des outils d’administration.
Ainsi, depuis Exchange Server 2013, l’administration graphique se fait par l’intermédiaire d’une console
d’administration web appelée le Centre d’administration Exchange dont l’interface et la navigation ont été refondues
pour une meilleure exploitation via un navigateur web et un déploiement plus simple que les outils de type client lourd
comme les consoles mmc qui étaient utilisées auparavant.
Une version adaptée de cette console web est mise à la disposition des utilisateurs pour gérer leur environnement de
messagerie en fonction de leurs droits.
Depuis Exchange Server 2007 et tout comme Office 365, le serveur de messagerie s’appuie sur l’environnement
PowerShell et la version 2016 confirme cette orientation prise par Microsoft pour tous ses produits. Cela se
matérialise par un environnement PowerShell dédié à Exchange Server 2016 appelé Exchange Management Shell.
On notera aussi la présence de la console Exchange Toolbox héritée des précédentes versions et
assurant l’administration des paramètres nécessitant un client lourd ou n’ayant pas été migrés vers les nouveaux
outils.
Historiquement, et ceci depuis plusieurs versions, Microsoft fait évoluer les interfaces et les outils
d’administration dans les Services Pack et les Cumulative Updates mis à disposition dans les mois suivant la sortie du
produit. Exchange Server 2016 suivra certainement ce chemin avec les prochaines Cumulative Update qui arriveront.
Les administrateurs des précédentes versions d’Exchange remarqueront rapidement que, bien que pratique, la
nouvelle console web n’offre pas encore tout le raffinement que pouvait offrir la console d’administration d’Exchange
2007 et Exchange 2010.
1. Présentation de la console
La console Centre d’administration Exchange (EAC) se présente sous la forme d’un site web pouvant être mis à
disposition des administrateurs facilement par le biais d’une simple publication HTTP.
Compatible avec les principaux navigateurs présents sur le marché (Internet Explorer, Firefox, Chrome, Safari…), par
défaut, la console sera joignable par l’intermédiaire de l’adresse suivante :
La connexion via le protocole HTTPS est obligatoire par défaut pour garantir la sécurité des informations
d’authentification. À l’usage, il sera nécessaire de personnaliser la configuration des certificats pour qu’elle soit
transparente pour les administrateurs.
Seuls les administrateurs habilités seront en mesure de s’y connecter. Les utilisateurs seront redirigés le cas
échéant sur la console de gestion des options de boîte aux lettres que nous aborderons un peu plus loin dans ce
chapitre.
La console bénéficie de l’implémentation du SSL pour en sécuriser l’authentification mais aussi pour garantir la
confidentialité des opérations qui seront réalisées par les administrateurs. Par défaut, le certificat utilisé est
autosigné et il sera fortement recommandé de le remplacer par un certificat issu d’une autorité de certification
publique ou privée. Les manipulations nécessaires seront abordées dans le chapitre Mise en place de la sécurité.
Exchange Server 2016 se positionne comme la suite naturelle d’Exchange Server 2013 et bénéficie d’une intégration
poussée avec son homologue hébergé Office 365. Les principales évolutions d’Exchange Server 2016 s’appuient
d’ailleurs sur l’expérience capitalisée par les équipes d’Office 365. Des passerelles permettant la mise en place d’un
environnement mixte sur site/dans le nuage sont donc présentes et ce point justifie d’autant plus le choix d’une
La console Centre d’administration Exchange a pour objectif de gérer les principaux composants d’infrastructure et
d’administration d’Exchange Server 2016.
À partir du menu Windows, tapez ADSI, puis lancez l’outil Modification ADSI.
Dans la console Modification ADSI, cliquez sur le nœ ud Modification ADSI à partir de l’arborescence de
gauche puis sur Connexion….
Dans l’arborescence de gauche, naviguez jusqu’au conteneur CN= Configuration, DC= <Nom du
domaine>, DC= <Extension du domaine> \ CN= Services \ Microsoft Exchange \ <Nom de votre
organisation>.
Observez et naviguez dans les différents conteneurs qui hébergent les paramètres de l’infrastructure
Exchange.
Quel que soit le serveur à partir duquel la console va être lancée, la majeure partie des modifications des
paramètres seront enregistrées dans la base de données Active Directory, dans la section réservée à Exchange
dans la partition de Configuration.
La console EAC est en réalité un frontal graphique qui s’appuie sur les interfaces de programmation (API Application
Programming Interface) des commandes PowerShell. Toutes les options de configuration d’Exchange Server 2016
n’ont pas été implémentées, et pour avoir accès à l’ensemble des paramètres il faudra passer obligatoirement par
l’environnement Exchange Management Shell.
Limitée à quelques fonctions nécessitant un client lourd ou n’ayant pas été portées sur la console web, elle propose
les outils suivants :
l Afficheur des files d’attente : permet d’afficher la file d’attente SMTP et d’analyser l’origine des erreurs de remise
des emails domaine par domaine. Ce module est très souvent utilisé pour dépanner les services de transport.
l Analyseur de connectivité à distance : lance le site web du même nom qui permet de valider la connectivité
extérieure du serveur Exchange mais aussi Skype for Business, Office 365… (https://testconnectivity.microsoft.com/ ).
1. Présentation de PowerShell
PowerShell est un environnement d’exécution de script très puissant qui permet entre autres d’automatiser des
tâches dans un environnement Windows. Il se présente sous la forme d’un environnement en ligne de commande
qui s’apparente fortement aux différents shells que l’on peut trouver dans le monde UNIX/Linux. En reprenant une
philosophie de base identique, il ajoute aux shells existants une rigueur dans la syntaxe des commandes et une
orientation plus marquée à destination des administrateurs.
Le principe de PowerShell est d’utiliser de petites commandes simples appelées cmdlets que l’on va combiner à
l’aide de pipelines pour créer des fonctions complexes et complètes, l’objectif étant d’éviter au maximum
l’utilisation de boucles et l’écriture d’algorithmes.
Les cmdlets utilisent toutes le même formatage avec un verbe qui va définir le type d’action à réaliser (New pour
nouveau, Get pour lister,
Set pour modifier...) suivi du nom du type d’objets à manipuler (Mailbox pour les
boîtes aux lettres, Eventlog pour les journaux d’événements...).
Dans la mesure où il a été conçu pour être utilisé par des administrateurs, il s’articule autour d’un concept simple
qui régit la plupart des tâches d’administrations à savoir :
l Lister les objets/éléments/composants voulus (ex : lister toutes les boîtes aux lettres d’une organisation).
l Appliquer un filtre (ex : ne garder que les boîtes aux lettres hébergées sur un serveur spécifique).
l Appliquer une opération (ex : modifier le quota des boîtes aux lettres).
Dans ce contexte, PowerShell est très efficace dans le traitement de masse et simple d’application car les trois
opérations seront réalisées en une seule ligne là où d’autres systèmes de scripting en demandent parfois des
dizaines.
PowerShell est un langage orienté objet. Lorsque l’on récupère une liste à la suite d’une commande, il ne s’agit
Les commandes travaillant avec des objets typés, l’environnement PowerShell permet d’enchaîner les commandes
à l’aide de pipelines tout en vérifiant la cohérence des informations qui sont passées.
Un pipeline permet à un ensemble de cmdlets d’échanger implicitement leurs paramètres. Les données qui
parcourent le pipeline passent par chaque cmdlets. Pour créer un pipeline, le caractère « | » est utilisé. La sortie
de chaque cmdlet est utilisée comme entrée de la cmdlet suivante si le type de donnée est compatible.
Le pipeline est sans doute le concept le plus intéressant de PowerShell. Correctement utilisé, il permet de simplifier
la saisie de commandes complexes, mais également de simplifier la lecture du flux de données dans les
commandes.
De plus, PowerShell est devenu quasi incontournable dans les produits Microsoft actuels ce qui est d’autant plus
motivant pour commencer à se former. Il sera ainsi à l’avenir facile de mettre en place dans un même script des
interactions entre plusieurs produits.
Il est aussi possible de créer ses propres cmdlets afin de rendre facilement scriptable des applications qui ne sont
pas nativement ou officiellement prises en charges. Les bibliothèques de commandes peuvent être disponibles
sous forme de SnapIn (composants enfichables) ou de Modules. On retrouve beaucoup de bibliothèques sur le site
Codeplex http://www.codeplex.com
L’environnement PowerShell est aussi capable d’exécuter des commandes classiques (ping, ipconfig, netsh…), de
dialoguer avec des scripts batch, vbs ou autres et d’utiliser nativement les assemblies et les objets COM pour
étendre ses capacités.
Ces différentes extensions permettent de bénéficier dans un même script de la richesse et de la simplicité des
commandes natives PowerShell mais aussi de la puissance du Framework .NET et COM ainsi que de la compatibilité
des scripts utilisant des technologies plus anciennes.
Dans les différents environnements d’édition, les commandes, les paramètres ainsi que certains attributs
bénéficient de la complétion automatique à l’aide de la touche de tabulation et un historique est disponible par la
touche [F7].
Une interface graphique appelée PowerShell ISE (PowerShell Integrated Scripting Environment) permet la mise au
point de scripts plus complexes en offrant des fonctions IntelliSense ([Ctrl][Espace] menus contextuels de
complétion en cours d’écriture), des Snipets par le raccourci [Ctrl] J (structure de code toute faite), un panneau
contenant toutes les commandes disponibles intégrant un assistant d’écritures, et des fonctions de débogage
([F9]) et de pas à pas ([F10], [F11], [Shift][F11]).
Pour trouver une commande, il est possible d’utiliser la cmdlet Get-Command qui va lister l’ensemble des cmdlets
de l’environnement. Il est ensuite possible d’ajouter un filtre pour affiner la recherche en utilisant des caractères
génériques comme * (remplace un nombre de caractères indéfini) et ? (remplace un seul caractère).
Pour avoir plus de détail sur une commande, il est possible d’utiliser la cmdlet Get-Help que l’on peut comparer à
la commande man du monde unix/linux.
Plusieurs niveaux de détail peuvent être sollicités via la commande GetHelp en ajoutant les paramètres suivants :
Afin de réaliser les ateliers suivants, il est nécessaire d’avoir les composants d’infrastructure suivants :
l DC Contrôleur de domaine pour le domaine editionseni.lan configuré avec l’espace de noms DNS. Le serveur
appelé ADDC1 est configuré avec l’adresse IP 172.16.1.1.
l EXCH Serveur de messagerie Exchange Server 2016 configuré avec le rôle boîtes aux lettres (MBX). Le
serveur appelé EXCHSRV1 est configuré avec l’adresse IP 172.16.1.21.
Afin de réaliser certaines manipulations, il est nécessaire que les machines soient connectées à Internet, par l’ajout
d’une seconde carte (connectée directement sur Internet) ou par une passerelle permettant l’accès vers Internet.
La machine sur laquelle les manipulations doivent être réalisées est indiquée dans le titre entre crochets "[ ]".
Lancez l’environnement Exchange Management Shell à partir du menu Windows, puis exécutez les
commandes suivantes :
La commande Get-Mailbox renvoie la liste des objets boîte aux lettres avec leurs propriétés, en ajoutant le pipe
vers la commande Get-Member, on liste l’ensemble des propriétés et méthodes des objets retournées par Get-
Mailbox.
En utilisant la cmdlet Format-List, on va pouvoir sélectionner les propriétés ainsi que leurs états pour la boîte aux
lettres Administrateur.
On peut dans le cas de commande classique retournant du texte, faire un filtre pour rechercher une chaîne de
caractères précise à la manière d’un grep sous Linux/UNIX.
Update-Help
PS > Start-Transcript
Liste les commandes de base des cmdlets et des autres commandes PowerShell :
PS > Get-Command
PS > Get-MailboxDatabase
PS > Get-MailboxServer
Affiche les informations du journal d’événement Exchange local ainsi que son contenu :
PS > Stop-Transcript
PS > Get-Alias ps
PS > gh
1. Présentation de la console
Introduites avec la version 2010, les options de boîte aux lettres Outlook sur le Web (OWA) permettent
d’administrer les aspects utilisateurs de la configuration Exchange. Elles sont disponibles pour tous les utilisateurs
disposant d’une boîte aux lettres dans l’infrastructure.
Avec Exchange Server 2016, cette console se présente sous deux formes, à savoir un nouveau site web qui reprend
l’interface d’Office 365 avec les principaux paramètres et l’ancienne interface qui reprend l’ensemble des paramètres
présents sous Exchange Server 2013 et qui n’ont pas été portés sur la nouvelle.
La nouvelle console est disponible à partir du lien Option du portail web Outlook sur le Web et l’ancienne console
est accessible à partir du lien Autre de la nouvelle console ou du chemin http://<serveur>/ecp/.
Tout comme la console Centre d’administration Exchange, l’accès est sécurisé par le protocole HTTPS et va
nécessiter une configuration des certificats adaptée pour qu’elle soit transparente pour les utilisateurs.
Cette console, accessible potentiellement par tous les utilisateurs, va aussi permettre de faciliter la
délégation d’administration sur des fonctions comme la gestion des boîtes aux lettres existantes, la gestion des
listes de distribution, faire le suivi des messages et la gestion des synchronisations des périphériques mobiles…
Elle va donc permettre de rendre accessibles facilement ces options à l’ensemble des utilisateurs sans la complexité
du déploiement d’un client lourd sur les postes.
La nouvelle console se présente sous la forme d’une arborescence à gauche, présente en permanence, qui va
permettre de basculer entre les différentes thématiques de configuration.
Depuis Exchange Server 2010, la délégation d’administration a été entièrement revue afin d’être plus souple et
utilisable par des groupes d’utilisateurs autres que les administrateurs de messagerie.
Elle repose dorénavant sur le principe RBAC (RoleBased Access Control) dont l’objectif est d’utiliser des modèles
prédéfinis mais personnalisables de délégation. Chaque modèle correspond à un rôle d’administration d’Exchange et
sera affecté à une population d’utilisateurs. Il n’est donc maintenant plus nécessaire de modifier directement les
listes de contrôle d’accès (ACL) comme c’était le cas dans les versions précédentes.
La mise en place d’une délégation RBAC, aussi appelée groupe de rôles, passe par la configuration de trois
éléments : le périmètre d’application, les rôles et les membres.
l Périmètre d’application : il s’agit d’une OU, d’un groupe d’utilisateurs ou tout simplement d’un conteneur de
configuration. Tous les rôles ont par défaut un périmètre d’application. Lorsque vous créez un nouveau rôle RBAC, il
est enfant d’un rôle déjà existant et hérite du périmètre de son parent. Il est toutefois possible de spécifier un
périmètre spécifique lors de sa création ou de le modifier par la suite.
l Rôles : Exchange Server 2016 possède 89 rôles prédéfinis (71 côté administrateurs et 18 côté utilisateurs). Vous
pouvez créer des rôles personnalisés enfants de rôles existants mais ayant moins de droits. L’attribution des droits se
fait par sélection des cmdlets PowerShell que le rôle pourra exécuter au final. Les rôles sont en fait des autorisations
sur les cmdlets PowerShell qui pourront être exécutées.
l Membres : vous pouvez assigner le rôle aussi bien à un utilisateur unique qu’à un groupe entier mais il est
recommandé d’utiliser les groupes pour une administration simplifiée.
Il est important de garder en tête ce fameux triangle du pouvoir afin de visionner les différents composants pour
vous y retrouver.
En s’appuyant sur les 89 rôles prédéfinis, suite au déploiement de l’infrastructure Exchange, l’assistant d’installation
Afin de réaliser les ateliers suivants, il est nécessaire d’avoir les composants d’infrastructure suivants :
l DC Contrôleur de domaine pour le domaine editionseni.lan configuré avec l’espace de noms DNS. Le serveur
appelé ADDC1 est configuré avec l’adresse IP 172.16.1.1.
l EXCH Serveur de messagerie Exchange Server 2016 configuré avec le rôle boîtes aux lettres (MBX). Le
serveur appelé EXCHSRV1 est configuré avec l’adresse IP 172.16.1.21.
Afin de réaliser certaines manipulations, il est nécessaire que les machines soient connectées à Internet, par l’ajout
d’une seconde carte (connectée directement sur Internet) ou par une passerelle permettant l’accès vers Internet.
La machine sur laquelle les manipulations doivent être réalisées est indiquée dans le titre entre crochets "[ ]".
[DC] Ajout d’un utilisateur ou d’un groupe à un groupe de rôles existant à l’aide de l’outil Utilisateurs et
ordinateurs Active Directory
Lancez la console Utilisateurs et ordinateurs Active Directory à partir du menu Outils d’administration.
Cliquez avec le bouton droit sur le groupe de sécurité Organization Management, puis cliquez sur
Propriétés.
Dans l’onglet Membres, cliquez sur le bouton Ajouter et sélectionnez le compte lthobois.
Vérifiez que vous avez accès à l’ensemble des paramètres d’administration disponible à l’administrateur.
[EXCH] Ajout d’un utilisateur ou d’un groupe et d’un rôle à un groupe de rôles existant à l’aide de la console
Centre d’administration Exchange
Lancez la console Centre d’administration Exchange à partir de votre navigateur Internet en tapant
l’adresse https://<serveurexchange>/ecp/, puis authentifiezvous avec un compte ayant les
privilèges administratifs sur l’organisation Exchange (le compte Administrateur par exemple).
La journalisation d’audit permet de créer un historique des accès et des actions réalisées sur l’infrastructure
Exchange. Cette fonctionnalité permet notamment de se conformer aux exigences et demandes réglementaires
auxquelles peut être assujettie l’entreprise dont les emails sont hébergés par l’infrastructure Exchange.
L’historique ainsi constitué va permettre de suivre les modifications qui ont été réalisées sur l’infrastructure
Exchange à l’aide d’outils de requête puissants. Il sera ainsi possible de faire des recherches avancées sur des
caractéristiques précises mais aussi d’extraire des tendances grâce à la puissance de PowerShell.
La génération des audits peut se faire à deux niveaux, au niveau administrateur afin de contrôler l’activité de
paramétrage de l’infrastructure Exchange et au niveau utilisateur pour contrôler les accès aux ressources.
Il existe aussi par défaut un journal des évènements appelé MSExchange Management qui contient un historique
des cmdlets exécutées par l’infrastructure Exchange, celuici est consultable à l’emplacement suivant :
Lancez la console Observateur d’évènements à partir de la liste des outils d’administration, développez
le nœ ud Journaux des applications et des services et cliquez sur MSExchange Management.
Les audits d’administration permettent de sauvegarder les actions réalisées par les administrateurs à des fins de
contrôle ou d’historique des actions menées sur l’infrastructure. Ils ciblent exclusivement les actions de modification
de configuration de l’infrastructure Exchange.
Les audits d’administration sont intégrés au moteur d’exécution des cmdlets qui vont être exécutées par les
administrateurs. Cela couvre à la fois les commandes lancées directement à partir de l’environnement Exchange
La journalisation des audits d’administration est activée par défaut et peut être configurée par l’intermédiaire de
l’environnement Exchange Management Shell et de la cmdlet Set-AdminAuditLogConfig. Cette commande
permet notamment de filtrer les cmdlets et les paramètres à auditer ainsi que la durée de vie des entrées d’audit
dans le journal. La cmdlet permet aussi de définir le paramètre LogLevel à Verbose afin d’activer la
journalisation détaillée et ainsi ajouter les propriétés modifiées à l’entrée d’audit notamment l’ancienne et la
nouvelle valeur.
Le journal d’audit est archivé dans une boîte aux lettres dédiée et masquée.
Il est ensuite possible de consulter ou d’exporter le journal d’audit d’administration par la console Centre
d’administration Exchange.
Lancez la console Centre d’administration Exchange à partir de votre navigateur Internet en tapant
l’adresse https://<serveurexchange>/ecp/, puis authentifiezvous avec un compte ayant les privilèges
administratifs sur l’organisation Exchange (le compte Administrateur par exemple).
Pour une recherche plus avancée dans le journal d’audit d’administration, les cmdlets Search-AdminAuditLog
et New-AdminAuditLogSearch sont disponibles dans l’environnement Exchange Management Shell.
Les recherches se faisant sur des index, il peut y avoir un délai allant jusqu’à 15 minutes avant que les opérations
arrivent dans les résultats des recherches.
Afin de réaliser les ateliers suivants, il est nécessaire d’avoir les composants d’infrastructure suivants :
l DC Contrôleur de domaine pour le domaine editionseni.lan configuré avec l’espace de noms DNS. Le serveur
appelé ADDC1 est configuré avec l’adresse IP 172.16.1.1.
l EXCH Serveur de messagerie Exchange Server 2016 configuré avec le rôle boîtes aux lettres (MBX). Le
serveur appelé EXCHSRV1 est configuré avec l’adresse IP 172.16.1.21.
Les utilisateurs Loïc THOBOIS (lthobois) et Eric PRASEUTH (epraseuth) doivent être créés. L’utilisateur Loïc
THOBOIS doit être membre du groupe Organization Management.
Afin de réaliser certaines manipulations, il est nécessaire que les machines soient connectées à Internet, par l’ajout
d’une seconde carte (connectée directement sur Internet) ou par une passerelle permettant l’accès vers Internet.
La machine sur laquelle les manipulations doivent être réalisées est indiquée dans le titre entre crochets "[ ]".
Lancez la console Centre d’administration Exchange à partir de votre navigateur Internet en tapant
l’adresse https://<serveurexchange>/ecp/, puis authentifiezvous avec un compte ayant les privilèges
administratifs sur l’organisation Exchange (le compte Administrateur par exemple).
Dans la page destinataires, ouvrez le compte Eric PRASEUTH, naviguez jusqu’à la page adresse de
messagerie, ajoutez l’adresse mia@editionseni.lan à l’aide du bouton plus (+), naviguez jusqu’à la page
délégation de boîte aux lettres, dans la partie Accès total, ajoutez l’utilisateur Loïc THOBOIS à l’aide du
bouton plus (+) et cliquez sur le bouton Enregistrer.
[EXCH] Vérifiez les audits d’administration à partir de l’environnement Exchange Management Shell
Lancez l’environnement Exchange Management Shell à partir du menu Windows, puis exécutez la
commande suivante pour vérifier que le paramètre AdminAuditLogEnabled est activé et que les
paramètres AdminAuditLogCmdlets et AdminAuditLogParameters sont à {*} indiquant que
toutes les cmdlets et tous les paramètres seront audités.
PS > Get-AdminAuditLogConfig
PS > Search-AdminAuditLog
1. Questions
1 Si vous souhaitez regrouper un ensemble d’utilisateurs pour mettre en place une délégation administrative,
quelles sont les étapes les plus adaptées pour réaliser cette opération ?
2 Si vous souhaitez déléguer l’administration des boîtes aux lettres à un administrateur spécialisé, quel est le
moyen le plus efficace pour le faire ?
3 Quel outil d’administration allezvous utiliser pour réaliser des opérations de modification sur tout ou partie
des utilisateurs d’une organisation Exchange ?
4 Quelle commande vous permet d’afficher l’ensemble des cmdlets PowerShell de l’environnement Exchange ?
5 Lorsqu’une modification de l’environnement est réalisée à partir de la console Exchange Management Shell,
où est stockée la majeure partie des paramètres de configuration ?
6 Vous souhaitez analyser les files d’attente SMTP. Dans quels outils pouvezvous les afficher ?
7 Si vous souhaitez mettre en place une procédure intégrant des opérations sur différents produits comme
Exchange / SharePoint et Skype for Business, quel est l’outil d’administration le plus approprié pour les
manipulations ?
8 L’un de vos scripts ne fonctionne pas comme prévu. Quel est l’environnement le plus adapté pour analyser
les dysfonctionnements de ce dernier ?
9 Vous souhaitez identifier l’origine de la suppression d’emails dans la boîte aux lettres partagée de votre
service. Que devezvous mettre en place ?
10 Vous avez un changement de comportement sur votre infrastructure Exchange au niveau du routage des
messages. Votre configuration d’audit d’administration est restée par défaut, que devezvous faire pour
identifier l’origine du problème ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
1 Si vous souhaitez regrouper un ensemble d’utilisateurs pour mettre en place une délégation administrative,
quelles sont les étapes les plus adaptées pour réaliser cette opération ?
Le système de délégation des privilèges s’appuie sur les rôles RBAC (RoleBased Access Control). Il faut tout d’abord
créer un nouveau rôle de gestion Exchange afin d’associer un ensemble de privilèges Exchange au groupe de
sécurité Active Directory de celuici. Il faut ensuite ajouter les utilisateurs à ce groupe afin qu’ils bénéficient des
privilèges au sein d’Exchange.
2 Si vous souhaitez déléguer l’administration des boîtes aux lettres à un administrateur spécialisé, quel est le
moyen le plus efficace pour le faire ?
Un rôle prédéfini permet de répondre à cet usage. Ajoutez l’utilisateur au groupe de sécurité Recipient Management
et déployez un raccourci vers le portail d’administration web. Le rôle Recipient Management représenté par son
groupe de sécurité permet la délégation de l’administration des boîtes aux lettres et Exchange Server 2016 est
1. Prérequis
2. Objectifs
Comprendre et connaître les différentes versions des licences nécessaires au déploiement d’Exchange Server
2016.
Lister l’ensemble des critères permettant d’évaluer l’architecture d’une infrastructure Exchange Server 2016.
Comprendre l’impact du déploiement des composants de l’infrastructure Exchange Server 2016 sur des
plateformes de virtualisation.
Évaluer les avantages à déployer une partie de l’infrastructure sur l’offre d’hébergement Office 365 et Exchange
Online.
Lors de la mise en route d’un projet de déploiement d’une infrastructure Exchange Server 2016, une multitude de
points doivent être pris en compte afin de déterminer l’ensemble des besoins et l’architecture à concevoir pour y
répondre. Les principaux thèmes de réflexion sont les suivants :
l La puissance nécessaire : selon des critères liés aux performances, il est nécessaire de déterminer le nombre de
serveurs ainsi que leurs ressources afin d’offrir aux utilisateurs la meilleure expérience possible.
l Le niveau de disponibilité : selon la criticité du service, il est nécessaire d’adapter l’architecture afin de limiter les
cas d’indisponibilité du service.
l Le contexte de sécurité : selon la sensibilité des informations, il sera nécessaire d’intégrer dans l’architecture les
composants de sécurité associés aux critères de l’entreprise.
l La capacité de stockage : selon l’offre de service mise à disposition des utilisateurs, il sera nécessaire de
dimensionner de manière optimale les espaces de stockage.
l La délégation d’administration : selon les principes d’administration mis en place, il sera nécessaire de découper
l’infrastructure afin de faciliter la délégation d’administration.
l Les modes d’hébergement : selon les besoins et les coûts de maintenance, il faudra envisager les différents modes
d’hébergement, à savoir chez un hébergeur externe (Office 365...), sur des machines physiques ou sur des machines
virtuelles.
l Les archives et sauvegardes : selon les besoins en récupération de données, il faudra prévoir des stratégies de
sauvegardes adaptées.
l Le budget : la gestion des licences et le nombre de serveurs nécessaires peuvent peser fortement dans la balance lors
du choix d’une infrastructure, il est donc primordial d’inclure ces critères dès les premières étapes de sa mise en place.
Il existe deux éditions d’Exchange Server 2016 : l’édition Standard et l’édition Entreprise. Lorsque vous souhaitez
mettre en place des bases de données pour stocker des éléments, vous devez impérativement déterminer combien
de bases utiliser, où et comment les stocker. De ces informations va dépendre le choix de la licence du serveur.
L’édition Standard est limitée à 5 bases de données de boîtes aux lettres montées par serveur, l’édition Entreprise
est limitée à 100 bases de données de boîtes aux lettres montées. Une base de données montée est une base de
données en cours d’utilisation qu’il s’agisse d’une base de données autonome ou d’un membre d’un groupe de
disponibilité de base de données (DAG) actif ou passif. Les bases de données de récupération ne sont pas comptées
dans ces limites.
Pour valider l’installation d’une édition, Il est possible d’entrer le numéro de série dans les scénarios suivants :
Les différences entre les éditions Standard et Entreprise ne concernent que le nombre de bases de données qu’il
peut accueillir. Un serveur Exchange Server 2016 hébergeant le rôle Transport Edge n’a donc aucune raison de
s’acquitter d’une licence Entreprise.
Une licence d’accès client est nécessaire pour chaque utilisateur ou périphérique qui accède à un serveur Exchange
Server 2016. Il est possible de choisir entre une licence Standard et une licence Entreprise. L’édition Standard permet
l’utilisation des fonctions de base d’Exchange et la version Entreprise permet l’utilisation des fonctions avancées.
La licence CAL Entreprise est vendue en tant que complément à la licence CAL Standard. Pour bénéficier des
fonctionnalités de la licence CAL Enterprise, l’utilisateur doit avoir à la fois une licence CAL Standard et une licence CAL
Enterprise.
l Outlook sur le Web (prise en charge d’Internet Explorer, Firefox, Chrome, Safari et de Microsoft Edge).
l Expérience de boîte aux lettres Outlook enrichie, y compris affichage de conversation amélioré et Infoscourrier.
l Boîtes aux lettres de site. Fonctionnalités de contrôle d’accès basé sur un rôle.
Pour traiter les problématiques techniques liées au stockage (performance, dimensionnement, plan de capacité,
disponibilité), Microsoft fournit une liste complète d’informations et de bonnes pratiques associées afin d’offrir une
orientation sur le choix des composants.
Il est ainsi possible d’implémenter des mécanismes à différents niveaux selon les besoins. Ainsi, pour la disponibilité
des données, on pourra par exemple implémenter la technologie RAID au niveau des disques, ou les groupes de
disponibilité des bases de données (DAG) au niveau des serveurs. Concernant la volumétrie, les choix vont être plus
limités avec du RAID ou du SAN.
Architecture de stockage
l Les disques directement connectés : il s’agit du stockage traditionnel, à savoir tout type de disque directement
connecté au serveur.
l Le stockage réseau : ce sont notamment les baies de stockage SAN (Storage Area Network) reliées en iSCSI ou en
Fibre Channel. Elles fournissent une souplesse et un gain de performance considérable.
L’implémentation des SAN est complexe et requiert des connaissances poussées. La plupart de ces solutions sont
plus coûteuses que les disques directement connectés, et à ce titre, Exchange Server 2016 fonctionne naturellement
sur une architecture basée sur des SAN, mais a également été optimisé pour l’utilisation de disques SATA.
Qu’il s’agisse de stockage directement connecté ou de SAN, le stockage reposera toujours sur des disques durs
individuels que vous devrez choisir. Il est donc impératif de faire concorder vos besoins en performance avec la
technologie à employer. Il vous faudra notamment choisir le type de bus (SATA, SCSI, SSD…) ainsi que les vitesses
de rotation (7 200 RPM, 10 000 RPM, 15 000 RPM…).
Ces éléments ne doivent pas être négligés dans votre configuration, même si vous utilisez un SAN avec une
connexion Fibre Channel. Car si l’on élude le goulot d’étranglement situé sur les liens en utilisant du Fibre Channel
avec des débits tels que cette problématique ne se pose plus, on risque de se confronter à la limite des taux de
transfert qui deviendra la limite de votre ressource de stockage.
Par ailleurs, il vous faudra déterminer le schéma de redondance à employer, notamment à l’aide d’une architecture
de disque RAID (Redundant Array of Independent Disks).
Le RAID a été mis au point afin de proposer des disques de grande capacité dotés d’un niveau de fiabilité élevé en
se basant sur des disques durs peu onéreux. Aujourd’hui, ces problématiques n’existent plus tant le coût du
stockage a diminué et la lettre I de RAID est donc passée dans sa définition de Inexpensive à Independent.
À ce titre, voici les options RAID (Redundant Array of Independent Disks) sur lesquelles nous allons nous appuyer :
RAID 0 : agrégat par bandes, le RAID 0 ne propose aucune tolérance aux pannes, il permet de proposer un volume
dont la taille correspond à la somme des disques mis en œ uvre (exemple : deux disques de 500 Go vous donneront
un volume RAID 0 de 1 To). Si l’un des disques tombe en panne, la totalité du volume est perdue.
RAID 5 : agrégat par bandes avec parité, on peut le décrire comme la combinaison des avantages du RAID 0 et du
RAID 1 tout en bénéficiant d’une perte minimum d’espace de stockage effectif. Il requiert au minimum trois disques
physiques sur lesquels les données seront réparties par bandes, auxquelles seront également ajoutées des
données de parité. En cas de défaillance de l’un des disques, les données seront calculées grâce aux informations
et données de parité situées sur les autres disques. En termes de capacité, l’équivalent de la capacité d’un disque
sera voué aux données de parité (exemple : pour trois disques de 500 Go, nous aurons un stockage disponible de 1
To).
RAID 0+1 : agrégat par bandes en miroir. Il s’agit ici de prendre un volume en RAID 0 et de le mettre en miroir
(pour quatre disques de 500 Go, nous aurons un volume utilisable de 1 To avec un RAID 0 de deux disques que
nous allons mettre en miroir).
RAID 5+1 : agrégat par bandes en miroir avec parité. Il s ’agit ici de faire un miroir sur une grappe de disques en
RAID 5. Il requiert au moins six disques (trois en RAID 5 qui seront mis en mémoire sur trois autres disques). Pour
six disques de 500 Go, nous aurons un volume de stockage disponible de 1 To.
Forts de ces éléments, voyons maintenant les recommandations en termes de redondance pour les volumes de nos
serveurs de messagerie :
l Volume contenant les fichiers systèmes et de démarrage : RAID1. La sollicitation en écriture est faible en exploitation
et la lecture d’éléments est accélérée. La capacité requise est par ailleurs relativement faible. il s’agit du meilleur
compromis entre la rapidité et la sécurité.
l Volume contenant le fichier d’échange temporaire (swap) : RAID 0. Les données du swap ne sont pas critiques, on
recherche donc avant tout la rapidité, aussi bien en lecture qu’en écriture.
l File d’attente SMTP : RAID1. Nous recherchons ici une tolérance aux pannes combinée à une certaine rapidité sur un
volume dont l’espace requis est relativement faible, pour le fonctionnement d’une base de données (.edb).
l Bases de données : RAID 5. Il nous faut ici le meilleur compromis entre tolérance aux pannes, rapidité et capacité.
l Fichiers de journaux : RAID 5. Ces fichiers relèvent des mêmes problématiques que ceux des bases de données.
La planification du stockage en regard des tailles de boîtes aux lettres est un exercice complexe, car il est
nécessaire de prendre en compte plusieurs paramètres liés aux moteurs de bases de données mais aussi
d’anticiper les évolutions futures de l’infrastructure de manière raisonnable.
Chaque base de données supporte une capacité maximale technique de 16 To. Microsoft recommande par ailleurs
pour une exploitation optimale de ne pas dépasser les 2 To de données par base de données.
Lors du calcul de l’espace de stockage réel nécessaire à une boîte aux lettres, il est nécessaire de prendre en
compte les valeurs suivantes :
Une fois les informations identifiées, voici la formule de calcul simplifiée de la taille de la boîte aux lettres réelle :
l Taille de la boîte aux lettres réelle = (1024 Mo + 50 mails * 100 ko * 14 jours) * 1.05
Le dimensionnement des bases de données doit prendre en compte des paramètres supplémentaires comme les
prévisions d’extension ou les contenus générés par la gestion des bases de données…
Communément, on prendra une marge de 20 % d’espace disque supplémentaire pour prévoir les évolutions de
politique de stockage (demande d’espace supplémentaire pour certaines boîtes aux lettres, accueil des nouveaux
utilisateurs…). Cela donne :
nombre de boîtes aux lettres par disque = (taille du disque) / (taille réelle de la boîte aux lettres * marge de 20 %)
À cela vont venir se rajouter les journaux de transactions, dont la taille va dépendre des stratégies de
sauvegarde. Il est très important d’apporter une vigilance particulière sur cette partie.
