Vous êtes sur la page 1sur 531

Microsoft

Exchange Server 2016 pour


l’Administrateur, Concepts et Pratiques

Comprendre le fonctionnement d’Exchange Server 2016, afin d’être en mesure de le
configurer, le sécuriser, le dépanner, ainsi qu’à le maintenir en condition opérationnelle et
améliorer ses performances.


De Claude COUDERC
Formateur, Consultant certifié sur Microsoft Exchange Server
Copyright © 2016 Claude COUDERC
ISBN : 978-1-326-75417-4
Tous droits réservés. Aucune partie de ce document ne peut être reproduite, stockée ou
introduite dans un système, ou transmise sous quelque forme ou par quelque moyen
(électronique, mécanique, photocopie, enregistrement ou autre), ou pour n’importe quel
but, sans autorisation écrite expresse de l’auteur.
Toutes les marques citées sont la propriété de leurs détenteurs respectifs.
Les noms ou intitulés de personnes morales ou physiques, utilisés comme exemples,
sont purement fictifs. Ils n’ont aucun lien avec une véritable entreprise, organisation ou
personne, même si celles-ci peuvent exister au moment de l’écriture ou la parution du
livre.
Bien que toutes les précautions aient été prises lors de la rédaction de ce livre, ni
l’auteur, ni l’éditeur, ni leurs revendeurs respectifs ou distributeurs, ne seront tenus pour
responsables des erreurs, ou omissions, ou dommages causés ou prétendument causés
directement ou indirectement par les informations contenues dans ce livre.
Ce livre est édité à des fins purement éducatives. Les informations contenues dans ce
document sont fournies sans aucune garantie expresse, statutaire ou implicite.
Sommaire général
Chapitre 1 Introduction
Chapitre 2 Présentation et nouveautés
Chapitre 3 Installation d’Exchange
Chapitre 4 Tâches élémentaires d’administration
Chapitre 5 Services frontaux
Chapitre 6 Services de boîtes aux lettres
Chapitre 7 Services de transport
Chapitre 8 Principes de sécurité
Chapitre 9 Haute disponibilité
Chapitre 10 SharePoint et Skype Entreprise
Chapitre 11 Dépannage d’Exchange
Chapitre 12 Réparer les bases de données
Chapitre 13 Sauvegarder et superviser les boîtes aux lettres
Chapitre 14 Dépanner la messagerie
Chapitre 15 Réparer le carnet d’adresses
Chapitre 16 Dépanner le webmail
Chapitre 17 Gérer la sécurité
Chapitre 18 Récupérer en cas de désastre
Chapitre 19 Téléchargement des aides aux exercices
Chapitre 20 Index des figures
Contenu détaillé
Chapitre 1 Introduction
Qui doit lire ce livre ?
Ce livre ne vous conviendra pas…
Quelques conseils pratiques pour les exercices
Chapitre 2 Présentation et nouveautés
Les différentes éditions Exchange 2016, types de licence
Découverte des nouvelles fonctionnalités d’Exchange 2016
L’environnement Exchange Management Shell
Introduction à Windows PowerShell
Architecture et rôles Exchange
Positionnement des différents rôles de serveurs Exchange
Active Directory
TP 02A Installer Active Directory
Références et documents à lire
Chapitre 3 Installation d’Exchange
Organisation Exchange antérieure
Mise en place de la plate-forme physique
Prérequis logiciels
Prérequis matériel
Disques
Alimentation électrique
Dimensionnent calculé
Dimensionnent empirique
Virtualisation
Préparation de l’environnement d’accueil d’Exchange
Les méthodes d’installation GUI, PowerShell
TP 03A Préparer les VMs
TP 03B Installer les prérequis Exchange
TP 03C Préparer Active Directory
TP 03D Préparer le schéma
TP 03E Préparer le domaine
TP 03F Installer Exchange avec l’interface graphique (avertissement)
TP 03G Installer Exchange en ligne de commande
Références et documents à lire
Chapitre 4 Tâches élémentaires d’administration
Les différents outils d’administration disponibles
Le Centre d’Administration Exchange
L’environnement EMS (Exchange Management Shell)
Tâches administratives de vérification de l’installation
Fichier journal d’installation
Modifications Active Directory
Services Exchange
Opérations administratives de finalisation de l’installation
Administrateurs Exchange
Carnet d’adresses en mode hors connexion
Domaines acceptés
Stratégie d’adresse de messagerie
Configurer une adresse d’administrateur externe
Autres tâches administratives
Utilisateur AD avec une boîte aux lettres
Utilisateur de messagerie
Contact de messagerie
Liste d’adresses
Groupes de distribution et de sécurité
TP 04A Vérifier l’installation avec les outils d’administration
TP 04B Manipuler les outils d’administration
TP 04C Finaliser l’installation
TP 04D Activer la BAL Exchange d’utilisateurs
TP 04E Installer un poste client avec Outlook
TP 04F Créer les profils Outlook
TP 04G Créer des comptes de messageries sans BAL
TP 04H Créer une liste d’adresses supplémentaires
TP 04K Créer des groupes
TP 04M Cmdlets complémentaires
TP 04Q Modifier l’affichage du nom complet
Références et documents à lire
Chapitre 5 Services frontaux
Présentation
Configuration des domaines d’accès
Certificats SSL
Découverte automatique
Configuration de la découverte automatique
Configuration d’Outlook
L’interface Outlook sur le Web (OWA)
Configuration du webmail Outlook sur le web
MAPI sur HTTP
Configuration MAPI sur HTTP
Outlook Anywhere
Configuration Outlook Anywhere
Configuration des connecteurs
Configuration des accès mobiles
TP 05A Configurer les domaines d’accès
TP 05B Utiliser Outlook Web App
TP 05C Activer et tester POP3
TP 05D Mettre en œuvre une connectivité inter-domaine
TP 05E Créer un connecteur d’envoi Internet
Références et documents à lire
Chapitre 6 Services de boîtes aux lettres
La gestion du stockage et de l’archivage
Principe des bases de données Exchange
Introduction au DAG
Nommage des bases de données
Boîtes aux lettres
Propriétés des boîtes aux lettres
Boîte aux lettres d’archivage
Boîte aux lettres liée
Boîte aux lettres de salle
Boîte aux lettres d’équipement
Boîte aux lettres partagée
Boîte aux lettres de site
Dossiers publics
TP 06A Créer une base de données
TP 06B Cmdlets utiles liées aux bases de données
TP 06C Activer l’enregistrement circulaire
TP 06D Activer la boîte aux lettres d’archivage
Références et documents à lire
Chapitre 7 Services de transport
Introduction au transport des messages
Pipeline de transport
Service de transport frontal
Service de transport
Service de transport de boîtes aux lettres
Service de transport Edge
Safety Net
Configurer les règles de transport
Prévention des pertes de données
Journalisation
TP 07A Créer une règle de transport
TP 07B Créer un dédit de responsabilité
TP 07C Installer et paramétrer un serveur Edge
Références et documents à lire
Chapitre 8 Principes de sécurité
Sécurisation des messages
Gestion de l’anti-malwares
Configuration anti-spam
Exchange Online Protection
Sécuriser POP3 et IMAP4
Information Rights Management
Disponibilité gérée
Protection des données natives Exchange
TP 08B Créer une stratégie de rétention
TP 08C Configurer les fonctionnalités anti-programme malveillant
Références et documents à lire
Chapitre 9 Haute disponibilité
Introduction à la haute disponibilité sous Exchange
Mise en place du groupe de disponibilité de base de données
Clustering avec basculement Windows
Serveur témoin
Gestionnaire Active Manager
Ajout des serveurs
Performances
Copie initiale
Envoi des fichiers journaux
Réplication continue par blocs
Réamorçage automatique
Mise à jour corrective de pages
Mode de coordination de l’activation du centre de données
Mode maintenance
Accès client et équilibrage de charge
Résilience de site et géo-clusters
TP 09A Installer et paramétrer un DAG
Références et documents à lire
Chapitre 10 SharePoint et Skype Entreprise
Introduction à la messagerie unifiée
Interconnexion avec Skype Entreprise
Interconnexion avec SharePoint
Références et documents à lire
Chapitre 11 Dépannage d’Exchange
Gestion des services nécessaires à Exchange
Assurer la surveillance d’Exchange
Observateur d’événements
Cmdlets de surveillance
Rapports d’audit EAC
Afficheur des files d’attente
Office 365 Best Practices Analyzer
Suivi des performances
Gestion de la charge de travail
TP 11A Configurer l’audit
Références et documents à lire
Chapitre 12 Réparer les bases de données
Base de données de boîtes aux lettres
Base de données de récupération
Détecter les corruptions de bases de données
Les outils de réparation
TP 12A Résoudre des problèmes de bases de données
Chapitre 13 Sauvegarder et superviser les boîtes aux lettres
Principes de la sauvegarde
Cliché instantané de volume
Sauvegarde d’une base de données
Restauration
Mise en quarantaine
Journaux de transport
Monitoring et suivi des messages
TP 13A Sauvegarder les bases de données
TP 13B Restaurer sur l’emplacement d’origine
TP 13C Restaurer à un autre emplacement
TP 13D Restaurer une boîte aux lettres
Références et documents à lire
Chapitre 14 Dépanner la messagerie
Problèmes d’Outlook
Problèmes courants de la messagerie
Messages de l’extérieur qui n’arrivent pas
Problèmes de connexion à la messagerie
Tester la connectivité
Files d’attente
Cmdlets des files d’attentes
TP 14A Dépannage d’une non-remise
TP 14B Dépannage d’une lenteur de remise
Références et documents à lire
Chapitre 15 Réparer le carnet d’adresses
Liste et carnet d’adresses
TP 15A Construire un carnet d’adresses
Références et documents à lire
Chapitre 16 Dépanner le webmail
Les problèmes classiques côté navigateur
Vérifier l’accès Outlook sur le web
Les problèmes classiques côté serveur (IIS)
TP 16A Configurer Outlook sur le web
Chapitre 17 Gérer la sécurité
Problèmes liés aux configurations de sécurité Exchange
Groupe de rôles
Attribution de rôle d’utilisateur directe
TP 17A Attribuer un membre à un groupe de rôles
TP 17B Attribuer un rôle direct
Références et documents à lire
Chapitre 18 Récupérer en cas de désastre
Scenario catastrophe
Reprise en cas de désastre
TP 18A Mise en œuvre scenario catastrophe
Chapitre 19 Téléchargement des aides aux exercices
Chapitre 20 Index des figures
Chapitre 1 Introduction

L’objectif de ce livre est de mettre à plat les principaux composants de Microsoft


Exchange Server 2016, afin de guider l’administrateur pour qu’il puisse comprendre et
agir là où c’est nécessaire et résoudre le problème rencontré : performances, défaillances,
blocages, etc.
À l’origine, le contenu de ce document est destiné à des personnes en charge de
l’administration et le dépannage de serveurs Exchange Server 2016.
La construction du livre reflète sa double origine. La première partie, du premier
chapitre au chapitre 10 inclus, présente les composants d’Exchange Server 2016. Dans
cette partie, les tâches administratives sont traitées avec un fort accent mis sur
l’environnement de script PowerShell dédié à Exchange.
Que le lecteur non familier avec PowerShell se rassure, une introduction d’une
quinzaine de pages essaye de lui donner les principales clés de cet outil, devenu
incontournable avec l’apparition de Microsoft Exchange Server 2007.
La seconde partie, du chapitre 11 au dernier chapitre, est orientée vers le dépannage
d’Exchange 2016. Dans cette partie, vous trouverez des outils, des méthodes et des
informations additionnelles pour vous aider à résoudre les problèmes liés à la messagerie.
Il est conseillé de débuter, ou au moins de se référer, à la première partie avant d’entamer
cette seconde partie.
Par ailleurs, ce livre a été élaboré en respectant le principe suivant :
Les concepts sont présentés et expliqués en début de chapitre. Ensuite, chaque exercice
est composé d’un descriptif de l’objectif, des prérequis nécessaires éventuels et de la
solution. Celle-ci est détaillée et commentée, étape par étape, jusqu’à l’atteinte de
l’objectif. Afin de vous guider visuellement, de nombreuses copies d’écrans ont été
insérées. Un récapitulatif en fin d’exercice vous rappelle ce que venez d’apprendre.
Tous les exercices ont été testés et validés sur une nouvelle installation de Windows
Server 2012 R2. Toutefois, certaines particularités de votre environnement de travail
peuvent être un obstacle à leur réalisation.
En particulier, un service pack ou une mise à jour cumulative (CU, Cumulative
Update) apportent de nouvelles fonctionnalités ou modifient le comportement de
Windows ou Exchange.
Vérifiez aussi que l’étape de préparation des exercices a bien été menée jusqu’au bout.
Par ailleurs, n’hésitez pas à comparer votre avancement avec les copies d’écrans. Parfois,
le stagiaire ou le lecteur a pu “sauter” une ligne, voire un bloc de lignes.
Les administrateurs Exchange travaillent très fréquemment sur des versions anglaises.
Aussi, pour leur faciliter la transition entre les explications en français du livre, et les
manipulations qui sont faites avec un produit en anglais, le terme anglais correspondant
est généralement indiqué. Dans ce cas, il est entre parenthèse et en italique.
Qui doit lire ce livre ?
Ce livre est pour vous si vous voulez comprendre le fonctionnement d’Exchange
Server 2016, afin d’être en mesure de le configurer et le dépanner. Il vous apprendra aussi
à sécuriser Exchange Server 2016, ainsi qu’à le maintenir en condition opérationnelle et à
améliorer ses performances.
Afin d’aborder efficacement le contenu de ce livre, il est préférable que vous ayez les
connaissances de l’administration Windows Server. Cela suppose que vous ayez de bonnes
connaissances du fonctionnement d’un ordinateur, de l’administration d’un serveur
Windows et du réseau TCP/IP. Typiquement vous savez ce qu’est un processus ou un
service dans Windows, ce que signifie l’acronyme DAS (Direct Attached Storage, ou
disque en attachement direct), ainsi que celui d’ACL (Access Control List, ou liste de
contrôle d’accès), sans chercher la définition dans Wikipédia.
Par ailleurs, vous connaissez les notions d’adresses IP, de port réseau, de FQDN (Fully
Qualified Domain Name). Vous avez aussi des notions basiques sur Active Directory :
forêt, domaines, etc.
La pratique des exercices de ce document suppose que vous ayez accès à une version
d’Exchange Server 2016 et un poste client en Windows 7 ou ultérieur.
Dans un des premiers exercices, vous trouverez toutes les informations nécessaires
pour télécharger gratuitement une version d’évaluation de 180 jours d’Exchange Server
2016.
À ce propos, les exercices des Travaux Pratiques sont partie intégrante du livre. En
effet, ils peuvent contenir des explications supplémentaires à l’exposé des notions.
Si vous ne souhaitez pas les faire, prenez au moins le temps de les lire car vous
découvrirez des illustrations concrètes de certains fonctionnements d’Exchange qui ne
sont pas forcément simples à appréhender.
Enfin, pour des raisons évidentes, il est plus prudent que vous vous entraîniez dans un
environnement dans lequel vous pourrez faire toutes vos manipulations sans crainte,
comme par exemple un environnement de test ou de formation : n’expérimentez pas les
exercices de ce livre dans un environnement de production, sans les avoir
préalablement testés.
Ce livre ne vous conviendra pas…
Si vous cherchez un document exhaustif qui présente toutes les possibilités d’Exchange
Server 2016. À notre connaissance, vous ne trouverez jamais un livre, ni une formation,
qui puisse tout expliquer. Malgré ses 670 pages, ses 47 travaux pratiques détaillés et ses
270 copies d’écran, ce livre n’épuise pas le sujet. En revanche, il fournit une base solide
pour devenir autonome dans l’administration d’Exchange Server 2016.
Si vous travaillez sur une ancienne version d’Exchange comme Exchange Server 2010,
2007, etc. Même s’il existe quelques similitudes, notamment avec les versions 2010 et
2007, il y a des différences importantes dans l’architecture et les outils d’administration.
Si, pour l’instant, vous n’êtes pas sûr de bien comprendre le rôle d’un administrateur
Windows, ni d’identifier les tâches qu’il doit accomplir. Dans ce cas, il est possible que ce
livre soit prématuré.
Quelques conseils pratiques pour les exercices
Les travaux pratiques sont basés sur des manipulations. Ils sont aussi l’occasion de
découvrir des notions nouvelles ou d’avoir des explications plus précises sur Exchange.
Lisez l’objectif de chaque exercice afin de bien comprendre le sens des manipulations
dans les travaux pratiques. De même, faites la phase de préparation, quand elle existe,
sinon vous ne pourrez pas faire l’exercice.
Respectez scrupuleusement les consignes. En particulier, et uniquement pour des
raisons de cohérence, respectez bien les noms des destinataires, bases de données,
dossiers, etc. Il est évident que les exercices peuvent se faire avec des noms d’objet
différents, mais c’est déconseillé car cela alourdira l’effort d’apprentissage.
Par ailleurs, si rien n’est indiqué, ne modifiez pas les valeurs par défaut. Seules les
données indispensables à modifier sont indiquées.
Chapitre 2 Présentation et nouveautés

Microsoft Exchange Server 2016 permet aux utilisateurs d’avoir accès à leur
messagerie électronique, leurs contacts, leurs calendriers ou leur messagerie vocale à
partir de nombreux périphériques : PC, smartphone, tablette, etc. où qu’ils soient.
Son déploiement hybride permet de tirer profit d’installation sur site et en ligne. Vous
pouvez aussi personnaliser Exchange afin d’intégrer des solutions métiers, développés par
vous-même ou par des éditeurs tiers.
Cette solution vous aide à protéger vos données, y compris contre la perte
d’informations sensibles, et à respecter les contraintes de conformité réglementaires ou
internes.
Ses fonctionnalités contribuent à améliorer la productivité des utilisateurs.
Les différentes éditions Exchange 2016, types de licence
Versions Serveurs
Il existe deux versions d’Exchange Server. Ces deux versions sont strictement
identiques, hormis le nombre maximum de bases de données de boîtes aux lettres
supportées par les serveurs de boîtes aux lettres (Mailbox server).
L’édition Exchange Server 2016 Standard est limitée à 5 bases de données de boîtes
aux lettres par serveur de boîtes aux lettres.
L’édition Exchange Server 2016 Enterprise supporte jusqu’à 100 bases de données de
boîtes aux lettres par serveur de boîtes aux lettres.
Ces limites concernent des bases de données montées et hors bases de données de
récupération.
C’est la clé de produit qui établit l’édition prise en charge pour le serveur.
Il est possible “d’upgrader” d’une version d’évaluation à une édition Standard ou
Enterprise. Vous pouvez aussi passer de l’édition Standard à l’édition Enterprise grâce à
une clé de produit valide.

CAL
En plus de la licence serveur, il est nécessaire de disposer de CAL (Client Access
License) pour bénéficier des fonctionnalités d’Exchange Serveur.
La CAL standard propose les fonctionnalités de messagerie de base.
La CAL Enterprise offre des fonctionnalités supplémentaires par rapport à la CAL
standard, comme par exemple l’archivage, la gestion des droits relatifs à l’information, la
Découverte électronique et conservation inaltérables ou les balises personnelles. Ces
fonctionnalités qui nécessitent une CAL d’entreprise sont parfois appelées fonction
premium. Elles sont signalées dans le reste du livre.
Les fonctionnalités supplémentaires sont donc apportées par le type de CAL, et non par
la licence serveur.
Découverte des nouvelles fonctionnalités d’Exchange 2016
Sans être identique, l’architecture d’Exchange 2016 est très proche de celle
d’Exchange 2013. La différence importante porte essentiellement sur le passage de trois à
deux rôles : boîtes aux lettres, transport Edge.
Le rôle de boîtes aux lettres d’Exchange 2016 intègre évidemment les fonctionnalités
des rôles de l’architecture précédente.
Pour cette raison, vous trouverez un rappel des apports d’Exchange 2013/2016, puis
ensuite une présentation des améliorations liées spécifiquement à Exchange 2016.

Principales nouvelles fonctionnalités 2013 / 2016


Exchange Server 2016 dispose d’un mécanisme intégré d’auto-surveillance et de
réparation automatique. Par exemple, si une boîte aux lettres ne répond plus, ce
mécanisme permet de basculer automatiquement vers un autre Serveur de boîtes aux
lettres du groupe de disponibilité de base de données (DAG : Database Availability
Group).
La fonctionnalité de Prévention des pertes de données (DLP, Data Loss Prevention)
permet de contrôler si des informations sensibles sont transmises dans les messages
électroniques : numéro de carte bancaire, numéro de passeport, numéro de sécurité sociale,
etc. Cela fonctionne grâce à des modèles auxquels sont associés des probabilités de
correspondance.
Un Centre d’administration Exchange (EAC, Exchange Admin center) unifié permet de
gérer les tâches administratives de base. Par ailleurs, toutes les tâches administratives sont
gérables à travers Exchange Management Shell.
Microsoft propose que la protection contre les programmes malfaisants s’appuie sur sa
solution cloud : EOP (Exchange Online Protection).
Une interface consistante à travers les clients : Outlook 2016, Outlook pour mobile ou
Outlook pour le web qui est la nouvelle appellation d’OWA (Outlook Web App) dans
Exchange 2016.
Outlook pour le web dispose d’une interface compatible avec les écrans tactiles et le
rendu s’adapte à la taille du périphérique. Par ailleurs, il offre un mode déconnecté
lorsqu’il est utilisé avec un navigateur récent. Ce mode permet de consulter les 3 derniers
jours ou les 150 derniers emails (sauf les pièces jointes), ainsi que tous les contacts et le
calendrier (mois précédent et les 12 prochains mois).
Le protocole RPC/TCP n’est plus pris en charge pour l’accès direct. Tous les clients, y
compris Outlook, se connectent en RPC sur HTTP (appelé aussi Outlook Anywhere), ou en
MAPI sur HTTP. Le protocole MAPI sur HTTP devient la norme dans Exchange Server
2016.
Les dossiers publics classiques sont stockés dans des boîtes aux lettres spécifiques de
la base de données, ce qui leur permet de bénéficier des améliorations liées aux bases de
données.
Une boîte aux lettres de site est un site SharePoint qui est vu comme une boîte aux
lettres standard. Ils permettent de mettre en commun des documents. L’intégration avec
SharePoint est encore améliorée dans Exchange 2016, notamment pour le traitement des
pièces jointes des messages électronique.
En plus de l’Office Store, l’administrateur Exchange peut ajouter et activer des
applications spécifiques pour Outlook, comme par exemple, une application de
localisation géographique d’une adresse dans un email.

Principales améliorations de 2016


Exchange Server 2016 est opérationnel dans Office 365. Autrement dit, c’est la version
qui fonctionne au quotidien pour des millions d’utilisateurs d’Exchange Online dans le
cloud Microsoft. Au moment où ces lignes sont écrites, Microsoft compterait 80 millions
d’utilisateurs d’Exchange Online, soit au moins autant d’utilisateurs d’Exchange Server
2016.
Exchange Server 2016 est plus rapide et encore plus fiable qu’Exchange 2013. D’une
part, les disques de 8 To à 7200 tours /mn sont supportés. Par ailleurs, le nombre d’IOPS
est diminué de 22% par rapport à Exchange 2013.
Meilleure intégration d’Exchange Server 2016 avec les autres applications, notamment
SharePoint pour travailler avec les pièces jointes des messages électroniques. C’est une
très vielle demande ! En effet, jusqu’à maintenant il manquait la possibilité de déposer
directement les pièces jointes dans Sharepoint. Cette fonctionnalité est maintenant
proposée avec Exchange Server 2016.
Les boîtes aux lettres sont plus efficaces, en particulier avec la recherche rapide de
messages électroniques ou l’aperçu du contenu des URL ou des vidéos.
Amélioration des clients mobiles sur Windows 10, IOS et Android.
De nouveaux types de DLP (Data Loss Prevention ou Prévention de pertes de données)
apparaissent. Cela signifie que vous avez la possibilité de mieux contrôler, les fuites
éventuelles de données à travers les messages électroniques.
Recherche de contenu eDiscovery sur toutes les boîtes aux lettres, y compris les
dossiers publics. La recherche de contenu eDiscovery est un mécanisme qui permet de
garder le contenu des boîtes aux lettres. Il permet aussi de faire des recherches sur ces
messages, même quand l’utilisateur les a supprimé ou modifié.
Exchange Server 2016 coexiste avec une organisation existante basée sur Exchange
2010 ou Exchange 2013. En revanche, le scénario de coexistence Exchange 2016 avec
Exchange 2007 n’est pas supporté.
Meilleure détection des divergences entre bases de données. Dans un groupe de
disponibilité de base de données (DAG), les bases de données peuvent éventuellement
divergées. Cette divergence est mieux identifiée.
Diminution du trafic réseau lié à l’index. L’architecture de l’index a fortement évolué
entre Exchange Server 2013 et Exchange Server 2016. Dans Exchange 2016, chaque
serveur génère l’index des bases qu’il héberge plutôt que de transporter cet index entre les
serveurs d’un DAG, comme dans Exchange 2013.
L’environnement Exchange Management Shell
Important
Pour des raisons typographiques, une commande PowerShell peut être écrite sur
plusieurs lignes dans ce livre. Toutefois, elles sont toutes à taper sur une seule ligne
même si elles sont sur plusieurs lignes.
Le caractère backtick (`) indique et rappelle que la commande se poursuit sur la ligne
suivante. Si vous tapez la commande sur une seule ligne, vous n’avez pas à taper le
caractère backtick.
Par exemple, si vous voyez écrit la commande :
Get-Mailbox | `
FL DisplayName
Vous devez saisir la commande suivante :
Get-Mailbox | FL DisplayName
Par ailleurs, faites attention que le tiret (-) est toujours attaché à la commande suivante
car il n’y a jamais d’espace après un tiret dans PowerShell.

EMS
L’environnement EMS (Exchange Management Shell) fournit une interface en ligne de
commande qui permet d’automatiser les tâches administratives grâce à des applets de
commandes PowerShell.
Cet environnement permet de gérer tous les aspects d’Exchange : création de comptes
de messagerie, création des connecteurs d’envoi et de réception, paramétrage des bases de
données de boîtes aux lettres, etc.
Enfin, de nombreuses opérations d’administration d’Exchange ne peuvent être réalisées
qu’avec l’environnement Exchange Management Shell. L’inverse n’étant pas vraie car les
manipulations faites avec l’interface graphique du Centre d’administration Exchange sont
toutes traduites en applets de commandes. Dans la suite du livre, vous découvrirez
plusieurs techniques pour les récupérer automatiquement.
Si vous ne connaissez pas PowerShell, ou si vous ne vous sentez pas à l’aise avec ce
produit, vous pouvez prendre connaissance du chapitre suivant qui donne quelques astuces
pour devenir autonome.
Introduction à Windows PowerShell
Afin d’aider l’administrateur, ce chapitre est une introduction pratique et générique à
Windows PowerShell, qui n’est pas propre à Exchange. Si vous êtes déjà à l’aise avec les
notions d’objets, de pipelines, etc. vous pouvez passer directement au paragraphe suivant
car les particularités des applets de commandes PowerShell d’Exchange sont détaillées
plus loin.
Windows PowerShell fournit un environnement de ligne de commande basé sur le
modèle objet. Cette notion de modèle objet peut rendre un peu plus délicat la
compréhension des commandes. En effet, celles-ci renvoient généralement un objet et non
pas une chaine de caractères. Chaque objet étant constitué de propriétés et de méthodes.
Des exemples concrets sont vus au fur et à mesure.
Les commandes de Windows PowerShell sont appelées des cmdlets, qui est une
abréviation de command applets (soit applets de commande).
Les cmdlets sont toutes construites de la même façon. Elles débutent toujours par une
action, suivie d’un trait d’union puis d’un nom.
Par exemple, pour obtenir la liste de toutes les cmdlets disponibles, vous taperez la
cmdlet suivante :
Get-Command
Pour obtenir la liste des cmdlets d’Exchange :
Get-ExCommand

Invite de commandes
Les cmdlets Windows doivent être exécutées dans l’environnement Windows
PowerShell. Cet environnement est présent dans la barre des tâches sous forme d’une
icône, en forme de >, à côté du bouton du Gestionnaire de serveur.

Figure 2‑1 PowerShell dans la barre des tâches

Vous pouvez aussi le faire apparaître en appuyant sur la touche Windows du clavier
pour afficher l’écran Accueil.
Figure 2‑2 PowerShell sur l’écran d’Accueil

Si la tuile Windows PowerShell ne s’affiche pas, vous pouvez tapez directement dans
l’écran les premières lettres de PowerShell (po) et sélectionnez le programme Windows
PowerShell qui apparaît dans la recherche.
Lorsque Windows PowerShell est ouvert, il affiche une invite de commandes.

Figure 2‑3 Invite de commandes PowerShell

Cmdlets
Les actions les plus fréquentes des cmdlets sont :
Get pour obtenir une configuration ou des informations. Par exemple Get-
WindowsFeature pour obtenir la liste des fonctionnalités de Windows.
Add pour ajouter un objet dans un objet déjà existant. Par exemple Add-
WindowsFeature Web-Server pour ajouter le rôle Web-Server aux fonctionnalités
Windows.
Remove pour désinstaller ou enlever un objet d’un autre objet. Par exemple Remove-
WindowsFeature Web-Mgmt-Compat pour désinstaller la fonctionnalité de compatibilité
avec la gestion IIS 6.
New pour créer une nouvelle instance d’un objet. Par exemple New-Website pour créer
un nouveau site web.
Set pour modifier une configuration existante. Par exemple Set-WebBinding pour
modifier la liaison (binding) d’un site web.
Les noms qui suivent les actions dans les cmdlets, sont nombreux. Pour retrouver le
nom qui va bien d’une cmdlet, il existe une astuce pratique, présentée ci-dessous.

Get-Command et fonction de saisie semi-automatique


PowerShell dispose de la cmdlet Get-Command, qui permet de retrouver les autres
cmdlets de PowerShell.
Si vous devez trouver le nom qui sert à créer un site web, vous vous doutez bien qu’il
doit y avoir le mot site dans le nom. Pour retrouver le nom précis, exécutez la commande
suivante dans PowerShell :
Get-Command *site*
Cette commande affiche toutes les cmdlets qui ont la chaîne de caractères site dans leur
commande. Ce qui donne :

Figure 2‑4 Get-Command *site*

Faites attention que les cmdlets dépendent des rôles, services de rôles et fonctionnalités
installés sur votre serveur. Selon sa configuration, la commande présentée à l’instant peut
renvoyer une liste différente, voire aucun élément.
Vous pouvez aussi réduire la liste des cmdlets renvoyées par Get-Command en
rajoutant les paramètres -Noun (pour Nom) ou -Verb (pour Verbe).
Get-Command -Noun *site*
Il existe une autre astuce qui peut se révéler parfois intéressante et rapide, notamment
quand vous êtes certain du début de votre cmdlet, c’est la fonction de saisie semi-
automatique à l’aide de la touche de tabulation. Celle-ci réduit le nombre de frappes
requises pour entrer une cmdlet en affichant toutes les cmdlets qui correspondent à
l’expression.
Ce mécanisme affiche toutes les cmdlets qui débutent par la chaîne de caractère que
vous saisissez dans Windows PowerShell. Il s’enclenche à chaque fois qu’un tiret (-) est
présent dans la saisie en cours.
Il suffit d’appuyer sur la touche de tabulation pour compléter la cmdlet en cours de
saisie. Vous pouvez appuyer sur la touche de tabulation autant de fois que vous voulez car
elle affiche toutes les cmdlets qui débutent par votre chaîne de caractères de façon
cyclique.
Par exemple, si vous tapez :
New-Web<tab>
Vous verrez s’afficher :
New-WebApplication<tab>
New-WebAppPool<tab>
New-WebBinding<tab>
etc.
Elle fonctionne aussi avec les caractères génériques, tels que :
New-W*a*n<tab>
Après un redémarrage du serveur, il est possible qu’il soit nécessaire d’insister un peu
pour que la fonction de saisie semi-automatique à l’aide de la touche de tabulation
s’enclenche.

Get-Help
Une cmdlet peut avoir de nombreux paramètres. La cmdlet Get-Help permet de les
connaître rapidement.
Par exemple, supposez que vous cherchez les paramètres de la cmdlet pour créer un
site web : New-Website. Pour cela, vous pouvez exécuter la cmdlet suivante dans
PowerShell :
Get-Help New-Website
Si c’est la première fois que vous lancez la cmdlet Get-Help, vous obtiendrez un écran
qui vous propose de mettre à jour l’aide de PowerShell grâce à la cmdlet Update-Help. Si
vous souhaitez disposer d’une aide à jour, vous répondez O (pour Oui). Dans ce cas, la
cmdlet Update-Help se connecte à Internet et récupère toutes les mises à jour de l’aide
pour toutes les cmdlets PowerShell. Ce qui peut prendre un peu de temps : normalement,
moins de 3 minutes.
Si vous souhaitez consulter des exemples de la cmdlet Get-Website, vous tapez :
Get-Help Get-Website -ex
Le paramètre -ex signifie –examples, c.-à-d. exemples.
Pour obtenir une aide détaillée, vous taperez :
Get-Help Get-Website -det
Le paramètre -det signifie –detailled, c.-à-d. détaillé.
Si vous souhaitez que l’aide s’affiche dans une fenêtre Windows, vous tapez :
Get-Help Get-Website –S
Le paramètre -S signifie –ShowWindow, c.-à-d. Affiche la fenêtre. L’aide s’affiche dans
une fenêtre Windows. Ce qui donne :

Figure 2‑5 Affichage de l’aide dans une fenêtre

Alias
Afin de rendre les cmdlets plus conviviales et familières, Microsoft a créé des alias
pour certaines d’entre elles. Les alias agissent comme des synonymes.
Par exemple, la cmdlet Get-ChildItem permet d’afficher le contenu d’un dossier. Cette
cmdlet possède nativement 3 alias : gci (qui est une abréviation de Get-ChildItem), dir
(qui est familière aux utilisateurs Windows) et ls (qui est familière aux utilisateurs Linux).
Pour connaître la liste de tous les alias, utilisez la cmdlet Get-Alias.
Pour créer vos propres alias, utilisez la cmdlet New-Alias. Par exemple, pour créer un
alias de la cmdlet New-Website intitulé ws :
New-Alias ws New-Website

Get-Member
Plus haut, il était indiqué qu’une cmdlet renvoyait généralement un objet et non une
chaîne de caractères. Hors, un objet est caractérisé par des propriétés et des méthodes.
La cmdlet Get-Member affiche les propriétés et les méthodes des objets générés par
une cmdlet.
Si vous voulez connaître les propriétés et les méthodes des objets générés par la cmdlet
Get-Service, vous tapez :
Get-Service | Get-Member
Figure 2‑6 Membres de Get-Service

En obtenant la liste des membres, propriétés et méthodes, des objets, vous savez ce que
vous pouvez manipuler. En particulier, les propriétés des objets peuvent être récupérées et
modifiées grâce aux pipelines.

Pipelines
Certaines cmdlets peuvent renvoyer une suite d’objets et pas uniquement un objet
isolé. Par exemple, la cmdlet Get-Service S* renvoie la liste de tous les services dont le
nom débute par un s.

Figure 2‑7 Services affichés

Cette liste est affichée sous forme d’un tableau d’objets. Ce qui signifie que chaque
ligne est un objet dont vous pouvez manipuler les propriétés.

Sort-Object
Supposez que vous souhaitez trier cette suite d’objets sur le statut (status). Pour cela
vous pouvez utiliser la cmdlet Sort-Object qui trie les objets. Il faut donc transmettre cette
suite d’objets à la cmdlet Sort-Object.
Dans ce cas, vous utilisez l’opérateur de transmission qui est le caractère pipe (|). Ce
qui donne :
Get-Service s* | Sort-Object Status –Descending
Le tri est fait sur la propriété Status en ordre descendant (descending), de façon à
obtenir les services en cours d’exécution au début du tableau.

Figure 2‑8 Service triés sur statut

Format-Table
Il est possible d’enchaîner plusieurs pipelines. Si vous souhaitez afficher un tableau
dans lequel les services, dont le nom débute par s, soient triés et regroupés sur le statut de
fonctionnement, vous taperez sur une seule ligne la commande suivante.
Get-Service s* | `
Sort-Object Status -Descending | Format-Table `
-GroupBy Status

Figure 2‑9 Services regroupés par statut (vue partielle)

Vous pouvez aussi sélectionner les colonnes à afficher dans la cmdlet Format-Table
(alias FT ou ft). Par exemple, si vous souhaitez afficher uniquement les colonnes
DisplayName et Name dans cet ordre.
Get-Service s* | Sort-Object Status -Descending | Format-Table -GroupBy Status
DisplayName,Name
Figure 2‑10 Services regroupés par statut avec le DisplayName (partiel)

L’utilisation du paramètre -a permet d’ajuster automatiquement la taille des colonnes.


Get-Service s* | Sort-Object Status -Descending | FT -a -GroupBy Status
DisplayName,Name

Figure 2‑11 Ajustement automatique des colonnes (partiel)

Format-List
La cmdlet Format-Table affiche le résultat sous forme d’un tableau. C’est souvent
pratique mais cela limite aussi le détail des informations affichées à cause de la taille et du
nombre de colonnes. À l’instar du service Application d’assistance de la Console
d’administration spéciale dont le nom est tronqué, certains affichages peuvent être
tronqués.
Il est possible de régler la taille des colonnes mais il aussi possible d’utiliser la cmdlet
Format-List (alias FL ou fl) pour obtenir un résultat sous forme d’une liste détaillée.
Get-Service s* | Format-List

Figure 2‑12 Services détaillés

$_ et Where-Object
Si vous souhaitez n’afficher que les services qui sont arrêtés, vous devez mettre un
filtre pour sélectionner uniquement les services dont le statut est égal à “Stopped“.
La cmdlet Where-Object permet de filtrer les données renvoyées par une autre cmdlet.
La syntaxe de cette cmdlet est un peu particulière. Aussi, vous allez partir de la commande
suivante pour décortiquer le fonctionnement de la cmdlet Where-Object.
Get-Service s* | `
Where-Object {$_.status -eq “Stopped”} | `
Format-List
La clause de sélection est entre les deux accolades. Cette clause utilise la variable $_.
Celle-ci est une variable particulière qui représente l’objet en cours dans le pipeline. Enfin,
l’opérateur de comparaison est –eq (pour equal, soit égal).
Windows PowerShell utilise les principaux symboles suivants comme opérateurs de
comparaison :
-lt : Inférieur strictement à
-le : Inférieur ou égal à
-gt : Supérieur strictement à
-ge : Supérieur ou égal à
-eq : Égal à
-ne : Différent de
Dans ces conditions, la cmdlet Where-Object {$_.status -eq “Stopped”} sélectionne
bien les services qui sont arrêtés.
Par ailleurs, la clause de la cmdlet Where-Object peut contenir des expressions
complexes avec l’ajout des paramètres -and et -or.
Enfin, le test des variables de type booléen peut se faire avec les variables $True et
$False. Ces variables booléennes sont aussi utilisées comme paramètres dans certaines
cmdlets.

Scripts PowerShell
Les cmdlets peuvent être exécutées à l’intérieur d’un script PowerShell. Un script
PowerShell est un fichier avec une extension .ps1. Afin de prémunir l’ordinateur
d’éventuels programmes malveillants, une stratégie d’exécution Windows interdit par
défaut l’exécution des scripts PowerShell.
Il existe quatre stratégies d’exécution différentes : Restricted, AllSigned,
RemoteSigned, Unrestricted.
Si vous exécutez la commande suivante, vous obtiendrez la stratégie en cours
d’exécution sur votre ordinateur.
Get-ExecutionPolicy
RemoteSigned : Les scripts locaux peuvent être exécutés. En revanche, ceux
téléchargés d’Internet doivent être signés par un éditeur approuvé avant de pouvoir être
exécutés.
AllSigned : Seuls les scripts signés par un éditeur approuvé peuvent être exécutés, y
compris pour les scripts locaux et les scripts téléchargés d’Internet.
Restricted : Aucun script ne peut s’exécuter. Seul le mode interactif est autorisé.
Unrestricted : Tous les scripts Windows PowerShell peuvent être exécutés. Ceux
téléchargés d’Internet provoquent l’apparition d’un message d’avertissement. Il est
possible de désactiver ce message en débloquant le fichier avec la commande Unblock-
File.
La cmdlet Set-ExecutionPolicy permet de modifier la stratégie. Par exemple, si votre
serveur est dans un environnement protégé, vous pouvez taper la cmdlet suivante pour
permettre l’exécution de tous les scripts PowerShell. Un script non-signé téléchargé
d’Internet provoquera l’apparition d’un message demandant confirmation.
Set-ExecutionPolicy Unrestricted –force
Les scripts PowerShell permettent aussi d’inclure des variables, des boucles de
traitement, des conditions, des fonctions et la gestion des erreurs.
Au final, toutes ces possibilités permettent de créer de véritables programmes.
Architecture et rôles Exchange
Nouvelle architecture
L’architecture de Microsoft Exchange Server 2016 est basée sur deux rôles de
serveurs : rôle de serveur de boîtes aux lettres (Mailbox server role) et rôle serveur de
transport Edge.
Ces rôles sont présentés succinctement ici. Des chapitres entiers leurs sont consacrés
dans la suite de ce document, ainsi qu’au fonctionnement de leurs services.
Le rôle de serveur de boîtes aux lettres héberge les boîtes aux lettres, ainsi que le
service de transport Hub et les composants de la messagerie unifiée. Il assure aussi
l’authentification des clients et héberge le transport Front-End, ainsi que les composants
de routage de la messagerie unifiée.
Le rôle de serveur de transport Edge doit être déployé dans le réseau de périmètre
local et il n’est pas installé sur un serveur rattaché à un domaine. Il joue le rôle de relais
SMTP et gère le flux de messagerie côté Internet.

Serveur de boîtes aux lettres


Dans Exchange Server 2016, le rôle serveur de boîtes aux lettres est de filtrer toutes les
demandes des clients. Les demandes authentifiées sont acheminées vers la base de
données de boîtes aux lettres active concernée.
Le service de transport frontal (FET, Front End Transport) agit comme un proxy
pour le trafic SMTP interne et externe. Il n’inspecte pas le contenu des messages, il ne
communique pas avec le service de transport et n’empile pas les messages localement.
Un connecteur de réception, installé par défaut, est utilisé pour la réception des
messages d’Internet.
Inversement, il accepte les messages des autres serveurs de boîte aux lettres ou de lui-
même puis il les transmet à un serveur SMTP sur Internet. Dans ce cas, un connecteur
d’envoi vers Internet doit être créé.
Le rôle serveur de boîtes aux lettres inclut l’hébergement des bases de données de
boîtes aux lettres et de dossiers publics, le stockage des messages électroniques, les
protocoles d’accès au client, le service de transport et les composants de messagerie
unifiée.
Chaque base de données dispose de son propre processus de stockage dans le serveur
de boîtes aux lettres. L’arrêt d’un processus d’une base de données de boîtes aux lettres
n’impacte pas les autres processus des autres bases de données de boîtes aux lettres.
La base de données est de type ESE (Extensible Storage Engine). Ce n’est donc pas
une base de données de type SQL Server, même si elle est basée sur des fichiers de
données, des fichiers journaux et un fichier de contrôle.
De son côté, le pipeline de transport du serveur de boîtes aux lettres se compose des
services suivants :
Le service de transport (Transport service) correspond au serveur de transport Hub
d’Exchange Server 2010. Il gère le flux de messagerie SMTP de l’organisation :
catégorisation, routage, etc. Toutefois, contrairement à Exchange 2010, il ne communique
pas directement avec les bases de données de boîtes aux lettres. Cette tâche est gérée par le
service de transport de lettres (Mailbox Transport service) qui se compose lui-même de
deux services distincts :
Le service de livraison (Mailbox Transport Delivery service) accepte le message du
service de transport puis se connecte en RPC (Remote Procedure Call) à la base de
données de la boîte aux lettres locale pour délivrer le message.
Le service de collecte (Mailbox Transport Submission service) se connecte en RPC à
la base de données de la boîte aux lettres locale pour récupérer le message et le transmettre
au service de transport.

Serveur de transport Edge


Le serveur de transport Edge gère le flux de messagerie Internet entrant et sortant. Il est
acheminé vers le serveur de boîtes aux lettres Exchange interne, via le service de transport
frontal, puis via le service de transport.
Il fournit aussi des couches de sécurité et de protection des messages, contre les virus
et le courrier indésirable.
Par ailleurs, il applique des règles de transport pour contrôler le flux de messagerie, en
appliquant une action aux messages remplissant les conditions définies.
Positionnement des différents rôles de serveurs Exchange

Figure 2‑13 Positionnement des rôles

Avec Exchange 2016, le nombre de rôles de serveur a été réduit à deux : le rôle de
serveur de boîtes aux lettres (MBX) et le rôle optionnel du serveur Edge.
Le rôle serveur de transport Edge ne peut être installé qu’à part de l’autre rôle.
La configuration minimale opérationnelle est constituée d’un seul serveur avec le rôle
serveur de boîtes aux lettres.
Exchange Server 2016 s’appuie uniquement sur les informations d’Active Directory
pour transporter les messages. Vous pouvez souhaiter faire une configuration spécifique,
notamment pour faire communiquer directement entre eux les services de transport.
Dans ce cas, vous devrez monter des connecteurs SMTP entre les serveurs qui auront à
communiquer directement.
Dans le cas d’une coexistence entre Exchange 2013 et Exchange 2016, le trafic
d’Exchange 2013 peut être transmis via proxy vers Exchange 2016. Cette nouvelle
possibilité d’Exchange 2016 évite de modifier l’architecture frontale pour prendre en
charge les nouveaux serveurs Exchange 2016.
Active Directory
L’installation d’Exchange débute avec la préparation d’Active Directory. En effet,
Exchange dépend étroitement d’Active Directory pour stocker sa configuration et
fonctionner.
Plus précisément, sa configuration est attachée à une forêt d’Active Directory. Ainsi,
quel que soit le nombre de domaines présents dans une forêt, l’organisation Exchange sera
unique.

Active Directory Domain Services


Active Directory Domain Services (AD DS) est un service d’annuaire. Son rôle est de
regrouper et publier des informations, et de simplifier l’accès à des objets (utilisateurs,
ordinateurs, services, etc.) et à leurs attributs.
Il contient des objets stockés dans des containeurs, où chaque objet est identifié de
façon unique grâce à son GUID (Globally Unique Identifier) et possède des attributs qui
sont obligatoires ou facultatifs.
Le schéma d’annuaire est la définition formelle de tous les objets et de leurs attributs
qui peuvent être stockés dans AD DS. Ce n’est pas leur contenu.

Domaine
Un domaine est une partition d’Active Directory. C’est une frontière administrative
pour gérer des utilisateurs, des groupes, des ordinateurs, des imprimantes, etc.
Au sein d’un même domaine, des paramètres et des stratégies de sécurité commune
peuvent être appliqués. Ces paramètres sont liés au domaine et ils ne se propagent pas
automatiquement aux autres domaines éventuels.
Le domaine racine est le premier domaine créé. Le nom du domaine racine est utilisé
pour nommer la forêt. Ce nom de domaine doit être en deux parties, par exemple :
octane.ste (et non pas octane tout court).
Pour Exchange Server 2016, le niveau fonctionnel minimum de domaine, doit être
Windows 2008 R2. Ce niveau fonctionnel garantit qu’il y aura les objets et attributs
minimaux nécessaires lors de la création des comptes utilisateurs, par exemple.
La création du domaine racine de la forêt nécessite l’installation d’un serveur Windows
avec le rôle AD DS.

Contrôleur de domaine (DC)


Un serveur qui possède le rôle AD DS est nommé un contrôleur de domaine (Domain
Controller : DC). Le premier rôle d’un DC est de vérifier l’authentification des utilisateurs
et services qui se connectent au domaine. Il a toutefois d’autres rôles importants.
Un contrôleur de domaine stocke physiquement des données. Celles-ci sont elles-
mêmes partitionnées car elles contiennent des informations de natures différentes.
La partition de données du domaine contient les valeurs des objets du domaine géré
par le contrôleur de domaine. Les informations contenues dans cette partition sont
identiques sur tous les contrôleurs d’un domaine. Par contre, chaque domaine possède sa
propre partition de données du domaine, qui est indépendante des autres domaines.
La partition de schéma d’annuaire contient la description de chacun des objets et de
leurs attributs. Les informations de cette partition sont identiques sur tous les contrôleurs
de domaines de la forêt.
Exchange Server 2016 s’appuie sur les informations du schéma pour alimenter la base
Active Directory. Par exemple, lors de la création d’un compte utilisateur avec une boîte
aux lettres, les informations de la partition du schéma fournissent le modèle pour créer le
compte utilisateur, tandis que ses informations (nom, prénom, etc.) sont stockées dans la
partition de données du domaine.
La partition de configuration d’annuaire contient les informations de la forêt qui ne
relèvent pas du schéma. Par exemple, elle recense la liste de tous les domaines,
arborescences, forêts et l’emplacements des contrôleurs de domaine et des catalogues
globaux. Les informations de cette partition sont identiques sur tous les contrôleurs de
domaines de la forêt.
Le paramétrage de la configuration d’Exchange Server 2016 est centralisé et stocké dans
la partition de configuration.
Éventuellement, un contrôleur de domaine peut héberger des partitions d’application.
Ces informations sont présentes sur les contrôleurs de domaines qui sont désignés comme
partenaires de la réplication.
Pour Exchange Server 2016, les contrôleurs de domaine doivent fonctionner au
minimum avec Windows Server 2008 R2.

Réplication dans le domaine


Par ailleurs, à l’intérieur d’un domaine, il est possible d’installer plusieurs contrôleurs
de domaines, afin d’assurer la redondance pour des raisons de robustesse et de
performance.
Les données du domaine, stockées dans la partition de données du domaine, sont
automatiquement répliquées entre les contrôleurs de domaines par Active Directory, quel
que soit leur éloignement ou leur localisation géographique, à partir du moment où la
connectivité TCP/IP est présente.
Si l’administrateur Windows créé un compte utilisateur Alice sur un contrôleur de
domaine, ce compte est enregistré dans la base Active Directory locale (NTDS.DIT), avec
un GUID unique. Peu de temps après, le compte est répliqué sur les autres contrôleurs du
domaine avec ses attributs. Les conflits éventuels sont gérés par AD DS.
Les données des partitions de configuration d’annuaire et du schéma d’annuaire sont
répliquées sur tous les contrôleurs de domaines.
L’installation d’Exchange Server 2016 nécessite une mise à jour du schéma car de
nouveaux objets et de nouveaux attributs sont ajoutés. Les Services Packs d’Exchange
peuvent aussi modifier le schéma.
Cette mise à jour entraîne une réplication qui impacte tous les contrôleurs de domaines
de la forêt : il est donc important de planifier soigneusement l’installation ou la mise à
jour d’Exchange Server 2016 dans un environnement de production.
Il est aussi possible de créer et rattacher des domaines enfants à un domaine racine. Un
domaine enfant peut à son tour avoir son propre domaine enfant.
Le nom d’un domaine enfant est combiné avec le nom de son domaine parent pour
former son propre nom unique DNS (Domain Name System). Dans ce cas, on parle d’une
arborescence de domaines.

Arborescence de domaines
Une arborescence de domaines est une organisation hiérarchique de domaines
partageant un espace de noms contigu.

Figure 2‑14 Arborescence de domaines

Lorsque vous ajoutez un domaine à une arborescence, ce domaine s’appelle un


domaine enfant. Le nom du domaine situé au-dessus du domaine enfant s’appelle un
domaine parent.
Le nom du domaine enfant, le nom DNS, est une combinaison du nom du domaine
enfant et celui du domaine parent séparés par un point. Ce nom DNS constitue une
hiérarchie d’espace de noms contigu.
Dans une arborescence de domaine, le domaine de niveau supérieur est appelé domaine
racine de l’arborescence. Il a été forcément créé en premier.

Forêt AD DS
Une forêt est un ensemble d’une ou plusieurs arborescences de domaines. Ces
arborescences peuvent ne pas partager un espace de noms contigu.
Tous les objets d’une forêt partagent une configuration d’annuaire, un schéma
d’annuaire et un catalogue global communs.
Autrement dit, si vous avez 15 forêts AD DS dans votre entreprise, chacune possède
son propre schéma d’annuaire et toutes agissent, par défaut, indépendamment des autres.
Toutefois, il est possible de modifier ce comportement en créant des relations
d’approbation entre ces forêts afin de mutualiser des ressources ou des services. Malgré
tout, chaque forêt possède son schéma d’annuaire qui reste indépendant des autres forêts.
Pour Exchange Server 2016, le niveau fonctionnel minimum de la forêt est Windows
2008 R2.
Dans une forêt, les domaines ont une relation d’approbation entre eux, même entre
domaines d’arborescences différentes. Cette relation d’approbation est dans les deux sens
et transitive. Autrement dit, si le Domaine A approuve le Domaine B qui approuve le
Domaine C alors le Domaine A approuve automatiquement le Domaine C.
Les données des partitions de configuration d’annuaire et du schéma d’annuaire sont
répliquées entre tous les domaines d’une même forêt. Les données des partitions
d’application sont répliquées à l’intérieur d’une forêt entre les contrôleurs de domaines
désignés comme partenaires de réplication.

Outils
Dans Windows Server 2012, le Centre d’administration Active Directory (dsac.exe)
est le point d’entrée pour les manipulations de base comme la réinitialisation d’un mot de
passe, ou faire une recherche dans l’AD.
Il permet aussi de gérer la Corbeille Active Directory, qui offre la possibilité de
récupérer des éléments supprimés accidentellement d’Active Directory. Cette possibilité
nécessite toutefois une élévation du niveau fonctionne de la forêt à Windows Server
2008 R2 au minimum.
Les manipulations faites dans le Centre d’administration Active Directory génèrent des
commandes PowerShell. Vous pouvez visionner l’historique de ces commandes en
utilisant la Visionneuse de l’historique de Windows PowerShell du Centre
d’administration Active Directory.
La console classique Utilisateurs et ordinateurs Active Directory permet de gérer les
utilisateurs, les groupes, les unités d’organisation, ainsi que tous les autres objets des
services de domaine Active Directory. Les manipulations faites avec cette console
impactent principalement la partition de données du domaine.
La partition de configuration d’annuaire peut être modifiée en utilisant les consoles
Sites et Services Active Directory et La console Domaines et approbations Active
Directory.
La console Sites et Services Active Directory propose d’afficher et de gérer les sites
et les services. La partie site concerne la topologie et la planification pour la réplication
des services de domaine Active Directory. Tandis que la partie services concerne
l’administration de certains services de domaine Active Directory.
La console Domaines et approbations Active Directory permet de gérer les domaines
et les relations d’approbations entre ces domaines.
L’outil gratuit ADModify.NET est utilisé par les administrateurs Active Directory
(AD) et Exchange pour faire des recherches et des modifications en masse des attributs de
l’AD. Par ailleurs, il dispose d’une fonction undo qui permet d’annuler les modifications
faites dans l’AD. Vous pouvez le télécharger sur http://coudr.com/ad001
La console Modification ADSI (Active Directory Services Interfaces) permet de
visualiser et manipuler toutes les partitions. C’est un éditeur de bas niveau pour les
services de domaine Active Directory et les services AD LDS (Active Directory
Lightweight Directory Services). Contrairement aux outils précédents, celui-ci offre assez
peu de garde-fou.
L’enregistrement de la DLL schmmgmt.dll avec la commande regsvr32 schmmgmt.dll
permet de créer une MMC (Microsoft Management Console), à laquelle le composant
enfichable Schéma Active Directory est ajouté, pour modifier le schéma. Cette opération
nécessite la plus grande vigilance car une erreur de manipulation peut avoir des
conséquences désastreuses sur l’AD.
Le programme Csvde permet d’importer et d’exporter des données à partir des services
Active Directory et AD LDS vers le format de fichier CSV (Comma-Separated Value).
Le programme Ldifde permet de créer, modifier et supprimer des objets d’annuaire. Il
permet aussi d’étendre le schéma ainsi qu’exporter les informations relatives aux
utilisateurs et aux groupes vers d’autres applications ou services, ou de fournir aux
services Active Directory et AD LDS des données provenant d’autres services d’annuaire.
L’outil de gestion RBAC Manager simplifie l’administration du contrôle d’accès basé
sur un rôle (RBAC, Role Based Access Control), en fournissant une interface graphique
pour modifier les paramètres RBAC. Vous pouvez le télécharger gratuitement sur
http://coudr.com/xsg013
TP 02A Installer Active Directory
La première étape pratique pour mettre en place Exchange est de disposer d’un Active
Directory opérationnel.
La création d’une forêt Active Directory n’étant pas spécifique à Exchange, seules les
principales tâches à accomplir sont présentées.
Toutes les opérations décrites dans ces travaux pratiques doivent être faite avec le
compte de domaine Administrateur (le mot de passe est fourni par le formateur), sauf
mention contraire.

Objectif
La création d’une forêt Active Directory nécessite l’installation d’au moins un
contrôleur de domaine. L’objectif de cet exercice est de créer la forêt et le domaine
NOVAx.AD.
Les tâches à accomplir sont :
Configurer le réseau IP du futur contrôleur de domaine
Renommer votre futur contrôleur de domaine
Installer le contrôleur de domaine
Paramétrer la zone de recherche inversée du DNS
Modifier les stratégies de sécurité uniquement pour les besoins de la formation

Préparation
Vous pouvez télécharger en une seule fois tous les fichiers nécessaires aux exercices
des travaux pratiques à l’adresse suivante : http://coudr.com/e

Solution
Configurer le réseau IP du futur contrôleur de domaine

Connectez-vous sur le serveur physique, futur Contrôleur de Domaine, avec le compte


local Administrateur.
Vous allez configurer la carte réseau. Pour cela, cliquez sur l’icône réseau, en forme
d’écran avec un câble réseau vertical, qui se trouve sur la barre des tâches.

Figure 2‑15 Icône réseau

Cliquez sur Ouvrir le centre Réseau et partage : la fenêtre Centre Réseau et partage
s’ouvre.
Dans la fenêtre Centre Réseau et partage, cliquez sur le nom de la connexion, comme
par exemple vEthernet. Le nom peut être différent.

Figure 2‑16 Connexion au réseau local

Dans la fenêtre qui s’ouvre, cliquez sur le bouton Propriétés.


Sélectionnez Protocole internet version 4 (TCP/IPv4) en cliquant dessus : ne
décochez pas la case à cocher. L’objectif est de faire apparaître le bouton Propriétés du
protocole IPv4.
Cliquez sur le bouton Propriétés puis vérifiez les informations ci-dessous. Si les
informations ne sont pas conformes, modifiez-les.
Adresse IP : 192.168.y.x (y est le numéro de la salle et x est le dernier octet de votre
adresse IP). Notez soigneusement la valeur de x : vous en aurez besoin régulièrement.
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.y.254
Serveur DNS préféré : 127.0.0.1
Serveur DNS auxiliaire : 194.2.0.20 (attention c’est 194 et non 192)

Figure 2‑17 Exemple de configuration DC100


Renommer votre futur contrôleur de domaine

Cette étape sert à donner un nom significatif à votre contrôleur de domaine.


