Académique Documents
Professionnel Documents
Culture Documents
dExchange 2010
(v5.60)
ARTICLES ASSOCIES
1.
2.
3.
4.
SOURCES
Configuration dExchange 2010 :
http://mtodorovic.developpez.com/tutoriels/windows/installation-configuration-exchange-2010/
http://www.servolutions.com/fr/support/config_exchange_2010.htm
INDEX
1.
2.
3.
4.
5.
6.
1.2
1.3
1.4
1.5
2.2
2.3
3.2
3.3
4.2
4.3
4.4
4.5
4.6
4.7
Prsentation ...................................................................................................................................... 18
5.2
Fonctionnement ................................................................................................................................ 18
5.3
Configuration ..................................................................................................................................... 19
5.4
Vrifications ....................................................................................................................................... 19
5.5
5.6
Configuration ..................................................................................................................................... 22
2
6.2
Authentification................................................................................................................................. 23
6.3
7.
7.2
Vrifications ....................................................................................................................................... 28
7.3
8.
8.2
8.3
9.
9.2
9.3
10.
10.1
10.2
10.3
10.4
10.5
10.6
10.7
10.8
11.
Optimisations ........................................................................................................................................ 49
11.1
11.2
11.3
11.4
11.5
12.
12.1
Scurit.................................................................................................................................................. 53
Activation du chiffrement SSL sur Anywhere .................................................................................... 53
Conclusion ......................................................................................................................................................... 53
Record type : A
Record type : A
Type
Data
(Public IP)
mail.domaine-registrar.com
A
CNAME
domaine-registrar.com
MX 10
domaine-registrar.com
domaine-registrar.com
domaine-registrar.com
Data : "xxxxxx"
Vous pouvez utiliser ce site pour complter votre enregistrement et ce site pour vrifier si votre
champ SPF a t correctement saisi. Par ailleurs, vous pouvez consulter ce site pour savoir si votre
serveur mail nest pas blacklist . Vous trouverez ci-dessous un schma rsumant le
fonctionnement de cet enregistrement. Sachez quil existe galement un autre modle de protection
nomm DKIM.
2. Configuration du pare-feu
En gnral, il convient de stocker la base de donnes sur des disques durs performants de type
SAS en RAID 5 et les fichiers de logs sur des disques de hautes capacits de type SATA en RAID 5. Il
convient galement de crer au moins deux bases de donnes : une base de donnes utilisateurs
VIP disposant dune capacit de stockage importante et une base de donnes utilisateurs
normaux disposant dune capacit infrieure.
Cliquez sur User Mailbox et indiquez lutilisateur concern en cliquant sur Add :
10
Remplissez ensuite lalias, sachant que ce dernier sera le mail dfinitif de votre utilisateur (il
peut tre diffrent du nom dutilisateur). Vous pouvez galement choisir dans quelle base de
donnes sera sauvegard cette bote mail
11
Cliquez sur licne RBAC. Votre navigateur souvrira et vous demandera de vous authentifier
afin daccder lECP (Exchange Control Panel)
Cliquez sur Nouveau et remplissez les informations demandes
Dans Rles, cliquez sur Ajouter et cherchez le groupe MailBox Import Export
12
Dans la partie Membres, ajoutez lutilisateur AD qui fera partie de ce groupe. Pour cela cliquez
sur Ajouter et indiquez lutilisateur concern
Cliquez sur Enregistrer
Crez un fichier Excel classique ayant pour intitul de colonne les noms suivants (attention,
certains champs servent uniquement la gnration dautres champs) :
o LastName
o FirstName
o Domaine
o Alias (dbut adresse mail)
o UPN (nom dutilisateur AD : prenom.nom@domaine-AD.com)
o DisplayName (Nom affich)
o UO (Unit dOrganisation o seront enregistrs les utilisateurs)
o Database
o PSW (mot de passe par dfaut, changement lors de la premire ouverture de session)
Remplissez ensuite ce fichier et enregistrez-le en tant que fichier CSV
13
Conclusion : une fois export en CSV, ouvrez votre fichier avec votre Notepad favori et faites
CTRL+H pour remplacer tous les ; par des , .