Selon le nombre de boîtes aux lettres nécessaires dans l’infrastructure, il est important de répartir ces dernières
dans un nombre de bases de données adapté.
Ce qui donne, avec les valeurs données en exemple et une infrastructure devant héberger 9000 boîtes aux
lettres :
Dans un scénario de haute disponibilité incluant un groupe de disponibilité de base de données de boîtes aux
lettres, il est recommandé de mettre en place trois copies de chaque base de données réparties sur trois serveurs
Exchange Server 2016.
On obtiendra avec les valeurs données en exemple et trois copies de chaque base de données :
Attention, les calculs précédents ne prennent pas en compte le stockage des journaux de transaction.
L’outil Microsoft Exchange Server Jetstress 2013 Tool permet d’évaluer le soussystème disque des serveurs
Exchange afin de détecter d’éventuels problèmes de performance dans les I/O (débits entrée/sortie) disques.
a. Puissance de calcul
La planification de la puissance de calcul nécessaire s’appuie sur des formules dépendantes de la puissance
effective des processeurs du serveur. L’architecture générale sera donc prise en compte (nombre de sockets,
nombre de cœ urs, NUMA…).
Microsoft recommande de désactiver l’option Hyperthreading sur les processeurs Intel sauf si la consommation est
trop importante en attendant une évolution de l’infrastructure.
Afin de déterminer les indices de puissance du serveur que l’on va utiliser, le plus simple est de les trouver sur le
site Standard Performance Evaluation Corporation (http://www.spec.org/).
Ainsi pour se conformer aux calculs fournis par Microsoft, il est nécessaire de suivre la procédure suivante :
De nos jours, l’infrastructure de messagerie se positionne de plus en plus comme un service universel devant être
disponible partout, tout le temps, même en dehors des murs de l’entreprise. La mise en place d’une architecture
consolidée offre, par l’intermédiaire d’un point d’accès unique, une expérience unifiée dont la maintenance sera
simplifiée en s’appuyant sur la fiabilité et la réduction des coûts de connexion réseau (démocratisation des
connexions Internet).
À l’échelle d’une entreprise classique qui ne doit pas prendre en compte de spécificités particulières, l’architecture de
déploiement recommandée sera donc consolidée. La simplification d’implémentation et la réduction des ressources
nécessaires vont permettre une meilleure supervision des composants pour une maintenance simplifiée.
Une attention particulière sera portée à la capacité et à la disponibilité du service car la centralisation des
ressources sans redondance, ni haute disponibilité, implique la prise en charge d’un nombre plus important
d’utilisateurs avec un impact accru lors des incidents. Il sera essentiel de planifier scrupuleusement la capacité de
stockage, la capacité de traitement (processeur, mémoire, bande passante) et la connectivité réseau. L’évolution
naturelle et recommandée de cette architecture sera d’implémenter les concepts de haute disponibilité.
L’architecture consolidée non redondée se compose a minima d’un serveur Exchange Server 2016 hébergeant le
rôle de boîte aux lettres et d’un contrôleur de domaine hébergeant une copie de l’espace de noms DNS. Cette
architecture n’offre pas de tolérance de panne et ne doit donc être considérée que dans les scénarios où
l’enveloppe budgétaire est très serrée et où des stratégies de sauvegarde/restauration adaptées doivent être
mises en place.
Historiquement, les services informatiques comme la messagerie électronique étaient déployés en s’appuyant sur
l’architecture physique de l’entreprise. Les limites en puissance des serveurs, le coût important, la fiabilité des
liaisons réseau longue distance ou encore la complexité d’implémentation des services de sécurisation des données
Cette architecture ne doit être considérée qu’en s’appuyant sur l’historique de l’entreprise et n’est pas
recommandée pour un déploiement initial. Il y a en effet beaucoup de contraintes de coût et de logistique pour sa
mise en place, sans bénéfice particulier.
Dans les scénarios à sites multiples, il est recommandé que chaque site héberge à la fois les composants Active
Directory (contrôleur de domaine, catalogue global et zone DNS) et les rôles Exchange Server 2016.
Le routage des messages se fait ensuite entre les composants de transport des rôles de boîtes aux lettres en
suivant les préconisations de routage de l’architecture Exchange (sites Active Directory, DAG…).
Fort des avantages d’une architecture consolidée, les budgets économisés peuvent être réaffectés afin d’offrir un
service fiable offrant plus de valeur ajoutée. C’est le scénario optimal pour l’implémentation d’une continuité de
services où chaque composant sera redondé en cas de défaillance pour une remise en service quasi transparente
pour les utilisateurs.
L’architecture minimum recommandée pour offrir de la tolérance de panne s’appuie sur trois serveurs hébergeant les
rôles de boîtes aux lettres.
Les bases de données seront protégées par la mise en place d’un DAG et l’accès des clients par des fonctions de
répartition de charge matérielle déportées sur un dispositif spécifique.
Les considérations détaillées de mise en place d’une architecture hautement disponible seront détaillées dans le
chapitre Implémentation de la haute disponibilité de ce livre.
1. Questions
2 Vous informez votre DSI que vous venez de perdre l’un des serveurs de boîtes aux lettres de votre ferme
DAG de trois serveurs. Votre DSI souhaite connaître l’impact en termes de perte de données. Que pouvez
vous lui répondre ?
3 Vous souhaitez dimensionner l’espace de stockage nécessaire à une infrastructure de 1000 utilisateurs ayant
un quota de 10 Go chacun et une utilisation moyenne de leur messagerie. Quelles recommandations allez
vous faire ?
4 Combien de serveurs au minimum devezvous déployer pour garantir la tolérance de panne d’une
infrastructure Exchange Server 2016 ?
5 Vous souhaitez mettre en place un système de messagerie hautement disponible pour les utilisateurs d’une
entreprise. Ces utilisateurs sont répartis dans la France entière. Quel est le modèle d’architecture optimal ?
6 Vous souhaitez implémenter une infrastructure Exchange Server 2016 multisite tout en bénéficiant de la
résilience de site. Quelle technologie va vous permettre de répartir la charge des clients entre les
datacenters ?
7 Vous souhaitez déployer une infrastructure Exchange Server 2016 sur une plateforme de virtualisation. Est
ce possible et sur quelle plateforme ?
8 Vous souhaitez héberger de la manière la plus économique possible les boîtes aux lettres des collaborateurs
tout en garantissant la confidentialité des données des populations les plus sensibles. Quelle est la stratégie
la plus efficace pour répondre à vos attentes ?
9 Suite à un dysfonctionnement dans votre infrastructure hébergée sur HyperV, vous souhaitez appeler le
support Microsoft pour une assistance. Quels sont les points qui pourraient justifier que le support ne puisse
pas intervenir sur votre infrastructure de messagerie hébergée par HyperV ?
10 Vous souhaitez évaluer les coûts d’implémentation d’une infrastructure hautement disponible hébergeant vos
5000 collaborateurs. Quel outil allezvous utiliser ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
Exchange Server 2016 se décompose en deux rôles : le rôle serveur de boîtes aux lettres, qui est en charge du
traitement des emails et de la connexion de l’ensemble des clients ainsi que le rôle serveur Edge qui gère tous les
flux de messagerie externe pour l’organisation Exchange.
2 Vous informez votre DSI que vous venez de perdre l’un des serveurs de boîtes aux lettres de votre ferme
DAG de trois serveurs. Votre DSI souhaite connaître l’impact en termes de perte de données. Que pouvez
vous lui répondre ?
1. Prérequis
2. Objectifs
Au travers de ces composants, le rôle serveur de boîtes aux lettres fournit la quasitotalité des services d’une
plateforme Exchange. Le présent chapitre traite de la configuration du stockage reposant sur les bases de données
Exchange.
Ainsi, ne vous étonnez pas de ne pas retrouver un chapitre traitant du rôle serveur de boîtes en termes de stockage,
ou dédié aux services de transport. Les protocoles d’accès client et les services de transport sont traités
respectivement dans les chapitres Configuration des protocoles d’accès client et Configuration du routage de
messages. La messagerie unifiée n’est pas traitée dans cet ouvrage dans la mesure où elle se situe en dehors du
périmètre de la certification 70345Conception et déploiement de Microsoft Exchange Server 2016.
Exchange 2010 a introduit la notion de base de données, présente dans son rôle serveur de boîtes aux lettres. Cette
notion de base de données a succédé à la notion de banque de bases de données que l’on retrouve dans les
versions antérieures à Exchange 2010.
Les bases de données Exchange 2016 vont être employées pour stocker les éléments relatifs à la messagerie et
également permettre au travers du DAG de mettre en œ uvre les éléments de réplication nécessaires pour assurer la
disponibilité des informations.
Ce qui nous intéresse ici, ce sont les informations contenues dans les bases. On va y retrouver les
éléments suivants :
l Les boîtes aux lettres des utilisateurs, contenant entre autres les messages, les calendriers, contacts, tâches, etc.
l Les boîtes aux lettres d’archives, contenant les archives des utilisateurs (sous Exchange 2016, les boîtes aux lettres
d’archives peuvent être placées dans une base de données distincte de la base de données où réside la boîte aux
lettres de l’utilisateur).
l Les dossiers publics, contenant les éléments partagés accessibles par tout ou partie des utilisateurs.
l Les boîtes aux lettres système : réservées à Exchange. Elles sont créées et placées dans la base de données par
défaut créée pendant le processus d’installation d’Exchange 2016.
l Les bases de données de boîtes aux lettres : ces bases de données contenaient entre autres, les boîtes aux lettres
individuelles des utilisateurs, ainsi que leurs archives.
l Les bases de données de dossiers publics : elles contenaient les dossiers publics, éléments partagés entre utilisateurs.
Depuis Exchange 2013, cette distinction n’existe plus. Et nous n’avons plus qu’un seul type de bases de données.
En effet, les dossiers publics sont depuis, des boîtes aux lettres comme les autres et peuvent donc être stockés
dans les mêmes bases de données que les utilisateurs. En d’autres termes, quel que soit l’élément créé, vous
pourriez le placer dans n’importe quelle base de données Exchange.
Nous nuancerons tout de même ce propos en disant qu’une base de données sera qualifiée par vos soins pour un
type d’éléments en fonction de ce que vous comptez y stocker. Si vous créez une base de données dans laquelle
vous allez stocker exclusivement des dossiers publics, alors pour vous, il s’agira d’une base de données de dossiers
publics, mais pour Exchange, ce sera une base de données tout court.
L’architecture des bases de données d’Exchange 2016 peut, à première vue, sembler identique à celle d’Exchange
2010 ou antérieur. Toutefois, il ne faudra pas s’y méprendre : si les principes sont les mêmes, les services en eux
mêmes ont subi des transformations majeures depuis Exchange 2013, à commencer par le service Banque
d’informations Exchange.
Le service Banque d’informations Exchange est chargé de la gestion des bases de données d’Exchange 2016. Il est
matérialisé par le processus store.exe. Si vous avez utilisé par le passé des versions antérieures à Exchange 2016,
vous devriez être familier de ce processus.
Le service Banque d’informations d’Exchange 2016 utilise un moteur transactionnel ESE (Extensible Storage Engine),
optimisé pour permettre un stockage fiable des données et garantir leur intégrité.
Active Directory emploie d’ailleurs un moteur similaire pour la gestion de ses bases de données. Naturellement,
chacun de ces moteurs est optimisé pour l’usage auquel il est destiné.
Profitonsen ici pour démystifier la légende selon laquelle le moteur ESE est le même moteur JET (Joint Engine
Technology) que celui de Microsoft Access. S’ils s’appuient effectivement sur les mêmes fondements, le moteur ESE
exploité entre autres par Exchange fait partie d’une branche de développement bien spécifique. D’ailleurs, le moteur ESE
est aussi connu sous le nom de JET Blue, alors qu’Access s’appuie sur le moteur JET Red.
Même si, au premier abord, la philosophie du service Banque d’informations d’Exchange 2016 reste identique à celle
présente sous Exchange 2010, la comparaison s’arrête là.
En effet, le service Banque d’informations d’Exchange (store.exe) a été totalement réécrit en code managé (C#)
pour Exchange 2013 et optimisé sous Exchange 2016.
En effet, le service Banque d’informations a été optimisé afin de réduire considérablement les IOPS (Input/Output
Operation Per Second opérations d’entrées/sorties par seconde) sur le stockage ainsi que la charge processeur
requise, permettant la prise en charge de boîtes aux lettres de grande taille (100 Go et plus) et par la même
occasion des bases de données qui les hébergent. C’est également pour cela que les prérequis minimums pour le
serveur de boîtes aux lettres sont relativement modestes. Ceci est d’autant plus important qu’Exchange repose
essentiellement sur le rôle serveur de boîtes aux lettres, hébergeant la quasiintégralité des processus Exchange,
qui ne peuvent de ce fait être répartis sur plusieurs serveurs comme c’était le cas sous Exchange 2010.
L’optimisation des IOPS sur les disques a conduit à une charge CPU additionnelle, mais cela n’affecte en rien les
performances sous Exchange 2016 dans la mesure où les retours d’expérience sur Exchange 2013 n’ont jamais fait
état de la charge CPU comme goulot d’étranglement (elle était au contraire sousexploitée).
Par ailleurs, l’optimisation du service Banque d’informations d’Exchange 2016 a permis l’amélioration des
fonctionnalités de recherche ainsi que les mécanismes de réplication.
Côté architecture, Exchange 2013 a introduit le concept de processus de travail de Banque d’informations repris
sous Exchange 2016 : il exécute des processus distincts pour chaque base de données qu’il gère et agit comme
contrôleur pour ces mêmes processus.
Voici cidessous l’architecture telle qu’elle se présentait dans les versions antérieures à Exchange 2013 :
Compte tenu de l’architecture proposée par Exchange 2016, dans laquelle les bases sont vues au travers de
l’organisation et des mécanismes du DAG impliquant des copies actives et passives, il est essentiel de pouvoir
garantir l’unicité des bases de données au sein de l’organisation. De ce fait, Exchange affecte un GUID (Global
Unique IDentifer) afin d’identifier chaque base de façon unique.
l La commande suivante sous l’Exchange Management Shell (EMS) vous permet d’afficher le GUID de chacune de
vos bases de données :
Elle permet d’afficher le nom de la base (paramètre Identity) ainsi que le GUID :
Concernant les copies gérées au travers du DAG, il faut noter que le GUID sera identique entre la copie active et les
copies passives d’une même base de données.
Penchonsnous maintenant, au travers de l’illustration cidessus, aux noms des bases de données et plus
particulièrement à la première listée, Mailbox Database 0037667253.
Il s’agit de la base de données par défaut, créée lors de l’installation d’Exchange. La valeur qui suit le nom de la
base est une séquence numérique de 10 chiffres générée aléatoirement pendant l’installation d’Exchange,
permettant d’éviter les conflits sur les noms des bases de données par défaut. En effet, dans la mesure où d’une
part, lorsque l’on déploie un serveur Exchange 2016, une base de données par défaut est créée et que d’autre part
les bases de données sont vues au travers de l’organisation, et ce, indistinctement du serveur qui les héberge et de
son domaine d’appartenance, il était nécessaire de prévenir ce type de conflit dans le nom des bases.
Les bases de données stockées sur les serveurs Exchange sont placées dans des répertoires dont le nom est
similaire à celui donné à la base de données. Ils sont situés, par défaut, dans le répertoire %ProgramFiles%
\Microsoft\Exchange Server\V15\Mailbox.
Le répertoire dont le nom reprend le GUID de la base contient les fichiers relatifs au processus liés au
fonctionnement de la base de données (processus de travail, indexation…).
Attachonsnous maintenant aux autres fichiers contenus dans ce répertoire. Exchange s’appuie sur un moteur de
bases de données transactionnel, et requiert dès lors un certain nombre de fichiers afin de garantir l’intégrité des
données inscrites dans la base :
l E0X.log : il s’agit du nom du fichier journal de transactions actif dans lequel X représente le numéro de la base de
données affecté séquentiellement lors de sa création. Ainsi, la première base de données créée aura le fichier de
transaction E00.log, la deuxième E01.log, et ainsi de suite. Attention toutefois car la dixième base créée aura le fichier
de transaction E0A, la onzième E0B car il s’agit d’une notation en hexadécimal.
l E0X0000000Y : lorsque le fichier journal de transactions E0X.log est plein (1 Mo), il est renommé en E0X0000000Y
où X désigne le numéro de la base et Y le numéro du fichier. Par exemple, si le fichier journal de transaction E03.log
est plein, il est renommé en E0300000001.log et un nouveau fichier vide E03.log est créé, etc. Ici aussi, les fichiers
suivent une numérotation en hexadécimal.
l E0X.chk : il s’agit du fichier de point de contrôle (checkpoint). Il contient les enregistrements qui ont été
effectivement inscrits dans la base de données (instruction commit). Ceci permet en cas de défaillance électrique, par
exemple, de connaître précisément les enregistrements qui ont été effectivement inscrits dans la base et de relancer
les jeux de transactions depuis ce point.
l E00res0000X.jrs : il s’agit de fichiers journaux de réserve de 1 Mo. Ils sont utiles dans le cas d’une saturation du
disque (situation dont vous devez vous prémunir et qui ne devrait jamais arriver) afin de permettre l’inscription des
transactions en mémoire avant le démontage de la banque d’informations et ainsi maintenir l’intégrité de la base de
données. Dans le cas d’une saturation, ils sont supprimés pour libérer de l’espace disque permettant d’inscrire les
transactions en mémoire vive dans la base. La base est ensuite démontée automatiquement.
l Tmp.edb : il s’agit, comme son nom le laisse supposer, du fichier temporaire de la base de données utilisé par le
service boîtes aux lettres en cours d’exécution ou pendant les activités de maintenance de la base.
Avant de passer à l’administration, nous allons préciser quelques notions sur les paramètres d’une base de données.
Les paramètres d’administration des bases de données comprennent les éléments relatifs à la maintenance, aux
limites et au carnet d’adresses en mode hors connexion.
Le montage d’une base de données permet de la rendre disponible (en ligne) afin d’être utilisée par les clients. À
l’inverse, le démontage va la rendre indisponible. Aujourd’hui, le démontage d’une base de données (mise hors
ligne) n’est plus aussi important que par le passé, comme sous Exchange 2007 ou 2010.
Le démontage d’une base va principalement nous servir dans les déplacements de bases de données ou toute
autre opération nécessitant un accès exclusif aux fichiers de bases de données, notamment pour un diagnostic ou
une opération de maintenance. Dans la mesure où la majeure partie des manipulations de maintenance se font
aujourd’hui en ligne, ces opérations ne sont plus autant sollicitées que dans le passé.
Le montage de bases de données va également permettre la gestion de vos bases de données en fonction des
contraintes imposées par votre licence. En effet, la licence Standard d’Exchange, par exemple, est dite limitée à cinq
bases de données. En fait, rien ne vous empêche d’en créer plus, mais vous ne pourrez en monter que cinq
simultanément.
Maintenance
Les opérations de maintenance d’Exchange 2016 font référence à une série d’actions réalisées par Exchange 2016
sur les bases de données permettant de les optimiser et de garantir leur intégrité. Ces opérations comprennent
notamment :
l La purge des éléments dont la durée de rétention est expirée (messages supprimés, messages de dossiers publics
expirés...).
l La résolution des conflits, notamment sur les messages ou bien les carnets d’adresses hors ligne.
l L’identification et la suppression des messages orphelins (n’appartenant à aucune boîte aux lettres).
l La vérification des sommes de contrôle (checksum) qui parcourt la base de données par blocs à la recherche
d’éventuelles corruptions.
l La correction de pages : initiée après la vérification des sommes de contrôle, elle permet de restaurer les pages
corrompues en rejouant les journaux de transaction.
l Le page zeroing qui va inscrire des 0 à la place des données effacées afin d’empêcher leur récupération.
À noter que la suppression d’éléments dans la base ne libère pas d’espace sur le disque. Cet espace sera conservé
pour la base. En effet, si l’on part du principe qu’une base de données à atteint une certaine taille, libérer cet espace
vous fait prendre le risque d’être confronté à une saturation ultérieure si cet espace est affecté pour d’autres bases de
données ou pour le système et que votre base de données venait à grossir à nouveau.
La maintenance de base de données Exchange 2016 fait référence essentiellement aux opérations de maintenance
en ligne. En effet, dans un contexte où les services sont de plus en plus sollicités et critiques (24/7), les arrêts de
services doivent être minimisés. Par ailleurs, la taille conséquente des bases de données dont on dispose
aujourd’hui rend les opérations de maintenance sur cellesci de plus en plus longues, et risque de dépasser
largement les durées d’interruptions convenues dans les fenêtres de maintenance.
Par ailleurs, même si l’outil vous permettant d’effectuer la défragmentation hors ligne est toujours présent au sein
d’Exchange 2016 (ESEUTIL en ligne de commande), vous devez être vigilant si vous souhaitez l’employer,
notamment si vous utilisez des copies actives et passives de bases au travers du DAG. En effet, la défragmentation
opérée via l’utilitaire ESEUTIL va en premier lieu créer une nouvelle base de données (donc avec un nouveau GUID)
dans laquelle elle va copier les données de la base source en les réorganisant. À l’issue de cette défragmentation,
votre base effective sera la nouvelle base de données disposant de son propre GUID et donc non reconnue comme
votre base initiale.
Limites de stockage
Les limites de stockage vous permettent de définir les stratégies en matière de quotas à appliquer pour la base de
données, c’estàdire à tous les objets qu’elle contient :
l L’interdiction de l’envoi ainsi qu’éventuellement de la réception, vous permettant de fixer des quotas globaux pour
l’ensemble des boîtes aux lettres de votre base de données.
l La durée de rétention des éléments supprimés dans les boîtes aux lettres des utilisateurs, leur permettant ainsi de les
récupérer pendant une période définie.
l La durée de rétention des boîtes aux lettres supprimées permettant de restaurer simplement une boîte aux lettres
supprimée par l’administrateur. Lorsqu’une boîte aux lettres est supprimée, elle est en fait simplement marquée
comme supprimée et demeure dans la base de données pendant la durée paramétrée ici en jours. À l’issue de ce
délai, la boîte est effectivement supprimée de la base.
l Les messages d’avertissement, qui permettent d’envoyer des alertes aux utilisateurs concernant le franchissement
d’une limite de quota.
La recommandation concernant les limites est de définir des limites générales pour la base et de traiter les
exceptions objet par objet en leur appliquant des paramètres spécifiques.
Le carnet d’adresses hors connexion (OAB Offline Address Book) est généré automatiquement par Exchange 2016,
créant la copie d’une collection de listes d’adresses qu’un utilisateur Outlook peut lire en mode déconnecté.
Chaque serveur disposant du rôle serveur de boîtes aux lettres va pouvoir générer un carnet d’adresses hors
connexion, qui sera partagé, via un partage Windows. De ce fait, il convient de définir le carnet d’adresses utilisé sur
le site où est exploitée la base de données.
Au travers du Centre d’administration Exchange, nous allons pouvoir effectuer l’ensemble des tâches
d’administration courantes comme la création ou la suppression d’une base de données, le montage/démontage, ou
encore le déplacement de bases de données vers un autre volume.
L’onglet bases de données du menu serveurs permet de visualiser l’ensemble des bases de données de
l’organisation : le serveur disposant de la copie active, les serveurs disposants de copies, leur statut et enfin le
nombre de copies erronées au sein du DAG.
Le volet de droite affiche les informations relatives aux copies de bases de données, qui seront traitées dans le
chapitre Implémentation de la haute disponibilité.
À partir de cet onglet, nous allons réaliser la totalité des opérations possibles sur les bases de données permises
par le Centre d’administration Exchange.
Pour créer une base de données, vous devez procéder de la manière suivante :
Dans la fenêtre nouvelle base de données, vous devez compléter les informations requises :
l Serveur (champ obligatoire) : il s’agit du serveur sur lequel on souhaite créer la copie active de la base de données.
On le sélectionne via le bouton Parcourir….
l Chemin d’accès au fichier de base de données (champ optionnel) : il vous permet de définir le chemin où vous
souhaitez placer votre base de données. S’il n’est pas renseigné, le chemin par défaut défini lors de l’installation sera
utilisé.
l Chemin d’accès au dossier Journal (champ optionnel) : il permet de spécifier le chemin où seront situés les
fichiers de transactions de la base de données. S’il n’est pas renseigné, le chemin par défaut défini lors de l’installation
sera utilisé.
l Monter cette base de données : si la case est cochée, la base de données sera mise en ligne juste après la
création.
Ce besoin de redémarrer le service Banque d’informations Exchange peut surprendre les administrateurs des
versions antérieures du produit pour lesquelles cette opération n’était pas nécessaire. Ceci est dû à la nouvelle
architecture du service basée sur les processus de travail de banque d’informations. Ce redémarrage va permettre
au service Banque d’informations de déterminer le nombre de bases qu’il héberge et affecter à chacun la mémoire
nécessaire. Il ne peut déterminer ce nombre que lors de son démarrage.
Restart-Service MsExchangeIS
Prudence tout de même : le fait de redémarrer le service Banque d’informations va avoir pour effet de démonter vos
bases de données, les rendant inaccessibles pendant quelques instants. Dans la mesure où le fait de ne pas
redémarrer le service immédiatement ne vous empêche pas d’accéder à la base de données (pas de manière optimale,
certes), il conviendra de planifier ce redémarrage.
Afin de définir les paramètres d’une base de données, procédez de la manière suivante :
Dans la liste des bases de données de l’onglet bases de données du menu serveurs, double cliquez sur
la base de données à paramétrer.
Nous allons utiliser ici une infrastructure complète basée sur Windows Server 2012, mais vous pourrez l’utiliser
Windows Server 2016 si vous le souhaitez.
1. Infrastructure requise
Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :
l DC : Contrôleur de domaine du domaine du domaine editionseni.lan nommé ADDC1 et configuré avec l’adresse
IP 172.16.1.1 (si vous avez besoin de l’installer ou de le réinstaller, référezvous aux ateliers pratiques du chapitre
Prérequis et installation d’Exchange 2016). Les services DNS pour Active Directory doivent être installés.
l EXCH : Serveur sous Windows Server 2012 R2 avec une interface graphique (pas d’édition Core) installé avec les
options par défaut. Ce serveur, nommé EXCHSRV1, doit être configuré avec l’adresse IP 172.16.1.21 et le DNS
principal 172.16.1.1. Enfin, il doit être membre du domaine editionseni.lan (si vous avez besoin de l’installer ou de
le réinstaller, référezvous aux ateliers pratiques du chapitre Prérequis et installation d’Exchange 2016).
La machine sur laquelle les manipulations devront être réalisées sera indiquée dans le titre entre crochets "[ ]".
Nous allons voir ici les tâches d’administration courantes que vous pouvez effectuer sur les bases de données au
travers du Centre d’administration Exchange.
Dans l’arborescence de gauche, cliquez sur serveurs puis sur l’onglet bases de données.
Dans la fenêtre nouvelle base de données, tapez Direction dans le champ Base de données de boîtes
aux lettres.
Dans la même fenêtre, cliquez sur le bouton Parcourir, sélectionnez le serveur EXCHSRV1 puis
cliquez sur OK.
De retour dans la fenêtre nouvelle base de données, cliquez sur Enregistrer pour créer la base de
données avec ses options d’emplacement par défaut.
Acquittez l’avertissement vous indiquant qu’il faut redémarrer le service Banque d’informations
d’Exchange en cliquant sur OK.
Restart-Service MsExchangeIS
Lorsque vous créez une base de données via l’EMS, vous devez ensuite la monter afin qu’elle puisse être exploitée.
Ouvrez l’explorateur Windows et localisez l’emplacement où sont stockés vos fichiers de bases de
données (par défaut C:\Program Files\Microsoft\Exchange Server\V15\MailBox).
La copie ne pourra se faire que partiellement dans la mesure où les fichiers sont ouverts par les processus de travail
de banque d’informations.
Dans la liste des bases de données, cliquez sur Direction, vérifiez son champ STATUT qui indique Monté.
Dans les options situées audessus de la liste des bases de données, cliquez sur les trois points (…) puis
sélectionnez Démonter.
Retournez sous l’explorateur Windows à l’emplacement où sont stockés vos fichiers de bases de
données (par défaut C:\Program Files\Microsoft\Exchange Server\V15\MailBox).
Retournez dans le Centre d’administration Exchange dans le menu serveurs, onglet bases de
données.
Dans les options situées audessus de la liste des bases de données, cliquez sur les trois points (…) puis
sélectionnez Monter.
Retournez dans le Centre d’administration Exchange dans le menu serveurs, onglet bases de
données.
Dans la liste des bases de données, double cliquez sur Direction (ou bien cliquez dessus et dans les
options situées audessus de la liste des bases de données, cliquez sur le symbole représentant un
crayon pour la modifier).
Dans la fenêtre Direction, cliquez sur Parcourir à droite du champ Destinataire du journal.
Dans la fenêtre de propriétés, sélectionnez Administrateur dans la liste proposée puis cliquez sur OK.
De retour dans la fenêtre Direction, cliquez sur le bouton personnaliser situé sous le calendrier de
planification de la maintenance.
De retour dans la fenêtre Direction, cochez la case Activer la journalisation circulaire puis cliquez sur
Enregistrer.
Acquittez l’avertissement vous indiquant qu’il faut démonter et remonter la base de données afin que les
modifications soient effectives en cliquant sur OK.
Dans les options situées audessus de la liste des bases de données, cliquez sur les trois points (…) puis
sélectionnez Démonter.
À nouveau dans les options situées audessus de la liste des bases de données, cliquez sur les trois
points (…) puis sélectionnez Monter.
Rappel ! L’enregistrement circulaire ne devrait pas être utilisé en environnement de production car il peut en résulter
une corruption ou une perte de données en cas de défaillance de la base. En effet, les transactions ainsi circularisées
Allez dans le Centre d’administration Exchange dans le menu serveurs, onglet bases de données.
Dans la liste des bases de données, double cliquez sur Direction (ou bien cliquez dessus et dans les
options situées audessus de la liste des bases de données, cliquez sur le symbole représentant un
crayon pour la modifier).
Sous le calendrier des intervalles entre les messages d’avertissement, cliquez sur personnaliser.
Dans la fenêtre de personnalisation des messages d’avertissement, cliquez sur l’option Afficher l’heure
par intervalles de 15 minutes.
1. Questions
1 Que doisje faire après avoir exécuté la cmdlet Remove-Database afin de supprimer toute trace de la base
de données sur mon serveur ?
2 Quelle cmdlet permet de lister les bases de données hébergées par un serveur Exchange 2016 ?
4 Quel mécanisme peut vous aider à limiter la quantité de fichiers journaux générés pour une base de données
et devraisje systématiquement l’utiliser ?
6 Lorsque je crée une base de données sur un serveur Exchange 2016, que doisje faire pour qu’elle soit vue
au sein de l’organisation ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
Nombre de points / 10
3. Réponses
1 Que doisje faire après avoir exécuté la cmdlet Remove-Database afin de supprimer toute trace de la base
de données sur mon serveur ?
Il faut supprimer les fichiers de la base de données manuellement car la cmdlet Remove-Database ne le fera
pas.
2 Quelle cmdlet permet de lister les bases de données hébergées par un serveur Exchange 2016 ?
Oui, cette opération requiert un accès exclusif aux fichiers de bases de données. Le fait de la démonter la mettra
hors ligne et donc non sollicitable.
4 Quel mécanisme peut vous aider à limiter la quantité de fichiers journaux générés pour une base de données
et devraisje systématiquement l’utiliser ?
L’enregistrement circulaire, qui va permettre de recycler les fichiers journaux et ainsi limiter leur nombre.
L’enregistrement circulaire ne devrait pas être utilisé sur les bases de données de boîtes aux lettres en production.
1. Prérequis
2. Objectifs
Ainsi, si un utilisateur souhaite accéder au contenu de sa messagerie, il sollicitera les services d’accès client pour
transformer le contenu de sa boîte aux lettres dans un format compatible avec le client qu’il utilise, et ceci, de manière
totalement transparente.
L’emploi d’un protocole de communication commun entre le client et le serveur est essentiel, il fait partie du
fonctionnement intrinsèque de tout système requérant un échange de flux de données entre deux composants.
Exchange Server 2016 s’appuie, pour la prise en charge des accès clients, sur différents protocoles comme HTTP, RPC,
POP3 ou encore IMAP.
C’est au travers de ces protocoles, mis en œ uvre de manière directe ou combinée, qu’Exchange va fournir des
services d’accès client prenant la forme de méthodes d’accès comme MAPI/HTTP, Outlook Anywhere ou Outlook pour
le Web.
Les services d’accès client vont effectuer trois actions : authentifier les utilisateurs, localiser le serveur hébergeant
la base de données où se situe la boîte aux lettres demandée et connecter l’utilisateur à la boîte aux lettres (il fait
alors office de proxy). Dans le cas où la boîte réside sur un autre site, il redirigera l’utilisateur vers le serveur d’accès
client du site où est hébergée la boîte aux lettres demandée.
Son rôle se limite exclusivement à ces actions. Aussi, même si dans les chapitres précédents nous
avions l’impression d’interagir directement sur les services de gestion de base de données via les outils
d’administration, toutes nos requêtes passaient bel et bien par les services d’accès client avant d’être traitées par
les services de stockage ; ceci étant valable à la fois pour les clients externes et internes :
1. Protocole POP3
Le protocole POP3 (Post Office Protocol 3) peut être utilisé pour les clients lourds génériques, les périphériques
mobiles non synchronisés via ActiveSync ou même Outlook. Il permet aux utilisateurs de récupérer leurs messages
depuis leur boîte aux lettres Exchange Server 2016 vers leur client de messagerie pour un traitement hors
connexion. Il n’offre aucune fonctionnalité de travail collaboratif. Lorsque les nouveaux messages reçus sont
récupérés via un client POP3, ils sont supprimés du serveur (à moins qu’un paramètre de rétention soit spécifié). Ce
protocole n’assure que la réception des messages, les messages envoyés étant traités par le protocole SMTP, pour
lequel un connecteur est créé lors de l’installation d’Exchange. Thunderbird ou Windows Mail sont deux exemples de
clients POP3.
Le protocole POP3 utilise le port TCP 110 par défaut. Par ailleurs, son utilisation standard fait que les mots de passe
transitent en clair sur le réseau. Pour plus de sécurité, il est possible de crypter la connexion, notamment via un
chiffrement SSL (utilisation du port TCP 995).
2. Protocole IMAP4
Le protocole IMAP4 (Internet Message Access Protocol 4) peut, tout comme le protocole POP3, être utilisé sur les
clients lourds génériques, les périphériques mobiles non synchronisés via ActiveSync, ou bien Outlook.
Il permet aux utilisateurs, comme le protocole POP3, d’accéder aux messages de leurs boîtes aux lettres via un
client de type Thunderbird, Windows Mail ou autre, sans offrir de fonctionnalités de travail collaboratif. Mais
contrairement au protocole POP3, il permet un traitement connecté ou hors connexion. Il stocke et maintient
l’organisation des messages sur le serveur, dont le client obtient une copie synchronisée lors de la connexion.
S’agissant d’un protocole employé pour la réception et la synchronisation des boîtes aux lettres, l’envoi de
messages nécessitera également de passer par le connecteur SMTP.
Il peut être dans certains cas plus avantageux que le protocole POP3, notamment lors de l’utilisation de liaisons à
bas débit dans la mesure où il offre la possibilité de télécharger uniquement les entêtes des messages et de définir
ensuite ceux dont on souhaite télécharger le contenu complet.
Le protocole IMAP4 utilise le port TCP 143 par défaut pour une connexion non chiffrée, mais peut également
s’appuyer sur un chiffrement SSL en utilisant alors le port TCP 993.
La nouvelle application Courrier de Windows 10 supporte la synchronisation via ActiveSync en plus des protocoles
POP3 et IMAP4.