Dans une invite de commande, tapez la commande suivante pour renommer votre
serveur en DCx où x est le dernier octet de votre adresse IP.
SYSDM.CPL
Cliquez sur l’onglet Nom de l’ordinateur, puis cliquez sur le bouton Modifier et
changez le nom du serveur en DCx où x est le dernier octet de votre adresse IP.
Lorsque l’assistant vous proposera de redémarrer votre serveur, faites-le.
Une fois que le serveur a redémarré, Ouvrez une session avec le compte local
Administrateur.
Dans une invite de commande, tapez la commande suivante pour vérifier que votre
ordinateur a bien été renommé en DCx.
HOSTNAME
Installer le contrôleur de domaine

Dans la barre des tâches, ouvrez le Gestionnaire de serveur, en forme de serveur avec
une sorte de valise (!). Ce n’est pas une valise mais cela y ressemble.

Figure 2‑18 Gestionnaire de serveur

Dans le Gestionnaire de serveur, cliquez sur Tableaux de bord.


Dans le volet central, cliquez sur ajouter des rôles et des fonctionnalités.
Dans l’assistant qui s’ouvre, cochez la case Ignorer cette page par défaut puis cliquez
sur le bouton Suivant.
Sur la page Sélectionner le type d’installation, cliquez sur Installation basée sur un
rôle ou une fonctionnalité puis cliquez sur Suivant.
Sur la page Sélectionner le serveur de destination, cliquez sur votre serveur pour le
sélectionner puis cliquez sur Suivant.
Sur la page Sélectionner des rôles de serveurs, cochez la case en face de Services AD
DS : un pop-up vous propose d’associer plusieurs fonctionnalités pour installer le rôle AD
DS. Cliquez sur Ajouter des fonctionnalités puis cliquez sur Suivant.
Sur la page Services de domaine Active Directory, cliquez sur Suivant.
Pour redémarrer automatiquement à la fin de l’installation, cochez la case Redémarrer
automatiquement le serveur de destination puis confirmez votre choix dans le pop-up qui
s’affiche et cliquez sur Installer.
Une fois l’installation terminée, vous allez configurer votre serveur pour qu’il devienne
contrôleur de domaine : cliquez sur le lien Promouvoir ce serveur en contrôleur de
domaine.
Sur la page Configuration de déploiement, cochez la case Ajouter une nouvelle forêt
et indiquez le nom de domaine racine : NOVAx.AD (x est le dernier octet de votre adresse
IP). Par exemple, si x=9, votre domaine sera NOVA9.AD (et non pas NOVA09.AD pour
des raisons de cohérence entre participants).
Cliquez sur le bouton Suivant.
Sur la page Options du contrôleur de domaine, indiquez un niveau fonctionnel de
Windows 2008 R2 pour la forêt et le domaine puis cochez la case Serveur DNS (Domain
Name System) et tapez le mot de passe de récupération : admin (en minuscules).
Sur la page Options DNS, cliquez sur le bouton Suivant.
Sur la page Options supplémentaires, gardez le nom NetBIOS généré automatiquement
(NOVAx) puis cliquez sur le bouton Suivant.
Sur la page Chemins d’accès, gardez les options par défaut proposées puis cliquez sur
le bouton Suivant.
Sur la page Examiner les options, vérifiez puis cliquez sur le bouton Suivant.
Sur la page Vérification de la configuration requise, si vous avez le bandeau qui
indique Toutes les vérifications de la configuration requise ont donné satisfaction,
cliquez sur Installer.
À la fin de l’installation, le contrôleur de domaine doit redémarrer automatiquement. Si
ce n’est pas le cas et qu’un message vous propose de le redémarrer, faites-le.
Paramétrer la zone de recherche inversée du DNS

Une fois que le serveur a redémarré, ouvrez une session avec le compte de domaine
Administrateur@NOVAx.AD.
Vous allez terminer l’installation du DNS en paramétrant la zone de recherche inversée
sur le serveur DNS (rappel : l’identifiant de votre réseau est 192.168.y), puis vérifiez son
bon fonctionnement avec la commande NSLOOKUP.
Modifier les stratégies de sécurité uniquement pour les besoins de la formation

Vous allez modifier la stratégie de sécurité du domaine pour supprimer les restrictions
suivantes sur les mots de passe : la complexité n’est plus obligatoire et on peut avoir un
mot de passe à 1 caractère.
Cette manipulation est évidemment déconseillée dans un environnement de production.
Pour modifier la stratégie de sécurité du domaine, suivez les instructions ci-dessous.
Cliquez sur Gestionnaire de serveur puis Outils puis Gestion des stratégies de groupe.
Ensuite, ouvrez l’arborescence : Gestion des stratégies de groupe puis Forêt puis
Domaines puis NOVAx.AD puis Objets de stratégie de groupe : vous voyez apparaître les
deux stratégies par défaut : Default Domain Controllers Policy et Default Domain Policy.
Sur Default Domain Policy, faites un clic droit pour faire apparaître le menu.

Figure 2‑19 Modification de la stratégie de sécurité du domaine

Cliquez sur Modifier… puis Configuration ordinateur puis Stratégies puis Paramètres
Windows puis Paramètres de sécurité puis Stratégies de comptes puis Stratégie de mot de
passe.

Figure 2‑20 Stratégie de mot de passe

Supprimez la restriction sur les mots de passe : la complexité n’est plus obligatoire et
on peut avoir un mot de passe à 1 caractère (comme la figure ci-dessus).
Fermez l’éditeur de gestion des stratégies de groupe.
Forcez l’application immédiate de la stratégie avec la commande suivante.
gpupdate /force
Créer des comptes utilisateurs

Ouvrez la fenêtre Utilisateurs et ordinateurs Active Directory.


Cliquez sur Gestionnaire de serveur puis Outils puis Utilisateurs et ordinateurs Active
Directory.
Créez une nouvelle unité d’organisation (OU, Organizational Unit) dans Active
Directory : Corporate.
Naviguez jusqu’à l’OU Corporate :

Figure 2‑21 Utilisateurs et ordinateurs Active Directory

Faites un clic-droit sur Corporate et choisissez l’option Nouveau puis Utilisateur.


Saisissez le compte : Alice Martin.

Figure 2‑22 Création compte

Cliquez sur Suivant.


Saisissez le mot de passe a (en minuscule) et vérifiez que toutes les cases sont
décochées (sinon décochez les cases), puis cliquez sur Suivant puis puis sur Terminer.
Procédez de même pour créer les comptes utilisateurs pour Bob Durand, Chris Dubois,
Didier Dufour, Eric Petit, Francine Lefebvre.
Vous devez indiquer des valeurs pour le champ Société et Ville. Pour gagner du temps,
vous pouvez sélectionner plusieurs comptes utilisateurs et modifier les valeurs communes
en une opération.
Le champ Ville est dans l’onglet Adresse, le champ Société dans l’onglet Organisation.

Figure 2‑23 Ville et Société des utilisateurs

À partir de maintenant, le contrôleur de domaine doit rester démarré en permanence.

Résumé
Dans cet exercice, vous avez configuré le réseau IP du futur contrôleur de domaine
que vous avez renommé.
Ensuite, vous avez installé un contrôleur de domaine pour créer la forêt et son
domaine racine NOVAx.AD.
Vous en avez profité pour créer une zone de recherche inversée du DNS et modifier les
stratégies de sécurité uniquement pour les besoins de la formation.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Éditions et versions d’Exchange Server 2016 : https://technet.microsoft.com/fr-
fr/library/bb232170(v=exchg.160).aspx
Présentation des nouveautés d’Exchange 2016 : http://technet.microsoft.com/en-
us/library/jj150540(v=exchg.160).aspx
Une présentation de Microsoft Exchange Server sur Wikipédia :
https://fr.wikipedia.org/wiki/Microsoft_Exchange_Server
Exchange Server 2016 : http://technet.microsoft.com/en-
us/library/bb124558(v=exchg.160).aspx
Forum aux questions sur la gestion des licences Microsoft Exchange :
https://products.office.com/fr-fr/exchange/microsoft-exchange-licensing-faq-email-for-
business
Un article sur Technet intitulé “Prepare Active Directory and Domains” :
http://technet.microsoft.com/en-us/library/bb125224(v=exchg.160).aspx
What’s new for Outlook Web App in Exchange 2013 : http://technet.microsoft.com/en-
us/library/jj150522.aspx
Chapitre 3 Installation d’Exchange

Organisation Exchange antérieure


Sous certaines conditions, il est possible d’installer Exchange Server 2016 dans une
organisation où des serveurs Exchange d’une version précédente sont déjà présents.
Par contre, si vous installez Exchange Server 2016, vous ne pourrez plus installer de
serveurs des versions précédentes d’Exchange.

Exchange 2007 et versions antérieures


Ce scénario n’est pas pris en charge.

Exchange 2010
Ce scénario est pris en charge à la condition suivante sur tous les serveurs Exchange de
l’organisation, y compris les serveurs de transport Edge.
Exchange 2010 : Service Pack 3 RU 11.

Exchange 2013
Ce scénario est pris en charge à la condition suivante sur tous les serveurs Exchange de
l’organisation, y compris les serveurs de transport Edge.
Exchange 2013 : Cumulatif Update 10.

Exchange 2010 et 2013


Ce scénario est pris en charge à la condition suivante sur tous les serveurs Exchange de
l’organisation, y compris les serveurs de transport Edge.
Serveurs Exchange 2010 : Service Pack 3 RU 11.
Exchange 2013 : Cumulatif Update 10.

Hybride
Les déploiements hybrides sont pris en charge dans tous les plans Office 365
Entreprise, Secteur public, Éducation et Moyenne Entreprise (et non les plans Petite
Entreprise et Famille).
Pour supporter un déploiement hybride avec Exchange 2016, la version du client
Office 365 doit être 15.0.620.28 ou supérieure.
Le nœud de l’organisation Office 365 est intégré par défaut au Centre d’administration
Exchange, ce qui vous permet de gérer à la fois l’organisation locale et l’organisation
Exchange depuis une console de gestion unique.
Mise en place de la plate-forme physique
Dans un environnement riche et complexe, la conception d’une architecture Exchange
et le dimensionnement des serveurs Exchange peut prendre plusieurs mois car de très
nombreux facteurs entrent en compte.
L’étude des besoins de l’organisation conditionne les résultats de l’architecture. Toutes
choses égales par ailleurs, une entreprise qui génère 3000 messages par heure aura besoin
de plus de puissance de calcul qu’une autre qui en génère dix fois moins.
Car tout est lié dans une organisation Exchange. Un accroissement du nombre de
messages entraîne généralement une augmentation du nombre de groupes de distribution,
du nombre de listes d’adresses, du nombre de règles de transport, etc.
La difficulté supplémentaire concerne l’incertitude sur l’utilisation de la messagerie, en
particulier lors d’une mise en place initiale.
Certaines données sont connues même si elles peuvent évoluer, comme par exemple le
nombre d’utilisateurs concernés ainsi que leur répartition géographique, D’autres sont des
hypothèses, comme le nombre de messages reçus ou envoyés par jour.
Quoi qu’il en soit, les décideurs ont besoin d’avoir une estimation du budget du projet.
C’est la raison pour laquelle vous trouverez ci-dessous des outils d’aide à la modélisation.
Prérequis logiciels
Les systèmes d’exploitation supportés pour l’installation de Microsoft Exchange
Server 2016 sont :
Windows Server 2012 Standard / 2012 Datacenter
Windows Server 2012 R2 Standard / 2012 R2 Datacenter
Par ailleurs, les versions Windows Server minimales ne sont pas supportées : il est
impératif d’avoir une version avec l’interface graphique.
Les systèmes d’exploitation supportés pour l’installation des outils de gestion
d’Exchange sont :
Windows Server 2012 Standard / 2012 Datacenter
Windows Server 2012 R2 Standard / 2012 R2 Datacenter
Windows 8.1 64-bit sauf édition famille
Windows 10 64-bit sauf édition famille
Pour le rôle serveur de boîte aux lettres, les prérequis logiciels nécessitent l’installation
de la plateforme .NET Framework 4.5.2, ainsi que Microsoft Unified Communications
Managed API 4.0, Core Runtime 64 bits..
Prérequis matériel
Le tableau ci-dessous est issu de la documentation Microsoft (cf. le lien dans le
chapitre Références) et il indique une configuration minimale.

Figure 3‑1 Prérequis matériel minimum

Il est recommandé de désactiver l’hyper-threading sur les serveurs Exchange


physiques.
En cas de virtualisation, l’hyper-threading peut être activé sur le serveur physique,
mais seul le nombre requis de processeurs virtuels doit être alloué à chaque serveur
virtuel. Lisez aussi le chapitre consacré à la virtualisation ci-dessous.
Disques
En matière de disques physiques, il est préférable d’avoir plusieurs petits disques qu’un
grand disque, pour améliorer les performances. Pour les mêmes raisons, la vitesse de
rotation est primordiale sur tout autre critère, y compris le cache disque.
En matière de disques, la configuration généralement adoptée par mes clients pour les
fichiers systèmes et de démarrage est d’être en RAID 1 (Redundant Array of Independent
Disks, ou regroupement redondant de disques indépendants). Tandis que les bases de
données sont supportées par un sous-système disque en RAID 0 ou RAID 5.
L’intérêt du RAID 0 est d’offrir de bonnes performances en lecture / écriture, mais il
n’offre pas de mécanisme de tolérance de pannes. Par contre, le RAID 5 offre un
mécanisme de tolérance mais les performances en écriture sont moins bonnes.
Si les fichiers journaux des transactions sont stockés à part du fichier des données de la
base de données, ils peuvent être stockés en RAID 1, pour la tolérance aux pannes. Une
alternative qui est plus performante mais aussi plus couteuse, est d’adopter du
RAID 1 + 0.
Cependant, l’évolution technologique de Microsoft Exchange Server 2016 permet
parfois d’être moins exigeant sur l’infrastructure disque, en particulier grâce aux
fonctionnalités de Protection des données natives Exchange, qui sont présentées plus bas.
Alimentation électrique
Exchange Server dispose de mécanismes pour assurer l’intégrité des données.
Toutefois, une coupure d’alimentation électrique peut sérieusement endommager le
matériel. De même, les variations importantes de tension peuvent aussi abîmer les
serveurs, et accélérer leur vieillissement.
Pour cette raison, il est recommandé de disposer d’un onduleur, y compris pour des
petites installations. L’onduleur filtre et écrête les pics de courant. Par ailleurs, en cas de
coupure électrique, l’onduleur permettra à Exchange d’enregistrer proprement les données
sur les disques avant la coupure définitive.
Enfin les onduleurs de grandes capacités permettent d’assurer la continuité pendant
plusieurs minutes, durant une brève coupure électrique.
Dimensionnent calculé
Pour aider l’administrateur ou l’architecte à définir une solution viable qui soit
chiffrable, les éditeurs et les constructeurs proposent différents outils.
La plupart de ces outils ont été développés pour Microsoft Exchange Server 2013.
Toutefois, ils sont utilisables pour Microsoft Exchange Server 2013 car les préconisations
sont identiques entre les deux produits.
Microsoft Assessment and Planning Toolkit propose d’étudier l’impact et la
faisabilité d’une migration vers un produit Microsoft. Il permet aussi de recenser
l’utilisation réelle des produits Microsoft par les utilisateurs.
Microsoft Assessment and Planning Toolkit
http://coudr.com/xsg002
Exchange Server Role Requirements Calculator de Microsoft est une feuille Excel
avec des macros qui possède 10 onglets. Cette feuille permet de modéliser les serveurs et
le stockage nécessaire pour Exchange. Le calcul n’est pas une recommandation car il doit
être évalué avant le passage en production.
L’explication détaillée des calculs par l’équipe d’Exchange est présentée sur dans le
billet Ask the Perf Guy : Sizing Exchange 2013 Deployments, du site TechNet Blogs.
Exchange Server Role Requirements Calculator
http://coudr.com/xsg003
Ask the Perf Guy : Sizing Exchange 2013 Deployments
http://coudr.com/xsg004
Ask the Perf Guy: Sizing Exchange 2016 Deployments
http://coudr.com/t
HP Sizer for Microsoft Exchange Server 2013 du constructeur HP sert aussi à
modéliser les déploiements d’Exchange Server 2013. Il inclut des suggestions pour la
configuration du stockage, notamment les niveaux de RAID et les volumes disques.
Dimensionnent empirique
Lors d’un déploiement ou d’une installation simple, ou pour avoir une idée générale en
avant-projet, il est possible d’utiliser une méthode moins élaborée que la précédente mais
basée sur des retours d’expérience.
Mémoire RAM

En particulier, pour un calcul express des besoins mémoire d’un serveur avec le rôle de
boîtes aux lettres, vous pouvez utiliser la règle empirique suivante :
RAM = 8 Go + 25 Mo x nombre de boîtes aux lettres
La valeur de 25 Mo correspond à la consommation de mémoire d’un utilisateur moyen.
Si vous avez 1000 utilisateurs avec chacun une boîte aux lettres Exchange, cela représente
environ une mémoire RAM arrondie de 32 Go pour le serveur à rôles multiples.
Dans la réalité, la consommation de mémoire n’est pas une fonction linéaire. C’est la
raison pour laquelle, des valeurs plus réalistes de besoin mémoire RAM ont été ajoutées
au tableau suivant consacré à la CPU.
Par ailleurs, il a été démontré que trop de mémoire n’est pas bénéfique à Exchange. Le
lecteur curieux de connaître la raison est invité à lire l’article de The Exchange Team sur le
site de Microsoft : https://blogs.technet.microsoft.com/exchange/2015/06/19/ask-the-perf-
guy-how-big-is-too-big/.
CPU

Concernant le dimensionnement opérationnel de la CPU, il est préférable de choisir un


processeur avec du cache processeur en quantité importante.

Figure 3‑2 Abaque empirique CPU et RAM

Le tableau ci-dessus présente des configurations possibles pour Microsoft Exchange


Server 2016.
Bien que ces configurations soient à priori raisonnables, il est possible de jouer sur
quelques facteurs, notamment à partir des configurations qui débutent à 2000 utilisateurs,
afin de faire baisser le coût sans trop impacter les performances.
Par exemple et en respectant cet ordre, vous pouvez d’abord choisir des processeurs
qui ont une fréquence moindre, sans descendre en-dessous de 85% des fréquences
proposées. Ainsi, vous pouvez sélectionner un processeur à 2,6 GHz plutôt que 3,0 GHz.
Ensuite, vous pouvez enlever 2 cœurs maximum à chaque processeur. Un processeur à
10 cœurs deviendra un processeur à 8 cœurs.
Enfin, vous pouvez enlever 5 Mo maximum à la mémoire cache du processeur par
rapport aux suggestions.
Bien évidemment, ces suggestions doivent être vérifiées à travers une maquette, afin de
vous assurer qu’elles sont bien compatibles avec vos besoins avant de les appliquer dans
un environnement de production.
Virtualisation
Les principes précédents relatifs à l’installation physique sont valides pour la
virtualisation des serveurs Exchange. Toutefois, il existe des contraintes spécifiques
supplémentaires qu’il convient de respecter soigneusement afin de pouvoir bénéficier du
support Microsoft.
Vous êtes invité à consulter attentivement la page ci-dessous de Microsoft consacrée à
la virtualisation d’Exchange 2016 afin d’avoir des informations à jour.
Virtualisation d’Exchange 2016
http://coudr.com/p
Outre les prérequis concernant les serveurs physiques, la virtualisation d’Exchange est
prise en compte sous certaines conditions. Dans la pratique :
Le logiciel de virtualisation de matériel doit s’exécuter avec la technologie Hyper-V ou
un hyperviseur tiers validé dans le cadre du programme Windows SVVP (Server
Virtualization Validation Program). La quasi-totalité des éditeurs majeurs de virtualisation
sont validés.
Il est aussi nécessaire que l’ordinateur virtuel invité exécute Exchange 2016 et qu’il
soit déployé sur Windows Server 2012 ou versions ultérieures.
Les serveurs hôtes sont obligatoirement dédiés à l’exécution des ordinateurs virtuels
invités, à l’exception des logiciels de gestion comme l’antivirus, la sauvegarde ou la
gestion des ordinateurs virtuels. Aucune application serveur, comme par exemple
Exchange, SQL Server, Active Directory, SAP ne doit être installée sur l’ordinateur hôte.
La prise en charge de la virtualisation concerne tous les rôles serveur d’Exchange
2016. Par contre, la génération de captures instantanées (snapshots) d’un ordinateur virtuel
Exchange n’est pas prise en charge.
L’utilisation de fonctionnalités de mémoire dynamique n’est pas prise en charge, non
plus, car elle impacte négativement les performances du serveur.
Le ratio processeur virtuel/processeur logique et le ratio processeur virtuel/cœurs
physiques ne doivent pas être supérieur à 2/1. Cela signifie que si l’hôte a à 12 processeurs
logiques, le nombre de processeurs logiques alloués de toutes les machines virtuelles ne
peut pas dépasser 24. Le ratio idéal est 1/1.
Le système d’exploitation d’un ordinateur invité Exchange doit utiliser un disque avec
une taille minimale de 15 Go en plus de la taille de la mémoire virtuelle allouée à
l’ordinateur invité. Par exemple, pour 32 Go de mémoire vive affectée à l’ordinateur
invité, le disque dur du système d’exploitation doit disposer d’un minimum de 47 Go
d’espace disque.
Le partage de fichiers SMB 3.0 ne peut pas servir pour le stockage direct des données
Exchange. Il sert uniquement au stockage de disques virtuels fixes ou dynamiques.
En dehors du cas particulier de SMB 3.0, les protocoles au niveau du fichier comme
SMB et NFS ne sont pas supportés. Seuls les protocoles au niveau du bloc sont supportés.
Toutefois, le stockage NAS (Network Attached Storage) qui est présenté à l’invité en tant
que stockage au niveau du bloc via l’hyperviseur n’est pas pris en charge.
Le stockage utilisé par Exchange doit être hébergé en piles de disque distinctes du
stockage hébergeant le système d’exploitation de l’ordinateur virtuel invité.
La technologie qui déplace une machine virtuelle en transportant l’état et la mémoire
de la machine virtuelle sur le réseau sans temps d’arrêt perçu est prise en charge pour
l’utilisation avec Exchange.
Préparation de l’environnement d’accueil d’Exchange
Précaution d’installation
En production, vous devez installer votre serveur Exchange sur un serveur membre du
domaine, et non pas sur un contrôleur de domaine.
En effet, l’installation d’Exchange sur un contrôleur de domaine n’est pas
recommandée car il y a plusieurs contre-indications liées à la sécurité et aux
performances.
En particulier, si vous installez votre serveur Exchange sur un contrôleur de domaine,
les droits d’administrateur de domaine seront accordés à tous les serveurs Exchange du
domaine car le compte sous-système approuvé Exchange (Exchange Trusted Subsystem)
est ajouté au groupe Administrateurs du domaine. Ce qui est une faille potentielle en
termes de sécurité.

Préparation d’Active Directory


Lorsque vous installez Exchange Server 2016 pour la première fois, Active Directory
doit subir une préparation qui est nécessaire. Cette préparation conduit à s’assurer que :
Le serveur qui est Maître de schéma doit exécuter Windows Server 2008 R2 ou une
version ultérieure.
Le domaine AD peut être géré par des contrôleurs de domaine sous Windows Server 2008
R2 ou une version ultérieure.
Le niveau fonctionnel de la forêt doit être au moins Windows Server 2008 R2.
Un serveur de catalogue global doit être présent dans chaque site où fonctionne Exchange
Server.
Le compte pour l’installation doit être membre des groupes Administrateurs du
schéma, Administrateurs de domaine et Administrateurs de l’entreprise.
Les méthodes d’installation GUI, PowerShell
Il existe deux modes d’installation, car vous pouvez utiliser l’interface graphique ou
faire l’installation en ligne de commande.
L’avantage de l’assistant d’installation graphique d’Exchange Server 2016 est de
disposer d’une interface simple et conviviale. Outre l’installation, celle-ci se charge de
vérifier et préparer l’environnement. L’assistant graphique d’installation d’Exchange
Server 2016, se lance avec setup.exe (sans arguments).
L’autre mode d’installation se fait en ligne de commande. Outre l’installation, et la
vérification de l’environnement, l’avantage de ce mode est d’offrir des options
supplémentaires qui sont inaccessibles dans l’interface graphique.
Si vous choisissez ce mode, vous devez impérativement préparer manuellement
l’environnement d’accueil d’Exchange et notamment Active Directory à l’aide des
commandes qui sont présentées dans les exercices suivants.
TP 03A Préparer les VMs
Pour monter le labo Exchange Server 2016, quatre machines virtuelles (VM) sont
utilisées pour les différents serveurs, en plus du contrôleur de domaine : Serveur 1,
Serveur 2, Serveur 1, Client 1.
Les principes d’affectation des VM ne sont pas rigides pour les serveurs mais en
principe Exchange est sur Serveur 2, Edge est sur le Serveur 3 et Serveur 1 sert de secours.
Client 1 sert pour le poste client avec Outlook.
Windows Server est déjà installé sur les VM Serveur. Windows est installé sur la VM
Client 1.

Objectif
L’objectif est de préparer le serveur virtuel qui va recevoir l’installation d’Exchange.
Les tâches à accomplir sont :
Préparer le futur serveur Exchange
Préparer le futur serveur Edge
Préparer le futur poste client
Configurer le réseau IP du futur serveur Exchange
Renommer votre futur serveur Exchange
Rattacher votre futur serveur Exchange au domaine NOVAx.AD

Solution
Préparer le futur serveur Exchange

Si les ordinateurs virtuels n’existent pas :


Dans le volet Actions (à droite), cliquez sur Nouveau puis Ordinateur virtuel.
Dans l’assistant qui s’ouvre, cochez la case Ne plus afficher cette page puis cliquez
sur Suivant.
Dans l’écran suivant, nommez la machine virtuelle : XSGMBx (x est le dernier octet
de votre adresse IP) et cliquez sur la case Stocker l’ordinateur virtuel a un autre
emplacement. En face du champ Emplacement, cliquez sur le bouton Parcourir puis
sélectionnez par exemple le dossier C:\Machines virtuelles\VM\Serveur n\Virtual Hard
Disks et cliquez sur Suivant.
Dans l’écran suivant, gardez le format de génération proposé par défaut : Génération 1
puis cliquez sur Suivant.
Dans l’écran suivant, indiquez que la mémoire utilisée est 8192 Mo. C’est la mémoire
minimum recommandée pour un serveur Exchange. Cliquez sur Suivant.
Dans l’écran suivant, sélectionnez une connexion réseau, comme par exemple Intel(R)
Ethernet Connection. Le nom de la connexion réseau peut être différent. Cliquez sur
Suivant.
Dans l’écran suivant, cochez la case Utiliser un disque dur virtuel existant. En face
du champ Emplacement, cliquez sur le bouton Parcourir puis sélectionnez par exemple le
fichier C:\Machines virtuelles\VM\Serveur n\Virtual Hard Disks\Windows 2012.vhdx et
cliquez sur Suivant.

Figure 3‑3 Création VM

Patientez quelques secondes puis vérifiez les informations et cliquez sur Terminer.
Si les ordinateurs virtuels existent :
Vous allez modifier les paramètres de la machine virtuelle Serveur 2, qui sera votre
futur serveur Exchange.

Figure 3‑4 VM Serveur 2

Renommez la machine virtuelle en : XSGMBx (x est le dernier octet de votre adresse


IP).
Si votre machine physique a une mémoire de 16 Go, indiquez une mémoire de
8192 Mo pour XSGMBx.
Dans les paramètres de la machine virtuelle, sélectionnez une carte réseau.
Dans tous les cas :
La configuration nécessite un disque supplémentaire que vous allez créer.
Pour cela, dans le Gestionnaire Hyper-V, vous faites un clic droit sur le nom de votre
serveur XSGMBx.
Dans le menu qui s’ouvre, vous cliquez sur Paramètres.
Sous la section Ajouter un matériel, vous cliquez sur Contrôleur SCSI puis sur le
bouton Ajouter.
Sous la section Contrôleur SCSI, vous cliquez sur Disque Dur puis sur le bouton
Ajouter.
Sous la section Disque dur et sous Emplacement, sélectionnez la première valeur qui
n’est pas en cours d’utilisation, comme par exemple 1. Sous Disque dur virtuel, cliquez
sur Nouveau.
Dans l’assistant qui s’ouvre, cochez la case Ne plus afficher cette page puis cliquez
sur Suivant.
Dans l’écran suivant, gardez le format de disque proposé par défaut : VHDX puis
cliquez sur Suivant.
Dans l’écran suivant, gardez le type de disque proposé par défaut : Taille dynamique
puis cliquez sur Suivant.
Dans l’écran suivant, nommez le disque dur : Disque2.vhdx et cliquez sur le bouton
Parcourir puis sélectionnez le dossier C:\Machines virtuelles\VM\Serveur 2\Virtual Hard
Disks et cliquez sur Suivant.
Dans l’écran suivant, gardez l’option cochée par défaut Créer un disque dur virtuel
vierge, donnez la taille de 20 Go et cliquez sur Suivant.
Vérifiez les informations et cliquez sur Terminer.
Dans l’écran des paramètres de XSGMBx, cliquez sur OK.
Le disque dur a été créé mais il faut le mettre en ligne dans Windows.
Pour cela, dans le Gestionnaire Hyper-V, vous faites un clic droit sur le nom de votre
serveur XSGMBx.
Dans le menu qui s’ouvre, vous cliquez sur Démarrer. Patientez quelques secondes.
Faites à nouveau un clic droit sur le nom du serveur XSGMBx et dans le menu, vous
cliquez sur Se connecter.
Lorsque le serveur est monté, appuyez sur Ctrl+Alt+Fin (et non pas Suppr) puis
saisissez le mot de passe du compte administrateur.
Dans le Gestionnaire de serveur, cliquez sur Outils puis Gestion de l’ordinateur.
Dans la console Gestion de l’ordinateur, sous Stockage, cliquez sur Gestion des
disques : le disque de 20 Go apparaît avec le statut Hors connexion (dans la partie
graphique du volet central).
Faites un clic-droit sur Disque 1 puis sélectionnez En ligne : il change de statut pour
Non initialisé. Puis faites à nouveau un clic-droit sur Disque 1 puis sélectionnez Initialiser
le disque : la fenêtre Initialiser le disque apparaît. Dans cette fenêtre, gardez toutes les
options par défaut puis cliquez sur le bouton OK : il change de statut pour En ligne.
Dans la partie non allouée, créez 2 volumes simples de 10 Go chacun : E: et F:, que
vous formaterez.
Préparer le futur serveur Edge

Maintenant, vous allez modifier les paramètres de la machine virtuelle Serveur 3, qui
sera votre futur serveur Edge.
Nommez la machine virtuelle : XSGEDGEx (x est le dernier octet de votre adresse IP).
Indiquez que la mémoire utilisée est 2048 Mo.
Dans les paramètres de la machine virtuelle, sélectionnez une carte réseau.
Préparer le futur poste client

Maintenant, vous allez modifier les paramètres de la machine virtuelle Client 1, qui
sera votre machine cliente avec Outlook.
Nommez la machine virtuelle : CLIENTx (x est le dernier octet de votre adresse IP).
Indiquez que la mémoire utilisée est 1024 Mo.
Dans les paramètres de la machine virtuelle, sélectionnez une carte réseau.
Configurer le réseau IP du futur serveur Exchange

Démarrez votre machine virtuelle XSGMBx.


Pour ouvrir une session sur une machine virtuelle, appuyez sur CTRL+ALT+FIN (et
non CTRL+ALT+SUPPR). Ouvrez une session avec le compte local Administrateur sur
XSGMBx.
Paramétrez la carte réseau.
Adresse IP : 192.168.y.x+20 : Autrement dit ajoutez 20 à x.
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.y.254
Serveur DNS préféré : 192.168.y.x. C’est l’adresse IP de votre DCx.
Serveur DNS auxiliaire : 194.2.0.20 (attention c’est 194 et non 192)
Figure 3‑5 Exemple de configuration XSGMB100

Si Windows vous propose de découvrir les autres ordinateurs du réseau, acceptez la


proposition.
Renommer votre futur serveur Exchange

Cette étape sert à donner un nom significatif à votre serveur Exchange.


Dans une invite de commande, tapez la commande suivante pour renommer votre
serveur en XSGMBx où x est le dernier octet de votre adresse IP.
SYSDM.CPL
Cliquez sur l’onglet Nom de l’ordinateur, puis cliquez sur le bouton Modifier et
changez le nom du serveur en XSGMBx où x est le dernier octet de votre adresse IP.
Lorsque l’assistant vous proposera de redémarrer votre serveur, faites-le.
Une fois que le serveur a redémarré, Ouvrez une session avec le compte local
Administrateur.
Dans une invite de commande, tapez la commande suivante pour vérifier que votre
ordinateur a bien été renommé en XSGMBx.
HOSTNAME
Le nom affiché doit correspondre à XSGMBx.
Rattacher votre futur serveur Exchange au domaine NOVAx.AD

Une fois que la machine virtuelle a redémarré, vous ouvrez une session avec le compte
local Administrateur.
Dans une invite de commande, tapez la commande suivante pour rattacher XSGMBx
au domaine NOVAx.AD.
SYSDM.CPL
Cliquez sur l’onglet Nom de l’ordinateur, puis cliquez sur le bouton Modifier et
indiquez qu’il est membre du domaine NOVAx.AD.
IMPORTANT : Si vous avez un message d’erreur lors du rattachement au domaine,
vérifiez les propriétés de l’adresse IP. Notamment, que l’adresse IP du Serveur DNS
préféré est bien celle de votre DC.
Indiquez le compte et le mot de passe du compte administrateur dans la fenêtre de
connexion puis patientez quelques secondes. Lorsque l’assistant vous proposera de
redémarrer XSGMBx, faites-le.

Résumé
Dans cet exercice, vous avez préparé les machines virtuelles qui seront utilisées pour
héberger le futur serveur Exchange, le futur serveur Edge et le futur poste client.
Vous avez aussi configuré le réseau IP du futur serveur Exchange, qui a été renommé
en XSGMBx.
Une fois qu’il a été renommé, vous l’avez rattaché au domaine NOVAx.AD.
TP 03B Installer les prérequis Exchange
Objectif
L’objectif est de préparer manuellement le serveur qui va recevoir l’installation
d’Exchange.
Les tâches à accomplir sont :
Modifier le mode de démarrage du service de partage de ports Net.Tcp pour qu’il démarre
en mode automatique
Ajouter les fonctionnalités nécessaires pour accueillir le rôle de serveur de boîtes aux
lettres
Installer.NET Framework 4.5.2, UCMA (Unified Communications Managed API) 4.0
Installer le pack des outils d’administration de serveur distant RSAT-ADDS

Préparation
Vous pouvez télécharger en une seule fois tous les fichiers nécessaires aux exercices
des travaux pratiques à l’adresse suivante : http://coudr.com/e
Démarrez votre machine virtuelle XSGMBx.
Ouvrez une session avec le compte de domaine Administrateur@NOVAx.AD et non
avec le compte local XSGMBx\Administrateur.

Solution
Modifier le mode de démarrage du service de partage de ports Net.Tcp pour qu’il

démarre en mode automatique
Pour son fonctionnement Exchange utilise le service de partage de ports Net.Tcp.
Comme son nom le suggère, ce service fournit la possibilité de partager des ports TCP sur
le protocole Net.Tcp.
Selon la configuration de Windows Server, il est possible que le service soit en
démarrage manuel, et non en démarrage automatique. Vous allez vous assurer qu’il est
bien en démarrage automatique.
Pour cela, ouvrez la console Windows PowerShell qui se trouve dans la barre des
tâches.
Dans cette console, exécutez sur une seule ligne la commande ci-dessous. S’il n’y a
pas d’erreurs, il est normal que la commande ne renvoie rien. Rassurez-vous : s’il y a la
moindre erreur, vous le saurez tout de suite…
Set-Service NetTcpPortSharing `
-StartupType Automatic
Figure 3‑6 NetTcpPortSharing

L’installation des autres prérequis dépend des rôles qui doivent être installés.
Dans ce scénario, le serveur aura le rôle de serveur de boîtes aux lettres.
Les commandes sont différentes pour installer un rôle de serveur de transport Edge.
L’installation du serveur Edge et sa configuration, est faite plus loin.
Ajouter les fonctionnalités nécessaires pour accueillir le rôle de serveur de boîtes

aux lettres
Exécutez sur une seule ligne la commande ci-dessous. Rappelez-vous qu’elle se
trouve dans les corrigés des travaux pratiques à télécharger sur http://coudr.com/e. Ne
perdez pas de temps à la taper à la main.
Install-WindowsFeature AS-HTTP-Activation, `
Desktop-Experience, NET-Framework-45-Features,`
RPC-over-HTTP-proxy, RSAT-Clustering, `
RSAT-Clustering-CmdInterface, `
Web-Mgmt-Console, WAS-Process-Model, `
Web-Asp-Net45, Web-Basic-Auth, `
Web-Client-Auth, Web-Digest-Auth, `
Web-Dir-Browsing, Web-Dyn-Compression, `
Web-Http-Errors, Web-Http-Logging, `
Web-Http-Redirect, Web-Http-Tracing, `
Web-ISAPI-Ext, Web-ISAPI-Filter, `
Web-Lgcy-Mgmt-Console, Web-Metabase, `
Web-Mgmt-Console, Web-Mgmt-Service, `
Web-Net-Ext45, Web-Request-Monitor, `
Web-Server, Web-Stat-Compression, `
Web-Static-Content, Web-Windows-Auth, Web-WMI,`
Windows-Identity-Foundation
À la fin de l’installation, redémarrez le serveur avec la commande PowerShell
suivante :
Restart-Computer
Installer.NET Framework 4.5.2, UCMA (Unified Communications Managed API)

4.0
Ensuite, vous devez installer dans cet ordre les produits suivants. Il est possible que
certains de ces produits soient déjà installés grâce à Windows Update.
Microsoft NET Framework 4.5.2 : http://coudr.com/win001
Unified Communications Managed API 4.0 Runtime : http://coudr.com/win003
Figure 3‑7 Installation terminée de UCMA

Installer le pack des outils d’administration de serveur distant RSAT-ADDS


Le pack des outils d’administration de serveur distant RSAT-ADDS (Remote Server


Administration Tools) est nécessaire pour préparer l’installation d’Exchange Server 2016.
Pour installer le pack des outils d’administration de serveur distant, ouvrez une invite
de commandes PowerShell, puis exécutez la commande ci-dessous :
Install-WindowsFeature RSAT-ADDS

Figure 3‑8 RSAT-ADDS

Résumé
Dans cet exercice, vous avez préparé le futur serveur Exchange en modifiant le mode
de démarrage du service de partage de ports Net.Tcp pour qu’il démarre en mode
automatique.
Vous lui avez aussi ajouté les fonctionnalités nécessaires pour accueillir les rôles de
serveur de boîtes aux lettres et d’accès au client grâce aux commandes Windows
PowerShell.
Vous avez aussi installé des outils complémentaires, ainsi que le pack des outils
d’administration de serveur distant RSAT-ADDS.
TP 03C Préparer Active Directory
Objectif
L’objectif de la préparation Active Directory consiste à mettre à jour la partition de
configuration d’Active Directory pour pouvoir stocker les informations nécessaires à
Exchange Server, en particulier sa configuration. Cette partition est répliquée sur tous les
contrôleurs de domaines de la forêt.
La tâche à accomplir est :
Préparer l’AD en créant votre organisation Exchange

Préparation
Une version d’Exchange Server 2016 est nécessaire pour préparer l’environnement
Active Directory et, évidemment, pour l’installer.
Vous pouvez télécharger gratuitement une version d’évaluation complète d’Exchange
Server 2016, valable durant 180 jours, en suivant le lien ci-dessous.
Téléchargement de Microsoft Exchange Server 2016
http://coudr.com/q
Dans ce scenario, la version utilisée est la version Microsoft Exchange Server 2016
Cumulative Update 2 (CU2). Celle-ci peut être utilisée pour installer Exchange Server
2016 ou mettre à niveau une installation existante d’Exchange Server 2016.
Cette version contient tous les correctifs à jour depuis la sortie de Exchange Server
2016.
La préparation doit se faire sur un contrôleur de domaine qui possède le rôle FSMO
(Flexible Single Master Operation) Maître de schéma, avec un compte membre des
groupes Administrateurs du Schéma (Schema Admins) et Administrateurs du domaine
(Domain Admins).
Vérifiez que votre contrôleur de domaine DCx est bien démarré. S’il n’est pas
démarré, démarrez-le.
Si la session administrateur de domaine n’est pas encore ouverte sur DCx, ouvrez-en
une.
Une fois que la session est ouverte, montez le fichier ExchangeServer2016-x64-
CU2.iso, qui contient les fichiers d’installation d’Exchange Server. Si vous préférez, vous
pouvez le dézipper dans le dossier local C:\XSG2016CU2.

Solution
Préparer l’AD en créant votre organisation Exchange

Le programme setup.exe à exécuter en ligne de commande est celui qui est présent
dans le dossier d’installation des binaires d’Exchange. Les binaires se trouvent dans le
dossier C:\XSG2016CU2.
Pour connaître toutes les options disponibles du programme setup.exe, exécutez la
commande suivante.
Setup.exe /h:install
Si vous installez Exchange Server dans la forêt Active Directory pour la première fois,
vous allez exécuter la commande de configuration qui se trouve plus bas pour préparer
l’AD.
Dans la commande, “nomOrganisation” est le nom de votre organisation Exchange. Par
exemple NOVA, et non pas NOVA.FR ou NOVA.AD. Le nom de l’organisation peut être
différent du nom de domaine ou de forêt. Si votre nom d’organisation contient des
espaces, il doit être mis entre guillemets.
Si l’opération de configuration d’Exchange Server ne s’est pas terminée, lisez le
contenu du message de la commande. Il s’agit parfois d’un simple redémarrage qui est en
attente.
Setup.exe /PrepareAD /OrganizationName:“nomOrganisation”
/IAcceptExchangeServerLicenseTerms

Figure 3‑9 Préparation de l’AD

Si une organisation Exchange existe déjà, vous pouvez omettre la valeur du paramètre
/OrganizationName.
Lors de cette étape, il est possible aussi d’activer les autorisations fractionnées Active
Directory avec le paramètre /ActiveDirectorySplitPermissions. Cette option sépare
complètement les autorisations nécessaires à l’administration d’Exchange de celles
nécessaires à l’administration Active Directory.
Concrètement, les administrateurs d’Exchange ne pourront pas créer dans l’AD des
comptes utilisateurs, des groupes ou des contacts par exemple. Ils ne pourront pas non
plus gérer les attributs non-Exchange de ces objets.
Le fractionnement des autorisations concerne les grandes organisations. Bien
évidemment il ne faut pas activer cette option, si c’est le même compte qui est utilisé pour
gérer Exchange et Active Directory.
Par ailleurs, cette option n’est pas disponible quand Exchange est installé sur un
contrôleur de domaine, ce qui est déconseillé.

Résumé
Dans cet exercice, vous avez préparé l’Active Directory en créant votre organisation
Exchange à l’aide de la commande Setup.exe /PrepareAD et de ses paramètres.
TP 03D Préparer le schéma
Objectif
L’objectif de la préparation du schéma consiste à mettre à niveau le schéma d’annuaire
afin de créer les nouveaux objets et les nouveaux attributs nécessaires au fonctionnement
d’Exchange.
La tâche à accomplir est :
Modifier le schéma pour préparer l’installation d’Exchange

Préparation
Si la session d’administrateur de domaine n’est pas encore ouverte sur DCx, ouvrez-en
une avec le compte de domaine Administrateur@NOVAx.AD.

Solution
Modifier le schéma pour préparer l’installation d’Exchange

Si vous installez Exchange Server dans la forêt Active Directory pour la première fois,
vous allez exécuter la commande de configuration suivante pour préparer le schéma.
Le programme setup.exe à exécuter en ligne de commande est celui qui est présent
dans le dossier d’installation des binaires d’Exchange. Les binaires se trouvent dans le
dossier C:\XSG2016CU2.
Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

Figure 3‑10 Préparation du schéma

Résumé
Dans cet exercice, vous avez modifié le schéma pour préparer l’installation
d’Exchange à l’aide de la commande Setup.exe /PrepareSchema et de son paramètre.
TP 03E Préparer le domaine
Objectif
La préparation du domaine doit être faite sur le domaine où Exchange va être installé.
Si vous envisagez d’installer Exchange Server sur un domaine et de créer les boîtes aux
lettres pour des utilisateurs d’un autre domaine, vous devrez faire la manipulation sur les
deux domaines.
La tâche à accomplir est :
Modifier la partition du domaine pour préparer l’installation d’Exchange
Dans un environnement de production, vous devez attendre que ces modifications
soient répliquées sur tous les contrôleurs du domaine avant de démarrer l’installation
d’Exchange Server.

Préparation
Si la session d’administrateur de domaine n’est pas encore ouverte sur DCx, ouvrez-en
une avec le compte de domaine Administrateur@NOVAx.AD.

Solution
Modifier la partition du domaine pour préparer l’installation d’Exchange

Afin de préparer le domaine, vous allez exécuter la commande de configuration


suivante. Dans ce scenario, la préparation du domaine est faite sur un serveur du domaine
racine de la forêt.
Le programme setup.exe à exécuter en ligne de commande est celui qui est présent
dans le dossier d’installation des binaires d’Exchange.
Setup.exe /PrepareDomain /IAcceptExchangeServerLicenseTerms

Figure 3‑11 Préparation du domaine

Au cas, où l’installation est faite sur un domaine enfant, la commande à exécuter est :
Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms
La préparation est terminée. À partir de maintenant, vous devez laisser votre contrôleur
de domaine démarré.
Il reste à faire l’installation d’Exchange soit avec l’interface graphique, soit en ligne de
commande (recommandé).

Résumé
Dans cet exercice, vous avez modifié la partition du domaine pour préparer les
contrôleurs des domaines qui accueillent l’installation d’Exchange et des boîtes aux
lettres à l’aide de la commande Setup.exe /PrepareDomain et de son paramètre.
TP 03F Installer Exchange avec l’interface graphique
(avertissement)
Pour cet exercice, il est recommandé de lire les instructions d’installation, ainsi que les
commentaires associés, plutôt que de chercher à exécuter les instructions.
En effet, si vous souhaitez installer Exchange, il est vivement conseillé d’utiliser la
méthode d’installation en ligne de commande qui propose plus d’options, et qui est
décrite dans l’exercice suivant.

Objectif
L’objectif est de procéder à l’installation d’Exchange avec l’interface graphique.
Les tâches à accomplir sont :
Monter un lecteur réseau sur les binaires d’installation d’Exchange
Installer les rôles de boîte aux lettres et d’accès au client avec l’interface graphique

Préparation
Vérifiez que votre machine virtuelle XSGMBx est bien démarrée. Si elle n’est pas
démarrée, démarrez-la.
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.

Solution
Monter un lecteur sur les binaires d’installation d’Exchange

Une fois que la session est ouverte, montez le fichier ExchangeServer2016-x64-


CU2.iso, qui contient les fichiers d’installation d’Exchange Server. Si vous préférez, vous
pouvez le dézipper dans le dossier local C:\XSG2016CU2.
Installer les rôles de boîte aux lettres et d’accès au client avec l’interface

graphique
Vous pouvez maintenant exécuter le programme d’installation d’Exchange. Pour cela
double-cliquez sur le programme setup.exe qui est présent dans le dossier d’installation
des binaires d’Exchange.
Figure 3‑12 Vérification des mises à jour

Cochez l’option Ne pas vérifier les mises à jour maintenant. Dans la mesure où
l’installation est faite avec le Cumulatif Update 2 intégré, vous n’avez pas besoin dans
l’immédiat de mises à jour éventuelles. Vous pourrez toujours plus tard faire une mise à
jour par vous-même.
Cliquez sur le bouton suivant : la copie des fichiers nécessaires à l’installation ainsi
que leur préparation débutent.
La fenêtre Introduction s’affiche.
Cliquez sur le bouton suivant : la fenêtre Contrat de licence apparaît.
Cochez la case J’accepte les termes du contrat de licence puis cliquez sur le bouton
suivant :la fenêtre Paramètres recommandés s’affiche. Celle-ci propose par défaut
d’activer le programme d’amélioration de l’expérience utilisateur de Microsoft CEIP
(Customer Experience Improvement Program) ainsi le service de rapport d’erreurs
Microsoft.
Laissez l’option par défaut et cliquez sur le bouton suivant : la fenêtre Sélection du
rôle de serveur s’affiche. Il s’agit de la fenêtre principale, où vous sélectionnez les rôles à
installer, ainsi que les outils de gestion.
Dès que vous avez coché la case Mailbox role (rôle de Boite aux lettres), la case
Management tools (Outils de gestion) a été grisée et la case Edge Transport role (rôle
Transport Edge) est devenue grisée.

Figure 3‑13 Sélection du rôle de serveur

Cochez la case Automatically install Windows Server roles and features that are
required to install Exchange Server (Installer automatiquement les rôles et les
fonctionnalités Windows Server requis pour Exchange Server) puis cliquez sur le bouton
suivant : la fenêtre Espace et emplacement d’installation s’affiche.
Laissez l’emplacement par défaut et cliquez sur le bouton suivant : la fenêtre
Paramètres de protection anti-programmes malveillants apparaît. Il est conseillé de garder
le programme de surveillance, à moins que vous utilisiez un produit tiers validé pour
Exchange.
Laissez le paramétrage par défaut et cliquez sur le bouton suivant : la vérification de la
conformité de votre installation débute.
En particulier, vous aurez un message si vous installez directement votre serveur
Exchange sur un contrôleur de domaine. Dans un environnement de production, il est
recommandé d’installer votre serveur Exchange sur un serveur membre du domaine, et
non pas sur un contrôleur de domaine.
Toutefois, en formation ou pour un test, il est possible de continuer l’installation.
Cliquez sur le bouton installer.
L’installation comprend 14 étapes et dure environ 25 minutes. La durée réelle de
l’installation dépend du matériel dont vous disposez.

Figure 3‑14 Installation terminée

Ne cochez pas la case et cliquez sur le bouton terminer.


L’installation n’est pas complètement terminée car il est nécessaire de procéder à la
vérification de l’installation et de finaliser le déploiement.
Après avoir installé Exchange sur un serveur, vous ne devez pas renommer le serveur
car renommer un serveur après avoir installé un rôle serveur d’Exchange n’est pas pris en
charge.
Pour l’instant, redémarrez votre serveur.

Résumé
Dans cet exercice, vous avez installé Exchange Server 2016 grâce à l’assistant
graphique.
En particulier, vous avez installé les rôles de boîte aux lettres et d’accès au client sur
XSGMBx.
TP 03G Installer Exchange en ligne de commande
Objectif
L’inconvénient de l’interface graphique est de procéder à des choix par défaut qui ne
conviennent généralement pas : nom généré de la base de données, emplacement des
bases, etc. Même s’il est simple de renommer une base de données, ou de modifier son
emplacement, il est préférable de le faire dès l’installation.
L’objectif est de procéder à l’installation d’Exchange en ligne de commande (mode
unattended) en indiquant les paramètres de base de données suivants :
La base de données s’intitule BDD-TOUS
Le fichier de stockage de la base de données est E:\BDD01\BDD-TOUS.edb
Le dossier de stockage des fichiers de transactions est E:\BDD01
Dans la mesure du possible, il faut éviter de stocker les bases de données sur le même
emplacement que le disque système et de démarrage (C:) pour des raisons liées aux
performances et aux procédures de sauvegarde / restauration qui sont vues plus bas.
Jusqu’à la version Microsoft Exchange Server 2010, il était conseillé de séparer les
fichiers journaux du fichier de données EDB, sur des axes de disques distincts pour des
raisons de performances et de tolérance de pannes. Les améliorations apportées par
Exchange 2016 dans ces deux domaines permettent de lever cette contrainte.
Comme cela a été expliqué dans le chapitre précédent, vous devez installer votre
serveur Exchange sur un serveur membre du domaine, et non pas sur un contrôleur de
domaine, dans un environnement de production.
Lors de l’installation en ligne de commande, une vérification des prérequis est faite. Si
les manipulations liées à la préparation n’ont pas tous été réalisées avec succès,
l’installation d’Exchange ne sera pas faite.
La tâche à accomplir est :
Installer le rôle de boîte aux lettres en ligne de commande en indiquant les paramètres des
bases

Préparation
Vérifiez que votre machine virtuelle XSGMBx est bien démarrée. Si elle n’est pas
démarrée, démarrez-la. Le contrôleur de domaine doit aussi être démarré.
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Par ailleurs, l’installation en ligne de commande d’Exchange nécessite que la phase de
préparation, décrite en détail dans les exercices des Travaux Pratiques TP 03B à TP 03E,
soit entièrement terminée.
Solution
Monter un lecteur sur les binaires d’installation d’Exchange

Une fois que la session est ouverte, montez le fichier ExchangeServer2016-x64-


CU2.iso, qui contient les fichiers d’installation d’Exchange Server. Si vous préférez, vous
pouvez le dézipper dans le dossier local C:\XSG2016CU2.
Installer le rôle de boîte aux lettres en ligne de commande en indiquant les

paramètres des bases


Afin d’installer le rôle, vous allez exécuter la commande d’installation suivante sur
une seule ligne.
Le programme setup.exe à exécuter en ligne de commande est celui qui est présent
dans le dossier d’installation des binaires d’Exchange.
Notez que le programme d’installation se charge de créer les dossiers, s’ils n’existent
pas, puisqu’ils sont spécifiés dans les paramètres. Toutefois, avant de lancer la commande,
vérifiez la présence du lecteur sur lequel vous souhaitez créer la première base de
données. Dans l’exemple ci-dessous, il s’agit de E:
Setup.exe /mode:install /role:mailbox /IAcceptExchangeServerLicenseTerms
/Mdbname:BDD-TOUS /LogFolderPath:E:\BDD01 /DbFilePath:E:\BDD01\BDD-
TOUS.edb

Figure 3‑15 Début installation unattended

L’installation dure environ 25 minutes. La durée réelle de l’installation dépend du


matériel dont vous disposez.
Pendant ce temps-là, vous pouvez faire en parallèle les exercices du TP 04E Installer
un poste client avec Outlook. Vous attendrez que l’installation d’Exchange soit terminée
et que le serveur XSGMBx ait bien redémarré avant d’exécuter Outlook. En revanche,
l’installation d’Outlook peut se faire à tout moment.
Figure 3‑16 Fin installation unattended

L’installation n’est pas complètement terminée car il est nécessaire de procéder à la


vérification de l’installation et de finaliser le déploiement.
Après avoir installé Exchange sur un serveur, vous ne devez pas renommer le serveur.
Renommer un serveur après avoir installé un rôle serveur d’Exchange n’est pas pris en
charge.
Pour l’instant, redémarrez votre serveur.

Résumé
Dans cet exercice, vous avez installé Exchange Server 2016 en ligne de commande.
En particulier, vous avez installé le rôle de boîte aux lettres sur XSGMBx.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Ask the Perf Guy: Sizing Exchange 2016 Deployments :
https://blogs.technet.microsoft.com/exchange/2015/10/15/ask-the-perf-guy-sizing-
exchange-2016-deployments/
Ask the Perf Guy: Sizing Exchange 2013 Deployments :
http://blogs.technet.com/b/exchange/archive/2013/05/06/ask-the-perf-guy-sizing-
exchange-2013-deployments.aspx
Microsoft Exchange 2013 Server Role Requirements Calculator :
http://gallery.technet.microsoft.com/Exchange-2013-Server-Role-f8a61780
Microsoft Exchange Processor Query Tool :
http://gallery.technet.microsoft.com/office/Exchange-Processor-Query-b06748a5
Microsoft Reference Architecture for Private Cloud :
http://social.technet.microsoft.com/wiki/contents/articles/3819.reference-architecture-for-
private-cloud.aspx
Exchange 2013 Deployment Assistant : http://technet.microsoft.com/en-
us/exchange/jj657516.aspx
Exchange 2016 System Requirements : http://technet.microsoft.com/en-
us/library/aa996719(v=exchg.160).aspx
Exchange Server 2016 Planning and Deployment : http://technet.microsoft.com/en-
us/library/aa998636(v=exchg.160).aspx
Prepare Active Directory and Domains : http://technet.microsoft.com/en-
us/library/bb125224(v=exchg.160).aspx
Matrice de support d’Exchange Server : http://technet.microsoft.com/en-
us/library/ff728623(v=exchg.160).aspx
Microsoft System Center Virtual Machine Manager :
http://technet.microsoft.com/library/gg610610.aspx
Rôles de maître d’opérations : https://technet.microsoft.com/fr-
fr/library/cc773108(v=ws.10).aspx
Installer le rôle de boîte aux lettres Exchange 2016 à l’aide de l’Assistant Installation :
https://technet.microsoft.com/fr-fr/library/bb124778(v=exchg.160).aspx
Installation d’Exchange 2016 en mode sans assistance :
https://technet.microsoft.com/fr-fr/library/aa997281(v=exchg.160).aspx
Vérifier une installation d’Exchange 2016 ¨ https://technet.microsoft.com/fr-
fr/library/bb125254(v=exchg.160).aspx
Chapitre 4 Tâches élémentaires d’administration

Pour des raisons pratiques, les notions relatives aux boîtes aux lettres, aux listes
d’adresses, aux groupes, etc. sont introduites rapidement dans ce chapitre, notamment afin
d’avoir quelques boîtes aux lettres sous la main pour les futurs exercices. Toutefois, vous
trouverez plus d’explications dans les prochains chapitres.
Les différents outils d’administration disponibles
Les outils d’administration d’Exchange regroupent des outils dédiés à Exchange Server
et des outils d’Active Directory. Ces derniers ont été présentés dans la section consacrée à
Active Directory du Chapitre 2 Présentation et nouveautés.
Afin de faciliter la manipulation des premières commandes nécessaires à l’installation
d’Exchange, l’environnement PowerShell a déjà été introduit dans le même chapitre.
Les principales commandes PowerShell spécifiques à Exchange sont présentées ci-
dessous dans la section consacrée à EMS (Exchange Management Shell).
Le Centre d’Administration Exchange
Accès au Centre d’administration Exchange
Le Centre d’administration Exchange (EAC, Exchange Admin center) remplace les
deux interfaces d’administration de Microsoft Exchange Server 2010 : la Console de
gestion Exchange (EMC, Exchange Management Console) et le Panneau de configuration
Exchange (ECP, Exchange Control Panel).
Le Centre d’administration Exchange est une console de gestion basée sur le web.
L’accès se fait à partir d’une URL interne ou externe.
Exemple d’une URL interne :
https://<NomServeurCAS>/ecp
Pour des raisons de sécurité, vous pouvez désactiver l’accès à l’URL du Centre
d’administration Exchange à partir d’Internet, par exemple, en spécifiant la variable $null
dans le paramètre ExternalUrl de la cmdlet Set-EcpVirtualDirectory (cf. TP 05A
Configurer les domaines d’accès).