4.3.4 Script
Une fois votre fichier CSV prt, copiez-le sur votre serveur Exchange
Excutez ensuite la commande suivante depuis la console EMS :
Et voici le rsultat :
Il est bien videmment possible dajouter dautres paramtres. Pour cela je vous invite consulter la
syntaxe de la commande New-Mailbox ici
4.3.5 Erreurs
Si votre fichier CSV contient comme sparateur des ; au lieu des , , voici lerreur que
rencontrerez :
15
Lassistant se lance. Indiquez alors la base de donnes vers laquelle vous souhaitez la
dplacer :
Une fois lassistant termin, la bote apparaitra dans Recipient Configuration > Move
Request. Faites un clic droit sur celle-ci puis Clear pour effacer le journal
Le dplacement dune bote peut savrer tre une opration trs longue. Sous Exchange 2003 et
2007, la bote tait indisponible durant la totalit du dplacement. Depuis Exchange 2010,
lutilisateur peut continuer utiliser sa bote mail sans interruption. Notez galement que le
dplacement se fait via le protocole IMAP. Source
16
17
Fonctionnellement, un objet Active Directory de type SCP (Service Connection Points) est cr dans
lActive Directory. Cet objet contient et publie la liste de toutes les URL du service de dcouverte
automatique :
URL dOWA
URL du service de disponibilit
URL dabsence du bureau
URL du carnet dadresses en mode hors connexion
URL du service de messagerie unifie
URL du panneau de configuration Exchange (ECP)
5.2 Fonctionnement
Depuis lintranet, la dcouverte se fait via lenregistrement SCP (source) :
18
5.3 Configuration
Par dfaut, laccs pointe vers https://SRV-MAIL.domaine-AD.com/autodiscover/autodiscover.xml.
Cependant il est ncessaire de modifier cet enregistrement afin de rendre le service accessible aussi
bien depuis lintrieur que depuis lextrieur. Pour cela :
5.4 Vrifications
Pour obtenir lURL du service Autodiscover, excutez la commande suivante :
Get-ClientAccessServer | fl -p Name,*uri*
Tapez la commande suivante pour vrifier le bon fonctionnement dun utilisateur en particulier :
Test-OutlookWebServices -identity <user>
19
20
Si vous navez pas encore configur de certificat (point 10), il est normal que le message
suivant apparaisse :
21
6.1 Configuration
Indiquez alors les URL interne et externe dOWA (il convient dindiquer la mme URL du point 1.1
pour les 2 sites) :
22
6.2 Authentification
Il galement possible de modifier le type dauthentification. Loption user name only permet
quant elle de sabstenir du nom de domaine tant donn quil est indiqu en dur dans la
configuration :
Attention ! Aprs avoir modifi lun de ses paramtres, il sera ncessaire dexcuter la commande
iisreset /noforce sur votre serveur Exchange. Cela dit, et plusieurs reprises, je me suis retrouv avec
le webmail plant.
23
24
25
Indiquez ensuite le nom dhte externe (utilisez le mme nom quau point 1.1) et choisissez
le type dauthentification souhaite :
o Basic : les identifiants daccs sont demands chaque reprise et sont envoys en
clair. Si ce choix est retenu, il est recommand dactiver le chiffrement SSL sur le
rpertoire virtuel IIS (point 12.1)
o NTLM : cette option utilise le protocole NTLM pour authentifier les utilisateurs. De ce
fait il nest pas ncessaire de renseigner les identifiants pour se connecter Exchange.
Hlas, ce protocole est trs souvent bloqu par les pare-feu. Aussi, il est recommand
de mettre en place un serveur TMG ou Forefront. Une procdure est disponible ici
26
Loption Allow secure channel (SSL) offloading permet dacclrerez les tapes de
chiffrement/dchiffrement avec un acclrateur SSL (source).
Une fois lassistant termin, vous devrez attendre 15 minutes avant quOutlook Anywhere soit
totalement actif. Vous pouvez toutefois acclrer ce processus en redmarrant le service
Microsoft Exchange Active Directory Topology
27
7.1.2 En PowerShell
Pour activer et configurer OWA en PowerShell, excutez la commande suivante (Source) :
Enable-OutlookAnywhere -Server '<Serveur CAS>' -ExternalHostname <mail.domaineregistrar.com>' -DefaultAuthenticationMethod 'Basic' -SSLOffloading $false
Pour rcuprer la configuration actuelle dOWA (Source) :
Get-OutlookAnywhere -Server <serveur>
7.2 Vrifications
Pour vrifier la connectivit avec OWA depuis votre serveur CAS (Source) :
Test-OutlookConnectivity -Protocol:Http -GetDefaultsFromAutoDiscover:$true verbose
Vous pouvez galement utiliser loutil ExRCA prsent au point 13.2.2.