Le protocole POP3 peut être configuré au travers du Centre d’administration Exchange ou via l’EMS, mais avant tout,
il doit être démarré.
Pour activer le protocole POP3 au démarrage du serveur, utilisez la cmdlet suivante sous l’EMS :
Au travers du Centre d’administration Exchange, nous allons paramétrer le protocole POP3 et permettre aux
utilisateurs de l’utiliser.
Le paramétrage du protocole POP3 est effectué via le menu serveurs de l’arborescence du Centre
d’administration Exchange.
Pour accéder alors aux paramètres du protocole POP3, procédez de la façon suivante :
Dans la liste de serveurs, double cliquez sur le nom du serveur dont vous souhaitez modifier les
paramètres.
Vous vous retrouvez alors sur la page permettant de paramétrer les différentes options du protocole :
l Format MIME du message : il s’agit du rendu des messages opéré par le serveur de boîtes aux lettres et transmis
au serveur d’accès client (HTML, Texte, etc.).
l Ordre de tri des messages : permet de définir l’ordre dans lequel les messages sont envoyés au client lorsqu’il
interroge le serveur POP3 c’estàdire du plus ancien au plus récent ou bien l’inverse.
l Chaîne de bannière : il s’agit du texte renvoyé lors d’une connexion au serveur POP3.
l Connexions TLS ou non chiffrées : permet de spécifier les interfaces et les ports d’écoute du service POP3 pour
les connexions TLS ou standard.
l Connexions SSL (Secure Sockets Layer) : permet de spécifier les interfaces et les ports d’écoute du service
POP3 pour les connexions SSL.
l Paramètres de délai d’expiration : ces paramètres permettent de fixer la durée après laquelle la connexion sera
fermée par le serveur, pour les sessions authentifiées inactives comme pour les connexions non authentifiées.
l Limites de connexions : ces options permettent de spécifier le nombre de connexions simultanées maximales, le
nombre de connexions autorisées depuis la même adresse IP, le nombre maximal de connexions pour un utilisateur
ou encore la taille maximale des commandes POP3 utilisées (en octets).
Après avoir défini les paramètres de connexion, vous devez autoriser son utilisation par vos destinataires. Cette
autorisation se fait individuellement.
Pour cela, naviguez vers le menu destinataires de l’arborescence du Centre d’administration Exchange.
Dans l’onglet boîtes aux lettres, double cliquez sur l’utilisateur pour lequel vous désirez activer le
protocole POP3.
Dans la fenêtre de propriétés du destinataire, sélectionnez fonctionnalités de boîte aux lettres dans
l’arborescence de gauche :
Vous pouvez afficher les paramètres définis pour le protocole POP3 via la cmdlet Get-PopSettings :
1. Présentation de Autodiscover
L’Autodiscover est le protocole employé par le service de découverte automatique et qui permet aux clients Outlook
et ActiveSync d’être configurés automatiquement. À l’aide d’un nombre réduit de paramètres qui se résume à
l’adresse de messagerie et au mot de passe, l’utilisateur récupère automatiquement tous les paramètres
nécessaires à sa connexion selon son contexte. Il est pris en charge par tous les clients Outlook supportés par
Exchange Server 2016 (Outlook 2010 et supérieurs) ainsi que les périphériques Windows Phone/Mobile.
La prise en charge d’autres types de périphériques doit être vérifiée auprès du constructeur du périphérique en
question.
Lors de l’installation des services d’accès client, un répertoire virtuel nommé Autodiscover est automatiquement
publié au sein des services web IIS du serveur. Ce répertoire permet aux clients de récupérer leurs paramètres de
configuration. Toutefois, les mécanismes de configuration automatique vont fonctionner différemment s’il s’agit d’un
client interne ou externe.
L’objet situé dans Active Directory sur lequel le client va s’appuyer est le point de connexion de service ou SCP
(Service Connection Point), qui est créé lors du déploiement de chaque service d’accès client. De ce fait, il existe au
sein d’Active Directory autant d’objets SCP que de serveurs Exchange Server 2016.
Les objets SCP se trouvent dans la partition de configuration d’Active Directory et portent le nom du serveur proxy
d’accès client correspondant :
1. Lorsqu’un utilisateur ouvre sa session sur le domaine et souhaite paramétrer Outlook, aucune information ne
lui sera demandée (son jeton de session est utilisé). Outlook interroge le contrôleur de domaine via une
requête LDAP afin d’obtenir les informations liées au SCP.
2. Le contrôleur de domaine renvoie les informations de localisation du SCP au client (serveurs Exchange avec
leurs sites d’appartenance ainsi que les URL de connexion au service de découverte automatique de chacun
des serveurs retournés). Le client va alors identifier le serveur Exchange à utiliser pour obtenir ses
informations de configuration en se basant notamment sur son site d’appartenance.
3. Le client va interroger le service proxy d’accès client via l’URL de son Autodiscover récupérée précédemment
afin de récupérer les paramètres de configuration automatique au travers d’une requête HTTPS POST.
4. Le serveur de boîte aux lettres peut décider de transmettre (via proxy) ou de rediriger la requête à un autre
serveur de boîte aux lettres (dans la même forêt).
5. Le client Outlook télécharge les paramètres de configuration (il s’agit d’un fichier XML) et les applique pour
permettre l’accès à la boîte aux lettres Exchange Server 2016.
Dans le cas d’un client externe ou non membre d’un domaine, l’accès à Active Directory pour récupérer les
informations du SCP ne sera souvent pas possible.
Le client procède dans ce cas à l’analyse de l’adresse email employée pour en extraire le domaine SMTP. Par
exemple, pour l’adresse de messagerie lthobois@editionseni.fr, le domaine extrait sera editionseni.fr. Il va ensuite
lancer une requête de résolution pour obtenir soit l’enregistrement de type autodiscover pour le domaine de
messagerie, soit l’enregistrement autodiscover.<domaine de messagerie>, afin de construire l’URL nécessaire, pour
la découverte automatique de la forme suivante :
1. Clients compatibles
MAPI/HTTP (MAPI sur HTTP) et Outlook Anywhere sont les méthodes recommandées de connexion à Exchange
Server 2016 pour les clients lourds. Au travers de ces deux protocoles, nous allons pouvoir disposer de l’intégralité
des fonctionnalités de messagerie et de travail collaboratif d’Exchange Server 2016 : la messagerie électronique, la
gestion du calendrier, des tâches, des dossiers publics, des ressources et des contacts. Ils permettent la
synchronisation de la boîte aux lettres de l’utilisateur sur le poste de travail dans un fichier OST (et OAB pour les
carnets d’adresses).
Outlook Anywhere emploie différents mécanismes basés sur le protocole RPC/HTTP (RPC sur HTTP). L’objectif étant
d’encapsuler les appels RPC dans un tunnel HTTPS.
Le protocole MAPI/HTTP a été introduit avec le SP1 d’Exchange Server 2013 et n’utilise plus les composants RPC
mais déplace la couche transport vers le modèle HTTP. MAPI/HTTP se présente comme le successeur d’Outlook
Anywhere en offrant une meilleure optimisation. Les deux protocoles s’implémentent de la même manière et le choix
entre les deux va s’appuyer principalement sur la compatibilité du parc client.
Produit Exchange 2016 Exchange 2013 SP1 Exchange 2013 Exchange 2010 SP3
RTM
Outlook 2016 MAPI sur HTTP MAPI sur HTTP Outlook Anywhere RPC Outlook
Outlook Anywhere Outlook Anywhere Anywhere
Outlook 2013 SP1 MAPI sur HTTP MAPI sur HTTP Outlook Anywhere RPC Outlook
Outlook Anywhere Outlook Anywhere Anywhere
Outlook 2013 RTM Outlook Anywhere Outlook Anywhere Outlook Anywhere RPC Outlook
Anywhere
Outlook 2010 SP2 MAPI sur HTTP MAPI sur HTTP Outlook Anywhere RPC Outlook
+ KB2956191 + Outlook Anywhere Outlook Anywhere Anywhere
KB2965295
Outlook 2010 SP2 Outlook Anywhere Outlook Anywhere Outlook Anywhere RPC Outlook
et versions Anywhere
antérieures
Outlook Anywhere et MAPI/HTTP, en tant que protocoles par défaut, succèdent au traditionnel MAPI (Messaging
Application Programming Interface) que nous connaissons sous quasiment toutes les versions antérieures à
Exchange 2013.
Le cas d’Outlook 2003 et d’Outlook 2007 : Même s’il s’agit des premiers clients à supporter les connexions RPC/HTTP,
Ils ne sont plus supportés par Exchange Server 2016 dans ce mode. On peut encore les connecter via IMAP4 ou
POP3.
Le protocole MAPI/HTTP a pour objectif de remplacer le protocole Outlook Anywhere (RPC sur HTTP).
MAPI/HTTP améliore la fiabilité et la stabilité des connexions Outlook et Exchange en déplaçant la couche transport
vers le modèle HTTP. Il améliore les performances de connexion (80 % des utilisateurs connectés en moins de 5s), le
niveau de visibilité des erreurs de transport et la capacité de récupération. Il intègre ainsi des fonctions
d’interruption et de reprise explicite (Ex : clients qui passent d’une connexion WiFi au filaire).
La configuration du protocole MAPI/HTTP ne peut se faire que par l’invite de commande Exchange Management Shell.
Le déploiement de MAPI/HTTP nécessite d’avoir implémenté un certificat auparavant. Si vous n’êtes pas familier avec
cette configuration, celleci est détaillée dans le chapitre Mise en place de la sécurité.
Dans la console Exchange Management Shell, tapez la commande suivante pour configurer l’URL externe
du service externe MAPI
Si la prise en charge du protocole MAPI/HTTP n’est pas activée, vous pouvez l’effectuer à l’aide de la
commande suivante :
Vérifiez la configuration MAPI/HTTP au niveau de la boîte aux lettres avec la commande suivante :
Pour activer le protocole MAPI/HTTP à une boîte aux lettres d’utilisateur, tapez la commande suivante :
Dans le menu, sélectionnez État de la connexion…, puis dans l’onglet Général, affichez la colonne Protocole et
vérifiez que le protocole utilisé est bien HTTP.
Le MAPI (Messaging Application Programming Interface) usuel que nous connaissions sous Outlook, à savoir
RPC/TCP, n’est plus supporté sous Exchange Server 2016. Ceci a permis de simplifier les architectures, notamment
celle du service frontal d’accès client qui grâce au RPC/HTTP, peut jouer pleinement son rôle de proxy). Lorsque l’on se
réfère à MAPI sous Exchange Server 2016, il s’agit exclusivement de RPC/HTTP(S).
Techniquement, Outlook Anywhere s’appuie sur le protocole RPC (Remote Procedure Call) encapsulé soit dans un flux
HTTP (RPC sur HTTP ou RPC/HTTP), soit dans un flux HTTPS (RPC over HTTPS ou RPC/HTTPS).
Par défaut, les clients externes utilisant Outlook Anywhere emploient le protocole RPC/HTTPS, les clients Internet et
les clients internes le protocole RPC/HTTP.
L’avantage d’Outlook Anywhere, auquel ce dernier doit son nom, est qu’il ne requiert l’ouverture que d’un seul port
(TCP 443) sur les parefeu, permettant ainsi à un client Outlook (lourd) de se connecter depuis l’extérieur à sa
messagerie, en disposant de l’ensemble des fonctionnalités de manière sécurisée, et sans avoir besoin d’un client
VPN.
Le diagramme suivant présente les composants des services d’accès client sollicités par Outlook Anywhere :
Lorsqu’un client Outlook externe se connecte, il passe à travers le parefeu dont le port 443 est ouvert et atterrit
sur les services IIS (Internet Information Services) frontaux d’accès client. Il s’agit d’un flux HTTPS qui encapsule le
protocole RPC.
Lorsqu’un client interne se connecte, il accède directement aux services IIS d’accès client, soit avec un flux HTTP, soit
avec un flux HTTPS qui, dans les deux cas, encapsule le protocole RPC.
Quel que soit le client, les services frontaux d’accès client vont avant tout authentifier l’utilisateur en s’appuyant sur
Active Directory et identifier le serveur de boîtes aux lettres hébergeant la boîte à laquelle l’utilisateur souhaite se
connecter.
Ensuite, que ce soit pour un client interne ou externe, les services frontaux d’accès client vont faire transiter le flux
HTTPS ou HTTP via son proxy HTTP vers les services clients du serveur où est hébergée la boîte aux lettres.
Les services IIS du serveur de boîtes aux lettres, au travers du proxy RPC du serveur de boîtes aux lettres, vont
extraire les appels RPC du flux HTTP permettant au protocole RPC d’accéder à la base de données de boîtes aux
lettres.
ActiveSync fonctionne quasiment comme Outlook Anywhere, sauf qu’il est optimisé pour les dispositifs mobiles
employant une bande passante réduite. Il permet entre autres la synchronisation partielle des conversations, la
synchronisation des SMS, l’affichage des participants à une réunion, la disponibilité des contacts, etc. Il offre
également des fonctionnalités de sécurisation des périphériques mobiles comme le chiffrement des données ou
l’effacement à distance.
a. Direct Push
Direct Push est une technologie qui permet la synchronisation d’un périphérique mobile avec Exchange afin que ce
dernier soit en permanence à jour, et ce, même au travers d’un réseau cellulaire. Cela passe par des mécanismes
de notification afin d’éviter de maintenir une connexion active permanente entre le périphérique mobile et le
serveur.
Le schéma cidessous illustre les différents flux entre un client ActiveSync et le serveur employant Direct Push :
1. Le périphérique mobile établit une connexion au serveur via une requête HTTPS, ce type de requête Direct
Push est appelée un PING.
2. Si le serveur ne répond pas au bout d’un certain temps, le client renvoie une requête d’ouverture de
connexion (la requête est renvoyée au bout de 15 min, puis 8 min, puis 12 min).
3. Le serveur répond qu’il n’y a aucune mise à jour dans les éléments à synchroniser.
5. Si une mise à jour est disponible, le serveur envoie une notification au client.
9. Dans le cas où des éléments sont modifiés sur le client, celuici initie la synchronisation sur le serveur.
La fonction d’effacement à distance des données (remote wipe) permet d’accroître la sécurité en
empêchant l’exploitation d’informations sensibles sur un périphérique mobile égaré ou volé. Ceci est primordial car
compte tenu de la nature des périphériques et des méthodes de synchronisation employées, ils sont amenés à
stocker un volume conséquent d’informations localement. Outre les données de boîtes aux lettres, le périphérique
dispose également des informations d’authentification de l’utilisateur. De ce fait, il est essentiel de disposer d’un
moyen de protection des données sensibles.
La fonction Remote Wipe peut être exécutée par un administrateur ou directement par l’utilisateur au travers de
son client de messagerie Outlook ou Outlook sur le Web, si son périphérique mobile a été rattaché par ce biais.
Les stratégies de boîtes aux lettres de périphériques mobiles permettent de sécuriser les données présentes sur
les périphériques mobiles employant ActiveSync. Au travers des stratégies, nous pouvons définir une politique de
sécurité quant à l’accès aux informations et leur synchronisation. Cela permet, par exemple, de définir les
stratégies de mot de passe ou encore l’exigence de chiffrement sur les périphériques mobiles.
La mise en quarantaine de périphériques mobiles permet de définir la nature des périphériques que vous
souhaitez autoriser à synchroniser une boîte aux lettres via ActiveSync. De ce fait, vous pouvez bloquer un
périphérique précis, un modèle, ou encore un système d’exploitation mobile.
Exchange ActiveSync est activé par défaut sous Exchange Server 2016. Le Centre d’administration Exchange permet
sa configuration via plusieurs menus, dont les équivalents sont également disponibles en ligne de commande via
l’Exchange Management Shell.
Le Centre d’administration Exchange va nous permettre de définir les paramètres de connexion et de sécurité
relatifs aux appareils mobiles utilisant ActiveSync.
Le paramétrage est effectué via le menu serveurs de l’arborescence du Centre d’administration Exchange.
Dans la liste Sélectionner le serveur, sélectionnez le nom du serveur sur lequel vous souhaitez
définir les paramètres ActiveSync.
Ensuite, dans la liste des répertoires virtuels, double cliquez sur MicrosoftServerActiveSync
(Default Web Site).
Dans la fenêtre MicrosoftServerActiveSync (Default Web Site) qui s’affiche, vous pouvez définir les
URL de connexion interne et externe :
l L’Authentification de base envoie les paramètres d’authentification en clair et nécessite donc de facto l’emploi du
chiffrement SSL.
l L’Authentification de certificat client permet une authentification basée sur un certificat téléchargé sur les
clients. Cette option peut être intéressante pour assurer un contrôle plus poussé des clients se connectant via
ActiveSync, notamment en rendant obligatoire l’usage d’un certificat client. Ainsi, un client pour lequel un certificat
Le paramétrage est effectué via le menu mobile de l’arborescence du Centre d’administration Exchange.
Au travers de cette page, nous allons pouvoir définir les paramètres d’accès par défaut à ActiveSync.
Dans la section Paramètres d’accès Exchange ActiveSync, cliquez sur le bouton modifier.
Au travers de la page Paramètres d’accès Exchange ActiveSync affichée, nous allons pouvoir spécifier le
comportement du serveur visàvis des périphériques désirant être connectés pour lesquels aucune règle
spécifique d’accès n’aura été définie :
l Paramètres de connexion : cette option vous permet d’autoriser l’accès pour tous les périphériques inconnus, les
bloquer ou bien les mettre en quarantaine afin de décider plus tard de leur statut.
l Mettre en quarantaine... : cette option vous permet de sélectionner les administrateurs qui recevront la
notification de la mise en quarantaine d’un dispositif mobile.
l Texte à inclure aux messages envoyés aux utilisateurs... : permet de définir le message envoyé aux
utilisateurs tentant une connexion à ActiveSync. Votre message doit être adapté à l’option sélectionnée dans les
paramètres de connexion.
l Créer une règle d’accès ou de blocage pour les périphériques similaires (modèle, système d’exploitation).
Au travers de la liste Règles d’accès aux périphériques du menu mobile du Centre d’administration Exchange
vous pourrez définir des règles d’exemptions concernant une famille de périphériques ou un modèle particulier.
Cette règle exemptera les périphériques déclarés, des paramètres définis via les paramètres d’accès Exchange
ActiveSync :
Son ancien nom étant Outlook Web App, on retrouvera cette référence régulièrement dans les différentes interfaces
d’administration.
En fonction du périphérique utilisé pour la connexion à Outlook sur le Web, nous nous retrouverons sur une interface
optimisée pour celuici.
Pour les ordinateurs de bureau et les tablettes : l’interface Desktop (bureau) sera utilisée. Il s’agit de l’interface
conventionnelle d’Outlook sur le Web permettant d’accéder à l’ensemble des fonctionnalités qu’il propose. Elle est
aussi bien adaptée à un usage au clavier et à la souris, qu’à un usage tactile.
Pour les smartphones : l’interface Touch Narrow (tactile étroite) sera ici utilisée. Elle est optimisée pour une
utilisation sur les écrans tactiles de taille réduite.
Il existe également une application OWA pour iPhone et iPad disponible via iTunes.
Bien que basé sur une interface web, il fournit un accès aux boîtes aux lettres des utilisateurs sous une forme riche
d’un point de vue expérience utilisateur. En effet, il offre la quasitotalité des fonctionnalités disponibles au travers
d’un client lourd Outlook. Parmi les fonctionnalités non prises en charge, nous aurons l’accès aux messageries
partagées, la réponse aux messages imbriqués, ou encore certaines options de personnalisation d’affichage.
Outlook sur le Web (OWA) est activé par défaut lors de l’installation d’Exchange Server 2016. Microsoft s’est ensuite
appuyé sur les fonctionnalités présentes sur Office 365 pour proposer aux utilisateurs une interface plus riche et
mieux adaptées aux usages actuels.
l L’interface standard, qui offre l’ensemble des fonctionnalités supportées sur les navigateurs compatibles (quasiment
tous les navigateurs récents).
l L’interface Outlook sur le Web light utilisée pour la prise en charge des clients incompatibles avec l’interface Outlook
Standard. Elle fournit les fonctionnalités de base de la messagerie, parmi lesquelles le courrier, le calendrier, les
contacts, les dossiers, le carnet d’adresses, etc.
Voici quelques fonctions disponibles avec Outlook sur le Web dans sa version Exchange Server 2016 :
Grâce à ce mode, l’utilisateur aura la possibilité de lire ou d’écrire des messages, d’accéder aux contacts ou encore
planifier un rendezvous.
Dès lors qu’une connexion au serveur est disponible, les modifications effectuées hors connexion sont synchronisées
et les messages envoyés.
l Réponse rapide
Cette fonction permet de renvoyer une réponse courte à partir du corps de l’email d’origine sans avoir à charger tous
les composants de mise en page standard.
l Suggestions de recherche
Cette fonction permet de préfiltrer le contenu de la recherche pour la rendre plus pertinente et rapide.
l Pièce jointe liée à un fichier SharePoint 2016 (Nécessite Office Web App Server) ou Office 365
Cette fonction permet de lister, rechercher et sauvegarder dans OneDrive à partir de l’interface web.
l Fonction d’aperçu
L’intégration à un serveur Office Web App Server (utilisé aussi par les plateformes SharePoint) permet aux utilisateurs
d’ouvrir des documents sans disposer d’Office sur son poste, mais également de les modifier au travers d’une fenêtre
de navigateur.
La configuration d’Outlook sur le Web pour une utilisation en mode bureau consiste en plusieurs étapes :
l La définition des paramètres du répertoire virtuel OWA IIS : qui permet de définir les éléments liés à l’authentification
(transparente, basée sur des formulaires…), ainsi que les fonctionnalités proposées à l’ensemble des clients.
l La définition des politiques Outlook sur le Web : ceci permet de définir une politique distincte de celle définie par
défaut dans les paramètres du répertoire virtuel d’Outlook sur le Web.
Le Centre d’administration Exchange va permettre de définir les paramètres globaux à appliquer à l’ensemble des
utilisateurs, ainsi que des stratégies appliquées de manière spécifique à un utilisateur.
Le paramétrage d’Outlook sur le Web s’effectue via le menu serveurs de l’arborescence du Centre
d’administration Exchange :
Dans la liste Sélectionner le serveur, sélectionnez le nom du serveur sur lequel vous souhaitez
Ensuite, dans la liste des répertoires virtuels, double cliquez sur owa (Default Web Site).
Dans la fenêtre owa (Default Web Site) qui s’affiche, vous pouvez paramétrer différentes options :
n Menu général : au travers de ce menu, vous pouvez définir les URL internes et externes utilisées par les clients
pour la connexion à Outlook sur le Web :
n Menu authentification : ce menu vous permet de définir les paramètres liés à l’authentification des clients.
Vous pourrez définir soit une authentification multiple comprenant l’authentification Windows Intégrée (NTLM,
Kerberos, Négociée), l’authentification Digest et l’authentification de base, soit l’authentification basée sur des
formulaires (par défaut), qui affiche une page de connexion lorsque l’on se connecte à Outlook sur le Web.
L’option d’authentification basée sur les formulaires vous permet également de spécifier la manière dont
l’utilisateur devra saisir son identifiant :
Le paramétrage des stratégies Outlook sur le Web est effectué via le menu autorisations de l’arborescence du
Centre d’administration Exchange :
Dans l’arborescence autorisations, il faut sélectionner l’onglet stratégies Outlook Web App :
Dans la liste des stratégies, une stratégie par défaut est présente, que vous pouvez modifier en double cliquant
dessus. Vous pouvez également créer une autre stratégie via le symbole +.
La stratégie par défaut n’est pas appliquée aux utilisateurs, vous devrez la définir au sein des propriétés de chaque
destinataire.
Pour créer une nouvelle stratégie Outlook sur le Web, procédez de la façon suivante :
Dans la fenêtre nouvelle stratégie de boîte aux lettres Outlook sur le Web, vous pouvez paramétrer
les options suivantes :
n Gestion de la communication : il s’agit des fonctionnalités que vous souhaitez autoriser pour vos
destinataires, comme la messagerie instantanée, la synchronisation des périphériques mobiles via ActiveSync,
etc.
n Gestion des informations : la journalisation permet d’activer le journal des actions effectuées au
travers d’Outlook sur le Web, similaire à celui disponible sous Outlook.
Le rôle Office Web Apps Server est spécialisé dans la visualisation et l’édition des documents Office à partir d’une
interface Web reprenant l’ergonomie des applications bureau. L’utilisation de ce composant est partagée avec
l’infrastructure SharePoint qui s’en sert pour les mêmes fonctions.
Il supporte les formats des fichiers Word, Excel, PowerPoint et OneNote et fournit une interface web intégrée à OWA
permettant d’afficher et d’éditer les pièces jointes. Le rôle Office Web Apps Server ne peut pas coexister avec un
rôle Exchange.
L’intégration des liens vers les fichiers SharePoint dans les pièces jointes fait partie des nouveautés les plus
marquantes de cette nouvelle version. Elle permet en effet de partager sous la forme d’une pièce jointe un fichier
hébergé par SharePoint / Office 365 et donc coéditable à partir des Office Web Apps. Cela permet aussi de garantir
que la version que l’on va ouvrir du document sera toujours la dernière même, si cela provient d’un ancien email.
Pour bénéficier des nouvelles fonctions d’intégration des pièces jointes stockées sur SharePoint/Office 365, des
prérequis d’infrastructure sont nécessaires avec notamment la nécessité d’avoir un serveur Office Web Apps Server
2016 et un serveur SharePoint Server 2016 pour la prise en charge "Onpremises".
Cette fonctionnalité peut s’appuyer aussi sur une architecture hybride à l’aide d’un abonnement Office 365.
Nous allons utiliser ici une infrastructure complète basée sur Windows Server 2012 et Windows 10.
1. Infrastructure requise
Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :
l EXCH : serveur sous Windows Server 2012 R2 membre du domaine editionseni.lan installé avec le rôle Exchange
Server 2016.
l CLI : il s’agit d’un poste client sous Windows 10 sur lequel est installé Outlook 2016 (version d’évaluation disponible sur
le site de Microsoft). Ce poste, nommé WINCLI1 doit être configuré avec l’adresse IP 172.16.1.101 une passerelle
par défaut et le DNS principal 172.16.1.1. Il doit être rattaché au domaine.
La machine sur laquelle les manipulations devront être réalisées sera indiquée dans le titre entre crochets "[ ]".
MAPI/HTTP est le protocole par défaut utilisé pour les clients Outlook, nous allons ici avant tout vérifier sa
configuration.
a. Configuration de l’Autodiscover
Nous allons ici créer les enregistrements nécessaires sur le serveur DNS afin que les clients non membres du domaine
puissent utiliser le service de découverte automatique pour se configurer avec un minimum de paramètres.
Domaine : editionseni.lan
Service : _autodiscover
Protocole : _tcp
Priorité : 0
Poids : 0
Nous allons voir maintenant comment Outlook utilise l’enregistrement autodiscover pour localiser ses paramètres de
configuration lorsqu’il est utilisé à l’extérieur ou hors d’un domaine. Nous verrons ensuite comment il se comporte
lorsqu’il fait partie d’un domaine Active Directory.
Ouvrez une session sur le domaine editionseni.lan en utilisant le compte editionseni\lthobois et le mot
de passe P@ssw0rd.
Dans la fenêtre Ajouter un compte de messagerie, laissez l’option Oui cochée et cliquez sur
Suivant (afin de définir un compte de messagerie).
Vous vous retrouvez alors dans Outlook 2016 avec votre profil configuré.
Lors de la configuration d’Outlook 2016, une fenêtre d’alerte de sécurité est susceptible d’être affichée. Ceci est dû au
fait que l’on utilise un certificat du serveur qui n’a pu être validé par une autorité de certification. De même, la
configuration d’Outlook 2016 pour les clients externes requiert la validation du certificat utilisé pour la connexion. Le
paramétrage des certificats est traité dans le chapitre Mise en place de la sécurité.
Pour tester que le client Outlook est bien connecté à l’aide du protocole MAPI/HTTP, maintenez la
touche [Ctrl] appuyée et cliquez avec le bouton droit sur l’icône de Microsoft Outlook dans la barre de
notification.
Outlook sur le Web est disponible dès l’installation d’Exchange Server 2016, via l’URL https://exchsrv1/owa. Nous
allons procéder à sa configuration puis confirmer l’application effective de ses paramètres via son interface.
Dans l’arborescence de gauche, cliquez sur serveurs, puis sélectionnez l’onglet répertoires virtuels.
Dans la liste des répertoires virtuels, double cliquez sur owa (Default Web Site) :
1. Questions
2 Quel est le protocole utilisé par défaut pour les clients Outlook sous Exchange Server 2016 ?
4 Quels sont les ports nécessaires à ouvrir sur un parefeu afin d’assurer une connectivité à MAPI/HTTPS ou
Outlook Anywhere, Outlook sur le Web et Exchange ActiveSync ?
5 Comment faire pour définir des paramètres personnalisés pour Outlook sur le Web pour un utilisateur
spécifique ?
7 Que devraiton faire suite à la perte d’un périphérique mobile connecté via ActiveSync et contenant des
données sensibles ?
8 Suite au déploiement d’un serveur Exchange, les utilisateurs peuventils directement configurer leur
messagerie en utilisant le protocole POP3 ?
10 Un client externe peutil bénéficier du service de découverte automatique en s’appuyant sur les objets SCP
contenus dans Active Directory ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
Leur mission est d’authentifier et localiser la boîte aux lettres de l’utilisateur et de faire office de proxy pour assurer
la connexion aux services de boîtes aux lettres. Le reste des fonctionnalités, notamment les protocoles, résident
dans les autres composants de boîtes aux lettres.
2 Quel est le protocole utilisé par défaut pour les clients Outlook sous Exchange Server 2016 ?
Il s’agit de MAPI/HTTP. Il succède au protocole MAPI traditionnel (RPC/TCP) qui n’est plus utilisé depuis Exchange
2013 et au protocole Outlook AnyWhere.
Sur Mac : Outlook pour Mac 2011 et Outlook pour Office 365.
4 Quels sont les ports nécessaires à ouvrir sur un parefeu afin d’assurer une connectivité à MAPI/HTTPS ou
Outlook Anywhere, Outlook sur le Web et Exchange ActiveSync ?
1. Prérequis
Savoir comment un serveur de messagerie utilise l’infrastructure DNS pour acheminer les emails.
2. Objectifs
Comme indiqué dans les précédents chapitres, Exchange Server 2016 rompt avec les architectures des versions
antérieures du produit. Mais même si le rôle Hubtransport n’est plus directement exposé, il n’en demeure pas
moins que le paramétrage et le fonctionnement interne restent très proches des précédentes versions.
Ainsi, les composants de transport ont pour objectif l’acheminement des messages aussi bien à l’intérieur qu’à
l’extérieur de l’organisation Exchange, par l’intermédiaire de différents mécanismes de routage.
L’architecture se compose ainsi d’un service frontal de transport qui agit comme un proxy SMTP sur le trafic entrant
et sortant de l’organisation Exchange Server 2016. Aucune analyse du contenu n’est réalisée par celuici et il
transmet directement les messages au service de transport d’un serveur hébergeant la boîte aux lettres. La
sélection du serveur de boîtes aux lettres se fait sans prendre en compte ni le nombre, ni le type, ni l’emplacement
des destinataires du ou des messages.
Le routage des messages peut se faire ensuite entre les différents services de transport hébergés par les serveurs
de boîte aux lettres de l’organisation.
La segmentation des zones permettant le routage des messages se fait par des groupes de remise qui permettent
de faciliter l’acheminement des messages afin d’améliorer l’efficacité des échanges au sein de l’infrastructure. Un
groupe de remise peut être : un groupe de disponibilité de base de données, un groupe de remise de boîtes aux
lettres, un connecteur de serveur source, un serveur d’expansion de groupe de distribution…
Après analyse du message, lorsque les serveurs de boîtes aux lettres devant s’échanger le message se trouvent
dans des groupes de remise différents, le message est de nouveau acheminé par un échange entre les services de
transport de différents serveurs de boîtes aux lettres.
Un connecteur d’envoi sur le serveur de boîtes aux lettres est configuré pour la remise du courrier à l’extérieur de
l’organisation Exchange.
Le rôle Edge peut être utilisé pour permettre une analyse du flux de message en DMZ (zone démilitarisée).
Le protocole SMTP assure les fonctions de routage des emails, il prend en charge la remise des messages qui lui
sont confiés jusqu’à leur destinataire mais peut aussi agir en tant que relais s’il est correctement configuré.
On associe souvent au protocole SMTP un système de file d’attente. En effet, l’un des gros avantages du protocole
est qu’il est fondamentalement asynchrone. Si j’envoie un email à mon serveur SMTP et que celuici ne peut le
remettre immédiatement car le serveur SMTP de destination est en maintenance pendant plusieurs heures, le
message va être stocké dans une file d’attente et mon serveur tentera de remettre mon message régulièrement.
Le protocole SMTP utilise le port TCP 25 par défaut, il est devenu le protocole standard de transfert des messages
électroniques entre les serveurs et avec les clients.
Comme son nom l’indique (Simple Mail Transfer Protocol), le protocole est très basique et n’avait pas pour objectif lors
de sa conception de devenir la norme de transfert des emails au niveau mondial. Aussi, il présente plusieurs
problèmes de conception majeurs particulièrement au niveau de la sécurité et de la montée en charge.
L’implémentation d’un serveur SMTP demande donc une attention particulière afin d’éviter que votre serveur ne
devienne la passerelle de relais préférée des spammeurs.
Voici un exemple d’échanges classiques entre deux serveurs de messagerie utilisant le protocole SMTP.
l VRFY <chaîne> : vérifie que le destinataire est valide sur le serveur de destination (cette commande est souvent
Une organisation Exchange Server peut être responsable de plusieurs domaines de messagerie. Pour configurer
plusieurs domaines de messagerie pour une organisation Exchange, il faut ajouter des domaines acceptés.
Un domaine accepté est un domaine DNS (Domain Name System) pour lequel l’organisation Exchange envoie et
reçoit des messages électroniques. Cela inclut bien sûr les domaines pour lesquels l’organisation Exchange
contient des boîtes aux lettres (domaines faisant autorité). Cela inclut aussi les domaines pour lesquels
l’organisation Exchange reçoit des messages et ensuite relaie ceuxci à un serveur de messagerie qui ne fait pas
partie de l’organisation Exchange (domaines relais).
Les domaines acceptés vont être utilisés pour contrôler les messages électroniques que l’organisation Exchange
accepte depuis Internet. Une fois qu’un domaine accepté est configuré, l’organisation Exchange va accepter les
messages depuis Internet pour ce domaine. Les tentatives des serveurs de messagerie Internet pour délivrer des
messages pour des domaines qui ne sont pas des domaines acceptés vont être refusées.
Les domaines acceptés sont configurés deux fois : une fois en tant que paramètre global pour l’organisation
Exchange Server, et une autre fois sur le serveur qui a le rôle Transport Edge s’il a été configuré dans
l’organisation. Les serveurs Exchange ne traitent que les messages pour les domaines qui sont configurés en tant
que domaines acceptés au niveau de l’organisation Exchange. Les messages à destination des autres domaines
sont soit relayés vers leurs domaines de destination s’ils proviennent d’un émetteur de confiance soit supprimés.
Les serveurs Transport Edge acceptent et relayent vers l’infrastructure interne seulement les messages pour les
domaines configurés en tant que domaines acceptés sur le serveur qui a le rôle Transport Edge.