Zones du Centre d’administration Exchange


Le Centre d’administration Exchange est découpé en plusieurs zones : Navigation
intersites, volet des fonctionnalités, onglets, barre d’outils, affichage Liste, volet des
détails, zone de notification, utilisateur en cours et aide.

Figure 4‑1 Zonage du Centre d’administration Exchange

Bien que vous aurez l’occasion de manipuler intensément ces différentes zones dans
les exercices des travaux pratiques, quelques particularités de cet affichage méritent d’être
présentées.

Barres d’outils
La barre d’outils contient des icônes qui correspondent à une action spécifique.
L’action est représentée sous forme d’une icône, dont la signification est donnée ci-
dessous.
Ajouter (+) permet de créer un objet. Parfois, une flèche vers le bas permet d’afficher
objets supplémentaires à créer.
Modifier (crayon) permet de modifier un objet.
Supprimer (poubelle) permet de supprimer un objet. Parfois, une flèche vers le bas permet
d’afficher des options supplémentaires.
Recherche (loupe) permet de rechercher un objet.
Actualiser (flèches circulaires) permet d’actualiser l’affichage Liste.
Options supplémentaires (…) permet d’afficher d’autres actions possibles sur les objets de
l’onglet.
Flèche vers le haut permet d’élever la priorité d’un objet.
Flèche vers le bas permet d’abaisser la priorité d’un objet.
Copier permet de copier un objet pour y apporter des modifications.
Suppression (-) permet de supprimer un élément d’une liste.

Affichage Liste
L’affichage Liste permet d’afficher jusqu’à environ 20 000 objets sur site et 10 000
objets sur la version en ligne d’Office 365. Au-delà de ces limites, la pagination est
activée.
En plus des actions disponibles dans la barre d’outils, le volet des détails permet
parfois de faire des opérations administratives généralement simples comme activer /
désactiver une fonctionnalité, etc.
L’affichage de liste supporte l’édition en masse en gardant le doigt appuyé sur la
touche CTRL. La barre d’outils et le volet détails s’actualise en conséquence.

Figure 4‑2 Modification en masse

Si vos boîtes aux lettres sont toujours hébergées sur un serveur de boîtes aux lettres
Exchange 2010, vous pouvez accéder au Centre d’administration Exchange en ajoutant la
version d’Exchange à l’URL grâce à la paire valeur du paramètre ExchClientVer.
Exemple d’URL interne au Centre d’administration Exchange d’Exchange 2010 avec
indication de la version :
https://<NomServeurCAS>/ecp?ExchClientVer=14
L’accès à l’ECP d’Exchange 2013 se fait avec la valeur ExchClientVer=15.
L’accès à l’ECP d’Exchange 2016 se fait avec la valeur ExchClientVer=16.
L’environnement EMS (Exchange Management Shell)
Les cmdlets de base ci-dessous, doivent être exécutées directement dans
l’environnement EMS (Exchange Management Shell), et non dans Windows PowerShell.
Elles sont explicitées dans la suite du livre, au fur et à mesure.
Dans Windows Server 2012, avec la touche Windows du clavier basculez sur l’écran
d’accueil (pas le bureau), puis tapez directement la chaîne de caractères Exchange
Management Shell pour lancer sa recherche. Dans la liste qui apparaît, sélectionnez-le.

Figure 4‑3 EMS

Afin de rendre plus compréhensible les cmdlets et d’alléger l’écriture, des valeurs
factices ont été renseignées dans ce chapitre. Par exemple, la cmdlet qui permet d’avoir
des informations générales sur un serveur est Get-MailboxStatistics.
Plutôt que d’écrire :
Get-MailboxStatistics -Server <NomServeurExchange>
Où <NomServeurExchange> est le nom du serveur, la cmdlet est valorisée avec un
nom de serveur arbitraire. Ce qui donne :
Get-MailboxStatistics -Server ‘XSGMB100’
Cela permet aussi de lever le doute sur le format d’écriture d’un paramètre, lorsqu’il
existe plusieurs formats. Afin de rester cohérent, les valeurs qui servent d’exemple sont
toujours les mêmes.
Pour gagner en place, le paramètre -Identity a été abrégé systématiquement en -Id.
C’est autorisé dans une cmdlet s’il n’y a pas d’ambiguïté.

Cmdlets de l’organisation
Pour activer la licence d’Exchange.
Set-ExchangeServer -Id ‘XSGMB100’ `
-ProductKey ‘12345-67890-ABCDE-FGHIJ-KLMNO’
Connaître le nombre total de boîtes aux lettres.
(Get-Mailbox -ResultSize unlimited).count

Cmdlets de serveurs
Obtenir des informations générales sur un serveur.
Get-MailboxStatistics -Server ‘XSGMB100’

Cmdlets de bases de données


Créer une base de données
New-MailboxDatabase –Server ‘XSGMB100’ `
–Name ‘BDD-TOUS’ `
-LogFolderPath ‘E:\BDD01’ `
-EdbFilePath ‘E:\BDD01\BDD-TOUS.edb’
Obtenir des informations générales sur une base de données.
Get-MailboxStatistics `
-Database ‘BDD-TOUS’ | format-list
Connaître le nombre de boîtes aux lettres par bases de données.
Get-Mailbox -ResultSize unlimited | `
Group-Object -Property:Database | `
Select Name,Count
Combinée avec la fonction de pipeline PowerShell, l’option Select permet de ne
renvoyer que les propriétés désirées.

Cmdlets de boîtes aux lettres


Créer une boîte aux lettres.
New-Mailbox -Name ‘Alice Martin’ `
-Alias ‘Alice’ `
-UserPrincipalName ‘Alice@nova100.ad’ `
-SamAccountName ‘Alice’ `
-OrganizationalUnit ‘Corporate’ `
-FirstName ‘Alice’ -LastName ‘ Martin’ `
-Database ‘BDD-TOUS’ `
-Password (ConvertTo-SecureString ‘a’ `
-AsPlainText -Force) `
-ResetPasswordOnNextLogon $False
Activer la boîte aux lettres d’archivage.
Enable-Mailbox nova100.ad/Corporate/Alice `
–Archive
Désactiver la boîte aux lettres d’archivage.
Disable-Mailbox nova100.ad/Corporate/Alice `
–Archive
Attacher une boite déconnectée.
Connect-Mailbox -Id “Alice” `
-Database ‘BDD-TOUS’ `
-User “nova100\alice” -Alias “Alice”
Obtenir des informations générales sur une boîte aux lettres.
Get-MailboxStatistics -Id ‘nova100\alice’ | Format-List
Activer un quota de 200 Mo avec avertissement à 180 Mo.
Set-Mailbox nova100.ad/Corporate/Alice `
-ProhibitSendReceiveQuota ‘200MB’ `
-IssueWarningQuota ‘180MB’ `
–ProhibitSendQuota ‘200MB’ `
-UseDatabaseQuotaDefaults $false

Cmdlets de permissions
Donner des permissions d’accès total à l’administrateur sur la boîte aux lettres d’Alice.
Add-MailboxPermission `
-Id ‘CN=alice,OU=Corporate,DC=nova100,DC=ad’ `
–User ‘nova100\Administrateur’ `
–AccessRights ‘FullAccess’
Enlever les permissions d’accès total à l’administrateur sur la boîte aux lettres d’Alice.
Remove-MailboxPermission `
-Id ‘CN=Alice,OU=Corporate,DC=nova100,DC=ad’ `
–User ‘nova100\Administrateur’ `
–AccessRights ‘FullAccess’ `
–InheritanceType ‘All’
Ajouter des permissions qui autorisent l’administrateur à envoyer des emails au nom
d’Alice.
Add-ADPermission `
-Id ‘CN=Alice,OU=Corporate,DC=nova100,DC=ad’ `
–User ‘nova100\Administrateur’ `
–ExtendedRights ‘Send-As’
Enlever les permissions qui autorisent l’administrateur à envoyer des emails au nom
d’Alice.
Remove-ADPermission `
-Id ‘CN=Alice,OU=Corporate,DC=nova100,DC=ad’ `
–User ‘nova100\Administrateur’ `
-ExtendedRights ‘Send-As’ `
-InheritanceType ‘All’ `
-ChildObjectTypes $null `
-InheritedObjectType $null -Properties $null

Cmdlets de gestion de groupes


Créer un groupe de distribution intitulé Nantes dans l’OU DRH.
New-DistributionGroup -Name ‘Nantes’ `
-Type ‘Distribution’ `
-OrganizationalUnit ‘nova100.ad/Corporate’ `
-SamAccountName ‘Nantes’ `
-DisplayName ‘Nantes’ `
-Alias ‘Nantes’
Activer le groupe de distribution Nantes.
Enable-DistributionGroup `
-Id ‘nova100.ad/Corporate/Nantes’ `
-DisplayName ‘Nantes’ -Alias ‘Nantes’
Désactiver le groupe de distribution Nantes.
Disable-DistributionGroup `
-Id ‘nova100.ad/Corporate/Nantes’
Ajouter Alice au groupe de distribution Nantes.
Add-DistributionGroupMember `
-Id ‘nova100.ad/Corporate/Nantes’ `
-Member ‘nova100.ad/Corporate/Alice’
Retirer Alice du groupe de distribution Nantes.
Remove-DistributionGroupMember `
-Id ‘nova100.ad/Corporate/Nantes’ `
-Member ‘nova100.ad/Corporate/Alice’
Visualiser les membres du groupe de distribution Nantes.
Get-DistributionGroupMember `
-Id ‘nova100.ad/Corporate/Nantes’
Tâches administratives de vérification de l’installation
Avant de finaliser le déploiement par une configuration spécifique et afin de se
prémunir de futurs problèmes, vous devez accomplir des tâches d’administration de base
afin de vérifier que les phases de préparation et d’installation se sont bien déroulées.
Fichier journal d’installation
Durant l’installation, un fichier journal a été généré. Il s’intitule ExchangeSetup.log et
se trouve à l’emplacement suivant.
%SystemDrive%\ExchangeSetupLogs
En cherchant les erreurs dans le fichier journal, vous pouvez détecter d’éventuelles
anomalies. En effet, l’installation d’Exchange peut s’être terminée sans afficher la moindre
erreur dans les fenêtres, tout en ayant des erreurs résiduelles. Celles-ci n’ont pas empêché
l’installation mais elles peuvent avoir des conséquences néfastes, par exemple lors d’un
paramétrage particulier.
Il est donc recommandé de les identifier et de les recenser afin d’être plus pertinent lors
d’un diagnostic ultérieur d’erreur. L’idéal étant de pouvoir les corriger. Toutefois, il ne faut
pas toujours se bloquer sur une erreur car une recherche sur Internet révèle parfois des
problèmes connus récurrents qui ne sont pas bloquants.
Pour gagner du temps, la recherche d’erreurs peut être faite en cherchant les chaînes de
caractères [ERROR] ou [HasException:True] dans le fichier ExchangeSetup.log.
Vous pouvez aussi chercher les avertissements ([WARNING]) mais ils sont souvent
moins pertinents car il peut s’agir d’un problème ponctuel : par exemple, un service qui
n’a pas pu démarrer assez vite car il vient juste d’être installé, etc.
Modifications Active Directory
Les impacts des modifications sur Active Directory (AD) sont facilement observables
grâce à la console Modification ADSI (ADSIEdit.msc). Cette console est livrée par défaut
avec Windows. Elle permet de visualiser les modifications apportées à l’AD et au schéma
de l’annuaire.
Elle permet aussi d’apporter manuellement des modifications à l’AD au schéma
d’annuaire. Compte-tenu de l’import impact de ces modifications, il est nécessaire de
disposer des autorisations les plus élevées. Si vous avez pris la mauvaise habitude de
travailler quotidiennement avec le compte Administrateur (ou Administrateur pour la
version US), celui-ci dispose d’emblée de ces autorisations. Il vous appartient donc d’être
très vigilant.
Les exercices du TP 04A Vérifier l’installation avec les outils d’administration,
permettent de manipuler ADSIEdit pour procéder aux vérifications de l’AD et du schéma.
Services Exchange
En fonction des rôles, vous pouvez vérifier que les services correspondants sont bien
en cours d’exécution. En effet, il arrive que certains services n’arrivent pas à démarrer
suffisamment tôt. Il suffit parfois de les démarrer manuellement pour que Microsoft
Exchange fonctionne à nouveau correctement.
Pour une installation standard des rôles de boîte aux lettres et d’accès au client, les
services suivants doivent être en cours d’exécution.

Figure 4‑4 Services en cours d’exécution


Opérations administratives de finalisation de l’installation
Les opérations administratives de finalisation sont indispensables pour un
fonctionnement opérationnel en entreprise. Toutefois, elles présentent une particularité
importante.
En effet, si elles dépendent évidemment des rôles qui ont été affectés à chaque serveur,
elles dépendent surtout des attentes et objectifs de votre organisation.
Par exemple, la mise en place d’une architecture mono-serveur pour 10 utilisateurs est
sans commune mesure avec celle d’une architecture couvrant les besoins de 7000
utilisateurs, répartis dans 7 domaines différents interconnectés, et encore moins avec celle
d’une architecture de messagerie devant répondre aux besoins de 300 000 utilisateurs
répartis sur 5 continents dans 190 pays !
Ces exemples sont loin d’être exhaustifs, car dans ce domaine tout est imaginable.
Aussi, des besoins différents ainsi que des contraintes de sécurité particulières
nécessitent des configurations spécifiques.
C’est la raison pour laquelle, ce chapitre est organisé en sous-chapitre fonctionnel.
Chaque sous-chapitre correspond finalement à un service de base d’un des rôles
Exchange, y compris le rôle Edge. Comme il s’agit d’une première introduction, les
notions abordées seront approfondies dans les autres chapitres au fur et à mesure de la
progression.
Par ailleurs, les prochains exercices des travaux pratiques permettront de mettre en
place les principales recommandations.
Administrateurs Exchange
La préparation de l’installation d’Exchange entraîne la création de l’unité
d’organisation (OU, Organizational Unit) Microsoft Exchange Security Groups avec ses
groupes de sécurité universels.
Le rôle d’administrateur Exchange Server est défini par son appartenance à un de ces
groupes de sécurité. Parmi les groupes de sécurité Exchange, les quatre groupes suivants
ont un intérêt immédiat pour une structure de taille intermédiaire. Les autres groupes sont
explicités plus loin.
Les membres du groupe Administration de l’organisation (Organization
Management) disposent d’un accès complet à tous les objets et propriétés Exchange dans
l’organisation Exchange. Les membres peuvent également déléguer des groupes de rôles
et des rôles de gestion dans l’organisation. Il ne doit pas être supprimé.
Les membres du groupe Administration de l’organisation en affichage seul (View-
Only Organization Management) disposent d’un accès en lecture seule à tous les objets
destinataire et configuration ainsi que leurs propriétés dans l’organisation Exchange. Il est
particulièrement utile pour les besoins du support.
Les membres du groupe Administration de serveur (Server Management) disposent
des autorisations pour gérer les serveurs Exchange dans l’organisation Exchange.
Toutefois, ils ne disposent pas des autorisations nécessaires qui leur permettraient de
modifier l’organisation Exchange.
Les membres du groupe Administration de destinataire (Recipient Management)
disposent des permissions requises pour modifier toutes les propriétés Exchange d’un
utilisateur, d’un contact, d’un groupe ou d’un groupe de distribution dynamique.
Carnet d’adresses en mode hors connexion
Le carnet d’adresses en mode hors connexion (OAB, Offline Address Book) est une
copie d’un ensemble de listes d’adresses téléchargé pour permettre à un utilisateur de
Microsoft Outlook d’accéder au carnet d’adresses, tout en étant déconnecté du serveur.
Par défaut, Outlook fonctionne en mode cache.
Domaines acceptés
Les domaines acceptés sont tous les domaines sur lesquels l’organisation Exchange fait
autorité. Cela signifie qu’elle gère la remise des messages pour les destinataires dans le
domaine accepté.
Les domaines acceptés incluent également les domaines pour lesquels l’organisation
Exchange reçoit des messages et les relaie vers un serveur de messagerie situé en dehors
de la forêt Active Directory.
Si un serveur Exchange reçoit un message électronique dont le domaine n’est pas dans
les domaines acceptés, il tentera de le router à l’extérieur de l’organisation via un
connecteur d’envoi.
Lors de l’installation, le domaine Active Directory comme par exemple NOVA.AD, est
devenu par défaut un domaine accepté. Cela signifie que Microsoft Exchange accepte la
réception des emails pour ce domaine. Toutefois, il est fréquent qu’un serveur Exchange
traite les emails de plusieurs domaines, en particulier pour l’accès à Internet hors le
domaine NOVA.AD n’est pas un domaine accessible d’Internet.
Si l’entreprise possède un domaine internet, par exemple NOVA.COM, alors il suffit
d’indiquer à Exchange, la liste des domaines acceptés en les nommant : NOVA.COM,
OCTANE.CN, etc.
Pour chaque domaine accepté, il faut aussi déclarer l’enregistrement de ressources MX
(mail exchange) dans les DNS. Le MX sert à indiquer les serveurs SMTP à contacter pour
l’envoi d’un message électronique à un utilisateur d’un domaine donné.
Par ailleurs, il convient de s’assurer que les DNS internes sont correctement configurés
pour fonctionner avec Active Directory afin de localiser les ressources de l’Active
Directory, pour router les emails vers l’extérieur de l’organisation Exchange. De plus, une
zone reverse doit être configurée pour chaque sous-réseau.
Stratégie d’adresse de messagerie
Une stratégie d’adresse de messagerie permet de générer des adresses de messagerie
pour chaque destinataire dans votre organisation selon un modèle prédéfini.
Une stratégie d’adresse de messagerie génère des adresses de messagerie pour vos
utilisateurs, contacts et groupes de façon à ce qu’ils puissent recevoir et envoyer des
messages.
Par défaut, il existe une stratégie qui attribue une adresse SMTP à tous les nouveaux
destinataires de l’organisation Exchange.
Toutefois, l’administrateur peut créer une nouvelle stratégie d’adresse de messagerie,
notamment afin d’ajouter l’adresse de messagerie internet aux utilisateurs désirant
communiquer avec l’extérieur de l’organisation Exchange.
Par exemple, si votre domaine Active Directory est NOVA.AD, chaque utilisateur de la
messagerie Exchange aura par défaut une adresse de type utilisateur@nova.ad.
Comme cette adresse n’est pas reconnue sur Internet, l’administrateur va créer une
nouvelle stratégie d’adresse de messagerie basée sur un nom de domaine Internet comme
NOVA.COM. L’ajout d’un nom de domaine supplémentaire est possible à la condition que
ce domaine soit un domaine accepté.
L’administrateur créera une nouvelle stratégie qui attribuera une adresse de type
utilisateur@nova.com aux membres de la messagerie Exchange.
La génération de l’adresse est basée sur les attributs de la boîte aux lettres. Ces attributs
sont utilisables à travers les variables suivantes.
%s : Nom
%g : Prénom
%i : Initiale deuxième prénom
%d : Nom complet
%m : Alias Exchange
%rxy : Remplace tous les caractères x suivants par un caractère y dans le nom
d’utilisateur. Si x = y, le caractère sera supprimé.
Vous pouvez aussi ajouter un nombre pour indiquer le nombre de caractères à utiliser
dans l’attribut.
%1s : Utilise la première lettre du nom de famille
%5g : Utilise les cinq premières lettres du prénom
Configurer une adresse d’administrateur externe
Cette adresse sert comme expéditeur des messages générés par le système et des
notifications envoyées aux expéditeurs externes.
Par défaut, la valeur du paramètre d’adresse de l’administrateur externe n’est pas
renseignée. L’adresse d’expédition qui apparaît débute par postmaster@ suivi du domaine
accepté par défaut ou du FQDN du serveur Edge pour tous les serveurs de transport Edge
non abonnés.
Pour l’adresse de l’administrateur externe, vous pouvez utiliser un nouveau compte, à
créer, avec une boîte aux lettres ou un compte existant avec une boîte aux lettres.
Par exemple, si une boîte aux lettres existe pour le compte postmaster, vous pouvez
définir l’adresse de l’administrateur externe sur postmaster@nova.com, en exécutant la
commande suivante sur une seule ligne.
Set-TransportConfig `
-ExternalPostmasterAddress postmaster@nova.com
Pour vérifier la bonne exécution de la commande précédente, vous pouvez exécuter la
commande suivante sur une seule ligne.
Get-TransportConfig | `
Format-List ExternalPostmasterAddress

Figure 4‑5 Administrateur externe


Autres tâches administratives
Les tâches suivantes seront détaillées dans les chapitres à venir. Elles sont donc
mentionnées pour mémoire. Une fois encore, gardez à l’esprit qu’elles dépendent
complètement de vos besoins.
Les DAG (Database Availability Groups : Groupes de disponibilité de la base de
données), ainsi que des copies de bases de données des boîtes aux lettres sont à configurer.
Vous aurez à configurer l’anti spam et les stratégies anti-pourriels.
Éventuellement, vous devrez activer et sécuriser POP3 et IMAP4, si ces services sont
nécessaires dans votre organisation.
Éventuellement, vous devrez importer les fichiers de souscription Edge, si vous utilisez
un serveur Edge comme hôte actif (smart host). Le rôle d’un hôte actif est de permettre
aux serveurs SMTP d’envoyer les messages via son intermédiaire au lieu de les envoyer
au serveur du destinataire. Il ne s’agit pas d’un relais ouvert car l’hôte actif demande aux
expéditeurs de s’authentifier pour vérifier qu’ils ont la permission d’envoyer des messages
en passant par son intermédiaire. Dans une configuration Exchange, l’hôte actif Edge est
dans la DMZ (demilitarized zone, zone démilitarisée).
Utilisateur AD avec une boîte aux lettres
Dans Active Directory, les utilisateurs peuvent disposer d’une boîte aux lettres
Exchange. Un compte utilisateur avec boîte aux lettres possède un compte Exchange
associé à son alias.

Figure 4‑6 Boîte aux lettres

Le compte utilisateur peut envoyer et recevoir des messages grâce à sa boîte aux lettres
Exchange et il est répertorié par défaut dans la liste d’adresses globale.
L’alias est le nom qu’Exchange associe au compte. Il sert d’identifiant et il est unique.
Il peut être utilisé comme raccourci du nom dans les zones À…, Cc…, Cci…
Un utilisateur ne peut avoir qu’une seule boîte aux lettres. Et, inversement, une boîte
aux lettres ne peut être associée qu’à un seul utilisateur. Généralement, les employés
permanents possèdent une boîte aux lettres Exchange quand leur activité le justifie.
Utilisateur de messagerie
Vous pouvez créer un compte utilisateur, par exemple le compte nova100\ccouderc,
sans qu’il ait une boîte aux lettres Exchange associée. Le compte utilisateur lui permet
d’accéder et d’utiliser les ressources informatiques de la société.
L’absence d’une boîte aux lettres Exchange pour ce type de compte permet d’éviter
d’acheter une licence supplémentaire pour une utilisation parfois sporadique ou
temporaire, lorsque l’utilisateur est un intervenant extérieur.
Cela évite aussi de laisser croire que cet utilisateur est un employé de la société. Pour
éviter cette confusion, certaines sociétés utilisent parfois un préfixe ou un suffixe
(EXTERNE) dans le nom pour signaler que la personne est étrangère à la société.
Toutefois, cette solution nécessite l’acquisition d’une licence supplémentaire.
Toutefois, le compte utilisateur est répertorié dans la liste d’adresses globale s’il a une
adresse email, comme par exemple claude.couderc@gmail.com.
Ceci permet à d’autres utilisateurs de le localiser et de lui envoyer du courrier, même si
ce dernier ne possède pas de boîte aux lettres dans l’organisation Exchange.
Généralement, les intervenants extérieurs peuvent soit disposer d’une boîte aux lettres
Exchange, soit garder leur email et être référencés dans la liste d’adresses globales.
Éventuellement, ils peuvent être inscrits comme contacts.

Figure 4‑7 Utilisateur de messagerie


Contact de messagerie
Un contact avec accès messagerie est un utilisateur qui ne possède pas de compte dans
l’AD, ni de boîte aux lettres Exchange. Toutefois, il est visible par défaut dans la liste
d’adresses globale.
Son courrier est géré par système de messagerie externe à l’organisation Exchange.
Un utilisateur interne peut envoyer un message à un contact en le sélectionnant
simplement dans la liste d’adresses Tous les contacts.

Figure 4‑8 Contact


Liste d’adresses
Une liste d’adresses est un ensemble d’utilisateurs d’Active Directory qui partagent
certains attributs identiques. Autrement dit, l’intérêt d’une liste est de disposer d’un filtre
qui facilite la recherche des destinataires.
Les listes d’adresse les plus fréquentes sont la liste d’adresses globale, qui contient
toutes les adresses, ainsi que les listes intitulées : Tous les contacts, Tous les utilisateurs,
Tous les groupes, Toutes les salles, etc.
Il est possible de créer des listes d’adresses supplémentaires spécialisées afin de
faciliter la recherche d’un destinataire.
Groupes de distribution et de sécurité
Types de groupes
Dans Windows, il y a deux types de groupes : Sécurité et Distribution.
Un groupe de sécurité dispose d’un SID (Security Identifier) qui peut être défini dans la
liste de contrôles d’accès (ACL, Access Control List) d’une ressource. Vous pouvez
utiliser un groupe de sécurité pour effectuer de la distribution de messages.
Un groupe de distribution est utilisé pour envoyer des messages à un ensemble
d’utilisateurs. Vous ne pouvez pas utiliser un groupe de distribution pour gérer la sécurité.
Outre le type, une autre notion caractérise un groupe. C’est la notion d’étendue. Une
étendue d’un groupe peut être Local, Global ou Universelle.
Une étendue Local est utilisée pour donner des droits sur les ressources. Tandis qu’une
étendue Global est utilisée pour regrouper les utilisateurs entre eux. Enfin, une étendue
Universelle est utilisée pour regrouper les utilisateurs de n’importe quel domaine d’une
forêt et leur affecter des droits sur une ressource quelconque de la forêt.
Pour Exchange 2016, tous les groupes doivent avoir une étendue universelle. Dans les
plus anciennes versions d’Exchange, il était possible d’utiliser des groupes avec une
étendue locale ou globale. Toutefois, il arrivait que des messages se perdent avec ces
groupes.

Groupe avec accès de messagerie


Pour permettre à vos utilisateurs d’envoyer un message à un ensemble de personnes
qui travaillent dans une même société, une même direction ou sur un même projet, le plus
rapide et le plus simple est de créer un groupe avec accès de messagerie.
Un groupe avec accès de messagerie peut être soit un groupe de distribution, soit un
groupe de sécurité, soit un groupe de distribution dynamique.
Comme les membres des groupes peuvent provenir de n’importe quel domaine de la
forêt, les groupes utilisés dans Exchange sont toujours des groupes avec une étendue
Universelle.
Une fois que le groupe possède un accès de messagerie, il apparaît dans la liste
d’adresses et peut recevoir des messages. Ceux-ci sont envoyés aux membres du groupe
qui possèdent une adresse de messagerie.
Si vous avez des groupes de sécurité universels existants que vous aimeriez utiliser
dans Exchange, vous devez activer leur accès de messagerie.
Par exemple, il faut exécuter sur une seule ligne la cmdlet suivante, pour activer
l’accès de messagerie au groupe de sécurité Direction, qui aura l’alias codir.
Get-Group -Id Direction | `
Enable-DistributionGroup -Alias codir
Groupe de distribution ou de sécurité
La liste des membres des groupes peut être définie de façon statique. C’est la méthode
classique qui consiste à alimenter le groupe de distribution ou de sécurité en indiquant de
manière explicite ses membres : Alice, Bob, etc.
La grosse difficulté des groupes de distribution ou de sécurité est de maintenir à jour
l’appartenance des utilisateurs au groupe. Les changements de poste ou de fonction ne
sont pas toujours répercutés dans l’appartenance au groupe.

Groupe de distribution dynamique


Afin de remédier à cette difficulté, vous avez la possibilité de définir l’appartenance à
un groupe de manière dynamique. Avec cette méthode, l’administrateur défini une requête
LDAP afin de constituer dynamiquement l’appartenance au groupe. La règle est basée sur
les attributs d’Active Directory (AD).
Par exemple, le groupe intitulé Groupe-Nantes est construit à partir des utilisateurs de
l’AD dont la ville est Nantes. Si dans l’AD, un utilisateur avait comme ville Lyon puis
cette donnée est modifiée en Nantes, il appartiendra automatiquement à Groupe-Nantes.
Les membres d’un groupe basé sur une requête sont évalués à chaque fois qu’un
message est envoyé au groupe. Ces groupes s’intitulent dans Exchange des groupes de
distribution dynamique.
La pertinence des groupes dynamiques repose sur un annuaire Active Directory à jour
et complet. Cela suppose l’instauration de règles précises pour savoir qui l’alimente, sur la
base de quelles informations et à quelles fréquences. Bien que ce sujet dépasse largement
le cadre du livre, il est important de le préciser. D’autant que l’impact d’un annuaire AD à
jour est bien plus large que le fonctionnement des groupes de distribution dynamiques.
En outre, compte-tenu des ressources importantes liées au calcul des membres d’un
groupe dynamique, il est parfois nécessaire de disposer de serveurs Exchange dédiés à
l’extraction des membres des groupes de distribution. Ces serveurs sont appelés des
serveurs d’expansion du groupe de distribution.

Nommage d’un groupe


Il est fréquent de nommer les groupes en débutant avec un caractère spécial comme par
exemple $, de façon à les afficher ensemble dans les listes d’adresses. Le caractère spécial
permet aussi de les afficher en haut des listes.

Propriétaires d’un groupe


Par défaut, l’administrateur est le propriétaire du groupe qu’il a créé. Cependant, vous
pouvez assigner un ou des propriétaires différents. Le propriétaire d’un groupe a tout
pouvoir sur la gestion du groupe et des membres du groupe grâce aux rôles d’utilisateur
MyDistributionGroups et MyDistributionGroupMembership.
Les rôles d’utilisateurs sont présentés plus bas. Toutefois, sachez que
MyDistributionGroups permet notamment d’ajouter des membres aux groupes de
distribution dont l’utilisateur est propriétaire. Tandis que
MyDistributionGroupMembership lui permet notamment de modifier son appartenance à
des groupes de distribution.
En particulier, seuls les propriétaires peuvent supprimer un membre d’un groupe de
sécurité. De même, l’approbation des propriétaires peut être nécessaire pour rejoindre un
groupe de sécurité. L’approbation d’appartenance d’un groupe de distribution est détaillée
ci-dessous.
Dans EMS, il faut exécuter sur une seule ligne la cmdlet suivante, pour que ‘Alice
Martin’ et Administrateur devienne les propriétaires du groupe Direction.
Set-DistributionGroup -Id Direction `
-ManagedBy ‘Alice Martin’, Administrateur
Sauf cas particulier, c’est une bonne pratique que l’administrateur fasse toujours partie
des propriétaires. En effet, si vous n’êtes plus propriétaire, vous ne pourrez plus rien faire
avec ce groupe.
Les groupes de distribution ou de sécurité avec accès de messagerie et non-dynamique
peuvent être gérés dans Outlook.

Approbation d’appartenance
Le choix de pouvoir entrer ou sortir d’un groupe de distribution peut être laissé à
l’appréciation de chaque utilisateur ou soumis à l’autorisation du propriétaire.
Plus précisément, les choix possibles du paramétrage d’un groupe de distribution pour
devenir membre du groupe sont :
Ouvert (choix par défaut) : l’approbation du propriétaire n’est pas requise pour qu’un
utilisateur fasse partie du groupe.
Fermé : seul le propriétaire peut ajouter un utilisateur au groupe. Les demandes visant à
rejoindre le groupe sont rejetées automatiquement.
Approbation du propriétaire : le propriétaire approuve ou rejette toutes les demandes
visant à rejoindre le groupe.
Les choix possibles du paramétrage d’un groupe de distribution pour quitter le groupe
sont :
Ouvert (choix par défaut) : l’approbation du propriétaire n’est pas requise pour qu’un
utilisateur quitte le groupe.
Fermé : seul le propriétaire peut supprimer un utilisateur du groupe. Les demandes visant
à quitter le groupe sont rejetées automatiquement.
Il faut exécuter sur une seule ligne la cmdlet suivante, pour que l’approbation
d’appartenance du groupe Informatique soit fermée, pour y entrer ou en sortir.
Set-DistributionGroup -Id Informatique `
-MemberDepartRestriction Closed `
-MemberJoinRestriction Closed

Autorisations d’envoi de message au groupe


Par défaut, seuls les expéditeurs de votre organisation sont autorisés à envoyer des
messages à un groupe. Cependant, vous pouvez aussi autoriser des personnes qui ne font
pas partie de l’organisation à envoyer des messages à un groupe.
Vous pouvez aussi limiter explicitement les personnes autorisées à écrire à un groupe.
Si vous ajoutez des expéditeurs explicitement autorisés, les membres du groupe ne
recevront des messages que de ces expéditeurs. Les messages envoyés par une personne
non explicitement autorisé seront rejetés. Si cette personne est de votre organisation, elle
sera prévenue par une info-courrier (mailtip) lorsqu’elle est en train de rédiger un message
destiné à un groupe protégé.
Une info-courrier est une information qui s’affiche lors de la composition du message
dans Outlook ou Outlook sur le web. Elle prévient l’utilisateur qu’un problème potentiel
est détecté.

Approbation des messages


Optionnellement, les messages entrants peuvent être approuvés par des modérateurs
avant leur remise aux membres du groupe. Les modérateurs peuvent approuver ou rejeter
les messages entrants.
Si vous activez l’approbation des messages entrants et que vous ne désignez pas de
modérateur, c’est le propriétaire du groupe qui sera l’approbateur.
Si vous activez l’approbation des messages entrants, vous pouvez aussi désigner
explicitement des utilisateurs dont les messages seront automatiquement approuvés, sans
passer par le modérateur.
TP 04A Vérifier l’installation avec les outils d’administration
Objectif
L’objectif est de vérifier que l’installation s’est bien déroulée, en particulier concernant
les modifications apportées à Active Directory et au schéma d’annuaire.
Le schéma est mis à jour non seulement lors de l’installation d’Exchange mais aussi à
l’occasion d’un service pack ou d’une mise à jour cumulative. Il est donc possible de
trouver la version installée d’Exchange en connaissant la version de schéma. À la fin de la
manipulation, vous trouverez une table de correspondance qui vous permettra de connaitre
la version d’Exchange installée, grâce à la version de schéma, à la mise à jour cumulative
près.
Vous vérifierez aussi que les services nécessaires à Exchange sont bien en cours
d’exécution.
Les tâches à accomplir sont :
Vérifier dans l’AD que la partition de configuration a bien été modifiée
Vérifier dans l’AD que les groupes de sécurité universels d’Exchange ont bien été créés
Vérifier dans l’AD que le schéma a bien été modifié pour la version actuelle d’Exchange
Vérifier les services Exchange
Vérifier les pools d’applications liés à Exchange

Préparation
Vérifiez que votre machine virtuelle XSGMBx est bien démarrée. Si elle n’est pas
démarrée, démarrez-la.
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.

Solution
Vérifier dans l’AD que la partition de configuration a bien été modifiée

Vous pouvez vérifier que la partition a bien été mise à jour grâce à la console
Modification ADSI (Active Directory Services Interfaces). Soyez prudent et attentif dans
vos manipulations avec cette console.
Dans une invite de commandes, tapez :
adsiedit.msc
Dans la fenêtre Modification ADSI qui s’affiche, positionnez-vous dans le volet de
gauche sur Modification ADSI puis cliquez sur le menu Action. Dans le menu qui
apparaît, sélectionnez Connexion.
Figure 4‑9 Ajout d’une connexion

Cette option permet de se connecter à un contexte d’attribution de noms connu, car la


console Modification ADSI n’affiche pas par défaut tout ADSI.
Au milieu de la fenêtre Paramètre de connexion, cliquez dans le menu déroulant sous
l’option Sélectionnez un contexte d’attribution de noms connu puis sélectionnez
Configuration et validez votre choix en cliquant sur le bouton OK.
Double-cliquez sur le nœud suivant pour le développer :
Configuration […]
Double-cliquez sur le nœud suivant pour le développer :
CN=Configuration,DC=“nomDomaine”,DC=“nomExtension”
Double-cliquez sur le nœud suivant pour le développer :
CN=Services
Double-cliquez sur le nœud suivant pour le développer :
CN=Microsoft Exchange
Vous trouvez le nœud CN=“nomOrganisation”, sur lequel vous cliquez.
Figure 4‑10 Partition de configuration

Dans ce nœud, vous trouvez tous les objets qui ont été créés dans la partition de
configuration, avec leurs valeurs, pour Exchange.
Fermez la console Modification ADSI.
Vérifier dans l’AD que les groupes de sécurité universels d’Exchange ont bien été

créés
La préparation de l’AD a aussi créé des nouveaux groupes universels. Vous pouvez le
vérifier facilement avec la console Utilisateurs et ordinateurs Active Directory : ouvrez
le Gestionnaire de serveur puis Outils puis cliquez sur Utilisateurs et ordinateurs Active
Directory.
Dans cette console, ouvrez l’unité d’organisation Microsoft Exchange Security
Groups.
Figure 4‑11 Groupes de sécurité universel pour Exchange

Fermez la console Utilisateurs et ordinateurs Active Directory.


Vérifier dans l’AD que le schéma a bien été modifié pour la version actuelle

d’Exchange
Vous pouvez vérifier que le schéma a bien été mis à jour grâce à la console
Modification ADSI (Active Directory Services Interfaces), en tapant dans une invite de
commande :
adsiedit.msc
Dans la fenêtre Modification ADSI qui s’affiche, positionnez-vous dans le volet de
gauche sur Modification ADSI puis cliquez sur le menu Action. Dans le menu qui
apparaît, sélectionnez Connexion.
Au milieu de la fenêtre Paramètre de connexion, cliquez dans le menu déroulant sous
l’option Sélectionnez un contexte d’attribution de noms connu puis sélectionnez
Schéma et validez votre choix en cliquant sur le bouton OK.

Figure 4‑12 Connexion au schéma

Dans la fenêtre Modification ADSI qui s’affiche, positionnez-vous dans le volet de


gauche sur Schéma puis ouvrez-le avec la petite flèche à gauche.
Cliquez sur le nœud
CN=Schema,DC=Configuration,DC=“nomDomaine”,DC=“nomExtension”
Les objets du schéma s’affichent dans le volet central. Dans celui-ci, parcourez la liste
pour trouver la valeur suivante, qui se trouve à plus de la moitié de la liste :
CN=ms-Exch-Schema-Version-Pt

Figure 4‑13 Recherche de ms-Exch-Schema-Version-Pt

Double-cliquez dessus.

Figure 4‑14 CN=ms-Exch-Schema-Version-Pt


Dans la liste des attributs, recherchez :
rangeUpper
Cet attribut indique la version de schéma de la forêt. Dans ce scénario, la valeur de
rangeUpper doit être 15325, soit la version de schéma correspondant à Exchange Server
2016 CU2.
Fermez les fenêtres ouvertes d’ADSIEdit sans rien enregistrer.
Vous pouvez obtenir le même résultat avec ces cmdlets PowerShell :
$adsi=([ADSI]””).distinguishedName
Puis
$pt=([ADSI]“LDAP://CN=ms-Exch-Schema-Version-
Pt,CN=Schema,CN=Configuration,$adsi”)
Puis
$pt.rangeUpper

Figure 4‑15 Correspondance rangeUpper et version Exchange

Vérifier les services Exchange


Grâce à Windows PowerShell, vous souhaitez afficher tous les services Exchange en
regroupant ceux qui sont en cours d’exécution de ceux qui sont arrêtés. Le critère de
recherche est le mot Exchange dans l’affichage du nom d’affichage du service.
Dans la console Windows PowerShell, exécutez sur une seule ligne la commande ci-
dessous.
Get-Service | Where-Object {$_.DisplayName `
-like “*Exchange*”} | `
Sort-Object Status -Descending | `
Format-Table -GroupBy Status Name, DisplayName
Figure 4‑16 Services Exchange

Vérifiez que votre liste de services Exchange en cours d’exécution correspond bien à la
liste ci-dessus.
Vérifier les pools d’applications liés à Exchange

Grâce au Gestionnaire de serveur, ouvrez le Gestionnaire des services Internet (IIS).


Figure 4‑17 Pools d’applications

Vérifiez que votre liste des pools d’applications liés Exchange en cours d’exécution
correspond bien à la liste ci-dessus.

Résumé
Dans cet exercice, vous avez vérifié dans l’AD que la partition de configuration et le
schéma ont bien été modifiés, et que les groupes de sécurité universels d’Exchange ont
bien été créés.
Vous en avez profité pour vérifier que les services Exchange étaient bien démarrés,
ainsi que les pools d’applications liés à Exchange.
TP 04B Manipuler les outils d’administration
Objectif
L’objectif est de procéder à des manipulations élémentaires avec les outils
d’Exchange : le Centre d’administration Exchange (EAC, Exchange Administrative
Center) et l’environnement EMS (Exchange Management Shell).
Les tâches à accomplir sont :
Identifier la base de données avec le Centre d’administration Exchange
Lister les boîtes aux lettres avec EMS
Lister les boîtes aux lettres d’archivage avec EMS
Lister les boîtes aux lettres d’arbitrage avec EMS

Préparation
Vérifiez que votre machine virtuelle XSGMBx est bien démarrée. Si elle n’est pas
démarrée, démarrez-la.
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.

Solution
Identifier la base de données avec le Centre d’administration Exchange

Démarrez le Centre d’administration Exchange (EAC, Exchange Administrative


Center) avec la commande suivante à taper dans le navigateur web.
https://localhost/ecp
Le navigateur signale un problème avec le certificat de sécurité. Ce message est normal
dans la mesure où il s’agit d’un certificat auto-signé et que l’accès se fait avec un nom de
domaine (localhost) différent de celui du certificat.
Cliquez sur Poursuivre avec ce site Web (non recommandé).
Si vous obtenez un message vous indiquant que vos paramètres du navigateur ne vous
permettent pas d’utiliser Outlook Web App, rajouter l’URL du site (https://localhost) dans
la zone Intranet local puis rafraîchissez l’écran.
Saisissez votre compte d’administrateur sous la forme NOVAx\Administrateur et son
mot de passe.
Figure 4‑18 Centre d’administration Exchange

Cliquez sur se connecter (sign in).


Si c’est la première fois que vous utilisez le Centre d’administration Exchange pour ce
compte sur cet ordinateur, la fenêtre suivante vous demande de sélectionner la langue
d’affichage, ainsi que le fuseau horaire : renseignez les champs puis cliquez sur
enregistrer.
Le Centre d’administration Exchange s’ouvre.

Figure 4‑19 Centre d’administration Exchange

Dans le volet de fonctionnalités (à gauche), cliquez sur serveurs : le volet central


s’actualise et donne accès à des onglets supplémentaires (en haut).
Figure 4‑20 Serveurs de l’organisation

Cliquez sur l’onglet bases de données.

Figure 4‑21 Bases de données

La liste des bases de données s’affiche. Si vous venez de faire l’installation


d’Exchange, vous ne voyez qu’une seule base de données. Dans cet exemple, elle
s’intitule BDD-TOUS.
Notez le nom de votre base de données puis fermez le Centre d’administration
Exchange.
La console est très pratique pour faire des opérations simples, toutefois elle n’offre pas
la possibilité de tout voir et tout faire, contrairement à EMS (Exchange Management
Shell). Autrement dit, l’environnement PowerShell dédié à Exchange.
Ne confondez pas EMS avec l’icône Windows PowerShell présente dans la barre des
tâches. À partir de maintenant, toutes les commandes PowerShell devront être exécutées
dans EMS, sauf indication contraire.
Lister les boîtes aux lettres avec EMS

La première manipulation à faire est d’ouvrir EMS (Exchange Management Shell).


Pour cela, rechercher uniquement Exchange.
Figure 4‑22 Recherche EMS

Dans la liste des résultats qui s’affichent, cliquez sur Exchange Management Shell.

Figure 4‑23 Exchange Management Shell

Dans cette console, exécutez sur une seule ligne la commande ci-dessous, où BDD-
TOUS est le nom de votre base de données.
Get-Mailbox -Database “BDD-TOUS” | `
FL DisplayName

Figure 4‑24 Get-Mailbox

Vous pouvez avoir une liste de boîtes aux lettres différentes de celle-ci. Toutefois, en
plus de la boîte aux lettres de l’administrateur, vous avez au moins la boîte aux lettres
intitulée Boîte aux lettres de détection (Discovery Search Mailbox).
Lister les boîtes aux lettres d’archivage avec EMS
Une boîte aux lettres d’archivage permet à l’utilisateur de disposer d’une boîte aux
lettres secondaire dans laquelle, il peut conserver plus longuement ses messages.
Pour afficher les boîtes aux lettres d’archivage, exécutez sur une seule ligne la
commande ci-dessous, où vous remplacerez BDD-TOUS par le nom de votre base de
données.
En principe, vous n’avez aucune boîte aux lettres d’archivage. La cmdlet ne doit donc
rien renvoyer.
Get-Mailbox -Database “BDD-TOUS” `
-Archive | FL DisplayName
Lister les boîtes aux lettres d’arbitrage avec EMS
Les boîtes aux lettres d’arbitrage sont utilisées pour gérer les destinataires modérés et
l’approbation de l’appartenance à un groupe de distribution.
Pour afficher les boîtes aux lettres d’arbitrage, exécutez sur une seule ligne la
commande ci-dessous, où vous remplacerez BDD-TOUS par le nom de votre base de
données.
Vous devez voir apparaître les cinq noms suivants : Assistant Approbation de
Microsoft Exchange, Microsoft Exchange, Microsoft Exchange, Microsoft Exchange
Migration et Microsoft Exchange Federation Mailbox.
Get-Mailbox -Database “BDD-TOUS” `
-Arbitration | FL DisplayName

Figure 4‑25 BAL d’arbitrage

Les comptes qui apparaissent ont été créés lors de la préparation de l’Active Directory
avec la commande Setup.exe /PrepareAD, comme Assistant Approbation de Microsoft
Exchange (Microsoft Exchange Approval Assistant), Microsoft Exchange Migration ou
Microsoft Exchange Federation Mailbox.

Résumé
Dans cet exercice, vous avez identifié la base de données avec l’outil Centre
d’administration Exchange (EAC, Exchange Administrative Center).
Vous avez aussi affiché la liste des boîtes aux lettres ordinaires, ainsi que les boîtes aux
lettres d’archivage et d’arbitrage avec EMS (Exchange Management Shell).
TP 04C Finaliser l’installation
Objectif
L’objectif est de finaliser l’installation du serveur Exchange en accomplissant des
tâches administratives de base.
Les tâches à accomplir sont :
Désigner un administrateur Exchange de secours
Paramétrer le carnet d’adresse hors connexion
Ajouter un domaine accepté
Ajouter une nouvelle stratégie d’adresse de messagerie

Préparation
Vérifiez que vos machines virtuelles DCx et XSGMBx sont bien démarrées. Si elles ne
sont pas démarrées, démarrez-les.

Solution
Désigner un administrateur Exchange de secours
En votre absence, Bob prend la relève de l’administration d’Exchange pour des
opérations ponctuelles.
Sur CLIENTx, ouvrez une session avec le compte de Bob qui est NovaX\Bob.
Démarrez le Centre d’administration Exchange avec la commande suivante à taper
dans le navigateur web.
https://XSGMBx.NOVAx.ad/ecp
Cliquez sur Poursuivre avec ce site Web (non recommandé).
Si vous obtenez un message vous indiquant que vos paramètres du navigateur ne vous
permettent pas d’utiliser Outlook Web App, rajouter l’URL du site
(https://XSGMBx.NOVAx.ad) dans la zone Intranet local puis rafraîchissez l’écran.
Sur la fenêtre d’accueil du Centre d’administration Exchange, identifiez-vous avec le
compte de Bob : NovaX\Bob.
Vous obtenez le message suivant.
Figure 4‑26 Accès refusé à Bob

C’est normal car, pour l’instant, Bob ne dispose d’aucun droit sur Exchange.
Fermez la session de Bob.
Ouvrez la console Utilisateurs et ordinateurs Active Directory.
Rajoutez le compte de Bob au groupe Organization Management, qui se trouve dans
le conteneur Microsoft Exchange Security Groups.

Figure 4‑27 Ajout du compte de Bob

Sur CLIENTx, ouvrez une session avec le compte de Bob, puis démarrez le Centre
d’administration Exchange.
Sur la fenêtre d’accueil du Centre d’administration Exchange, identifiez-vous avec le
compte de Bob : NovaX\Bob.
Vous devez voir la console du Centre d’administration Exchange.
Figure 4‑28 Accès accordé à Bob

Vous pouvez aisément vérifier que Bob a un accès complet à l’administration


d’Exchange, même si pour l’instant il n’a pas de boîte aux lettres Exchange activée.
Fermez la session de Bob.
Paramétrer le carnet d’adresse hors connexion

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Exécutez sur une seule ligne la commande ci-dessous, qui définit le carnet d’adresse
hors connexion pour toutes les bases de données, dans la version française.
Get-MailboxDatabase | Set-MailboxDatabase `
-OfflineAddressBook “\Carnet d’adresses en mode hors connexion par défaut”
Dans la version anglaise, le carnet d’adresse par défaut s’intitule “\Default Offline
Address Book”.
Si d’aventures, vous avez une ou plusieurs bases de récupération (elles sont expliquées
plus bas), un message vous prévient que cette opération n’a pas pu être faite sur ces bases :
les autres bases ont bien été mises à jour.
Ajouter un domaine accepté

Vous voulez ajouter le domaine questcequecest.com dans les domaines acceptés pour
qu’Exchange puisse traiter les emails des destinataires de ce domaine, qui est une filiale de
votre groupe.
Vous donnerez à ce nouveau domaine accepté le nom Questcequecest.
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Exécutez sur une seule ligne la commande ci-dessous, qui définit votre serveur
Exchange comme faisant autorité sur le domaine questcequecest.com.
New-AcceptedDomain -Name Questcequecest `
-DomainName questcequecest.com `
-DomainType Authoritative
Ensuite, démarrez le Centre d’administration Exchange avec la commande suivante.
https://XSGMBx.NOVAx.ad/ecp
Si vous obtenez un message vous indiquant que vos paramètres du navigateur ne vous
permettent pas d’utiliser Outlook Web App, rajouter l’URL du site
(https://XSGMBx.NOVAx.ad) dans la zone Intranet local puis rafraîchissez l’écran.
Identifiez-vous avec le compte Nova100\Administrateur.
Dans le volet de fonctionnalités, cliquez sur flux de messagerie : le volet central
s’actualise et donne accès aux onglets supplémentaires.
Cliquez sur l’onglet domaines acceptés : vous voyez votre domaine accepté
questcequecest.com.

Figure 4‑29 Domaines acceptés avec le Centre d’administration Exchange

Ajouter une nouvelle stratégie d’adresse de messagerie


Vous êtes administrateur dans un groupe multinational, dont certains utilisateurs de


boîtes aux lettres appartiennent à des filiales : Questcequecest, Octane, etc.
Il vous a été demandé que seuls les utilisateurs de boîtes aux lettres de la filiale
Questcequecest disposent d’une adresse email supplémentaire pour le domaine
questcequecest.com. Cette adresse doit être créée sous la forme
Prénom.Nom@questcequecest.com.
Il existe dans Exchange plusieurs types de boîtes aux lettres, vous ne devez
sélectionner que celles qui sont de type ‘UserMailbox’.
Vous donnerez à cette nouvelle stratégie le nom Questcequecest et vous l’appliquerez.
Exécutez sur une seule ligne la commande ci-dessous.
New-EmailAddressPolicy -Name “Questcequecest” `
-IncludedRecipients MailboxUsers `
-ConditionalCompany “Questcequecest” `
-EnabledPrimarySMTPAddressTemplate `
“SMTP:%g.%s@questcequecest.com”

Figure 4‑30 Nouvelle stratégie


Ensuite, exécutez la commande ci-dessous dans la console EMS pour appliquer cette
nouvelle stratégie.
Update-EmailAddressPolicy -Id Questcequecest
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur flux de messagerie : le volet central
s’actualise et donne accès aux onglets supplémentaires.
Cliquez sur l’onglet stratégies d’adresse de messagerie : vous voyez votre stratégie
Questcequecest. Dans le volet de droite, vous avez une explication en claire de la
stratégie.

Figure 4‑31 Stratégie avec le Centre d’administration Exchange

Résumé
Afin de finaliser l’installation d’Exchange, vous avez désigné un administrateur
Exchange de secours et paramétré le carnet d’adresse hors connexion pour toutes les
bases de données.
Vous avez aussi ajouté le domaine accepté questcequecest.com, ainsi qu’une nouvelle
stratégie d’adresse de messagerie pour les utilisateurs de boîtes aux lettres de la filiale
Questcequecest afin qu’ils disposent d’une adresse email supplémentaire pour le domaine
questcequecest.com, sous la forme Prénom.Nom@questcequecest.com.
TP 04D Activer la BAL Exchange d’utilisateurs
Objectif
Votre organisation vient d’embaucher de nouveaux salariés qui ont besoin d’une boîte
aux lettres Exchange. Ces nouveaux utilisateurs sont Alice Martin, Bob Durand, Chris
Dubois, Didier Dufour, Eric Petit, Francine Lefebvre.
Dans un exercice précédent, vous avez déjà créé leur compte dans l’AD. Il suffit donc
d’activer leurs boîtes aux lettres (BAL).
Notez qu’il aurait été possible de créer les comptes en même temps que la création des
boîtes aux lettres.
Les tâches à accomplir sont :
Afficher la journalisation de commandes
Activer la BAL d’Alice Martin avec le Centre d’administration Exchange
Récupérer une cmdlet de visionneuse de journalisation
Activer la BAL de Bob Durand avec EMS
Activer la BAL des autres utilisateurs
Vérifier l’application de la stratégie pour le domaine questcequecest.com

Préparation
Vérifiez que votre machine virtuelle XSGMBx est bien démarrée. Si elle n’est pas
démarrée, démarrez-la.
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.

Solution
Afficher la journalisation de commandes
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans la page web, cliquez sur le menu d’aide : gros point d’interrogation, qui se trouve
en haut à droite de la page, à côté du nom du compte (Administrateur).
Figure 4‑32 Menu d’aide

Dans le menu, cliquez sur le lien Afficher la journalisation de commandes : la


Visionneuse de journalisation s’ouvre.
Laissez cet écran ouvert et cliquez dans le Centre d’administration Exchange.
Activer la BAL d’Alice Martin avec le Centre d’administration Exchange
Dans le volet de fonctionnalités (à gauche) du Centre d’administration Exchange,
cliquez sur destinataires.
Sous boîtes aux lettres et dans la barre d’outils, cliquez sur l’icône + puis dans le
menu qui s’ouvre, sélectionnez Boîte aux lettres utilisateur : la fenêtre nouvelle boîte
aux lettres utilisateur s’ouvre.

Figure 4‑33 Fenêtre nouvelle boîte aux lettres utilisateur

Dans la zone Alias, saisissez : alice.


Par défaut, l’option Utilisateur existant est sélectionnée. Cliquez sur le bouton
parcourir : la liste des utilisateurs de l’AD dépourvu de BAL apparaît.
Dans cette liste, sélectionnez Alice Martin puis cliquez sur OK.
Cliquez sur Enregistrer pour valider votre saisie : le nom Alice Martin apparaît avec
son adresse de messagerie.
Ensuite, cliquez dans la fenêtre Visionneuse de journalisation.
Récupérer une cmdlet de visionneuse de journalisation

Dans la fenêtre Visionneuse de journalisation, cherchez la ligne qui débute par


Enable-Mailbox. Normalement, elle est à l’index 3 ou 4.
Cliquez sur cette ligne la cmdlet suivante apparaît :
Enable-Mailbox `
-Id ‘e42636ce-5ed3-4272-b827-7a37c10ebf8b’ `
-Alias ‘alice’
C’est la commande qui permet d’activer la boîte aux lettres d’Alice. La suite de
caractères (‘e42636ce-5ed3-4272-b827-7a37c10ebf8b’) est un identifiant unique d’Alice
dans votre organisation, qui a été générée aléatoirement.
Avec la souris, copiez cette cmdlet et collez la dans le Bloc-notes Windows
(notepad.exe), afin d’en conserver une copie.
Fermez la Visionneuse de journalisation.
Activer la BAL de Bob Durand avec EMS

Vous allez activer la boîte aux lettres de Bob Durand en réutilisant la cmdlet généré par
EAC.
Toutefois, vous n’êtes pas obligé de l’utiliser avec la suite de caractère. Comme cela
vient d’être indiqué, cette suite de caractère est un identifiant du compte. Pour un être
humain, il est plus naturel d’utiliser le nom du compte AD comme identifiant. C’est ce que
vous allez faire.
Pour cela, exécutez la commande ci-dessous.
Enable-Mailbox -Id ‘NOVAx\bob’ -Alias ‘bob’
Vous obtenez :

Figure 4‑34 BAL de Bob créée

Éventuellement, vous pouvez retourner sur le Centre d’administration Exchange puis


rafraîchir l’écran : vous verrez apparaître la boîte aux lettres de Bob.
Activer la BAL des autres utilisateurs

En vous inspirant de l’exercice précédent, activer les boîtes aux lettres de Chris
Dubois, Didier Dufour, Eric Petit, Francine Lefebvre.
Les cmdlets à exécuter :
Enable-Mailbox -Id ‘NOVAx\chris’ `
-Alias ‘chris’
Puis
Enable-Mailbox -Id ‘NOVAx\didier’ `
-Alias ‘didier’
Puis
Enable-Mailbox -Id ‘NOVAx\eric’ `
-Alias ‘eric’
Puis
Enable-Mailbox -Id ‘NOVAx\francine’ `
-Alias ‘francine’
Vérifier l’application de la stratégie pour le domaine questcequecest.com

Dans un exercice précédent, il vous avait été demandé de mettre en place une nouvelle
stratégie d’adresse de messagerie pour les utilisateurs de boîtes aux lettres de la filiale
Questcequecest afin qu’ils disposent d’une adresse email supplémentaire sous la forme
Prénom.Nom@questcequecest.com.
Comme Chris et Didier font partie de la filiale Questcequecest, vous allez vérifier que
la nouvelle stratégie s’applique.
Pour cela, retournez sur le Centre d’administration Exchange puis rafraîchissez
l’écran : vous devez voir une adresse de messagerie sous la forme
Prénom.Nom@questcequecest.com pour Chris et Didier.