Double clic sur votre compte Exchange > Paramtres supplmentaires > Connexion et
cochez la case sous Outlook Anywhere
28
Les cases cocher Sur des rseaux donnent priorit lutilisation dune connexion RPC over
HTTPS au lieu dune connexion MAPI, mme en tant connect au rseau local.
29
30
Notez quil est possible de filtrer par OU les objets affects par cette stratgie en cliquant sur
Browse
31
Ensuite cliquez sur Browse et indiquez le domaine sur lequel vous souhaitez appliquer votre
stratgie (en loccurrence domaine-registrar.com ) :
32
33
34
35
Il est galement recommand de cocher la case Use the external DNS lookup. Plus de dtails au
point 11.5.
36
Au menu suivant, configurez les paramtres dauthentification fournis par votre fournisseur.
Dans le cas dune authentification TLS, pensez ouvrir le port 587 sur votre pare-feu comme
indiqu au point 2.2
*********************************
37
A ltape suivante, ajoutez le ou les serveur(s) HUB de transport permettant lenvoi demail :
Pour terminer, validez la cration du connecteur et vrifiez que votre connecteur denvoi a
bien t cr dans longlet Send connectors :
Les SMTP de Free routent tout dans la limite de 200 mails et connexions par jours
Votre Freebox bloque par dfaut lenvoi de mail partir du port 25 (option modifiable) afin
de limiter les sources de spam
Il est possible dutiliser lauthentification SMTP condition de disposer dun compte mail chez
Free. Vous devrez ensuite vous connecter laide de ce compte (pas votre numro de ligne)
pour activer loption Gestion du SMTP authentifi . Toutefois, cette authentification nest
pas ncessaire si votre FAI est Free.
38
Le connecteur Client autorise les communications sur le port 587 pour les clients non MAPI, tels
que POP et IMAP. Quant au second, il permet la communication partir de serveurs de transport sur
le port 25.
39
Indiquez le port utiliser (25 par dfaut). Attention, certains fournisseurs ont tendance
utiliser un autre port pour des raisons de scurit. Par ailleurs, il convient dindiquer lIP de
votre serveur Exchange dans local IP address
Une fois lassistant termin, ouvrez les proprits du connecteur et dans longlet Permission groups,
cochez la case Anonymous. Dcochez les autres pour terminer.
40
41
10.
Ceci est simplement d au fait que votre certificat na pas t dlivr par une autorit de certification
approuve. Pour parer ce problme, vous avez le choix entre acqurir un certificat (payant) ou crer
votre propre autorit de certification (gratuit). Et cest donc ce que nous allons faire par la suite
10.1
Allez dans Server configuration > SRV-MAIL > New exchange Certificate
42
43
o Autodisover.domaine-AD.com
**************************
Indiquez ensuite le nom de domaine utiliser par dfaut. Ce dernier servira galement identifier
votre certificat dans vos magasins :
Remplissez ensuite les informations demandes et cliquez sur Browse pour indiquer
lemplacement du fichier de requte :
10.2
Linstallation du rle ADCS (Active Directory Certification Services) nest pas dtaille ici. En revanche,
elle est explique au sein de mon tuto intitul VPN SSTP sous Server 2008 R2 (tuto de A Z)
disponible sur Scribd (rendez-vous directement au point II et optez pour une autorit de type
Enterprise).
10.3
Dans Certificate Template, clic droit sur modle Web Server > Duplicate Template >
Windows Server 2003 Enterprise > OK
Indiquez ensuite un nom et une priode de validit :
OK
Clic droit sur votre nouveau modle > Reenroll all certificate holders
Ensuite, droulez le menu portant le nom de votre CA puis faites un clic droit sur Certificate
Templates > New certificate template to issue et indiquez le modle crait auparavant (celui
qui a t dupliqu)
10.4
Gnration du certificat
Une fois votre modle prt, dirigez-vous sur le site ADCS afin deffectuer la demande de certificat
(http://SRV-ADCS/certsrv/en-us):
45
Allez dans Request a certificate > Advanced certificate request > Submit a certificate []
Dans la partie haute du formulaire, collez le contenu du fichier *.req gnr au point 10.1.