Pour simplifier l’administration lors de la configuration des domaines acceptés, il est possible de procéder de la
façon suivante :
l Synchroniser ces informations avec le serveur Transport Edge en créant une souscription Edge. Quand vous
inscrivez le serveur qui a le rôle Transport Edge dans l’organisation Exchange Server 2016, tous les domaines
acceptés configurés au niveau des paramètres de l’organisation pour le service Transport Hub sont répliqués vers le
serveur qui a le rôle Transport Edge pendant les synchronisations EdgeSync. Nous verrons plus tard comment
ajouter un serveur avec le rôle Transport Edge et l’inscrire à l’organisation Exchange Server 2016.
l Pour modifier la configuration des domaines acceptés sur un serveur Transport Edge inscrit dans l’organisation, il
faut effectuer les modifications sur le serveur disposant du service Transport Hub.
Quand vous créez des domaines acceptés, vous pouvez utiliser le caractère étoile (*) dans l’espace d’adresses
pour indiquer à l’organisation Exchange d’accepter aussi tous les sousdomaines de l’espace d’adresse SMTP. Par
exemple, pour configurer editionseni.fr et tous ses sousdomaines, il vous suffira d’entrer *.editionseni.fr comme
espace d’adresse SMTP.
Si un sousdomaine doit être utilisé dans une stratégie d’adresses de messagerie, chaque sousdomaine doit avoir
une entrée explicite dans les domaines acceptés.
Un domaine accepté faisant autorité est un domaine pour lequel l’organisation Exchange stocke des boîtes aux
lettres pour des objets conteneurs de ce domaine SMTP. Par défaut, quand le premier serveur Exchange est
installé, un domaine accepté est configuré comme faisant autorité pour l’organisation Exchange. Le domaine
accepté par défaut est le nom de domaine pleinement qualifié (FQDN Fully Qualified Domain Name) du domaine
racine de la forêt.
Souvent, le nom de domaine interne utilisé avec Active Directory est différent du domaine externe. Par exemple le
nom de domaine interne peut être eni.lan et le nom de domaine externe enieditions.fr. L’enregistrement de
ressource DNS pour le serveur de messagerie (MX) pour votre organisation référence enieditions.fr. C’est l’espace
de noms SMTP que vous voulez assigner aux utilisateurs en créant une stratégie d’adresses de messagerie. Pour
cela, il faut créer un domaine accepté faisant autorité avec le nom de domaine externe enieditions.fr.
Dans Exchange Server 2016, vous pouvez configurer des domaines acceptés en tant que domaines relais. Les
domaines relais reçoivent des emails pour des destinataires en dehors de l’organisation et ensuite relayent ces e
mails à un serveur qui ne fait pas partie de l’organisation Exchange.
l Domaine de relais interne : quand vous configurez un domaine de relais interne, les destinataires de ce domaine
n’ont pas de boîte aux lettres dans l’organisation Exchange mais ont des contacts dans la liste d’adresse globale
(GAL). Les messages provenant d’Internet sont relayés pour ce domaine à travers les serveurs officiant en tant que
Transport Hub dans cette organisation Exchange.
l Domaine de relais externe : un domaine de relais externe est un domaine pour lequel les messages sont relayés
vers un serveur de messagerie qui ne fait pas partie de l’organisation Exchange et hors des limites du réseau de
l’organisation. Le serveur qui a le rôle Transport Edge relaye les messages.
L’administration des domaines acceptés se fait à partir de la console Centre d’administration Exchange en
réalisant les manipulations suivantes :
Dans la console Centre d’administration Exchange, cliquez sur le menu flux de messagerie, puis sur
l’onglet domaines acceptés.
Dans la fenêtre nouveau domaine accepté, entrez le nom du nouveau connecteur, le domaine DNS
correspondant et le type de domaine accepté puis cliquez sur enregistrer.
Il est aussi possible d’administrer les domaines acceptés à l’aide de la console Exchange Management Shell à
l’aide des commandes suivantes :
Tapez la commande suivante pour lister les domaines acceptés de l’organisation Exchange :
Tapez la commande suivante pour créer un nouveau domaine accepté faisant autorité pour le domaine
eni.fr :
Une fois que les domaines acceptés sont configurés, il est nécessaire d’utiliser des stratégies d’adresse de
messagerie pour définir les adresses emails des destinataires de l’organisation Exchange.
On utilise aussi les domaines acceptés pour configurer les stratégies d’adresse de messagerie. Il faut configurer
un domaine accepté avant qu’un espace d’adresses SMTP puisse être utilisé dans une stratégie d’adresse de
messagerie.
Si vous supprimez un domaine accepté qui est utilisé dans une stratégie d’adresse de messagerie, alors celuici ne
sera plus valide et les destinataires qui utilisent des adresses emails provenant de ce domaine SMTP ne pourront
plus envoyer ni recevoir d’emails à l’aide de cette adresse.
Il faut savoir que les stratégies d’adresse de messagerie sont très utiles car elles permettent d’affecter les
adresses emails pour de multiples objets conteneurs (destinataires) à la fois. Une stratégie d’adresse de
messagerie permet de générer les adresses emails pour les utilisateurs, les contacts et les groupes. Lorsqu’on
définit une stratégie d’adresse de messagerie, on définit le format de l’adresse email et à quels objets
destinataires elle va s’appliquer.
Cette configuration est très courante dans les entreprises offrant des services d’hébergement de messagerie. Par
exemple vous souhaitez que certains objets destinataires aient l’adresse email d’une première société (@eni
editions.fr) et d’autres destinataires une adresse email correspondant à une deuxième société (@eni
formations.fr).
Lors de la création d’une stratégie d’adresse, il est possible de sélectionner les objets destinataires en se basant
sur les éléments suivants :
Le type de destinataire permet de choisir les objets cibles sur laquelle la stratégie sera appliquée :
l Tous les types de destinataires : tous les objets de l’annuaire ayant une boîte aux lettres ou une extension de
messagerie Exchange.
l Utilisateurs avec boîte aux lettres Exchange : tous les utilisateurs ayant une boîte aux lettres Exchange.
l Utilisateurs de messagerie avec adresses de messagerie externes : tous les utilisateurs ayant une boîte
aux lettres externes.
l Boîtes aux lettres de ressources : toutes les boîtes aux lettres représentant des ressources utilisées pour la
planification et non pas des utilisateurs (salle de réunion, vidéoprojecteur, voiture…).
l Contacts avec adresses de messagerie externes : tous les contacts ayant une extension de messagerie
Exchange présents dans les listes d’adresses Exchange.
Les règles permettent de filtrer les objets destinataires en fonction de certains attributs liés aux objets se
trouvant dans Active Directory :
l Conteneur de destinataires : permet de limiter la recherche des objets cibles à une unité d’organisation et ses
objets enfants.
l Destinataire dans un département ou région : filtre selon la chaîne de caractères de l’attribut département ou
région de l’objet utilisateur ou contact.
l Destinataire dans une société : filtre selon la chaîne de caractères de l’attribut société de l’objet utilisateur ou
contact.
l Destinataire dans un service : filtre selon la chaîne de caractères de l’attribut service de l’objet utilisateur ou
contact.
l Destinataire bénéficiant d’un attribut personnalisé : filtre qui s’appuie sur les 15 attributs personnalisés
(extensionAttribute1 à extensionAttribute15) que l’on retrouve sur les objets Active Directory. Le contenu de ces
attributs est librement éditable.
Dans l’outil d’administration Utilisateurs et ordinateurs Active Directory, dans le menu Affichage,
sélectionnez l’option Fonctionnalités avancées.
Affichez les propriétés d’un compte utilisateur et cliquez sur l’onglet Éditeur d’attributs.
Naviguez jusqu’aux attributs commençant par extensionAttribute puis cliquez sur le bouton Modifier
après avoir sélectionné un attribut.
Une fois l’attribut modifié à l’aide du champ Valeur, cliquez sur OK.
Lors de l’installation d’Exchange Server 2016, par défaut les emails internes peuvent être échangés et les emails
extérieurs peuvent être reçus si un rôle d’accès client est présent. Pour cela, l’infrastructure Exchange Server 2016
utilise des connecteurs d’envoi implicites et invisibles qui utilisent les services de topologie d’Active Directory pour
router correctement les emails.
Pour pouvoir communiquer avec l’extérieur de l’organisation, il va falloir configurer deux types de connecteurs : le
connecteur d’envoi et le connecteur de réception.
Le serveur Exchange considère qu’il doit remettre un message à l’aide d’un connecteur d’envoi lorsque le domaine
de destination ne fait pas autorité dans la liste des domaines acceptés de l’organisation. Un domaine accepté
étant un domaine de messagerie que l’organisation connaît.
Dans le cas où l’organisation dispose d’un serveur Edge, le rôle du connecteur d’envoi sera de rediriger l’ensemble
du flux à destination d’Internet vers le serveur Edge. Dans le cas contraire, il aura pour charge de déterminer le
mode d’envoi ainsi que les différentes destinations possibles pour la remise de messages.
Des configurations spécifiques, à destination de partenaires par exemple, peuvent inclure des niveaux de sécurité
plus élevés que ce qui est couramment utilisé pour l’échange d’emails.
Lors de la configuration d’un connecteur d’envoi, il est nécessaire de préciser les informations suivantes :
l Espace d’adresses : indique les domaines DNS pour lesquels le connecteur va être utilisé.
l Mode de résolution de l’hôte distant : soit le serveur va faire une recherche par luimême via l’enregistrement
MX du domaine de destination, soit il va transmettre systématiquement les demandes de remise à un serveur qui
sera le destinataire final ou un serveur "smart host" chargé de réaliser la remise.
l Serveur source : liste des serveurs habilités à envoyer des messages à l’aide des paramètres du connecteur. Si le
serveur voulant envoyer le message ne fait pas partie de la liste, il va transmettre le message en interne dans
l’organisation Exchange à un membre de la liste.
L’administration des connecteurs d’envoi se fait à partir de la console Centre d’administration Exchange en
réalisant les manipulations suivantes :
Dans la console Centre d’administration Exchange, cliquez sur le menu flux de messagerie, puis sur
l’onglet connecteurs d’envoi.
Dans la fenêtre nouveau connecteur d’envoi, ajoutez le nom et sélectionnez le type de connecteur.
Il est aussi possible d’administrer les connecteurs d’envoi à l’aide de la console Exchange Management Shell
grâce aux commandes suivantes :
Tapez la commande suivante pour lister les connecteurs d’envoi de l’organisation Exchange :
Get-SendConnector
Tapez la commande suivante pour modifier les paramètres d’un connecteur d’envoi afin qu’il soit
désactivé :
La configuration d’un connecteur de réception s’effectue au niveau de chaque serveur Exchange de l’organisation.
Elle permet de déterminer si le serveur va accepter les messages entrants et dans quelle mesure. On retrouve les
paramètres de configuration des connecteurs de réception aussi bien sur les serveurs hébergeant le rôle accès
client que sur les serveurs hébergeant le rôle boîtes aux lettres.
Dans le cas des connecteurs de réception associés au rôle d’accès client, ils s’orientent naturellement vers la
connectivité extérieure à l’organisation et exposent la configuration standard réseau, à savoir le port 25 sur TCP.
De base, pour permettre la communication avec des serveurs tiers au travers d’Internet, le connecteur de
réception est configuré avec une autorisation pour les connexions anonymes.
Les connecteurs de réception associés au rôle boîte aux lettres ont pour vocation la mise en place des
communications intérieures à l’organisation, avec une configuration facilitant la mise en place de
communication sécurisée via l’authentification entre les serveurs, et une configuration des protocoles spécifiques
sur le port TCP 2525.
Les critères de configuration d’un connecteur de réception sont basés sur l’association d’une plage
réseau autorisée, d’un protocole d’authentification qui va permettre d’identifier l’ordinateur, le service ou
l’utilisateur qui se connecte et d’autorisations qui s’appuient sur des groupes de populations.
l Réseau : la configuration du réseau permet d’identifier les plages IP des serveurs qui seront autorisés à envoyer
des messages au connecteur de réception.
l Authentification : l’authentification permet de spécifier les méthodes et protocoles d’authentification acceptés par
le serveur. On retrouve les protocoles suivants :
l Autorisations : permet de spécifier les populations de machine qui pourront envoyer des messages au connecteur
de réception une fois l’authentification réalisée. On retrouve les groupes suivants :
n Serveurs Exchange hérités : contient les serveurs des anciennes versions d’Exchange.
n Utilisateurs Exchange : contient les utilisateurs possédant un compte de messagerie dans l’organisation
Exchange.
n Utilisateurs anonymes : contient tous les utilisateurs qui n’ont pas pu être authentifiés (la plupart des
emails provenant d’Internet sont associés à des utilisateurs anonymes).
Même si votre connecteur de réception est accessible de manière anonyme cela ne signifie pas que le serveur
Exchange acceptera de relayer les messages. En effet, le service de transport accepte uniquement de transférer
les mails à destination des domaines explicitement présents dans l’onglet Domaines acceptés, à moins d’avoir un
connecteur d’envoi permettant le relais.
Si vous souhaitez autoriser le relais des messages pour des serveurs spécifiques (CRM, serveurs Web,
SharePoint…), vous pouvez créer un connecteur de réception spécifique autorisé uniquement aux serveurs que
vous aurez référencés par l’intermédiaire de leurs adresses IP.
L’administration des connecteurs de réception se fait à partir de la console Centre d’administration Exchange en
réalisant les manipulations suivantes :
Dans la console Centre d’administration Exchange, cliquez sur le menu flux de messagerie, puis sur
l’onglet connecteurs de réception.
Sélectionnez le serveur sur lequel vous souhaitez créer un nouveau Connecteur de réception, puis
cliquez sur l’icône + pour créer ce dernier.
Dans la fenêtre nouveau connecteur de réception, indiquez le nom du nouveau connecteur, le rôle pour
lequel vous souhaitez le créer (dans le rôle d’accès distant ou le rôle boîte aux lettres) et le type de
connecteur.
Les fondements du protocole SMTP utilisés par Exchange Server 2016 sont basés sur la constitution de files
d’attente qui vont stocker temporairement les messages en transit.
Suivant une logique de gestion des incidents impliquant des cibles de tentative d’envoi, le système permet de gérer
la plupart des cas d’indisponibilité des différents composants locaux et distants.
Pour assurer un suivi de ces différents processus, quelques outils sont mis à notre disposition pour identifier et
résoudre les problèmes de routage.
Le système de routage des messages s’appuie sur une base de données stockée par défaut dans le répertoire %
ExchangeInstallPath%\TransportRoles\data\Queue. Il est possible pour des questions de fiabilité ou de
performance, de modifier l’emplacement de ces fichiers de base de données à l’aide du script fourni dans le
répertoire d’installation d’Exchange.
Dans une invite de commande Exchange Management Shell, naviguez jusqu’au répertoire %
ExchangeInstallPath%\Scripts\.
Lancez la commande suivante pour modifier l’emplacement de la base de données et des journaux de
transaction :
Successeur de l’outil Exchange Server Best Practices Analyzer, cet outil permet de vérifier si la
configuration semble correcte (problèmes de pilotes…). Les tests qui sont réalisés sont le résultat de l’expérience
des équipes de support de Microsoft et permettent de partir sur des bases saines.
Ouvrez une session sur l’un des serveurs Exchange Server 2016.
Cliquez sur Vérifiez votre déploiement Exchange Server local avec l’outil Office 365 Best Practices
Analyser.
Cliquez sur Accept sur le Best Practices Analyzer End User Agreement.
Lancez l’outil d’analyse Microsoft Office 365 Best Practices Analyzer à partir du menu Windows.
Cliquez sur view details pour afficher le résultat des tests dans Internet Explorer.
L’outil Remote Connectivity Analyzer se présente sous la forme d’un site web public et permet de lancer des tests
à partir d’une connexion extérieure. Il permet ainsi d’évaluer le niveau d’accessibilité des serveurs à partir du réseau
Internet.
Cet outil n’est pas réservé à Exchange mais permet aussi d’évaluer les fonctions des produits SfB/Lync et Office
365.
Dans le contexte des services de transport, il sera en mesure de tester les fonctions de messagerie entrante et
sortante pour le protocole SMTP.
Ouvrez une session sur l’un des serveurs Exchange Server 2016.
Dans l’onglet Exchange Server, sélectionnez l’option Inbound SMTP Email puis cliquez sur le lien Next en
haut à droite.
Dans la fenêtre Inbound SMTP Email, tapez une adresse email issue de votre infrastructure dans le
champ Email address, saisissez le captcha en bas de la fenêtre, cliquez sur le bouton Verify puis cliquez
sur le lien Perform Test en haut à droite.
Patientez le temps que le test soit réalisé et notez les éventuelles erreurs d’acheminement.
Ouvrez une session sur l’un des serveurs Exchange Server 2016.
Dans l’onglet Exchange Server, sélectionnez l’option Outbound SMTP Email puis cliquez sur le lien Next
en haut à droite.
Dans la fenêtre Outbound SMTP Email, tapez l’adresse IP publique du serveur Exchange dans le champ
Outbound IP address, puis tapez une adresse email issue de votre infrastructure dans le champ Email
address, saisissez le captcha en bas de la fenêtre, cliquez sur le bouton Verify puis cliquez sur le lien
Perform Test en haut à droite.
Patientez le temps que le test soit réalisé et notez les éventuelles erreurs d’acheminement.
L’objectif du rôle Transport Edge est de fournir une protection supplémentaire face aux menaces toujours plus
nombreuses sur Internet (attaques DoS, vers, chevaux de Troie, virus, spam…).
Il se positionne en amont des services de transport de l’infrastructure Exchange et vient étendre les capacités de
routage. Le rôle Transport Edge devient la passerelle en charge des entrées/sorties en provenance et à destination
des réseaux extérieurs à l’entreprise (exemple : Internet).
Construit comme une passerelle SMTP, les serveurs hébergeant le rôle se positionnent dans la DMZ et viennent se
connecter sur les serveurs Exchange Server 2016 hébergeant le rôle de boîtes aux lettres.
Pour respecter le contexte de sécurité lié à sa fonction de passerelle sécurisée, le système d’exploitation
hébergeant le rôle Transport Edge n’appartient pas au domaine Active Directory, le serveur est placé en DMZ et
n’accède aux données d’annuaire que par l’intermédiaire d’une copie locale en lecture seule. De nombreuses
solutions antivirus ou antispam s’intègrent directement avec les composants des serveurs Transport Edge. Le rôle
Transport Edge détient des composants rudimentaires pour la mise en place de fonctions antispam.
Le rôle Transport Edge est facultatif, de par ses spécifications techniques, ce rôle ne peut pas être déployé sur un
serveur qui héberge déjà un autre rôle Exchange. Il nécessite donc une topologie composée de deux serveurs
Exchange au minimum.
À la différence des services de transport présents dans l’organisation, l’agent de règle Transport Edge présent dans
les serveurs Transport Edge n’a pas pour objectif de veiller à la conformité de la messagerie de l’entreprise mais
veille à la lutte contre le courrier indésirable, qu’il soit entrant ou sortant.
Il est important de surveiller les capacités physiques du serveur sur lequel le rôle Transport Edge est installé dans la
mesure où l’ensemble du trafic mail échangé avec l’extérieur passe par ce serveur. Ceci devient encore plus critique
s’il héberge une solution antivirale en plus. Il est en effet recommandé de déployer la solution antivirus/antispam
sur le rôle Transport Edge, ce qui permet de filtrer les mails en DMZ et non sur le réseau interne.
Comme tous les serveurs sensibles (en DMZ notamment), il est indispensable de bien surveiller la configuration du
serveur : désactiver les services inutiles, le compte administrateur…
Concernant la configuration réseau, un serveur Transport Edge est généralement équipé de deux cartes réseau :
une vers le parefeu extérieurdmz et l’autre vers le second parefeu dmzinterne. Les utilisateurs à partir du réseau
public vont se connecter sur le port SMTP standardisé (TCP 25) et les échanges entre le serveur Transport Edge et
l’infrastructure Exchange 2013 utilisent les protocoles SMTP (25 TCP ou 2525 TCP) et LDAP (50389 TCP et 50636
TCP) avec l’architecture suivante :
L’installation du rôle Transport Edge demande des prérequis logiciels très proches de ceux nécessaires à
l’installation du rôle boîtes aux lettres Exchange Server 2016 standard. Le rôle demande en plus des spécificités ci
dessous :
l Il doit être configuré avec un suffixe DNS principal pour son identification auprès des autres services via son nom de
domaine complet (FQDN Fully Qualified Domain Name).
l Le composant Active Directory Lightweight Directory Services (AD LDS) doit être installé afin de stocker, dans
une structure similaire à une infrastructure Exchange complète, les paramètres de configuration du rôle Transport
Edge. Il permet aussi de répliquer en lecture seule un contenu adapté à partir de l’organisation Exchange.
Une fois les prérequis installés, le rôle Transport Edge peut être installé. Il n’y a pas de paramètres spécifiques à
préciser lors du processus d’installation, la configuration se fera exclusivement a posteriori.
Lorsque le rôle est installé, voici les principales étapes à réaliser pour rendre fonctionnel le nouveau serveur :
l Faire pointer le MX public de la zone DNS de messagerie sur l’adresse IP du serveur Edge.
l Synchroniser l’organisation Exchange avec le serveur Transport Edge afin de récupérer automatiquement la
configuration des domaines acceptés, des connecteurs et des règles de transport. Il est aussi possible de configurer
ces paramètres à la main.
La console Exchange Management Shell contient un nombre limité de cmdlets. Les commandes disponibles sont
étroitement liées aux fonctions du rôle Transport Edge.
Pour afficher la liste des cmdlets, lancez la console Exchange Management Shell à partir du menu Démarrer et
tapez la commande suivante :
Get-ExCommand
On remarquera que le module encapsulant les cmdlets du rôle Edge fait référence à Exchange 2010 car le rôle n’a
profité que de peu d’évolution depuis (Microsoft.Exchange.Management.PowerShell. E2010).
Dans la console Boîte à outils, deux outils sont disponibles et identiques à ceux installés sur un serveur disposant
du rôle boîte aux lettres :
l Afficheur des files d’attente : cet outil permet de lister et d’afficher le contenu des files d’attente SMTP.
L’affichage se fait par domaine cible et un état de santé est associé à chaque cible.
l Analyseur de connectivité à distance : cet outil permet de lancer le site web d’analyse de la connectivité afin de
simuler des échanges avec un serveur externe.
Les principes de fonctionnement et de paramétrage du rôle Transport Edge reprennent les fondamentaux des
services de transport que l’on trouve dans le rôle boîtes aux lettres.
Il n’y a pas de stratégies d’adresse de messagerie dans le rôle de Transport Edge car il n’a pas la possibilité de
modifier les paramètres de l’organisation Exchange. L’ajout d’adresses de messagerie uniquement sur le serveur
Transport Edge n’aurait donc aucun sens.
La configuration du rôle Transport Edge est propre au serveur, et il n’y a pas de mécanisme de réplication
automatique entre les serveurs Edge. Seul un principe d’abonnement va permettre de pousser, à partir de
l’organisation Exchange, les paramètres sur les serveurs Transport Edge de l’infrastructure afin d’en simplifier le
déploiement et la maintenance.
Lorsqu’un serveur Transport Edge est abonné à une organisation Exchange, il n’est plus possible de créer et de
modifier les objets domaines acceptés et connecteurs d’envoi.
Principe de fonctionnement
Un domaine accepté ne peut être ajouté ou modifié que sur des rôles Transport Edge qui ne sont pas liés à une
organisation Exchange par un abonnement.
L’administration des domaines acceptés se fait avec la console Exchange Management Shell à l’aide des
commandes suivantes :
Tapez la commande suivante pour lister les domaines acceptés de l’organisation Exchange :
Get-AcceptedDomain
Tapez la commande suivante pour créer un nouveau domaine accepté faisant autorité pour le
domaine eni.fr :
Principe de fonctionnement
Les connecteurs de réception déterminent si le serveur va accepter les messages entrants et sous quelles
L’administration des connecteurs d’envoi se fait à l’aide de la console Exchange Management Shell grâce aux
commandes suivantes :
Tapez la commande suivante pour lister les connecteurs de réception de l’organisation Exchange :
Get-ReceiveConnector
Tapez la commande suivante pour créer un connecteur de réception à destination d’une application CRM
hébergée sur des serveurs ayant une IP entre 172.16.1.10 et 172.16.1.19 :
Tapez la commande suivante pour modifier les paramètres d’un connecteur de réception afin d’autoriser
l’utilisation du connecteur par des utilisateurs anonymes :
Principe de fonctionnement
Lorsque l’organisation Exchange dispose d’un rôle Transport Edge, le rôle du connecteur d’envoi configuré sur le
serveur Transport Edge permet de remettre l’ensemble des messages à destination des domaines de messagerie
de destination.
Un connecteur d’envoi ne peut être ajouté ou modifié que sur des rôles Transport Edge qui ne sont pas liés à une
organisation Exchange.
L’administration des connecteurs d’envoi se fait à l’aide de la console Exchange Management Shell grâce aux
commandes suivantes :
Tapez la commande suivante pour lister les connecteurs d’envoi de l’organisation Exchange :
Afin de réaliser les ateliers suivants, il est nécessaire d’avoir les composants d’infrastructure suivants :
l DC Contrôleur de domaine pour le domaine editionseni.lan configuré avec l’espace de noms DNS correspondant
et les utilisateurs Loïc THOBOIS (lthobois@editionseni.lan) et Brahim NEDJIMI (bnedjimi@editions
eni.lan). Le serveur appelé ADDC1 est configuré avec l’adresse IP 172.16.1.1.
l EXCH Serveur de messagerie Exchange Server 2016 configuré avec le rôle boîtes aux lettres (MBX). Le
serveur appelé EXCHSRV1 est configuré avec l’adresse IP 172.16.1.21.
Afin de réaliser certaines manipulations, il est nécessaire que les machines soient connectées à Internet par l’ajout
d’une seconde carte (connectée directement sur Internet) ou par une passerelle permettant l’accès vers Internet.
La machine sur laquelle les manipulations doivent être réalisées est indiquée dans le titre entre crochets "[ ]".
Dans l’outil d’administration Gestionnaire DNS, développez le serveur ADDC1, puis Zones de
recherche directes.
Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone….
Dans l’assistant Assistant Nouvelle zone, dans la page Bienvenue!, cliquez sur le bouton Suivant.
Dans la page Type de zone, sélectionnez Zone principale, puis cliquez sur le bouton Suivant.
Dans la page Nom de la zone, tapez editionseni.fr dans le champ Nom de la zone, puis cliquez sur le
bouton Suivant.
Les opérations précédentes permettent de simuler l’achat d’un domaine public auprès d’un registrar dans le cadre de
l’atelier, ils ne sont pas à reproduire dans un scénario d’implémentation réel.
Dans l’outil d’administration Gestionnaire DNS, développez le serveur ADDC1, puis Zones de
recherche directes et editionseni.fr.
Cliquez avec le bouton droit sur editionseni.fr, puis cliquez sur Nouvel hôte (A ou AAAA)….
Dans la fenêtre Nouvel hôte, tapez mail dans le champ Nom (utilise le domaine parent si ce champ est
vide), puis 172.16.1.21 dans le champ Adresse IP puis cliquez sur le bouton Ajouter un hôte.
Cliquez avec le bouton droit sur le nœ ud editionseni.fr à partir de l’arborescence de gauche, puis
cliquez sur Nouveau serveur de messagerie (MX)….
Tapez mail.editionseni.fr dans le champ Nom de domaine pleinement qualifié (FQDN) pour le serveur
de messagerie puis cliquez sur le bouton OK.
Les opérations précédentes peuvent être réalisées directement chez le registrar si vous n’hébergez pas la zone DNS
dans votre infrastructure.
Dans la console Centre d’administration Exchange, cliquez sur le menu flux de messagerie puis sur
l’onglet domaines acceptés.
Dans la fenêtre nouveau domaine accepté, tapez editionseni.fr(domaine public) dans le champ Nom,
editionseni.fr dans le champ Domaine accepté. Sélectionnez l’option Domaine faisant autorité. Le
message est remis à un destinataire de cette organisation Exchange, puis cliquez sur le bouton
Enregistrer.
Par défaut, Exchange Server 2016 crée un domaine accepté qui porte le nom pleinement qualifié de la forêt dans
laquelle l’organisation Exchange est créée. Dans notre cas, c’est "editionseni.lan".
Dans l’outil d’administration Domaines et approbations Active Directory, cliquez avec le bouton droit sur
le nœ ud racine de l’outil appelé Domaines et approbations Active Directory [addc1.editionseni.lan]
et sélectionnez Propriétés.
Dans une implémentation standard d’Active Directory, le domaine est privé et les utilisateurs utilisent donc une
adresse d’authentification (utilisateur@societe.lan) différente de leur email qui s’appuie sur le domaine public
(utilisateur@societe.fr). L’ajout d’un suffixe UPN va permettre d’uniformiser le format des comptes pour faciliter la vie des
utilisateurs.
Dans la console Centre d’administration Exchange, cliquez sur le menu destinataires puis sur l’onglet
boîtes aux lettres.
Dans la page général des propriétés de l’utilisateur Loïc THOBOIS, modifiez le champ Nom d’ouverture
de session de l’utilisateur de editionseni.lan vers editionseni.fr, puis cliquez sur le bouton
Enregistrer.
Les comptes sont maintenant configurés pour utiliser le nouveau suffixe UPN et les utilisateurs peuvent utiliser leur
adresse email pour ouvrir leur session Outlook Web App par exemple.
[EXCH] Modification de la stratégie de messagerie par défaut pour ajouter le format <alias>@editionseni.fr
Dans la console Centre d’administration Exchange, cliquez sur le menu flux de messagerie puis sur
l’onglet stratégies d’adresse de messagerie.
Dans la fenêtre Default Policy, cliquez sur le lien vers la page format de l’adresse de messagerie.
Dans la page Format de l’adresse de messagerie, cliquez sur l’icône + pour ajouter un format d’adresse
de messagerie.
Dans l’onglet stratégies d’adresse de messagerie, sélectionnez Default Policy, cliquez sur le lien
Appliquer dans le volet de droite.
Dans la fenêtre avertissement, cliquez sur le bouton oui, puis sur le bouton fermer.
1. Question
1 Vous travaillez pour un hébergeur de messagerie et vous souhaitez mettre en place une infrastructure
Exchange pour héberger 12 clients. Ces 12 clients demandent la mise en place de 18 domaines de
messagerie au total, une isolation des utilisateurs étant nécessaire. Quel sera le nombre d’organisations
Exchange à créer pour répondre au besoin ?
2 Estil possible de manipuler les paramètres de modération des boîtes aux lettres Exchange, et si oui,
comment ?
3 Vous administrez une infrastructure Exchange Server 2016 composée de serveurs éclatés sur plusieurs sites.
Chaque site représente une entreprise dont l’infrastructure Exchange administre le domaine de messagerie.
Vous souhaitez ajouter la prise en charge d’une nouvelle entreprise. Que devezvous faire ?
4 Vous êtes l’administrateur d’une infrastructure Exchange Server 2016 qui gère le domaine avaedos.com et il
vous est demandé d’ajouter la prise en charge du domaine norelis.com. Que devezvous faire au minimum
concernant la configuration de l’organisation Exchange ?
5 Vous souhaitez ajouter à votre nouvelle organisation Exchange le domaine public de votre entreprise pour la
prise en charge de votre domaine de messagerie. Que devezvous faire au niveau de votre
infrastructure Internet ?
6 Vous devez intervenir sur l’infrastructure Exchange 2013 de la société enieditions.fr, qui est en panne : les
utilisateurs sont dans l’incapacité de recevoir des emails. Quels sont les outils de dépannage que vous
pouvez utiliser pour diagnostiquer le problème ? Par lequel allezvous commencer ?
7 Vous êtes l’administrateur d’une organisation Exchange Server 2016 et vous souhaitez installer un nouveau
serveur ayant le rôle Transport Edge. Quel est le composant à installer sur le serveur qui va accueillir le rôle ?
8 Vous êtes l’administrateur d’un serveur Exchange Server 2016 hébergeant le rôle Transport Edge. Quels sont
les composants à configurer pour garantir son fonctionnement ?
9 Vous souhaitez mettre en place un message d’information sur la confidentialité des données sur tous les
messages transmis en interne par vos collaborateurs. Sur quel composant devezvous appliquer la règle de
transport nécessaire ?
10 Vous souhaitez configurer une souscription à un serveur Transport Edge. Quelle commande devezvous
lancer sur l’organisation Exchange pour enregistrer le rôle Transport Edge ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
1 Vous travaillez pour un hébergeur de messagerie et vous souhaitez mettre en place une infrastructure
Exchange pour héberger 12 clients. Ces 12 clients demandent la mise en place de 18 domaines de
messagerie au total, une isolation des utilisateurs étant nécessaire. Quel sera le nombre d’organisations
Exchange à créer pour répondre au besoin ?
Une seule organisation Exchange Server 2016 est capable d’héberger l’ensemble des sociétés et des domaines. Il
1. Prérequis
2. Objectifs
Lorsque l’on parle d’objet destinataire, et particulièrement d’une boîte aux lettres, on désigne en fait la combinaison
de deux éléments : un objet Active Directory ainsi qu’une boîte aux lettres hébergée dans une base de données
Exchange 2016.
Tous les objets destinataires, quel que soit leur type, sont créés au sein d’Active Directory. Exchange s’appuie sur
ces objets et enrichit leurs attributs spécifiques pour pouvoir les utiliser.
Exchange 2016 dispose de plusieurs types d’objets destinataires permettant de fournir, outre un service de
messagerie aux utilisateurs, une plateforme complète de travail collaboratif, facilitant la communication au sein de
l’entreprise ainsi que la diffusion d’informations.
La boîte aux lettres d’utilisateur est la boîte aux lettres la plus commune sous Exchange. Elle permet à un
utilisateur disposant d’un compte Active Directory d’utiliser une adresse de messagerie afin d’envoyer et de
recevoir des messages au sein de l’organisation Exchange ainsi qu’à l’extérieur de l’entreprise.
b. Groupes de distribution
Les groupes de distribution vont regrouper des destinataires et permettent de faciliter l’organisation de la
communication. Ces groupes peuvent être statiques et matérialisés sous Active Directory par des groupes de
distribution universels disposant d’une extension de messagerie ou bien des groupes de sécurité universels
disposant d’une extension de messagerie. Ils peuvent contenir des objets disposant d’une adresse de messagerie
comme les utilisateurs, contacts ou encore des groupes de sécurité.
Ces opérations consistent notamment en la création, le déplacement ou la suppression des boîtes de messagerie
pour de nouveaux utilisateurs ou des utilisateurs disposant d’un compte sans messagerie au sein d’Active Directory.
Ces opérations, lorsqu’elles sont réalisées en environnement graphique, se font exclusivement via le Centre
d’administration Exchange 2016.
Naturellement, ces opérations peuvent également être réalisées au travers de l’Exchange Management Shell.
Nous allons ici aborder les différentes opérations liées aux boîtes aux lettres des utilisateurs de messagerie, à
savoir leur création, leur paramétrage, leur déplacement ou leur suppression.
Avant d’aborder l’administration des boîtes aux lettres d’utilisateurs, il convient d’aborder un point qui concerne
ces mêmes utilisateurs et qui a longtemps tracassé les administrateurs Exchange, à savoir l’archivage des
messages.
Beaucoup d’utilisateurs souhaitent conserver indéfiniment les éléments de leur boîte de messagerie, ce qui pose
une problématique au niveau du stockage des données.
Avant Exchange 2010, qui a introduit les boîtes aux lettres d’archivage, beaucoup utilisaient les traditionnels
fichiers PST pour permettre un accès aux éléments considérés comme archivés. Cette solution, certes fonctionnelle,
présentait toutefois de sérieux inconvénients, car certains éléments archivés dans ces fichiers PST pouvaient être
critiques pour l’entreprise (documents confidentiels ou soumis à un archivage légal obligatoire), ce qui requiert une
gestion parallèle peu efficiente de ces fichiers de messagerie (sauvegarde quotidienne de la totalité des fichiers).