Figure 4‑35 Liste des BAL activées

Résumé
Dans cet exercice, vous avez appris à utiliser la visionneuse de journalisation pour
récupérer une cmdlet d’activation de boîte aux lettre (BAL), générée par le Centre
d’administration Exchange. Ensuite, vous avez adapté cette cmdlet pour la réutiliser dans
EMS afin d’activer les BAL des autres utilisateurs.
Vous en avez profité pour vérifier l’application de la nouvelle stratégie pour le
domaine questcequecest.com pour Chris et Didier.
TP 04E Installer un poste client avec Outlook
Objectif
Un poste client avec Outlook installé permettra de faire des manipulations
supplémentaires qu’il n’est pas toujours possible de faire avec Outlook sur le web.
L’objectif est donc d’installer Outlook sur la machine virtuelle CLIENTx.
Les tâches à accomplir sont :
Configurer le réseau IP du client Windows avec Outlook
Renommer votre client Windows
Rattacher votre client Windows au domaine NOVAx.AD
Monter un lecteur réseau sur les binaires d’installation d’Office
Installer Outlook

Préparation
Normalement, la machine virtuelle a déjà été préparée dans l’exercice du TP 03A
Préparer les VMs.
Si ce n’est pas le cas, effectuez la préparation du TP 03A en suivant les instructions de
la tâche intitulée Préparer le futur poste client.

Solution
Configurer le réseau IP du client Windows avec Outlook
Démarrez votre machine virtuelle CLIENTx.
Ouvrez une session avec le compte local Administrateur sur XSGMBx.
Paramétrez la carte réseau.
Adresse IP : 192.168.y.x+40 : Autrement dit ajoutez 40 à x.
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.y.254
Serveur DNS préféré : 192.168.y.x. C’est l’adresse IP de votre DCx.
Renommer votre client Windows
Cette étape sert à donner un nom significatif à votre client Windows.
Dans une invite de commande, tapez la commande suivante pour renommer votre
client en CLIENTx où x est le dernier octet de votre adresse IP.
SYSDM.CPL
Cliquez sur l’onglet Nom de l’ordinateur, puis cliquez sur le bouton Modifier et
changez le nom du client en CLIENTx où x est le dernier octet de votre adresse IP.
Lorsque l’assistant vous proposera de redémarrer votre client, faites-le.
Une fois que le client a redémarré, Ouvrez une session avec le compte local
Administrateur.
Dans une invite de commande, tapez la commande suivante pour vérifier que votre
ordinateur a bien été renommé en CLIENTx.
HOSTNAME
Rattacher votre client Windows au domaine NOVAx.AD
Une fois que la machine virtuelle a redémarré, vous ouvrez une session avec le compte
local CLIENTx\Administrateur.
Dans une invite de commande, tapez la commande suivante pour rattacher CLIENTx
au domaine NOVAx.AD.
SYSDM.CPL
Cliquez sur l’onglet Nom de l’ordinateur, puis cliquez sur le bouton Modifier et
indiquez qu’il est membre du domaine NOVAx.AD.
IMPORTANT : Si vous avez un message d’erreur lors du rattachement au domaine,
vérifiez les propriétés de l’adresse IP. Notamment, que l’adresse IP du Serveur DNS
préféré est bien celle de votre DC.
Indiquez le compte et le mot de passe du compte administrateur dans la fenêtre de
connexion puis patientez quelques secondes. Lorsque l’assistant vous proposera de
redémarrer CLIENTx, faites-le.
Monter un lecteur réseau sur les binaires d’installation d’Office
Ouvrez une session avec le compte de domaine Administrateur@NOVAx.AD sur
CLIENTx.
Montez un lecteur sur le DCx avec la commande suivante, où x est le dernier octet de
votre adresse IP.
NET USE * \DCx\c$
Lancez l’explorateur et ouvrez le lecteur qui vient d’être monté, par exemple Z:
Ouvrez le dossier \C$\partage\office qui contient les fichiers d’installation d’Office.
Installer Outlook
Double-cliquez sur setup.exe pour lancer l’installation d’Office.
Sélectionnez une installation personnalisée d’Outlook : Composants partagés d’Office
+ Microsoft Outlook + Outils Office. N’installez pas les autres logiciels.
Figure 4‑36 Installation d’Outlook

Une fois que l’installation d’Outlook est terminée, vous pouvez paramétrer la
messagerie pour le compte Administrateur.
Si l’installation du serveur Exchange est terminée, vous pouvez continuer. Sinon,
patientez jusqu’à la fin de l’installation d’Exchange. Vous ne pourrez continuer que
lorsque Microsoft Exchange 2016 sera complètement installé.
Pour cela, lancez simplement Outlook : sur l’écran d’accueil, cliquez sur suivant.

Figure 4‑37 Configuration d’Outlook

Cliquez sur le bouton Suivant. La fonctionnalité de découverte automatique


(Autodiscover) va automatiquement détecter le serveur Exchange.
Figure 4‑38 AutoDiscover

Cliquez sur le bouton Suivant.


Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé.
Faites attention que ces alertes de sécurité peuvent être cachées par l’écran principal.

Figure 4‑39 Configuration terminée

Cliquez sur le bouton Terminer : Outlook se lance.


Activer Office avec votre compte Office 365 ou une clef.
Figure 4‑40 Outlook

Déconnectez-vous de la session ouverte.

Résumé
Dans cet exercice, vous avez appris à préparer la machine virtuelle du client Windows
avec Outlook. Vous avez aussi utilisé la découverte automatique pour créer le profil
Outlook du compte Administrateur.
TP 04F Créer les profils Outlook
Objectif
Cet exercice est important car il va vous permettre de vérifier que votre installation
Exchange est bien opérationnelle. En effet, l’objectif est de créer les profils pour les 6
comptes utilisateurs.
Ces utilisateurs appartiennent à 3 sociétés différentes : Nova, Questcequecest et
Octane. Toutes leurs boîtes aux lettres sont gérées par l’organisation Exchange Nova.
Ils ont tous une stratégie d’adresse de type alias@nova.ad SAUF pour les utilisateurs
de la société Questcequecest, qui ont une adresse de type
Prénom.Nom@questcequecest.com.
Cet exercice est donc l’occasion de vérifier qu’ils peuvent bien tous correspondre entre
eux.
Les tâches à accomplir sont :
Créer le profil Outlook d’Alice
Créer tous les profils Outlook pour Nova
Créer tous les profils Outlook pour Questcequecest
Créer tous profils Outlook pour Octane

Préparation
L’exercice précédent doit être terminé.

Solution
Créer le profil Outlook d’Alice

Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.


Vous allez créer le profil Outlook d’Alice.
Démarrez Outlook : sur l’écran d’accueil, cliquez sur suivant.
Sur l’écran Ajouter un compte de messagerie, cliquez sur le bouton Suivant. La
fonctionnalité de découverte automatique (Autodiscover) renseigne les informations du
compte.
Cliquez sur le bouton Suivant.
Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé.
Dans l’écran de Configuration de compte automatique, vous serez obligé d’indiquer de
saisir le nom, l’adresse de messagerie et le mot de passe pour chaque compte.
Cliquez sur le bouton Terminer : Outlook se lance.
Avec Outlook, envoyez un message à tous les utilisateurs, y compris vous-même.
Vérifiez que vous recevez bien votre message. Si vous ne voyez pas votre message
dans votre boîte de réception, patientez une petite minute.
Créer tous les profils Outlook pour Nova
Alice et Bob font partie de la société Nova. Le profil Outlook d’Alice vient d’être créé.
En vous inspirant de l’exercice précédent, créez le profil Outlook de Bob, qui est le
dernier membre de la société NOVA, en utilisant la découverte automatique.
Une fois que le profil est créé, vérifiez que Bob a bien reçu le message d’Alice. Il n’est
pas nécessaire d’envoyer un message.
Créer tous les profils Outlook pour Questcequecest
Chris et Didier font partie de la société Questcequecest. Les boîtes aux lettres de cette
filiale sont gérées par votre organisation Nova. Par ailleurs, une stratégie d’adresse
spécifique à la filiale Questcequecest génère une adresse SMTP sous la forme
Prénom.Nom@questcequecest.com.
Vous allez vérifier que Chris et Didier peuvent bien recevoir des emails sur ces
adresses.
Pour cela, en vous inspirant de l’exercice précédent, créez les profils Outlook des
membres de la société Questcequecest : Chris et Didier.
Vérifiez pour chaque compte, qu’il reçoit bien le message d’Alice.
Avec le compte de Chris uniquement, envoyez un message à tous les autres membres.
Créer tous profils Outlook pour Octane
Eric et Francine font partie de la société Octane. Les boîtes aux lettres de cette filiale
sont gérées par votre organisation Nova. Il n’y a pas de stratégie d’adresse spécifique.
Seule la stratégie d’adresse générale à Nova s’applique.
Vous allez vérifier que Eric et Francine peuvent bien recevoir des emails sur les
adresses de type Nova.
Pour cela, en vous inspirant de l’exercice précédent, créez les profils Outlook des
membres de la société Octane : Eric et Francine.
Vérifiez pour chaque compte, qu’il reçoit bien les messages d’Alice et de Chris. Il n’est
pas nécessaire d’en envoyer.

Résumé
Dans cet exercice, vous avez créé les profils des comptes utilisateurs grâce à la
fonctionnalité de découverte automatique.
Vous avez aussi vérifié que l’envoi et la réception de messages électroniques
fonctionnaient bien à l’intérieur d’un domaine (nova.ad) et entre domaines (nova.ad et
questcequecest.com).
TP 04G Créer des comptes de messageries sans BAL
Objectif
L’objectif est de créer un compte utilisateur de messagerie pour l’intervenant extérieur
qui assure le suivi des serveurs SharePoint.
Il faut aussi créer un contact dans Exchange pour l’électricien qui répare les problèmes
électriques de votre organisation.
Les tâches à accomplir sont :
Créer un compte utilisateur de messagerie
Créer un contact de messagerie

Solution
Créer un compte utilisateur de messagerie
Un intervenant extérieur qui assure le support et le suivi de vos serveurs SharePoint
doit accéder à vos ressources informatiques. Par ailleurs, vous souhaitez que les
utilisateurs puissent le contacter sur sa boîte aux lettres externe et non sur une boîte aux
lettres Exchange.
Vous allez donc créer son compte dans l’AD et indiquer son adresse de messagerie
externe en une seule opération.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche), cliquez sur destinataires.
Dans les onglets, cliquez sur contacts.
Dans la barre d’outils, cliquez sur la petite flèche à droite du +.
Dans le menu qui s’ouvre, sélectionnez utilisateur de messagerie puis renseignez les
champs suivants :
Alias : sharepoint
Adresse de messagerie externe : claude.couderc@gmail.com (mettez votre adresse de
messagerie personnelle)
Figure 4‑41 Utilisateur de messagerie

Cochez la case Nouvel utilisateur puis renseignez les champs suivants :


Nom d’affichage : Support SharePoint
Nom : Couderc (mettez votre nom)
Nom d’ouverture de session de l’utilisateur : claude (indiquez votre prénom)
Nouveau mot de passe : a
Confirmer le mot de passe : a

Figure 4‑42 Utilisateur de messagerie

Cliquez sur Enregistrer.


Vous allez vérifier qu’un compte utilisateur a bien été créé dans l’AD.
Pour cela, ouvrez une session sur le contrôleur de domaine puis ouvrez la console
Utilisateurs et Ordinateurs Active Directory. Dans le conteneur Users, constatez
l’apparition du compte utilisateur Couderc (ou d’un compte avec votre nom).
Vérifiez aussi que claude@NOVAx.AD peut bien ouvrir une session sur le domaine à
partir du poste client.
Vérifiez aussi qu’il ne peut pas créer un profil Outlook avec une boîte aux lettres
Exchange.
Créer un contact de messagerie

Vos utilisateurs doivent pouvoir contacter directement l’électricien, qui travaille pour
une société indépendante de celle de votre organisation, sur sa messagerie électronique.
Vous allez donc créer un contact et indiquer son adresse de messagerie externe.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche), cliquez sur destinataires.
Dans les onglets, cliquez sur contacts.
Dans la barre d’outils, cliquez sur la petite flèche à droite du +.
Dans le menu qui s’ouvre, sélectionnez contact de messagerie puis renseignez les
champs suivants :
Nom d’affichage : Electricien
Nom : Volt
Alias : alex
Adresse de messagerie externe : car33003@yahoo.com
Figure 4‑43 Contact de messagerie

Cliquez sur Enregistrer.


Vous allez vérifier qu’un contact a bien été créé dans l’AD. Un contact n’est pas un
compte utilisateur de l’AD car il ne donne pas accès aux ressources informatiques
internes.
Un contact n’a aucun moyen d’ouvrir une session sur un domaine ou un groupe de
travail, car il n’a pas d’informations d’authentification à fournir.

Résumé
Dans cet exercice, vous avez créé un compte d’utilisateur de messagerie qui peut
accéder aux ressources informatiques internes.
Vous avez aussi créé un contact de messagerie qui ne peut pas accéder aux ressources
informatiques.
En revanche, les utilisateurs d’Exchange peuvent contacter par email ces deux
utilisateurs sur leur messagerie externe.
TP 04H Créer une liste d’adresses supplémentaires
Objectif
L’objectif est de créer une liste d’adresses intitulée Liste Nantes qui regroupe les
utilisateurs de Nantes.
Vous devrez vérifier que la nouvelle liste est visible des utilisateurs et que les membres
sont bien Alice et Bob.
Les tâches à accomplir sont :
Créer une liste d’adresses
Afficher les destinataires de la liste avec le Centre d’administration Exchange
Afficher les destinataires de la liste avec EMS
Vérifier la présence de la liste et de ses membres

Solution
Créer une liste d’adresses
Vous souhaitez créer une liste d’adresses avec les utilisateurs qui habite Nantes avec
EMS.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx puis
ouvrez EMS.
Tapez la cmdlet suivante, qui crée une liste d’adresses “Liste Nantes” à partir des
utilisateurs de messagerie dont l’attribut Ville est égal à Nantes. Elle doit être saisie sur
une seule ligne.
New-AddressList -Name “Liste Nantes” `
-RecipientFilter {((RecipientType -eq `
‘UserMailbox’) -and (City -eq ‘Nantes’))}
Si vous souhaitez mettre à jour cette liste, utilisez la commande suivante.
Update-AddressList -Id ‘Liste Nantes’
Afficher les destinataires de la liste avec le Centre d’administration Exchange
Vous pouvez obtenir un aperçu des destinataires inclus dans la liste d’adresses Liste
Nantes.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche), cliquez sur organisation.
Dans les onglets, cliquez sur listes d’adresses.
Cliquez sur la liste d’adresses Liste Nantes pour la sélectionner.
Dans la barre d’outils, cliquez sur Modifier (crayon).

Figure 4‑44 Liste Nantes

Cliquez sur Afficher un aperçu des destinataires inclus dans la liste d’adresses.

Figure 4‑45 Liste des membres

Fermez les fenêtres EAC ouvertes.


Afficher les destinataires de la liste avec EMS
Il n’y a pas de cmdlet “simple” pour voir la liste des membres. Pour voir les membres
de la liste, vous tapez la cmdlet suivante qui récupère un pointeur sur la liste d’adresses.
$listeAdresse = Get-Addresslist `
-Id ‘Liste Nantes’
Puis, vous tapez la cmdlet suivante qui récupère un pointeur sur les membres de la liste
d’adresses.
$membres = (Get-Recipient `
-RecipientPreviewFilter `
$listeAdresse.RecipientFilter `
-ResultSize unlimited)
Enfin, vous tapez la cmdlet suivante qui énumère le nom de chaque membre et
l’affiche.
For($i=0;$i -le ($membres.Count-1);$i++) `
{$membre = New-Object PSObject; $membre | `
Add-Member NoteProperty -Name “DisplayName” `
-Value $membres[$i].Name; Write-Output $membre}

Figure 4‑46 Membres d’une liste d’adresses

Vérifier la présence de la liste et de ses membres


Vous allez vérifier que les utilisateurs peuvent voir la liste et les membres de la liste
sont bien Alice et Bob, grâce à Outlook.
Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.
Démarrez Outlook.
Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé. Faites attention que ces alertes de sécurité peuvent être cachées par
l’écran principal.
En haut et à droite d’Outlook, cliquez sur Carnet d’adresses.

Figure 4‑47 Carnet d’adresses

Lorsque la fenêtre du carnet d’adresses s’ouvre, cliquez sur la flèche à droite de Liste
d’adresses globales – alice@nova100.ad pour afficher toutes les listes d’adresses.

Figure 4‑48 Liste d’adresses globale

Si le carnet d’adresses n’est pas à jour, vous pouvez désactiver le mode cache
d’Outlook en suivant la procédure enacdrée ci-dessous.
Cette procédure fonctionne aussi bien pour un ordinateur avec le profil par défaut du
compte ou pour un ordinateur multi-profils.
Procédure de désactivation du cache Outlook
Ouvrez votre profil de messagerie. Dans les propriétés du profil sélectionné, ouvrez les
paramètres du fichier de données Outlook pour accéder aux paramètres du compte. Dans
les paramètres de la Messagerie, modifiez les paramètres du compte pour décocher la
mise en cache Exchange. Validez et fermez les fenêtres.
Sélectionnez la liste intitulée Liste Nantes.

Figure 4‑49 Liste Nantes

Fermez les fenêtres ouvertes car il n’est pas nécessaire d’envoyer un message
électronique.

Résumé
Dans cet exercice, vous avez créé une liste d’adresses qui affiche tous les membres de
votre organisation dont l’attribut Ville est égal à Nantes.
Vous avez aussi utilisé deux méthodes différentes pour voir les membres de la liste :
EMS et Outlook.
TP 04K Créer des groupes
Objectif
L’objectif de cet exercice est de créer 3 groupes différents : un groupe de distribution,
un groupe de sécurité et un groupe de distribution dynamique.
Le groupe de distribution, intitulé Informatique, aura comme membres Bob et Eric.
Le groupe de sécurité, intitulé Direction, aura comme membres Alice et Didier.
Le groupe de distribution dynamique, intitulé Octane, aura comme membres les
utilisateurs de la société Octane.
Les tâches à accomplir sont :
Créer un groupe de distribution
Créer un groupe de sécurité
Créer un groupe de distribution dynamique
Envoyer un message de test aux groupes

Solution
Créer un groupe de distribution

Vous souhaitez créer un groupe de distribution avec les membres de l’informatique


(Bob, Eric) afin de leur communiquer des messages qui ne concernent qu’eux.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche), cliquez sur destinataires.
Dans les onglets, cliquez sur groupes.
Dans la barre d’outils, cliquez sur la petite flèche à droite du +.
Dans le menu qui s’ouvre, sélectionnez Groupe de distribution puis renseignez les
champs suivants :
Nom d’affichage : Informatique
Alias : informatique
Unité d’organisation : NOVAx.AD/Corporate. Vous pouvez utiliser le bouton parcourir.
Laissez les autres paramètres par défaut et cliquez sur Enregistrer.
Vous allez maintenant ajouter Bob et Eric à ce groupe. Vous auriez pu ajouter les
membres du groupe durant sa création : cela revient au même.
Dans la barre d’outils, cliquez sur l’icône en forme de crayon (Modifier) : les
propriétés du groupe s’affichent.

Figure 4‑50 Propriétés du groupe

Les propriétés d’un groupe sont nombreuses. Prenez le temps d’examiner chacune des
propriétés afin de vous familiariser avec elles. Microsoft fournit pour chacune d’elles une
explication très détaillée et explicite.
Ensuite, cliquez sur appartenance.
Cliquez sur la croix + (Ajouter) puis ajoutez Bob et Eric.
Enregistrez vos modifications.
Vous allez vérifier qu’un groupe de distribution Universel Informatique a bien été
créé dans l’AD.
Pour cela, ouvrez une session sur le contrôleur de domaine puis ouvrez la console
Utilisateurs et Ordinateurs Active Directory. Si la console était déjà ouverte, vous
devez l’actualiser.
Dans l’unité d’organisation Corporate, constatez l’apparition du groupe de
distribution Universel Informatique avec l’adresse SMTP informatique@novaX.ad. Les
membres sont bien Bob et Eric (et l’administrateur car c’est lui qui a créé le groupe).
Créer un groupe de sécurité

Vous souhaitez créer un groupe de sécurité avec les membres de la Direction (Alice,
Didier). Pour information, ce groupe sera utilisé pour attribuer des droits sur un dossier
dans Windows.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche), cliquez sur destinataires puis dans les
onglets, cliquez sur groupes.
Dans la barre d’outils, cliquez sur la petite flèche à droite du +.
Dans le menu qui s’ouvre, sélectionnez Groupe de sécurité puis renseignez les
champs suivants :
Nom d’affichage : Direction
Alias : codir
Membres : Alice, Didier. Pour voir la section Membres, vous serez peut-être obligé de
descendre l’ascenseur droite de la fenêtre tout en bas.
Laissez les autres paramètres par défaut et cliquez sur Enregistrer.
Vous allez vérifier qu’un groupe de sécurité Universel Direction a bien été créé dans
l’AD.
Pour cela, ouvrez une session sur le contrôleur de domaine puis ouvrez la console
Utilisateurs et Ordinateurs Active Directory. Si la console était déjà ouverte, vous devez
l’actualiser.
Dans l’unité d’organisation Users, constatez l’apparition du groupe de sécurité
Universel Direction avec l’adresse SMTP codir@novaX.ad. Les membres sont bien Alice
et Didier.
Créer un groupe de distribution dynamique avec le Centre d’administration

Exchange
Vous souhaitez créer un groupe de distribution dynamique qui sera constitué de tous les
utilisateurs de la société Octane.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche), cliquez sur destinataires puis dans les
onglets, cliquez sur groupes.
Dans la barre d’outils, cliquez sur la petite flèche à droite du +.
Dans le menu qui s’ouvre, sélectionnez Groupe de distribution dynamique puis
renseignez les champs suivants :
Nom d’affichage : Octane
Alias : octane
Sous Membres, cochez Uniquement les types de destinataires suivants puis la case
Utilisateurs avec boîtes aux lettres Exchange. Pour voir la section Membres, vous serez
peut-être obligé de descendre l’ascenseur droite de la fenêtre tout en bas.
Cliquez sur ajouter une règle : la liste déroulante intitulée Sélectionner un élément
apparait juste au-dessus.
Cliquez sur la liste déroulante intitulée Sélectionner un élément pour faire apparaître
les valeurs sélectionnables.

Figure 4‑51 Sélectionner un élément

Cette fenêtre affiche la liste des filtres de requête disponibles dans EAC. Ces filtres
sont limités à une combinaison des paramètres suivants : Conteneur de destinataires,
Département ou région, Société, Service, Attribut personnalisé N (où N est une valeur
comprise entre 1 et 15).
Vous pouvez également créer une requête personnalisée en utilisant le paramètre
RecipientFilter dans EMS. C’est l’objet de l’exercice suivant.
Cliquez sur Société puis ajoutez Octane.

Figure 4‑52 Société = “Octane”

Pour ajouter Octane, vous devez saisir le mot Octane dans la zone de saisie puis
cliquer sur la croix +.
Cliquez sur OK.

Figure 4‑53 Groupe dynamique avec règle

Laissez les autres paramètres par défaut et cliquez sur Enregistrer.


Cette série de manipulation peut se faire en une seule cmdlet dans EMS.
Set-DynamicDistributionGroup `
-Id ‘NOVAx.AD/Users/Octane’ `
-Name ‘Octane’ -Alias ‘octane’ `
-ConditionalCompany @(‘Octane’) `
-IncludedRecipients ‘MailboxUsers’
Bien que le groupe soit dynamique, il est possible de voir ses membres grâce à EMS.
Dans EMS, tapez la cmdlet suivante. Celle-ci crée une variable ($Groupe) qui pointe
sur l’objet qui représente le groupe Octane. Si tout se passe bien, cette première cmdlet ne
renvoie rien de visible.
$Groupe = Get-DynamicDistributionGroup “Octane”
Ensuite, tapez la cmdlet suivante, qui affiche la liste des membres.
Get-Recipient `
-RecipientPreviewFilter $Groupe.RecipientFilter

Figure 4‑54 Liste des membres du groupe Octane

Pour vérifier que le groupe est bien dynamique, modifiez la société de Chris en Octane
et celle d’Eric en Nova avec la console Utilisateurs et Ordinateurs Active Directory. La
société est dans l’onglet Organisation des propriétés du compte.
Ensuite, exécutez à nouveau les deux cmdlets précédentes.

Figure 4‑55 Liste des membres du groupe Octane.png

Créer un groupe de distribution dynamique avec EMS


Vous souhaitez créer un groupe de distribution dynamique qui sera constitué de tous les
utilisateurs qui habite à Nantes.
Hors, vous avez constaté que EAC ne proposait pas de filtre sur le champ “Ville” (ou
“City” en anglais), bien que ce dernier existe dans l’AD.
Vous décidez de créer le groupe avec EMS.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx puis
ouvrez EMS.
Tapez la commande suivante, qui crée le groupe de distribution dynamique “Nantes” à
partir des utilisateurs de messagerie dont l’attribut Ville est égal à Nantes. Elle doit être
saisie sur une seule ligne.
new-DynamicDistributionGroup `
-Name “Nantes” -Alias “Nantes” `
-OrganizationalUnit ‘NOVAx.AD/Corporate’ `
-RecipientFilter {((RecipientType `
-eq ‘UserMailbox’) -and (City -eq ‘Nantes’))}
Pour voir les membres du groupe, vous tapez la commande suivante.
$Groupe = Get-DynamicDistributionGroup “Nantes”
Ensuite, tapez la commande suivante, qui affiche la liste des membres, sur une seule
ligne.
Get-Recipient `
-RecipientPreviewFilter $Groupe.RecipientFilter

Figure 4‑56 Liste des membres du groupe Octane

Envoyer un message de test aux groupes


Vous allez vérifier que tous les groupes sont visibles dans la liste d’adresses globale et
que les messages sont bien reçus par les utilisateurs concernés.
Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.
Démarrez Outlook.
Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé.
Créez et envoyez un premier message pour le groupe Informatique avec l’objet Pour
l’Informatique.
Ensuite créez et envoyez un second message pour le groupe Direction avec l’objet
Pour la Direction. Comme Alice est membre du groupe Direction, la vérification est
immédiate.
Enfin créez et envoyez un troisième message pour le groupe Octane avec l’objet Pour
Octane.
Enfin créez et envoyez un quatrième message pour le groupe Nantes avec l’objet Pour
Nantes.
Vous allez vérifier que les messages sont bien arrivés à leurs destinataires. Pour cela :
Connectez-vous en tant que Bob sur le poste client pour vérifier qu’il a bien reçu le
message pour les groupes Informatique et Nantes.
Connectez-vous en tant que Francine sur le poste client pour vérifier qu’elle a bien
reçu le message pour le groupe Octane.

Résumé
Dans cet exercice, vous avez créé un groupe de distribution, un groupe de sécurité et
un groupe de distribution dynamique grâce à EAC.
Vous avez pu constater l’apparition de ces groupes à travers la console Utilisateurs et
Ordinateurs Active Directory. Ce qui est logique puisque les groupes sont créés dans
l’AD, comme tous les objets créés avec Exchange.
Vous avez aussi passé en revue les propriétés du groupe de distribution.
Vous avez vérifié que le groupe de distribution dynamique était réellement dynamique,
avec l’ajout d’un utilisateur et la suppression d’un autre utilisateur de ce groupe en
modifiant leur société dans l’AD.
Enfin, vous avez constaté que certaines règles LDAP ne pouvaient être construites
qu’avec EMS et non EAC.
TP 04M Cmdlets complémentaires
Objectif
L’objectif est vous familiariser avec quelques cmdlets Exchange utiles liées aux tâches
administratives simples, en complément de celles que vous avez déjà manipulées dans les
exercices précédents.
Les tâches à accomplir sont :
Lister les snap-ins PowerShell installés
Lister les informations générales d’un serveur Exchange
Créer un groupe de distribution non dynamique
Créer un compte et une boîte aux lettres

Solution
Lister les snap-ins PowerShell installés

Sur XSGMBx, exécutez la commande ci-dessous dans la console Windows


PowerShell, pour lister les snap-ins PowerShell installés sur votre ordinateur.
Get-PSSnapin -Registered
Cette commande permet de vérifier que vous pouvez exécuter les cmdlets PowerShell
d’Exchange. Dans la liste, vérifiez la présence du snap-ins des tâches administratives
d’Exchange :
Microsoft.Exchange.Management.PowerShell.E2010
Lister les informations générales d’un serveur Exchange

Sur XSGMBx, exécutez la commande ci-dessous dans la console Windows


PowerShell, pour obtenir les informations générales d’un serveur Exchange : nom, rôles,
édition, version, etc.
Get-ExchangeServer
Pour avoir plus d’informations sur le serveur :
Get-ExchangeServer | FL
Pour connaître uniquement l’édition des serveurs :
Get-ExchangeServer | FT Name, Edition -a
Créer un groupe de distribution non dynamique

Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour créer
un groupe de distribution non dynamique intitulé Marketing dans l’unité d’organisation
Corporate.
new-DistributionGroup -Name ‘Marketing’ `
-Type ‘Distribution’ `
-OrganizationalUnit ‘novaX.ad/Corporate’ `
-SamAccountName ‘Marketing’ -Alias ‘Marketing’
Créer un compte et une boîte aux lettres
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour
permettre la saisie du mot de passe.
$motdepasse = `
Read-Host “Saisir un mot de passe (indice:a)” `
-AsSecureString
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour créer
un compte et une boîte aux lettres pour Gérard Martial dans la base de données BDD-
TOUS.
Le compte de Gérard est créé dans l’unité d’organisation Corporate.
New-Mailbox -Name ‘Gérard Martial’ `
-Alias ‘gerard’ `
-OrganizationalUnit ‘NOVAx.AD/Corporate’ `
-UserPrincipalName ‘gerard@NOVAx.AD’ `
-SamAccountName ‘gerard’ -FirstName ‘Gérard’ `
-Initials ‘GM’ -LastName ‘Martial’ `
-Password $motdepasse `
-ResetPasswordOnNextLogon $false `
-Database ‘BDD-TOUS’

Résumé
Dans cet exercice, vous avez identifié tous les snap-ins PowerShell installés sur votre
serveur.
Grâce à la présence du snap-ins d’Exchange, vous avez obtenu des informations
générales du serveur Exchange : nom, édition, version, etc. Vous avez pu aussi créer le
groupe de distribution universel Marketing, ainsi qu’un compte et une boîte aux lettres
pour Gérard.
TP 04Q Modifier l’affichage du nom complet
Objectif
Par défaut, les destinataires du carnet d’adresses s’affichent sous la forme Prénom
Nom. Certains clients préfèrent avoir un affichage sous la forme Nom Prénom. Une vieille
technique permet toujours de modifier l’ordre d’affichage du Nom Prénom pour les
nouveaux utilisateurs.
L’objectif est donc de modifier la façon dont les noms complets sont affichés de façon
à voir apparaître les nouveaux comptes sous la forme Nom Prénom.
La reprise des comptes existants ne sera pas traitée dans cet exercice.
Les tâches à accomplir sont :
Vérifier dans l’AD que la partition de configuration a bien été modifiée
Créer un compte dans Active Directory
Activer la BAL avec le Centre d’administration Exchange
Vérifier l’affichage dans le carnet d’adresses

Solution
Vérifier dans l’AD que la partition de configuration a bien été modifiée
Ouvrez une session sur DCx.
Vous allez utiliser la console Modification ADSI (Active Directory Services Interfaces)
pour apporter des modifications à la configuration d’Active Directory. Soyez prudent et
attentif dans vos manipulations avec cette console.
Dans une invite de commandes, tapez :
adsiedit.msc
Dans la fenêtre Modification ADSI qui s’affiche, vérifiez que dans le volet de gauche
sous Modification ADSI, l’entrée Connexion apparaît.
Si vous ne voyez pas Connexion directement sous Modification ADSI, positionnez-
vous dans le volet de gauche sur Modification ADSI puis cliquez sur le menu Action.
Dans le menu qui apparaît, sélectionnez Connexion.
Au milieu de la fenêtre Paramètre de connexion, cliquez dans le menu déroulant sous
l’option Sélectionnez un contexte d’attribution de noms connu puis sélectionnez
Configuration et validez votre choix en cliquant sur le bouton OK.
Double-cliquez sur le nœud suivant pour le développer :
Configuration […]
Double-cliquez sur le nœud suivant pour le développer :
CN=Configuration,DC=“nomDomaine”,DC=“nomExtension”
Double-cliquez sur le nœud suivant pour le développer :
CN=DisplaySpecifiers
Double-cliquez sur le nœud suivant pour le développer :
CN=40C
CN=40C correspond au français.
Dans le volet de droite, cherchez :
CN=user-Display
Double-cliquez sur CN=user-Display pour l’ouvrir.
Dans l’onglet Éditeur d’attributs, double-cliquez sur CreateDialog pour l’ouvrir.
Dans la zone Valeur, tapez %<sn> %<givenName>, en faisant attention à la casse et à
l’espace après <sn>. La variable %<sn> correspond au Nom, tandis que la variable %
<givenName> correspond au prénom.

Figure 4‑57 Zone Valeur de CreateDialog

Cliquez sur le bouton OK puis encore sur OK.


Fermez la console Modification ADSI.
Créer un compte dans Active Directory
Vous allez créer le compte Gaëlle Mafille.
Pour cela, ouvrez une session sur DCx.
Ouvrez le Gestionnaire de serveur puis Outils puis cliquez sur Utilisateurs et
ordinateurs Active Directory.
Dans l’OU Corporate, créez le compte utilisateur en renseignant les champs suivants :
Prénom : Gaëlle
Nom : Mafille
Puis faites une simple tabulation : le nom complet généré apparaît automatiquement
sous la forme Nom Prénom.

Figure 4‑58 Nom Prénom

Indiquez le nom d’ouverture : gaelle, puis le mot de passe (“a”) et validez la création
du compte.
Fermez la console Utilisateurs et ordinateurs Active Directory.
Activer la BAL avec le Centre d’administration Exchange

Vous allez activer la boîte aux lettres de Mafille Gaëlle.


Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche) du Centre d’administration Exchange,
cliquez sur destinataires.
Sous boîtes aux lettres et dans la barre d’outils, cliquez sur l’icône + puis dans le
menu qui s’ouvre, sélectionnez Boîte aux lettres utilisateur : la fenêtre nouvelle boîte
aux lettres utilisateur s’ouvre.
Dans la zone Alias, saisissez : gaelle.
Par défaut, l’option Utilisateur existant est sélectionné. Cliquez sur le bouton
parcourir : la liste des utilisateurs de l’AD dépourvu de BAL apparaît.
Dans cette liste, sélectionnez Mafille Gaëlle puis cliquez sur ok.
Cliquez sur Enregistrer pour valider votre saisie : le nom Mafille Gaëlle apparaît avec
son adresse de messagerie.
Vérifier l’affichage dans le carnet d’adresses

Vous allez vérifier que Mafille Gaëlle apparaît dans le format approprié dans le carnet
d’adresses Outlook.
Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.
Démarrez Outlook.
Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé.
En haut et à droite d’Outlook, cliquez sur Carnet d’adresses.

Figure 4‑59 Affichage de tous les destinataires

Dans la liste des destinataires, vous devez voir Mafille Gaëlle. Vous remarquerez que
les autres destinataires ont gardé le format d’affichage d’origine (Prénom Nom) car les
modifications ne concernent que les nouveaux comptes.
Fermez les fenêtres ouvertes.

Résumé
Dans cet exercice, vous avez utilisé ADSIEdit pour modifier la façon dont Active
Directory génère l’affichage du nom complet pour les nouveaux comptes.
Dorénavant, le nom complet est sous la forme Nom Prénom, ce qui facilite la
recherche d’une personne dans la liste d’adresses globale des grandes organisations.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Configuration de l’adresse d’administrateur externe : https://technet.microsoft.com/fr-
fr/library/bb430765(v=exchg.150).aspx
Livre “Core Solutions of Microsoft Exchange Server 2013”, Éditeur Microsoft Press,
Auteurs : Paul Robichaux, Bhargav Shukla
Livre “Advanced Solutions of Microsoft Exchange Server 2013”, Éditeur Microsoft
Press, Auteurs : Brian Reid, Steve Goodman
Livre “Exchange 2013 Pocket Consultant Databases Services” Management, Éditeur
Microsoft Press, Auteur : William Stanek
Chapitre 5 Services frontaux

Présentation
Les services frontaux correspondent aux anciens services du rôle serveur d’accès au
client (Client Access Server ou CAS) de Microsoft Exchange Server 2013.
Ils sont maintenant complètement intégrés au rôle de boîtes aux lettres. Toutefois afin
de faire le lien avec l’architecture précédente, ces services sont présentés en détail dans ce
chapitre.
Ce choix est d’autant plus logique que les cmdlets ClientAccessServer sont maintenues
dans Exchange 2016 sans modification.

Fonctionnement des services


Dans l’infrastructure Exchange 2016, tous les clients (Outlook, Outlook sur le web,
POP3, IMAP4) se connectent aux services frontaux du serveur de boîtes aux lettres pour
accéder aux boîtes aux lettres, que les accès proviennent de l’intranet ou d’Internet.
Dorénavant, tous les protocoles d’accès sont basés sur des protocoles Internet :
Les clients Outlook sur le web, EAC, Outlook, ActiveSync et PowerShell
communiquent avec le serveur d’accès au client en HTTP, via IIS installé sur le serveur.
Les services POP3 (Post Office Protocol version 3), IMAP4 (Internet Message Access
Protocol version 4) et SMTP (Simple Mail Transfer Protocol) communiquent avec leur
protocole respectif.
Le protocole POP3 permet d’aller récupérer son courrier sur un serveur distant POP. Il
sert aux personnes n’étant pas connectées en permanence à Internet pour qu’elles puissent
consulter les messages reçus hors connexion. POP3 est en lecture seule car l’envoi se fait
à l’aide du protocole SMTP. Le service POP3 est désactivé par défaut. Le protocole POP3
est défini dans la RFC 1939/1737 sur le port TCP 110 et SSL 995.
Le protocole IMAP4 est un protocole alternatif au protocole POP3 qui offre plus de
possibilités. Par exemple, il permet de gérer plusieurs accès simultanés aux boîtes aux
lettres, ainsi que de gérer plusieurs boîtes aux lettres et de trier le courrier selon plus de
critères. Le protocole IMAP4 nécessite aussi SMTP pour l’envoi des messages. Le service
IMAP4 est désactivé par défaut. Le protocole IMAP4 est défini dans la RFC 2060 sur le
port TCP 143 et SSL 993.
Les clients SIP communiquent avec leur protocole pour la messagerie unifiée.

Composants des services


Les services frontaux du serveur de boîtes aux lettres sont composés su service de
transport frontal (Front End Transport service) et du service frontal d’accès au client
(Client Access Front End service).
Ils possèdent une unité de traitement spécifique pour traiter chaque type de requêtes :
HTTP, POP, IMAP, SMTP et SIP.
Configuration des domaines d’accès
Exchange utilise intensément les services web, via des applications de site sur IIS
(Internet Information Services). Ces applications sont hébergées par des répertoires
virtuels de IIS.
Bien que IIS soit une brique importante de l’architecture Exchange, l’administration de
base de ces applications se fait normalement avec le Centre d’administration Exchange ou
L’environnement EMS (Exchange Management Shell), et non avec le Gestionnaire des
services Internet. Toutefois, ce dernier peut être utile pour redémarrer un pool
d’application ou un site web arrêté.

Figure 5‑1 Applications IIS (vue partielle)

Par défaut, les répertoires virtuels des sites web Exchange : Outlook Web App,
ActiveSync, le Centre d’administration Exchange, le Carnet d’adresses en mode hors
connexion, etc. sont configurés avec leurs noms locaux.
Par exemple, vous accédez au Centre d’administration Exchange en tapant
https://XSGMBx.NOVAx.AD/ecp, où XSGMBx est le nom d’hôte du serveur Exchange.
De même, le webmail Outlook sur le web est accédé via l’URL :
https://XSGMBx.NOVAx.AD/owa.
Pour le webmail Outlook sur le web ou le Centre d’administration Exchange EAC, il
est possible d’utiliser le nom local. Cependant, vos utilisateurs et vous-même, verrez un
message d’avertissement concernant le certificat, à cause de la non-correspondance entre
le nom stocké dans le certificat et le nom de l’URL. Vous pouvez passer outre et accéder
au site, mais ce n’est pas très “propre”.
De même, dans l’hypothèse où vous disposez de plusieurs serveurs Exchange, vous
avez besoin d’une URL générique par type d’application.
Par exemple, vous voudriez que le webmail soit accessible via une seule URL comme
https://webmail.nova100.ad/owa.
Le problème est encore plus crucial pour vos applications comme le client Outlook ou
les applications mobiles. Celles-ci n’ont pas le moyen d’outrepasser les alertes de sécurité
des certificats, fort heureusement. Donc, s’il y a le moindre problème, comme la non-
correspondance des noms, le service concerné s’arrête.
Aussi, une des premières tâches administratives est de configurer les URL internes,
pour les accès de l’intranet, et externes, pour les accès d’Internet, des répertoires virtuels.
Il est possible de n’avoir d’une seule URL pour les accès Internet ou Intranet.
Les répertoires virtuels des sites web suivants sont concernés.
Autodiscover (découverte automatique) permet notamment de configurer
automatiquement les paramètres d’Outlook pour la connexion à Exchange.
ECP est le site web qui donne accès au Centre d’administration Exchange. ECP est
l’acronyme d’Exchange Control Panel. Dans les versions précédentes d’Exchange, ECP
était fonctionnellement proche de ce que propose EAC mais sans être aussi complet.
EWS (Exchange Web Services) permet la communication entre les clients et le serveur
Exchange en services web.
Microsoft-Server-ActiveSync, abrégé en ActiveSync, permet de synchroniser des
clients avec Exchange. Il est notamment utilisé dans la communication entre téléphones
mobiles et Exchange.
OAB (Offline Address Book) est un site web qui gère les carnets d’adresses en mode
hors connexion. Un carnet d’adresses en mode hors connexion est une copie d’un
ensemble de listes d’adresses téléchargé pour permettre à un utilisateur de Microsoft
Outlook d’accéder au carnet d’adresses, tout en étant déconnecté du serveur.
OWA (Outlook sur le Web) permet d’accéder au contenu d’une boîte aux lettres grâce à
un navigateur Internet.
Le site web PowerShell distant permet le dialogue entre les outils de gestion
Exchange et PowerShell. Il est possible de le supprimer et de le recréer si vous n’arrivez
plus à accéder à votre console EAC ou à EMS.
Par ailleurs, Microsoft recommande d’utiliser la technique du DNS split-brain les
ressources Internet et Intranet. Avec cette technique, le même nom de domaine (exemple :
www.nova.fr) est utilisé pour les ressources Intranet et Internet. Ainsi, avec la même URL,
les utilisateurs Internet accèdent au site Web public, tandis que les employés accèdent au
site Web Intranet.
Pour des raisons de sécurité évidente, l’accès externe utilise systématiquement le
protocole HTTPS. De plus en plus de nos clients utilisent aussi le protocole HTTPS pour
les accès internes. Le protocole HTTPS nécessite l’utilisation d’un certificat.
Certificats SSL
Un certificat SSL est nécessaire pour chiffrer les flux HTTP, utilisés par Outlook Web
App, OAB, les services Exchange, etc. La liste complète est donnée ci-dessous avec une
explication de chaque composant.
Il s’agit donc d’un aspect crucial pour le bon fonctionnement d’une organisation
Exchange.
Durant l’installation d’Exchange 2016, un certificat auto-signé d’une durée de vie de
cinq ans, est créé. Ce certificat permet de faire des tests mais il ne peut pas être utilisé en
environnement de production par les services Exchange comme Outlook Anywhere.
Pour remédier à cela, vous pouvez acheter un certificat auprès d’un éditeur spécialisé :
Comodo, DigiCert, Entrust, GeoTrust, GlobalSign, GoDaddy, Symantec (anciennement
VeriSign), Thawte, etc.
Les procédures d’installation et de renouvellement sont généralement fournies avec le
certificat acheté. Toutefois, l’ajout du certificat est aussi facilité en utilisant la console
EAC qui propose d’importer les certificats (volet serveurs puis onglet certificats puis
icône … de la barre d’outils).
Vous avez aussi intérêt à utiliser un certificat de type SAN (Subject Alternative Name).
Un certificat de type SAN peut être utilisé pour des sites web appartenant à différents
domaines, comme par exemple webmail.nova.com et autodiscover.nova.com. Ce type de
certificat est généralement un peu plus cher que l’achat de certificats séparés. Cependant,
il est plus simple à gérer et évite certaines complications.
Éventuellement, vous pouvez utiliser un certificat générique, comme par exemple pour
tous les domaines nova.com : *.nova.com. Cependant, cette solution est déconseillée pour
des raisons de sécurité. Il est préférable d’acquérir un certificat de type SAN.
Vous pouvez aussi générer votre propre certificat en installant votre infrastructure à
clés publiques (PKI, Public Key Infrastructure) afin de disposer d’une autorité de
certification interne. La procédure et les explications liées à l’installation d’une autorité de
certification sont trop externes à Exchange pour être présentées dans cet ouvrage.
En revanche, la procédure de demande d’un certificat SSL pour les services Exchange
fait l’objet d’un exercice détaillé.
Le tableau ci-dessous explicite tous les services Exchange pour lesquels une demande
de certificat peut être émise. La colonne de droite indique les services qui sont accessibles
de l’Intranet. Ils sont tous accessible à partir d’Internet.
Figure 5‑2 Certificats des Services Exchange
Découverte automatique
La découverte automatique (Autodiscover) est un protocole qui fournit les informations
de configuration de connexion du client Outlook et du profil Outlook, ainsi que les URL
de configuration pour les informations de plages horaires disponibles ou occupées et celles
du carnet d’adresses en mode hors connexion (OAB : Offline Address Book).
Les clients pleinement supportés sont :
Outlook 2016
Outlook 2013 avec SP1 et KB3020812
Outlook 2010 avec SP2 et KB2956191/KB2965295
Outlook pour Mac pour Office 365
Outlook pour Mac 2016
Outlook pour Mac 2011
Outlook Online
Les serveurs Exchange utilisent aussi la découverte automatique pour réduire la
sollicitation des catalogues globaux et des contrôleurs de domaines de l’Active Directory
(AD). Ce fonctionnement est utile à l’intérieur d’une forêt AD et indispensable entre
forêts AD et entre organisations Exchange fédérées.
Une fois que l’utilisateur est authentifié sur le domaine, la découverte automatique
s’active lors du premier lancement d’Outlook afin de récupérer toutes les informations
nécessaires à la configuration d’Outlook. Il suffit que l’utilisateur valide le paramétrage
pour finaliser l’installation, sans qu’il soit nécessaire qu’il saisisse d’autres informations.
Le mécanisme de la découverte automatique fonctionne toutes les heures afin de
prendre en compte d’éventuelles modifications d’Exchange.
Lors de l’installation du rôle d’accès au client, un pool d’application nommé
MSExchangeAutodiscoverAppPool et une application web intitulée Autodiscover ont
été installés sur ce serveur. L’application contient un fichier de configuration nécessaire à
l’exécution des services web d’Autodiscover.
Un point de connexion de service (SCP, Service Connection Point) a été créé dans la
partition de configuration de l’AD pour le service Autodiscover. Un SCP permet de
localiser les serveurs qui exécutent un service recherché.
Avec la console Sites et services Active Directory, vous pouvez afficher le Service
Connection Point (XSGMB100) d’Autodiscover.
Figure 5‑3 Sites et services AD

Puis ensuite, grâce à l’éditeur d’attributs.

Figure 5‑4 Propriétés du SCP de XSGMB100 (vue partielle)

L’attribut objectClass définit l’entrée courante en tant que serviceConnectionPoint.


De plus, l’attribut serviceClassName (non visible sur la copie d’écran) indique la
valeur ms-Exchange-AutoDiscover-Service, autrement dit cette entrée peut être utilisée
pour identifier l’URL du fichier XML de la découverte automatique.
L’attribut serviceBindingInformation indique la valeur de l’URL :
https://XSGMB100.nova100.ad/Autodiscover/Autodiscover.xml.
Le point de connexion est créé à l’installation du rôle d’accès au client. Il y a autant de
points de connexion pour Autodiscover, qu’il y a de serveurs avec un rôle d’accès au
client.
Si vous modifiez un paramètre quelconque de la configuration du serveur relatif à ce
point de connexion, celui-ci ne se met pas à jour automatiquement. Vous devez faire la
mise à jour avec la cmdlet Set-ClientAccessService. Vous trouverez des exemples
d’utilisation de cette cmdlet dans l’exercice du TP 05A Configurer les domaines d’accès.

À l’intérieur du domaine
Dans un domaine, le client Outlook récupère l’identité des services frontaux du serveur
de boîtes aux lettres en interrogeant Active Directory, en lui fournissant le GUID de la
boîte aux lettres de l’utilisateur et le domaine de son adresse SMTP.
Comme il n’y a pas d’affinité de session, les services frontaux du serveur de boîtes aux
lettres peuvent être différents d’une heure à une autre, puisque le mécanisme de la
découverte automatique fonctionne toutes les heures. Toutefois, il est possible de créer
manuellement une affinité entre les clients et les serveurs de leur site avec le paramètre -
AutodiscoverServerSiteScope de la cmdlet Set-ClientAccessService.
Le point de connexion est utilisé pour donner au client Outlook, l’URL du fichier XML
qu’il devra utiliser afin de connaître la configuration de l’utilisateur.
Le client Outlook transmet le fichier XML avec l’identifiant de l’utilisateur en cours
aux services frontaux du serveur de boîtes aux lettres. Ceux-ci identifient le serveur de
boîtes aux lettres concerné et lui transmet le fichier.
Ce fichier est traité par le fournisseur Outlook Anywhere et les services de découverte
(Services Discovery) qui interrogent Active Directory pour récupérer les informations
concernant l’utilisateur.
Ces informations sont ensuite retournées au client Outlook à travers un autre fichier
XML.

Hors du domaine
Hors domaine, les clients interrogent le DNS pour trouver le service de la découverte
automatique. L’interrogation porte sur les enregistrements de ressources de type A (nom
d’hôte) ou CNAME (alias) et SRV (services).
L’URL de la découverte automatique est construite à partir du domaine de l’adresse
SMTP de l’utilisateur. L’algorithme de génération n’est pas modifiable ou paramétrable.
Par exemple, si l’utilisateur a une adresse Alice@nova.com, Outlook va interroger
successivement le DNS pour trouver un serveur :
Avec un enregistrement de ressources de type A ou CNAME pour nova.com qui pointe sur
l’URL suivante : https://nova.com/autodiscover/autodiscover.xml
Avec un enregistrement de ressources de type A ou CNAME pour autodiscover.nova.com
qui pointe sur l’URL suivante :
https://autodiscover.nova.com/autodiscover/autodiscover.xml
Avec un enregistrement de ressources de type A ou CNAME pour nova.com qui pointe sur
l’URL suivante : https://autodiscover.nova.com/autodiscover/autodiscover.xml
Avec un enregistrement de ressources de type SRV pour autodiscover._tcp.nova.com. Cet
enregistrement doit être en écoute sur le port 443 et avoir un nom d’hôte quelconque
comme par exemple webmail. La recherche sera faite sur l’URL suivante :
https://webmail.nova.com/autodiscover/autodiscover.xml
Par ailleurs, le certificat SSL doit inclure les domaines pour le service webmail et la
découverte automatique.
Configuration de la découverte automatique
La configuration, autre que la configuration du domaine d’accès externe, se fait dans
EAC via serveurs puis répertoires virtuels puis Autodiscover (Default Web Site) puis
dans la barre d’outils, sur l’icône en forme ce crayon.

Figure 5‑5 Paramètres généraux Autodiscover

L’onglet général est purement informatif.

Authentification

Figure 5‑6 Méthodes d’authentification Autodiscover

Il est possible de demander l’utilisateur de s’authentifier à Outlook sur le web selon des
mécanismes d’authentification différents.
Dans l’authentification Windows intégrée, les utilisateurs ne sont pas invités à entrer
leur mot de passe et nom de compte, mais le serveur négocie avec les modules de sécurité
Windows installés sur l’ordinateur client. Pour que cette méthode fonctionne, l’ordinateur
client doit être membre du même domaine que les serveurs exécutant Microsoft Exchange.
L’authentification Digest pour les serveurs de domaine Windows transmet les mots
de passe sur le réseau sous forme d’empreinte. Elle nécessite un contrôleur de domaine
Windows pour authentifier les utilisateurs. Elle est utilisable sur les serveurs proxy et
pare-feu, ainsi que pour le WebDAV (Web Distributed Authoring and Versioning).
L’authentification de base est un mécanisme d’authentification simple défini par la
spécification http. Elle requiert que les utilisateurs fournissent un nom d’utilisateur et un
mot de passe valides. Tous les navigateurs la prennent en charge. Elle fonctionne
également sur les pare-feu et les serveurs proxy. Toutefois, l’inconvénient de
l’authentification de base est qu’elle transmet des mots de passe codés en Base64 non
chiffrés sur le réseau.
Configuration d’Outlook
Les clients Outlook 2007 et antérieurs ne sont pas supportés avec Exchange Server
2016. Le client minimum supporté dans le monde Windows est Outlook 2010 avec SP2 et
KB2956191/KB2965295.
Les clients Outlook peuvent fonctionner en mode cache, en mode en ligne ou en mode
hors ligne.
Le mode cache est le mode par défaut utilisé pour stocker dans un fichier OST (Offline
Storage Tables), une copie de la boîte aux lettres sur le poste de l’utilisateur.
Cette copie locale est mise à jour régulièrement lorsque la connexion au serveur
Exchange est disponible. Si le serveur n’est plus accessible, l’utilisateur continue à
travailler localement.
Toutes les modifications sont faites sur la copie locale. Ce qui évite de solliciter trop
souvent le serveur Exchange. L’avantage de ce mode est aussi de supporter un
dysfonctionnement passager du serveur Exchange, sans que l’utilisateur en souffre.
Compte-tenu du fonctionnement du mode de mise en cache, il existe un risque de
sécurité en cas de vol d’un ordinateur portable, sur lequel un client Outlook est configuré
avec ce mode. Pour pallier à ce risque, il est possible de chiffrer le lecteur qui contient la
copie avec un produit comme BitLocker de Microsoft.
Si Outlook 2010 a une copie complète de la boîte aux lettres, il est possible de
paramétrer Outlook 2013 ou Outlook 2016 pour éviter d’avoir l’intégralité de la boîte aux
lettres car cela peut poser des problèmes de taille et de performance sur le disque dur
local.
Dans le mode en ligne, il n’y a pas de copie locale. Dans ce mode tout le contenu de la
boîte aux lettres est stocké uniquement sur le serveur Exchange. Dès que la connexion
n’existe plus, l’utilisateur ne peut plus travailler sur sa messagerie et reçoit des messages
d’erreur.
Le client doit être connecté en permanence au serveur Exchange. Cela augmente la
charge sur le serveur car toutes les modifications sont faites directement sur le serveur.
Le mode hors connexion permet d’avoir une copie locale de la boîte aux lettres par
contre la gestion d’envoi et de réception des messages est effectuée par l’utilisateur via le
bouton Envoyer/Recevoir.
L’utilisateur peut spécifier les dossiers à synchroniser, contrairement au mode cache.
L’interface Outlook sur le Web (OWA)
Outlook sur le web (anciennement appelé Outlook Web App) est un client web pour
Exchange Server 2016. Grâce à une URL sécurisé et après authentification, l’accès à la
messagerie est possible en mode web.
L’adresse URL par défaut dans Outlook sur le web pour les boîtes aux lettres sur un
serveur Exchange 2016 est :
https://<nomduserveur>/owa
L’expérience est similaire avec des navigateurs différents comme Internet Explorer
(IE10 minimum), Google Chrome (v24 minimum), Mozilla Firefox (v17 minimum) ou
Apple Safari (v5.1 sur Mac minimum).
L’expérience est aussi très proche pour des matériels différents comme un PC, une
tablette ou un smartphone.
Il est possible de basculer en mode déconnecté avec Outlook sur le web. Dans ce
mode, toutes les fonctionnalités ne sont pas actuellement disponibles, comme par exemple
les dossiers archivés. En revanche, vous aurez accès à vos emails, ainsi qu’au calendrier.
Les fonctionnalités d’Outlook sur le web évoluent très rapidement. Il est probable
qu’au moment où vous lisez ces lignes, bien d’autres possibilités aient été ajoutées.
Configuration du webmail Outlook sur le web
La configuration, autre que la configuration du domaine d’accès externe, se fait dans
EAC via serveurs puis répertoires virtuels puis owa (Default Web Site) puis dans la
barre d’outils, sur l’icône en forme de crayon.

Figure 5‑7 Paramètres généraux Outlook sur le web

L’onglet général sert à indiquer l’URL interne et externe, comme cela a été présenté
dans la section consacrée aux répertoires virtuels.

Authentification

Figure 5‑8 Méthodes d’authentification Outlook sur le web

Il est possible de demander l’utilisateur de s’authentifier à Outlook sur le web selon des
mécanismes d’authentification différents.
Les mécanismes d’authentification Windows intégrée, d’authentification Digest pour
les serveurs de domaine Windows et d’authentification de base ont été présentés dans la
section Authentification de l’application Découverte automatique.
Dans l’authentification basée sur les formulaires, une page de connexion pour
Outlook sur le web est créée au format HTML. Si le format de connexion du nom
d’utilisateur principal (UPN) est spécifié, le login est de la forme user@contoso.com (par
exemple). Si l’UPN d’un utilisateur diffère de son adresse de messagerie, l’utilisateur ne
peut pas accéder à Outlook sur le web.

Fonctionnalités

Figure 5‑9 Fonctionnalités Outlook sur le web

Par défaut, toutes les fonctionnalités possibles d’Outlook sur le web sont activées. Cet
écran présente les principales fonctionnalités mais si vous cliquez sur le lien Plus
d’options, vous les verrez toutes cochées.
Si, par exemple, vous ne voulez pas que vos utilisateurs modifient le thème, c.-à-d.
l’apparence, de leur Outlook sur le web, il suffit de décocher la case Thème.