Dans le menu droulant, choisissez le modle de certificat cr auparavant
Cliquez sur Submit puis Download certificate. Indiquez alors lemplacement o sera stock
votre certificat
10.5
Importation du certificat
Maintenant que votre certificat est cr, il est ncessaire de limporter sous Exchange. Pour cela :
Allez dans Server configuration > SRV-MAIL
46
Vous remarquerez alors un certificat ayant pour statut This is a pending certificate signing
resquest. Faites un clic droit dessus > Complete pending request
Une fentre souvre. Indiquez alors lemplacement du certificat gnr au point prcdent
10.6
Votre certificat est dornavant reconnu par Exchange. Il faut maintenant indiquer par quels services
dExchange ce dernier sera utilis. Pour cela :
Clic droit sur votre certificat > Assign services to certificate
Une nouvelle fentre souvre, vous demandant les services affecter ce certificat. Cochez
IMAP et IIS (SMTP se rajoutera par dfaut) :
10.7
Il est maintenant ncessaire de distribuer et dinstaller ce certificat sur tous vos postes client. Pour
cela :
Ouvrez la console Group Policy Management
Crez une nouvelle GPO et appliquez l lensemble de votre domaine
Editez-l et dirigez-vous dans Computer Configuration > Windows Settings > Security
settings > Public key policies > Trusted root []
Clic droit > Import. Indiquez alors lemplacement de votre certificat Exchange > OK
47
10.8
Vrification et test
Si vous avez correctement configur et dploy votre certificat, vous ne devriez plus avoir de
message derreur :
48
11.
Optimisations
11.1
Dans un souci de performance, il convient de dplacer la base de donnes ainsi que les journaux de
transactions sur une partition ou un disque ddi. Pour cela :
11.2
Il est galement conseill de placer les files dattentes des messages sur une partition ou un disque
dur ddi. Source
49
Note : lorsque le service Microsoft Exchange Transport est arrt, le fichier tmp.edb disparait. Il est
recr automatiquement dans le nouveau rpertoire au lancement du service
50
11.3
Pour dplacer les logs (suivi des messages, connectivit, envoi et rception), allez dans :
Server Configuration > Hub Transport > clic droit sur votre serveur > Log settings
Indiquez les emplacements de votre choix :
11.4
Vous avez galement la possibilit dindiquer quels sont vos contrleurs de domaine ainsi que vos
catalogues globaux :
Server Configuration > Hub Transport > clic droit sur votre serveur > System settings
51
11.4.2 En PowerShell
Pour les modifier
Set-ExchangeServer -Identity <server_name> -StaticDomainControllers DC1.local,DC2.local
Set-ExchangeServer -Identity <server_name> -StaticGlobalCatalogs DC1.local,DC2.local
Pour les afficher :
Get-ExchangeServer Identity <server_name> -Status | FL
11.5
Comme prsent au point 9.2.2, la case Use external DNS lookup permet dindiquer que vous
souhaitez utiliser des DNS diffrents de ceux indiqus dans votre carte rseau pour effectuer la
rsolution de noms. En gnral, cette configuration est ncessaire quand votre fournisseur de mail
requiert que vous passiez obligatoirement par ses DNS (ce qui est le cas dOrange par exemple).
Source
Server Configuration > Hub Transport > clic droit sur votre serveur > System settings
11.5.2 En PowerShell
Set-TransportServer -ExternalDNSServers '80.10.242.2' -ExternalDNSAdapterEnabled $false -Identity
'server_name'
52
12.
Scurit
12.1
Pour des raisons de scurit, il est recommand dactiver lutilisation du SSL sur le rpertoire virtuel
dOutlook Anywhere. Pour cela, suivez ces instructions.
Conclusion
Exchange 2010 apporte donc de nombreuses nouveauts par rapport son prdcesseur Exchange
2007. Grce la gestion simplifie des RBAC, une connectivit amliore pour les priphriques
mobiles et une refonte totale du systme de clustering, son implmentation est devenue beaucoup
plus souple quauparavant. Par ailleurs, le langage PowerShell apporte une souplesse incroyable en
ce qui concerne ladministration quotidienne des serveurs de messagerie.
Quant aux solutions concurrentes, essentiellement Postfix et Lotus, elles restent toutefois
intressantes mme si laspect messagerie mobile nest pas aussi bien dvelopp et intgr quau
sein dExchange.