Le concept d’archivage sur place introduit la possibilité d’implémenter des boîtes d’archivage au sein d’Exchange,
et apporte donc une solution à ces problématiques. D’une part, elle permet de ne plus avoir recours aux fichiers
PST pour proposer de l’archivage aux utilisateurs, et d’autre part, elle permet de récupérer les éléments de
messagerie au sein d’une solution centralisée.
Mais de cette centralisation est née une problématique pour nos administrateurs au niveau du stockage. La
solution reposant sur les PST avait quand même un avantage : celui de stocker la boîte aux lettres utilisateurs sur
un espace de stockage sécurisé (une baie SAN), et de stocker les PST moins critiques en termes de disponibilité
sur un stockage beaucoup moins onéreux. Malheureusement, sous Exchange 2010, l’ajout d’espace d’archivage se
faisait pour une boîte aux lettres au sein de la même base de données.
Sous Exchange 2016, cette contrainte n’est plus d’actualité car désormais, lorsque l’on crée un espace d’archivage
pour un utilisateur, il est possible de définir dans quelle base de données nous allons la placer. Elle peut être
située sur n’importe quel serveur Exchange ou n’importe quelle base de données, mais forcément sur le même
site.
La création d’un compte d’utilisateur de messagerie peut impliquer ou non la création d’un compte Active Directory.
Si un compte existe déjà, seule une boîte aux lettres Exchange 2016 sera créée et associée au compte Active
Directory désigné. Lorsqu’un compte Active Directory dispose d’une boîte aux lettres, on parle alors de compte à
Création d’une boîte aux lettres d’utilisateur via le Centre d’administration Exchange
La création d’une boîte aux lettres d’utilisateur s’effectue via le menu destinataires du Centre d’administration
Exchange, onglet boîtes aux lettres :
En cliquant sur le symbole + et en sélectionnant Boîte aux lettres utilisateur, on accède à la fenêtre de création
de boîte aux lettres :
l Alias : il s’agit de la partie unique de l’adresse email principale spécifique à l’utilisateur (celle située à gauche du
symbole @).
l Utilisateur existant : en cliquant sur Parcourir, on accède à la liste des comptes Active Directory permettant
ainsi de définir le compte pour lequel on souhaite activer une extension de messagerie.
l Nouvel utilisateur : l’utilisation de cette option permet la création d’une boîte de messagerie ainsi qu’un nouveau
compte d’utilisateur sous Active Directory. Vous pouvez dès lors spécifier ses informations personnelles, son unité
d’organisation, son identifiant et son mot de passe.
l Base de données de boîtes aux lettres : cette option permet de définir la copie active de la base de données
dans laquelle la boîte aux lettres sera créée.
l Archive : cette option vous permet de créer une boîte aux lettres d’archivage pour les utilisateurs. En cliquant sur
parcourir, vous pourrez sélectionner la base de données dans laquelle la boîte d’archivage sera stockée.
Création d’une boîte aux lettres d’utilisateur via Exchange Management Shell (EMS)
La création d’une boîte aux lettres vie l’EMS peut s’effectuer via les cmdlets New-Mailbox pour les utilisateurs ne
disposant pas d’adresse de messagerie et Enable-Mailbox pour les utilisateurs disposant déjà d’un compte
Active Directory et pour lesquels on souhaite activer les extensions de messagerie.
l -OrganizationalUnit (optionnel) : permet de spécifier l’unité d’organisation dans laquelle on souhaite créer
le compte Active Directory.
l -AccountDisabled (optionnel) : permet de définir si le compte créé est désactivé dans Active Directory.
l -ResetPasswordOnNextLogon (optionnel) : permet de spécifier si l’utilisateur doit changer son mot de
passe lors de sa prochaine ouverture de session.
l -DomainController (optionnel) : permet de spécifier le contrôleur de domaine sur lequel les opérations
seront effectuées.
l -Database (optionnel) : permet de spécifier la base de données dans laquelle la boîte aux lettres sera placée.
l -Archive (optionnel) : ce paramètre permet de définir si une boîte d’archive sera créée pour l’utilisateur (sans
argument).
l -ArchiveDatabase (optionnel) : si une archive est créée, ce paramètre vous permet de spécifier le nom de la
base de données dans laquelle l’archive sera stockée.
Le mot de passe doit être converti dans un format crypté pour être utilisé dans une commande PowerShell.
La commande suivante va créer un nouvel utilisateur Loïc THOBOIS dans Active Directory ainsi que sa boîte aux
lettres. Son compte sera placé dans l’unité d’organisation Formateurs et sa boîte aux lettres sera stockée dans la
base de données Training.
l -Identity (obligatoire) : permet de spécifier l’utilisateur pour lequel on souhaite activer la messagerie.
l -Alias (optionnel) : permet de spécifier l’alias à utiliser pour la boîte aux lettres créée.
l -Archive (optionnel) : ce paramètre permet de définir si une boîte d’archive sera créée pour l’utilisateur (sans
argument).
l -ArchiveDatabase (optionnel) : si une archive est créée, ce paramètre vous permet de spécifier le nom de la
base de données dans laquelle l’archive sera stockée.
l -Database (optionnel) : permet de spécifier la base de données dans laquelle la boîte aux lettres sera placée.
l -DisplayName (optionnel) : permet de définir le nom affiché dans le Centre d’administration Exchange.
La commande suivante permet d’activer la messagerie pour un compte d’utilisateur existant déjà dans Active
Directory.
Il s’agit ici, après avoir créé une boîte aux lettres d’utilisateur, de définir les paramètres et les fonctionnalités
associés.
Le paramétrage d’une boîte aux lettres d’utilisateur est effectué via le menu destinataires du Centre
d’administration Exchange, onglet Boîtes aux lettres.
l Menu utilisation des boîtes aux lettres : il permet d’afficher le volume de données utilisé par la boîte aux lettres
par rapport à son quota. Il permet également de définir des limites de quota et une durée de rétention
personnalisée, outrepassant alors les paramètres définis par défaut par la base de données dans laquelle la boîte
aux lettres réside.
l Menu informations sur le contact : permet de définir des informations personnelles complémentaires concernant
l’utilisateur de la boîte aux lettres telles que l’adresse, les numéros de téléphone, etc.
l Menu organisation : permet de spécifier des informations concernant l’organisation au sein de l’entreprise, comme
la fonction ou le service. Il permet également de définir le responsable hiérarchique si ce dernier dispose d’un
compte Active Directory. Lorsqu’un responsable hiérarchique est désigné pour un compte, ce dernier apparaîtra
comme un collaborateur dans le compte du responsable.
l Menu adresse de messagerie : permet de spécifier des adresses de messagerie additionnelles pour l’utilisateur et
de choisir, parmi cellesci, l’adresse qui sera utilisée par défaut lors de l’envoi de messages.
l Menu fonctionnalités de boîtes aux lettres : permet de définir les stratégies appliquées sur la boîte aux lettres
et l’activation de fonctionnalités telles la messagerie unifiée, les périphériques mobiles, l’accès à Outlook Web App,
IMAP4, POP3.
Le blocage de litige permet de suspendre la boîte de messagerie d’un utilisateur en cas de litige. Ceci ne
l’empêchera pas de supprimer des messages de sa boîte, mais ces derniers ne seront pas supprimés par le serveur
Exchange et conservés pour une éventuelle utilisation ultérieure.
L’archivage sur place permet de transférer les anciens messages d’une boîte aux lettres vers une autre base de
données.
Les options de flux de messagerie permettent de définir une adresse de transfert des messages vers une autre boîte
aux lettres.
Les restrictions de taille de message permettent de limiter la taille des messages envoyés et reçus.
l Menu membre de : permet de définir les groupes de distribution auxquels l’utilisateur appartient.
l Menu info Courrier : il s’agit d’un message qui sera transmis directement aux correspondants qui écrivent un
message vers ce destinataire.
l Menu délégation de boîte aux lettres : cette option permet de déléguer l’utilisation de la boîte aux lettres à un
autre compte :
n Envoyer en tant que : permet aux utilisateurs spécifiés d’envoyer des messages depuis cette boîte aux
lettres comme s’il s’agissait du propriétaire luimême.
n Envoyer pour le compte de : permet aux utilisateurs spécifiés d’envoyer des messages depuis cette
boîte aux lettres. Les adresses du délégué et du propriétaire apparaissent alors dans le message
(message envoyé de la part de).
n Accès total : permet à un délégué d’accéder à toutes les fonctionnalités de la boîte aux lettres concernée
comme s’il s’agissait de son propriétaire.
Avant de configurer les boîtes aux lettres, nous allons nous pencher sur l’affichage des boîtes aux lettres et de
leurs propriétés.
Pour afficher la liste des boîtes aux lettres sur un serveur, vous devez utiliser la cmdlet suivante :
Pour afficher les propriétés d’une boîte aux lettres spécifique, utilisez la cmdlet suivante :
Active Directory permet la création de groupes de sécurité et de groupes de distribution qui peuvent tous deux être
utilisés par Exchange 2016.
Les groupes de sécurité Active Directory sont avant tout destinés au maintien de la sécurité de l’environnement, en
permettant l’organisation des autorisations affectées aux ressources.
Les groupes de distribution sont les groupes originels destinés à être employés pour envoyer des messages à un
regroupement d’utilisateurs. Ils ne peuvent pas être utilisés pour affecter des autorisations à des ressources. Même
s’ils existent sous Active Directory, il n’est pas possible de les exploiter pour la messagerie sans disposer d’une
plateforme Exchange.
L’utilisation conjointe des groupes de sécurité et des groupes de distribution permet de réduire l’effort nécessaire
pour l’administration des destinataires.
Utiliser exclusivement des groupes de sécurité risque de ne pas convenir à toutes les situations. En effet, si l’on
souhaite inclure un destinataire de messagerie dans ce groupe, il héritera également de toutes les autorisations sur
les ressources accessibles par ce groupe.
Utiliser exclusivement des groupes de distribution obligera parfois, voire souvent, l’administrateur à créer des
groupes redondants avec des groupes de sécurité existants.
Dans tous les cas, les groupes Active Directory créés doivent avoir une portée universelle afin de pouvoir être
utilisés comme groupes de distribution Exchange (ceux créés par Exchange sont des groupes universels).
Les groupes de distribution et de sécurité présentent de nombreuses similitudes dans leur principe de
fonctionnement sous Exchange 2016. Nous allons détailler leurs points communs et leurs différences lors de la
création.
Création et administration des groupes de distribution et de sécurité via le Centre d’administration Exchange
Les groupes de distribution et de sécurité sont créés et administrés via le menu destinataires du Centre
d’administration Exchange, onglet groupes.
Les paramètres communs pour les deux types de groupes sont les suivants :
l Nom d’affichage : il s’agit du nom affiché dans les carnets d’adresses et lors de la rédaction d’un message à ce
groupe.
l Alias : définit le nom du groupe au sein de la base de données et permet de générer l’adresse de messagerie
principale.
l Description : permet de décrire le groupe. Cette description sera accessible dans le carnet d’adresses.
l Unité d’organisation : permet de définir l’unité d’organisation Active Directory dans laquelle le groupe de
distribution sera créé.
l Propriétaires : permet de définir les utilisateurs responsables de la gestion du groupe de distribution. Ces
propriétaires pourront ajouter ou supprimer des membres du groupe via un client de messagerie compatible (Outlook
2016 par exemple). Ils peuvent être membres du groupe ou non.
l Approbation pour rejoindre le groupe : définit la politique retenue pour rejoindre le groupe. Dans un groupe
ouvert, les utilisateurs peuvent choisir euxmêmes de rejoindre ou de quitter le groupe. Dans un groupe fermé, seuls
les propriétaires ou l’administrateur peuvent ajouter ou supprimer des membres. Cette dernière option laisse la
possibilité à un utilisateur de faire une demande d’approbation aux propriétaires qui pourront l’accepter ou la refuser.
l Approbation pour quitter le groupe : définit si un utilisateur peut se désabonner du groupe luimême ou non.
Création des groupes de distribution ou de sécurité via Exchange Management Shell (EMS)
Suite à leur création, les groupes de distribution et de sécurité peuvent être administrés via le Centre
d’administration Exchange ou Exchange Management Shell.
Dans le menu destinataires du Centre d’administration Exchange, dans l’onglet groupes, vous pouvez double
cliquer sur un groupe de sécurité ou de distribution pour afficher ses propriétés :
l Menu général : permet d’ajouter une description ou de masquer le groupe dans les listes d’adresses.
l Menu propriété vous permet d’ajouter ou de supprimer des propriétaires du groupe de distribution.
l Menu approbation de l’appartenance permet pour les groupes de distribution de définir comment les utilisateurs
l Menu gestion des remises permet de définir les utilisateurs autorisés à écrire à ce groupe. Par défaut, seuls les
utilisateurs au sein de l’organisation peuvent écrire au groupe.
l Menu approbation de messages : permet de mettre en place une modération des messages, soit via des
modérateurs désignés, soit via les propriétaires qui devront vérifier et approuver les messages envoyés au groupe
avant qu’ils ne soient distribués. Vous pouvez également définir des exceptions (utilisateurs non soumis à la
modération).
l Menu options de messagerie électronique : permet d’ajouter des adresses SMTP au groupe ou de modifier
l’adresse de messagerie par défaut.
l Menu info courrier : permet de définir un message qui sera transmis directement aux correspondants qui écrivent un
message au groupe.
l Menu délégation de groupe : permet à des utilisateurs d’envoyer des messages au nom du groupe.
n Envoyer en tant que : permet aux utilisateurs spécifiés d’envoyer des messages avec l’identité du
groupe. Il comporte deux options :
¡ Modérateurs du groupe : il s’agit des utilisateurs qui doivent approuver les messages avant
que ces derniers soient envoyés aux utilisateurs du groupe.
¡ Expediteurs n’exigeant pas d’approbation des messages : il s’agit des utilisateurs qui ne
seront pas soumis au contrôle des modérateurs du groupe. Leurs messages seront donc
transmis directement aux utilisateurs du groupe.
n Envoyer pour le compte de : permet aux utilisateurs spécifiés d’envoyer des messages de la part de ce
groupe (les adresses du délégué et du groupe apparaissent alors dans le message).
Get-DistributionGroup
Administration d’une boîte aux lettres de ressources via le Centre d’administration Exchange
La création d’une boîte aux lettres de ressources s’effectue via le menu destinataires du Centre
d’administration Exchange, onglet ressources :
En cliquant sur le symbole +, on peut choisir de créer soit une boîte aux lettres de salle, soit une boîte aux lettres
d’équipement :
l Nom de la salle/Équipement : permet d’attribuer un nom à la salle ou à l’équipement tel qu’il sera vu dans les
carnets d’adresses.
l Alias : il s’agit de la partie unique de l’adresse email principale spécifique à la ressource (celle située à gauche du
symbole @).
l Unité d’organisation : permet de spécifier l’unité d’organisation dans laquelle l’objet Active Directory correspondant à
la ressource sera créé.
l Base de données de boîtes aux lettres : cette option permet de définir la copie active de la base de données dans
laquelle la boîte aux lettres sera créée.
l Stratégie de carnet d’adresses : cette option permet de définir la stratégie de carnet d’adresses affectée à cette
ressource.
Les critères permettant l’approbation automatique de la ressource sont définis en double cliquant sur la ressource
pour afficher ses propriétés puis en sélectionnant le menu options de réservation :
L’administration des contacts de messagerie s’effectue via l’onglet contacts du menu destinataires du Centre
d’administration Exchange ou bien via l’EMS.
Pour créer un contact de messagerie, vous devez cliquer sur le symbole + et choisir Contact de messagerie.
Vous pourrez alors paramétrer les informations nécessaires comme le prénom, le nom, l’alias ou l’adresse de
messagerie externe :
Pour créer un contact en spécifiant notamment l’unité d’organisation Active Directory où il sera placé, vous pouvez
utiliser la cmdlet suivante :
Création d’une boîte aux lettres partagée via le Centre d’administration Exchange
La création des boîtes aux lettres partagées s’effectue via l’onglet partagé du menu destinataires du Centre
d’administration Exchange.
Pour créer une boîte aux lettres partagée, vous devez cliquer sur le symbole +.
Vous devez alors définir les paramètres requis pour la création de la boîte :
l Nom d’affichage : il s’agit du nom de la boîte aux lettres partagée tel qu’il sera affiché pour les destinataires et dans
les listes d’adresses.
l Alias : permet de définir le nom de la boîte aux lettres partagée créée dans les bases de données Exchange.
l Unité d’organisation : permet de définir l’unité d’organisation dans laquelle l’objet compte d’utilisateur associé
(désactivé) sera placé.
Dans chaque organisation Exchange 2016, il existe une liste d’adresses globale (GAL Global Address List) par
défaut qui est créée lors de l’installation. Elle contient tous les objets destinataires de l’organisation Exchange
comme les références vers les comptes boîtes aux lettres utilisateurs, les boîtes aux lettres de ressources, les
différents types de groupes, les contacts à extension de messagerie...
Cette liste d’adresse globale est mise à jour régulièrement pour lui ajouter ou retirer les objets destinataires
nouvellement créés ou supprimés. Toutes les entités pouvant recevoir un email y sont donc référencées .
Lorsqu’un utilisateur utilise un client Exchange évolué (Outlook, Outlook sur le Web…), la liste d’adresse globale
définit la portée de visibilité des objets destinataires qu’il retrouvera dans l’assistant d’ajout des adresses de
destinataires. Ainsi, par défaut, un utilisateur pourra afficher l’ensemble de ses collaborateurs et des ressources à
partir de l’assistant.
Dans la plupart des organisations Exchange, une seule liste d’adresses globale permettra de répondre aux besoins
des utilisateurs.
Dans la console Outlook sur le Web, cliquez sur le lien (+)Nouveau comme si vous souhaitiez créer un
nouveau message.
À gauche de la nouvelle fenêtre, cliquez sur le lien >> puis sur Annuaire.
La création de plusieurs listes d’adresses globales est utile principalement pour supporter les environnements
mutualisés, quand une seule organisation Exchange gère plusieurs sociétés en même temps. Des listes d’adresses
globales doivent être créées pour chaque société afin que les utilisateurs de chaque société ne voient que les
utilisateurs qui appartiennent à leur propre société.
La mise en place de cette configuration n’empêche évidemment pas d’envoyer des emails entre destinataires
membres de listes d’adresses globales différentes si l’on connaît l’adresse exacte du destinataire, cela ne segmente
que l’affichage.
Lorsque les utilisateurs emploient un client Outlook, ils choisissent automatiquement quelle liste d’adresse globale
utiliser par défaut en fonction des autorisations qu’ils ont dessus. Ces autorisations peuvent être définies à l’aide
de l’outil Modification ADSI ou par script directement sur les objets des listes d’adresses globales de la partition
Configuration dans Active Directory.
Si les autorisations leur donnent accès à plusieurs listes d’adresses globales, alors la liste d’adresses globale qui
contient le plus d’objets destinataires sera utilisée. Un utilisateur n’est donc associé qu’à une seule liste
d’adresses globale lors qu’il se connecte à l’organisation Exchange à partir de son client Outlook.
La liste d’adresses globale par défaut, contenant tous les objets destinataires, sera systématiquement choisie par
les clients s’il n’y a pas modification des autorisations.
Pour les utilisateurs connectés via l’interface Outlook sur le Web, on utilise l’attribut MsExchQueryBaseDN de
l’objet utilisateur (il doit donc être personnalisé utilisateur par utilisateur), que l’on spécifie avec le chemin de
l’unité d’organisation dans laquelle l’utilisateur peut faire ses recherches. Cette contrainte implique que les objets
doivent être rangés dans l’annuaire Active Directory afin de créer cette segmentation. La mise en place de cette
configuration se fait là aussi habituellement par script.
Les listes d’adresses globales ne sont administrables qu’à partir de la console Exchange Management Shell. Il n’est
pas possible de créer, modifier ou supprimer des listes d’adresses globales avec la console Central d’administration
Exchange. Il sera juste possible d’en afficher les membres.
Voici quelques commandes pour administrer les listes d’adresses globales avec la console Exchange Management
Shell.
Get-GlobalAddressList
Tapez la commande suivante pour créer une liste d’adresses globale qui contiendra les utilisateurs avec
boîte aux lettres et les boîtes aux lettres de ressources pour la société AVAEDOS :
Tapez la commande suivante pour mettre à jour la liste des membres d’une liste d’adresses globale :
Tapez la commande suivante pour modifier les caractéristiques d’une liste d’adresses globale :
Les utilisateurs d’Exchange 2016 exploitent généralement la liste d’adresses globale pour rechercher d’autres
utilisateurs dans l’organisation. Cependant, par défaut, la liste d’adresses globale contient tous les objets
destinataires Exchange, incluant les contacts de messagerie et les groupes de distribution. De ce fait, au sein d’une
grande entreprise, la liste d’adresses globale peut contenir des milliers voire des dizaines de milliers d’entrées, ce
qui peut compliquer la recherche d’utilisateurs. C’est pour cela qu’il est recommandé d’utiliser des listes d’adresses
afin de séparer la liste d’adresses globale en plusieurs listes plus restreintes.
Une liste d’adresses est donc une collection d’objets conteneurs qui sont regroupés à partir d’une requête LDAP
(Lightweight Directory Access Protocol) basée sur des attributs Active Directory. Chaque liste d’adresses peut contenir
plusieurs types d’objets destinataires comme des utilisateurs, des groupes de distribution ou bien des contacts.
Les listes d’adresses vont permettre de trier les destinataires pour que les utilisateurs puissent facilement trouver
les personnes à qui ils veulent envoyer des messages ou pour planifier des réunions par exemple. Les listes
d’adresses sont dynamiques, ce qui signifie que leur contenu change automatiquement en fonction des objets
destinataires ajoutés dans l’organisation ou simplement modifiés. Elle sélectionne dynamiquement les objets, en
fonction des critères de sélection imposés à sa création.
Il est possible de masquer un ou plusieurs destinataires des listes d’adresses. Cette opération fait appel à une
propriété spécifique de l’objet destinataire. L’objet destinataire sera invisible pour toutes les listes d’adresses mais
pourra continuer à recevoir des emails.
À chaque fois qu’un objet conteneur est modifié, les listes d’adresses pour cet objet sont réévaluées immédiatement
et appliquées. Quand vous modifiez une liste d’adresses, vous pouvez choisir d’appliquer les modifications
immédiatement ou bien planifier la mise à jour.
Dans les grandes organisations, il peut être intéressant de planifier la mise à jour car elle peut entraîner des
ralentissements du système.
l Tous les contacts : contient tous les contacts de messagerie dans l’organisation Exchange Server.
l Tous les groupes : contient tous les groupes de distribution dans l’organisation Exchange Server.
l Toutes les salles : contient toutes les boîtes aux lettres de salles dans l’organisation.
l Tous les utilisateurs : contient tous les utilisateurs de l’organisation Exchange Server.
l Dossiers publics : contient tous les dossiers publics de l’organisation Exchange ayant une adresse de messagerie.
Lorsque l’on crée une liste d’adresses, il est possible de sélectionner les destinataires qui y seront contenus en
fonction de leur type et de conditions, à la manière des stratégies d’adresses.
Les conditions :
l Conteneur de destinataire : spécifie une unité d’organisation à partir de l’arborescence du domaine Active
Directory.
l Le destinataire est dans un état ou une province : spécifie la valeur des attributs état et province de l’objet
Active Directory auquel est rattaché le destinataire Exchange.
l Le destinataire est dans un service : spécifie la valeur de l’attribut service de l’objet Active Directory auquel est
rattaché le destinataire Exchange.
l Le destinataire est dans une société : spécifie la valeur de l’attribut société de l’objet Active Directory auquel est
rattaché le destinataire Exchange.
l Attribut personnalisé d’égale valeur : spécifie la valeur pour l’un des 15 attributs personnalisés de l’objet Active
Directory auquel est rattaché le destinataire Exchange. Les 15 attributs personnalisés peuvent être utilisés comme
vous le voulez. Si vous en remplissez certains, vous pourrez utiliser ces attributs pour la sélection dans les listes
d’adresses.
Lors de la création ou de la modification des caractéristiques de filtrage des membres d’une liste d’adresses, il est
possible d’ajouter plusieurs conditions pour affiner le contenu.
Afin de mieux organiser les listes d’adresses, il est possible de créer une hiérarchie logique de ces listes en les
imbriquant visuellement les unes dans les autres.
L’administration des listes d’adresses se fait à partir de la console Centre d’administration Exchange en réalisant les
manipulations suivantes :
Dans la console Centre d’administration Exchange, cliquez sur le menu organisation, puis sur l’onglet
Dans cette fenêtre, il est possible de rechercher, d’ajouter, de modifier et de supprimer les listes d’adresses de
l’organisation Exchange.
1. Infrastructure requise
Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :
l EXCH : Serveur sous Windows Server 2012 avec une interface graphique (pas d’édition Core), installé avec les options
par défaut. Ce serveur, nommé EXCHSRV1, doit être configuré avec l’adresse IP 172.16.1.21 et le DNS principal
172.16.1.1. Enfin, il doit être membre du domaine editionseni.lan. (Si vous avez besoin de l’installer ou de le
réinstaller, référezvous aux ateliers pratiques du chapitre Prérequis et installation d’Exchange 2016).
l CLI : il s’agit d’un poste client sous Windows 10 sur lequel est installé Outlook 2016 (version d’évaluation disponible sur
le site Technet de Microsoft). Ce poste, nommé WINCLI1 doit être configuré avec l’adresse IP 172.16.1.101 et le
DNS principal 172.16.1.1. Il doit être rattaché au domaine.
La machine sur laquelle les manipulations devront être réalisées sera indiquée dans le titre entre crochets "[ ]".
Si vous avez déja créé les utilisateurs Loïc THOBOIS et Brahim NEDJIMI lors des ateliers précédents, procédez alors
directement à la création des comptes Soraya GALLEZE et Léon Marchal.
Dans l’onglet boîtes aux lettres, cliquez sur le symbole d’ajout de boîte aux lettres (+) et sélectionnez
Boîte aux lettres utilisateur.
Dans la fenêtre nouvelle boîte aux lettres utilisateur, renseignez les champs suivants :
Alias : lthobois
Nom : LTHOBOIS
Répétez la même opération pour les autres utilisateurs avec les paramètres suivants :
Alias Option Nom d’affichage Nom Nom d’ouverture de session Mot de passe
et
confirmation
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet boîtes aux
lettres.
Double cliquez sur l’utilisateur Loïc THOBOIS afin d’afficher ses propriétés.
Les boîtes aux lettres utilisent par défaut les valeurs spécifiées dans les paramètres des bases de données, mais ces
valeurs peuvent comme nous venons de le faire, être personnalisées pour une ou plusieurs boîtes.
[EXCH] Configuration de la taille limite des boîtes aux lettres via l’EMS
[EXCH] Masquage d’une boîte aux lettres dans les listes d’adresses
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet boîtes aux
lettres.
Double cliquez sur l’utilisateur Loïc THOBOIS afin d’afficher ses propriétés.
Dans la page général, cochez l’option Masqué dans les listes d’adresses.
Lancez Internet Explorer et connectezvous à Outlook Web App via l’URL suivante : https://exch
srv1/owa
Une fois connecté, cliquez sur (+) Nouveau pour écrire un nouveau message.
La liste d’adresses globale par défaut contient tous les objets destinataires de l’organisation Exchange. Or, la boîte aux
lettres utilisateur Loïc THOBOIS n’y apparaît plus, car nous avons spécifié explicitement que cet objet devait être
masqué dans les listes d’adresses.
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet boîtes aux
lettres.
Double cliquez sur l’utilisateur Loïc THOBOIS afin d’afficher ses propriétés.
Dans la page général, décochez l’option Masqué dans les listes d’adresses.
Dans la page fonctionnalités de boîte aux lettres, en bas, dans la zone Flux de messagerie, cliquez sur
Afficher les détails sous options de remise.
Dans l’onglet ressources, cliquez sur le symbole d’ajout de boîte aux lettres de ressource (+) et
sélectionnez Boîte aux lettres de salle.
Alias : haussmann
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet ressources.
Double cliquez sur Salle de réunion Haussmann afin d’afficher ses propriétés.
Dans la page Info courrier, saisissez le texte « Salle de réunion Haussmann RDC bâtiment principal ».
Nous allons maintenant configurer la boîte aux lettres de salle Haussmann afin qu’elle accepte automatiquement les
réservations.
Pour définir un responsable pour cette même boîte, taper la commande suivante :
Get-CalendarProcessing "Haussmann" | fl
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet boîte aux lettres
partagée.
Dans l’onglet boîte aux lettres partagée, cliquez sur le bouton d’ajout de boîte aux lettres partagée (+).
Alias : trainsupport
Double cliquez sur la boîte partagée Supports de formation afin d’afficher ses propriétés.
Dans le menu Info courrier, saisissez le texte suivant : « Attention : les messages seront visibles par
l’ensemble des formateurs ! ».
Lancez Internet Explorer et connectezvous à Outlook sur le Web via l’URL suivante : https://exch
srv1/owa.
La boîte aux lettres partagée apparaît dans l’arborescence de droite. Développezla et naviguez dedans pour
confirmer que vous y avez bien accès.
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet groupes.
Dans l’onglet groupes, cliquez sur le bouton d’ajout (+) et sélectionnez Groupe de distribution.
Alias : consultants
[EXCH] Création d’un groupe de distribution via Exchange Management Shell (EMS)
Vérifiez que le groupe de distribution Spécialistes Exchange a bien été créé via la cmdlet suivante :
Get-DistributionGroup
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet groupes.
Dans l’onglet groupes, double cliquez sur le groupe Consultants afin d’afficher ses propriétés.
Dans le menu appartenance, supprimez Administrateur des membres et ajoutez les utilisateurs Loïc
THOBOIS et Brahim NEDJIMI.
Lancez Internet Explorer et connectezvous à Outlook sur le Web via l’URL suivante : https://exch
srv1/owa.
Vous devriez retrouver dans la boîte de réception le message envoyé au groupe de distribution
Consultants.
Dans le menu destinataires du Centre d’administration Exchange, cliquez sur l’onglet groupes.
Dans l’onglet groupes, double cliquez sur le groupe Consultants afin d’afficher ses propriétés.
Dans le menu propriétés, supprimez l’utilisateur Administrateur et ajoutez le compte Brahim NEDJIMI.
Dans la console Centre d’administration Exchange, cliquez sur le menu autorisations, puis sur l’onglet
rôles d’utilisateur.
Double cliquez sur la stratégie Default Role Assignment Policy pour en afficher les propriétés.
Dans la fenêtre stratégie d’attribution de rôle, descendez jusqu’à la section Groupes de distribution et
cochez la case correspondant à MyDistributionsGroups :
Lancez Internet Explorer et connectezvous à Outlook sur le Web via l’URL suivante : https://exch
srv1/owa.
Dans la liste Options de gauche, descendez tout en bas et cliquez sur Autre.
1. Questions
1 Les boîtes d’archivage peuventelles être placées sur une base de données différente de la base de données
où réside la boîte aux lettres de l’utilisateur ?
2 Estil possible de s’authentifier avec le compte Active Directory d’une boîte aux lettres de salle ?
3 Expliquez la différence entre une désactivation et une suppression de boîte aux lettres.
4 Dans la liste suivante, quels sont les types de groupes de distribution valides (choix multiple) ?
¡ A) Groupes de distribution
¡ D) Groupes de sécurité
5 Une boîte aux lettres de ressources nécessitetelle la définition d’un délégué qui validera les demandes de
réservations ?
9 Quels sont les concepts clés du déplacement de boîtes aux lettres sous Exchange 2016 ?
10 Vous administrez un serveur mutualisé pour deux de vos clients. Quelle est la configuration à mettre en place
pour isoler au mieux les clients afin qu’ils n’aient pas conscience de l’infrastructure ?
11 Vous souhaitez masquer une partie des boîtes aux lettres des carnets d’adresses. Que pouvezvous faire ?
12 Que devezvous configurer pour permettre aux utilisateurs itinérants d’affecter les destinataires de leurs
messages alors qu’ils sont déconnectés du réseau ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
1 Les boîtes d’archivage peuventelles être placées sur une base de données différente de la base de données
où réside la boîte aux lettres de l’utilisateur ?
Sous Exchange 2016, oui. Exchange 2010 a introduit la fonctionnalité de boîte d’archivage, mais placée sur la
même base de données que celle de l’utilisateur. Depuis Exchange 2013, les nouveaux mécanismes de gestion des
bases nous affranchissent de cette limitation.
2 Estil possible de s’authentifier avec le compte Active Directory d’une boîte aux lettres de salle ?
1. Prérequis
2. Objectifs
Exchange fournit un nombre croissant de solutions permettant d’améliorer la sécurité des informations au sein de son
infrastructure.
Tous les aspects sont pris en compte. Ainsi, on retrouve des technologies qui permettent d’éviter la perte de
données :
l suite à une catastrophe naturelle (serveur ou disque dur qui tombe en panne).
l suite à des erreurs humaines (suppression d’un email ou d’une boîte aux lettres).
l suite à une maladresse (envoi de données sensibles par messagerie en dehors de l’entreprise).
l suite à une opération malicieuse ciblée (écoute des données qui traversent le réseau).
l suite à une opération malicieuse massive (spam, virus, vers envoyés par la messagerie).
Parmi ces technologies, une partie sera détaillée dans les trois derniers chapitres de ce livre.
Ces technologies sont soit intégrées à Windows Server sous la forme de composants, soit à l’infrastructure Exchange,
soit à des composants tiers qui viennent se greffer sur l’organisation Exchange. On va ainsi retrouver :
Cette technologie permet à Exchange d’intégrer une gestion des droits relatifs à l’information (IRM Information Rights
Management). Cela se traduit par la capacité de limiter les actions réalisées par le destinataire d’un message (lecture,
copie, transfert, modification, impression…). Elle peut s’appuyer sur les stratégies de messagerie et être appliquée à
l’aide des règles de protection du transport ou des règles de protection Outlook.
AD RMS nécessite l’implémentation d’une infrastructure à clé publique et une compatibilité entre les différentes entités
qui vont communiquer.
Vous pouvez retrouver des informations sur l’implémentation de la gestion des droits à cette adresse :
http://technet.microsoft.com/frfr/library/dd638140(v=exchg.150).aspx
Cette technologie permet d’établir des règles de conformité du contenu des messages qui sont émis à l’aide d’une
messagerie Exchange Server 2016. Cela va permettre d’éviter ou de limiter les fuites d’informations non
intentionnelles en avertissant l’utilisateur des comportements anormaux lorsqu’ils sont détectés.
L’implémentation des stratégies contre la perte de données sera traitée dans ce module.
Les solutions antispam permettent de limiter la diffusion à grande échelle de messages commerciaux non ciblés.
Exchange intègre des composants antispam qui sont limités et il est fréquemment recommandé d’y adjoindre une
solution plus performante afin d’obtenir des résultats satisfaisants. Une large gamme de solutions tierces s’intégrant
avec l’infrastructure Exchange Server 2016 est disponible. On notera par exemple la solution Ironport de Cisco, les
solutions Symantec, Trend…
Avec la généralisation de l’usage des technologies web pour transférer les données de messagerie (Outlook sur le
Web, MAPI/HTTP, Outlook Anywhere, Exchange Web Services, POP, IMAP, SMTP...), il est crucial de protéger au
mieux les échanges sur les réseaux publics comme Internet.
Aussi, afin de simplifier la mise en place des mécanismes de protection des données (ex: éviter le déploiement de
réseaux privés virtuels dans tous les sens), les protocoles de communication ont été déclinés dans des versions
sécurisées nommées HTTPS, POPS, IMAPS ou SMTPS. L’objectif étant d’intégrer des mécanismes de chiffrement et
d’identification directement dans ces protocoles en les encapsulant dans les protocoles SSL/TLS. Pour le
déploiement des protocoles SSL/TLS, il est nécessaire d’utiliser une infrastructure à clé publique qui permet la
création de domaine de confiance entre systèmes informatiques isolés.