Accès au fichier
Figure 5‑10 Accès au fichier Outlook sur le web

Les options relatives à la technologie WebReady n’apparaissent plus dans cette


nouvelle version. Cette technologie permet de disposer de générateurs d’aperçu de
fichiers.
Toutefois, il reste possible de manipuler directement les fichiers Office grâce à
l’application Office Web Apps, à partir d’Outlook ou Outlook sur le web.
Cette application est disponible nativement avec Office 365. En revanche, elle
nécessite une installation à part pour un fonctionnement avec des serveurs Exchange sur
site.
MAPI sur HTTP
MAPI (Messaging Application Programming Interface ou Interface de programmation
d’applications de messagerie) sur HTTP est un protocole de transport par défaut qui ne
repose plus sur le RPC (Remote Procedure Call). Dans la pratique, le protocole RPC
présente parfois des problèmes de temps latence qui peuvent nuire à l’expérience de la
messagerie.
Au contraire, MAPI sur HTTP permet aux clients de se reconnecter plus rapidement à
Exchange car, compte-tenu de l’absence des connections RPC, seules les connections TCP
doivent être recréées.
Par exemple, ce mécanisme permet de basculer d’un réseau câblé à un réseau wifi ou
cellulaire, ou encore de reprendre de l’hibernation, sans modifier le contexte de la session
du serveur.
MAPI sur HTTP peut être défini au niveau d’une boîte aux lettres particulière ou, au
contraire, sur l’ensemble de l’organisation. Ce qui est le cas par défaut pour une nouvelle
organisation.
Les clients Outlook qui ne sont pas compatibles avec MAPI sur HTTP peuvent
continuer à utiliser Outlook Anywhere (RPC sur HTTP) pour accéder à Exchange.
Outlook 2013 avec SP1 et KB3020812, ainsi que Outlook 2016 sont pleinement
compatibles avec MAPI sur HTTP, aussi bien avec Exchange Server 2016 qu’avec
Exchange Server 2013 SP1.
Outlook 2013 RTM (sans service pack) ne supporte pas MAPI sur http. Ce client utilise
Outlook Anywhere ou éventuellement le RPC.
Configuration MAPI sur HTTP
Configurer le serveur
Pour activer MAPI sur HTTP pour toute l’organisation, tapez la commande suivante
sur une seule ligne.
Set-OrganizationConfig -MapiHttpEnabled $True
Pour activer MAPI sur HTTP au niveau de la boîte aux lettres d’Alice, tapez la
commande suivante sur une seule ligne.
Set-CasMailbox alice -MapiHttpEnabled $true

Configurer le client
Le bon fonctionnement de l’état de la connexion d’Outlook peut se vérifier aisément à
partir du client Outlook, lorsqu’il est en cours d’exécution.
Dans la barre des tâches, faites un clic droit + CTRL sur l’icône d’Outlook dans la
zone de notification.

Figure 5‑11 Zone de notification Outlook

Dans le menu qui s’affiche, sélectionnez État de la connexion. Vous ne verrez pas ce
menu, si vous n’avez pas appuyé sur la touche CTRL en même temps que vous faites un
clic droit sur l’icône d’Outlook.

Figure 5‑12 État de la connexion

Dans la fenêtre qui apparaît, la colonne État vous indique l’état de la connexion
(Établie), la colonne Protocole indique le protocole utilisé (HTTP, RPC/http, etc.) et la
colonne Authn l’authentification utilisée (Nego*, NTLM, etc.).
Si vous glissez l’ascenseur horizontal en bas de la fenêtre vers la droite, vous verrez
beaucoup d’autres colonnes qui fournissent des informations complémentaires :
chiffrement, port RPC, type de connexion (annuaire, messagerie), nombre de demandes
réussies / échouées, temps de réponse moyen, type de session (premier plan, arrière-plan,
cache), interface Ethernet, type de connexion (HTTP / HTTPS), type de notification
(asynchrone), version, coût réseau, restriction de latence hybride, etc.
Outlook Anywhere
La fonctionnalité Outlook Anywhere (anciennement RPC sur HTTP) permet aux
clients Outlook qui ne sont pas compatibles avec MAPI sut HTTP, de se connecter aux
serveurs Exchange à l’extérieur du réseau d’entreprise à l’aide du composant réseau RPC
sur HTTP de Windows.
Dans ce cas, le protocole MAPI repose sur le protocole RPC qui a besoin de plusieurs
ports ouverts sur les pare-feu pour se connecter.
MAPI est un ensemble de fonctions propriétaires Microsoft utilisées par des
applications de messagerie électronique. Le but de ces fonctions est de pouvoir créer,
manipuler, transférer et stocker des messages électroniques.
Le composant réseau RPC sur HTTP de Windows encapsule les appels RPC dans du
HTTP. La couche HTTP permet au trafic de traverser les pare-feu du réseau sans qu’il soit
nécessaire que des ports RPC soient ouverts, car Outlook Anywhere utilise le port 443
déjà ouvert pour Outlook sur le web. Outlook Anywhere élimine le besoin d’utiliser les
réseaux privés virtuels (VPN) en traversant les pare-feu.
Configuration Outlook Anywhere
Configurer le serveur
Dans Exchange 2016, Outlook Anywhere est activée par défaut car la connectivité
RPC directe n’est pas permise et toute la connectivité Outlook s’effectue via Outlook
Anywhere.
La seule tâche administrative à faire pour utiliser convenablement Outlook Anywhere
sur le serveur consiste à installer un certificat SSL valide sur vos serveurs d’accès au
client. C’est le même certificat SSL que celui utilisé pour Outlook sur le web et
ActiveSync Exchange.
Le certificat SSL doit être reconnu comme émanant d’une autorité de confiance côté
client.
Il est recommandé d’acheter le certificat auprès d’une autorité de certification tierce
dont les certificats sont approuvés par un vaste éventail de navigateurs Web.

Configurer le client
Si le client Outlook ne supporte pas MAPI sur HTTP, la configuration des paramètres
Outlook Anywhere d’Outlook est faite automatiquement par Exchange lors du premier
démarrage d’Outlook grâce au service de découverte automatique.
La configuration d’Outlook Anywhere d’Outlook est accessible via Fichier puis
Paramètres du compte puis Modifier (dans l’onglet Messagerie) puis Paramètres
supplémentaires puis Paramètres proxy échange (dans l’onglet Connexion).
La vérification de la configuration du client suit la même procédure que celle qui
expliquée dans le paragraphe Configuration MAPI sur HTTP.
Configuration des connecteurs
Par défaut, Exchange dispose de cinq connecteurs de réceptions : il est donc prêt pour
recevoir des messages électroniques.
En revanche, par défaut, Exchange ne sait pas se connecter à d’autres serveurs Internet
pour envoyer un message à l’extérieur de l’organisation. Aussi, la finalisation d’une
installation d’Exchange nécessite la création d’un connecteur d’envoi vers Internet.

Connecteur d’envoi
L’envoi d’un message à l’extérieur de l’organisation nécessite la création d’un
connecteur d’envoi.
Un connecteur d’envoi définit un chemin logique qui explique à Exchange vers qui il
doit transporter les messages, en fonction d’un domaine de destination et des permissions
accordées.
Il existe deux méthodes différentes pour acheminer les messages. Les messages
peuvent être acheminés en utilisant l’enregistrement MX associé au domaine de
destination. Ils peuvent aussi être transportés jusqu’à un hôte actif. Typiquement, il s’agit
de celui du fournisseur d’accès Internet.
Le connecteur d’envoi peut être utilisé par le service de Transport du serveur de boîtes
aux lettres. L’interface graphique d’administration EAC permet de créer le connecteur
d’envoi.
L’interface EMS permet de créer et paramétrer l’utilisation du proxy en une seule
opération grâce au paramètre FrontendProxyEnabled:$True dans la cmdlet New-
SendConnector.
En outre, les serveurs de boîtes aux lettres disposent d’un connecteur d’envoi implicite.
Celui-ci sert uniquement pour transférer des messages électroniques à d’autres serveurs de
boîtes aux lettres de l’organisation. Il n’est pas paramétrable.
Vous pouvez afficher les informations de configuration d’un connecteur d’envoi, avec
la cmdlet suivante.
Get-SendConnector
La configuration est faite grâce à la cmdlet suivante.
Set-SendConnector
Par exemple pour définir le niveau de journalisation des connecteurs d’envoi, vous
tapez la commande suivante sur une seule ligne.
Get-SendConnector | Set-SendConnector `
-ProtocolLoggingLevel verbose

Connecteur de réception
La réception d’un message est possible grâce aux connecteurs de réception qui sont
installés par défaut.
Chaque connecteur de réception correspond à une combinaison unique de propriétés :
le port par lequel transitent les messages, les adresses IP locales et le sous-réseau IP
distant.
Aucun autre connecteur de réception SMTP ne peut avoir la même combinaison de
propriétés.
Lorsque plus d’un connecteur est disponible sur un ordinateur de destination, Exchange
évalue les connecteurs et choisit le connecteur le plus restrictif.
Les connecteurs de réception sont créés et configurés à l’installation du rôle de serveur
de boîtes aux lettres. Par défaut, la taille maximale des messages reçus est de 36 Mo.
Le connecteur de réception Default Frontend sert à la réception de messages SMTP
d’Internet sans authentification, via le port 25.
Le connecteur de réception Client Frontend sert aux clients non-RPC over HTTPS,
qui ont besoin de s’authentifier auprès d’un serveur SMTP avant l’envoi de leur message
grâce à TLS, via le port 587. Les clients non-RPC over HTTPS sont typiquement les
clients POP3 et IMAP4.
Le connecteur de réception Outbound Proxy Frontend sert à recevoir des messages
de serveur de boîtes aux lettres qui transitent par Internet, via le port 717.
Le connecteur de réception Client Proxy accepte les messages des clients authentifiés
qui ont été transmis via le serveur d’accès au client. Il est en écoute sur le port 465.
Le connecteur de réception Default accepte les messages transmis par le serveur
d’accès au client, via le port 2525.
Vous pouvez afficher les informations de configuration d’un connecteur de réception,
avec la cmdlet suivante.
Get-ReceiveConnector
La configuration est faite grâce à la cmdlet suivante.
Set-ReceiveConnector
Par exemple pour définir le niveau de journalisation des connecteurs de réception, vous
tapez la commande suivante sur une seule ligne.
Get-ReceiveConnector | Set-ReceiveConnector `
-ProtocolLoggingLevel verbose
Configuration des accès mobiles
Les mobiles concernés fonctionnement dans les environnements suivants : iPhone,
Android, Windows Phone, Microsoft Surface et BlackBerry.
Vous pouvez définir des stratégies spécifiques aux mobiles. Cette stratégie peut obliger
par exemple l’utilisation d’un mot de passe avec des caractères particuliers, ou d’une
longueur minimale.
En termes de certificat SSL, les choix que vous faites concernant l’autorité de
certifications peuvent vous faciliter la tâche ou non.
Si vous vous procurez un certificat auprès d’un éditeur tiers spécialisé, vous n’aurez
pas de tâches administratives particulières à faire pour implémenter le certificat SSL car,
par construction, les mobiles font confiance aux autorités de certifications publics et
connues.
Le tableau suivant donne le nom des autorités de certification qui émettent des
certificats de Communications unifiées pour Exchange.
Partenaires de certificat de Communications unifiées
http://coudr.com/xsg008
Vous avez aussi intérêt à utiliser un certificat de type SAN (Subject Alternative Name).
Un certificat de type SAN peut être utilisé pour des sites web appartenant à différents
domaines, comme par exemple webmail.nova.com et autodiscover.nova.com.
En revanche, si vous utilisez vos propres certificats, générés à partir d’une Autorité de
Certificat Active Directory, vous devrez installer le certificat d’accès client AD sur le
mobile. Cette tâche peut se révéler chronophage, notamment si vous disposez d’une flotte
importante de mobiles.

ActiveSync
Exchange ActiveSync (EAS) est un protocole de synchronisation optimisé pour
fonctionner avec des réseaux à faible bande passante et latence élevée.
Le protocole, basé sur HTTP et XML, permet à des périphériques tels que des
téléphones cellulaires avec navigateur intégré ou des périphériques de type Windows
Mobile d’accéder à un serveur Exchange.
ActiveSync permet aux utilisateurs de périphériques mobiles d’accéder à leurs
messages électroniques, calendrier, contacts et tâches et de continuer à avoir accès à ces
informations lorsqu’ils travaillent hors connexion.
Vous pouvez configurer ActiveSync pour utiliser un chiffrement SSL pour les
communications entre Exchange et le périphérique mobile.
La version 16 d’ActiveSync apporte de nouvelles améliorations.
En particulier, les dysfonctionnements sur le calendrier, constatés par certains utilisateurs
qui n’étaient pas équipés en Windows de bout en bout, doivent normalement disparaître.
Il est maintenant possible que les éléments de calendrier synchronisés avec EAS incluent
des pièces jointes.
Les éléments du dossier Brouillon sont synchronisés avec EAS. Il est donc possible de
débuter l’écriture d’un message électronique sur son smartphone puis ensuite de le
terminer sur l’ordinateur du bureau, ou inversement.
Par défaut, Exchange ActiveSync est activé lorsque vous installez le rôle de serveur
d’accès au client. Vous pouvez le vérifier dans la console Gestionnaire des services
Internet (IIS). Le pool d’applications MSExchangeSyncAppPool doit être démarré.
TP 05A Configurer les domaines d’accès
Objectif
L’objectif est de configurer les domaines d’accès externes et internes grâce à un
certificat SSL.
Les tâches à accomplir sont :
Installer ou renouveler un certificat SSL
Configurer les répertoires virtuels

Préparation
Vérifiez que vos machines virtuelles DCx et XSGMBx sont bien démarrées. Si elles ne
sont pas démarrées, démarrez-les.

Solution
Installer ou renouveler un certificat SSL

Vous souhaitez demander un nouveau certificat SSL uniquement pour vos services
Exchange de webmail et de découverte automatique (AutoDiscover) du domaine
nova100.ad (pas du domaine questcequecest.com).
Cette procédure est identique pour l’installation ou le renouvellement d’un certificat
SSL.
Avant de démarrer l’exercice, créez un dossier C:\Certificats sur votre contrôleur de
domaine DCx et partagez-le en écriture (modifier) pour le groupe Sous-système
approuvé Exchange (Exchange Trusted Subsystem).
Ensuite, si la session d’administrateur de domaine n’est pas encore ouverte sur
XSGMBx, ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités (à gauche), cliquez sur serveurs : le volet central
s’actualise et donne accès aux onglets.
Cliquez sur l’onglet certificats.
Figure 5‑13 Certificats

Pour obtenir un nouveau certificat, cliquez sur le signe + qui se trouve sous la zone
Sélectionner le serveur : l’assistant de création de certificat s’ouvre.
Cochez l’option Créez une demande de certificat d’une autorité de certification
puis cliquez sur suivant.
Donnez un nom à votre certificat : Certificat SSL NOVAx puis cliquez sur suivant.
Sur l’écran suivant, vous pouvez demander un certificat générique qui sera valable
pour tous les sous-domaines. Dans votre cas, vous souhaitez un certificat spécialisé :
cliquez sur suivant.
Cliquez sur le bouton parcourir et sélectionnez votre serveur Exchange puis cliquez sur
suivant.

Figure 5‑14 Liste des services Exchange

Dans cet écran, vous avez la liste des services Exchange qui nécessitent un certificat
pour fonctionner. Éventuellement, vous pourriez supprimer un domaine interne qui ne sera
pas utilisé par les connexions entrantes. Laissez les options par défaut puis cliquez sur
suivant.
Figure 5‑15 Domaines par défaut

Vous souhaitez inclure uniquement les domaines de NOVAx.AD pour les services
webmail et découverte automatique (AutoDiscover). Vous devez donc supprimer tous les
domaines SAUF XSGMBx.NOVAx.ad et AutoDiscover.NOVAx.ad.
Pour cela, sélectionnez les domaines inutiles et cliquez dans la barre d’outils, sur
l’icône moins (-) pour les supprimer.

Figure 5‑16 Domaines sélectionnés

Cliquez sur suivant.


Renseignez les champs relatifs à votre organisation. Par exemple :
Nom d’organisation : NovaX
Nom du service : Corporate
Ville/Localité : Nantes
Département/région : Loire-Atlantique
Nom de pays/région : France
Figure 5‑17 Demande d’un certificat

Cliquez sur suivant.


Indiquez le chemin de partage de votre autorité de certification, sans oublier
d’indiquer le nom du fichier. Par exemple :
\DCx\Certificats\NOVAx.REQ

Figure 5‑18 Enregistrement de la demande

Cliquez sur terminer. La demande de certificat a bien été enregistrée.


Figure 5‑19 Demande enregistrée

Ensuite, l’autorité de certification doit valider la demande.


Sur l’autorité d’authentification, la validation peut se faire avec l’application web
certsrv : Demander un certificat puis Demande de certificat avancée puis Soumettre une
demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou
soumettre une demande en utilisant un fichier PKCS #7 codé en base 64.
Une fois que la demande est validée, vous récupérez un fichier avec une extension p7b.
Dans le volet de droite, cliquez sur Terminé pour importer le certificat qui a été généré
par l’autorité d’authentification, par exemple :
\DCx\Certificats\certnew.p7b

Figure 5‑20 Certificat valide

Une fois que le certificat est validé, il vous reste à lui assigner les services grâce à
l’icône en forme de crayon, qui correspond à l’action modifier, de la barre d’outils.
Cliquez sur l’onglet services (à gauche).
Figure 5‑21 Services du certificat

Cochez la case IIS et enregistrez vos modifications.


Configurer les répertoires virtuels
Vous souhaitez configurer les répertoires virtuels des sites web Exchange de façon à
n’avoir qu’une seule URL, indépendamment du nombre de serveurs Exchange. De plus,
vous voulez utiliser la technique du split-brain afin de n’avoir d’une seule URL pour les
accès Internet ou Intranet.
Dans EAC, cliquez sur serveurs (dans le volet de fonctionnalités), puis répertoires
virtuels (onglet du haut).

Figure 5‑22 Répertoires virtuels

Bien qu’il soit possible de configurer les URLs externes de ces sites web avec le
Centre d’administration Exchange, la manipulation est assez fastidieuse. De plus, la
configuration des URLs internes n’est pas possible avec le Centre d’administration
Exchange.
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS pour
modifier le répertoire virtuel de la découverte automatique (Autodiscover).
Get-ClientAccessService -Id XSGMBx | `
Set-ClientAccessService `
-AutoDiscoverServiceInternalUri `
https://autodiscover.NOVAx.ad/autodiscover/autodiscover.xml
Si vous souhaitiez configurer tous les serveurs d’accès au client avec la même URL
pour la configuration automatique, il suffit d’exécuter la cmdlet suivante sur une seule
ligne.
Get-ClientAccessService -Id XSGMBx | `
Set-ClientAccessService `
-AutoDiscoverServiceInternalUri `
https://autodiscover.NOVAx.ad/autodiscover/autodiscover.xml
Ensuite, exécutez la commande suivante pour modifier le répertoire virtuel de ECP.
Get-EcpVirtualDirectory -Server XSGMBx | `
Set-EcpVirtualDirectory `
-ExternalUrl https://webmail.NOVAx.ad/ecp `
-InternalUrl https://webmail.NOVAx.ad/ecp
Ensuite, exécutez la commande suivante pour modifier le répertoire virtuel de EWS.
Get-WebServicesVirtualDirectory `
-Server XSGMBx | `
Set-WebServicesVirtualDirectory `
-ExternalUrl `
https://webmail.NOVAx.ad/ews/exchange.asmx `
-InternalUrl `
https://webmail.NOVAx.ad/ews/exchange.asmx
Ensuite, exécutez la commande suivante pour modifier le répertoire virtuel de
ActiveSync.
Get-ActiveSyncVirtualDirectory `
-Server XSGMBx | `
Set-ActiveSyncVirtualDirectory `
-ExternalUrl `
https://webmail.NOVAx.ad/activesync `
-InternalUrl `
https://webmail.NOVAx.ad/activesync
Ensuite, exécutez la commande suivante pour modifier le répertoire virtuel de OAB.
Get-OabVirtualDirectory -Server XSGMBx | `
Set-OabVirtualDirectory `
-ExternalUrl https://webmail.NOVAx.ad/oab `
-InternalUrl https://webmail.NOVAx.ad/oab
Ensuite, exécutez la commande suivante pour modifier le répertoire virtuel d’Outlook
sur le web.
Get-OwaVirtualDirectory -Server XSGMBx | `
Set-OwaVirtualDirectory `
-ExternalUrl https://webmail.NOVAx.ad/owa `
-InternalUrl https://webmail.NOVAx.ad/owa
Si vous n’indiquez pas de valeur pour le paramètre ExternalUrl, le serveur ne pourra
pas être utilisé pour la redirection du client. Dans le cas d’une configuration avec un seul
site, ce n’est pas nécessaire.
Ensuite, exécutez la commande suivante pour modifier le répertoire virtuel de
PowerShell.
Get-PowerShellVirtualDirectory `
-Server XSGMBx | `
Set-PowerShellVirtualDirectory `
-ExternalUrl `
https://webmail.NOVAx.ad/powershell `
-InternalUrl `
https://webmail.NOVAx.ad/powershell
Vous devez ensuite tapez la commande suivante pour que vos modifications soient
prises en compte.
iisreset
Le DNS doit aussi être mis à jour. En particulier, un alias sur vos serveurs Exchange
doit être créé pour webmail.

Résumé
Vous avez installé un certificat SSL pour les domaines XSGMBx.NOVAx.ad et
AutoDiscover.NOVAx.ad, puis configuré une URL interne et externe identique pour les
répertoires virtuels.
TP 05B Utiliser Outlook Web App
Objectif
L’objectif est de manipuler Outlook sur le web pour savoir s’il est utile dans votre
organisation.
La tâche à accomplir est :
Manipuler Outlook Web App

Solution
Manipuler Outlook Web App

Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.


Ouvrez Outlook sur le web (ex-OWA) avec la commande suivante à taper dans le
navigateur web.
https://XSGMBx.NOVAx.ad/owa
Le navigateur signale un problème avec le certificat de sécurité. Ce message est normal
dans la mesure où il s’agit d’un certificat auto-signé et que l’accès se fait avec un nom de
domaine différent de celui du certificat.
Cliquez sur Poursuivre avec ce site Web (non recommandé).
Si vous obtenez un message vous indiquant que vos paramètres du navigateur ne vous
permettent pas d’utiliser Outlook Web App, rajouter l’URL du site
(https://XSGMBx.NOVAx.ad) dans la zone Intranet local puis rafraîchissez l’écran.
Saisissez votre compte sous la forme NOVAx\Alice et son mot de passe.
Si c’est la première fois que vous utilisez Outlook sur le web pour ce compte sur cet
ordinateur, une fenêtre vous demande de sélectionner la langue d’affichage, ainsi que le
fuseau horaire : renseignez les champs puis cliquez sur enregistrer.
Figure 5‑23 Outlook sur le web d’Alice

Vous remarquerez la présence des onglets Messagerie, Calendrier, Contacts et Tâches


dans le sélecteur d’applications en haut de la fenêtre.

Figure 5‑24 Sélecteur d’applications

Dans le sélecteur d’applications, cliquez sur Calendrier et organisez une réunion


commerciale lundi prochain de 10h00 à 11h00 avec comme participants Eric et Francine.
Dans le sélecteur d’applications, cliquez sur Messagerie et faîtes un clic droit sur le
dossier Boîte de réception puis créez un sous dossier intitulé Urgent.
Allez dans le menu Paramètres (icône d’une roue dentée) puis Options puis Général
puis Mon compte puis Modifier votre mot de passe et changez le mot de passe d’Alice,
pour le nouveau mot de passe : b.
Testez le nouveau mot de passe d’Alice.
Changez à nouveau le mot de passe d’Alice, pour le nouveau mot de passe : a. Si vous
ne réussissez pas à changer le mot de passe, vérifiez que le paramètre Durée de vie
minimale du mot de passe, de la Stratégie Default Domain Policy, est bien égale à 0.
La valeur 0 permet de modifier un mot de passe, sans attendre une durée prédéfinie.
Testez à nouveau le mot de passe d’Alice.
Prenez le temps de passer en revue les options disponibles d’Outlook sur le web :
Raccourcis, Général, Courrier, Calendrier.

Résumé
Dans cet exercice, vous vous êtes familiarisé avec l’interface Outlook sur le web (ex-
OWA). Vous avez découvert une interface simple mais qui offre de nombreuses
fonctionnalités qui sont quasi-identiques à celles proposées par Outlook.
TP 05C Activer et tester POP3
Objectif
L’objectif est d’activer et de configurer le service POP3 pour permettre à Francine de
récupérer ses messages de cette façon.
Une fois la configuration terminée, le client Telnet sera utilisé pour vérifier le bon
fonctionnement du service POP3.
Les tâches à accomplir sont :
Activer et paramétrer POP3
Autoriser le POP3
Installer le client Telnet
Tester POP3

Solution
Activer et paramétrer POP3
Ouvrez une session sur XSGMBx avec le compte de domaine NOVAx\Administrateur.
Pour activer le POP3, exécutez sur une seule ligne la commande ci-dessous dans EMS
pour mettre le service POP3 en démarrage automatique :
Set-Service MSExchangePOP3 `
-StartupType automatic
Pour démarrer le service POP3 :
Start-Service MSExchangePOP3
Pour permettre l’authentification car ce paramétrage nécessite que le service soit
démarré :
Set-PopSettings -Server XSGMBx `
-LoginType PlainTextAuthentication
Pour arrêter / redémarrer le service POP3, afin de prendre en compte le paramétrage
précédent :
Restart-Service MSExchangePOP3
Autoriser le POP3
Pour autoriser Francine à utiliser le POP3.
Set-CASMailbox -Id Francine@NOVAx.AD `
-PopEnabled:$True
Installer le client Telnet
Telnet est un outil indispensable à l’administrateur Exchange, car il permet de vérifier
qu’un service fonctionne sur le serveur et que les ports sont bien ouverts.
Ouvrez une session avec le compte de domaine Administrateur@NOVAx.AD sur
CLIENTx.
Pour Installer le client Telnet, cliquez sur Gestionnaire de serveur puis Gérer puis
Ajouter des rôles et fonctionnalités.
Cliquez sur Suivant jusqu’au moment où la fenêtre Sélectionner des fonctionnalités
apparaît.

Figure 5‑25 Sélectionner des fonctionnalités

Dans la liste des fonctionnalités, cherchez la fonctionnalité Client Telnet puis cochez
sa case pour la sélectionner.
Cliquez sur Suivant puis sur Installer.
Tester POP3

Ouvrez une session avec le compte de domaine francine@NOVAx.AD sur CLIENTx.


Dans une invite de commandes, testez la connectivité via la commande Telnet.
TELNET XSGMBx 110
Vous devriez voir le message +OK The Microsoft Exchange POP3 service is ready.

Figure 5‑26 POP3 fonctionne

Résumé
Dans cet exercice, vous avez activé et configuré le service POP3.
Vous avez aussi autorisé Francine à récupérer ses messages de cette façon.
Vous avez testé son bon fonctionnement grâce au client Telnet.
TP 05D Mettre en œuvre une connectivité inter-domaine
Objectif
L’objectif est de se mettre en binôme, intitulé A et B, pour mettre en œuvre une
solution de communication inter-organisation uniquement entre A et B. A doit pouvoir
envoyer / recevoir des messages à B et inversement.
Remarque : cette possibilité est indépendante des connecteurs liés. Un connecteur lié
était un connecteur de réception lié à un connecteur d’envoi. Lorsqu’un message était reçu
par le connecteur de réception, il était automatiquement transféré vers le connecteur
d’envoi. Les connecteurs liés ne sont plus disponibles dans Exchange Server 2016.
Afin d’illustrer la solution, l’exemple choisi est d’envoyer un message de NOVA100
vers NOVA5.
L’objectif est de pouvoir communiquer directement de l’organisation NOVA100 vers
l’organisation NOVA5. Les deux organisations appartiennent à deux forêts différentes. Il
n’existe pas non plus de relation d’approbation entre ces deux forêts. En revanche, les
deux organisations sont accessibles par le même réseau interne.
C’est, par exemple, le cas rencontré dans les GIE (Groupement d’Intérêt Économique)
qui ont en charge plusieurs organisations Exchange qui appartiennent à des entités
différentes.
A priori, il serait plus simple de communiquer entre les deux domaines NOVA100 et
NOVA5 grâce à Internet. Toutefois, pour des raisons de confidentialité et de rapidité des
échanges, vous jugez préférable de créer une connexion dédiée.
Cette connexion est constituée d’une part, sur le serveur de messagerie (XSGMB100)
du domaine NOVA100 d’un connecteur d’envoi vers NOVA5 et sur le serveur de
messagerie (XSGMB5) du domaine NOVA5 d’un connecteur de réception vers
NOVA100.
Les informations sur les adresses IP sont les suivantes :
DC100 / DNS : 192.168.28.100
XSGMB100 : 192.168.28.120
DC5 / DNS : 192.168.28.5
XSGMB5 : 192.168.28.25
Les tâches à accomplir sont :
Créer un connecteur d’envoi sur XSGMB100
Créer un connecteur de réception sur XSGMB5
Paramétrer le DNS de NOVA5
Paramétrer le DNS de NOVA100
Tester les connecteurs

Solution
Créer un connecteur d’envoi sur XSGMB100
Sur XSGMB100, vous créez un connecteur d’envoi personnalisé vers NOVA5, dont
vous trouverez les paramètres sur les copies d’écran suivantes, avec les explications.
Dans EAC, les connecteurs d’envoi se créent grâce à la fonctionnalité flux de
messagerie.

Figure 5‑27 Paramètres généraux Vers Nova5

Dans l’ensemble les paramètres du connecteur d’envoi sont plutôt compréhensibles et


ils ne présentent pas de difficultés particulières.
En particulier, les paramètres généraux du connecteur intitulé Vers Nova5 sont simples.
Il suffit de nommer le connecteur avec un nom explicite, de le rendre actif et de garder les
valeurs par défaut des autres paramètres.
Figure 5‑28 Paramètres de remise Vers Nova5

Dans les paramètres de remise, le choix a été fait d’utiliser l’enregistrement MX


associé au domaine du destinataire, ainsi que les paramètres de recherche DNS externe.
Plutôt que d’utiliser l’enregistrement MX associé au domaine du destinataire, il serait
aussi possible de cocher la case Acheminer les messages électroniques via des hôtes actifs,
puis de renseigner l’adresse IP du serveur XSGMB100, soit 192.168.28.120.
Dans les deux situations, il sera nécessaire de configurer les DNS de NOVA100 et
NOVA5 pour permettre les résolutions d’adresses IP, ce qui sera fait en tâche
supplémentaire à la fin de l’exercice.
Figure 5‑29 Paramètres d’étendue Vers Nova5

Dans les paramètres d’étendue, l’espace d’adresse correspond au domaine destinataire


du connecter. Dans votre cas, il s’agit de NOVA5.AD.
Le serveur source est le serveur qui a un rôle de transport dans le domaine émetteur.
Pour vous, c’est le XSGMB100. Le FQDN (Nom complet de domaine) n’est ni
obligatoire, ni nécessaire.
Créer un connecteur de réception sur XSGMB5
Sur XSGMB5, vous créez un connecteur de réception personnalisé De Nova100, dont
vous trouverez les paramètres sur les copies d’écran suivantes, avec les explications.
Dans EAC, les connecteurs de réception se créent grâce à la fonctionnalité flux de
messagerie.
Certains paramètres du connecteur de réception sont peut-être moins intuitifs que ceux
du connecteur d’envoi et demandent plus d’attention.
Figure 5‑30 Paramètres généraux De Nova100

Les paramètres généraux du connecteur intitulé De Nova100 ne posent pas de


difficultés particulières. Il suffit de nommer le connecteur avec un nom explicite, et de le
rendre actif.
Éventuellement, vous pouvez modifier les paramètres de journalisation, ou la taille
maximale des messages reçus, ainsi que le nombre maximal de sauts locaux ou totaux.
Dans un premier temps, il est conseillé de garder les valeurs par défaut.
Figure 5‑31 Paramètres de sécurité De Nova100

Dans les paramètres sécurité, l’authentification privilégiée est TLS (Transport Layer
Security), qui est la valeur par défaut. En revanche le paramètre des groupes d’autorisation
peut prêter à confusion. Il est tentant de cocher les cases Serveurs Exchange ou
Partenaires, par exemple.
Toutefois, dans le cas de l’exercice, les serveurs Exchange sont totalement étrangers
l’un à l’autre. En effet, ils sont dans des forêts séparés sans relation d’approbation. Par
ailleurs, à aucun moment, il n’a été indiqué que ces serveurs pouvaient se faire confiance,
par exemple avec un échange de certificats. Autrement dit, NOVA5 n’a pas les moyens
d’authentifier les utilisateurs qui vont émettre une demande de connexion. Ce qui signifie
que les seules personnes autorisées à se connecter au connecteur de réception sont
anonymes.
Vous devez donc cocher la case Utilisateurs anonymes. Si vous ne cochez pas la case
Utilisateurs anonymes, XSGMB5 refusera toutes les demandes de connexion à travers ce
connecteur, même si les autres cases sont cochées.
Figure 5‑32 Paramètres d’étendue De Nova100

Dans les paramètres d’étendue, il est techniquement possible de laisser toutes les
adresses du réseau distant.
Cependant, pour des raisons liées à la sécurité, il est préférable d’indiquer
explicitement l’adresse IP des serveurs autorisés à utiliser la connexion.
De plus, l’énoncé précise que la connexion est réservée à l’usage exclusif de
NOVA100 et donc le serveur XSGMB100 dont l’adresse IP est 192.168.28.120.
L’adresse IP de la carte réseau à relier au connecteur de réception est évidemment celle
du serveur XSGMB5, soit 192.168.28.25.
Bien que le champ ne soit pas obligatoire, vous pouvez laisser la valeur par défaut du
FQDN (Nom complet de domaine).
Paramétrer le DNS de NOVA5

Le paramétrage du DNS consiste d’abord à créer un enregistrement de ressources de


type MX pour XSGMB5.NOVA5.AD.
Ensuite, le transfert de zone vers le DNS de Nova100 doit être autorisé.
Figure 5‑33 Transfert de zone vers NOVA100

Paramétrer le DNS de NOVA100


Suite au transfert de zone autorisé sur le DNS de Nova5, il suffit de créer une
délégation de la zone Nova5 sur le DNS de Nova100.
Tester les connecteurs
Le test consiste à envoyer un email de NOVA100 vers NOVA5.
Si le test n’est pas concluant, redémarrez les serveurs.
Une fois qu’ils auront redémarrés, vérifiez que tous les services en mode automatique
ont bien démarrés. Dans le cas contraire, démarrez ces services.
Une fois le message envoyé, il reste à vérifier qu’il est bien arrivé sur l’organisation
NOVA5.
Si le test est concluant, intervertissez les rôles entre A et B.

Résumé
Afin d’autoriser la communication directe entre les organisations NOVA100 et NOVA5,
vous avez créé un connecteur d’envoi sur NOVA100.
Vous avez aussi créé un connecteur de réception sur NOVA5 qui autorise la réception
des messages électroniques en provenance de NOVA100.
Les DNS de NOVA5 et NOVA100 ont été paramétrés afin de permettre la résolution IP
des serveurs.
TP 05E Créer un connecteur d’envoi Internet
Objectif
L’objectif est de créer un connecteur d’envoi vers Internet pour permettre l’envoi de
message électroniques à l’extérieur de votre organisation Exchange.
Les tâches à accomplir sont :
Créer un connecteur d’envoi vers Internet
Envoyer un message de test aux utilisateurs externes

Solution
Créer un connecteur d’envoi vers Internet
Vous souhaitez créer un connecteur d’envoi vers Internet afin de permettre à vos
utilisateurs d’envoyer des emails à l’extérieur de votre organisation.
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, qui crée
un connecteur d’envoi vers Internet.
Ce connecteur utilise l’enregistrement MX associé au domaine du destinataire et il est
valable pour tous les domaines, grâce au paramètre “*”.
Vous pourriez créer des connecteurs d’envoi différents selon les domaines de
destinations : Allemagne, Chine, etc.
New-SendConnector -Name ‘Connecteur Envoi vers Internet’ -Usage ‘Internet’ -
DNSRoutingEnabled:$true -AddressSpaces “*” -SourceTransportServers XSGMBx
Une fois que le connecteur est créé, vous pouvez personnaliser ses paramètres, soit
avec EMS, soit avec le Centre d’administration Exchange (cf. figure ci-dessous) en
cliquant sur flux de messagerie puis connecteurs d’envoi.
Par exemple, la taille maximale des messages envoyés est de 35 Mo par défaut. Ce qui
peut être excessif ou, au contraire, insuffisant.

Figure 5‑34 Connecteur d’envoi vers Internet

Envoyer un message de test aux utilisateurs externes


Vous allez vérifier que vous pouvez envoyer un email au Support SharePoint et à
l’électricien. Tous les deux disposent d’une adresse internet externe à l’organisation.
Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.
Démarrez Outlook.
Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé.
Créez et envoyez un nouveau message pour Support SharePoint et à l’électricien avec
l’objet “Hello d’Alice”.
Les messages sont bien créés et envoyés.
Toutefois, il existe des conditions supplémentaires pour qu’ils arrivent à leurs
destinataires. En effet, pour que les systèmes de messagerie de destination approuvent les
messages envoyés depuis votre domaine, il est souvent nécessaire d’utiliser les
enregistrements SPF (Sender Policy Framework), qui sera vu plus loin. Enfin, si vous êtes
dans un environnement de formation, votre domaine (NOVAx.AD) ne sera pas reconnu
comme valide car il n’existe pas dans les DNS publics.

Résumé
Afin de finaliser l’installation d’Exchange, vous avez créé un connecteur d’envoi vers
Internet pour vos utilisateurs puissent envoyer des emails à leurs destinataires qui ne font
pas partie de l’organisation.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Livre “Pro Exchange Server 2013 Administration”, Éditeur Apress, Auteur : Jaap
Wesselius
MAPI over HTTP in Exchange 2016 : https://technet.microsoft.com/fr-
fr/library/dn635177(v=exchg.160).aspx
Configure MAPI over HTTP : https://technet.microsoft.com/fr-
fr/library/mt634322(v=exchg.160).aspx
Routage du courrier : https://technet.microsoft.com/fr-
fr/library/aa998825(v=exchg.160).aspx
Create a Send connector to send mail to the Internet : https://technet.microsoft.com/fr-
fr/library/jj657457(v=exchg.160).aspx
Receive connectors : https://technet.microsoft.com/fr-
fr/library/aa996395(v=exchg.160).aspx
Send connectors : https://technet.microsoft.com/fr-
fr/library/aa998662(v=exchg.160).aspx
Protocol logging : https://technet.microsoft.com/fr-
fr/library/aa997624(v=exchg.160).aspx
Chapitre 6 Services de boîtes aux lettres

Dans Microsoft Exchange Server 2016, le rôle de boîtes aux lettres englobe aussi les
services frontaux, vus dans le chapitre précédent.
Dans ce chapitre, le fonctionnement des services de boîtes aux lettres est détaillé.
La gestion du stockage et de l’archivage
Un serveur de boîtes aux lettres stocke l’information des utilisateurs Exchange. Les
boîtes aux lettres sont regroupées dans des bases de données.
Un serveur Exchange qui a le rôle de boîte aux lettres héberge aussi les services de
transport et la messagerie unifiée.
Principe des bases de données Exchange
Toutes les boîtes aux lettres sont stockées dans des bases de données. Comme toutes les
bases de données, une base de données Exchange est portée par des fichiers physiques.
Si vous utilisez l’assistant graphique d’installation d’Exchange, les fichiers sont
stockés dans un dossier qui porte le nom de la base de données situé par défaut sous
C:\Program Files\Microsoft\Exchange Server\V15\Mailbox.
L’assistant graphique génère un nom aléatoire qui débute par Mailbox Database, par
exemple : Mailbox Database 0585166390.
Si vous utilisez l’installation en ligne, vous pouvez définir le nom de la première base
de données et son emplacement.
Dans tous les cas, une fois que l’installation est terminée et indépendamment du mode
d’installation, vous pouvez créer des bases de données supplémentaires.

Organisation logique des données


Exchange utilise le format de base de données ESE (Extensible Storage Engine) pour
le stockage des données.
Dans ce format, les données des boîtes aux lettres sont organisées sous forme de pages,
un peu comme un livre.
Une page contient un entête, des pointeurs vers d’autres pages, une somme de contrôle
pour vérifier l’intégrité des données et les données elles-mêmes.
La taille d’une page est fixe à 32 Ko. Une base de données de 200 Go contient
approximativement 6,5 millions de pages, c.-à-d. 200 Go divisé par 32 Ko.
Chaque page possède un numéro interne qui est incrémenté à chaque modification de
la page. Cette technique permet de comparer deux pages avec le même identifiant pour
savoir si une des deux pages a été modifiée. Dans ce cas, celle qui possède le numéro le
plus élevé est la plus récente.

Organisation physique des données


Toutes les modifications faites par les utilisateurs dans la base de données sont faites
sous forme de transactions. Une transaction est définie explicitement grâce à une série
d’instructions reçues par la base de données.
Lorsqu’un utilisateur apporte une modification à sa boîte aux lettres, par exemple en
créant un message, celle-ci transite par la mémoire du serveur Exchange sous forme d’une
transaction. Le serveur de boîtes aux lettres alimente immédiatement le dernier fichier
journal disponible avec les données de la transaction. Si celui-ci ne dispose pas de
suffisamment d’espace libre, de nouveaux fichiers sont créés, autant que nécessaire.
Les fichiers avec une extension LOG sont les fichiers journaux de transaction, par
exemple : E0000000001.log, E0000000002.log, etc. Ces fichiers ont une taille
volontairement limitée à 1024 Ko (1 Mo).
La première base de données créée à des fichiers journaux qui débutent par E00, puis
les fichiers journaux de la seconde base débuteront par E01, la troisième par E02 et ainsi
de suite, en numérotation décimale. En revanche, la numérotation des huit derniers
caractères est séquentielle et hexadécimale.
Les données de la transaction sont gardées en mémoire durant un certain temps. Au
bout d’un moment, elles sont écrites dans le fichier EDB puis supprimées de la mémoire.
Le fichier EDB est le fichier de données. Il a une extension EDB, par exemple : BDD-
TOUS.edb.
Si une défaillance intervient (coupure de courant, etc.), il est nécessaire de savoir
qu’elle est la dernière transaction qui a été enregistrée dans le fichier EDB. C’est le rôle du
fichier CHK. Celui-ci est un fichier de contrôle qui stocke les informations sur les
dernières mises à jour faites dans le fichier EDB. Il a une extension CHK, comme par
exemple : E00.chk.
Les fichiers avec une extension JRS sont dix fichiers journaux BDD-TEMP qui vont
de E00res00001.jrs à E00res0000A.jrs. Les fichiers avec TMP dans leur nom sont aussi
des fichiers BDD-TEMP. Par exemple : tmp.edb, E00tmp.log.
Quand la mémoire tampon des journaux est vidée pour créer un fichier journal, le
fichier E00tmp.log est renommé avec le nouveau nom, comme par exemple
E0000000003.log.
Les autres fichiers BDD-TEMP sont utilisés pour suppléer à des manques d’espace
disque éventuels.

Fichiers journaux de transaction


Ce mécanisme implique que les données d’une transaction qui s’est terminée
normalement, se trouvent momentanément stockées dans trois emplacements différents :
la mémoire du serveur, les fichiers journaux de transaction (LOG) et le fichier EDB.
Ensuite, les données de cette transaction seront stockées uniquement dans les fichiers
journaux de transaction (LOG) et le fichier EDB, car la mémoire du serveur est
progressivement libérée afin de permettre aux nouvelles transactions d’être stockées.
En cas d’arrêt brutal du serveur Exchange, les données d’une transaction qui s’est
terminée normalement restent stockées dans au moins les fichiers journaux de transaction
(LOG).
Ceux-ci seront supprimés automatiquement lorsqu’une sauvegarde de la base de
données sera faite.
En termes de stockage, il faut compter environ 1 Go de fichiers journaux en
permanence pour 100 utilisateurs.
Si le serveur Exchange détecte que la capacité disque est insuffisante pour enregistrer
les données de la transaction dans le fichier EDB, un mécanisme spécifique est activé.
Dans ce cas, le serveur Exchange termine les transactions en cours mais il n’en
n’accepte plus d’autres, il remplace les fichiers BDD-TEMP avec une extension JRS par
des fichiers LOG qui stockent les données des transactions non encore enregistrées, puis il
démonte la base de données.
Cette technique offre une très bonne tolérance aux pannes, puisque les fichiers
journaux de transaction permettent de faire une récupération de données comme ils
contiennent toutes les données créées, modifiées ou supprimées depuis la dernière
sauvegarde.
Cependant, ils prennent de la place. En effet, tant que la sauvegarde n’est pas réalisée,
le nombre de fichiers LOG continue de croître car il n’y a pas de mécanisme de purge
automatique, à moins d’activer l’enregistrement circulaire des journaux de transaction.

Enregistrement circulaire des journaux de transaction


Lorsque l’enregistrement circulaire des journaux de transaction est activé, dès que les
données de la mémoire sont écrites dans le fichier EDB, les fichiers journaux
correspondants à ces données sont supprimés.
Si vous n’avez pas mis en œuvre un groupe de disponibilité des bases de données
(DAG, Database Availability Group), il n’est généralement pas conseillé d’activer
l’enregistrement circulaire des journaux de transaction car cela vous fait perdre ces
données redondantes.
Pour un DAG avec des copies multiples, il est au contraire conseillé de l’activer. Dans
cas, il s’agit plus précisément d’une activation de l’enregistrement circulaire avec
réplication continue (CRCL, Continuous Replication Circular Logging), différent de
l’enregistrement circulaire ESE (Extensible Storage Engine).
Dans un enregistrement circulaire ESE, les fichiers journaux sont supprimés une fois
que les données correspondantes ont été enregistrées dans le fichier EDB. Cette fonction
est assurée par ESE.
Dans un enregistrement circulaire avec réplication continue, les fichiers journaux sont
supprimés une fois qu’ils ont été répliqués sur toutes les copies passives des bases de
données. Cette fonction est assurée par le service Réplication de Microsoft Exchange
(Microsoft Exchange Replication).

Service de banque d’informations


En complément de ces mécanismes de tolérance, Microsoft a aussi modifié
l’architecture du fonctionnement des bases de données.
Jusqu’à la version Microsoft Exchange 2010 incluse, il n’y avait qu’un seul service en
charge du traitement des bases de données. Le service de banque d’informations
(Information Store) gérait toutes les demandes d’accès aux données entreposées dans les
bases de données.
Dans Exchange 2013 et Exchange 2016, Microsoft créé autant d’instances du service
de banque d’informations qu’il y a de bases de données montées. C’est le même principe
que les processus de travail (Worker Process) de IIS (Internet Information Services). Dans
IIS, il y a au moins un processus de travail par pools d’applications actifs.
Si une des instances du service de banque d’informations ne répond plus, la base de
données associée ne sera plus accessible. En revanche, les autres bases de données
continueront à fonctionner tant que leur instance du service de banque d’informations sera
opérationnelle.
Si vous ajoutez ou supprimez une base de données, vous devez redémarrer le service
de banque d’informations afin de modifier uniformément l’allocation de la mémoire entre
les instances du service.
Une copie active d’une base de données se voit attribuée la totalité de la mémoire vive
(RAM) à laquelle elle peut prétendre. Une copie passive d’une base de données d’un
groupe de disponibilité de base de données ne disposera que de 20% de la mémoire vive à
laquelle elle pourrait prétendre si elle était active. SI elle devient active, elle récupère les
100% de la mémoire cache allouée.

Tailles des bases de données


Dans les versions les plus anciennes d’Exchange, il n’y avait qu’un seul exemplaire du
message et des pièces jointes, indépendamment du nombre et de la localisation des
destinataires de l’organisation. Ce mécanisme connu sous le nom de SIS (Single Instance
Storage) permettait de gagner environ 20 % du stockage en moyenne.
Il a été supprimé dans Exchange 2016 au profit des performances. Aussi, quand un
utilisateur de Microsoft Exchange 2016 écrit un message électronique à plusieurs
correspondants de l’organisation, le message est dupliqué autant de fois que nécessaire.
Cela conduit à avoir des bases de données légèrement plus grandes que par le passé,
même si Microsoft a aussi amélioré ses techniques de compression de données dans la
base ESE (Extensible Storage Engine).
Par défaut, la taille maximale des bases de données de l’édition Standard est de 1To. Il
n’y a pas de limite par défaut dans l’édition Entreprise.
Par ailleurs, la taille maximale supportée à ce jour d’une base de données est de 16 To.
Cependant, ce n’est généralement pas une bonne idée de créer des bases de données de
cette taille.
En effet les grandes bases de données prennent plus de temps à être sauvegardées et
restaurées. De plus, il faut beaucoup de temps pour répliquer un grand volume avec une
copie passive en cas de sinistre.
Les opérations de maintenance manuelle ou automatique vont aussi être inutilement
chronophages. Enfin, la probabilité d’une corruption est plus importante avec un grand
volume.
Pour ces raisons, il est conseillé de limiter la taille de la base de données à 2 To, si vous
avez plusieurs copies. Sinon, la taille maximum recommandée par Microsoft est de 200
Go.

Performances
Afin de garder un bon niveau de performances, il est important d’ajuster le stockage au
besoin. Par exemple, si votre serveur doit héberger 1000 utilisateurs qui auront une boîte
aux lettres de 2 Go chacune maximum, la capacité de stockage totale doit être de 2 To.
Toutefois, cela ne signifie pas qu’il faut créer une seule base de données. En effet, pour
améliorer les performances, vous avez intérêt à augmenter le nombre de bases de données.
Il est fréquent de créer des bases de données qui regroupent les boîtes aux lettres
d’utilisateurs qui ont le même profil : membres VIP (Very Important Person), membres
d’une filiale, etc.
Il est aussi préférable de répartir les bases de données sur des disques physiques
différents. Dans ce cas, chaque disque est indépendant ce qui améliore les temps d’accès et
diminue les latences.
Par rapport à Exchange Server 2013, Microsoft a réduit les besoins en termes d’entrées
/ sorties disques de 22 % avec Exchange Server 2016.
Aussi, il n’est plus réellement pertinent de séparer le stockage des fichiers de journaux
de transaction et de bases de données sur des disques physiques différents, comme cela
était conseillé avec les plus anciennes versions de Microsoft Exchange. Avec une
architecture redondante, ils peuvent être regroupés dans le même dossier.
L’idée est donc d’utiliser le stockage du SAN (Storage Area Network, ou réseau de
stockage) et même du DAS (Direct Attached Storage, ou disque en attachement direct)
pour faire fonctionner efficacement Exchange 2016.
En général, les disques de type SATA (Serial ATA) offrent des capacités importantes
pour des performances modérées. De même, les disques de type SCSI (Small Computer
System Interface) et Fibre Channel offrent des capacités modérées pour de meilleures
performances. En général aussi, les disques SSD (Solid-state drive) offrent des capacités
très modérées pour de très bonnes performances.
Introduction au DAG
Une base de données peut appartenir à un DAG (Database Availability Group) ou
groupe de disponibilité de base de données en français.
La notion de DAG sera vu plus en détail dans le chapitre consacré à la haute
disponibilité. Dans un premier temps, un DAG peut être défini comme un composant
assurant la haute disponibilité de serveur de boîtes aux lettres.
Il est constitué de serveurs de boîte aux lettres, où les bases de données sont dupliquées
sur chaque serveur. N’importe quel serveur d’un DAG peut héberger une copie d’une base
de données de boîtes aux lettres qui se trouve sur un autre serveur du DAG.
Ainsi, suite à une panne d’un serveur ou lorsqu’une base de données n’est plus
accessible, les autres serveurs peuvent récupérer automatiquement les bases de données du
DAG.
Il peut exister plusieurs DAG dans une organisation Exchange. Aussi, afin de les
différencier les unes des autres, le plus simple est de leur attribuer un nom qui est sous la
forme DAGnn, où nn est un numéro séquentiel.
Nommage des bases de données
Contrairement aux plus anciennes versions d’Exchange, une base de données
n’appartient plus à un serveur. Il n’est donc pas pertinent de nommer une base en fonction
du nom du serveur sur lequel vous l’avez créé.
En revanche, une base de données Exchange peut appartenir à un DAG. Il est même
très vraisemblable qu’une base appartiendra à un moment ou un autre, à un DAG, sauf
dans des très petites structures. Pour cette raison, le nom de la base peut contenir le nom
de sa DAG.
Dans les organisations multi-sites géographiques, les centres serveurs informatiques
sont localisés dans des villes différentes : Nantes, Paris, Londres, Tokyo, etc.
Dans ce cas, il est pertinent d’indiquer à quelle ville est rattachée la base de données en
l’indiquant dans son nom.
Cette convention est particulièrement intéressante, en cas de défaillance de la base. En
effet, si un basculement se produit, il est facile d’identifier la base de données concernée
en regardant simplement son nom.
Pour toutes ces raisons, le nom des bases de données est construit à partir du DAG
auquel elle appartient, de la ville ou elle a été créée, suivi d’un numéro de séquence.
Par exemple, DAG01-Lyon-01 ou DAG01-Paris-02 sont des illustrations de ce plan de
nommage.
Boîtes aux lettres
Lorsqu’un utilisateur existe déjà dans Active Directory, la structure d’accueil des
informations de configuration de la boîte aux lettres est aussi déjà présente dans l’AD.
Cette structure a été mise en place lors des phases de préparation de la forêt et du
domaine.
C’est la raison pour laquelle, lorsque l’utilisateur est existant, Microsoft parle
d’activation de boîte aux lettres plutôt que de création.
En revanche, vous pouvez créer simultanément un utilisateur et sa boîte aux lettres
avec le Centre d’administration Exchange ou EMS.
Notez que si vous créez l’utilisateur directement dans l’AD, par exemple avec la
console Utilisateurs et ordinateurs Active Directory, vous revenez à la première situation,
où vous devrez activer la boîte aux lettres.
Enfin, il existe aussi un cas particulier concernant les boîtes aux lettres liées, qui est
présenté plus bas.
Cependant, et c’est un rappel, quel que soit la méthode utilisée, le contenu de la boîte
aux lettres est stocké dans une base de données de boîtes aux lettres.

Alias
Lors de la création ou l’activation d’une boîte aux lettres, Exchange vous réclame un
alias.
Il doit être unique dans votre organisation car c’est l’identifiant de la boîte aux lettres
de l’utilisateur. Il peut être différent du nom d’ouverture de session de l’utilisateur, bien
que dans la pratique, les deux sont souvent identiques. Le nom d’ouverture de session de
l’utilisateur est aussi appelé nom d’utilisateur principal (UPN, User Principal Name)
Par exemple, pour des raisons pédagogiques, le choix a été fait dans ce livre que l’alias
soit le prénom de l’utilisateur.
Souvent, l’alias correspond à la partie de l’adresse de messagerie principale, située à
gauche du symbole @.
Si vous appliquez cette dernière règle, l’alias d’Isidore Boulot serait isidore.boulot,
avec l’adresse de messagerie principale isidore.boulot@NOVAx.AD.

Création d’une boîte aux lettres


La création d’une boîte aux lettres et donc d’un utilisateur de messagerie avec le Centre
d’administration Exchange ne présente pas de difficultés techniques particulières.
Avec EMS, exécutez sur une seule ligne la commande ci-dessous pour créer le compte
et la boîte aux lettres d’Isidore Boulot.
Dans un souci de cohérence, vous continuerez à utiliser le prénom comme alias et
comme UPN.
New-Mailbox -Name ‘Isidore Boulot’ `
-Alias ‘isidore’ -UserPrincipalName `
‘isidore@nova100.ad’ -SamAccountName ‘isidore’`
-OrganizationalUnit ‘Corporate’ `
-FirstName ‘Isidore’ -LastName ‘ Boulot’ `
-Database ‘BDD-TOUS’ `
-Password (ConvertTo-SecureString ‘a’ `
-AsPlainText -Force) `
-ResetPasswordOnNextLogon $False

Activation d’une boîte aux lettres


Pour rappel, il faut exécuter la commande suivante, pour activer la boîte aux lettres
d’un compte existant (‘Yu Alain’).
Enable-Mailbox ‘Yu Alain’ -Alias ‘alain’

Suppression d’une boîte aux lettres


Il est possible de supprimer une boîte aux lettres sans supprimer le compte du
propriétaire. Il s’agit d’une désactivation de boîte aux lettres. Pour cela, exécutez la
commande suivante, pour désactiver la boîte aux lettres d’Yu Alain.
Disable-Mailbox ‘Yu Alain’
Vous pouvez aussi supprimer une boîte aux lettres et supprimer le compte de son
propriétaire. Pour cela, exécutez la commande suivante, pour désactiver la boîte aux lettres
d’Yu Alain.
Les commandes suivantes ne fonctionnent que si la boîte aux lettres est active.
Remove-Mailbox ‘Yu Alain’
Le compte et la boite aux lettres d’Yu Alain sont marqués comme étant à supprimer,
mais ils ne sont pas immédiatement supprimés. Il est donc possible de les récupérer. Pour
supprimer définitivement la boîte aux lettres et le compte d’Yu Alain, exécutez la
commande suivante.
Remove-Mailbox ‘Yu Alain’ -Permanent:$True

Boîte aux lettres déconnectée


Une boîte aux lettres déconnectée est une boîte aux lettres qui n’est plus associée à un
compte d’Active Directory. La désactivation d’une boîte aux lettres supprime les
propriétés Exchange d’Active Directory de l’utilisateur.
Pour désactiver la boîte aux lettres de Marie, exécutez la commande suivante.
Disable-Mailbox ‘Marie’
Pour afficher toutes les boîtes aux lettres déconnectées du serveur XSGMB100, tapez
la commande suivante sur une seule ligne.
Get-MailboxStatistics -Server XSGMB100 | `
where {$_.DisconnectDate -ne $Null}
Il est possible de connecter une boite aux lettre déconnectée à un utilisateur qui n’a pas
encore de boite aux lettres. Cette technique est souvent utilisée pour récupérer le contenu
d’une boîte aux lettres d’un utilisateur qui a quitté la société et donc le compte a été
supprimé.
Pour connecter la boîte aux lettres de Marie, dont le compte utilisateur a été supprimé,
à Jean qui la remplace, tapez la commande suivante sur une seule ligne.
Connect-Mailbox ‘Marie’ -Database BDD-TOUS `
-User ‘Jean’ -alias jean
Lorsque Jean ouvrira Outlook, il trouvera le contenu de la boite aux lettres de Marie.
Par défaut, l’objet boîte aux lettres déconnectée est conservée pendant 30 jours dans la
base de données, puis elle est supprimée.
Lorsque vous supprimez une boîte aux lettres, son contenu sera automatiquement
supprimé de la base de données, une fois que la durée d’expiration de récupération sera
achevée.
Pour modifier la durée de rétention par défaut de la base de données BDD-TOUS à 45
jours, exécutez sur une seule ligne la commande suivante.
Set-MailboxDatabase BDD-TOUS -MailboxRetention 45.00:00:00

Quotas de bases de données


Par défaut, les bases de données se voient attribuées plusieurs quotas. Les valeurs des
quotas sont visibles dans EAC.
Dans le volet de fonctionnalités, cliquez sur serveurs puis dans les onglets, cliquez sur
bases de données.
Cliquez sur le nom d’une base de données pour la sélectionner et dans la barre d’outils,
cliquez sur Modifier (crayon).
Quand la base de données s’affiche, cliquez sur limites dans le volet.
Figure 6‑1 Quotas de la base

Par défaut, un avertissement est émis lorsque la base atteint la taille de 1,9 Go. Si la
taille continue à grossir, l’envoi sera interdit à partir de 2 Go.
Si la croissance en taille de la base ne s’arrête pas, il ne sera plus possible d’envoyer et
de recevoir à 2,3 Go.
Vous pouvez changer ces valeurs par défaut avec le Centre d’administration Exchange
ou EMS.
Par exemple avec Exchange Management Shell (EMS), exécutez sur une seule ligne la
commande ci-dessous pour modifier les valeurs de ces paliers à 9 Go, 10 Go et 11 Go pour
la base BDD-TOUS.
Set-MailboxDatabase -Id BDD-TOUS `
-IssueWarningQuota 9GB `
-ProhibitSendQuota 10GB `
-ProhibitSendReceiveQuota 11GB

Quotas de boîte aux lettres


Par défaut, la boîte aux lettres utilise les paramètres de quota de la base de données de
boîtes aux lettres.
Si vous ouvrez le Centre d’administration Exchange, dans le volet de fonctionnalités,
cliquez sur destinataires puis dans les onglets, cliquez sur boîtes aux lettres.
Cliquez ensuite sur le nom d’une boîte aux lettres pour la sélectionner et dans la barre
d’outils, cliquez sur Modifier (crayon).
Quand la boîte aux lettres s’affiche, cliquez sur utilisation des boîtes aux lettres dans
le volet, puis sur options supplémentaires.