TLS (Transport Layer Security) est le successeur de SSL (Secure Sockets Layer).
L’utilisation des protocoles sécurisés est identifiable par l’emploi de ports de communication spécifiques, TCP 443
pour le HTTPS, TCP 465 ou 587 pour SMTPS, TCP 995 pour POPS, et TCP 993 pour IMAPS.
Au vu de l’importance qu’ont pris ces protocoles dans la version 2016 d’Exchange, la maîtrise de leur
administration et de leur maintenance est indispensable à tous les administrateurs. Rappelons que les clients
Microsoft Outlook utilisent maintenant exclusivement MAPI/HTTP et Outlook Anywhere comme protocoles de
communication, s’appuyant tous deux sur le protocole HTTPS, tout comme Outlook sur le Web dont l’usage est
largement répandu.
Voici quelques termes qui sont le prétexte pour vous présenter des concepts clés de la mise en place de
communication sécurisée, vous permettant de mieux comprendre le fonctionnement des protocoles sécurisés à
l’aide de SSL/TLS et la mise en place de son infrastructure.
La cryptographie
La cryptographie est une discipline qui va permettre de mettre en œ uvre trois mécanismes importants pour la
sécurité sur un réseau (par rapport à l’échange des informations) :
Une clé est une valeur qui se présente souvent sous la forme d’une chaîne de caractères et qui permet à l’aide
d’un algorithme de modifier le format d’une information pour la rendre inintelligible en l’état. Si les algorithmes de
chiffrement sont connus, la clé reste l’élément indispensable à protéger car elle permet de révéler les informations
Le chiffrement assure une transmission sécurisée à travers des zones exposées et interdit leur accès par des
entités non autorisées.
De nombreux algorithmes sont disponibles dont certains faisant office de norme et permettant à des dispositifs
hétérogènes de dialoguer ensemble.
l RSA (Rivest, Shamir, Alderman) : permet la signature numérique, l’authentification distribuée, les accords de clés
secrètes et le chiffrement des données. Il est utilisé pour les puces des cartes VISA.
l DSA (Digital Signature Algorithm) : algorithme de clé publique utilisé pour la génération de signatures.
l Algorithme DiffieHellman : permet à deux entités de se mettre d’accord sur une clé partagée sans que leurs
échanges ne permettent de trouver la clé.
l HMAC (keyedHash Message Authentication Code) : algorithme permettant de vérifier l’intégrité et l’authenticité d’un
message. Il se base sur la fonction de hashage associée à une clé secrète.
l MD5 (Message Digest 5) : fonction de hachage utilisée pour générer l’empreinte numérique d’une
information. L’empreinte permet d’assurer l’authentification et l’intégrité. La fonction MD5 n’est plus considérée
comme fiable.
l DESCBC (Data Encryption Standard) : algorithme de chiffrement symétrique utilisé pour la confidentialité.
Le chiffrement symétrique
Le chiffrement symétrique s’appuie sur un algorithme symétrique utilisant une clé identique afin de chiffrer et
déchiffrer une information. On parle aussi de secret partagé pour nommer la clé.
Si Baptiste souhaite envoyer un message secret à Laurent à travers un moyen de communication adapté à leur
message (car rapide par exemple), mais exposé car pouvant être sujet à écoute par des personnes mal
intentionnées.
Laurent et Baptiste se mettent d’accord sur un algorithme de chiffrement symétrique et Baptiste invente une clé de
chiffrement. Baptiste chiffre le message à l’aide de cette clé en utilisant l’algorithme préalablement choisi et envoie
le message à Laurent via le réseau exposé.
Sans cette clé secrète, personne ne peut lire le message. L’échange de la clé doit se faire de façon sécurisée, sans
passer par le réseau exposé car autrement tout le monde pourrait la connaître en écoutant lors de la
transmission.
Laurent et Baptiste se mettent ensuite d’accord sur un autre réseau moins pratique mais plus sécurisé qui va
permettre à Baptiste d’envoyer la clé de manière à permettre à Laurent de déchiffrer le message et de le lire.
Exemple : Laurent et Baptiste s’échangent leurs messages chiffrés sur Internet et leurs clés par fax.
Cette méthode de chiffrement favorise la rapidité d’échange par un processus simple car la clé secrète peut être
n’importe quel code pris au hasard.
Le chiffrement asymétrique
Contrairement au chiffrement symétrique, le chiffrement asymétrique nécessite la génération d’une paire de clés
Si Constant souhaite envoyer un message secret à Alexandre à travers un moyen de communication exposé mais
sans avoir la possibilité de faire appel à une seconde méthode de communication plus confidentielle pour
transférer la clé.
Constant et Alexandre se mettent d’accord sur un algorithme de chiffrement asymétrique et Alexandre génère, à
l’aide d’un algorithme mathématique, un trousseau de clés contenant une clé privée et une clé publique. Alexandre
envoie la clé publique à Constant qui utilise cette clé pour chiffrer son message. Constant envoie son message
chiffré à Alexandre via le réseau exposé.
Les personnes mal intentionnées écoutant sur le moyen de communication se retrouvent donc avec la clé publique
et le message chiffré. Or, cette clé publique ne permet pas de déchiffrer le message ce qui rend ces informations
inutilisables par ces personnes.
Alexandre utilise ensuite sa clé privée, qui n’a jamais été exposée, pour déchiffrer le message et le lire.
Cette méthode de chiffrement, qui a pour avantage de ne pas nécessiter de moyen de communication tiers, a pour
inconvénient l’obligation d’utiliser un algorithme lourd et lent pour générer les clés. Cet algorithme doit être, de
plus, régulièrement mis à jour et challengé car il est la clé de voûte du système. Si l’algorithme contient une faille,
toute la sécurité de la communication s’effondre.
La signature numérique
La signature permet de garantir que l’information n’a pas été usurpée par un tiers pendant son voyage jusqu’à
son destinataire. La signature numérique évite la répudiation du message par son émetteur qui lui a donné son
nom de signature. La signature numérique n’assure pas la fonction de confidentialité.
La signature numérique utilise un algorithme asymétrique mais pas de la même manière que lors d’un échange
chiffré.
Shah Mohsin souhaite être certain que le message qu’il va recevoir à partir d’un moyen de communication exposé
est bien de Loïc.
Shah Mohsin et Loïc se mettent d’accord sur un algorithme de signature numérique et Loïc génère à l’aide d’un
algorithme mathématique un trousseau de clés contenant une clé privée et une clé publique. Loïc signe le
message à l’aide de la clé privée et envoie le message signé à Shah Mohsin via le moyen de communication
exposé.
Shah Mohsin détient alors le message signé mais rien pour pouvoir garantir l’origine du message.
Shah Mohsin et Loïc se mettent ensuite d’accord sur un autre moyen de communication permettant de garantir
l’identité de l’émetteur des messages. Cela va permettre à Loïc d’envoyer la clé publique à Shah Mohsin qui va
valider la signature du message.
Exemple : Shah Mohsin et Loïc s’échangent leurs messages signés sur Internet et leurs clés par téléphone avec
identification du numéro d’appel.
Le hachage
Le hachage permet de modifier le format de représentation d’une information tout en gardant son unicité et son
intégrité. Les algorithmes de hachage sont par définition non réversibles ce qui marque la différence avec un
algorithme de chiffrement dont le principe est d’être réversible. Le résultat d’un hachage s’appelle un condensé.
Le hachage permet de stocker une information sous une forme différente mais tout en gardant certaines
propriétés importantes. C’est notamment le cas des mots de passe dans la base de comptes utilisateurs d’un
système d’exploitation. Ils sont stockés dans un format qui ne permet pas de les récupérer.
Le hachage permet aussi de garantir l’intégrité des informations transmises afin d’être certain qu’elles n’ont pas
été modifiées.
l Un même message haché plusieurs fois doit toujours renvoyer le même résultat (le condensé).
l Le condensé doit être unique, deux messages différents en entrée renvoient deux résultats différents.
Oudom souhaite être sûr que le message que Brahim lui a envoyé n’a pas été modifié à travers un moyen de
communication exposé.
Oudom et Brahim se mettent d’accord sur un algorithme de hachage. Brahim hache le message pour obtenir le
condensé du message et envoie le message d’origine sans modification à Oudom via le moyen de communication
exposé.
Oudom détient alors le message d’origine, sur lequel il va lancer l’algorithme de hachage et obtenir le condensé du
message qu’il a reçu. Oudom n’a rien pour pouvoir garantir l’intégrité du message.
Oudom et Brahim se mettent ensuite d’accord sur un autre moyen de communication permettant de garantir
l’intégrité des messages, qui va permettre à Brahim d’envoyer son condensé à Oudom qui va le comparer au sien.
Si les condensés sont les mêmes, le message n’a pas été modifié.
Cette méthode permet de garantir l’intégrité des informations qui ont été transmises pour être sûr qu’elles n’ont
pas été modifiées.
L’implémentation du protocole SSL/TLS est composée de plusieurs méthodes qui permettent d’offrir les garanties
suivantes :
De plus en plus de services de communication s’appuient sur des systèmes de chiffrement liés à une PKI. Exchange
Server 2016 implémente différents services comme Outlook Anywhere, MAPI/HTTP, EWS (Exchange Web Services), les
API REST, OAB (Offline Address Book), ActiveSync, … qui s’appuient sur l’encapsulation SSL.
Afin de mettre en place la sécurisation de ces services, la configuration s’appuie sur l’architecture d’IIS, le serveur
web natif de Windows qui héberge les services. Aussi même si la plupart des paramètres de configuration se font
via les outils d’administration d’Exchange Server 2016, les paramètres sont configurés au sein d’IIS.
Pour mettre en place les composants nécessaires à la sécurisation des communications des services, il est possible
d’utiliser une PKI publique, donc payante, ou d’implémenter une autorité privée sous la forme d’une autorité de
certification autonome ou d’une autorité de certification d’entreprise.
L’installation d’une autorité de certification va empêcher la modification du nom de la machine. Il ne sera plus
possible de la rajouter ou de la retirer facilement à un domaine Active Directory ou même de la renommer.
Dans la page Type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité puis
cliquez sur Suivant.
Dans la page Sélection du serveur, sélectionnez votre serveur dans la liste Pool de serveurs puis cliquez
sur Suivant.
Dans la page Rôles de serveurs, sélectionnez Services de certificats Active Directory puis cliquez sur
Suivant.
Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de
l’autorité de certification via le Web puis cliquez sur Suivant.
Cliquez sur Ajouter des fonctionnalités pour valider l’installation des composants nécessaires.
Dans l’outil d’administration Gestionnaire de serveur, ouvrez le menu de notification puis cliquez sur le
lien Configurer les services de certificats Active Directory.
Dans la fenêtre Configuration des services de certificats Active Directory cliquez sur Suivant.
Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de
l’autorité de certification via le Web puis cliquez sur Suivant.
Dans la page Type d’AC, laissez les paramètres par défaut puis cliquez sur Suivant.
Dans la page Chiffrement, laissez les paramètres par défaut puis cliquez sur Suivant.
Dans la page Période de validité, indiquez la période de validité dans le champ Sélectionnez la période
de validité du certificat généré pour cette autorité de certification puis cliquez sur Suivant.
Dans la page Base de données de certificats, laissez les paramètres par défaut puis cliquez sur Suivant.
Dans la page Confirmation, vérifiez que la configuration de votre choix est bien affichée et cliquez sur
Configurer.
Une autorité de certification d’entreprise permet d’automatiser le déploiement des certificats à partir d’Active
Directory.
L’autorité de certification d’entreprise doit être installée sur une machine membre d’un domaine Active Directory.
Dans la page Type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité puis
cliquez sur Suivant.
Dans la page Sélection du serveur, sélectionnez votre serveur dans la liste Pool de serveurs puis cliquez
sur Suivant.
Dans la page Rôles de serveurs, sélectionnez Services de certificats Active Directory puis cliquez sur
Suivant.
Cliquez sur Ajouter des fonctionnalités pour valider l’installation des composants nécessaires.
Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de
l’autorité de certification via le Web puis cliquez sur Suivant.
Cliquez sur Ajouter des fonctionnalités pour valider l’installation des composants nécessaires.
Dans l’outil d’administration Gestionnaire de serveur, ouvrez le menu de notification puis cliquez sur le
lien Configurer les services de certificats Active Directory.
Dans l’assistant Configuration des services de certificats Active Directory, dans la page Informations
d’identification, cliquez sur Suivant.
Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de
l’autorité de certification via le Web puis cliquez sur Suivant.
Dans la page Type d’installation, sélectionnez l’option Autorité de certification d’entreprise puis cliquez
sur Suivant.
Dans la page Clé privée, laissez les paramètres par défaut puis cliquez sur Suivant.
Dans la page Chiffrement, laissez les paramètres par défaut puis cliquez sur Suivant.
Dans la page Nom de l’AC, tapez le nom choisi de votre autorité de certification dans le champ Nom
commun de cette AC puis cliquez sur Suivant.
Dans la page Période de validité, indiquez la période de validité dans le champ Sélectionnez la période
de validité du certificat généré pour cette autorité de certification puis cliquez sur Suivant.
Vous devrez renouveler le certificat de l’autorité à chaque fin de période de validité et réapprouver ce nouveau
certificat sur tous les clients.
Dans la page Base de données de certificats, laissez les paramètres par défaut puis cliquez sur Suivant.
Dans la page Confirmation, vérifiez que la configuration de votre choix est bien affichée et cliquez sur
Configurer.
La demande d’un certificat répondant aux besoins d’une infrastructure peut être facilitée par l’utilisation de
l’assistant fourni au sein de la console Centre d’administration Exchange en réalisant les manipulations suivantes :
Dans la console d’administration Centre d’administration Exchange, dans l’espace serveurs, cliquez sur
certificats.
Cliquez sur le symbole +, dans l’assistant nouveau certificat Exchange, cliquez sur l’option Créez une
demande de certificat d’une autorité de certification.
La protection contre la perte de données (DLP Data Loss Prevention) permet d’établir des règles de vérification du
contenu des messages qui vont transiter par la messagerie.
En effet, la messagerie est de plus en plus utilisée pour échanger des informations diverses et variées contenant
des données parfois sensibles. Les règles de protection contre la perte de données vont permettre d’analyser le
contenu des messages pour identifier les opérations qui ne sont pas en adéquation avec les règles de
confidentialité de l’entreprise.
Cette technologie a pour objectif de prévenir les fuites involontaires de données à l’extérieur ou à l’intérieur de
l’entreprise lorsque l’on ne souhaite pas que certains types de données circulent. Il est évident que si l’utilisateur
est motivé pour transmettre les données sensibles, il trouvera un autre moyen même fastidieux pour le faire (photo
de l’écran, recopie manuelle...). Cette solution doit donc être prise comme un moyen de prévention contre les
mauvaises habitudes, plutôt qu’une solution de sécurité fiable et incontournable.
L’implémentation des droits numériques (AD RMS) permet d’utiliser un contrôle plus poussé et plus difficilement
contournable si cela est nécessaire, mais demande des efforts de mise en œuvre bien plus importants.
Les stratégies de protection contre la perte de données permettent la mise en place facilitée de la supervision ou du
blocage de transfert de données en s’appuyant sur des mécanismes avancés d’identification de données. Différents
niveaux de règles sont ainsi disponibles, du plus restrictif au plus permissif.
Les algorithmes utilisés par cette solution vont audelà de simples expressions régulières. Il est ainsi possible de
déterminer un contexte de recherche pour limiter les fauxpositifs. Les règles prédéfinies sont en effet une
combinaison d’expressions régulières, de dictionnaires et de fonctions spécifiques au contenu (exemple : vérification
de la cohérence d’un numéro de carte de crédit). Voici un exemple plus détaillé d’analyse du contenu :
l Lecture du contenu : Loïc THOBOIS / VISA: 4384 3603 8094 0846 / Expire: 082014
l Validation de la conformité du numéro : 4384 3603 8094 0846 (1234 5678 9012 3456 aurait été rejeté)
l Résultat positif car validé par l’expression régulière et confirmé par le contexte.
Selon la volonté de l’administrateur, des notifications peuvent être mises en place et visibles directement lors de la
rédaction du message dans Outlook sur le Web ou dans le client Microsoft Outlook si l’utilisateur utilise les versions
2013 et supérieures.
Ces notifications se font sous la forme de Policytip rappelant les raisons de la transgression de la stratégie. Les
Policytip se matérialisent sous la forme d’un bandeau sur Outlook 2013 et supérieures ou sur Outlook sur le Web
contenant les informations personnalisées par l’administrateur dans la langue de l’utilisateur.
L’utilisation du client Microsoft Outlook 2013 et supérieur permet aussi d’avoir accès aux Policytip lors de la
rédaction de messages hors connexion.
Si l’utilisateur utilise une version antérieure du client Outlook ou un client de messagerie standard, une notification
de nonremise lui sera envoyée en retour à l’envoi du message qui ne respecte pas l’une des stratégies de
L’utilisation des stratégies de protection contre la perte de données nécessite une licence entreprise pour les clients
qui l’utilisent.
La configuration des stratégies de protection contre la perte de données peut se faire à partir d’un modèle ou à
partir d’un ensemble de règles librement créées par l’administrateur selon une large liste de critères et d’actions.
Les modèles facilitent la mise en œ uvre de la protection. Les règles sont géolocalisées pour faire correspondre la
recherche des contenus au format de chaque pays.
On retrouve dans les modèles fournis pour la France la possibilité de retrouver les informations suivantes :
Des modèles personnalisés peuvent être créés et importés dans l’infrastructure Exchange en suivant les
spécifications Microsoft (http://technet.microsoft.com/frfr/library/jj674310(v=exchg.150).aspx). Des éditeurs tiers
mettent aussi des modèles à disposition.
l Tester la stratégie DLP avec les conseils de stratégie : permet de regarder les rapports correspondant à la
stratégie pour avoir une idée des conséquences de son application.
l Tester la stratégie DLP sans les conseils de stratégie : permet de notifier les utilisateurs sans les bloquer
pour les informer des stratégies en vigueur dans l’entreprise avant une application forcée.
Une fois la stratégie créée, on peut observer la création des règles de transport correspondantes.
Pour chaque stratégie, il sera aussi possible d’ajouter ou personnaliser les conseils de stratégie. Chaque conseil
de stratégie peut être régionalisé pour l’afficher dans la langue des utilisateurs. Les types de conseils de
stratégies suivants sont disponibles :
l Lien vers URL de conformité : lien vers une page contenant les informations de conformité. Cette page doit être
créée entièrement par l’administrateur.
Dans la console Centre d’administration Exchange, cliquez sur le menu gestion de la conformité puis
sur l’onglet protection contre la perte de données.
Cliquez sur le bouton + puis sur l’option Nouvelle stratégie DLP à partir d’un modèle.
Dans la fenêtre nouvelle stratégie DLP à partir d’un modèle, tapez le nom de la stratégie, une
description, sélectionnez le modèle de votre choix et le mode d’application (Appliquer ou tester la
stratégie).
Il est aussi possible d’administrer les stratégies DLP à l’aide de la console Exchange Management Shell et des
commandes suivantes :
Tapez la cmdlet suivante pour lister les différents modèles de stratégies disponibles :
Get-DlpPolicyTemplate
Tapez la commande suivante pour créer une nouvelle stratégie DLP à partir d’un modèle :
New-DlpPolicy -Name "AVAEDOS DLP France" -Template "France Data Protection Act"
Dans le cas d’un besoin plus spécifique auquel aucun modèle ne répond, il est possible de créer une stratégie vide
que l’on va configurer via la création de règles. L’édition des règles s’effectue dans les propriétés de la stratégie.
l Avertir l’expéditeur lorsque des informations sensibles sont envoyées en dehors de l’organisation :
règle préconfigurée pour détecter et avertir le rédacteur d’un message contenant un contenu sensible (à choisir) qui
est envoyé en dehors de l’entreprise.
l Bloquer les messages dont le contenu est sensible : règle préconfigurée pour détecter et bloquer le message
contenant un contenu sensible (à choisir) qui est envoyé en dehors de l’entreprise.
l Bloquer les messages dont le contenu est sensible sauf si l’expéditeur le remplace : règle
préconfigurée pour détecter et bloquer le message ayant un contenu sensible (à choisir) qui est envoyé en dehors
de l’entreprise mais en laissant au rédacteur la possibilité de modifier son message pour qu’il redevienne conforme.
l Bloquer les messages dont le contenu est sensible sauf si l’expéditeur fournit une justification
professionnelle : règle préconfigurée pour détecter et bloquer le message contenant un contenu sensible (à
choisir) qui est envoyé en dehors de l’entreprise mais en laissant au rédacteur la possibilité de se justifier pour
envoyer le message.
Voici les caractéristiques qui vont définir le comportement d’une règle au sein d’une stratégie :
l La condition d’application de la règle : spécifie le type de contenu sur lequel la règle va s’appliquer. Il est
possible d’appliquer une règle à l’ensemble du contenu.
l Le traitement de la règle : spécifie les actions à réaliser sur les messages correspondant aux conditions
précédentes.
l Les exceptions : spécifient les scénarios pour lesquels le traitement ne sera pas réalisé malgré une
correspondance aux conditions d’application. Il peut y avoir plusieurs critères d’exclusion.
l Le statut de la règle (gravité) : indique le niveau de gravité correspondant à la règle dans le cas d’un audit.
l Mode d’application de la règle : indique si la règle sera appliquée, auditée ou permettra de prévenir le rédacteur
pendant l’écriture de ses messages.
Si la condition d’application de la règle est Le message contient des informations sensibles…, le catalogue des
types d’informations sensibles préconfigurés pouvant être utilisés contient :
Pour créer une stratégie DLP personnalisée à l’aide de la console Centre d’administration Exchange, réalisez les
opérations suivantes :
Dans la console Centre d’administration Exchange, cliquez sur le menu gestion de la conformité puis
sur l’onglet protection contre la perte de données.
Exchange Server 2016 propose par défaut un composant de détection des programmes malveillants. On associe les
programmes malveillants à des virus, vers et autres chevaux de Troie et la solution intègre donc un logiciel antivirus
à l’infrastructure Exchange.
Cette solution fait écho à son équivalent hébergé appelé Forefront Online Protection for Exchange (FOPE) ou à des
solutions éditées par des sociétés tierces comme Symantec, Trend…
Par défaut, la fonction de filtrage des programmes malveillants est activée dans Microsoft Exchange Server 2016. Il
est possible de personnaliser le comportement du logiciel à l’aide de stratégies personnalisées.
La détection des programmes malveillants est réalisée sur les messages envoyés ou reçus à partir d’un serveur de
boîtes aux lettres.
Comme toutes les solutions de détection de logiciels malveillants, sa maintenance nécessite des mises à jour
régulières pour que les dernières versions de virus soient détectées.
La configuration du composant antiprogramme malveillant passe par des stratégies. Une stratégie par défaut active
le composant et il est ensuite possible de créer des stratégies spécifiques à certains types de contenu selon des
conditions. Cela permet de modifier le comportement du composant selon les scénarios.
l L’action à réaliser : suppression du message ou des pièces jointes avec ou sans avertissement.
l Les conditions : filtre l’application de la stratégie selon des critères comme le destinataire, le domaine du
destinataire ou l’appartenance à un groupe. Il est possible d’établir des exclusions aux règles.
Afin de réaliser les ateliers suivants, il est nécessaire d’avoir les composants d’infrastructure suivants :
l DC Contrôleur de domaine pour le domaine editionseni.lan configuré avec l’espace de noms DNS correspondant
et les utilisateurs Loïc THOBOIS (lthobois@editionseni.lan), Brahim NEDJIMI (bnedjimi@editionseni.lan),
Matthieu MARTINEAU (mmartineau@editionseni.fr) et Saïda AZIRI (saziri@editionseni.fr). Le serveur
appelé ADDC1 est configuré avec l’adresse IP 172.16.1.1.
l SRV1 Serveur de messagerie Exchange Server 2016 configuré avec le rôle boîtes aux lettres (MBX). Le
serveur appelé EXCHSRV1 est configuré avec l’adresse IP 172.16.1.21.
Afin de réaliser certaines manipulations, il est nécessaire que les machines soient connectées à Internet, par l’ajout
d’une seconde carte (connectée directement sur Internet) ou par une passerelle permettant l’accès vers Internet.
La machine sur laquelle les manipulations doivent être réalisées est indiquée dans le titre entre crochets "[ ]".
Dans la page Type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité puis
cliquez sur le bouton Suivant.
Dans la page Sélection du serveur, sélectionnez votre serveur dans la liste Pool de serveurs puis
cliquez sur le bouton Suivant.
Dans la page Rôles de serveurs, sélectionnez Services de certificats Active Directory puis cliquez sur
Suivant.
Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de
l’autorité de certification via le Web.
Dans la page Rôle Web Server (IIS), cliquez sur le bouton Suivant.
Dans l’outil d’administration Gestionnaire de serveur, ouvrez le menu de notification puis cliquez sur le
lien Configurer les services de certificats Active Directory.
Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de
l’autorité de certification via le Web puis cliquez sur le bouton Suivant.
Dans la page Type d’installation, laissez les paramètres par défaut puis cliquez sur le bouton Suivant.
Dans la page Clé privée, laissez les paramètres par défaut puis cliquez sur le bouton Suivant.
Dans la page Nom de l’AC, tapez le nom choisi de votre autorité de certification dans le champ Nom
commun de cette AC puis cliquez sur le bouton Suivant.
Vous devrez renouveler le certificat de l’autorité à chaque fin de période de validité et réapprouver ce nouveau
certificat sur tous les clients.
Dans la page Confirmation, vérifiez que la configuration de votre choix est bien affichée et cliquez sur le
bouton Configurer.
Dans la page Résultats, vérifiez que la configuration s’est bien déroulée puis cliquez sur le bouton
Cette commande télécharge le certificat de l’autorité d’entreprise par l’intermédiaire des stratégies de groupe.
Dans la console d’administration Centre d’administration Exchange, dans l’espace serveurs, cliquez sur
certificats.
1. Questions
1 Vous soupçonnez les collaborateurs de votre entreprise de transmettre des données critiques par
l’intermédiaire de leur messagerie, sans respecter la charte de sécurité de l’entreprise. Que pouvezvous faire
pour contrôler et éventuellement restreindre ces agissements ?
2 Vous souhaitez avertir vos utilisateurs s’ils enfreignent les règles de conformité de sécurité liées à
l’utilisation de la messagerie. Vous souhaitez les sensibiliser lors de la rédaction de leurs messages. Que
devezvous faire ?
3 Les collaborateurs de votre entreprise utilisent massivement le client Outlook sur le Web et l’authentification
par formulaire. Que devezvous faire pour garantir la sécurité des messages et de leurs comptes ?
4 Vos utilisateurs vous informent de la présence d’avertissements liés à la sécurité lorsqu’ils se connectent au
portail Outlook sur le Web. Que devezvous faire pour résoudre ce problème ?
5 Vous venez d’installer votre infrastructure Exchange Server 2016 et souhaitez garantir la sécurité des
connexions des utilisateurs nomades et de vos partenaires à votre infrastructure. Quel type d’autorité de
certification permettra la mise en place de communications sécurisées avec les partenaires avec le minimum
de charges administratives ?
6 Que devezvous faire pour limiter la réception de messages à caractère commercial non sollicités sur les
serveurs de messagerie ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
Nombre de points /6
3. Réponses
1 Vous soupçonnez les collaborateurs de votre entreprise de transmettre des données critiques par
l’intermédiaire de leur messagerie, sans respecter la charte de sécurité de l’entreprise. Que pouvezvous faire
pour contrôler et éventuellement restreindre ces agissements ?
La création d’une règle DLP permet de détecter les comportements à risque des collaborateurs selon des modèles
prédéfinis ou personnalisés. Il est ainsi possible d’auditer, de prévenir ou d’interdire les opérations à risque.
2 Vous souhaitez avertir vos utilisateurs s’ils enfreignent les règles de conformité de sécurité liées à l’utilisation
de la messagerie. Vous souhaitez les sensibiliser lors de la rédaction de leurs messages. Que devezvous
faire ?
Il suffit de mettre en place une règle DLP et d’inviter les utilisateurs à utiliser le client Outlook 2013, 2016 ou
Outlook sur le Web afin qu’ils visualisent les messages d’avertissement pendant la rédaction d’emails.
3 Les collaborateurs de votre entreprise utilisent massivement le client Outlook sur le Web et l’authentification
par formulaire. Que devezvous faire pour garantir la sécurité des messages et de leurs comptes ?
Il est nécessaire d’installer un certificat sur le portail Outlook sur le Web pour garantir la sécurité des transferts
entre le client et le serveur Exchange Server 2016. Dans la plupart des scénarios, un certificat public permettra à
tous les utilisateurs de se connecter sans surcharge administrative.
1. Prérequis
Connaître les mécanismes de communication internes aux rôles et services qui composent une
architecture Exchange 2016.
2. Objectifs
Évaluer les composants à risque dans une infrastructure Exchange Server 2016.
1. Considérations générales
Les services basés sur une architecture centralisée permettent de faciliter le déploiement, l’administration et la
maintenance des services. Ils posent toutefois le problème de la disponibilité car centraliser une architecture revient
à mettre tous ses œ ufs dans le même panier et ainsi à tout perdre si le moindre incident survient.
Afin de réduire les risques d’indisponibilité des services, il est important d’identifier le ou les points uniques de
défaillance (SPOF Single Point Of Failure) qui reviennent à identifier les composants qui, s’ils sont défaillants,
peuvent nuire à la disponibilité ou à la qualité d’accès au service.
Lorsque l’on souhaite sécuriser une architecture, on doit donc penser à vérifier l’ensemble des composants pouvant
entraîner une panne complète du système. Il est nécessaire de considérer aussi bien l’accès réseau, la robustesse
du matériel, la fiabilité des logiciels et les risques de corruption de données. L’objectif est d’envisager une panne de
n’importe lequel de ces composants d’infrastructure sans que cela empêche l’accès au service.
Une fois les risques évalués, il est nécessaire de déterminer les stratégies à mettre en place pour pouvoir éviter la
panne ou en minimiser l’impact.
Dans le cas d’une infrastructure complexe qui tombe en panne, il est d’autant plus difficile de déterminer l’origine de
cette panne que les composants qui interviennent dans le processus sont nombreux. Ces interventions, qui sont
souvent faites dans l’urgence (n’oublions pas que le service est en panne), deviennent longues, stressantes et
coûteuses...
La mise en place d’une infrastructure à tolérance de panne consiste à prévoir à l’aide de composants dédiés le
basculement des services sur des systèmes redondants, et ceci sans intervention humaine afin de minimiser au
maximum le temps d’indisponibilité.
Dans le cas des services de messagerie Exchange, on va généralement observer que l’architecture est composée
d’une partie frontale contenant les serveurs auxquels les clients vont se connecter directement. Ceci était plus
flagrant dans les versions antérieures comme Exchange 2010 ou Exchange 2013 qui comportaient des rôles bien
spécifiques, notamment le rôle de serveur d’accès client (CAS).
Dans le cas d’une infrastructure Exchange Server 2016, les serveurs hébergeant le rôle boîtes aux lettres intègrent
des proxys des différents protocoles de messagerie utilisés (HTTP, SMTP, IMAP, POP…). Ainsi, quels que soient les
serveurs frontaux sur lesquels les utilisateurs se connectent, même pris au hasard, les résultats obtenus seront
identiques, et ceci même s’ils changent de serveur entre deux requêtes.
Une partie dorsale va ensuite généralement héberger les systèmes de gestion de bases de données (boîtes aux
lettres) offrant les mécanismes de stockage.
Dans le cas d’une infrastructure Exchange Server 2016, les serveurs hébergeant le rôle boîtes aux lettres intègrent
non seulement les mécanismes de stockage des boîtes aux lettres des utilisateurs mais aussi les composants de
mise au format du contenu des boîtes aux lettres pour le protocole client sollicité (HTTP, SMTP, IMAP, POP…).
Si un utilisateur stocke un message dans la base de données contenant sa boîte aux lettres, il est en droit de le
retrouver, et pour cela il doit toujours se connecter sur le serveur qui héberge sa base de données.
Les enjeux ne sont donc pas les mêmes pour les services frontaux qui ont pour mission de répondre aux requêtes
des clients et pour les services dorsaux qui ont pour mission de fournir l’accès aux données en stockant de manière
structurée le contenu tout en garantissant la sécurité et la cohérence de celuici.
La mise en place d’un système hautement disponible pour les serveurs hébergeant le rôle d’accès au client a été
largement facilité avec les dernières versions d’Exchange. Dorénavant, les services d’accès client deviennent le
point de connexion pour tous les protocoles clients : MAPI/HTTP, Outlook Anywhere, OWA, ActiveSync, IMAP, POP,
EWS, PAI REST,...
Seul le rôle de messagerie unifié sera redirigé en direct sur le composant du serveur de boîtes aux lettres pour
garantir la latence de connexion la plus réduite possible.
La haute disponibilité des services d’accès client ne nécessite donc pas de garantir l’intégrité d’une
donnée quelconque et s’implémente à l’aide d’une solution de répartition de charges réseau.
L’implémentation d’une solution de répartition logicielle est économiquement avantageuse. Des produits open
source comme HAProxy (http://www.haproxy.org/) ont fait leurs preuves dans ce rôle depuis plusieurs années. Par
contre le composant logiciel de répartition de charge réseau fournit avec Windows Server ne peut pas être utilisé
car non supporté dans les scénarios de déploiement.
Selon la connectivité réseau disponible entre les nœ uds, une réflexion adaptée devra être engagée pour éviter
tout souci notamment dans des architectures géographiquement éclatées.
Un nombre important d’éditeurs et de constructeurs proposent des mécanismes de répartition de charge pour
Exchange plus ou moins adaptés et plus ou moins puissants. Le choix se fera en fonction du prix, de la complexité
de mise en œ uvre et de la puissance nécessaire pour l’architecture.
Parmi les modèles les plus populaires, on retrouvera les produits F5 ou les produits Kemp. Il est à noter que ces
produits sont souvent disponibles sous la forme de machines virtuelles pour en faciliter l’intégration dans les
environnements virtualisés.
Il est conseillé d’utiliser une solution matérielle de répartition de charge dans le cas d’une ferme de plus de huit
serveurs hébergeant les services d’accès client.
Le mécanisme de répartition de charge DNS est appelé round robin (tourniquet DNS dans certains
logiciels francisés). Le round robin permet, pour un même nom, de renvoyer les clients sur des adresses IP
différentes, et donc des serveurs différents.
Permettant une répartition de charge en amont du protocole TCP/IP, il n’est pas limité par l’emplacement physique
des serveurs. En effet, il est possible d’avoir les nœ uds du cluster répartis sur plusieurs sites ou plusieurs
datacenters.
Par contre, le round robin ne permet pas de garantir la haute disponibilité des services. Le mécanisme s’appuyant
uniquement sur le protocole DNS, il n’est pas en mesure de valider la bonne santé des serveurs avant d’y renvoyer
un client. Si le serveur est en panne, ce sera au client de se reconnecter à un autre serveur s’il en est capable.
Il est donc courant d’utiliser cette solution pour pointer non pas directement sur des serveurs mais sur la solution
de répartition de charge logicielle ou matérielle du site ou du datacenter.
Cette solution est couramment utilisée pour la mise en place d’une redondance de site.
Plusieurs configurations permettent d’adapter la ferme aux scénarios auxquels le service est confronté.
La mise en place d’un système hautement disponible pour les serveurs hébergeant le rôle boîtes aux lettres doit
prendre en compte les nouvelles spécifications de l’architecture des serveurs Exchange Server 2016. Dorénavant,
le rôle boîtes aux lettres contient les services de rôles de boîtes aux lettres, de transport hub et d’accès au client…
Heureusement, seul le service de rôle boîtes aux lettres va nécessiter une attention particulière pour la mise en
place d’une architecture hautement disponible. Les services de rôles de transport hub et d’accès client utilisent les
mécanismes internes nativement à haute disponibilité que nous allons décrire ciaprès.
L’une des nouveautés les plus marquantes d’Exchange Server 2010 a été la remise à plat des
différentes technologies de haute disponibilité et de réplication des bases de données par le groupe de
disponibilité de bases de données (DAG Data Availability Group). Celuici a remplacé l’ensemble des mécanismes
de haute disponibilité que l’on pouvait trouver sur les versions précédentes.
Exchange Server 2016 profite de cette solution unique qui facilite la mise en place d’une infrastructure hautement
disponible tout en garantissant la sécurité des données qui vont être répliquées sur plusieurs serveurs ou
plusieurs datacenters.
Un groupe de disponibilité de bases de données symbolise la réunion d’un maximum de 16 serveurs qui vont
pouvoir répliquer les bases de données Exchange Server 2016 pour en assurer la haute disponibilité.
Microsoft recommande d’implémenter trois copies minimum de chaque base de données afin de garantir la
disponibilité des données et la réparation d’une copie défectueuse sans impact sur les performances pour
l’utilisateur final.
Le groupe de disponibilité de bases de données s’appuie sur la fonctionnalité Cluster à basculement de manière
transparente afin de faire basculer automatiquement les composants de l’infrastructure Exchange Server 2016 sur
une copie de la base en état de fonctionnement.
Dans Exchange Server 2016, les services de rôles de transport intègrent nativement des fonctionnalités de haute
disponibilité par l’intermédiaire de deux technologies. Ces technologies sont chargées de conserver des copies
redondantes des messages avant et après leur remise réussie.
Le principe de la redondance des clichés instantanés (Shadow Redundancy) consiste à conserver les messages sur
le serveur précédent jusqu’à ce qu’il soit délivré au prochain serveur. Lorsqu’une erreur est détectée (timeout), le
serveur précédent délivre de nouveau les messages (à un autre serveur de boîte aux lettres par exemple).
Pour la mise en place de cette technologie, des extensions SMTP sont utilisées (XSHADOW, XDISCARD), au prix
d’une légère surcharge réseau.
Pour plus de détails techniques, vous pouvez consulter l’article suivant : https://technet.microsoft.com/fr
fr/library/dd351027(v=exchg.150).aspx
Le Safety Net
Le Safety Net est le remplaçant de la technologie benne de transport (Transport Dumpster) que l’on trouvait dans
Exchange 2010. Il en reprend la plupart des principes en les améliorant.
Lorsque la technologie de groupe de disponibilité de bases de données est utilisée, le Safety Net reçoit les
informations de la file d’attente de réplication entre les bases pour déterminer quels sont les messages qui ont été
remis et répliqués.
Tant qu’un message n’est pas répliqué sur l’ensemble des bases de données du groupe de disponibilité de bases
de données, un exemplaire est conservé dans la file d’attente du hubtransport qui en assure la remise par
sécurité.
Lorsque la technologie de groupe de disponibilité de bases de données n’est pas utilisée, Safety Net enregistre,
dans le site Active Directory local, une copie des messages sur d’autres serveurs de boîtes aux lettres.
Les services d’accès client ne réalisent aucune gestion de données sensibles. Les services d’accès client
permettent la transformation des données issues des bases de données de boîtes aux lettres au format demandé
par le client selon le protocole utilisé.
Les services de rôles d’accès au client s’appuient principalement sur les composants de proxy pour garantir la
haute disponibilité, euxmêmes protégés par une solution de répartition de charges.
Pour que les solutions de répartition de charge puissent analyser efficacement le bon fonctionnement des services,
des URL de tests sont disponibles pour chaque service :
l https://<serveur>/autodiscover/healthcheck.htm
l https://<serveur>/ecp/healthcheck.htm
l https://<serveur>/ews/healthcheck.htm
l https://<serveur>/mapi/healthcheck.htm
l https://<serveur>/owa/healthcheck.htm
l …
La mise en place d’un groupe de disponibilité de bases de données n’utilise pas d’espace disque partagé. Le
fonctionnement s’apparente à un cluster à Quorum MNS (Majority Node Set jeu de nœ ud majoritaire).
Pour que le cluster soit en ligne, la majorité absolue des nœ uds est nécessaire, si ce n’est pas le cas, l’ensemble
des nœ uds s’arrête pour éviter la scission des bases de données (les clients mettent à jour des versions différentes
de la même base de données) ou leurs corruptions.
2 nœuds 2 nœuds 0
3 nœuds 2 nœuds 1
4 nœuds 3 nœuds 1
5 nœuds 3 nœuds 2
6 nœuds 4 nœuds 2
7 nœuds 4 nœuds 3
8 nœuds 5 nœuds 3
Afin d’éviter des clusters bloqués par un partage à égalité parfaite du cluster (coupure réseau entre les nœ uds), on
peut ajouter une référence supplémentaire sous la forme d’un partage de fichier sur une machine qui n’est pas
membre du cluster.
Ce partage contiendra un répertoire et des fichiers témoins pour le cluster et permettra d’arbitrer les conflits dans le
cas d’une connectivité coupée entre les nœ uds.
La mise en place du groupe de disponibilité de bases de données est très simple car elle peut se faire sans
Pour que les services Exchange soient en mesure de réaliser les tâches administratives nécessaires à la création
du DAG, il est recommandé de préconfigurer le compte d’ordinateur du cluster dans Active Directory et d’octroyer
les autorisations au groupe Exchange Trusted Subsystem. Il est aussi possible de donner les privilèges sur le
domaine au groupe Exchange Trusted Subsystem si les politiques de sécurité de l’entreprise le permettent.
L’ajout d’un serveur Exchange à un DAG va automatiquement installer et configurer le composant Cluster à
basculement.
Le principe de réplication s’appuie sur la copie des fichiers de transaction sur l’ensemble des membres du DAG
ayant un réplica de la base de données (log shipping). Les fichiers sont ensuite rejoués dans la base de données
(log replay).
Dans un groupe de disponibilité de bases de données, chaque serveur héberge un composant Active Manager. Le
serveur qui détient la copie active de la base de données est appelé Active Manager Principal (PAM) et les copies
s’appellent Active Manager de Secours (SAM).
Dans les paramètres de la copie d’une base sur un serveur membre du DAG, une durée de latence peut être
spécifiée pour retarder l’intégration des journaux de transaction dans la base de données afin d’avoir une copie
décalée dans le temps. Cela permet de récupérer facilement des objets ou du contenu effacé par mégarde sans
faire appel aux outils de sauvegarde et restauration.
Pour optimiser les flux réseau d’un DAG, il est possible d’activer ou de désactiver l’utilisation de certains réseaux
pour les échanges des journaux de transaction.
L’administration des groupes de disponibilité de bases de données se fait à partir de la console Centre
d’administration Exchange en réalisant les manipulations suivantes :
Dans la console Centre d’administration Exchange, cliquez sur le menu serveurs, puis sur l’onglet
groupes de disponibilité de la base de données.
Dans la fenêtre Groupe de disponibilité de base de données, entrez le nom du nouveau DAG, le serveur
qui va héberger le partage témoin et le chemin vers le répertoire témoin.
Afin de réaliser les ateliers suivants, il est nécessaire d’avoir les composants d’infrastructure suivants :
l DC Contrôleur de domaine pour le domaine editionseni.lan configuré avec l’espace de noms DNS correspondant
et les utilisateurs Loïc THOBOIS (lthobois@editionseni.lan), Brahim NEDJIMI (bnedjimi@editionseni.lan),
Matthieu MARTINEAU (mmartineau@editionseni.lan) et Saïda AZIRI (saziri@editionseni.fr). Le serveur
appelé ADDC1 est configuré avec l’adresse IP 172.16.1.1.
l EXCHSRV1 Serveur de messagerie Exchange Server 2016 configuré avec les rôles boîtes aux lettres (MBX).
Le serveur appelé EXCHSRV1 est configuré avec l’adresse IP 172.16.1.21.
Afin de réaliser certaines manipulations, il est nécessaire que les machines soient connectées à Internet, par l’ajout
d’une seconde carte (connectée directement sur Internet) ou par une passerelle permettant l’accès vers Internet.
La machine sur laquelle les manipulations doivent être réalisées est indiquée dans le titre entre crochets "[ ]".
Préparez une machine physique ou virtuelle équipée de 8 Go de mémoire minimum avec une connectivité
au réseau interconnectant les machines DC et EXCH.
Redémarrez la machine.
Installez les fonctionnalités Windows requises via le script suivant sous PowerShell :
Ce script est disponible en téléchargement depuis la page Informations générales. Il est nommé
prerequisW2012MB.ps1.
Redémarrez la machine.
Insérez le CDROM d’Exchange Server 2016, puis à partir d’une invite de commande, tapez la commande
suivante :
D:\Setup\Setup.exe /IAcceptExchangeServerLicenseTerms
/mode:install /roles:MailBox,ManagementTools
Dans l’outil Utilisateurs et ordinateurs Active Directory, dans le conteneur Builtin, affichez les
propriétés du groupe Administrateurs.
Dans l’onglet Membres, ajoutez le groupe Exchange Trusted Subsystem puis cliquez sur OK.
Dans la fenêtre nouveau groupe de disponibilité de base de données, tapez EXCHDAG dans le champ
Nom du groupe de disponibilité de la base de données.
Sélectionnez EXCHDAG, puis cliquez sur le bouton Gérer l’appartenance au DAG représenté par l’icône
d’un serveur avec un engrenage.
À l’aide du symbole +, ajoutez les serveurs EXCHSRV1 et EXCHSRV2 et cliquez sur le bouton
Enregistrer.
1. Questions
1 Vous souhaitez mettre en place un groupe de disponibilité de bases de données dans votre infrastructure.
Que devezvous faire ?
2 Si chacun des serveurs de votre organisation Exchange héberge le rôle boîtes aux lettres et que les bases de
données sont protégées par un groupe de disponibilité, que devezvous faire pour protéger les services
proxy d’accès aux clients ?
3 Votre infrastructure Exchange Server 2016 se compose de huit serveurs hébergeant le rôle boîtes aux
lettres. Vous souhaitez protéger l’infrastructure. Combien devezvous créer de groupe de disponibilité ?
4 Vous avez implémenté un groupe de disponibilité de bases de données pour protéger les boîtes aux lettres.
Régulièrement, on vous demande de restaurer des emails effacés par mégarde quelques jours auparavant.
Quelle proposition pouvezvous faire pour améliorer l’infrastructure ?
5 Vous avez mis en place une solution de répartition de charge pour garantir la haute disponibilité des deux
serveurs de votre infrastructure. Vos utilisateurs vous remontent que parfois le service de messagerie n’est
pas accessible. Vous vérifiez les journaux de l’outil de supervision et vous vous rendez compte que les
remontées des utilisateurs correspondent aux pannes du second nœ ud. Que devezvous faire ?
6 Vous avez mis en place une solution de répartition de charge pour garantir la haute disponibilité des serveurs
de votre infrastructure. Vous souhaitez garantir la disponibilité du service de messagerie. Que devezvous
configurer ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
Nombre de points /6
3. Réponses
1 Vous souhaitez mettre en place un groupe de disponibilité de bases de données dans votre infrastructure.
Que devezvous faire ?
Créer un groupe de disponibilité au niveau de l’organisation Exchange et ajouter tous les serveurs membres à ce
groupe. Configurer chaque base de données devant être protégée pour être hébergée sur chaque membre du
groupe de disponibilité de bases de données.
2 Si chacun des serveurs de votre organisation Exchange héberge le rôle boîtes aux lettres et que les bases de
données sont protégées par un groupe de disponibilité, que devezvous faire pour protéger les services
proxy d’accès aux clients ?
Dans le cas d’un serveur hébergeant à la fois le rôle boîte aux lettres et un groupe de disponibilité de base de
données, il a donc implicitement installé et configuré le composant de cluster à basculement. Celuici étant
incompatible avec le composant de répartition de charge de Windows, il est nécessaire d’utiliser un dispositif
extérieur comme une Appliance en utilisant une solution tierce.
3 Votre infrastructure Exchange Server 2016 se compose de huit serveurs hébergeant le rôle boîtes aux
lettres. Vous souhaitez protéger l’infrastructure. Combien devezvous créer de groupe de disponibilité ?
Un seul groupe de disponibilité est nécessaire car il peut accueillir jusqu’à 16 serveurs quelle que soit la topologie de
1. Prérequis
2. Objectifs
La supervision est essentielle pour garantir le bon fonctionnement de vos infrastructures informatiques, et Exchange
2016 ne déroge pas à la règle. Cette supervision peut être effectuée au travers de solutions existantes déjà en
place au sein de l’entreprise, ou via une multitude d’outils tiers, dont Microsoft SCOM (System Center Operations
Manager) par exemple. Ils vont permettre de détecter des anomalies et d’entreprendre les actions correctives
nécessaires.
Nous n’allons pas traiter de ces outils dans le présent chapitre, l’idée étant ici d’utiliser les moyens à notre
disposition sur nos plateformes (mais nous vous recommandons de vous appuyer sur des outils de ce type).
Nous allons nous concentrer ici sur la collecte d’informations significatives de nos infrastructures de messagerie
permettant sa bonne gestion. Car si l’on se focalise très souvent sur la détection de pannes, il n’en demeure pas
moins que la collecte de métriques est fondamentale pour la gestion de nos plateformes de messagerie.
La collecte des métriques liées aux services de messagerie va nous permettre de récupérer les éléments ayant
trait notamment à la performance de nos systèmes telles les ressources disponibles (processeur, disque), ainsi
qu’une série d’indicateurs comme les temps de réponse ou le niveau de sollicitation des différentes fonctionnalités.
La collecte de ces différents indicateurs et leur archivage va servir à constituer une baseline. Par baseline, on
entend un point de référence qui va nous servir à effectuer des comparaisons ultérieures sur l’évolution de la
plateforme.
Si la collecte de données est effectuée à un instant T pour déterminer la situation actuelle, il est très intéressant
de s’appuyer sur les données antérieures afin d’effectuer des comparaisons.
Considérons par exemple le graphique suivant qui traite de la performance globale du service de messagerie (vous
pouvez considérer les éléments que vous souhaitez) :
Il est donc important d’effectuer des baselines à la fois pour déterminer la situation actuelle et décider
d’éventuelles actions afin d’améliorer le service. Les baselines suivantes nous permettront de confirmer ou
d’infirmer si les actions mises en œ uvre ont porté leurs fruits, ou au moins si nous sommes sur la bonne voie.
Il existe une grande variété d’outils permettant l’analyse et la capture des métriques d’Exchange. Nous allons ici
nous concentrer sur l’outil natif mis à notre disposition au sein des systèmes d’exploitation Windows Server
2012/R2 et Windows Server 2016, à savoir l’analyseur de performances.
Cet outil, même s’il est doté de fonctionnalités basiques, a le mérite d’exister et fournit une grande variété de
métriques. Si vous ne disposez pas d’outil de supervision, il sera un atout pour vous.
Vous pouvez l’exécuter via le menu Outils du Gestionnaire de Serveur ou bien via Démarrer/Exécuter et en
tapant perfmon :
En déployant Outils d’analyse puis en cliquant sur Analyseur de performances, on accède au graphe en temps
réel des compteurs de performance.
Il est possible d’ajouter des compteurs en cliquant sur le bouton vert + ou bien en faisant un clic droit sur le
graphe puis Ajouter des compteurs.
La liste des compteurs disponibles pour la plateforme est alors affichée et vous pourrez constater, lorsque vous
lancez l’analyseur de performances sur une plateforme Exchange, que des compteurs spécifiques à Exchange sont
présents :
Introduit pour la première fois sous Exchange Server 2013 Cumulative Update 6, le service de diagnostics
Exchange est un processus qui collecte automatiquement et périodiquement des compteurs de performance
pertinents pour Exchange 2016. Il s’appuie pour cela sur les ensembles collecteurs de données qui permettront
l’archivage des métriques ainsi collectées pour une utilisation ultérieure.
Les fichiers de collecte de performance, au format BLG, sont stockés dans le chemin suivant : %ProgramFiles%
\Microsoft\Exchange Server\V15\Logging\Diagnostics\DailyPerformanceLogs.
Si l’on double clique sur un fichier d’extension .BLG dans ce répertoire, il sera chargé dans l’Analyseur de
performances :
Ces journaux étant destinés à une analyse a posteriori, il est possible d’en extraire des compteurs pertinents
ciblant une problématique précise. Pour cela, PowerShell sera un atout.
En premier lieu, il conviendra de vérifier que les compteurs enregistrés comprennent la plage de temps qui nous
intéresse. Pour cela, il faut exécuter sous l’Exchange Management Shell la commande suivante :
Nous obtenons alors la date du plus ancien enregistrement, du plus récent ainsi que le nombre d’échantillons
collectés :
Si la plage contient l’intervalle de temps que nous souhaitons analyser, nous allons alors sélectionner les
compteurs qui nous intéressent (par exemple ici, le nombre de boîtes actives) dans une variable via la cmdlet
suivante :
Ensuite, nous allons écrire le contenu de la variable $Data dans un fichier .BLG que nous pourrons lire avec
l’analyseur de performances :
Enfin, si l’on ouvre le fichier exchcounter.blg ainsi obtenu avec l’analyseur de performances, nous n’avons plus
que le compteur recherché :
Vous pouvez rechercher le nom d’un compteur grâce à la liste que vous avez visualisé plus haut dans l’analyseur
de performances ou bien rechercher via PowerShell les noms de compteurs disponibles via la cmdlet suivante en
ne recherchant que les compteurs comprenant Exchange dans leur nom :
Le nom des compteurs peut varier en fonction de la langue d’installation du système d’exploitation. Si le nom d’un
compteur Exchange comme celui relatif aux boîtes de messageries actives reste identique à celui de la version
américaine, un compteur système comme temps processeur aura un nom différent.
Autre élément à noter concernant le service de diagnostics Exchange : la quantité de données qu’il peut stocker.
Par défaut, celuici utilise jusqu’à 5 Go d’espace disque sur une semaine tournante de collecte.
La valeur de MaxSize est 5120 (Mo) par défaut, soit 5 Go. Charge à vous de la modifier afin qu’elle reflète vos
besoins.
Au travers de l’analyseur de performances, vous allez également pouvoir collecter vos propres compteurs que vous
pourrez archiver grâce aux rapports établis par les ensembles de collecteurs de données.
Pour cela, vous devez créer dans l’Analyseur de performances un nouvel ensemble de collecteurs de données en
déployant dans l’arborescence de gauche Ensembles de collecteurs de données puis en faisant un clic droit sur
Définis par l’utilisateur :
Vous constaterez dans la copie d’écran cidessus la présence des ensembles collecteurs de données du processus
de diagnostics Exchange, notamment ExchangeDiagnosticsDailyPerformanceLog.
Vous devez alors nommer votre ensemble de collecteurs et choisir le mode avancé pour définir précisément les
compteurs qui vous intéressent.
Vous pourrez collecter divers types d’éléments, comme des compteurs de performance, des événements ou des
informations de configuration.
Lorsque le collecteur est créé, vous pourrez ensuite définir ses composantes en faisant un clic droit sur le
Vous pourrez alors ajouter par exemple les compteurs de performances requis si vous avez choisi un collecteur de
ce type et définir l’intervalle d’échantillonnage ainsi que le nombre d’échantillons à prendre :
Lorsque votre collecteur est créé, vous devrez l’exécuter afin de collecter les données.
Vous pouvez démarrer la collecte en sélectionnant votre collecteur dans le menu de droite et en cliquant sur le
bouton de démarrage (vert). Lorsque le nombre d’échantillons est atteint, le processus s’arrête (vous pouvez
également l’arrêter manuellement en cliquant sur le bouton stop).
Vous pouvez également planifier l’exécution de la collecte périodique via une tâche planifiée.
Pour afficher les rapports de collectes, il faudra développer la section Rapports puis Définis par l’utilisateur. Vous
Il existe bon nombre de tâches de maintenance sur Exchange 2016, telles la vérification des journaux, des
composants de transports, les mises à jour... L’une des plus critiques concerne l’un des composants principaux et
essentiels de votre plateforme : les bases de données qui stockent l’ensemble des informations exploitées par les
métiers. Si Exchange 2016 exécute une série de processus relatifs au bon fonctionnement des bases de données,
et ce en 24x7, il peut parfois s’avérer utile de procéder manuellement à la maintenance des bases.
La défragmentation des bases de données s’effectue sous Exchange 2016 de deux manières : en ligne et hors
ligne.
Lorsqu’il s’agit de la défragmentation en ligne, cette opération est effectuée automatiquement par Exchange au
travers des opérations de maintenance en ligne.
La défragmentation hors ligne est effectuée manuellement et requiert le démontage de la base de données en
question.
Défragmentation en ligne
Dans une perspective où les besoins en matière de disponibilité ont considérablement évolué (24x7), le
démontage d’une base va provoquer une indisponibilité temporaire des services pour les utilisateurs visés.
Les entreprises ayant de plus en plus recours à des accords sur les niveaux de services (SLA Service Level
Agreement) visàvis de leurs utilisateurs ou de leurs clients, il est nécessaire de bien connaître les mécanismes de
maintenance intrinsèques ou manuels proposés par Exchange 2016. En effet, au sein d’un SLA relatif à la
messagerie, nous pourrons trouver des engagements de disponibilité, de sécurité, de traitement des incidents,
mais également des durées et des fréquences prévisionnelles des opérations de maintenance nécessitant un arrêt
de la plateforme.
Ces éléments devraient être revus régulièrement afin que les cibles définies dans les SLA soient toujours alignées
sur les besoins clients et respectées.
C’est principalement pour ces raisons qu’Exchange intègre dans ses opérations de maintenance en ligne les
opérations de défragmentation.
La fragmentation des bases de données Exchange ne doit pas être confondue avec la fragmentation du disque
dur, même si le principe est relativement similaire. En effet, la fragmentation des bases de données Exchange
intervient au sein du fichier de base de données, les données des boîtes aux lettres effacées ou ajoutées
occupent alors des portions du fichier non contiguës.
Une défragmentation du disque n’affecterait que le fichier de base de données en lui même, non pas les données
Exchange contenues en son sein.
Si vous devez réduire la taille du fichier de bases de données, vous devrez avoir recours à la défragmentation hors
ligne expliquée cidessous
La maintenance, bien que non recommandée sous Exchange 2016 dans la mesure où elle est effectuée en ligne
automatiquement, est toujours proposée via l’utilitaire ESEUTIL.
La version de l’utilitaire ESEUTIL est la 15.01 sous Exchange 2016 contre la 15.0 sous Exchange 2013, signe que
Microsoft a bien fait évoluer cet outil en vue de son utilisation potentielle sous Exchange 2016
Avant tout, il faut se poser la question de la nécessité de défragmenter hors ligne une base de données.
Par le passé, les mécanismes de défragmentation hors ligne étaient beaucoup plus efficaces que ceux de la
défragmentation en ligne, car ils permettaient un accès direct aux fichiers de bases de données pour la
réorganisation de l’ensemble des données. Ceci était relativement intéressant compte tenu des capacités
matérielles (processeurs, performance des disques). Ces problématiques ont été minimisées avec l’évolution des
architectures et des capacités de défragmentation en ligne.
Vous pourriez tout de même être amené à défragmenter hors ligne une base de données dans plusieurs cas. En
voici deux exemples :
l Une saturation du CPU, vous conduisant à envisager une défragmentation hors ligne en vue d’alléger la charge
pendant la production.
l Un espace disque faible, vous ayant conduit à supprimer des éléments au préalable puis à défragmenter hors ligne
Dans ces deux cas, il est évident qu’il s’agit de moyens provisoires pour pallier à une problématique précise. De ce
fait, la défragmentation hors ligne ne devrait pas être envisagée comme une opération de maintenance
récurrente, mais bien exceptionnelle.
l La création d’une nouvelle base de données dans laquelle les données de la base initiale sont copiées et
réorganisées. La taille de la base cible va dépendre de l’espace non utilisé au sein de la base source.
l La base source est supprimée et la base cible est renommée avec le nom de la base source.
Il est donc important avant d’envisager une défragmentation, de disposer d’assez d’espace disque. La
recommandation de Microsoft est de disposer d’un espace équivalent à 110 % de la taille de la base à
défragmenter.
Avant toute opération de défragmentation hors ligne, recommandation vous est faite de procéder à une sauvegarde
de la base de données.
Pour défragmenter votre base de données, vous devez d’abord la démonter. Pour cela, vous pouvez utiliser soit le
Centre d’administration Exchange, soit taper la commande suivante sous PowerShell :
Ensuite vous devrez exécuter la commande suivante en ligne de commande ou via l’EMS :
Cette opération peut prendre plusieurs heures en fonction de la taille de votre base de données.
Par défaut, la base temporaire est créée dans le même répertoire que la base de données à défragmenter. Vous
pouvez spécifier un chemin différent pour la base temporaire grâce au commutateur /T.
Nous avons vu dans le chapitre relatif aux bases de données que chacune des bases dispose d’un identifiant
unique (la signature de base de données), générée aléatoirement à leur création, permettant d’identifier celleci
au sein de l’organisation. Cet identifiant est identique dans le cas du DAG, pour toutes les copies d’une même
base de données, aussi bien la copie active que les différentes copies passives.
Cidessous, voici la signature d’une base de données sur deux serveurs détenant une copie, affichée via ESEUTIL
en utilisant le paramètre mh qui permet d’afficher les entêtes du fichier de base de données :
Nous venons également de voir que la défragmentation consiste à recopier des données dans une nouvelle base
de données qui est ensuite renommée. Conséquemment, toute création de base de données entraîne une
nouvelle signature aléatoire.
Si cette opération est transparente pour une base de données isolée, cela se révèle problématique dans le cas du
DAG. La défragmentation de la copie active d’une base de données va avoir pour effet de créer une nouvelle base
de données dont le GUID ne correspond plus à celui des copies passives correspondantes. Aussi, après avoir
démonté, défragmenté hors ligne puis remonté une base de données au sein d’un DAG, vous pourrez constater,
en vérifiant le statut de la réplication via la cmdlet suivante, que celleci a échoué :
Afin de remédier à ces problématiques, et pour pouvoir utiliser une copie de la base de données défragmentée en
tant que copie active et rétablir les copies passives correspondantes sur les autres serveurs membres du DAG, il
vous faudra simplement réamorcer la base de données sur les serveurs détenant une copie via la cmdlet
suivante :
Le commutateur DeleteExistingFile est obligatoire dans ce cas et permet de supprimer les fichiers
journaux associés aux bases de données.
En vérifiant le statut de la base de données après le réamorçage, nous constatons qu’elle est revenue à un état
sain :
1. Sauvegarde
Le contexte de la sauvegarde de données des services de travail collaboratif d’Exchange n’a cessé d’évoluer au fil
des années. L’élément principal qui nous conduit systématiquement à revoir nos stratégies de sauvegarde est
l’augmentation significative du volume de données à sauvegarder, ainsi que leur restauration, dans une optique de
disponibilité maximale.
Depuis Exchange 2010, et naturellement sous Exchange 2016, Microsoft invite les administrateurs à se poser la
question de la nécessité de mettre en place une sauvegarde sous Exchange 2016.
Ceci n’est en aucun cas une apologie de la stratégie "zéro sauvegarde", mais plutôt une réflexion lancée sur
l’identification des fonctionnalités requises pour vos systèmes de sauvegarde. De ce fait, même si les mécanismes
de sauvegarde proposés nativement par les systèmes d’exploitation Windows Server demeurent basiques, ils
peuvent se révéler être amplement suffisants dans bon nombre de scénarios.
a. Pourquoi sauvegarder ?
La mise en place d’une stratégie de sauvegarde permet essentiellement la récupération de données supprimées
par inadvertance ou suite à un sinistre. Les restaurations de ces données sont très souvent chronophages et
présentent des risques non négligeables, surtout lorsqu’il s’agit simplement de restaurer un message perdu dans
une boîte aux lettres.
Voyons quelques scénarios nécessitant une restauration ainsi que les fonctionnalités proposées par Exchange
pour y répondre sans recourir à une sauvegarde.
Cette problématique ne se pose plus dans la mesure où Exchange 2016 propose non seulement la création d’une
boîte aux lettres d’archivage, mais permet également de stocker cette dernière dans la base de données que l’on
souhaite, évitant ainsi de faire le sacrifice de la sécurité des données par rapport au coût du stockage mis en
œ uvre pour les boîtes aux lettres principales.
La rétention des messages supprimés, configurée au niveau des bases de données de boîtes aux lettres ou
directement sur une boîte aux lettres, permet aux utilisateurs de retrouver des messages qu’ils ont supprimés sur
une durée définie.
Sous Outlook 2016, la récupération s’effectue via le menu Dossier, en cliquant sur le bouton récupérer les
éléments supprimés.
Dans le cas où vous seriez amené à devoir conserver les messages d’une boîte aux lettres, soit par contrainte
légale liée à votre activité, soit pour empêcher une éventuelle suppression délibérée en cas de litige, vous pouvez
vous appuyer sur la fonctionnalité de blocage sur place.
Cette fonctionnalité est accessible depuis le Centre d’administration Exchange, dans le menu gestion de la
conformité :
En cliquant sur le bouton Ajouter (+), vous pourrez définir un nouveau blocage sur place.
Spécifiez ensuite les critères de recherche concernant les messages à conserver impérativement. La
recherche pourra être basée sur des motsclés dans les messages, une plage de dates, les émetteurs,
les destinataires ou des types de messages (courriers, notes, contacts…).
Enfin, définissez si les messages correspondant à la requête sont conservés indéfiniment ou bien
supprimés après une période donnée.
Il est à noter que, pour qu’un administrateur puisse établir les critères de recherche, c’estàdire la découverte
électronique, il doit être membre du groupe Active Directory Discovery Management, sans quoi l’accès au
paramétrage de la requête de recherche sera grisé.
Vous pourrez ensuite afficher un aperçu des messages concernés, les stocker au sein d’une boîte aux lettres de
découverte ou bien même les exporter vers un fichier PST.
Lorsque vous supprimez une boîte aux lettres en la désactivant ou en la déconnectant, vous pouvez la récupérer
en la rattachant à un compte d’utilisateur par exemple, via le Centre d’administration Exchange. Pour cela, dans
le menu destinataires, sélectionnez l’option … audessus de la liste des destinataires puis cliquez sur Connecter
une boîte aux lettres :
Grâce aux mécanismes de haute disponibilité fournis au travers du DAG, la perte d’une base de données, voire de
l’ensemble des bases de données suite par exemple à la panne d’un serveur dont les bases de données
De plus, Exchange 2016 inclut de nouveaux mécanismes de vérification et de réparation automatiques en ligne des
copies actives de bases de données, grâce aux copies passives sur lesquelles sont testées des sommes de
contrôle (checksum).
Exchange 2016 intègre le mécanisme de Shadow Redundancy pour les services de transport qui consiste à
effectuer une copie de chaque message reçu et retransmis. Si le message est correctement transféré, alors il est
acquitté et la copie supprimée. Dans le cas contraire, Exchange en déduira qu’il s’est perdu pendant son transit et
renverra la copie conservée du message.
b. Stratégie de sauvegarde
Au travers des solutions que nous venons de voir, vous pouvez identifier d’ores et déjà les aspects critiques de
votre stratégie de sauvegarde. Néanmoins, il faudra garder à l’esprit que les mécanismes de rétention, que ce soit
la récupération des éléments supprimés, le blocage sur place ou encore la récupération de boîte aux lettres vont
occuper un espace significatif sur votre système de stockage de production. Par ailleurs, des obligations légales
liées à votre activité peuvent également vous contraindre à effectuer des sauvegardes. Pour cela, vous pouvez
toujours, en complément, vous appuyer sur les mécanismes conventionnels de sauvegarde proposés par Windows
Server.
Votre stratégie de sauvegarde, et par conséquent, la solution que vous allez retenir, va dépendre grandement de
votre besoin de restauration. En effet, vous devrez implémenter un système de sauvegarde qui vous permettra de
restaurer les éléments désirés, dans les conditions que vous souhaitez.
Quel que soit le système retenu, il est essentiel qu’il soit compatible avec Exchange 2016 afin d’en supporter les
API de sauvegarde proposées par celuici. Il doit donc être en mesure d’effectuer des sauvegardes à chaud en
s’appuyant sur le VSS (Volume Shadow Copy Service).
Les utilisateurs d’une solution de sauvegarde Exchange 2013 devront faire attention à la compatibilité de leur
solution avec Exchange 2016. En effet, même si les deux produits sont très proches, certaines modifications,
comme l’abandon des fonctionnalités MAPI/CDO pourraient empêcher le bon fonctionnement de votre logiciel sous
Exchange 2016. Généralement, les éditeurs proposent les mises à jours nécessaires. Prenez donc soin d’en vérifier la
version.
c. Types de sauvegarde
Il est important de déterminer la nature de la sauvegarde que vous souhaiterez effectuer, ceci conditionnera
également le choix du logiciel au travers des fonctionnalités qu’il supporte.
Vous devrez donc identifier si vous devez sauvegarder la totalité de vos bases régulièrement, ou bien uniquement
les données qui ont changé entre deux sauvegardes complètes.
l Sauvegarde complète : ce type de sauvegarde, effectuée à chaud, va stocker le fichier de base de données .edb
ainsi que les journaux de transaction correspondants. À l’issue de la sauvegarde complète, les journaux de
transaction sauvegardés sont supprimés. Pour restaurer une sauvegarde complète, vous n’aurez besoin que des
fichiers de sauvegarde de cette dernière. Toutefois, le volume important que peut représenter ce type de
sauvegarde vous conduira généralement à la combiner aux autres types de sauvegardes.
l Sauvegarde copie : tout comme la sauvegarde complète, elle permet de sauvegarder la totalité des données,
fichier .edb et journaux de transaction, mais contrairement à celleci, elle ne supprime pas les fichiers journaux de
transaction.
l Sauvegarde au niveau briques : les sauvegardes de ce type copient tous les messages de boîtes aux lettres,
permettant une restauration sélective des messages. Le processus de sauvegarde est plus long, mais la restauration
beaucoup plus rapide. Ce type de sauvegarde requiert l’utilisation d’un outil tiers (fonction non disponible nativement
sous Windows Server).
Le recours à la journalisation circulaire va avoir pour effet de neutraliser une grande partie de l’utilité des
sauvegardes incrémentales et différentielles.
En effet, lorsque cette fonctionnalité est activée, les fichiers journaux de transaction sont recyclés. Par exemple,
une sauvegarde incrémentale ou différentielle effectuée quotidiennement combinée à une sauvegarde complète
hebdomadaire ne vous permettra pas de rejouer les journaux de transaction afin de récupérer un point précis de
la journée, notamment les instants qui suivent la sauvegarde (ceci dépend bien entendu du volume de données
ayant transité dans la base). Aussi estil nécessaire de vous assurer du besoin de la journalisation circulaire avant
d’entreprendre sa mise en place.
Les fonctionnalités de sauvegarde de Windows Server proposent les mécanismes de base permettant de
sauvegarder Exchange 2016. Lors de l’installation de ce dernier, les composants nécessaires pour en effectuer la
sauvegarde via Windows sont déployés.
Avant d’envisager une sauvegarde d’Exchange 2016 via les fonctionnalités de sauvegarde natives de Windows
Server, vous devez installer ces dernières.
Afin de planifier une sauvegarde via l’outil de sauvegarde Windows Server, vous devez, dans son interface, faire
un clic droit sur Sauvegarde locale et choisir Planifier une Sauvegarde.
Il convient de noter qu’un volume distinct sera recommandé afin de pouvoir profiter pleinement des fonctionnalités
liées au VSS. La sauvegarde sur un emplacement réseau ne vous permettra pas d’effectuer une stratégie de
sauvegarde basée sur les clichés instantanés.