Figure 6‑2 Quotas de la boîte aux lettres

Vous pouvez personnaliser ces valeurs par défaut avec le Centre d’administration
Exchange ou EMS.
Par exemple avec Exchange Management Shell (EMS), exécutez sur une seule ligne la
commande ci-dessous pour modifier les valeurs de ces paliers à 27 Go, 30 Go et 33 Go de
la boîte aux lettres d’Alice Martin.
Bien que cela puisse surprendre, vous pouvez spécifier des valeurs supérieures à celles
des quotas de la base. C’est normal car c’est à l’administrateur de veiller à la cohérence
des besoins de l’organisation.
Set-Mailbox -Id ‘Alice Martin’ `
-IssueWarningQuota 27GB `
-ProhibitSendQuota 30GB `
-ProhibitSendReceiveQuota 33GB `
-UseDatabaseQuotaDefaults:$false
Propriétés des boîtes aux lettres

Figure 6‑3 BAL : Général

L’onglet Général affiche les informations sur l’utilisateur de boîte aux lettres.
Cet onglet permet d’afficher ou de modifier le nom complet, l’alias et les attributs
personnalisés. Vous pouvez spécifier si l’utilisateur de boîte aux lettres doit être masqué
dans les listes d’adresses Exchange.
Les attributs personnalisés permettent de stocker les informations à propos de vos
utilisateurs et qui ne suffisent pas dans les champs existants.
Par exemple, vous pouvez utiliser un attribut personnalisé pour le numéro d’employé.
Vous pouvez spécifier jusqu’à 15 attributs personnalisés pour la boîte aux lettres.

Utilisation des boîtes aux lettres


Figure 6‑4 BAL : Utilisation des boîtes aux lettres

L’onglet Utilisation des boîtes aux lettres indique la date et heure de dernière ouverture
de session. Cette information permet parfois d’établir une usurpation de compte.
Par défaut, toutes les boîtes aux lettres utilisent les quotas configurés pour la base de
données de boîtes aux lettres. Vous pouvez utiliser cet onglet pour configurer des quotas
spécifiques pour cette boîte aux lettres.
Exchange conserve pendant un certain temps les éléments supprimés définitivement
des boîtes aux lettres d’utilisateurs. Ceux-ci peuvent récupérer des éléments
définitivement supprimés de leurs boîtes aux lettres sans demander à restaurer la base de
données Exchange.

Informations sur le contact


Figure 6‑5 BAL : Informations sur le contact

Cet onglet permet d’afficher ou de modifier les informations d’identité professionnelle


du contact : adresse, téléphone, etc.

Organisation
Figure 6‑6 BAL : Organisation

L’onglet Organisation permet d’afficher et de modifier les informations relatives au


rôle du destinataire dans votre organisation.

Adresse de messagerie

Figure 6‑7 BAL : Adresse de messagerie

Avec l’onglet Adresses de messagerie, vous pouvez modifier ou créer des adresses de
messagerie.
Chaque destinataire doit disposer d’au moins une adresse SMTP principale, c’est-à-dire
une adresse de réponse. Il s’agit obligatoirement d’une adresse internet si l’utilisateur veut
envoyer des messages à l’extérieur de votre organisation.
Une adresse peut être créée automatiquement grâce à une stratégie d’adresse de
messagerie. Vous pouvez aussi ajouter manuellement une nouvelle adresse.
Pour supprimer l’adresse SMTP principale, vous devez d’abord désigner une autre
adresse SMTP comme adresse principale.

Fonctionnalités de boîte aux lettres


Figure 6‑8 BAL : Fonctionnalités de boîte aux lettres (vue partielle)

L’onglet Fonctionnalités de boîte aux lettres permet d’activer ou de désactiver les


options de la boîte aux lettres, ainsi que les stratégies : partage, attribution de rôle,
rétention avec la stratégie par défaut MRM (Messaging Records Management, Gestion des
enregistrements de messagerie) et carnet d’adresses.

Membre de

Figure 6‑9 BAL : Membre de

L’onglet Membre de permet d’afficher une liste des groupes de distribution dont le
destinataire est membre.
Info courrier

Figure 6‑10 BAL : Info courrier

Cet onglet permet de définir une info courrier. L’info courrier s’affiche durant la
rédaction d’un message destiné à cet utilisateur, si celui-ci a été désigné comme un
destinataire du message. L’info courrier apparaît dans Outlook et Outlook sur le web.

Délégation de boîte aux lettres

Figure 6‑11 BAL : Délégation de boîte aux lettres


L’autorisation Envoyer en tant que (Send As) permet au délégué d’envoyer des
messages depuis cette boîte aux lettres, comme si le message provenait du titulaire de la
boite aux lettres.
Typiquement, il s’agit d’un scénario classique entre une responsable et son assistant.
L’assistant sera autorisé à envoyer des messages qui apparaîtront comme s’ils avaient été
émis directement par la responsable. L’autorisation Envoyer en tant que est aussi utilisée
pour une boîte aux lettres partagée d’une équipe.
Pour donner l’autorisation Envoyer en tant que à Bob Durand sur la boîte aux lettres
d’Alice Martin, tapez la commande suivante sur une seule ligne.
Add-ADPermission -Id ‘Alice Martin’ `
-User ‘Bob Durand’ -ExtendedRights “Send As”
Il est possible que vous obteniez une erreur avec un message comme celui-ci :
Réponse d’Active Directory : problem 4003 (INSUFF_ACCESS_RIGHTS)
Pour résoudre le problème, essayez les manipulations suivantes :
Ouvrez Utilisateurs et ordinateurs Active Directory.
Cliquez sur affichage, puis cliquez sur Fonctionnalités avancées.
Cliquez sur le compte du responsable (Alice Martin dans cet exemple), puis cliquez sur
Propriétés.
Dans l’onglet sécurité, cliquez sur Avancé.
Dans l’onglet autorisations, cliquez sur Activer l’héritage.
Cliquez sur le bouton Appliquer : un pop-up d’avertissement vous informe que vous allez
ajouter 56 autorisations à la liste de contrôle d’accès.
Cliquez sur le bouton Oui.
Cliquez deux fois sur OK.
Recommencez avec la commande.
L’autorisation Envoyer pour le compte de (Send On behalf) permet au délégué
d’envoyer des messages pour le compte de cette boîte aux lettres. Le message apparaît
comme avoir été émis par le délégué pour le compte du propriétaire de la boîte aux lettres.
Contrairement à l’autorisation Envoyer en tant que le nom du délégué est affiché.
Pour donner l’autorisation Envoyer pour le compte de à Bob Durand sur la boîte aux
lettres d’Alice Martin, tapez la commande suivante sur une seule ligne.
Set-Mailbox -Id ‘Alice Martin’ `
-GrantSendOnBehalfTo ‘Bob Durand’
Avec l’autorisation Accès total (Full Access), l’assistante peut lire, écrire, modifier et
supprimer le contenu de la boîte aux lettres de son responsable. Toutefois, elle ne pourra
pas envoyer de messages de la part du responsable, à moins de lui donner une des deux
autorisations précédentes.
Pour donner l’autorisation Accès total à Bob Durand sur la boîte aux lettres d’Alice
Martin, tapez la commande suivante sur une seule ligne.
Add-MailboxPermission -Id ‘Alice Martin’ `
-User ‘Bob Durand’ -AccessRights FullAccess `
-InheritanceType all
Boîte aux lettres d’archivage
Une boîte aux lettres d’archivage est une boîte aux lettres supplémentaire pour un
utilisateur de boîtes aux lettres. Celui-ci peut déplacer des messages entre sa boîte aux
lettres principale et sa boîte aux lettres d’archivage.
Une boîte aux lettres d’archivage permet d’éviter d’avoir recours aux fichiers avec une
extension .pst, communément appelés fichiers PST.
Les fichiers PST sont des fichiers locaux sur le disque dur ou sur un partage réseau, qui
permet de stocker des messages électroniques. Ces fichiers n’étant pas gérés dans
l’organisation Exchange, il n’y a pas de contrôle, ni de mécanismes de protection en cas
corruption par exemple.
La boîte aux lettres d’archivage peut être située sur la même base de données que la
boîte aux lettres de l’utilisateur, une autre base de données de boîtes aux lettres sur le
même serveur ou un autre serveur, ou même sur Exchange Online (bien que la boite aux
lettres d’origine se trouve sur une installation locale de Microsoft Exchange Server 2016).
La boîte aux lettres d’archivage n’est pas intégrée au fichier OST (Offline Storage
Tables). Le fichier OST est créé lors de l’activation du mode cache dans Outlook. Il
contient une copie de la boîte aux lettres sur le poste de l’utilisateur, sauf le contenu de la
boîte aux lettres d’archivage. Ce qui permet d’éviter de synchroniser un contenu obsolète
ou dont l’intérêt n’est que purement historique.
Dans Exchange Online, il existe une stratégie de rétention par défaut qui est appliquée
automatiquement aux nouvelles boîtes aux lettres. Dans Exchange 2016, la stratégie de
rétention par défaut est appliquée automatiquement lors de la création d’une archive, si
vous n’avez pas précisé de stratégie de rétention.
Lorsqu’elle est activée, cette stratégie permet de déplacer les messages vers l’archive
au bout d’un certain temps.
Par exemple, les messages peuvent être automatiquement déplacés dans la boîte aux
lettres d’archivage après 1 an. Ou bien, ils peuvent être déplacés du dossier Éléments
récupérables de la boîte aux lettres principale de l’utilisateur vers le dossier Éléments
récupérables de la boîte aux lettres d’archivage.
L’archivage est une fonction premium qui nécessite une licence d’accès au client
Enterprise.
Boîte aux lettres liée
Une boîte aux lettres liée est une boîte aux lettres sans compte utilisateur dans la forêt
Active Directory.
Cela permet de créer une boîte aux lettres pour un utilisateur dans une forêt distincte
approuvée. De cette façon, il est possible de centraliser Exchange dans une forêt unique,
tout en permettant l’accès à l’organisation Exchange avec des comptes utilisateur d’une ou
plusieurs forêts approuvées.
L’intérêt des disposer d’une forêt unique avec les ressources Exchange comme les
serveurs et les bases de données.
Les utilisateurs des autres forêts disposent d’une boîte aux lettres liées à une
organisation Exchange qui n’est pas hébergée dans leur forêt Active Directory.
Ce genre de scénario s’adresse à des entreprises de très grande taille avec de
nombreuses forêts.
Boîte aux lettres de salle
Une boîte aux lettres de salle est utilisée comme ressource pour la planification des
réunions. Les boîtes aux lettres de salle de réunion peuvent être incluses dans les
demandes de réunion comme ressources.
Par défaut, les demandes de réservation sont acceptées sauf en cas de conflit
d’occupation. En cas de conflit, les demandes de réservation sont refusées. Il est possible
de modifier ce comportement automatique pour accepter les conflits et donc les
réservations multiples de la salle. De même, vous pouvez désigner des délégués capables
d’accepter ou de refuser les demandes de réservation.
Comme souvent dans Exchange, les paramètres disponibles ne sont pas tous affichés
dans EAC. L’utilisation d’EMS est préférable pour régler finement le paramétrage des
boîtes aux lettres de salle.
La création d’une boite aux lettres de salle est similaire à celle d’une boîte aux lettres
d’un utilisateur.
Si vous créez un nouveau compte utilisateur pour la boîte aux lettres de salle de
réunion, il sera désactivé. Si vous prévoyez d’associer la nouvelle boîte aux lettres de salle
à un compte existant, vous devez sélectionner un compte désactivé. Dans les deux cas, il
n’est pas nécessaire de disposer d’une licence utilisateur.
Il existe des attributs spécifiques aux boîtes aux lettres de salles, comme par exemple la
capacité de la salle. En outre, vous pouvez définir des attributs personnalisés afin de
stocker des informations supplémentaires, par exemple, pour préciser si la salle dispose de
la climatisation ou d’ordinateurs.
Dans EAC, la création d’une boîte aux lettres de ressources, comme une salle ou une
salle d’équipement (cf. ci-dessous), est faite dans le menu destinataires du volet
navigation puis avec l’onglet ressources.

Figure 6‑12 Boîtes aux lettres de ressources

Une fois la boîte aux lettres de ressources créée, vous avez d’autres options à votre
disposition. Vous pouvez autoriser les réunions périodiques ou le délai maximal de
réservation, qui est de 180 jours par défaut.
Figure 6‑13 Options de la BAL de ressource
Boîte aux lettres d’équipement
Des boîtes aux lettres d’équipement peuvent être incluses lors des demandes de réunion
comme ressources. Elles peuvent être configurées pour accepter automatiquement les
demandes entrantes.
Le fonctionnement des boîtes aux lettres d’équipement est similaire à celui des boîtes
aux lettres de salle, bien qu’il existe des caractéristiques propres.
L’équipement concerne par exemple les vidéoprojecteurs, le matériel informatique, etc.
Indépendamment des besoins liés aux réunions, l’équipement peut aussi concerner par
exemple les voitures de société ou autres.
Tout comme les boîtes aux lettres de salle, les comptes AD associés sont désactivés et
il n’est pas nécessaire de disposer d’une licence utilisateur.
Boîte aux lettres partagée
Les boîtes aux lettres partagées permettent à un groupe d’utilisateurs de consulter et
d’envoyer des messages électroniques à partir d’une boîte aux lettres commune et de
partager un même calendrier.

Figure 6‑14 Boîte aux lettres partagée


Boîte aux lettres de site
Une boîte aux lettres de site propose une vue unifiée des messages électroniques et des
documents SharePoint.
Cette fonctionnalité s’adresse plus spécifiquement aux membres d’une équipe d’un
projet. À partir d’Outlook, ils bénéficient d’une messagerie d’équipe, ainsi que des liens
vers les bibliothèques SharePoint Server qui stockent les documents.
Comme les documents sont stockés dans des sites SharePoint, ils bénéficient des
fonctionnalités habituelles liées aux bibliothèques, comme le contrôle de version ou la
création à plusieurs.
Outre la messagerie, le rôle d’Exchange est de synchroniser les métadonnées utiles à
partir de SharePoint afin de créer une vue du document dans Outlook. Les métadonnées
synchronisées sont par exemple : le titre du document, sa date de dernière modification,
l’auteur de la dernière modification, etc.
L’essentiel de la configuration est du ressort de SharePoint Server.

Configuration SharePoint Server


L’installation de boîtes aux lettres requiert sur Microsoft SharePoint Server,
l’exécution des étapes suivantes.
Toute version antérieure des services web Exchange doit être désinstallée des serveurs
SharePoint.
La synchronisation des profils utilisateur doit être configurée.
L’application de service Gestion des applications doit être configurée.
Le protocole SSL (Secure Sockets Layer) doit être configuré sur l’ordinateur qui exécute
SharePoint Server et pour la zone par défaut.
Les bibliothèques de document accédées à partir d’une boîte aux lettres du site doivent
être configurées en tant que site approuvé dans le navigateur de l’utilisateur.
L’API Services web Exchange doit être installée sur SharePoint Server. Celle-ci est
téléchargeable sur http://coudr.com/xsg009
Enfin, il faut établir une approbation OAuth et des autorisations de service sur
SharePoint Server à l’aide des deux scripts Set-SiteMailboxConfig.ps1 et Check-
SiteMailboxConfig.ps1. Ils sont téléchargeables sur http://coudr.com/xsg010

Configuration Exchange Server 2016


Il faut établir une approbation OAuth et une autorisation de service sur Exchange grâce
au script Configure-EnterprisePartnerApplication.ps1, présent dans le dossier
%ExchangeInstallPath%Scripts.
Dossiers publics
Les dossiers publics permettent d’organiser le contenu de votre organisation sous-
forme hiérarchique. La hiérarchie est similaire à celle des dossiers et sous-dossiers d’un
disque dur.
Vous pouvez attribuer des droits différents sur les dossiers et sous-dossiers de la
hiérarchie des dossiers publics.
Les dossiers et sous-dossiers de la hiérarchie sont répliqués avec leurs permissions sur
les autres bases de données de dossiers publics. La réplication est faite classiquement à
travers les DAG.
Contrairement aux anciennes versions d’Exchange, la notion de base de données de
dossiers publics n’existe plus. En effet, dans Exchange 2016 et Exchange 2013,
l’architecture des dossiers publics repose sur une infrastructure de boîtes aux lettres
spécialement conçues pour stocker la hiérarchie et le contenu des dossiers publics. La
hiérarchie et le contenu sont donc stockés dans les bases de données de boîtes aux lettres.
Par conséquence, il n’existe qu’une seule instance modifiable des dossiers publics dans
Exchange 2016. Dans les anciennes versions précédentes, il était possible d’avoir
plusieurs instances modifiables des dossiers publics. Ce n’est plus le cas avec Exchange
2016 ou Exchange 2013.

Boîte aux lettres de dossier public


L’initialisation des paramètres de l’organisation concernant les dossiers publics se fait
par le biais de cmdlets EMS.
Par exemple, pour initialiser la configuration des dossiers publics, vous pouvez taper la
cmdlet suivante qui définit la durée de rétention des éléments supprimés ou déplacés à 7
jours et les paramètres de quota à 3 Go.
Set-OrganizationConfig `
-DefaultPublicFolderDeletedItemRetention `
7.00:00:00 `
-DefaultPublicFolderMovedItemRetention `
7.00:00:00 `
-DefaultPublicFolderMaxItemSize 300MB `
-DefaultPublicFolderProhibitPostQuota 3GB `
-DefaultPublicFolderIssueWarningQuota 2GB
Il est possible d’utiliser EMS ou EAC pour créer les boîtes aux lettres spécifiques aux
dossiers publics.
Dans EAC, la création d’une boîte aux lettres de dossier public est faite dans le menu
dossiers publics du volet navigation puis avec l’onglet boîtes aux lettres de dossier
public.
Figure 6‑15 Création d’une boîte aux lettres de dossier public

Cliquez sur le signe + : la fenêtre de création s’ouvre.


La première boîte aux lettres de dossier public contient une copie modifiable de la
hiérarchie des dossiers publics.
La création de cette boîte aux lettres de dossier public entraîne la création d’un compte
utilisateur, qui sera désactivé.
Il suffit donc de donner un nom à la boîte aux lettres de dossier public, par exemple Az.
L’unité d’organisation par défaut est Users mais vous pouvez en changer. Vous pouvez
aussi désigner la base de données de boîtes aux lettres qui accueillera cette première boîte
aux lettres de dossier public. En l’absence d’information, Exchange sélectionne une base
disponible.

Figure 6‑16 Boîte aux lettres de dossier public

La commande correspondante à saisir sur une seule ligne est :


New-Mailbox -PublicFolder -Name Az `
-Database BDD-TOUS `
-OrganizationalUnit “NOVAx.AD/Corporate”
Figure 6‑17Création de la hiérarchie

Hiérarchie de dossiers
Vous pouvez maintenant créer votre hiérarchie de dossiers publics, en cliquant sur
dossiers publics.
Cliquez sur le signe + : la fenêtre de création s’ouvre.

Figure 6‑18 Nouveau dossier public

Dans cette fenêtre, vous indiquez le nom d’un dossier public, comme par exemple
Nova et vous enregistrez.
Une fois que le dossier racine est créé, il est possible de créer des sous-dossiers.
Pour créer un sous-dossier, il faut cliquer sur le nom du dossier, ce qui l’ouvre, puis
cliquez sur le signe +.

Figure 6‑19 Sous-dossier

Dans cette fenêtre, vous indiquez le nom d’un sous-dossier public, comme par exemple
Direction et vous enregistrez.
Figure 6‑20 Hiérarchie des dossiers publics

Une flèche vers le haut permet de remonter la hiérarchie.


La commande correspondante à saisir est :
New-PublicFolder -Name Direction -Path \Nova
Les utilisateurs qui disposent des autorisations nécessaires peuvent aussi créer une
hiérarchie de dossiers publics avec Outlook.

Autorisations de dossiers
Vous pouvez donner des autorisations d’accès à des utilisateurs ou des groupes
d’utilisateurs d’Active Directory. Il est préférable de donner des autorisations à des
groupes car c’est plus simple à gérer au quotidien.
Pour donner des autorisations d’accès, vous devez sélectionner le niveau de la
hiérarchie auquel vous voulez donner des droits.
Dans notre exemple, il s’agit du dossier Direction.

Figure 6‑21 Dossier Direction

Cliquez sur le lien Gérer qui se trouve en bas du volet à droite : une fenêtre s’ouvre
pour vous proposer d’ajouter des utilisateurs ou des groupes d’utilisateurs.
Cliquez sur le + : le fenêtre autorisation des dossiers publics s’ouvre.
Figure 6‑22 Autorisations des dossiers publics

Avec le bouton Parcourir, sélectionnez un groupe ou un utilisateur quelconque.


Sous Niveau d’autorisation, vous pouvez sélectionner le niveau d’autorisations que
vous souhaitez lui accorder : Réviseur, Contributeur, Auteur non-éditeur, Auteur,
Éditeur, Auteur de publication, éditeur de publication, Propriétaire, Personnalisé.
Ces niveaux d’autorisations sont classés du plus restrictif (Réviseur) au moins restrictif
(Propriétaire). Pour chaque niveau, les autorisations correspondantes sont cochées
dessous. Vous pouvez aussi cocher directement les cases que vous souhaitez.
Sauvegardez vos modifications.
La commande correspondante à saisir sur une seule ligne est :
Add-PublicFolderClientPermission `
-Id \Nova\Direction -User Direction `
-AccessRights PublishingEditor

Envoi de messages aux dossiers


Vous pouvez activer l’envoi de messages électroniques aux dossiers. Cela permet à des
personnes qui sont membres, ou pas, de l’organisation à envoyer des messages, avec ou
sans pièce jointe, qui seront stockés dans le dossier concerné.
C’est particulièrement pratique pour les utilisateurs qui sont en déplacement.
Avec la cmdlet suivante, créez un dossier Informatique sous le dossier Direction.
New-PublicFolder -Name Informatique `
-Path \Nova\Direction
Avec EAC, positionnez-vous sur le dossier Informatique.
Figure 6‑23 Dossier Informatique

Cliquez sur le lien Activer qui se trouve dans le volet de droite, sous le titre Paramètres
de la messagerie : une fenêtre d’avertissement vous demande si vous voulez activer la
messagerie pour les dossiers publics sélectionnés.
Cliquez sur Oui.
La commande correspondante à saisir sur une seule ligne est :
Enable-MailPublicFolder `
-Id \Nova\Direction\Informatique
Ensuite, cliquez dans la barre d’outils sur l’icône en forme de crayon pour modifier les
paramètres du dossier Informatique.
En particulier, vous changerez l’adresse de messagerie qui a été générée par défaut, en
support@novaX.ad.

Figure 6‑24 Adresse email du dossier


Ce mécanisme ressemble fortement à celui des bibliothèques dans SharePoint à qui il
est aussi possible d’envoyer des messages électroniques.
L’utilisateur verra la hiérarchie de dossiers.

Figure 6‑25 Dossiers publics vus d’Outlook

Dans Outlook sur le web, les dossiers publics doivent être ajoutés aux favoris avec un
clic-droit de la souris.
Figure 6‑26 Ajout dossier public dans Outlook sur le web
TP 06A Créer une base de données
Objectif
Vous souhaitez disposer d’une base de données de boîtes aux lettres, dédiée aux
personnes de la Direction. Alice et Didier sont membres de la Direction. L’objectif est
donc de créer une nouvelle base de données, intitulée BDD-VIP, puis de déplacer les
boîtes aux lettres d’Alice et Didier dans cette nouvelle base de données.
Les tâches à accomplir sont :
Créer une nouvelle base de données de boîte aux lettres
Déplacer les boîtes aux lettres des membres de la direction

Solution
Créer une nouvelle base de données de boîte aux lettres

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur serveurs : le volet central s’actualise et
donne accès aux onglets supplémentaires.
Cliquez sur l’onglet bases de données.
Pour créer une nouvelle base de données, cliquez sur le signe + de la barre d’outils : la
fenêtre de création de bases de données s’ouvre.

Figure 6‑27 Création d’une base de données

Renseignez les champs suivants.


Base de données de boîtes aux lettres : BDD-VIP
Serveur : XSGMBx
Chemin d’accès au fichier de base de données : E:\BDD02\BDD-VIP.edb
Chemin d’accès au dossier Journal : E:\BDD02
Vous remarquerez que par défaut, la base de données sera montée. Par ailleurs,
l’assistant se charge de créer les dossiers nécessaires, s’ils n’existent pas, comme
E:\BDD02.
Cliquez sur Enregistrer.
Un message d’avertissement vous prévient de redémarrer le service Microsoft
Exchange Information Store sur le serveur après avoir ajouté de nouvelles bases de
données de boîtes aux lettres.
L’allocation de mémoire à chaque base de données est faite au démarrage du service
Information Store. Dans la mesure où vous avez ajouté une nouvelle base de données, le
service Information Store doit recalculer la quantité de mémoire à réaffecter aux bases de
données. C’est pourquoi vous devez redémarrer ce service.
Cliquez sur Ok. La nouvelle base de données apparaît dans la liste des bases de
données. Par défaut, elle est bien montée.

Figure 6‑28 Liste des bases de données

Redémarrez le service Microsoft Exchange Information Store.


Restart-Service MSExchangeIS
Ouvrez l’explorateur Windows pour afficher le contenu du dossier E:\BDD02, qui
contient notamment les fichiers journaux de transaction de la base BDD-VIP.
Si vous avez suivi scrupuleusement les consignes et que vous n’avez pas commis
d’erreur dans la création des bases de données (bravo !), vous remarquerez que les fichiers
débutent par E01. Puisque la numérotation débute à E00, les fichiers journaux de la
seconde base est donc E01, etc.
Déplacer les boîtes aux lettres des membres de la direction

Si l’application EAC n’est pas ouverte, ouvrez-la.


Dans le volet de fonctionnalités, cliquez sur destinataires : la liste des destinataires
apparaît.
En gardant, le doigt appuyé sur la touche Ctrl, sélectionnez les destinataires Alice
Martin et Didier Dufour : le volet de droite affiche le titre Modification en bloc.
Descendez l’ascenseur de droite jusqu’en bas, pour faire apparaître le lien Plus
d’options.

Figure 6‑29 Modification en bloc

Cliquez sur le lien Plus d’options.


Descendez à nouveau l’ascenseur de droite jusqu’en bas, pour faire apparaître le lien
Vers une autre base de données, qui se trouve sous le titre Déplacer une boîte aux lettres.
Cliquez sur le lien Vers une autre base de données : une fenêtre apparaît.
Dans le champ Nouveau nom de lot de migration, renseignez : Déplacement VIP.
Sous Archiver, gardez l’option par défaut Déplacer la boîte aux lettres principale et
la boîte aux lettres d’archivage s’il en existe une.
Dans Base de données cible, ajoutez BDD-VIP avec le bouton Parcourir.
Laissez les autres options et cliquez sur suivant.
Figure 6‑30 Lot de migration

Gardez les options par défaut et cliquez sur nouveau. Une fenêtre vous demande si
vous souhaitez accéder au tableau de bord de migration pour consulter l’état de votre lot
de migration.
Cliquez sur Oui.
Une alerte apparaît en haut de l’écran.

Figure 6‑31 Affichage de l’alerte

Dans cette alerte, cliquez sur Afficher les détails : le volet de droite affiche le détail du
lot de migration Déplacement VIP.

Figure 6‑32 Migration Déplacement VIP

Si vous cliquez sur le lien Afficher les détails, vous verrez pour chaque boîte aux
lettres des informations détaillées sur la taille des données transférées, les erreurs
éventuelles, etc.
La synchronisation peut prendre une ou deux minutes.

Résumé
Vous avez créé une nouvelle base de données de boîte aux lettres, dédiée aux dirigeants
de la société. Puis vous avez déplacé les boîtes aux lettres existantes des dirigeants dans
cette base de données.
TP 06B Cmdlets utiles liées aux bases de données
Objectif
L’objectif est vous familiariser avec quelques cmdlets Exchange utiles liées aux bases
de données.
Les tâches à accomplir sont :
Créer et monter une base de données
Renommer une base de données
Déplacer une base de données
Afficher le statut de toutes les bases de données
Déplacer une BAL dans une base de données
Déplacer les BAL d’une OU dans une base de données
Afficher la liste des BAL de toutes les bases avec les statistiques

Solution
Créer et monter une base de données
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour créer
la base de données BDD-TEMP.
Dans la vraie vie, la base de données devrait s’appeler quelque chose comme DAG01-
Nantes-02 ou DAG02-Lyon-01, etc. Toutefois, afin d’être plus explicite, la base de
données et le fichier de la base ont chacun un nom significatif.
New-MailboxDatabase –Server XSGMBx `
–Name ‘BDD-TEMP’ `
-LogFolderPath ‘E:\BDD03’ `
-EdbFilePath ‘E:\BDD03\BDD-TEMP.edb’
Redémarrez le service Microsoft Exchange Information Store.
Restart-Service MSExchangeIS
Montez la nouvelle base de données.
Mount-database ‘BDD-TEMP’
Si vous obtenez le message ” Échec du montage de la base de données BDD-TEMP.
Erreur: Une opération Active Manager a échoué avec une erreur provisoire.
Recommencez l’opération”, redémarrez le serveur puis remontez la base.
Renommer une base de données
Vous pouvez facilement renommer le nom logique d’une base de données. Cependant,
l’opération ci-dessous ne renomme pas le fichier physique EDB sous-jacent.
Si vous voulez aussi renommer le fichier physique, vous devrez déplacer la base de
données, comme indiqué dans l’exercice suivant.
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour
renommer la base de données ‘Mailbox Database 0585166390’ en BDD-TEST.
Si la base de données ‘Mailbox Database 0585166390’ n’existe pas, vous pouvez la
créer en vous inspirant de l’exercice précédent : stockez les fichiers dans E:\BDD00.
Get-MailboxDatabase ‘Mailbox Database 0585166390’ | `
Set-MailboxDatabase -Name ‘BDD-TEST’
Déplacer une base de données

Pour gérer au mieux votre espace disque ou pour des raisons de performances, vous
pouvez souhaiter déplacer les fichiers physiques d’une base de données vers un autre
emplacement.
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour
déplacer les fichiers physiques de la base de données ‘BDD-TEST‘.
Les dossiers Windows seront créés automatiquement lors du déplacement.
La cmdlet Move-DatabasePath démonte automatiquement la base avant le
déplacement, déplace les fichiers puis remonte la base, sauf si elle était démontée avant
son exécution.
Move-DatabasePath -Id ‘BDD-TEST’ `
-EdbFilePath E:\BDD04\BDD-TEST.edb `
-LogFolderPath E:\BDD04
Si des messages de confirmation d’opérations apparaissent, validez-les.
Ouvrez l’explorateur Windows, pour vérifier que le dossier précédent de la base
Mailbox Database 0585166390 est vide, hormis les fichiers d’index, et que le fichier
EDB a bien été renommé en BDD-TEST.edb dans E:\BDD04.
Afficher le statut de toutes les bases de données

Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour
afficher le statut de toutes les bases de données.
Get-MailboxDatabase -status | ft -property name,mount*,databasesize
Notez l’utilisation du caractère générique * dans mount* pour obtenir toutes les
colonnes qui débutent par mount : MountedOnServer, MountAtStartup, Mounted.
Déplacer une BAL dans une base de données

Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour
déplacer la boîte aux lettres de Francine Lefebvre.
‘novaX.ad/Corporate/Francine Lefebvre’ | `
New-MoveRequest -TargetDatabase ‘BDD-TEMP’
Déplacer les BAL d’une OU dans une base de données

Sur DCx, créez une Unité d’Organisation (OU) intitulée Informatique. Puis, déplacez
manuellement les comptes de Bob et Eric dans l’OU Informatique.

Figure 6‑33 OU Informatique

Sur le serveur XSGMBx, exécutez sur une seule ligne la commande ci-dessous dans la
console EMS, pour créer la base de données BDD-INF.
Dans la vraie vie, la base de données devrait s’appeler quelque chose comme DAG01-
Nantes-03 ou DAG02-Paris-02, etc.
Toutefois, afin d’être plus explicite, la base de données et le fichier de la base ont
chacun un nom significatif.
New-MailboxDatabase –Server ‘XSGMBx’ `
–Name ‘BDD-INF’ `
-EdbFilePath ‘E:\BDD05\BDD-INF.edb’ `
-LogFolderPath ‘E:\BDD05’
Redémarrez Microsoft Exchange Information Store.
Restart-Service MSExchangeIS
Montez la nouvelle base.
Mount-database ‘BDD-INF’
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour
déplacer toutes les boîtes aux lettres de l’OU Informatique dans la base de données
BDD-INF.
Get-User -OrganizationalUnit “Informatique” | `
New-MoveRequest -TargetDatabase ‘BDD-INF’
Pour afficher la liste des requêtes de migration en cours ou terminées, exécutez la
commande ci-dessous dans la console EMS.
Get-MoveRequest
Figure 6‑34 Requêtes de migration

Dans un environnement réel, il faut compter que le déplacement de 200 Go de boîtes


aux lettres prend environ 48 heures.
Afficher la liste des BAL de toutes les bases avec les statistiques

Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour
afficher la liste des boîtes aux lettres de toutes les bases de données avec des statistiques.
Get-MailboxDatabase | Get-MailboxStatistics | `
FT DisplayName, AssociatedItemCount, `
TotalItemSize, TotalDeletedItemSize, `
Database, ServerName

Résumé
Dans cet exercice, vous avez créé la base de données BDD-TEMP. Vous avez pu
vérifier qu’elle était bien montée en affichant le statut de toutes les bases de données.
Ensuite, vous avez déplacé la boîte aux lettres de Francine Lefebvre dans la base de
données BDD-TEMP.
Puis, vous avez déplacé toutes les boîtes aux lettres des comptes utilisateurs de l’Unité
d’organisation Informatique dans la base de données BDD-INF.
Vous avez vérifié que toutes les boîtes aux lettres (BAL) étaient bien dans leur base en
affichant la liste des BAL de toutes les bases.
TP 06C Activer l’enregistrement circulaire
Objectif
La base de données BDD-TEMP est utilisée par les employés saisonniers qui
possèdent une boîte aux lettres. Elle sert aussi parfois pour stocker les boîtes aux lettres
d’archive.
Pour limiter la place prise par les journaux de transactions de cette base de données, il
a été décidé d’activer l’enregistrement circulaire des journaux.
L’objectif est donc d’activer l’enregistrement circulaire des journaux de transactions de
la base BDD-TEMP avec le Centre d’administration Exchange, puis ceux de la base
BDD-TEST avec EMS.
Les tâches à accomplir sont :
Activer l’enregistrement circulaire avec le Centre d’administration Exchange
Activer l’enregistrement circulaire avec EMS

Solution
Activer l’enregistrement circulaire avec le Centre d’administration Exchange

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Ouvrez l’explorateur Windows pour afficher le contenu du dossier E:\BDD03, qui
contient les fichiers journaux de transaction de la base BDD-TEMP. Vous garderez ouvert
ce dossier jusqu’à la fin de l’exercice. Vous vous arrangerez aussi pour l’avoir toujours
sous les yeux durant les manipulations.
Actuellement, vous devez avoir environ une trentaine de fichiers présents dans ce
dossier.
Laissez le dossier ouvert.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur serveurs : le volet central s’actualise et
donne accès aux onglets supplémentaires.
Cliquez sur l’onglet bases de données.
Dans la liste des bases de données, cliquez sur BDD-TEMP puis cliquez dans la barre
d’outils sur l’icône en forme de crayon (Modifier) : la fenêtre de modification de la base
de données s’ouvre.
Dans le volet de navigation (à gauche), cliquez sur maintenance.
Figure 6‑35 Maintenance de la base

En bas de la fenêtre, cochez la case Activer la journalisation circulaire.


Cliquez sur Enregistrer : un message apparaît vous prévenant que cette modification
ne sera pas appliquée tant que la base de données n’aura pas été démontée puis remontée.
Cliquez sur le bouton OK.
Pour démonter la base, gardez la sélection de la base BDD-TEMP puis cliquez sur les 3
petits points (…). Dans le menu qui apparaît, cliquez sur Démonter puis, pour confirmer
le démontage, cliquez sur Oui dans le message d’avertissement qui apparaît.
Pour monter la base, gardez la sélection de la base BDD-TEMP puis cliquez sur les 3
petits points (…). Dans le menu qui apparaît, cliquez sur Monter puis, pour confirmer le
montage, cliquez sur Oui dans le message d’avertissement qui apparaît.
Consultez le contenu du dossier E:\BDD03, qui contient les fichiers journaux de
transaction de la base BDD-TEMP. Le nombre de fichiers est passé d’environ une
trentaine à une vingtaine. Vous constatez qu’en dehors du fichier E02.log, il n’y a plus que
2 ou 3 fichiers LOG qui sont probablement E020000000E.log, E020000000F.log,
E0200000010.log.
Activer l’enregistrement circulaire avec EMS
Pour activer l’enregistrement circulaire sur la base BDD-TEST, tapez la cmdlet
suivante.
Set-MailboxDatabase -Id ‘BDD-TEST’ `
-CircularLoggingEnabled:$True
Puis, pour la démonter afin que votre modification soit prise en compte lors du
remontage.
DisMount-database ‘BDD-TEST’
Si des messages de confirmation d’opérations apparaissent, validez-les.
Puis, pour la remonter.
Mount-database ‘BDD-TEST’
La base BDD-TEST venant d’être créée, il n’y aura probablement pas de diminution
substantielle du nombre de fichiers dans le dossier Windows E:\BDD04.

Résumé
Dans cet exercice, vous avez activé l’enregistrement circulaire, puis vous avez démonté
et remonté la base afin que votre modification soit prise en compte.
Vous avez pu aussi constater que les anciens fichiers journaux ont disparu afin de
laisser place à un unique fichier LOG.
TP 06D Activer la boîte aux lettres d’archivage
Objectif
Alice souhaite avoir plus d’espace pour stocker son historique de message. Vous ne
voulez pas augmenter le quota de sa boîte aux lettres pour éviter de créer une exception.
Vous décidez de lui activer sa boîte aux lettres d’archivage. Compte-tenu de son
caractère historique, vous décidez aussi de stocker cette boîte aux lettres dans la base de
données BDD-TEMP, dont l’enregistrement circulaire des fichiers journaux a été activé.
L’objectif est donc d’activer la boîte aux lettres d’archivage d’Alice. Sa boîte aux
lettres d’archivage sera stockée dans BDD-TEMP.
Les tâches à accomplir sont :
Activer la boîte aux lettres d’archivage
Vérifier la présence de l’archive

Solution
Activer la boîte aux lettres d’archivage

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur destinataires : le volet central s’actualise
et donne accès aux onglets supplémentaires.
Cliquez sur l’onglet boîtes aux lettres.
Dans la liste des boîtes aux lettres cliquez sur Alice Martin : le volet de droite
s’actualise avec les informations d’Alice.
Figure 6‑36 BAL Alice

En bas du volet, sous le titre Archive locale, cochez la case Activer : une fenêtre
apparaît.
Avec le bouton parcourir, sélectionnez et validez la base de données BDD-TEMP.
Cliquez sur le bouton OK.
Vérifier la présence de l’archive

Vous allez vérifier qu’Alice dispose bien d’une boîte aux lettres d’archivage, grâce à
Outlook.
Rappelez-vous que le mot de passe d’Alice a été modifié dans un exercice précédent
mais qu’il a été ensuite rétabli à la valeur a. Si vous ne vous rappelez plus du mot de passe
d’Alice, vous pouvez toujours le réinitialiser sur le contrôleur de domaine avec la console
classique Utilisateurs et ordinateurs Active Directory.
Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.
Démarrez Outlook.
Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé.
Au bout d’une trentaine de secondes, vous voyez apparaître la boîte aux lettres
d’archivage dans le volet du courrier (en bas).
Figure 6‑37 6-12 BAL d’archivage d’Alice

Sous Archive en ligne, créez un dossier Historique en faisant un clic droit.


Avec la souris, glissez un message de sa boîte de réception dans Historique.
Vérifiez visuellement que le message est bien dans le dossier Historique.

Résumé
Dans cet exercice, vous avez activé la boîte aux lettres d’archivage d’Alice. Sa boîte
aux lettres d’archivage est stockée dans la base de données BDD-TEMP, dont
l’enregistrement circulaire des fichiers journaux a été activé afin de limiter la place prise
sur les disques.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Groupe de disponibilité de base de données (DAG) : https://technet.microsoft.com/fr-
fr/library/dd979799(v=exchg.150).aspx
Gestion de groupes de disponibilité de base de données :
https://technet.microsoft.com/fr-fr/library/dd298065(v=exchg.150).aspx
Banque gérée : https://technet.microsoft.com/fr-
fr/library/dn792020(v=exchg.150).aspx
Understanding Exchange 2016 page zeroing : https://technet.microsoft.com/en-
us/library/gg549096(v=exchg.150).aspx
Chapitre 7 Services de transport

Introduction au transport des messages


La particularité du service de transport est de se décliner en deux variantes.
La première variante du service de transport est intégrée aux serveurs qui ont le rôle
de boîte aux lettres. Dans les versions d’Exchange 2007 et Exchange 2010, il constituait
un rôle à part, au même titre que les rôles de boîte aux lettres ou d’accès au client. Ce n’est
plus le cas avec Exchange 2016 ou Exchange 2013.
La seconde variante concerne les serveurs qui serveurs qui ont le rôle de transport
Edge.
Fondamentalement, le rôle du service de transport est de traiter tout le flux de
messages, appliquer les règles de transport, les stratégies de journalisation et remettre les
messages à la boîte aux lettres d’un destinataire.

Envoi vers Internet


Les messages qui sont envoyés à Internet sont relayés par le service de transport sur le
rôle de serveur de transport Edge.
Si vous ne disposez pas d’un serveur de transport Edge, vous pouvez configurer le
service de transport frontal du serveur de boîtes aux lettres pour envoyer directement les
messages vers Internet.

Réception d’Internet
Les messages reçus d’Internet sont reçus et relayés par le service de transport sur le
rôle de serveur de transport Edge, avant d’être relayés au service de transport interne du
serveur de boîtes aux lettres.
Si vous ne disposez pas d’un serveur de transport Edge, vous pouvez configurer le
serveur de boîtes aux lettres pour envoyer directement les messages vers Internet.
Pipeline de transport
Les flux de messagerie empruntent ce qui est appelé le pipeline de transport. En
réalité, il s’agit de différents composants. Faites attention au vocabulaire car le nom des
composants se ressemble énormément.
Service de transport frontal

Figure 7‑1 Service de transport frontal

Le service de transport frontal (Front End Transport Service) s’exécute sur le serveur
de boîtes aux lettres.
Il a en charge tout le trafic SMTP externe entrant et, éventuellement, sortant de
l’organisation. Cependant, il n’inspecte pas le contenu des messages et il ne communique
pas avec le service de transport de boîtes aux lettres.
Service de transport

Figure 7‑2 Service de transport

Le service de transport (Transport Service) s’exécute aussi sur le serveur de boîtes aux
lettres.
Ce service a en charge tout le trafic SMTP entrant et sortant. Il catégorise les messages
et inspecte leur contenu. Il achemine les messages entre le service de transport de boîtes
aux lettres, le service de transport, le service de transport frontal et, éventuellement, le
service de transport sur le serveur de transport Edge.

Réception SMTP
Les messages entrants sont stockés dans une base de données au format ESE
(Extensible Storage Engine) nommé mail.que. L’enregistrement circulaire des journaux
de transaction est activé sur cette base.
Par défaut, cette base est stockée à l’emplacement :
%ExchangeInstallPath%TransportRoles\Data\Queue

Figure 7‑3

Notez que si elle doit gérer un volume important de messages, une optimisation de
cette base doit être envisagée, comme pour n’importe quelle base de données.
En particulier, vous pouvez déplacer son emplacement en modifiant les valeurs des
clefs :
QueueDatabasePath
QueueDatabaseLoggingPath
Ces clefs se trouvent dans le fichier EdgeTransport.exe.config, qui est stocké dans le
dossier %ExchangeInstallPath%bin.
Chaque message reçu par le service de transport est inspecté et son contenu fait l’objet
d’une inspection anti-spam et anti-programme malveillant, si ces protections ont été mises
en place.
Par ailleurs, le service de transport applique des règles de transport au message. Si
celui-ci n’a pas été rejeté, il est placé dans la file d’attente de dépôt.

Dépôt
Le dépôt est le processus qui consiste à placer des messages dans la file d’attente de
dépôt. Le dépôt peut se faire grâce un connecteur de réception, un agent de transport ou un
dossier de collecte et relecture, pour accueillir les fichiers de message.

Catégoriseur
Le catégoriseur collecte les messages qui sont dans la file d’attente de dépôt.
Son rôle est de résoudre les destinataires, c.-à-d. de déterminer la liste des destinataires.
Il doit aussi résoudre le routage, c.-à-d. la destination de routage. Celle-ci peut être une
base de données de boîtes aux lettres ou de dossiers publics, mais aussi un connecteur
d’envoi, voire un serveur Exchange dédié à l’extraction des membres des groupes de
distribution.
Enfin, le catégoriseur convertit aussi le contenu du message selon les jeux de caractères
MIME définis et il applique les règles de stratégie et conformité de messagerie.

Envoi SMTP
Avec Exchange 2013 est apparu la notion de groupe de remise (Delivery Group). Cette
notion est reprise et appliquée dans Exchange 2016 sans changement majeur.
Un groupe de remise est un ensemble de serveurs Exchange 2010, Exchange 2013 ou
Exchange 2016, dotés du service de transport, qui est responsable de la remise du courrier
aux destinataires de routage.
Si la source et la destination du message appartiennent au même groupe de remise, la
destination de routage est évidente.
Si la source et la destination n’appartiennent pas au même groupe de remise, une
décision de routage est nécessaire. Dans ce cas, le message est transmis en fonction du
trajet au moindre coût vers le groupe de remise de destination.
Il existe différents types de groupes de remises.
Un DAG routable (Routable DAG) est constitué des serveurs qui sont membres d’un
DAG. Le message est remis au serveur qui détient la copie active de la base de données.
Dans ce cas, la remise est basée sur l’appartenance à un groupe de remise DAG et non sur
la topologie des sites Active Directory.
Un Groupe de remise de boîtes aux lettres (Mailbox delivery group) est constitué de
serveurs de transport qui ne sont pas membres d’un DAG. La remise est faite au serveur
de transport situé sur le site Active Directory du destinataire.
Un Serveur source de connecteur (Connector Source Server) est constitué de serveurs
de transport pour un connecteur d’envoi particulier. Si le connecteur est restreint aux
serveurs de transport du site Active Directory, seuls ces serveurs peuvent l’utiliser pour
acheminer le courrier. Sinon, tous les serveurs de transport de la forêt Active Directory
peuvent l’utiliser.
Un Site Active Directory (Active Directory Site) est constitué de serveurs de transport
qui appartiennent à des sites AD qui sont configurés en tant que site de hub ou des sites
avec un abonnement Edge. Par exemple, cela permet de faire transiter un message vers un
serveur d’un autre site qui a un abonnement Edge.
Une Liste de serveurs (Server List) est constituée de serveurs d’expansion du groupe
de distribution.
Service de transport de boîtes aux lettres

Figure 7‑4 Service de transport de boîtes aux lettres

Le service de transport de boîtes aux lettres (Mailbox Transport Service) s’exécute sur
le serveur de boîtes aux lettres.
Son rôle est de communiquer directement avec les bases de données de boîtes aux
lettres. Il est composé de deux services distincts qui sont détaillés ci-dessous.

Service de collecte de transport de boîte aux lettres


Le service de collecte de transport de boîte aux lettres (Mailbox Transport Submission
Service) a en charge de récupérer les messages sur la boîte aux lettres locale via RPC
(appel de procédure distant). Ensuite il les transmet via SMTP, au service de transport
sur le serveur de boîtes aux lettres local ou d’autres serveurs de boîtes aux lettres. Il ne
met pas les messages en file d’attente locale.

Service de remise de transport de boîte aux lettres


Service de remise de transport de boîte aux lettres (Mailbox Transport Delivery
Service) a en charge la réception des messages SMTP du service de transport. Puis il se
connecte à la base de données de boîte aux lettres locale via RPC Exchange pour remettre
le message.
Service de transport Edge
Le service de transport Edge (Edge Transport Service) s’exécute sur le serveur Edge.
L’installation du serveur Edge est optionnelle.
Si le serveur Edge est installé et configuré, tout le flux de messagerie envoyé ou reçu
d’Internet transite par le service de transport du serveur de transport Edge.
Son rôle est de filtrer les messages indésirables d’Internet. Il doit être configuré comme
serveur autonome dans le périmètre réseau ou zone démilitarisée (DMZ, demilitarized
zone) et il ne doit pas être un membre du domaine de l’AD.
Bien qu’il ne soit pas membre du domaine, le serveur de boîtes aux lettres poussent des
informations liées à la topologie de l’AD au serveur Edge. Cependant, celui-ci n’a pas la
possibilité d’aller chercher ces informations par lui-même.
La synchronisation se fait grâce à un mécanisme d’abonnement entre le serveur Edge
et le serveur de boîtes aux lettres. À partir du serveur Edge, vous devez créer un fichier
d’abonnement qui est importé dans le serveur de boîtes aux lettres.

Réception SMTP
Le courrier des serveurs de boîtes aux lettres internes et d’Internet est accepté sur le
connecteur de réception du serveur de transport Edge.
Les agents de blocage filtrent les messages indésirables d’Internet. En revanche, le
filtrage des programmes malveillants n’est pas disponible.
L’agent d’application de règles de transport à la charge d’appliquer les règles de
transport. Toutes les conditions de règle de transport des serveurs de boîtes aux lettres ne
sont pas disponibles, même si certaines actions de règles de transport sont spécifiques au
serveur de transport Edge.

Soumission
Dans le cas le plus fréquent, les messages entrent dans la file d’attente de soumission
grâce au connecteur de réception. Toutefois, les dossiers de collecte et de relecture sont
également disponibles pour accueillir les fichiers de message.

Catégoriseur
Il dépose le message dans une file d’attente de remise pour être remis aux destinataires
internes ou externes.

Envoi SMTP
Lors du processus d’abonnement du serveur de transport Edge à un site Active
Directory, deux connecteurs d’envoi ont été créés et configurés.
Le premier connecteur d’envoi est responsable de l’envoi des messages sortants aux
destinataires Internet.
Le second connecteur d’envoi est responsable de l’envoi des messages entrants
provenant d’Internet au service de transport d’un serveur de boîtes aux lettres disponible
dans le site Active Directory.
Safety Net
L’objectif de Safety Net est de fournir une sécurité supplémentaire lors de l’envoi d’un
message. Il s’agit d’une file d’attente qui stocke des copies des messages correctement
traités par le serveur.
Le composant Active Manager initie la retransmission des messages de cette file
d’attente, lors du basculement d’une copie passive d’une base de données de boîtes aux
lettres en copie active.
Active Manager est un composant du service Réplication de Microsoft Exchange
(Microsoft Exchange Replication Services), qui est détaillé dans le Chapitre 9 Notions de
haute disponibilité.
Il peut aussi l’initier après l’activation d’une copie retardée (lagged) d’une base de
données de boîtes aux lettres. La retransmission dépend de la durée de stockage des
messages dans Safety Net. Cette durée doit être supérieure ou égale au délai d’attente de la
copie retardée de la base de données de boîtes aux lettres.
Autrement dit, la valeur du paramètre SafetyNetHoldTime de la cmdlet Set-
TransportConfig doit être supérieure ou égale à la valeur de ReplayLagTime sur Set-
MailboxDatabaseCopy pour la copie retardée.
La durée par défaut de 2 jours pendant laquelle Safety Net stocke les copies des
messages avant qu’elles soient supprimées est modifiable. Par contre, vous ne pouvez pas
spécifier une taille limite maximale pour Safety Net.
Safety Net ne nécessite pas de DAG. Si un serveur de boîtes aux lettres n’appartient
pas à un DAG, les copies des messages remis sont stockées sur d’autres serveurs de boîtes
aux lettres dans le site Active Directory.
Si durant plus de 12 heures Safety Net n’est pas disponible, les messages sont
retransmis à partir du dispositif de sécurité de secours.
Configurer les règles de transport
Les règles de transport Exchange permettent de déclencher des actions spécifiques,
basées sur des conditions particulières, liées au transit des messages.
Les règles de transport proposent de très nombreuses conditions, exceptions et actions
pour mettre en place des stratégies de messagerie.
Elles peuvent être déployées afin de réagir aux demandes suivantes, comme par
exemple :
La création d’une clause d’exclusion de responsabilité,
L’analyse et le blocage des pièces jointes des messages,
L’acheminement des messages en fonction d’une liste de mots,
Le filtrage des messages électroniques en masse,
Le chiffrement / déchiffrement des messages,
La création d’une liste d’expéditeurs approuvés ou bloqués selon des règles,
etc.
Comme elles sont définies et stockées dans Active Directory (AD), elles s’appliquent à
tous les serveurs de boîtes aux lettres de votre organisation.
La réplication native de l’AD peut parfois entraîner des latences normales dans
l’application des règles de transport au sein de votre organisation.
Bien évidemment, ces règles de transport s’exécutent sur les serveurs de boîtes aux
lettres et non pas sur le client Outlook, Outlook sur le web, etc.

Priorité
La création d’une règle ne présente pas de grosses difficultés, notamment avec le
Centre d’administration Exchange dans le volet flux de messagerie. Cependant, il est
important de faire attention à l’ordre de priorité des règles.
Chaque règle se voit attribuer une priorité. La règle avec la priorité 0 est prioritaire sur
toutes les autres. Ensuite, c’est la règle avec la priorité 1, et ainsi de suite.

Figure 7‑5 Priorité des règles


Si vous modifiez une priorité, les priorités des autres règles sont automatiquement
recalculées.
De même, il est important de toujours tester l’application concrète de la règle.

Méthodologie de vérification
Avant d’appliquer une règle, il est important de l’évaluer. Le principe est d’évaluer les
situations suivantes et d’examiner si le résultat obtenu est conforme ou non avec le résultat
attendu.
Tester un message qui est censé correspondre à la règle,
Tester un message qui est censé ne pas correspondre à la règle,
Envoyer des messages à et par une personne de l’organisation,
Envoyer des messages à et par une personne extérieure à l’organisation,
Répondre à un message correspondant à la règle,
Tester des messages qui sont censés correspondre à plusieurs règles.
Pour vous aider, vous pouvez aussi sélectionner un des deux modes de test suivants
dans les propriétés de la règle de transport.
Le mode Test sans Conseils de stratégie permet d’envoyer à un destinataire défini un
message à chaque fois qu’un courrier électronique correspond à la règle.
Le mode Test avec Conseils de stratégie permet d’envoyer à l’expéditeur un message
à chaque fois qu’un courrier électronique correspond à la règle, mais aucune action de flux
de messagerie n’est faite. Cette fonctionnalité n’est disponible que si vous utilisez la
Prévention des pertes de données (DLP).
Les modes de test nécessitent d’ajouter et paramétrer l’action supplémentaire Générer
un rapport d’incident et l’envoyer à dans les propriétés de la règle. Il est possible que
vous soyez obligé de cliquer sur Plus d’options pour voir le bouton Ajoutez une action.

Problèmes courants
La règle de transport ne fonctionne pas alors que “tout est bon”
Modifiez la priorité de la règle pour qu’elle soit en priorité 0. Cela permet d’éliminer
des interactions avec d’autres règles.
Certaines règles de transport ne sont pas appliquées de façon cohérente dans
l’organisation
Lorsqu’une règle de transport nécessite de développer l’appartenance d’un groupe de
distribution pour connaître la liste de destinataires, celle-ci est mise en cache par le service
de transport. Ce cache s’intitule le cache des groupes étendus. Il est mis à jour au bout de
4 heures. Vous pouvez effacer le cache en redémarrant le service de transport Microsoft
Exchange exécuté sur le serveur. Au redémarrage, il sera recréé avec des informations à
jour.
La règle de transport ne fonctionne pas alors qu’elle est en priorité 0
Si votre environnement Exchange et Active Directory est très riche, il est possible que
la règle ne soit pas immédiatement disponible. Dans ce cas, il est conseillé d’attendre au
plus 24 heures avant de réessayer.
Le message d’origine est remplacé par celui de la clause d’exclusion de responsabilité
Dans ce cas, la règle liée à la clause d’exclusion de responsabilité s’applique
systématiquement et rend illisible le message d’origine. Dans ce cas, recherchez une
expression unique dans la clause d’exclusion de responsabilité et faites-en une exception
dans l’application de la règle de transport.
Les règles de transport spécifiques à la sécurité sont expliquées dans le chapitre suivant
consacré à la sécurité dans Exchange.
Prévention des pertes de données
La fonctionnalité de Prévention des pertes de données (DLP, Data Loss Prevention)
permet de contrôler si des informations sensibles sont transmises dans le texte des
messages électroniques ou leurs pièces jointes : numéro de carte bancaire, numéro de
passeport, numéro de sécurité sociale, etc.
La détection de ces numéros est faite grâce à des stratégies DLP.
Une stratégie DLP est un ensemble de règles de transport spécifiques. La création et le
paramétrage des règles d’une stratégie DLP est donc identique à ceux d’une règle de
transport. La création d’une stratégie génère des règles de transports correspondantes qui
se retrouvent dans le volet flux de messagerie du Centre d’administration Exchange.
Vous avez aussi la possibilité d’activer une stratégie, de la désactiver ou de la tester.
La prévention des pertes de données (DLP) est une fonction premium.

Créer une stratégie


Vous pouvez utiliser ou modifier des stratégies DLP fournies par Microsoft, ou bien,
vous pouvez créer vos propres stratégies.
Dans le Centre d’administration Exchange, le volet gestion de la conformité propose
l’onglet protection contre la perte de données.

Figure 7‑6 Créer une stratégie DLP

Dans ce cas, vous pouvez choisir d’utiliser les modèles de stratégie qui incluent déjà
certains types d’informations sensibles fournis par Microsoft, avec l’option Nouvelle
stratégie DLP à partir d’un modèle.
Figure 7‑7 Modèles DLP

À ce jour, les modèles de stratégie spécifiques à la France sont : Données


d’informations d’identification personnelle ​​(IIP)​​ en France, Données financières en France
et Loi sur la protection des données en France. Il existe aussi des modèles pour le Canada,
le Royaume-Uni, les États-Unis, l’Australie, le Japon, etc.
Vous pouvez aussi créer une stratégie DLP qui n’est pas basée sur un modèle existant.

Règles de transports
Une stratégie DLP est composée de conditions et de règles qui vérifient la présence
d’informations sensibles. Par exemple, vous pouvez définir une condition comme étant le
nombre de fois qu’un élément doit être trouvé pour réaliser une action.
Figure 7‑8 Règles

Lorsque la règle Permettre le remplacement de valeur est activée, l’utilisateur peut


envoyer son message malgré qu’il soit en violation avec la stratégie, quand l’objet du
message inclut le mot remplacer.
Si la règle Analyser mess. envoyés ext. - nbre faible est activée et que le comptage
d’informations sensibles contenues dans le message est inférieur à 9 alors l’utilisateur est
informé grâce à un conseil de stratégie.
Quand la règle Analyser mess. envoyés ext. - nbre élevé est activée et que le
comptage d’informations sensibles contenues dans le message est supérieur à 9 alors le
message est bloqué sauf si l’expéditeur fournit une justification professionnelle.
Si la règle Analyser les dépassements de limite de est activée et que l’analyse du
message n’est pas terminée alors le message est audité avec un haut niveau de gravité.
Lorsque la règle Pièce jointe non prise en charge est activée et que l’analyse de la
pièce jointe n’a pas pu se faire alors le message est audité avec un niveau de gravité
moyen.

Conseils de stratégie
Vous pouvez choisir d’informer les expéditeurs de messages électroniques que les
messages qu’ils sont en train de rédiger ne respectent pas les stratégies DLP de votre
organisation, grâce aux conseils de stratégie.

Figure 7‑9 Conseil de stratégie

Les conseils de stratégie sont similaires aux infos-courrier et ils s’affichent dans
Outlook ou Outlook sur le web.

Licences
Pour les utilisateurs d’Exchange Online, la protection contre la perte de données est
une fonctionnalité qui nécessite à ce jour une licence Exchange Online Plan 2.
Pour les utilisateurs d’Exchange 2016, la protection contre la perte de données est une
fonctionnalité qui nécessite une licence d’accès client (CAL) Exchange Enterprise.
Journalisation
La journalisation permet de collecter les messages électroniques échangés
quotidiennement au sein d’une organisation dans le but de contrôler leur conformité avec
les exigences réglementaires ou contractuelles.
Une fois que ces échanges sont enregistrés, il est possible de procéder à leurs
vérifications.
La journalisation standard est configurée au niveau d’une base de données de boîtes
aux lettres. Il n’y a pas de granularité plus fine sauf à configurer la journalisation
premium ou étendue. Celle-ci s’appuie sur la définition de règles de journal pour cibler
des destinataires individuels ou des membres de groupes de distribution. Pour utiliser la
journalisation premium, vous devez disposer d’une licence d’accès client (CAL)
Enterprise.

Règles de journal
Vous pouvez mettre en place des règles de journal afin de spécifier un ou plusieurs
destinataires dont les messages doivent être journalisés.
Tous les serveurs de boîtes aux lettres de l’organisation Exchange 2016 appliquent les
règles de journal, car celles-ci sont stockées dans Active Directory.
Dans le Centre d’administration Exchange, le volet gestion de la conformité propose
l’onglet règles de journal.
Les règles de journal sont une fonction premium.

Figure 7‑10 Règle de journal

États de journal
Un état de journal est généré par l’agent de journalisation à chaque fois qu’un message
satisfait une règle de journal.
L’état de journal inclut le message d’origine en pièce jointe. Le contenu de l’état de
journal comprend des informations comme l’adresse de messagerie de l’expéditeur, les
adresses de messagerie des destinataires, le sujet et l’ID interne du message d’origine.

Figure 7‑11 État de journal

Il est recommandé de créer une boîte aux lettres dédiée aux états de journal non remis.

Boîte aux lettres de journalisation


Tous les messages échangés avec le destinataire de journalisation sont copiés et
envoyés à une boîte aux lettres de journalisation.
Vous pouvez spécifier une seule boîte aux lettres de journalisation ou utiliser
différentes boîtes aux lettres de journalisation. Les boîtes aux lettres de journalisation
doivent être sécurisées car elles contiennent des informations sensibles. La réglementation
locale peut imposer des contraintes particulières pour garantir un accès autorisé et sécurisé
à ces boîtes aux lettres.
Vous pouvez aussi spécifier une boîte aux lettres de journalisation alternative en cas
d’indisponibilité de la boîte aux lettres de journalisation. Il ne peut y avoir qu’une seule
boîte aux lettres de journalisation alternative dans votre organisation.
TP 07A Créer une règle de transport
Objectif
Bob souhaite partager les messages qu’il reçoit avec l’administrateur.
L’objectif est de créer une règle de transport qui copie systématiquement tous les
messages envoyés à Bob dans la boîte aux lettres de l’administrateur.
Vous vérifierez l’application de la règle en faisant un test.
Les tâches à accomplir sont :
Créer une règle de transport
Vérifier la règle de transport

Solution
Créer une règle de transport

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur flux de messagerie : le volet central
s’actualise et donne accès aux onglets supplémentaires.
Cliquez sur l’onglet règles.
Dans la barre d’outils, cliquez sur le signe plus (+) : un menu apparaît.

Figure 7‑12 Ajout d’une règle

Ce menu propose soit de créer une règle avec l’assistant, soit de sélectionner et
paramétrer une des règles proposées.
Cliquez sur Créer une règle.
Dans la zone Nom, renseignez : Copie de Bob.
Dans la zone Appliquer cette règle si…, sélectionnez : Le destinataire est. Un pop-up
s’ouvre avec la liste des destinataires, ajoutez Bob Durand et cliquez sur OK. Si la
fenêtre du pop-up met du temps à s’afficher ou reste figée : fermez la fenêtre puis cliquez
sur le lien Sélectionner des contacts qui se trouve à côté de la liste déroulante.
Dans la zone Procéder comme suit…, sélectionnez : Envoyer le message en Cci vers.
Un pop-up s’ouvre avec la liste des destinataires, ajoutez Administrateur et cliquez sur
OK.

Figure 7‑13 Règle pour messages de Bob

Laissez les autres paramètres et cliquez sur le bouton Enregistrer.


Vérifier la règle de transport

Vous allez vérifier que l’administrateur reçoit bien les messages envoyés à Bob.
Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.
Démarrez Outlook.
Si des alertes de sécurité s’affichent, cliquez sur Oui pour les valider et accepter de
continuer. Ces messages d’alertes sont normaux dans la mesure où vous utilisez un
certificat auto-signé.
Créez et envoyez un message quelconque dont l’unique destinataire est Bob.
Ouvrez Outlook sur le web (ex-OWA) avec la commande suivante à taper dans le
navigateur web.
https://XSGMBx/owa
Éventuellement, vous devrez rajouter le site https://XSGMBx dans les sites de
confiance.
Lorsque l’écran Outlook sur le web s’affiche, connectez en tant que
NOVAx\Administrateur : vous devriez voir apparaître le message d’Alice envoyé à Bob.
Figure 7‑14 Message pour Bob reçu aussi par l’administrateur

Éventuellement, vous pourriez aussi vérifier que Bob a bien reçu son message.
Laissez la session d’Alice ouverte.

Résumé
Dans cet exercice, vous avez fait en sorte que tous les messages envoyés à Bob soient
automatiquement copiés dans la boîte aux lettres de l’administrateur.
Vous avez aussi vérifié le bon fonctionnement de la règle en envoyant un message
uniquement destiné à Bob de la part d’Alice.
TP 07B Créer un dédit de responsabilité
Objectif
Votre direction souhaite que tous les messages envoyés en interne et en externe dispose
du dédit de responsabilité suivant : “Ce message et toutes les pièces jointes (ci-après le
‘message’) sont confidentiels et susceptibles de contenir des informations couvertes par le
secret professionnel. Ce message est établi à l’intention exclusive de ses destinataires.
Toute utilisation ou diffusion non autorisée interdite. Tout message électronique est
susceptible d’altération. NOVA et ses filiales déclinent toute responsabilité au titre de ce
message s’il a été altéré, déformé ou falsifié.”
L’objectif est de créer une règle de transport qui applique ce dédit de responsabilité.
Vous vérifierez l’application de la règle en faisant un test.
Les tâches à accomplir sont :
Créer un dédit de responsabilité
Vérifier l’application du dédit de responsabilité

Solution
Créer un dédit de responsabilité
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur flux de messagerie : le volet central
s’actualise et donne accès aux onglets supplémentaires.
Cliquez sur l’onglet règles.
Dans la barre d’outils, cliquez sur le signe plus (+) : un menu apparaît.
Cliquez sur Appliquer les exclusions de responsabilité.
Dans la zone Nom, renseignez : Dédit de responsabilité.
Dans la zone Appliquer cette règle si…, sélectionnez : [Appliquer à tous les
messages].
Dans la zone Procédez comme suit…, l’action Ajouter une exclusion de
responsabilité est déjà sélectionnée. En face de cette ligne, cliquez sur Entrer du texte.
Dans la fenêtre qui s’ouvre, écrivez simplement : Nous ne sommes pas responsables
et cliquez sur OK.
Cliquez sur Sélectionner un : une fenêtre s’ouvre et vous propose d’inclure dans un
wrapper le texte, s’il est impossible d’appliquer l’exclusion de responsabilité. Cliquez sur
OK.

Figure 7‑15 Dédit de responsabilité

Laissez les autres paramètres et cliquez sur le bouton Enregistrer. Un pop-up


d’avertissement vous demande la confirmation d’appliquer cette règle à tous les
messages : cliquez sur Oui.
Vérifier l’application du dédit de responsabilité

Vous allez vérifier que le dédit de responsabilité d’affiche bien.


Normalement la session d’Alice est déjà ouverte sur le poste client. Sinon, ouvrez une
session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.
Démarrez Outlook.
Créez et envoyez un message quelconque dont l’unique destinataire est Bob.
Ouvrez Outlook sur le web (ex-OWA) avec la commande suivante à taper dans le
navigateur web.
https://XSGMBx/owa
Éventuellement, vous devrez rajouter le site https://XSGMBx dans les sites de
confiance.
Lorsque l’écran Outlook sur le web s’affiche, connectez en tant que NOVAx\Bob :
vous devriez voir apparaître dédit de responsabilité.
Figure 7‑16 Vérification du dédit de responsabilité

Résumé
Dans cet exercice, vous avez fait en sorte que tous les messages envoyés contiennent un
dédit de responsabilité.
Vous avez aussi vérifié l’apparition du dédit de responsabilité en envoyant un message
à Bob.
TP 07C Installer et paramétrer un serveur Edge
Objectif
L’objectif est de procéder à l’installation d’un serveur Edge avec l’interface graphique.
Les tâches à accomplir sont :
Configurer le réseau IP du futur serveur Edge
Renommer votre futur serveur Edge
Installer le Framework 3.5
Installer AD LDS
Paramétrer le suffixe DNS principal
Ajouter un couple A/PTR pour le serveur Edge
Monter un lecteur réseau sur les binaires d’installation d’Exchange
Installer le rôle de serveur Edge avec l’interface graphique
Créer une demande d’abonnement

Solution
Configurer le réseau IP du futur serveur Edge

Démarrez votre machine virtuelle XSGEDGEx.


Pour ouvrir une session sur une machine virtuelle, appuyez sur CTRL+ALT+FIN (et
non CTRL+ALT+SUPPR).
Ouvrez une session avec le compte local Administrateur sur XSGEDGEx.
Paramétrez la carte réseau.
Adresse IP : 192.168.y.x+60 : Autrement dit ajoutez 60 à x.
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.y.254
Serveur DNS préféré : 192.168.y.x. C’est l’adresse IP de votre DCx.
Serveur DNS auxiliaire : 194.2.0.20 (attention c’est 194 et non 192)
Renommer votre futur serveur Edge

Cette étape sert à donner un nom significatif à votre serveur Edge.


Ouvrez une session avec le compte local Administrateur sur XSGEDGEx.
Dans une invite de commande, tapez la commande suivante pour renommer votre
serveur en XSGEDGEx où x est le dernier octet de votre adresse IP.
SYSDM.CPL
Cliquez sur l’onglet Nom de l’ordinateur, puis cliquez sur le bouton Modifier et
changez le nom du serveur en XSGEDGEx où x est le dernier octet de votre adresse IP.
Lorsque l’assistant vous proposera de redémarrer votre serveur, faites-le.
Une fois que le serveur a redémarré, Ouvrez une session avec le compte local
Administrateur.
Dans une invite de commande, tapez la commande suivante pour vérifier que votre
ordinateur a bien été renommé en XSGEDGEx.
HOSTNAME
Installer le Framework 3.5

Ouvrez une session avec le compte local Administrateur sur XSGEDGEx.


Avec le Gestionnaire de serveurs, installez la fonctionnalité qui s’intitule
Fonctionnalités .NET Framework 3.5.
Si un message vous prévient qu’il manque un fichier source, vérifiez que vous avez
bien accès à Internet et poursuivez l’installation : le composant manquant sera installé
grâce à Windows Update.
Installer AD LDS

Cette étape permet de disposer d’une structure allégée d’un Active Directory pour
stocker les informations envoyées par le serveur de boîtes aux lettres. Si vous ne faites pas
cette étape, l’assistant graphique se charge de le faire pour vous par défaut.
Ouvrez une session avec le compte local Administrateur sur XSGEDGEx.
Avec le Gestionnaire de serveurs, installez le rôle Active Directory Lightweight
Directory Services. Si un pop-up vous demande d’ajouter composants supplémentaires,
acceptez-le.
Paramétrer le suffixe DNS principal

Cette étape oblige la résolution d’un nom d’ordinateur dans le domaine NOVAx.AD.
Ouvrez une session avec le compte local Administrateur sur XSGEDGEx.
Dans une invite de commande, tapez la commande suivante.
SYSDM.CPL
Cliquez sur l’onglet Nom de l’ordinateur, puis cliquez sur le bouton Modifier.
Dans la fenêtre Modification du nom ou du domaine de l’ordinateur, cliquez sur le
bouton Autres.
Dans la zone Suffixe DNS principal de cet ordinateur, tapez NOVAx.AD.
Figure 7‑17 Suffixe DNS principal

Lorsque l’assistant vous proposera de redémarrer votre serveur, faites-le.


Ajouter un couple A/PTR pour le serveur Edge
Ouvrez une session avec le compte de domaine NOVAx\Administrateur sur DCx.
Avec la console DNS, ajoutez un couple A/PTR pour le serveur Edge.

Figure 7‑18 Ajout enregistrement de ressources dans le DNS

Monter un lecteur sur les binaires d’installation d’Exchange


Ouvrez une session avec le compte local Administrateur sur XSGEDGEx.
Une fois que la session est ouverte, montez le fichier ExchangeServer2016-x64-
CU2.iso, qui contient les fichiers d’installation d’Exchange Server. Si vous préférez, vous
pouvez le dézipper dans le dossier local C:\XSG2016CU2.
Installer le rôle de serveur Edge avec l’interface graphique
Vous pouvez maintenant exécuter le programme d’installation d’Exchange. Pour cela
double-cliquez sur le programme setup.exe qui est présent dans le dossier d’installation
des binaires d’Exchange.
Figure 7‑19 Vérification des mises à jour

Cochez l’option Ne pas vérifier les mises à jour maintenant (Don’t check for updates
right now). Dans la mesure où l’installation est faite avec le Cumulative Update 2 intégré,
vous n’avez pas besoin dans l’immédiat de mises à jour éventuelles. Vous pourrez toujours
plus tard faire une mise à jour par vous-même.
Cliquez sur le bouton suivant : la copie des fichiers nécessaires à l’installation ainsi
que leur préparation débutent.
La fenêtre Introduction s’affiche.
Cliquez sur le bouton suivant : la fenêtre Contrat de licence apparaît.
Cochez la case J’accepte les termes du contrat de licence (I accept the terms in the
license agreement) puis cliquez sur le bouton suivant :la fenêtre Paramètres recommandés
s’affiche. Celle-ci propose par défaut d’activer le programme d’amélioration de
l’expérience utilisateur de Microsoft CEIP (Customer Experience Improvement Program)
ainsi le service de rapport d’erreurs Microsoft.
Laissez l’option par défaut et cliquez sur le bouton suivant : la fenêtre Sélection du
rôle de serveur s’affiche. Il s’agit de la fenêtre principale, où vous sélectionnez les rôles à
installer, ainsi que les outils de gestion.
Cochez la case Rôle de transport Edge (Edge Transport role). Dès que vous avez
coché la case, les autres rôles sont devenus grisés.

Figure 7‑20 Sélection du rôle Edge

Cochez aussi la case Installer automatiquement les rôles et les fonctionnalités


Windows Server requis pour Exchange Server (Automatically install Windows Server
roles and features that are required to install Exchange Server) puis cliquez sur le bouton
suivant : la fenêtre Espace et emplacement d’installation (Installation Space and
Location) s’affiche.
Laissez l’emplacement par défaut et cliquez sur le bouton suivant : la vérification de la
conformité de votre installation débute. Patientez plusieurs secondes avant de voir l’écran
s’animer.
Cliquez sur le bouton installer.
L’installation comprend 9 étapes et dure environ 10 minutes. La durée réelle de
l’installation dépend du matériel dont vous disposez.

Figure 7‑21 Installation Edge terminée

Cliquez sur le bouton terminer.


Redémarrez votre serveur.
Créer une demande d’abonnement
Ouvrez une session avec le compte local Administrateur sur XSGEDGEx.
Dans EMS, tapez la cmdlet suivante pour créer une demande d’abonnement.
New-EdgeSubscription -FileName C:\XSGEDGEx.xml -force
Traiter la demande d’abonnement
Ouvrez une session avec le compte de domaine NOVAx\Administrateur sur XSGMBx.
Copiez le fichier XSGEDGEx.xml du serveur Edge dans un dossier local du XSGMBx.
Dans EMS, tapez la cmdlet suivante pour traiter la demande d’abonnement sur une
seule ligne.
New-EdgeSubscription `
-FileData ([byte[]]$(Get-Content `
-Path C:\XSGEDGEx.xml `
-Encoding Byte -ReadCount 0)) `
-Site “Default-First-Site-Name” `
-CreateInternetSendConnector $True `
-CreateInboundSendConnector $True

Figure 7‑22 Traitement abonnement

À l’issue de l’exécution de la cmdlet, l’avertissement suivant s’affiche : “EdgeSync


requiert que les serveurs de transport Hub du site Active Directory Default-First-Site-
Name puissent résoudre l’adresse IP de XSGEDGE100.NOVA100.AD et se connecter à
cet hôte sur le port 50636.”
Vérifiez la création automatique des deux connecteurs d’envoi EdgeSync. Si vous avez
le connecteur d’envoi vers Internet, qui a été créé dans l’exercice du TP 05E Créer un
connecteur d’envoi Internet, désactivez-le. Dorénavant, vous utiliserez les connecteurs
EdgeSync.

Figure 7‑23 Connecteurs Edge

Vérifiez que le port 50636 est ouvert et répond sur ce serveur Edge. La vérification
peut être faite avec TELNET ou la commande NETSTAT -a.
Vérifiez aussi que vous pouvez résoudre l’adresse IP du serveur XSGEDGEx via son
nom FQDN (XSGEDGEx.NOVAx.AD) depuis le serveur XSGMBx avec un ping.
Si toutes les vérifications sont bonnes, lancez la synchronisation avec la cmdlet
suivante.
Start-EdgeSynchronization

Figure 7‑24 Installation réussie du Edge

Il ne vous reste plus qu’à envoyer un message quelconque à une adresse externe,
comme par exemple au Support SharePoint (claude.couderc@gmail.com) ou pour
l’Electricien (car33003@yahoo.com).
Toutefois, si vous utilisez le domaine NOVAx.AD, votre message sera rejeté à cause
des vérifications faite par le serveur SMTP destinataire.
En effet, celui-ci vérifie notamment qu’il existe un enregistrement de type A dans les
DNS publics pour le serveur SMTP, qu’une recherche inversée sur votre adresse IP est
cohérente avec le domaine de l’émetteur et qu’il existe un ordinateur enregistré comme
MX (Mail Exchanger) pour le domaine de l’émetteur.
Comme le domaine NOVAx.AD n’est conforme avec aucune de ces conditions, vos
messages seront rejetés.
Cependant, il est possible de vérifier que votre message est bien transmis au serveur
Edge, grâce à l’examen des files d’attentes.
Sur le serveur XSGEDGEx, tapez la cmdlet suivante pour afficher les files d’attentes.
Get-Queue

Figure 7‑25 Files d’attente du Edge

Un chapitre est consacré à l’étude et la manipulation des files d’attente.

Résumé
Dans cet exercice, vous avez installé puis configuré le rôle Edge. Celui-ci est
maintenant prêt et opérationnel.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Installer le rôle de transport Edge Exchange 2016 à l’aide de l’Assistant Installation :
https://technet.microsoft.com/fr-fr/library/dn635117(v=exchg.160).aspx
Vérifier une installation d’Exchange 2016 ¨ https://technet.microsoft.com/fr-
fr/library/bb125254(v=exchg.160).aspx
Mail flow and the transport pipeline : https://technet.microsoft.com/fr-
fr/library/aa996349(v=exchg.160).aspx
Routage du courrier : https://technet.microsoft.com/fr-
fr/library/aa998825(v=exchg.160).aspx
Non-Delivery Reports :
https://www.microsoft.com/technet/prodtechnol/exchange/guides/ExMgmtGuide/fb7830cf-
23c6-48a6-8759-526b7854ae39.mspx?mfr=true
Safety Net : https://technet.microsoft.com/fr-fr/library/jj657495(v=exchg.150).aspx
Règles de transport : https://technet.microsoft.com/fr-
fr/library/dd351127(v=exchg.150).aspx
Tester une règle de transport : https://technet.microsoft.com/fr-
fr/library/dn831862(v=exchg.150).aspx
Présentation technique de la Prévention des pertes de données (DLP) dans Exchange :
https://technet.microsoft.com/fr-fr/library/jj150527(v=exchg.150).aspx
Création d’une stratégie personnalisée de protection contre la perte de données (DLP) :
https://technet.microsoft.com/fr-fr/library/jj150550(v=exchg.150).aspx
Journalisation : https://technet.microsoft.com/fr-
fr/library/aa998649(v=exchg.150).aspx
Chapitre 8 Principes de sécurité

Sécurisation des messages


Le filtrage est conçu pour limiter la surface d’attaque possible des attaquants.
Les serveurs Exchange avec le rôle Edge aident à prévenir le spam en fournissant des
agents qui travaillent pour différentes couches de filtres anti-spam.
Les règles Edge sont aussi utilisées pour fournir un contrôle du flux des messages qui
sont envoyés ou reçus depuis Internet.
Gestion de l’anti-malwares
La protection contre les programmes malfaisants (malwares) est activée par défaut lors
de l’installation du serveur Exchange.
La mise à jour du moteur d’analyse et des définitions est automatique. Vous pouvez
déclencher une mise à jour manuelle de la protection grâce au script Update-
MalwareFilteringServer.ps1, fourni lors de l’installation d’Exchange, dans le dossier
%ExchangeInstallPath%Scripts.
.\Update-MalwareFilteringServer.ps1 `
-Id XSGMBx.NOVAx.AD
Dans le journal Application de Windows, les événements de la source FIPFS indiquent
l’état d’avancement de la mise à jour.
Il est possible de désactiver l’analyse grâce au script suivant à exécuter dans le dossier
%ExchangeInstallPath%Scripts.
.\Disable-AntimalwareScanning.ps1
Vous devrez redémarrer MSExchangeTransport pour que les modifications soient
prises en compte.
Restart-Service MSExchangeTransport
La réactivation de l’analyse est faite grâce au script suivant à exécuter dans le dossier
%ExchangeInstallPath%Scripts.
.\Enable-AntimalwareScanning.ps1
Vous devrez redémarrer MSExchangeTransport pour que les modifications soient
prises en compte.
Restart-Service MSExchangeTransport
Configuration anti-spam
Les fonctionnalités d’anti-spam doivent être activées grâce au script install-
AntispamAgents.ps1, fourni lors de l’installation d’Exchange, dans le dossier
%ExchangeInstallPath%Scripts.
Ce script doit être exécuté sur tous les serveurs de boîtes aux lettres, à partir du dossier
%ExchangeInstallPath%Scripts.
.\install-AntispamAgents.ps1
Vous devrez redémarrer MSExchangeTransport pour que les modifications soient
prises en compte.
Restart-Service MSExchangeTransport
La configuration est faite uniquement avec EMS.

Filtrer le contenu
Le filtrage de contenu analyse le message selon différents critères et attribue un score
SCL (Spam Confidence Level).
Ce score correspond à une échelle de classement d’un risque potentiel d’avoir un
courrier indésirable. Un message avec un score de 0 est peu probable d’être du courrier
indésirable, tandis qu’un score de 9 est fortement suspecté d’en être.
Il existe aussi une valeur négative de -1. Celle-ci indique que l’émetteur du message
figure sur une liste verte d’émetteurs sans danger.
Vous pouvez décider du comportement d’Exchange face à un message qui semble être
un courrier indésirable.
Si le SCL d’un message est supérieur ou égal à un seuil spécifique, Exchange peut le
supprimer sans préavis. Généralement cette action est généralement aux messages avec un
SCL élevé comme 8 ou 9.
Exchange peut aussi rejeter le message en prévenant l’expéditeur que son message était
un courrier potentiellement indésirable.
Enfin, il peut aussi mettre le message en quarantaine. Cette dernière possibilité vous
permet de vérifier si le message était un courrier indésirable ou non.
Pour modifier la configuration de l’agent de filtrage de contenu afin d’activer les
fonctionnalités de courrier indésirable, de spécifier que la boîte aux lettres de mise en
quarantaine du courrier indésirable est spam@questcequecest.com et mettre en
quarantaine les messages de niveau 5, rejeter ceux qui sont en niveau 7 et supprimer
ceux qui sont en niveau 8, tapez la commande suivante sur une seule ligne.
Set-ContentFilterConfig `
-SCLQuarantineEnabled $true `
-SCLRejectEnabled $true `
-SCLDeleteEnabled $true `
-SCLQuarantineThreshold 5 `
-QuarantineMailbox spam@questcequecest.com `
-SCLRejectThreshold 7 -SCLDeleteThreshold 8 `
-RejectionResponse “Message interdit car non conforme”
Vous pouvez utiliser la commande Add-ContentFilterPhrase pour définir des listes de
mots ou des expressions pour l’agent de filtrage de contenu, afin qu’il évalue le contenu
d’un message et applique un traitement de filtre approprié.
Pour modifier l’agent de filtrage de contenu afin d’ajouter la phrase Activité
inhabituelle à la liste d’expressions bloquées, tapez la commande suivante sur une seule
ligne.
Les messages qui contiendront la phrase Activité inhabituelle seront marqués comme
du courrier indésirable par l’agent de filtrage du contenu.
Add-ContentFilterPhrase -Influence BadWord `
-Phrase “Activité inhabituelle”
Malgré l’intérêt de cette commande, faites attention au choix des mots ou phrases car
l’analyse du texte est littérale. Même dans un contexte anodin, le message sera filtré et il
ne sera pas reçu par son destinataire.

Réputation de l’expéditeur
La fonctionnalité de réputation de l’expéditeur calcule un niveau de réputation de
l’expéditeur (SRL, Sender Reputation Level).
Ce calcul s’appuie sur l’analyse des commandes SMTP HELO et EHLO. Les
expéditeurs de courrier indésirable traficotent les instructions HELO/EHLO en indiquant
par exemple des adresses IP ou des domaines qui ne correspondent pas à l’adresse IP de la
provenance de la connexion.
La fonctionnalité de réputation de l’expéditeur effectue une requête DNS inverse en
soumettant l’adresse IP d’origine au DNS. Si le nom de domaine qui est renvoyé par le
DNS ne correspond pas au nom de domaine que l’expéditeur a soumis dans la commande
SMTP HELO/EHLO, le seuil SRL global de l’expéditeur est augmenté.
Un calcul statistique est aussi réalisé sur l’expéditeur qui tient compte du nombre de
messages en provenance de cet expéditeur et de la valeur du SCL de chaque message.
Un nombre de messages ayant obtenu récemment une valeur SCL élevée augmente le
seuil SRL global de l’expéditeur.
La fonction de réputation de l’expéditeur vérifie si la demande entrante provient d’un
proxy qui est ouvert ou non. Si c’est le cas le seuil SRL global de l’expéditeur est
augmenté.
Pour connaître les valeurs actuelles de la fonctionnalité de réputation de l’expéditeur de
votre organisation, tapez la cmdlet suivante.
La valeur de SRL est donnée par le champ SrlBlockThreshold. Par défaut, elle vaut 7.
Get-SenderReputationConfig

Figure 8‑1 Configuration par défaut (vue partielle)

Pour configurer les paramètres de réputation de l’expéditeur, afin de bloquer 48 heures


tous les expéditeurs dont le niveau de réputation de l’expéditeur dépasse 9, tapez la
commande suivante sur une seule ligne.
Set-SenderReputationConfig `
-SenderBlockingEnabled $true `
-SrlBlockThreshold 9 -SenderBlockingPeriod 48
Faites attention qu’une valeur élevée du niveau de réputation de l’expéditeur
(paramètre SrlBlockThreshold) peut générer de plus nombreux faux positifs, qui
rejetteront à tort des messages valides.

Filtrer les expéditeurs


Pour filtrer les expéditeurs, vous utilisez une liste d’adresses SMTP ou de domaines
qui n’ont pas l’autorisation d’envoyer des messages aux destinataires de votre
organisation.
Pour modifier la configuration de l’agent de filtrage des expéditeurs afin de bloquer les
messages sans expéditeur, ainsi que les messages provenant de questcequecest.com et de
tous ses sous-domaines, tapez la commande suivante sur une seule ligne.
Set-SenderFilterConfig `
-BlankSenderBlockingEnabled $true `
-BlockedDomainsAndSubdomains questcequecest.com

Filtrer les destinataires


Le filtrage des destinataires permet de rejeter les messages destinés à des destinataires
spécifiques de votre organisation ou de refuser les messages adressés à des adresses SMTP
inexistantes dans votre organisation.
Pour modifier la configuration de l’agent de filtrage des destinataires afin d’activer la
liste des destinataires bloqués et rejeter les messages adressés à bob@nova.fr, tapez la
commande suivante sur une seule ligne.
Set-RecipientFilterConfig `
-BlockListEnabled $true `
-BlockedRecipients bob@nova.fr

Fonctionnalité de répulsion
Comme le protocole SMTP indique si le destinataire d’un message électronique est
connu ou non, certains attaquants cherchent à exploiter cette information afin de savoir si
une adresse électronique est valide ou non dans votre organisation.
Ce type d’attaque vise à recueillir des adresses électroniques valides afin de les ajouter
à une base de données de courrier indésirable.
La fonctionnalité de répulsion consiste à retarder les réponses du serveur SMTP.
Lorsque la répulsion est configurée, le serveur SMTP attend 5 secondes avant de renvoyer
l’erreur 550 5.1.1 User unknown. Cette pause artificielle rend l’automatisation de type
d’attaque plus complexe.
Pour configurer un délai d’attente de 10 secondes avant que le protocole SMTP ne
retourne l’erreur 550 5.1.1 User unknown sur le connecteur de réception par défaut du
serveur de transport Edge EdgeX, vous tapez la commande suivante sur une seule ligne.
Set-ReceiveConnector “Default internal receive connector EdgeX” -TarpitInterval
00:00:10
Exchange Online Protection
Par ailleurs, Microsoft propose aussi que la protection contre les programmes
malfaisants et les spams s’appuie sur sa solution cloud : EOP (Exchange Online
Protection).
EOP (Exchange Online Protection) est un service de filtrage du courrier électronique
du cloud. C’est un service hébergé dans différents centres de données. En cas
d’indisponibilité d’un centre, les messages électroniques sont routés vers un autre centre
de données sans interruption du service.
Cet équilibrage de charge entre les centres de données est fait au sein d’une région :
Amérique, Brésil, EMEA (Europe, Moyen-Orient, Afrique), Asie-Pacifique (APAC).
Lorsqu’un courrier indésirable ou un programme malveillant est détecté dans une pièce
jointe quelconque, EOP peut supprimer l’intégralité du message ou toutes les pièces
jointes au message.
Par défaut, EOP protège les boîtes aux lettres Microsoft Exchange Online. Il peut aussi
être utilisé de façon autonome avec une version Exchange Server 2016 dans vos locaux. Il
peut aussi fonctionner dans un environnement hybride.
Dans le cas de la solution autonome, la configuration est différente si votre service est
Exchange Online Protection ou Office 365 avec Exchange Online.
Dans le cas d’Office 365 avec Exchange Online, vous devrez activer l’Assistant
Configuration hybride dans EAC. Cet assistant crée les connecteurs vers EOP pour vous.
Si votre service est Exchange Online Protection, vous devez créer les connecteurs vers
EOP. Bien que les paramètres soient évidemment spécifiques, la configuration des
connecteurs est similaire à celle qui a été vue dans les chapitres précédents.
Pour suivre la configuration reportez-vous aux explications détaillées qui sont
présentées sur le site de Microsoft.
Configurer votre service EOP : Exchange Online Protection http://coudr.com/xsg012

Fonctionnalités EOP
EOP offre une vaste gamme de protections contre les messages indésirables ou
malveillants, qui permet de filtrer jusqu’à 100 % des virus connus et 99 % du courrier
indésirable.
Pour le filtrage de connexion, EOP examine l’adresse IP de l’expéditeur d’origine et il
utilise aussi des listes rouges et vertes d’adresses IP statiques configurables par
l’utilisateur ainsi qu’une liste de DNS dynamiques bloqués gérée par Microsoft.
Concernant le filtrage des expéditeurs, EOP examine les informations sur les
expéditeurs SMTP. Ce filtre permet aux administrateurs de configurer les expéditeurs
autorisés et proscrits par domaine et adresse de messagerie.
Le filtrage d’ID d’expéditeur repose sur une structure d’ID d’expéditeur pour vérifier
que l’expéditeur n’usurpe pas l’identité d’un autre. En effet, l’ID de l’expéditeur est filtré
avec les enregistrements de ressources SPF (Sender Policy Framework) supplémentaires
dans le DNS. En fonction de l’analyse, le serveur acceptera ou non le message. En cas de
refus, il peut supprimer le message, sans chercher à lui répondre ou augmenter le SCL
(Spam Confidence Level).
Vous pouvez aussi configurer EOP pour autoriser et bloquer des messages
électroniques adressés à certains destinataires de votre organisation. EOP, via des requêtes
de service de domaine Active Directory, vérifie que le destinataire existe dans le service
de domaine AD.
EOP examine également le contenu du message lui-même, notamment la ligne Objet et
le corps du message. Par exemple, vous pouvez indiquer des mots interdits.
EOP intègre une technologie qui permet aux administrateurs d’empêcher l’arrivée dans
leur environnement de faux rapports de non-remise (NDR) générés à partir d’adresses
d’expéditeurs usurpées.
Sécuriser POP3 et IMAP4
Sécuriser POP3
Vous pouvez définir les options d’authentification des services POP3 et IMAP4. Par
exemple, vous pouvez utiliser un chiffrement TLS et configurer les ports de
communication avec les clients.
Pour exiger le chiffrement TLS (valeur 3 du paramètre LoginType), vous pouvez le
faire grâce à la cmdlet suivantes.
Normalement, c’est la valeur par défaut mais elle a pu être désactivée.
Vous devrez aussi redémarrer les services POP3 pour que votre modification prenne
effet. Faites attention qu’il existe un service nommé POP3 sur le serveur d’accès au client
et qu’il existe un service POP3BE sur le serveur de boîte aux lettres (BE signifie Back
End). Il faut redémarrer ces deux services.
Set-PopSettings -Server XSGMBx -LoginType:3
Vous pouvez aussi activer la journalisation et indiquer l’emplacement E:\logspop3,
avec la cmdlet suivante.
Set-PopSettings -ProtocolLogEnabled $true `
-LogFileLocation ” E:\logspop3”

Sécuriser IMAP4
Le principe de la sécurisation d’IMAP4 est strictement identique à celui de POP3.
Au lieu d’utiliser la cmdlet Set-PopSettings, vous utilisez la cmdlet Set-IMAPSettings.
Bien qu’il existe de très subtiles différences, par exemple sur les plages de valeurs
acceptées de certains paramètres, les principaux paramètres sont strictement identiques
entre les deux cmdlets.
Information Rights Management
La fonction de gestion des droits relatifs à l’information (IRM, (Information Rights
Management) est une technologie qui protège en permanence les informations sensibles
présentes dans les messages électroniques et leurs pièces jointes.
AD RMS (Active Directory Rights Management Services) est un rôle Windows Server
qui doit être installé et configuré pour utiliser IRM.
L’objectif de IRM est de contrôler les droits des destinataires des messages
électroniques.
Concrètement, vous pouvez empêcher que les destinataires procèdent à des
manipulations que vous n’avez pas autorisées, comme par exemple le transfert du message
à d’autres destinataires, ou son impression et celle de ses pièces jointes. Vous pouvez aussi
interdire de copier-coller son contenu, ou définir une date d’expiration afin que le contenu
ne puisse plus être consulté après une période de temps déterminée.
Vous définissez ces comportements via des règles de transport ou des règles dans
Outlook. Outlook et Outlook sur le web sont tous les deux des clients compatibles avec
IRM.
Les stratégies de conformité s’appliquent aussi aux messages chiffrés avec IRM. Par
exemple, l’utilisateur ne peut pas se servir d’IRM pour tenter d’éviter une Conservation
inaltérable de ces messages.
Quand un message est protégé par AD RMS, un certificat XrML (eXtensible Rights
Markup Language) avec la liste des actions autorisées est intégré dans le message.
La fonction de gestion des droits relatifs à l’information est une fonction premium qui
nécessite une licence d’accès au client Enterprise.
Disponibilité gérée
Avec l’apparition de fermes de serveurs dans le cloud, il a fallu que Microsoft invente
de nouveaux outils pour réduire l’indisponibilité des serveurs afin d’apporter une solution
d’haute disponibilité satisfaisante.
Dans Exchange 2016, Exchange 2013 et Exchange Online, la fonctionnalité native
Disponibilité gérée (Managed Availability) supervise en permanence l’environnement
Exchange pour détecter les problèmes et procéder à des actions correctrices.
Elle analyse des centaines de paramètres d’intégrité par seconde. Si elle détecte un
élément incorrect, il est corrigé sans intervention humaine. Toutefois, si elle ne peut pas le
corriger, il est enregistré dans la journalisation des événements.
L’originalité de la disponibilité gérée est aussi de partir du point de vue de l’utilisateur.
Par exemple, elle vérifie concrètement si le service Exchange (envoyer d’un message,
utiliser Outlook sur le web, etc.) est réellement assuré et sans erreur.
Pour cela, elle essaye de se connecter à une boîte aux lettres avec Outlook sur le web
puis elle cherche à envoyer un message. De même, elle contrôle si les temps de réponses
sont acceptables ou non.
Cette fonctionnalité s’appuie sur les services Service de gestionnaire d’intégrité
Exchange (Exchange Health Manager Service) et Processus de travail du gestionnaire
d’intégrité Exchange (Exchange Health Manager Worker process).
Ces services exploitent les trois principaux composants asynchrones qui fonctionnent
en permanence.
Le rôle d’une sonde (probe) est de prendre et collecter les mesures sur le serveur. Ces
mesures sont transmises au moniteur.
Le moniteur (monitor) détermine l’intégrité ou non de l’élément grâce à des règles
stockées dans des fichiers au format XML du dossier
%ExchangeInstallPath%bin\Monitoring\config. Ces fichiers servent aussi aux sondes. Il
n’est pas conseillé de les modifier.
Le rôle des répondeurs (responders) est de procéder aux actions de récupération et
d’escalade, comme par exemple, le redémarrage d’un pool d’applications, d’un service ou
du serveur ou d’activer une copie passive de bases de données. En cas d’échecs des
remédiations, une notification est enregistrée dans le journal d’événements.
L’infrastructure du journal des événements du canal pourpre de Windows est utilisée
pour stocker les résultats d’éléments de travail.
Les boîtes aux lettres d’intégrité sont utilisées pour l’activité de sondage. Plusieurs
boîtes aux lettres d’intégrité seront créées sur chaque base de données de boîtes aux lettres
qui existe sur le serveur.
Protection des données natives Exchange
La singularité de la protection des données natives d’Exchange (Exchange Native Data
Protection) est de protéger les données des boîtes aux lettres, sans être obligé de faire de
sauvegardes traditionnelles.
L’intérêt des sauvegardes est toujours entier quand vous devez garder un historique des
données, pour des raisons légales, juridiques ou autres.
Cependant de nombreuses organisations ne font des copies de bases que pour se
prémunir d’une perte de données. C’est la raison pour laquelle Microsoft propose
d’assurer la protection des données actives grâce aux fonctionnalités d’Exchange 2016
présentées ci-dessous.

Période de rétention
Quand un élément de boîte aux lettres est supprimé par l’utilisateur, Exchange le fait
disparaître de l’affichage mais il ne le supprime pas complètement.
Lorsqu’un élément de la boîte aux lettres est supprimé des éléments supprimés, ou
lorsqu’il est supprimé de manière définitive (à l’aide des touches Maj+Suppr), il est
déplacé dans le dossier Éléments récupérables (Recoverable Items). Dans les anciennes
versions, cette fonctionnalité était appelée dumpster.
Tant que les éléments sont dans le dossier Éléments récupérables, l’utilisateur peut les
récupérer par lui-même grâce à Outlook ou Outlook sur le web.

Figure 8‑2 Récupérer les éléments supprimés

Le dossier Éléments récupérables réside dans une sous-arborescence de la boîte aux


lettres, non accessible à l’utilisateur. Le dossier a lui-même ses sous-dossiers.
Le dossier Suppressions (Deletions) contient les éléments supprimés du dossier Éléments
supprimés. Grâce à la fonctionnalité Récupérer des éléments supprimés d’Outlook et
Outlook Web App, l’utilisateur peut l’afficher.
En cas d’activation de la conservation inaltérable ou la conservation pour litige, le
dossier Versions (Versions) contient les copies d’origine et modifiées des éléments
supprimés.
En cas d’activation de la conservation pour litige ou la récupération d’élément unique,
le dossier Purges (Purges) contient tous les éléments marqués pour être purgés de la base
de données de boîte aux lettres.
En cas d’activation de l’enregistrement d’audit, le dossier Audits (Audits) contient les
entrées du journal d’audit.
En cas d’activation de l’archive permanente, le dossier Blocage de découverte
(DiscoveryHolds) contient les éléments qui satisfont les paramètres de demande de mise
en attente et qui sont marqués pour être purgés de la base de données de boîte aux lettres.
Le dossier Journalisation du calendrier (Calendar Logging) contient les modifications du
calendrier réalisées dans une boîte aux lettres.
Les éléments présents dans le dossier Éléments récupérables ne sont pas comptés dans
le calcul du quota de l’utilisateur. Toutefois, le dossier lui-même à son propre quota de 30
Go par défaut. Une alerte est générée lorsque sa taille atteint 20 Go.
Pour modifier le quota du dossier Éléments récupérables d’Alice Martin à 50 Go, vous
pouvez taper la commande suivante sur une seul ligne.
Set-Mailbox ‘Alice Martin’ `
-RecoverableItemsQuota 50GB
Pour modifier l’alerte du quota du dossier Éléments récupérables d’Alice Martin à 40
Go, vous pouvez taper la commande suivante sur une seul ligne.
Set-Mailbox ‘Alice Martin’ `
-RecoverableItemsWarningQuota 40GB
Par défaut, la période de rétention des éléments supprimés définitivement est de 14
jours et de 30 jours pour une boîte aux lettres supprimée.
Vous pouvez modifier ces valeurs par défaut. Si vous ouvrez le Centre d’administration
Exchange, dans le volet de fonctionnalités, cliquez sur serveurs puis dans les onglets,
cliquez sur bases de données.
Cliquez sur le nom d’une base de données pour la sélectionner et dans la barre d’outils,
cliquez sur Modifier (crayon).
Quand la base de données s’affiche, cliquez sur limites dans le volet.
Figure 8‑3 Limites de la base

Dans cette fenêtre, vous pouvez modifier les valeurs par défaut. Vous pouvez aussi
cochez la case Ne pas supprimer d’éléments définitivement tant que la base de
données n’est pas sauvegardée. Si cette case est cochée les éléments supprimés seront
gardés, même s’ils ont dépassé la période de rétention, tant qu’une sauvegarde valide
n’aura pas été faite.
Quotidiennement, une maintenance du contenu est faite pour purger les éléments à
supprimer définitivement. Par défaut, cette maintenance est faite entre 1 heure et 5 heures
du matin. Toutefois, vous pouvez modifier ces valeurs par défaut.
Dans la fenêtre des propriétés de la base, cliquez sur maintenance dans le volet.

Figure 8‑4 Maintenance de la base


Découverte électronique et conservation inaltérables
Avec la Découverte électronique et conservation inaltérables (In-Place Hold) vous
définissez les éléments que vous souhaitez mettre en attente et pour quelle durée.
La sélection des éléments à mettre en attente se fait grâce à l’utilisation de mots-clés,
ou du choix de l’expéditeur ou du destinataire, ainsi qu’en fonction des dates de début et
de fin et du type de messages.

Figure 8‑5 Conservation inaltérable BAL d’Alice

Dans l’exemple ci-dessus de la Conservation inaltérable des messages à destination


d’Alice de la part d’Éric, si Alice supprime son message celui-ci sera gardé pour la durée
spécifiée (non visible sur la copie d’écran). Si Alice modifie l’original, celui-ci et le
message modifié seront aussi conservés.
L’utilisation de ces fonctionnalités peut se faire sans que l’utilisateur le sache. La
conservation peut être limitée dans le temps (1 an, 5 ans, etc.) ou permanente, si aucune
durée n’est spécifiée.
Il faut être membre du groupe Gestion de la découverte (Discovery Management), ou
disposer des rôles correspondants : Legal Hold et Mailbox Search pour bénéficier de
toutes les fonctionnalités liées à une Conservation inaltérable. Notamment, la possibilité
de faire des recherches dans l’index de la découverte.
Par défaut, l’administrateur Exchange ne dispose pas de ces rôles. Il peut définir un
blocage mais il ne pourra pas faire une recherche dans le résultat, sauf s’il s’attribue les
rôles.
Figure 8‑6 Blocages sur place

La Découverte électronique et conservation inaltérables est une fonction premium qui


nécessite une licence d’accès au client Enterprise.
Depuis Exchange Server 2016, il est dorénavant possible d’inclure les Dossiers Publics
dans la découverte automatique.
Pour construire l’index de recherche de la découverte, Microsoft a introduit la même
technologie que celle utilisée dans SharePoint Server, à savoir le moteur de recherche
FAST.
La recherche dans les boîtes aux lettres avec une Découverte électronique et
conservation inaltérables ou pour lesquelles la récupération d’élément unique (cf. ci-
dessous) est activée, se fait grâce à l’outil Rechercher (loupe).

Figure 8‑7 Recherche

Vous pouvez demander une estimation de la taille et du nombre d’éléments qui seront
retournés, avant de voir les résultats.
Figure 8‑8 Estimation de la recherche

Si vous faites votre première recherche, il est possible que vous obteniez une erreur
avec un message comme celui-ci :
MapiExceptionMultiMailboxSearchFailed
Pour résoudre le problème, essayez les manipulations suivantes :
Arrêtez les services Microsoft Exchange Search et Microsoft Exchange Host Controller
Stop-Service MSExchangeFastSearch
Stop-Service HostControllerService
Ouvrez l’emplacement où se trouve votre base de données et cherchez le dossier de
catalogue, dont le nom est un GUID. Sous ce dossier, vous trouverez les sous-dossiers :
indexmeta, journal et ms.
Supprimez entièrement le dossier de catalogue.
Démarrez les services Microsoft Exchange Search et Microsoft Exchange Host Controller.
Start-Service HostControllerService
Start-Service MSExchangeFastSearch
Recommencez la recherche.

Figure 8‑9 Résultats de la recherche


Éventuellement, vous pouvez copier les résultats de la recherche dans une boîte aux
lettres de découverte, comme par exemple la Boîte aux lettres de détection (Discovery
Search Mailbox).

Figure 8‑10 Copie des résultats

L’utilisateur habilité peut ajouter la Boîte aux lettres de détection, comme boîte aux
lettres supplémentaires dans Outlook sur le web ou Outlook. Les résultats de recherche
sont classés sous le nom de la Conservation inaltérable : Alice, Alice éléments supprimés,
Bob, etc.
Pour exporter le contenu de cette boîte aux lettres de découverte, vers le dossier
Projets secrets de la boîte aux lettres de Francine pour tous les éléments qui contiennent
le mot Vrroom, vous pouvez taper la cmdlet suivante.
Search-Mailbox `
“Boîte aux lettres de détection” `
-SearchQuery ‘Vrroom’ `
-TargetMailbox “Francine Lefebvre” `
-TargetFolder “Projets secrets” -LogLevel Full

Figure 8‑11 Export

Récupération d’élément unique


La récupération d’élément unique (Single Item Recovery) d’une boîtes aux lettres
permet de conserver dans le dossier Éléments récupérables les messages supprimés
définitivement par l’utilisateur jusqu’à l’expiration de leur période de rétention.
L’administrateur peut ainsi récupérer les messages supprimés définitivement par
l’utilisateur avant l’expiration de la période de rétention des éléments supprimés.
Cette fonctionnalité est activée par défaut dans Exchange Online, et elle est désactivée
dans Exchange 2016 et Exchange 2013.
Pour activer la récupération d’élément unique sur la boîte aux lettres d’Alice Martin,
tapez la commande suivante sur une seule ligne.
L’application du paramètre de récupération d’élément unique peut prendre jusqu’à 1
heure avant d’être effective.
Set-Mailbox -Id “Alice Martin” `
-SingleItemRecoveryEnabled $True
La recherche des éléments purgés peut se faire via EAC, exactement comme la
Découverte électronique et conservation inaltérables. Il faut d’ailleurs disposer des mêmes
autorisations pour faire la recherche.
En outre, la procédure est strictement identique à celle présentée dans le chapitre
précédent.

Gestion des enregistrements de messagerie


Au fil du temps, les messages électroniques s’accumulent dans les boîtes aux lettres.
Afin de lutter contre le risque d’obsolescence des informations et pour des raisons de
sécurité, certaines entreprises ont opté pour des solutions drastiques, comme par exemple
la suppression de tous les messages de plus d’un an.
Sans être aussi extrême, certains utilisateurs créent des règles dans leur client Outlook
pour classer leurs messages entrants et sortants. D’autres utilisateurs préfèrent classer
manuellement les messages dans une arborescence qu’ils ont créés. Enfin d’autres
préfèrent sauvegarder une copie des messages dans SharePoint afin de les retrouver plus
facilement.
Le constat qui s’impose c’est que les messages électroniques possèdent un cycle de vie
comme les documents et fichiers.
La gestion des enregistrements de messagerie (MRM, Messaging Records
Management) permet de gérer le cycle de vie de la messagerie et de réduire les risques
juridiques associés au courrier électronique dans Exchange 2016, Exchange 2013 et
Exchange Online.

Balise de rétention
Une balise de rétention définit l’action à exécuter à l’issue de la durée de rétention aux
éléments d’une boîte aux lettres, comme des messages électroniques et la messagerie
vocale.
Il existe différentes actions possibles.
L’action Supprimer et autoriser la récupération permet à l’utilisateur de récupérer
des éléments supprimés avant que la période de rétention des éléments supprimés ne soit
atteinte.
L’action Supprimer définitivement permet de supprimer l’élément sans possibilité de
récupération. Cette action est équivalente à la suppression de l’élément du dossier
Éléments récupérables.
L’action Déplacer vers les archives permet de déplacer l’élément vers la boîte aux
lettres d’archivage de l’utilisateur, lorsqu’elle existe. Si elle n’existe pas, aucune action
n’est effectuée.
L’action Marquer comme limite de rétention passée permet de marquer un élément
comme expiré. Dans Outlook 2010 ou versions ultérieures et dans Outlook Web App, il est
affiché avec la notification Cet élément a expiré et Cet élément expirera dans 0 jours.
Cette action n’est disponible qu’avec EMS.
Onze balises de rétention sont livrées avec l’installation d’Exchange 2016. EAC n’en
affiche que dix, car la dernière est particulière.

Figure 8‑12 Balises par défaut

Bien que les balises livrées devraient correspondre à la plupart des besoins, vous
pouvez créer des balises de rétention, et sélectionnez leur type. Il existe trois types de
balise.
Une balise de stratégie par défaut (DPT) s’applique automatiquement aux éléments
de toute la boîte aux lettres sur lesquels aucune balise de rétention n’est appliquée
directement ou par héritage.
Une balise de stratégie de rétention (RPT) s’applique automatiquement à un dossier
par défaut, comme par exemple Boîte de réception, Éléments supprimés et Éléments
envoyés. L’action Déplacer vers les archives n’est pas disponible pour ce type de balise.
Une balise personnelle s’applique manuellement aux éléments et aux dossiers.
Une fois les balises de rétention définies, vous les ajoutez à une stratégie de rétention
que vous appliquez ensuite à des utilisateurs.
Les utilisateurs peuvent aussi utiliser directement les balises et les appliquer à travers
Outlook.
Figure 8‑13 Balise dans Outlook

Les balises personnelles sont une fonction premium. Les boîtes aux lettres avec des
stratégies contenant ces balises nécessitent une licence d’accès au client Enterprise ou une
licence d’archivage Exchange en ligne.

Stratégie de rétention
Afin de pouvoir appliquer des balises de rétention à une boîte aux lettres, elles doivent
être ajoutées à une stratégie de rétention, et la stratégie doit être associée à la boîte aux
lettres.
Si vous modifiez une stratégie de rétention, cette modification prennent impacte
automatiquement toutes les boîtes aux lettres auxquelles la stratégie est appliquée.
Une boîte aux lettres ne peut pas avoir plusieurs stratégies de rétention.
Dans Exchange Online, il existe une stratégie de rétention par défaut qui est appliquée
automatiquement aux nouvelles boîtes aux lettres.
Dans Exchange 2016, la stratégie de rétention par défaut est appliquée
automatiquement lors de la création d’une archive et que vous n’avez pas précisé de
stratégie de rétention.
Deux stratégies de rétention sont livrées avec l’installation d’Exchange 2016. EAC
n’en affiche qu’une, car la dernière est particulière.
Figure 8‑14 Stratégies de rétention par défaut

Si vous associez une balise d’archivage par défaut avec une balise de suppression par
défaut, vous devez vous assurer que la balise d’archivage par défaut ait un âge de rétention
inférieur à la balise de suppression par défaut.
Par exemple, vous avez une balise qui déplace les éléments concernés vers la boîte aux
lettres d’archive au bout de 3 ans, et une balise qui supprime les éléments de la boîte aux
lettres au bout de 5 ans. Au bout de 5 ans, les éléments des boîtes aux lettres principales et
d’archivage seront supprimés.

Suspension des stratégies


Lorsqu’un utilisateur est absent pour une longue durée, sans possibilité d’accéder à ses
messages, il risque de perdre certains d’entre eux à cause des stratégies de rétention. En
effet, une stratégie a pu les déplacer dans la boite aux lettres d’archive ou les supprimer.
Afin d’éviter ce genre de situation, vous avez la possibilité de suspendre l’application
des stratégies sur la boite aux lettres de l’utilisateur concerné pour une durée prédéfinie.
Pour suspendre l’application des stratégies de la boite aux lettres de Bob Durand du
1.1.2021 au 1.1.2023, tapez la commande suivante sur une seule ligne.
Set-Mailbox ‘Bob Durand’ `
-RetentionHoldEnabled $True `
-StartDateForRetentionHold ‘1/1/2021’ `
-EndDateForRetentionHold ‘1/1/2023’

Assistant Dossier Géré


Le processus de gestion des enregistrements de messagerie est piloté par l’Assistant
Dossier Géré (Managed Folder Assistant). Son rôle est d’exécuter les stratégies de
rétention.
Pour connaître le cycle de traitement des boîtes aux lettres par l’assistant dossier géré,
tapez la commande suivante sur une seule ligne.
Get-MailboxServer | `
FT Name,ManagedFolderWork* -a
Pour traiter immédiatement la boîte aux lettres de Bob Durand, tapez la commande
suivante.
Start-ManagedFolderAssistant -Id ‘Bob Durand’

Groupe de disponibilité de base de données


Les bases de données de boîtes aux lettres et les données qu’elles contiennent sont les
composants les plus critiques d’une organisation Exchange.
C’est la raison pour laquelle Exchange 2016 intègre la disponibilité élevée dans
l’architecture des bases données, grâce aux groupes de disponibilité des bases de données
(DAG, Database Availability Group).
C’est aussi la dernière brique qui permet d’assurer la continuité de la messagerie dans
l’organisation et la protection des données natives d’Exchange, sans être obligé de faire de
sauvegardes traditionnelles
Chaque serveur de bases de données de boîtes aux lettres peut faire partie d’un DAG.
Un DAG est un groupement de serveurs de bases de données qui fournit la récupération
automatique de bases de données. Un DAG peut inclure jusqu’à 16 serveurs de boîtes aux
lettres.
Tout serveur dans un DAG peut accueillir une copie d’une base de données de boîtes
aux lettres à partir de n’importe quel autre serveur dans le DAG.
Par exemple, vous avez trois serveurs de bases de données qui appartiennent au même
DAG. Un de ces serveurs possède nativement la base de données DAG01-NANTES-01. Il
s’agit de la copie active, c.à.d. de la base de données sur laquelle les mises à jour sont
faites en direct avec les transactions.
Les deux autres serveurs ont chacun une copie passive de la base DAG01-NANTES-
01. Les copies passives s’intitulent aussi DAG01-NANTES-01. Ces copies sont
généralement mises à jour à partir des fichiers journaux de la base de données active.
De plus, les deux autres serveurs peuvent aussi avoir chacun leurs propres bases de
données, comme par exemple DAG01-Lyon-01 et DAG01-Lille-01. Si ces bases de
données font partie du DAG, elles seront à leur tour répliquées sur les autres serveurs sous
forme de copies passives.
C’est cette redondance de données, associée aux techniques précédentes (Découverte
électronique et conservation inaltérables, récupération d’élément unique, etc.), qui permet
d’éviter les sauvegardes traditionnelles.
Car, quand un serveur est ajouté à un DAG, il travaille avec les autres serveurs du
DAG pour fournir la récupération automatique de défaillances qui peut affecter les bases
de données de boîtes aux lettres, comme une panne de disque ou une panne serveur. Dans
ce cas, Exchange 2016 bascule automatiquement entre les copies d’un DAG afin de
maintenir la haute disponibilité.
La mise en place d’un DAG est expliquée dans le chapitre suivant consacré à la haute
disponibilité dans Exchange.
TP 08B Créer une stratégie de rétention
Objectif
L’objectif est de créer une nouvelle stratégie de rétention qui déplace les éléments
concernés vers la boîte aux lettres d’archive au bout de 1 an, et une balise qui supprime les
éléments de la boîte aux lettres au bout de 3 ans.
Les tâches à accomplir sont :
Activer la boîte aux lettres d’archivage
Créer une balise de rétention
Créer une nouvelle stratégie de rétention
Affecter la nouvelle stratégie de rétention
Vérifier l’affectation

Solution
Activer la boîte aux lettres d’archivage

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur destinataires : le volet central s’actualise
et donne accès aux onglets supplémentaires.
Cliquez sur l’onglet boîtes aux lettres.
Dans la liste des boîtes aux lettres cliquez sur Bob Durand : le volet de droite
s’actualise avec les informations de Bob.
En bas du volet, sous le titre Archive locale, cochez la case Activer : une fenêtre
apparaît. Avec le bouton parcourir, sélectionnez et validez la base de données BDD-
TEMP. Si la base BDD-TEMP n’existe pas, vous la créez en suivant l’exercice du TP
06B Cmdlets utiles liées aux bases de données.
Cliquez sur le bouton OK.
Créer une balise de rétention

Il existe déjà une balise intitulée Personal 1 year move to archive, qui déplace le
courrier de plus d’un an vers la boîte d’archive.
Il suffit donc de créer la balise de rétention qui supprime les éléments au bout de 3 ans.
Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,
ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur gestion de la conformité puis cliquez sur
l’onglet balises de rétention.
Pour créer la balise de rétention intitulée Suppression au bout de 3 ans, cliquez sur le
signe + de la barre d’outils : un menu s’ouvre.
Dans le menu sélectionnez le choix appliqué automatiquement à l’intégralité de la
boîte aux lettres (par défaut) : la fenêtre de création s’ouvre.
Renseignez les champs suivants :
Nom : Suppression au bout de 3 ans
Action de rétention : Supprimer et autoriser la récupération
Période de rétention : 1095
Commentaire : Suppression de l’élément au bout de 3 ans (1095 jours)

Figure 8‑15 Balise Suppression au bout de 3 ans

Validez votre saisie en cliquant sur le bouton Enregistrer.