1. Infrastructure requise
Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :
l EXCH : Serveur sous Windows Server 2012 R2 avec une interface graphique (pas d’édition Core) installé avec les
options par défaut. Ce serveur, nommé EXCHSRV1, doit être configuré avec l’adresse IP 172.16.1.21 et le DNS
principal 172.16.1.1. Enfin, il doit être membre du domaine editionseni.lan. (Si vous avez besoin de l’installer ou de
le réinstaller, référezvous aux ateliers pratiques du chapitre Prérequis et installation d’Exchange 2016).
La machine sur laquelle les manipulations devront être réalisées sera indiquée dans le titre entre crochets "[ ]".
2. Gestion de l’archivage
Dans l’arborescence de gauche, cliquez sur serveurs puis sur l’onglet bases de données.
Dans le menu du haut de la liste, cliquez sur le bouton + pour ajouter une base de données.
Dans la fenêtre Base de données, tapez Archives dans le champ Base de données de boîtes aux
lettres.
Dans la même fenêtre, cliquez sur le bouton Parcourir…, sélectionnez le serveur EXCHSRV1 puis
cliquez sur OK.
Acquittez l’avertissement vous indiquant qu’il faut redémarrer le service Banque d’informations
d’Exchange en cliquant sur OK.
Lancez l’environnement Windows PowerShell à partir de la barre des tâches, puis exécutez la
commande suivante :
Dans l’onglet boîtes aux lettres, cliquez sur le bouton + (ajout de boîte aux lettres) et sélectionnez Boîte
aux lettres utilisateur.
Dans la fenêtre nouvelle boîte aux lettres utilisateurs, renseignez les champs suivants :
Alias : commercial1
Nom : Commercial1
Répétez la même opération pour l’utilisateur Commercial2 avec les paramètres suivants :
Alias : commercial2
Nom : Commercial2
Lancez Internet Explorer et connectezvous à Outlook sur le Web via l’URL suivante : https://exch
srv1/owa.
Lancez la console Utilisateurs et ordinateurs Active Directory depuis les outils du gestionnaire de
serveur ou depuis les outils d’administration.
1. Questions
2 Doisje impérativement me doter d’une solution tierce pour effectuer le suivi des performances d’Exchange ?
3 La défragmentation des bases de données doitelle impérativement être effectuée manuellement et hors
ligne ?
4 Quel outil en ligne de commande permet de vérifier les fichiers de bases de données ?
5 Quelle cmdlet permet de vérifier la cohérence d’une base de données et procéder à sa réparation ?
6 Citez quelques outils disponibles nativement sous Windows Server vous permettant de poser un diagnostic.
8 Quelle cmdlet devraiton exécuter pour obtenir la liste des cmdlets de test disponibles sous
l’Exchange Management Shell (EMS) ?
9 Quel outil permet de réaliser une sauvegarde d’Exchange sous Windows Server ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
Une baseline est un point de référence constitué de différentes métriques à des fins de comparaison ultérieure. Les
baselines permettent d’obtenir un historique du fonctionnement de la plateforme de messagerie et son évolution
dans le temps. Elles peuvent également être utilisées à des fins d’analyse, pour confirmer ou infirmer le résultat
d’actions correctives menées sur la plateforme.
2 Doisje impérativement me doter d’une solution tierce pour effectuer le suivi des performances d’Exchange ?
Même si cela est fortement recommandé, il est possible de s’appuyer sur l’analyseur de performances disponible
sous Windows Server. Lors de l’installation d’Exchange, les compteurs relatifs à celuici sont ajoutés au système
d’exploitation et utilisables dans l’analyseur de performances.
3 La défragmentation des bases de données doitelle impérativement être effectuée manuellement et hors
ligne ?
Non, la défragmentation est effectuée en ligne et automatiquement par Exchange 2016 lors des opérations de
maintenance en ligne. La défragmentation hors ligne doit relever de l’exception, et être utilisée comme un moyen
provisoire de pallier une difficulté comme, par exemple, en cas d’insuffisance d’espace disque.
4 Quel outil en ligne de commande permet de vérifier les fichiers de bases de données ?
Il s’agit d’ESEUTIL, utilisé avec le commutateur /mh afin d’identifier l’état de la base de données.
1. Prérequis
2. Objectifs
Les dossiers publics existent depuis de très nombreuses versions d’Exchange. Introduits sous Exchange 4.0 en
1996, leur concept et leur technologie relativement anciens ont su séduire les utilisateurs finaux de par leur
simplicité d’utilisation. Leur suppression a été encouragée par Microsoft dès la sortie d’Exchange 2007, l’éditeur
arguant que cette technologie obsolète n’était plus digne de figurer dans des plateformes collaboratives comme
Exchange. L’intégration d’Exchange avec SharePoint et l’arrivée des boîtes aux lettres partagées devaient sonner le
glas des dossiers publics en proposant de réelles alternatives aux dossiers publics, beaucoup plus souples et
puissantes en termes d’administration.
Partant de ce postulat, Microsoft a confirmé, à la sortie d’Exchange 2010, sa volonté de supprimer les dossiers
publics de la plateforme Exchange. Il existe de nombreuses raisons valables à ce choix unilatéral de l’éditeur. Nous
pouvons citer par exemple les problématiques liées à la réplication des informations. Rappelonsnous qu’Exchange
2010 a introduit le DAG (Data Availability Group) qui a permis d’améliorer la fiabilité et la disponibilité des
infrastructures Exchange. Les dossiers publics, stockés dans des bases de données spécifiques et administrés sous
Exchange 2010 avec une console spécifique, ne pouvaient pas profiter de ce type de réplication. Microsoft a tout
simplement imaginé que les organisations basculeraient naturellement vers des boîtes aux lettres partagées ou
SharePoint leur permettant de supprimer aisément cette fonctionnalité dépréciée.
Or, audelà des aspects techniques, la simplicité d’emploi des dossiers publics était plébiscitée non seulement par
les utilisateurs, mais également par les administrateurs. D’une part, les boîtes aux lettres partagées ne
permettaient pas une exploitation aisée par les utilisateurs, mais d’autre part, les administrateurs Exchange
n’avaient pas forcément l’envie de mettre en place une plateforme SharePoint qui se substituerait aux dossiers
publics avec la certitude qu’elle serait boudée par les utilisateurs.
Les dossiers publics étaient une pierre angulaire du système d’information de certaines entreprises. En effet,
beaucoup d’entre elles utilisaient (et utilisent encore) les dossiers publics pour les échanges documentaires ou pour
stocker l’historique de certains emails. L’annonce de leur éventuelle disparition provoquait systématiquement un
fort mécontentement des clients finaux.
Fort de ce constat, Microsoft a fait machine arrière et a redéveloppé les dossiers publics sous Exchange 2013
devenus depuis les dossiers publics modernes (modern public folders).
Avec Exchange 2013, l’administration a été fortement simplifiée car les dossiers publics se présentent sous la forme
d’une boîte aux lettres spécifique. Cette boîte aux lettres bénéficie de tous les avantages des boîtes aux lettres
classiques, à savoir l’intégration aux groupes de disponibilité de base de données.
Sous Exchange 2016, les dossiers publics sont toujours présents, mais Microsoft continue d’informer sur le fait que
cette fonctionnalité est dépréciée et devrait être supprimée. Recommandation est faite aux utilisateurs de dossiers
publics de versions antérieures d’Exchange de migrer ces derniers vers SharePoint ou des boîtes aux lettres
partagées.
Microsoft enjoint tous ceux qui n’utilisent pas encore de dossiers publics à ne pas les mettre en place.
L’architecture des dossiers publics repose sur une structure hiérarchique (arborescence) :
Chaque nœ ud de la hiérarchie cidessus représente une boîte aux lettres de dossiers publics, qui ellemême stocke
des dossiers publics. Dans l’exemple cidessus, nous n’avons qu’un dossier public hébergé dans chaque boîte aux
lettres de dossiers publics mais nous pourrions très bien avoir plusieurs dossiers publics par boîte aux lettres de
dossiers publics comme dans l’exemple ciaprès (Charge à chaque entreprise de définir le modèle d’organisation qui
lui convient le mieux) :
Dans la vue cidessus, nous pouvons voir la boîte estampillée /ENI qui a été la première boîte aux lettres de
dossiers publics créée dans notre organisation. Cette boîte aux lettres est dite maître de la hiérarchie car elle
héberge la structure hiérarchique des dossiers publics et est la seule à disposer d’une copie de cette structure en
lecture/écriture.
Les autres boîtes aux lettres de dossiers publics disposent uniquement d’une copie en lecture seule de cette
hiérarchie. Autrement dit, si je crée un nouveau dossier public dans /ENI/Compta/Frais, cette création sera redirigée
vers la boîte /ENI. Le dossier sera créé dans la hiérarchie puis sera redistribué vers les autres boîtes aux lettres de
dossiers publics.
Si j’ajoute ensuite un message dans /ENI/Compta/Frais, celuici sera directement publié dans la boîte aux lettres
Certains d’entre vous préfèrent dissocier les boîtes aux lettres de dossiers publics des boîtes aux lettres utilisateurs
en créant des bases de données dédiées aux dossiers publics, alors que d’autres les stockeront dans les mêmes
bases de données. D’un point de vue purement technique, il n’y a aucune différence. En revanche, validez bien votre
besoin et confrontezle aux limites de l’architecture (si vous créez tous vos dossiers publics dans la même base de
données et que vous avez plusieurs sites, rappelezvous que tous les utilisateurs, quel que soit leur site,
communiqueront avec le serveur qui héberge cette base de données).
La création d’un dossier public requiert au préalable la création d’une boîte aux lettres de dossiers publics dans
laquelle celuici sera stocké.
La création des boîtes aux lettres de dossiers publics s’effectue via l’onglet boîtes aux lettres de dossier public du
menu dossiers publics du Centre d’administration Exchange.
Dans l’onglet boîtes aux lettres de dossier public, cliquez sur le symbole +.
l Nom : il s’agit du nom de la boîte aux lettres de dossiers publics tel qu’il sera affiché dans les listes de boîtes aux
lettres.
l Unité d’organisation : permet de définir l’unité d’organisation dans laquelle l’objet compte d’utilisateur associé
(désactivé) sera placé.
Vous constaterez lors de la création de la première boîte aux lettres de dossiers publics qu’Exchange vous indique
que cette boîte contiendra la copie accessible en écriture de la hiérarchie des dossiers publics.
Après la création d’une boîte aux lettres de dossiers publics, vous allez pouvoir lui spécifier certains paramètres :
Dans l’onglet boîtes aux lettres de dossier public, double cliquez sur une boîte aux lettres de dossier
public.
Dans la fenêtre Boîte aux lettres de dossier public, cliquez sur le menu latéral utilisation des boîtes aux
lettres, puis sur Plus d’options dans le corps de la fenêtre :
Vous pouvez alors décider de fixer des quotas spécifiques à cette boîte aux lettres, ou bien laisser s’appliquer les
paramètres spécifiques à la base de données.
Les paramètres de quotas ici présentés diffèrent sensiblement de ceux d’une boîte aux lettres d’utilisateur :
l Émettre un avertissement à : permet de définir le seuil en Go audelà duquel un message d’avertissement sera
émis. Cet avertissement est visible dans l’observateur d’évènements.
l Taille maximale de l’élément : il s’agit de la taille maximale pour un message publié dans un dossier public.
Création d’un dossier public dans une boîte aux lettres de dossier public
La création des dossiers publics s’effectue via l’onglet dossiers publics du menu dossiers publics du Centre
d’administration Exchange.
Saisissez les paramètres relatifs au nouveau dossier public (nom et chemin d’accès) :
Pour créer un sousdossier public, vous devez, au préalable cliquer sur un dossier public existant (son lien souligné)
et ensuite cliquer sur le symbole +.
Après avoir créé un dossier public, vous allez pouvoir lui spécifier certains paramètres :
Dans l’onglet dossiers publics, double cliquez sur une boîte aux lettres de dossier public.
l Définir via la case à cocher en bas de page si vous souhaitez que le dossier public conserve les indicateurs lu et non lu
pour chaque utilisateur ayant accès à ce dossier.
l Quotas de stockage : permet de définir des quotas spécifiques (en Mo) au dossier public. Naturellement, ces quotas
ne peuvent pas être supérieurs à ceux définis dans la boîte aux lettres dans laquelle réside ce dossier public.
l Rétention des éléments supprimés : permet de définir la durée de rétention des éléments supprimés dans ce
dossier public en jours.
l Limites d’âge : permet de spécifier l’âge maximum des messages publiés dans ce dossier public. Tout message
ayant dépassé la limite d’âge spécifiée est supprimé du dossier public.
Notez bien que les quotas des dossiers publics sont donnés en Mo contrairement à ceux des boîtes aux lettres de
dossiers publics qui sont exprimés en Go.
Un dossier public est traditionnellement alimenté en y copiant des messages depuis un client Outlook, mais vous
pouvez également, si vous le souhaitez, lui configurer une adresse de messagerie spécifique afin qu’il puisse
recevoir et stocker des messages. Pour cela, il faut procéder de la façon suivante :
Dans l’onglet dossiers publics, sélectionnez un dossier public, vérifiez que l’option Paramètres de la
messagerie située dans le volet de droite mentionne bien Désactivé.
1. Infrastructure requise
Afin de réaliser cet atelier, il est nécessaire de disposer des composants d’infrastructure suivants :
l EXCH : Serveur sous Windows Server 2012 avec une interface graphique (pas d’édition Core), installé avec les options
par défaut. Ce serveur, nommé EXCHSRV1, doit être configuré avec l’adresse IP 172.16.1.21 et le DNS principal
172.16.1.1. Enfin, il doit être membre du domaine editionseni.lan. (Si vous avez besoin de l’installer ou de le
réinstaller, référezvous aux ateliers pratiques du chapitre Prérequis et installation d’Exchange 2016).
l CLI : il s’agit d’un poste client sous Windows 10 sur lequel est installé Outlook 2016 (version d’évaluation disponible sur
le site Technet de Microsoft). Ce poste, nommé WINCLI1 doit être configuré avec l’adresse IP 172.16.1.101 et le DNS
principal 172.16.1.1. Il doit être rattaché au domaine.
La machine sur laquelle les manipulations devront être réalisées sera indiquée dans le titre entre crochets "[ ]".
Si vous n’avez pas créé les deux comptes Loïc THOBOIS et Brahim NEDJIMI lors des ateliers précédents, procédez de
la façon suivante :
Dans l’onglet Boîtes aux lettres, cliquez sur le symbole d’ajout de boîte aux lettres (+) et sélectionnez
Boîte aux lettres utilisateur.
Dans la fenêtre nouvelle boîte aux lettres utilisateur, renseignez les champs suivants :
Alias : lthobois
Nom : LTHOBOIS
Répétez les étapes de créations cidessus pour l’utilisateur BNEDJIMI avec les paramètres suivants :
Nom : BNEDJIMI
[EXCH] Création d’une boîte aux lettres de dossiers publics via le Centre d’administration Exchange
Dans le menu dossiers publics du Centre d’administration Exchange, cliquez sur l’onglet boîtes aux
lettres de dossiers publics.
Dans l’onglet boîtes aux lettres de dossiers publics, cliquez sur le symbole d’ajout de boîte aux lettres
(+).
Dans le champ Nom, tapez Dossiers Publics Comptables puis cliquez sur Enregistrer.
[EXCH] Création d’une boîte aux lettres de dossiers publics via l’Exchange Management Shell
Tapez la commande suivante afin de créer la boîte aux lettres de dossiers publics nommée Dossiers
Publics Direction :
Dans le menu dossiers publics du Centre d’administration Exchange, cliquez sur l’onglet boîtes aux
lettres de dossiers publics.
Cliquez sur menu utilisation des boîtes aux lettres puis sur Plus d’options….
Dans le menu utilisation des boîtes aux lettres, cochez Personnaliser les paramètres de quota de cette
boîte aux lettres :
Dans le menu dossiers publics du Centre d’administration Exchange, cliquez sur l’onglet
dossiers publics.
Dans la fenêtre nouveau dossier public, saisissez Direction dans le champ Nom.
De retour dans l’onglet dossiers publics, cliquez sur le lien du dossier public Direction. Il est désormais
affiché dans le champ du dessus :
Dans la fenêtre Nouveau dossier public, saisissez Assemblées générales dans le champ Nom et
confirmez que le chemin d’accès indique bien \Direction :
Tapez ensuite la commande suivante afin de créer le sousdossier public Frais dans le dossier Compta :
Dans le menu dossiers publics du Centre d’administration Exchange, cliquez sur l’onglet dossiers
publics.
Dans l’onglet dossiers publics, double cliquez sur le dossier public Compta.
Décochez la case Utiliser les quotas par défaut de l’organisation et paramétrer les options suivantes :
Si vous avez convenablement paramétré les quotas de boîte aux lettres de dossier public comme mentionné plus haut
dans l’atelier, vous obtiendrez le message suivant :
[EXCH] Paramétrage d’une messagerie de dossier public via le Centre d’administration Exchange
Dans le menu dossiers publics du Centre d’administration Exchange, cliquez sur l’onglet
dossiers publics.
Dans l’onglet dossiers publics, cliquez sur le dossier Compta pour le mettre en surbrillance.
Dans le volet de droite, cliquez sur l’option Activer située sous l’étiquette Paramètres de la messagerie.
Cliquez sur Oui dans la fenêtre d’avertissement afin de confirmer l’activation de la messagerie :
1. Questions
1 Vous êtes l’administrateur d’une infrastructure Exchange 2016. Vous souhaitez créer un dossier public mais
vous n’y arrivez pas. Quelle est la première étape à réaliser pour permettre cette opération ?
3 J’essaie de définir un quota de dossier public mais Exchange refuse de l’appliquer et me renvoie un message
stipulant que le quota spécifié est hors limite. Quelle en est la raison la plus probable ?
4 Je déploie Exchange 2016 au sein d’une entreprise afin de remplacer une ancienne solution de messagerie
tierce. Devraisje déployer les dossiers publics ?
5 Estil possible de supprimer automatiquement les messages anciens dans les dossiers publics de manière
totalement automatisée ?
6 Lorsque je crée un dossier public au sein de mon arborescence, cette opération estelle effectuée
systématiquement dans la boîte aux lettres qui héberge mon dossier ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
Nombre de points /6
3. Réponse
1 Vous êtes l’administrateur d’une infrastructure Exchange 2016. Vous souhaitez créer un dossier public mais
vous n’y arrivez pas. Quelle est la première étape à réaliser pour permettre cette opération ?
Vous devez au préalable créer une boîte aux lettres de dossiers publics avant de pouvoir créer votre dossier public.
Par ailleurs, s’il s’agit de la première boîte aux lettres de dossiers publics créée sur votre plateforme, celleci
hébergera la copie en écriture de de la hiérarchie.
Les utilisateurs peuvent accéder aux dossiers publics via Outlook ou bien Outlook sur le Web. Cependant, le client
Outlook propose des options plus complètes quant à leur exploitation.
3 J’essaie de définir un quota de dossier public mais Exchange refuse de l’appliquer et me renvoie un message
stipulant que le quota spécifié est hors limite. Quelle en est la raison la plus probable ?
Il est fort probable qu’un quota ait été spécifié dans la boîte aux lettres qui héberge le dossier public. Si ce n’est pas
le cas, il faudra vérifier si un quota existe dans la base de données qui héberge la boîte aux lettres de dossiers
publics.
4 Je déploie Exchange 2016 au sein d’une entreprise afin de remplacer une ancienne solution de messagerie
tierce. Devraisje déployer les dossiers publics ?
Microsoft déconseille l’emploi des dossiers publics dans les organisations qui ne les utilisent pas déjà. Il s’agit d’une
fonctionnalité obsolète qui est maintenue afin de faciliter le travail des utilisateurs (et des administrateurs).
D’autres alternatives comme les boîtes aux lettres partagées ou les boîtes aux lettres de site devraient être
envisagées.
1. Prérequis
2. Objectifs
Détailler les composants nécessaires à la mise en place d’une fédération avec Exchange.
Microsoft propose une large gamme de solutions hébergées par l’intermédiaire de son offre cloud. Couvrant un
panel important de scénarios, on retrouvera les trois principaux types de services hébergés à savoir :
l IaaS : les services IaaS (Infrastructure as a Service) permettent de mettre à disposition des utilisateurs une
plateforme d’exécution des systèmes souvent basée sur une infrastructure de virtualisation. Ainsi, l’utilisateur aura
par exemple le choix entre plusieurs configurations de machine (CPU, RAM, stockage…), et pourra choisir son
système d’exploitation pour y installer ce qu’il souhaite dessus.
l PaaS : les services PaaS (Platform as a Service) permettent de mettre à disposition des middlewares à valeur
ajoutée sans configuration. On pourra ainsi bénéficier d’un moteur de base de données du type SQL Server ou d’une
infrastructure de traitement Big Data sans avoir besoin de passer par les étapes de déploiement.
l SaaS : les services SaaS (Software as a Service) permettent d’offrir des applicatifs complets à disposition comme
des ERP, des CRM ou des outils de messagerie. On retrouvera ici Windows Intune, les services Visual Studio ou bien
encore Office 365.
En plus des services hébergés par une société spécialisée, plusieurs facettes du cloud existent selon le mode
d’hébergement :
l Un cloud public est une infrastructure, la plateforme, ou le service de demande qu’un fournisseur de services de
cloud computing offre pour l’accès et l’utilisation par le public.
l Un cloud privé est un nuage privé et géré qui offre des avantages similaires à ceux d’un cloud public, mais il est
conçu et fixé pour l’utilisation par une seule organisation.
l Un cloud hybride est une technologie qui lie deux nuages distincts public et privé ensemble dans le but spécifique
d’obtenir des ressources à la fois mises à disposition par un service d’hébergement mais aussi localement pour en
protéger les accès.
Par l’intermédiaire de son offre SaaS, l’offre Office 365 permet d’héberger des services de messagerie dans ses
datacenters en reprenant les principaux mécanismes de configuration d’Exchange. Cette offre s’appuie sur la
solution Exchange Online et les services Office 365.
Le déploiement hybride d’une solution Exchange Server 2016 et Exchange Online offre une transparence
totale pour les utilisateurs et une mise en place simple pour les administrateurs.
Les services Exchange permettent d’héberger l’ensemble de l’infrastructure de messagerie en offrant des outils
d’administration très proches de ce que peut offrir Exchange Server 2016. Ainsi, une console web proche de la
console Centre d’administration Exchange et un environnement PowerShell seront disponibles. Il est à noter que
c’est la même équipe qui assure maintenant le développement d’Exchange et d’Office 365 afin d’offrir la meilleure
intégration possible et de faire bénéficier à chacun de l’expérience des deux mondes.
Il est ainsi possible de mettre en place une infrastructure mixte offrant une grande souplesse, car
l’administrateur va être libre de choisir quelles sont les boîtes aux lettres hébergées dans les datacenters de
Microsoft et quelles sont les boîtes aux lettres hébergées dans les serveurs sur site.
Cette architecture permet de répondre à une problématique complexe, à savoir respecter une
enveloppe budgétaire serrée en externalisant la plupart des boîtes aux lettres des collaborateurs, tout en
garantissant un contexte de sécurité adapté aux boîtes aux lettres sensibles (sauvegardes adaptées, stockage
sécurisé…).
L’Assistant Configuration hybride qui a été inclus avec Exchange 2013 est devenu une application bénéficiant d’un
cycle de mise à jour rapide. Si vous choisissez de configurer un déploiement hybride dans Exchange Server 2016,
vous serez invité à télécharger et à installer l’assistant sous la forme d’une application locale. L’assistant
fonctionnera de la même manière que dans les versions précédentes d’Exchange, avec quelques nouveaux
avantages :
l L’assistant peut être mis à jour rapidement pour bénéficier de nouveautés et de corrections.
l Des fonctions améliorées de dépannage et de diagnostic ont été incluses afin de résoudre les problèmes qui peuvent
survenir lors du processus de configuration.
l Une meilleure intégration avec les composants locaux permet de prendre en charge un nombre de scénarios plus
importants : déploiements hybrides Exchange Server 2013 ou Exchange Server 2016, déploiements hybrides à
forêts multiples avec Azure Active Directory Connect (AADConnect)….
Avant le déploiement effectif de la configuration hybride, un assistant web permet de passer en revue les points
importants, celuici peut être lancé à partir de l’adresse suivante : https://technet.microsoft.com/frfr/exdeploy2013/
Les services exposés sur Internet permettant l’interconnexion avec Office 365 s’appuient sur les composants MRS
S’ils ne sont pas configurés, il faudra donc les activer à l’aide de la commande suivante :
Get-WebServicesVirtualDirectory | fl server,mrs*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | Where {$_.MRSProxyEnabled
-ne $true} | Set-WebServicesVirtualDirectory -MRSProxyEnabled $true
Le déploiement de l’infrastructure hybride doit ensuite être lancé à partir de la console Centre d’administration
Exchange :
Dans la console Centre d’administration Exchange, dans le menu hybride, cliquez sur le bouton
configurer.
Dans l’écran de bienvenue Assistant Configuration hybride, cliquez sur le bouton suivant.
Azure AD Connect intègre l’annuaire Active Directory local à Azure Active Directory. Cela permet d’unifier les
systèmes de gestion d’identité utilisateurs des applications pour offrir une expérience utilisateur simplifiée. Ainsi
l’accès aux services Office 365, Azure et SaaS intégrées à Azure AD se fait de manière transparente.
Azure AD Connect prend en charge la mise à niveau à partir de Microsoft Azure Active Directory Sync (DirSync) ou
Azure AD Sync. Ces ancêtres d’Azure AD Connect sont désormais déconseillés et ne seront plus pris en charge à
partir du 13 avril 2017.
L’utilisation d’Azure AD Connect offre de nombreux avantages en améliorant la productivité de vos utilisateurs en
fournissant une identité commune pour accéder aux ressources cloud et locales. Voici quelques fonctions
intéressantes :
l Identité unique pour accéder aux applications locales et aux services cloud comme Office 365. L’utilisateur n’a pas à
retaper ses informations de compte (SSO Single Sign On).
l Le service de Synchronisation : permet de créer les utilisateurs, les groupes et autres objets. Il garantit
l’uniformité de la configuration entre votre infrastructure locale et celle dans le cloud.
l Le service Azure AD Connect Health : permet de mettre en place une supervision des services de fédération et
d’intégrer les résultats dans le portail Azure.
Le composant Azure AD Connect est téléchargeable dans le Centre de téléchargement Microsoft à l’adresse
suivante : https://www.microsoft.com/enus/download/details.aspx?id=47594
Les prérequis d’installation d’Azure AD Connect se rapprochent des prérequis d’Office 365 à savoir :
l les contrôleurs de domaine devront exécuter Windows Server 2008 minimum pour prendre en charge l’écriture
différée du mot de passe,
Il faudra ensuite préparer les paramètres de synchronisation des données locales sachant que
lorsqu’une fonctionnalité de synchronisation a été activée, vous ne pouvez plus la désactiver.
Un annuaire Azure AD autorise par défaut 50 000 objets qui est augmentée à 300 000 objets après validation du
domaine. Une demande au support permet d’étendre la limite selon les besoins. Pour plus de 500 000 objets, vous
avez besoin d’une licence Office 365, Azure AD de base, Azure AD Premium ou Enterprise Mobility Suite.
l Paramètres personnalisés : prend en charge de nombreuses topologies locales comme les environnements ayant
plusieurs forêts.
l Mise à niveau à partir de DirSync : lorsque DirSync est déjà en cours d’exécution.
l Mise à niveau à partir d’Azure AD Sync ou d’Azure AD Connect : plusieurs méthodes sont possibles en fonction de vos
préférences.
l Le filtrage : permet de limiter le nombre d’objets synchronisés sur Azure AD. Par défaut, tous les utilisateurs, contacts,
groupes et ordinateurs Windows 10 sont synchronisés. Vous pouvez modifier le filtrage en fonction des domaines, des
unités d’organisation ou des attributs.
Exchange Server 2016 peut cohabiter dans les infrastructures Exchange Server 2010 et 2013. Pour chaque version,
des considérations spécifiques sont à prendre en compte. On notera toutefois que l’intégration est de plus en plus
simple au fil des versions d’Exchange et que l’on distingue principalement trois scénarios :
Il est important de se rappeler que depuis Exchange Server 2013, les communications interdomaines sont
simplifiées et utilisent des protocoles standards qui ne sont pas liés à la version des composants. Les montées de
versions sont ainsi plus simples que ce soit pour les services pack ou pour les versions majeures. Dans le cas
d’Exchange Server 2010, ce mécanisme n’était pas encore implémenté.
L’implémentation d’un nouveau serveur Exchange 2016 dans une infrastructure existante se déroule de manière
naturelle à partir du moment où le prérequis principal est respecté à savoir de ne pas posséder de serveurs
Exchange antérieurs à Exchange Server 2010.
Dans tous les scénarios d’intégration avec Exchange Server 2010, la coexistence nécessite une modification initiale
de l’infrastructure afin que les flux passent d’abord par le serveur boîtes aux lettres d’Exchange Server 2016 pour
ensuite être routé vers Exchange Server 2010 via son serveur d’accès Client. Cela induit une interruption de service
même minime et des risques de complications au moment du basculement. L’impact du déploiement d’Exchange
Server 2016 est donc non négligeable.
Dans le cas d’un scénario monosite, les flux de données vont arriver sur les services frontaux d’accès clients (proxy)
du serveur Exchange Server 2016. Une fois l’emplacement de la base de données contenant la boîte aux lettres
identifiée, le proxy va établir une communication avec les services CAS de l’infrastructure Exchange pour remettre le
Dans le cas d’un scénario multisite, les flux de données vont arriver sur les services frontaux d’accès clients (proxy)
du serveur Exchange Server 2016. Une fois l’emplacement de la base de données contenant la boîte aux lettres
identifiée, le proxy va établir une communication avec les services CAS de l’infrastructure Exchange pour remettre le
message même si celuici n’est pas sur le même site.
Dans le cas d’un scénario multisite où le site distant bénéficie d’un répartiteur de charges, les flux de données vont
arriver sur les services frontaux d’accès client (proxy) du serveur Exchange Server 2016. Une fois l’emplacement de
la base de données contenant la boîte aux lettres identifiée, le proxy va rediriger les communications du client vers
les services CAS de l’infrastructure Exchange du site distant par l’intermédiaire du répartiteur de charges.
La coexistence avec une infrastructure Exchange Server 2013 bénéficie d’un meilleur niveau d’intégration car le flux
va pouvoir continuer à transiter par le rôle serveur d’accès clients d’Exchange Server 2013 pour être routé si
nécessaire vers les composants de prise en charge des protocoles clients d’Exchange 2016. On aura ensuite tout le
loisir de migrer le serveur frontal vers Exchange Server 2016 dans un second temps.
Ainsi, la prise en charge des nouvelles fonctionnalités d’Exchange Server 2016 peut se faire sans interruption de
service et des risques très limités.
Dans le cas d’un scénario monosite où le serveur CAS 2013 est en frontal, les flux de données vont arriver sur les
services frontaux d’accès client (proxy) du serveur Exchange Server 2013. Une fois l’emplacement de la base de
données contenant la boîte aux lettres identifiée, le proxy va établir une communication directement avec les
services d’accès client de l’infrastructure Exchange Server 2016 pour remettre le message sans passer par les
composants proxy. Cela implique une efficacité accrue dans la remise des messages.
Dans le cas d’un scénario multisite où le serveur CAS 2013 est en frontal, les flux de données vont arriver sur les
services frontaux d’accès clients (proxy) du serveur Exchange Server 2013. Une fois l’emplacement de la base de
Le déploiement d’un serveur Exchange 2016 entraîne des impacts importants au niveau du domaine et de la forêt
Active Directory tel que décrit dans les premiers chapitres de ce livre.
Pour des raisons de lisibilité, nous commencerons par étudier les scénarios les plus simples, pour terminer par les
scénarios les plus complexes, ce qui revient à débuter par les versions les plus récentes d’Exchange Server jusqu’aux
versions les plus anciennes.
La migration d’Exchange Server 2013 vers Exchange Server 2016 bénéficie d’une intégration poussée et nécessite
que tous les serveurs Exchange Server 2013 disposent de la Cumulative Update 10 minimum.
La migration d’Exchange Server 2010 vers Exchange Server 2016 est facilitée et nécessite que tous les serveurs
Exchange Server 2010 disposent de l’Update Rollup 11 au minimum.
La migration d’Exchange Server 2007 vers Exchange Server 2016 n’est pas possible directement dans la mesure où
Exchange Server 2016 ne supporte pas la coexistence avec son prédécesseur. Il sera donc nécessaire de migrer tout
d’abord vers Exchange 2010 ou 2013, même si 2013 est recommandé. Aussi, il est intéressant de respecter le
processus suivant :
1. Intégrer un serveur Exchange Server 2013 dans l’infrastructure Exchange Server 2007.
2. Migrer les composants (boîtes aux lettres…) vers Exchange Server 2013.
4. Intégrer un serveur Exchange Server 2016 dans l’infrastructure Exchange Server 2013.
5. Migrer les composants (boîtes aux lettres…) vers Exchange Server 2016.
La migration d’Exchange Server 2003 vers Exchange Server 2016 impose un passage obligatoire par une
infrastructure Exchange 2010.
1. Intégrer un serveur Exchange Server 2010 dans l’infrastructure Exchange Server 2003.
2. Migrer les composants (boîtes aux lettres…) vers Exchange Server 2010.
4. Intégrer un serveur Exchange Server 2016 dans l’infrastructure Exchange Server 2010.
5. Migrer les composants (boîtes aux lettres…) vers Exchange Server 2016.
1. Questions
2 Estce que l’implémentation d’une solution hybride m’affranchit d’installer des serveurs dans mon
infrastructure locale ?
3 Je procède à l’installation d’Exchange Server 2016 dans Azure, vaisje bénéficier des avantages
tarifaires d’Office 365?
4 Comment puisje configurer l’intégration de mon infrastructure locale au service Office 365 ?
5 Quels sont les composants essentiels à la mise en place d’une infrastructure hybride ?
6 Quel outil permet de maintenir une configuration synchronisée entre Office 365 et Exchange ?
8 Mes utilisateurs me remontent qu’il est fastidieux de devoir mettre à jour son mot de passe à la fois sur leur
poste et sur Office 365, que puisje faire pour améliorer cela ?
9 Vous souhaitez ajouter un serveur Exchange Server 2016 dans votre infrastructure Exchange Server 2013,
quelle est la méthode ayant le moins d’impact ?
10 Pour une migration à partir d’Exchange Server 2003, quelle va être la procédure de migration ?
2. Résultats
Référezvous aux pages suivantes pour contrôler vos réponses. Pour chacune de vos bonnes réponses, comptez un
point.
3. Réponses
Exchange Online est le service de messagerie hébergée de Microsoft qui est inclus dans l’offre Office 365 en plus de
SharePoint Online, Lync Online...
2 Estce que l’implémentation d’une solution hybride m’affranchit d’installer des serveurs dans mon
infrastructure locale ?
Non, le principe d’une infrastructure hybride est de disposer encore de serveurs locaux afin de leur appliquer des
stratégies de sécurité locales.
3 Je procède à l’installation d’Exchange Server 2016 dans Azure, vaisje bénéficier des avantages tarifaires
d’Office 365?
Non, Azure offre de l’hébergement de machines virtuelles (IaaS) qui sont assujetties aux licences classiques telles
que l’on doit s’acquitter sur site. Seul l’abonnement aux services Office 365 (SaaS) offre les tarifs avantageux
correspondants.
4 Comment puisje configurer l’intégration de mon infrastructure locale au service Office 365 ?
Il faut utiliser l’assistant de configuration hybride Office 365 que l’on peut télécharger en suivant le lien disponible
dans la console Centre d’administration Exchange.