Créer une nouvelle stratégie de rétention
Dans le volet de fonctionnalités EAC, cliquez sur gestion de la conformité puis
cliquez sur l’onglet stratégies de rétention.
Pour créer la stratégie de rétention intitulée Stratégie pour le personnel temporaire,
cliquez sur le signe + de la barre d’outils : la fenêtre de création s’ouvre.
Renseignez le champs Nom : Stratégie pour le personnel temporaire
Sous la section Balises de rétention, cliquez sur le signe +.
Sélectionnez les balises intitulées Personal 1 year move to archive et Suppression au
bout de 3 ans.

Figure 8‑16 Balise Suppression au bout de 3 ans

Cliquez sur le bouton ajouter puis sur le bouton OK.


Cliquez sur le bouton Enregistrer : vous venez de créer la stratégie intitulée Stratégie
pour le personnel temporaire.
Affecter la nouvelle stratégie de rétention

Dans le volet de fonctionnalités EAC, cliquez sur destinataires puis cliquez sur
l’onglet boîtes aux lettres.
Modifiez les propriétés de Bob Durand.
Dans le volet, cliquez sur fonctionnalités de boîte aux lettres.
Vous remarquerez que la stratégie par défaut Default MRM Policy a été attribuée à
Bob. C’est normal car vous avez activé la boîte aux lettres d’archive, ce qui entraîne
l’affectation automatique de la stratégie de rétention par défaut.
Sous Stratégie de rétention, sélectionnez Stratégie pour le personnel temporaire.
Figure 8‑17 Affectation à Bob

Cliquez sur le bouton Enregistrer.


Vérifier l’affectation

Pour vérifier que Bob a bien eu l’affectation de la stratégie de rétention, tapez la


commande suivante sur une seule ligne.
Get-Mailbox ‘Bob Durand’ | `
Select RetentionPolicy
Si vous avez un doute concernant l’exécution effective de la stratégie de rétention,
vous pouvez tapez la cmdlet suivante.
Cette cmdlet démarre instantanément le processus de gestion des enregistrements de
messagerie des boîtes aux lettres spécifiées.
Start-ManagedFolderAssistant -Id ‘Bob Durand’

Résumé
Dans cet exercice, vous avez activé la boîte aux lettres d’archivage de Bob, puis vous
avez créé la balise de rétention Suppression au bout de 3 ans qui supprime les éléments
de la boîte aux lettres au bout de 3 ans.
Ensuite, vous avez créé la stratégie de rétention Stratégie pour le personnel
temporaire avec les balises Personal 1 year move to archive et Suppression au bout de
3 ans.
Vous l’avez affecté à Bob, puis vous avez vérifié que l’affectation était bien enregistrée
pour Bob et que le processus de gestion des enregistrements de messagerie était bien
démarré.
TP 08C Configurer les fonctionnalités anti-programme
malveillant
Objectif
L’objectif est de configurer les fonctionnalités anti-programme malveillant du serveur
Exchange.
Les tâches à accomplir sont :
Paramétrer l’anti-programme malveillant
Vérifier la fonction anti-programme malveillant

Solution
Paramétrer l’anti-programme malveillant

Ouvrez une session avec le compte de domaine Administrateur@NOVAx.AD sur


XSGMBx.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Une fois que EAC est ouvert, cliquez sur protection dans le volet de fonctionnalité.

Figure 8‑18 Filtre anti-programme malveillant

Dans la barre d’outils, cliquez sur l’icône Nouveau (en forme de +) : la fenêtre
nouvelle stratégie anti-programme malveillant s’ouvre.
Renseignez les champs suivants :
Nom : Suppression PJ
Description : Supprime toutes les pièces jointes et utilise le texte d’avertissement
personnalisé
Puis dans la section Réponse à la détection de programmes malveillants, cochez la case
Supprimer toutes les pièces jointes et utiliser le texte d’avertissement personnalisé.
Dans le Texte d’avertissement personnalisé, écrivez : Pièce jointe supprimée à cause
d’un programme malveillant.
Dans la section Notifications, cochez uniquement la case Informer les expéditeurs
internes.
Dans la section Notifications à l’administrateur, cochez uniquement la case Informer
l’administrateur des messages d’expéditeurs internes non remis.et renseignez
l’adresse de messagerie de l’administrateur avec Administrateur@NOVAx.AD
Dans la section Appliqué à, dans la section Si…, sélectionnez la condition le domaine
du destinataire est : un pop-up apparaît. Dans le pop-up, sélectionnez novaX.ad.
Validez toutes vos saisies puis cliquez sur le bouton Enregistrer.
Vérifier la fonction anti-programme malveillant

Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.


Éventuellement, désactiver temporairement votre antimalware du poste client, comme
Windows Defender.
Dans le dossier qui correspond aux travaux pratiques, copier le fichier intitulé eicar.zip
qui contient un fichier texte EICAR. Décompresser le fichier eicar.zip en indiquant le mot
de passe a. Vous obtenez un fichier texte intitulé eicar.txt.
EICAR n’est pas un virus. Il est totalement inoffensif car il sert uniquement à faire
des tests. Il ne contient aucun code destructeur, ni pollueur. Toutefois, il est
volontairement identifié comme un virus.
Ouvrez Outlook sur le web avec le compte d’Alice.
Envoyez un message à Bob avec le fichier eicar.txt (et non eicar.zip) en pièce jointe.
Ouvrez une session avec le compte de domaine Administrateur@NOVAx.AD sur
XSGMBx.
Ouvrez Outlook sur le web avec le compte Administrateur.
Vérifiez l’apparition dans votre messagerie, du message suivant.
Figure 8‑19 Rapport anti-malware

Si vous ouvrez la pièce jointe, vous aurez le message suivant.

Figure 8‑20 Rapport de malware

Résumé
Dans cet exercice, vous avez paramétré l’anti-programme malveillant et vérifié son
efficacité.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Balises et stratégies de rétention : https://technet.microsoft.com/fr-
fr/library/dd297955(v=exchg.150).aspx
Configurer la rétention des éléments supprimés et les quotas d’éléments récupérables :
https://technet.microsoft.com/fr-fr/library/ee364752(v=exchg.160).aspx
Dossier Éléments récupérables dans Exchange 2016 : https://technet.microsoft.com/fr-
fr/library/ee364755(v=exchg.160).aspx
Gestion des enregistrements de messagerie : https://technet.microsoft.com/fr-
fr/library/dd335093(v=exchg.150).aspx
Suivi des messages : https://technet.microsoft.com/fr-
fr/library/bb124375(v=exchg.160).aspx
Disponibilité gérée : https://technet.microsoft.com/fr-
fr/library/dn482056(v=exchg.150).aspx
Gestion des droits relatifs à l’information : https://technet.microsoft.com/fr-
fr/library/dd638140(v=exchg.150).aspx
Personnaliser un enregistrement SPF pour valider le courrier électronique sortant
envoyé à partir de votre domaine : https://technet.microsoft.com/fr-
fr/library/dn789058(v=exchg.150).aspx
Réputation de l’expéditeur et agent d’analyse de protocole :
https://technet.microsoft.com/fr-fr/library/bb124512(v=exchg.160).aspx
Get-SenderReputationConfig : https://technet.microsoft.com/fr-
fr/library/bb124975(v=exchg.160).aspx
Filtrage des destinataires sur les serveurs de transport Edge :
https://technet.microsoft.com/fr-fr/library/bb123891(v=exchg.160).aspx
Set-SenderFilterConfig : https://technet.microsoft.com/fr-
fr/library/aa996920(v=exchg.160).aspx
Set-RecipientFilterConfig : https://technet.microsoft.com/fr-
fr/library/aa998613(v=exchg.160).aspx
Add-ContentFilterPhrase : https://technet.microsoft.com/fr-
fr/library/aa996791(v=exchg.160).aspx
Chapitre 9 Haute disponibilité

Introduction à la haute disponibilité sous Exchange


La haute disponibilité fait référence à un niveau de service fourni par des applications,
des services ou des systèmes. Les systèmes à haute disponibilité offrent un temps d’arrêt
minimal, planifié ou non.
La disponibilité est souvent exprimée en pourcentage de temps durant lequel un service
ou un système est disponible. Par exemple une disponibilité de 99,9 % (“trois neuf”)
signifie une indisponibilité de 8,76 heures par an, tandis qu’une disponibilité de 99,99 %
(“quatre neuf”) signifie une indisponibilité de 52,56 minutes par an.
La disponibilité d’Exchange 2016 dépend de la disponibilité d’autres services au sein
de l’infrastructure comme l’Active Directory, le DNS, le réseau ou le système de stockage.
L’infrastructure du centre de données est aussi concernée pour l’alimentation
électrique, l’air climatisé, la protection incendie, le respect des consignes de sécurité, etc.
Mise en place du groupe de disponibilité de base de données
Un cluster est un groupe de serveurs qui assurent la disponibilité des applications.
Chaque serveur est appelé un nœud. Si l’un des nœuds n’est pas disponible, un autre nœud
le remplace, grâce au mécanisme de basculement.
Un groupe de disponibilité des bases de données (DAG, Database Availability Group)
s’appuie les technologies de clustering avec basculement Windows, comme la pulsation de
clusters et le stockage de données qui changent rapidement : par exemple, lorsque l’état
d’une base de données passe de passif à actif et inversement.
La pulsation de clusters (Heartbeat) correspond à l’envoi d’une communication réseau
entre les nœuds d’un cluster afin de vérifier que le service de cluster est opérationnel.
Compte-tenu de l’utilisation de ces technologies, les DAG peuvent uniquement être
créés sur des serveurs qui opèrent sous Windows Server 2012 Standard ou Datacenter,
Windows Server 2012 R2 Standard ou Datacenter.
Clustering avec basculement Windows
Bien que la technologie sous-jacente soit le clustering avec basculement Windows, la
création et l’administration des clusters de basculement Windows est totalement pris en
charge par Exchange à travers les outils comme EMS ou EAC.
Si vous utilisez un point d’accès administratif de cluster, vous devrez le préconfigurer.
Pour cela, il faut créer un nouvel objet dans Active Directory de type ordinateur, qu’il faut
désactiver. Il s’agit du nom que vous utiliserez pour le DAG. Sur cet ordinateur, vous
devez aussi attribuer l’autorisation Contrôle total au compte sous-système approuvé
Exchange (Exchange Trusted Subsystem), ainsi qu’au premier serveur de boîtes aux lettres
à ajouter au DAG.
Ensuite, la création du DAG se fait avec EMS ou EAC.
Elle nécessite le nom du point d’accès administratif de cluster, au moins une adresse IP
et éventuellement un serveur témoin avec un répertoire témoin. L’affectation d’une ou
plusieurs adresses IP au DAG peut être faite grâce à des adresses IP statiques, soit en
utilisant un serveur DHCP.
Toutefois, dans le cas d’un DAG pour des serveurs de boîtes aux lettres qui exécutent
Windows Server 2012 R2, vous pouvez le créer sans point d’accès administratif de cluster.
Cela signifie qu’il n’aura pas d’objet nom de cluster (CNO, Cluster Name Object), et qu’il
ne contiendra pas de ressource de nom de réseau ou d’adresse IP.
Serveur témoin
Le serveur témoin et son répertoire ne sont utilisés que lorsqu’il y a un nombre pair de
membres dans le DAG. Exchange crée automatiquement le répertoire témoin sur le
serveur témoin.
Le serveur témoin sert essentiellement lorsqu’un serveur Exchange est ajouté ou enlevé
du DAG, et en cas de défaillance d’un serveur.
Les principaux prérequis pour le serveur témoin sont :
Le serveur témoin ne peut pas être membre du DAG.
Le serveur témoin doit se trouver dans la même forêt Active Directory que le DAG.
Un serveur unique peut servir de témoin pour plusieurs DAG, mais chaque DAG doit
avoir son propre répertoire témoin.
Microsoft recommande d’utiliser de préférence un serveur Exchange comme serveur
témoin. Toutefois, ce n’est pas une obligation.
Un serveur membre peut servir comme serveur témoin. La seule condition est que le
compte sous-système approuvé Exchange (Exchange Trusted Subsystem) soit membre du
groupe local d’administrateurs, ce qui n’est pas optimal en termes de sécurité.
Il n’est pas nécessaire de configurer de la haute-disponibilité pour le serveur témoin car
celui-ci sert uniquement à des fins de quorum.
Le quorum d’un cluster sert à déterminer si ce dernier continuer à s’exécuter
normalement, en fonction du nombre d’éléments votants.
Si vous avez N serveurs dans le DAG, le quorum minimum est N/2+1 pour que le
DAG continue à fonctionner correctement, sachant que si le serveur témoin est présent, il
compte pour une voix.
Par exemple, si vous avez 10 serveurs dans le DAG, vous avez un serveur témoin. Le
quorum minimum est 10/2+1=6. Comme le serveur témoin compte pour une voix, cela
signifie que le DAG peut continuer à fonctionner avec seulement 5 serveurs opérationnels.
Gestionnaire Active Manager
En cas de changement de l’environnement, comme la défaillance d’un serveur ou au
contraire la remontée d’un serveur, c’est le composant Active Manager qui décide quelle
copie d’une base de données deviendra active.
Active Manager est un composant du service Réplication de Microsoft Exchange
(Microsoft Exchange Replication Services).
Ce gestionnaire est décliné en trois composants.
Sur un serveur de boîtes aux lettres qui est membre d’un DAG, il existe un Active
Manager principal, (PAM, Primary Active Manager) dont le rôle est de déterminer les
copies qui seront actives et passives. Le membre du DAG qui détient le rôle PAM est
toujours le propriétaire de la ressource quorum de cluster du groupe de clusters par défaut.
En complément du PAM, il existe aussi un Active Manager de secours, (SAM,
Standby Active Manager) sur le serveur. Son rôle est de détecter les défaillances des bases
de données locales et de demander au PAM d’opérer un basculement.
Sur un serveur de boîtes aux lettres qui n’est pas membre d’un DAG, il existe
uniquement le rôle Active Manager autonome (Standalone Active Manager). Il a la
charge de monter et démonter les bases du serveur.
Ajout des serveurs
Votre serveur XSGMBx doit être ajouté au DAG. Cette opération est particulièrement
simple avec le Centre d’administration Exchange.
D’autres serveurs Exchange peuvent aussi être ajoutés.
Performances
Bien que cela ne soit pas obligatoire, il est préférable que les serveurs disposent d’au
moins deux interfaces distinctes, même sur des réseaux très rapides.
Une interface réseau peut être dédiée à la connectivité client et l’autre pour la
réplication du DAG.
Si vous avez configuré plusieurs DAG, il est aussi préférable d’avoir des réseaux de
DAG supplémentaires qui adressent des interfaces dédiées.
Copie initiale
Vous devez indiquer les bases de données de boîtes aux lettres dont vous souhaitez
avoir des copies.
Il n’y a qu’une copie de base de données qui est active. Autrement dit, elle enregistre
normalement les transactions.
Les autres copies de la base de données sont dites passives. Vous pouvez spécifier
différents serveurs du DAG pour héberger plusieurs copies passives de la même base de
données.
Lors de la création d’une copie passive, le service de banque d’informations
(Information Store) ouvre une connexion TCP sur le port par défaut (64327/TCP) puis il
lit, page par page, le contenu de la copie active. Il vérifie que la page n’a pas d’erreur et il
la copie sur la copie passive. S’il rencontre une page corrompue, il interrompt le processus
et créé un évènement pour le signaler.
Si aucune erreur n’est rencontrée, les deux bases sont identiques à la fin de la copie.
Durant celle-ci, des mises à jour ont certainement eu lieu sur la copie active. Ces mises à
jour ont donné naissance à de nouveaux fichiers journaux de transaction.
Exchange va exploiter ces fichiers journaux pour mettre à jour les copies passives des
bases de données.
Envoi des fichiers journaux
Les copies passives sont alimentées grâce à la réplication des fichiers journaux de
transaction. En effet, vous avez vu que les fichiers journaux de transaction contenaient la
totalité des données créées, modifiées ou supprimées.
Lorsqu’un fichier journal est créé sur le serveur qui détient la copie active, il est
envoyé à la file d’attente de réplication. Exchange scrute cette file d’attente et la traite
pour envoyer les fichiers journaux vers les serveurs qui détiennent une copie passive.
Sur ces serveurs, les fichiers journaux sont réceptionnés dans la file d’attente de
relecture. Vous pouvez paramétrer le délai d’attente avant que les fichiers de cette file
d’attente soient traités, grâce à l’option ReplayLagTime de la commande :
Set-MailboxDatabaseCopy
Ce délai peut varier de 0.0:0:0 à 14.0:0:0, autrement dit de 0 seconde (immédiatement)
à 14 jours. L’idée derrière ce délai est de se donner la possibilité de récupérer les mises à
jour jusqu’à une certaine date, afin d’éviter de reproduire une corruption sur la base
passive. On parle de copies retardées (lagged copies) : il n’est plus question de haute
disponibilité.
Dans tous les cas, les copies passives de bases de données sont donc mises à jour à
partir de ces fichiers journaux. Cette réplication continue fonctionne par l’envoi de copies
des fichiers journaux générés vers les copies de bases de données passives.
Il existe aussi une réplication continue par blocs.
Réplication continue par blocs
Dans la réplication continue par blocs, les mises à jour sont enregistrées dans le
tampon journal actif du serveur et simultanément, elles sont envoyées au tampon journal
de chacun des serveurs qui détiennent des copies passives de base de données.
Lorsque le tampon journal est plein, chaque copie de base de données crée le fichier
journal correspondant. Grâce à ce mécanisme, la probabilité est forte que les copies
passives aient été intégralement mises à jour, en cas de défaillance de la copie active.
La réplication continue par bloc est le mécanisme par défaut. Toutefois, si le serveur
n’a pas suffisamment de ressources pour ce mode, il peut basculer temporairement en
mode d’envoi des fichiers journaux.
Réamorçage automatique
En cas d’endommagement ou de défaillance d’une base de données, la fonctionnalité
de réamorçage automatique (AutoReseed) permet de restaurer automatiquement la
redondance de base de données grâce à des disques de rechange qui ont été configurés sur
le système.
Lorsque le service de réplication Exchange (Exchange Replication Service) trouve une
copie de base de données ayant échouée ou suspendue, AutoReseed va tenter de reprendre
sa copie.
Si celle-ci reste en échec, AutoReseed vérifie qu’un disque de rechange est disponible
et que les vérifications préalables ont réussi. Si les conditions sont réunies, le service de
réplication Exchange alloue un volume de rechange.
Ensuite, AutoReseed réamorce la copie de la base de données défectueuse sur le
volume de rechange en utilisant la copie active de la base de données comme source
d’amorçage.
Une fois l’amorçage terminé, le service de réplication Exchange vérifie que la nouvelle
copie est intègre.
Mise à jour corrective de pages
Le moteur ESE possède une fonctionnalité de mise à jour corrective de pages (Page
Patching). Lorsqu’une page est détectée comme corrompue, le serveur de boîtes aux
lettres réclame cette page à un autre serveur de boîtes aux lettres du DAG.
Une fois qu’il a récupéré la page, il applique la mise à jour sur la copie qu’il détient,
afin de remplacer la page corrompue par la page saine. Ce mécanisme fonctionne aussi
bien pour une copie active ou passive.
Mode de coordination de l’activation du centre de données
Que se passe-t-il si un site principal, qui contient deux membres d’un groupe de
disponibilité de base de données et le serveur témoin, est obligé de s’arrêter ?
Vous activez le site secondaire, qui contient deux autres membres du même groupe de
disponibilité de base de données.
Une fois le problème du site principal réparé, les membres du groupe de disponibilité
de base de données du site, qui disposaient du quorum avant la panne, montent leurs bases
de données.
Vous vous retrouvez dans une situation avec deux copies actives des bases de données,
ce qui entraîne des incohérences.
Pour éviter ce genre de situation, vous pouvez activer le mode de coordination de
l’activation du centre de données (DAC, Datacenter Activation Coordination).
Le DAC doit être activé pour tous les groupes de disponibilité de base de données
constitués d’au moins deux membres qui utilisent la réplication continue de Microsoft
Exchange 2016.
Ce mode permet de contrôler le montage des bases de données. En effet, quand le DAC
est activé, les membres du groupe de disponibilité de base de données doivent obtenir
l’autorisation de monter les bases de données avant de pouvoir le faire.
Pour activer le DAC sur le DAG01, saisissez la commande suivante sur une seule
ligne.
Set-DatabaseAvailabilityGroup -Identity DAG01 `
-DatacenterActivationMode DagOnly
Mode maintenance
Avant d’appliquer une mise à jour cumulative sur des serveurs d’un DAG, vous devez
d’abord mettre le serveur du DAG en mode maintenance.
Cela implique de déplacer toutes les bases de données actives hors du serveur. Par
ailleurs, le rôle PAM (Primary Active Manager) est transféré sur un autre serveur et il est
bloqué afin qu’il ne puisse pas revenir sur le serveur.
Une fois que la mise à jour est appliquée, le serveur doit être retiré du mode
maintenance.
La procédure de basculement du serveur en mode maintenance, puis de son retrait de
ce mode, est détaillée sur la page suivante. La procédure est identique pour Exchange
Server 2016 et Exchange Server 2013.
Passage en mode maintenance
http://coudr.com/xsg011
Accès client et équilibrage de charge
L’équilibrage de charge est un mécanisme qui permet de répartir les requêtes sur
différents serveurs. Windows NLB (Network Load Balancing) est un produit Microsoft
qui assure cette fonctionnalité.
Cependant, NLB n’est pas forcément adapté à un environnement Exchange important
parce qu’un cluster NLB est limité à 8 nœuds, l’ajout ou la suppression d’un nœud
déconnecte tous les clients et la seule affinité disponible est la source IP.
Par ailleurs, NLB est un service Windows : il dépend donc du bon fonctionnement du
serveur qui l’héberge.
Pour ces raisons, NLB est plutôt conseillé dans un environnement Exchange de taille
limitée.
Dans un environnement Exchange important, il est donc préférable de suivre la
recommandation Microsoft d’utiliser une solution matérielle, bien que NLB soit
entièrement supporté dans Exchange Server 2016.
Par contre, une solution d’équilibrage de charges des serveurs de boîtes aux lettres
Exchange ne nécessite plus obligatoirement une couche de niveau 7 car une solution de
niveau 4 est maintenant suffisante.
Une solution d’équilibrage de charge de niveau 7 est une solution applicative,
généralement élaborée, qui modifie les entêtes des requêtes ou les flux HTTP afin
d’assurer la qualité de service voulu.
Dans le cas d’une solution d’équilibrage de charge de niveau 4, celle-ci prend place
dans la couche transport du modèle OSI (Open Systems Interconnection). Aussi,
lorsqu’une requête entrante est faite aux services frontaux du serveur de boîtes aux lettres
disponible, elle n’est pas modifiée. Les requêtes sont transmises aux serveurs selon un
algorithme simple de type tourniquet (round robin).
En cas de défaillance d’un service Exchange quelconque du serveur, le mécanisme
d’équilibrage de charge bascule sur un autre serveur.
Après acceptation et authentification, la requête est transmise et traitée au serveur de
boîtes aux lettres approprié. Si pendant ce temps, le serveur de boîtes aux lettres qui a reçu
la requête initiale est défaillant, une nouvelle connexion est établie automatiquement entre
le serveur de boîtes aux lettres approprié et un autre serveur de boîtes aux lettres.
Résilience de site et géo-clusters
En cas de défaillance d’un point d’entrée d’un site principal, un client peut
communiquer avec un serveur quelconque qui a le rôle de boîtes aux lettres dans un site
secondaire. Ce serveur transmettra les messages au serveur de boîtes aux lettres du client
du site principal.
Afin d’améliorer la résilience de site, il est aussi possible de créer un DAG qui traverse
plusieurs sites Active Directory (AD) géographiquement dispersés. Par exemple, un site
AD est à Nantes et un autre site AD indépendant est à Lille.
Dans ce scénario, le site de Nantes et celui de Lille disposent tous les deux de leur
propre infrastructure Exchange.
Sur le site de Nantes, le DAG nommé DAG01 est créé avec un serveur de Nantes
(MB03), qui détient la copie active de la base de données des utilisateurs de Nantes, et un
serveur de Lille (MB04), qui détient la copie passive de la base de données des utilisateurs
de Nantes.
Réciproquement, sur le site de Lille, le DAG nommé DAG02 est créé avec un serveur
de Lille (MB06), qui détient la copie active de la base de données des utilisateurs de Lille,
et un serveur de Nantes (MB05), qui détient la copie passive de la base de données des
utilisateurs de Lille.
Dans ce scenario, les serveurs MB01 et MB02 ne font pas partie d’un DAG. Toutefois,
ils pourraient être membres d’un des deux DAG, où appartenir à un troisième DAG.
Dans un environnement de production, le choix de l’architecture est dicté par les
besoins de l’organisation et, plus précisément, par la convention de service (SLA, Service-
Level Agreement).

Figure 9‑1 DAG entre ADs


TP 09A Installer et paramétrer un DAG
Objectif
L’objectif est de mettre en place le groupe de disponibilité de base de données DAG01
avec les serveurs XSGMBx et XSGMBy. La base de données BDD-TOUS appartiendra à
cette DAG.
Les tâches à accomplir sont :
Créer un point d’accès administratif de cluster
Créer un DAG
Ajouter des serveurs Exchange
Configurer le réseau
Lancer la copie initiale
Basculer manuellement vers la copie passive
Basculer à nouveau vers la copie d’origine

Solution
Créer un point d’accès administratif de cluster
Ouvrez une session avec le compte de domaine Administrateur sur DCx.
Avec la console Utilisateurs et ordinateurs Active Directory, créez un nouvel objet dans
Active Directory de type Ordinateur, intitulé DAG01 puis désactivez ce compte
d’ordinateur.
Ensuite, attribuez l’autorisation Contrôle total au compte sous-système approuvé
Exchange (Exchange Trusted Subsystem), ainsi qu’au premier serveur de boîtes aux lettres
à ajouter au DAG (XSGMBx).
Si vous ne voyez pas l’onglet sécurité de l’objet DAG01, cliquez dans le menu
Affichage puis cliquez sur Fonctionnalités avancées.

Figure 9‑2 Activation des fonctionnalités avancées


En activant les fonctionnalités avancées, vous pouvez visualiser l’onglet Sécurité de
l’objet DAG01.
Par ailleurs, l’ajout d’un ordinateur (XSGMBx) se fait en modifiant le Types d’objets
dans le sélecteur.

Figure 9‑3 Modification des Types d’objets

Une fois les types d’objets modifiés, vous pouvez rechercher XSGMBx pour l’ajouter
et lui donner un contrôle total sur l’objet DAG01.
Figure 9‑4 Objet nom de cluster (vue partielle)

N’oubliez pas d’attribuer aussi l’autorisation Contrôle total au compte sous-système


approuvé Exchange (Exchange Trusted Subsystem).
Créer un DAG

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur serveurs : le volet central s’actualise et
donne accès aux onglets supplémentaires.
Cliquez sur l’onglet groupes de disponibilité de la base de données.
Pour créer le groupe de disponibilité de la base de données DAG01, cliquez sur le
signe + de la barre d’outils : la fenêtre de création s’ouvre.
Renseignez les champs suivants :
Nom du groupe de disponibilité de la base de données : DAG01
Serveur témoin : SRVx (ou CLIENTx, si SRVx n’existe pas)
Répertoire témoin : C:\DAG01. Vous devez créer manuellement ce dossier partagé sur le
serveur témoin. Par ailleurs, Le sous-système approuvé Exchange (Exchange Trusted
Subsystem) doit appartenir au groupe local Administrateurs sur le serveur témoin.
Adresse IP du groupe de disponibilité de la base de données : 192.168.y.x+80. Avec
Windows Server 2012 R2, vous pouvez utiliser DHCP et indiquez 0.0.0.0 comme adresse
IP.
Figure 9‑5 Nouveau DAG

La commande correspondante à saisir sur une seule ligne est :


New-DatabaseAvailabilityGroup -Name DAG01 `
-WitnessServer CLIENTx `
-WitnessDirectory C:\DAG01 `
-DatabaseAvailabilityGroupIpAddresses `
0.0.0.0
Ajouter des serveurs Exchange

Dans le volet de fonctionnalités d’EAC, cliquez sur serveurs puis cliquez sur l’onglet
groupes de disponibilité de la base de données et sélectionnez DAG01.
Dans la barre d’outils, cliquez sur Gérer l’appartenance au DAG qui est représenté sous
forme d’une icône en forme de serveur avec une roue dentée.
Figure 9‑6 Appartenance au DAG

Ajoutez votre serveur XSGMBx, puis cliquez sur le bouton Enregistrer.

Figure 9‑7 Ajout de votre serveur XSGMBx

Vous pouvez ensuite ajouter le serveur XSGMBy au DAG01. Bien évidemment, cela
suppose que XSGMBy est déjà configuré comme serveur Exchange de l’organisation
NOVAx. Un serveur ne peut faire partie que d’un seul DAG.
Sur le serveur XSGMBy, faites attention de ne pas réutiliser le même nom de chemin
pour l’emplacement de la base de données et les fichiers journaux de transactions que
ceux qui existent déjà sur les autres serveurs Exchange.
En effet, lors du lancement de la copie initiale, le composant Active Manager utilise les
mêmes noms que la base d’origine.
Vous pouvez faire la même manipulation avec EMS. La commande correspondante à
saisir sur une seule ligne est :
Add-DatabaseAvailabilityGroupServer `
-Id DAG01 -MailboxServer XSGMBy
Configurer le réseau
Demandez au formateur, si vous devez faire cet exercice. En effet, vous ne pouvez faire
cette manipulation que si vous disposez d’une interface réseau supplémentaire
opérationnelle.
Pour effectuer une configuration manuelle du réseau, vous devez au préalable tapez la
cmdlet suivante.
Set-DatabaseAvailabilityGroup -Id DAG01 `
-ManualDagNetworkConfiguration $true
Ensuite dans le volet de fonctionnalités d’EAC, cliquez sur serveurs puis cliquez sur
l’onglet groupes de disponibilité de la base de données et sélectionnez DAG01.
Dans la barre d’outils, cliquez sur l’icône en forme de serveur avec un signe + pour
ajouter votre nouveau réseau DAG.

Figure 9‑8 Réseau du DAG dédié

Indiquez l’adresse IP du sous-réseau, comme par exemple 192.168.1.0/22, puis cliquez


sur Enregistrer.
Vous pouvez faire la même manipulation avec EMS. La commande correspondante à
saisir sur une seule ligne est :
New-DatabaseAvailabilityGroupNetwork `
-DatabaseAvailabilityGroup DAG01 `
-Name “Réplication OCTANE” `
-Subnets 192.168.1.0/22 `
-ReplicationEnabled:$True
Ensuite, vous devez désactiver le réseau DAG par défaut qui est MapiDagNetwork.
Pour cela, sélectionnez votre DAG et dans le volet de droite, sous MapiDagNetwork,
cliquez sur Désactiver la réplication : un message d’avertissement vous demande si vous
êtes sûr de vouloir effectuer cette action. Cliquez sur Oui.

Figure 9‑9 Désactiver le réseau MapiDagNetwork

Vous pouvez faire la même manipulation avec EMS. La commande correspondante à


saisir sur une seule ligne est :
Get-DatabaseAvailabilityGroupNetwork `
-Id DAG01\MapiDagNetwork | `
Set-DatabaseAvailabilityGroupNetwork `
-ReplicationEnabled:$False
Lancer la copie initiale

Dans le volet de fonctionnalités d’EAC, cliquez sur serveurs puis cliquez sur l’onglet
bases de données et sélectionnez la base de données BDD-TOUS.
Dans la barre d’outils, cliquez sur les 3 petits points (…).

Figure 9‑10 Ajouter une copie de base de données

Dans le menu qui apparaît, cliquez sur Ajouter une copie de bases de données.
Figure 9‑11 Indiquer le serveur de boîtes aux lettres

Dans cette fenêtre, vous sélectionnez le serveur de boîtes aux lettres qui va héberger
cette copie passive grâce au bouton Parcourir. Vous indiquez aussi le numéro de
préférence d’activation. Celui-ci sera utilisé par Active Manager pour sélectionner la
meilleure copie dans le cadre du processus de sélection de la meilleure copie et du
serveur (BCSS, Best Copy and Server Selection) et pour redistribuer les bases de données
de boîte aux lettres actives lors de l’équilibrage de DAG01. La valeur 1 est la position la
plus prioritaire.
La commande correspondante à saisir sur une seule ligne est :
Add-MailboxDatabaseCopy -Id BDD-TOUS `
-MailboxServer XSGMBy -ActivationPreference 2

Figure 9‑12 Copie initiale

L’ajout d’une copie au DAG ajoute des dossiers supplémentaires au dossier de la copie
d’origine.

Figure 9‑13 Dossiers d’origine


La structure des dossiers de la copie est légèrement différente de la structure d’origine.

Figure 9‑14 Dossiers de la copie

Maintenant, la copie passive de la base BDD-TOUS\XSGMBy va être alimentée grâce


à la réplication automatique des fichiers journaux de transaction de BDD-TOUS\
XSGMBx.
Basculer manuellement vers la copie passive

Vous allez rendre active la base BDD-TOUS\XSGMBy, et donc inactive la base BDD-
TOUS\XSGMBx.
Dans le Centre d’administration Exchange, les informations relatives aux copies sont
affichées (Actif / Passif, Sain / Monté / ServiceDown / Déconnecté et resynchronisation en
cours, etc), ainsi que les actions liées à la réplication (Interrompre, Activer, etc.)

Figure 9‑15 Détail de la réplication

Dans le volet de détail, sous BDD-TOUS\XSGMBy, cliquez sur le lien Activer : dans
le pop-up vous demande d’activer la copie de la base de données BDD-TOUS\XSGMBy,
cliquez sur le bouton Oui.
Après un petit instant, une fenêtre vous indique que l’opération est terminée : cliquez
sur le bouton Fermer.
Vous pouvez constater que le basculement est opérationnel.

Figure 9‑16 Basculement de l’état de la base

Maintenant, la copie passive de la base BDD-TOUS\XSGMBx va être alimentée grâce


à la réplication automatique des fichiers journaux de transaction de BDD-TOUS\
XSGMBy.
Basculer à nouveau vers la copie d’origine

Vous allez rendre active la base BDD-TOUS\XSGMBx, et donc inactive la base BDD-
TOUS\XSGMBy.
Pour cela, il suffit de patienter…
En effet, la base BDD-TOUS\XSGMBx a le numéro de préférence d’activation qui
vaut 1. Hors, cette valeur est utilisée par Active Manager pour redistribuer les bases de
données de boîte aux lettres actives lors de l’équilibrage du DAG.
La base BDD-TOUS\XSGMBy a le numéro de préférence d’activation qui vaut 2.
Comme la valeur 1 est la plus prioritaire, la bascule se fera automatiquement sur BDD-
TOUS\XSGMBx, s’il n’y a pas de soucis particuliers.

Résumé
Dans cet exercice, vous avez créé un point d’accès administratif de cluster nommé
DAG01. Ensuite, vous avez créé le DAG01 auquel vous avez ajouté le serveur Exchange
XSGMBx. Vous avez aussi configuré le réseau pour utiliser une interface dédiée puis lancé
la copie initiale. Enfin, vous avez basculé la copie passive en copie active et inversement.
Vous avez pu aussi constater que le fonctionnement automatique de bascule vers la base
avec le numéro de préférence d’activation prioritaire.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Groupe de disponibilité de base de données (DAG) : https://technet.microsoft.com/fr-
fr/library/dd979799(v=exchg.150).aspx
Gestion de groupes de disponibilité de base de données :
https://technet.microsoft.com/fr-fr/library/dd298065(v=exchg.150).aspx
Managing Database Availability Groups : http://technet.microsoft.com/en-
us/library/dd298065(v=exchg.150).aspx
Mode de coordination de l’activation du centre de données :
https://technet.microsoft.com/fr-fr/library/dd979790(v=exchg.160).aspx
Exchange 2013 Automatic Reseed : http://www.msexchange.org/articles-
tutorials/exchange-server-2013/high-availability-recovery/exchange-2013-automatic-
reseed.html
AutoReseed : https://technet.microsoft.com/fr-fr/library/dn789209(v=exchg.150).aspx
Haute disponibilité et résilience de site : https://technet.microsoft.com/fr-
fr/library/dd638137(v=exchg.150).aspx
Active Manager : https://technet.microsoft.com/fr-
fr/library/dd776123(v=exchg.150).aspx
Changes to high availability and site resilience over previous versions :
https://technet.microsoft.com/fr-fr/library/dn789066(v=exchg.160).aspx
Gestion des copies de base de données de boîtes aux lettres :
https://technet.microsoft.com/fr-fr/library/dd335158(v=exchg.150).aspx
Surveillance des groupes de disponibilité des bases de données :
https://technet.microsoft.com/fr-fr/library/dd351258(v=exchg.150).aspx
Configuration des limites de taille de message propres au client :
https://technet.microsoft.com/fr-fr/library/hh529949(v=exchg.150).aspx
Chapitre 10 SharePoint et Skype Entreprise

Introduction à la messagerie unifiée


L’objectif de cette technologie est de procurer une interaction entre les principaux
systèmes de communication de l’entreprise : la téléphonie, la messagerie électronique et
l’envoi et réception de fax.
Une boîte aux lettres Exchange Server 2016 est donc capable de stocker ces trois types
de ressources : messages électroniques, conversations audio et fax. Les conversations
audio et les fax sont enregistrés sous la forme de pièces jointes.
Vous avez aussi la possibilité de consulter vos messages électroniques, les messages
vocaux et fax à partir d’un seul périphérique.
Un message vocal laissé sur le répondeur téléphonique est converti au format MP3.
L’enregistrement audio est aussi transcrit automatiquement sous forme de texte qui
apparaît dans le corps du message.
Vous pouvez interagir avec Exchange pour lui demander de lire vos emails, ou le
commander oralement, comme par exemple : “Messagerie” puis “Premier message non
lu” pour entendre le premier message non lu. Cette fonctionnalité est connue sous le nom
d’Outlook Voice Access.
Les principales séquences d’instructions sont : “Répondre”, “Non lu suivant”,
“Calendrier pour aujourd’hui”, “Je serai en retard”, “10 minutes”, “Marquer”, “Annuler la
réunion”, “Envoyer”, etc.
La messagerie unifiée est une fonction premium qui nécessite une licence d’accès au
client Enterprise.

Architecture
Pour réaliser l’interaction entre l’infrastructure de messagerie électronique et les autres
systèmes de télécopie et téléphonie, deux protocoles sont utilisés avec lesquels
l’autocommutateur téléphonique privé (PBX, Private Automatic Branch eXchange) doit
être compatible : T.38 pour gérer les télécopies, et SIP pour gérer les messages vocaux.
Si l’autocommutateur téléphonique n’est pas compatible, il faut acquérir un boitier
matériel capable de jouer le rôle d’intermédiaire entre lui et le serveur Exchange 2016,
afin de bénéficier de ses fonctionnalités.
Si un appel n’est pas répondu sur l’autocommutateur, il est transféré aux services
frontaux du serveur de boîtes aux lettres, où il est pris en charge par le service Routeur
d’appel de messagerie unifiée (Unified Messaging Call Router).
Lorsqu’un serveur de boîtes aux lettres reçoit une SIP INVITE, l’appel entrant est
redirigé vers le serveur de boîtes aux lettres concerné. Sur celui-ci, le service Messagerie
unifiée (Unified Messaging Service) a uniquement en charge l’établissement d’une
connexion RTP ou SRTP vers la passerelle VoIP, le PBX IP ou le SBC (contrôleur de
frontière de session). Il ne répond pas aux demandes SIP des appels entrants.
Une fois le canal de support établi, le service de messagerie unifiée du serveur de boîte
aux lettres lit le message d’accueil de la messagerie vocale de l’utilisateur, traite
éventuellement les règles de réponse aux appels de l’utilisateur et invite l’appelant à
laisser un message vocal.
Interconnexion avec Skype Entreprise
La plate-forme Microsoft Skype Entreprise permet de connecter des personnes, grâce à
de la vidéo à distance ou des fonctionnalités de conversation en ligne.
Lors de réunions à distance, Skype Entreprise permet d’afficher plusieurs vidéos de
participants différents, d’identifier la personne en train de parler et les différents
interlocuteurs par leur nom, et de partager du contenu.
Lorsque Skype Entreprise est déployé dans une organisation avec Exchange 2016, il est
possible d’archiver les messages instantanés et le contenu des réunions en ligne dans la
boîte aux lettres de l’utilisateur. Il est aussi possible disposer d’un magasin de contacts
cohérent entre Skype Entreprise et Exchange.
Toutefois, parmi les caractéristiques d’Exchange, celle qui permet d’étendre le plus les
fonctionnalités de Skype Entreprise est vraisemblablement la messagerie unifiée.
Si Exchange est interconnecté avec Skype Entreprise, il n’y a pas de passerelles VoIP,
de PBX IP ou de SBC. Le serveurs frontaux Skype Entreprise prennent en charge
directement la SIP INVITE.
Skype Entreprise utilise le routeur d’appel de messagerie unifiée pour communiquer
avec le serveur d’accès au client, puis transmettre l’appel vers le serveur de boîtes aux
lettres concerné.

Certificats
La communication entre le serveur frontal Skype Entreprise et le service de messagerie
unifiée des serveurs Exchange nécessite un certificat TLS (Transport Layer Security). Il
n’est pas nécessaire que celui-ci soit délivré par une autorité de certification publique, un
certificat interne est suffisant.
En revanche, il faut changer le mode démarrage des services de la messagerie unifiée
des serveurs Exchange. En effet, le mode de démarrage par défaut est TCP et non TLS.
Pour cela, dans EMS du serveur avec le rôle d’accès client, tapez la cmdlet suivante
sur une seule ligne.
Set-UMCallRouterSettings -Server XSGMBx `
-UMStartupMode TLS
Puis, dans EMS du serveur de boîtes aux lettres, tapez la cmdlet suivante sur une seule
ligne.
Get-UMService | Set-UMService `
-UMStartupMode TLS
Une fois les modes de démarrage changés, le certificat peut être lié aux services.

Plan de numérotation téléphonique


Le plan de numérotation téléphonique permet d’établir un lien entre des passerelles IP
de messagerie unifiée, des groupements de postes de messagerie unifiée et des serveurs de
boîtes aux lettres.
Par exemple, dans EMS tapez la cmdlet suivante sur une seule ligne pour créer un
plan de numérotation intitulée “Plan Numérotation NOVA” pour la France avec 3 chiffres
pour un numéro de poste.
New-UMDialPlan -Name “Plan Numérotation NOVA” -URIType SipName -
NumberOfDigitsInExtension 3 -VoIPSecurity Secured -CountryOrRegionCode 33
Le plan de numérotation est visible dans EAC.

Figure 10‑1 Plan de numérotation

Une stratégie de boîte aux lettres de messagerie unifiée, intitulée Stratégie par défaut
Plan Numérotation NOVA, a été créée à partir de ce plan de numérotation (au milieu de
la fenêtre). Vous pouvez l’éditer.
Figure 10‑2 Stratégie par défaut

Dans cette stratégie, vous pouvez activer ou désactiver les fonctionnalités que vous
souhaitez. Cette stratégie par défaut doit être assignée aux deux composants de messagerie
unifiée.
Pour cela, dans EMS du serveur avec le rôle d’accès client, tapez la cmdlet suivante
sur une seule ligne.
Set-UMCallRouterSettings `
-DialPlans “Plan Numérotation NOVA” `
-Server XSGMBx
Puis, vous redémarrez le service Routeur d’appel de messagerie unifiée.
Restart-Service MSExchangeUMCR
Puis, dans EMS du serveur de boîtes aux lettres, tapez la cmdlet suivante sur une seule
ligne.
Get-UMService | Set-UMService `
-DialPlans “Plan Numérotation NOVA”
Puis, vous redémarrez le service Messagerie unifiée.
Restart-Service MSExchangeUM

Passerelle IP de messagerie unifiée


La passerelle IP de la messagerie unifiée permet la communication entre Skype
Entreprise et le serveur de boîtes aux lettres Exchange.
Cette configuration est faite grâce au script ExchUCUtil.ps1, fourni lors de
l’installation d’Exchange, dans le dossier %ExchangeInstallPath%Scripts.
Lors de son exécution ce script attribue au serveur Skype Entreprise les droits pour lire
les informations de configuration de la messagerie unifiée, en particulier le plan de
numérotation téléphonique. Une passerelle IP est aussi créée avec son groupe de recherche
de messagerie unifiée.

Post-configuration
La configuration d’Exchange est terminée. Le reste de la configuration concerne Skype
Entreprise.
Sur le serveur Skype Entreprise, vous devez simplement exécuter le programme
OcsUmUtil.exe qui se trouve dans le dossier Support de l’installation de Skype Entreprise.
Ce programme lit la configuration d’Active Directory concernant la messagerie
unifiée, en particulier le plan de numérotation téléphonique, puis il crée un objet contact
pour chaque numéro de standard automatique et un numéro d’accès d’abonné.
Une fois que la configuration de Skype Entreprise est terminée, il vous reste à activer
la messagerie unifiée pour les boîtes aux lettres concernées.
Faites attention que la messagerie unifiée est une fonction premium qui nécessite une
licence d’accès client Enterprise.
Avec EAC, vous sélectionnez la boîte aux lettres sur laquelle, vous souhaitez activer la
messagerie unifiée, par exemple celle d’Éric Petit.

Figure 10‑3 Activation de la messagerie unifiée

Sous le titre Fonctionnalités téléphoniques et vocales, dans Messagerie unifiée, vous


cliquez sur Activer : une fenêtre apparaît qui vous demande de sélectionner une stratégie
de boîte aux lettres de messagerie unifiée.
Avec le bouton parcourir, vous sélectionnez Stratégie par défaut Plan Numérotation
NOVA puis vous cliquez sur suivant.
Dans la fenêtre Activer la boîte aux lettres de messagerie unifiée, vous indiquez une
adresse SIP (eric@NOVAx.AD) et un numéro de poste (123) puis vous cliquez sur
terminer.
Maintenant, via le client Skype Entreprise, Eric peut utiliser sa boîte aux lettres
Exchange.
Interconnexion avec SharePoint
SharePoint Server et SharePoint Online sont des produits Microsoft qui assurent les
fonctionnalités de partage et de collaboration pour l’entreprise et le Web. Il s’agit d’outils
qui permettent d’unifier les moyens de communication, de permettre le travail en commun
sur le même document, de proposer une recherche puissante ou de créer du contenu.
SharePoint Server ou SharePoint Online peuvent rechercher du contenu dans une boîte
aux lettres Exchange.
En outre, il est possible de configurer SharePoint Server ou SharePoint Online pour
qu’ils exposent des documents à travers une boîte aux lettres de site. Une boîte aux lettres
de site propose une vue unifiée des messages électroniques et des documents SharePoint.
SharePoint Server et SharePoint Online peuvent envoyer des messages électroniques,
par exemple pour prévenir un utilisateur qu’une nouvelle tâche lui a été affectée. Dans ce
cas, le message électronique contient généralement les liens pour gérer la tâche.
L’envoi des messages est nativement proposé dans SharePoint Online. En revanche,
elle nécessite une légère configuration de SharePoint Server. Cette configuration consiste
essentiellement à fournir le FQDN du serveur de messagerie, et une adresse d’envoi et de
réception.
SharePoint Server, uniquement, peut aussi recevoir des messages électroniques. Cette
dernière fonctionnalité sert à déposer des messages et des pièces jointes dans une
bibliothèque ou un dossier d’une bibliothèque.
La configuration des paramètres des emails entrants nécessite d’intervenir sur
différents composants : SMTP, IIS, DNS, Exchange et SharePoint Server.
Pour configurer la réception des emails dans les bibliothèques de document, il faut
créer un sous domaine spécifique dans le DNS, par exemple le sous-domaine
SP.NOVAx.AD. Ce sous domaine permet de délivrer les adresses de messageries des
bibliothèques de documents. Vous devez également ajouter un connecteur SMTP afin de
spécifier l’espace d’adressage spécifique.

Configuration SharePoint Server


Au niveau du serveur qui héberge SharePoint, il faut installer le service SMTP, grâce à
l’ajout de fonctionnalités du Gestionnaire de serveur, puis installer les outils de gestion de
Microsoft IIS 6.0.
Avec le Gestionnaire des services Internet (IIS) 6.0, il faut configurer le service SMTP.
Vous pouvez décider d’accepter le courrier électronique relayé en provenance de tous les
serveurs à l’exception de ceux que vous excluez spécifiquement.
Le service doit aussi être configuré en démarrage automatique.
Dans l’administration centrale de SharePoint, vous avez la possibilité de configurer
manuellement tous les paramètres, ou d’utiliser la configuration simple.
Pour cette dernière, vous devez ouvrir le site web Administration centrale de
SharePoint puis cliquez sur Paramètres système.
Dans la section Courrier électronique et messages texte (SMS), cliquez sur Configurer
les paramètres du courrier électronique entrant.
Pour autoriser les sites SharePoint à recevoir du courrier électronique, dans la section
Activer le courrier entrant de la page Configurer les paramètres du courrier entrant,
cliquez sur Oui.
Sélectionnez le mode Paramètres Automatique et dans la zone Adresse complète du
serveur de messagerie, tapez le FQDN du serveur de messagerie, par exemple
XSGMBx.NOVAx.AD.
Laissez les autres paramètres à leur valeur par défaut, puis cliquez sur OK.

Post-configuration SharePoint Server


Une fois que vous le courrier électronique entrant est configuré, les utilisateurs
autorisés peuvent configurer les listes ou les bibliothèques pour recevoir des messages
électroniques.
À titre d’exemple, la procédure pour la bibliothèque Projets est indiquée, ci-dessous.
Dans le menu Paramètres de la bibliothèque, cliquez sur Paramètres - Bibliothèque de
documents.
Sous la section Communications, cliquez sur Paramètres du courrier électronique
entrant puis dans la zone Courrier électronique, cliquez sur Oui pour activer cette
bibliothèque pour la réception du courrier électronique.
Dans la zone Adresse de messagerie, indiquez un nom à utiliser comme adresse de
messagerie de cette bibliothèque, par exemple Projets.
Indiquez les valeurs que vous désirez pour les autres paramètres puis cliquez sur OK
pour enregistrer vos paramètres.
Maintenant, vous pouvez écrire directement un message électronique avec une pièce
jointe à l’adresse Projets@SP.NOVAx.AD.
Le message et la pièce jointe seront stockés dans la bibliothèque, selon vos options.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Messagerie unifiée : https://technet.microsoft.com/fr-
fr/library/jj150478(EXCHG.150).aspx
Démarrage du service routeur d’appels de messagerie unifiée Microsoft Exchange :
https://technet.microsoft.com/fr-fr/library/jj673542(v=exchg.150).aspx
Modifications de l’architecture vocale : https://technet.microsoft.com/fr-
fr/library/jj150516(v=exchg.150).aspx
How to integrate Exchange Server 2013 with Lync Server 2013, Skype for Business
Online, or a Lync Server 2013 hybrid deployment : https://support.microsoft.com/en-
us/kb/2614242
Plans de numérotation de messagerie unifiée : https://technet.microsoft.com/fr-
fr/library/bb125151(v=exchg.150).aspx
Learn more about UM IP gateways : https://technet.microsoft.com/fr-
FR/library/ms.exch.eac.UMIPGatewaySlabLearnMore(EXCHG.160).aspx
Intégration à SharePoint et Skype Entreprise : https://technet.microsoft.com/fr-
fr/library/jj150480(v=exchg.150).aspx
Description du service SharePoint Online : https://technet.microsoft.com/fr-
fr/library/sharepoint-online-content-service-description.aspx
Chapitre 11 Dépannage d’Exchange

Gestion des services nécessaires à Exchange


La plupart des composants clefs d’Exchange s’exécutent sous forme de services
systèmes.
Lorsque vous êtes en train de dépanner Exchange, vous devez vous assurer que les
services s’exécutent correctement. En particulier, tous les services qui sont en démarrage
Automatique doivent être démarrés. Par ailleurs, il arrive que certains services n’arrivent
pas à démarrer suffisamment tôt. Il suffit parfois de les démarrer manuellement pour qu’ils
fonctionnent à nouveau.
Dans les paramètres du service, vous pouvez aussi demander le redémarrage
automatique en cas de problème.

Services Exchange
Pour une installation standard du rôle de boîte aux lettres, les services Exchange
suivants doivent être en cours d’exécution.

Figure 11‑1 Services en cours d’exécution


Services IIS
En outre, vous devez aussi prendre en compte les services de Microsoft Internet
Information Services (IIS).
Comme l’intégration entre Exchange et IIS est forte, il faut aussi s’assurer que les
services IIS s’exécutent normalement.
IIS est bâti autour de huit services Windows et de plusieurs fichiers de configuration.

Figure 11‑2 Architecture générale IIS 8 / 8.5

Le rôle des pools d’applications est d’héberger les nombreuses applications ASP.NET
développées pour Exchange. Ils doivent être dans un état Démarré.

Figure 11‑3 Pool d’applications

De même, les sites IIS doivent être démarrés.

Figure 11‑4 Sites IIS pour Exchange

Console MMC
Comme pour tous les services Windows, il est possible de faire quelques manipulations
de base grâce à la MMC (Microsoft Management Console) Services.
C’est une interface graphique, qui est atteignable soit via le Gestionnaire de serveur :
ouvrir le Gestionnaire de serveur puis cliquez sur Outils puis sur Services ; soit en
exécutant la commande suivante dans une invite de commandes :
services.msc

Figure 11‑5 Liste des services Windows

Cet outil permet de faire rapidement des manipulations simples, comme démarrer,
arrêter, configurer certains paramètres de services Windows, et obtenir quelques
informations sur leurs paramétrages et état.
Chaque paramètre visible d’un service est présenté à l’aide de 4 onglets : Général,
Connexion, Récupération et Dépendances.
Onglet Général

Afin d’illustrer cette explication, prenez par exemple le service de Banque


d’informations Microsoft Exchange.
Figure 11‑6 Onglet Général

L’onglet Général fournit des informations concernant le nom Windows du service


(MSExchangeIS), celui-ci est utilisé par les outils en ligne de commande. Le nom complet
(Banque d’informations Microsoft Exchange) est utilisé par les outils graphiques, comme
celui-ci.
Le type de démarrage du service peut prendre ces valeurs :
Automatique : il s’exécute à la suite du démarrage de Windows,
Automatique (début différé) : il attend avant de se lancer,
Manuel : Son exécution sera déclenchée par un utilisateur ou un autre programme,
Désactivé : Son exécution est impossible tant qu’il n’aura pas changé d’état.
Il existe d’autres paramètres plus fins que ceux-là pour le type de démarrage. Toutefois,
il faut utiliser un autre outil, présenté plus bas, pour le faire.
L’état d’exécution du service est indiqué. Il est aussi possible de démarrer, arrêter,
suspendre ou redémarrer le service.
Onglet Connexion

Figure 11‑7 Onglet Connexion

L’onglet connexion permet de spécifier le compte Windows sous lequel le service


s’exécute.
Un service étant un programme, dont le chemin d’accès est indiqué sur l’onglet
Général (C:\Program Files\Microsoft\Exchange
Server\V15\bin\Microsoft.Exchange.Store.Service.exe”), il est impératif que Windows
l’exécute en instanciant un nom d’utilisateur.
Dans ce cas, il s’agit du compte SYSTEM, c.à.d. Windows lui-même. La plupart des
services Exchange s’exécutent sous ce compte. Il est fortement déconseillé de modifier ce
paramétrage.
Onglet Récupération

Figure 11‑8 Onglet Récupération

En cas de défaillance d’un service, le comportement du système peut être anticipé. Ce


comportement se règle dans l’onglet Récupération.
L’onglet récupération permet de différencier le comportement du système selon l’ordre
des défaillances : première défaillance, seconde défaillance, autres défaillances.
Le compteur de défaillance est généralement réinitialisé toutes les 24 heures, mais ce
paramètre est modifiable.
Dans tous les cas, il y a 4 comportements proposés :
Ne rien faire : aucune action n’est déclenchée par Windows,
Redémarrer le service : Windows redémarre le service défaillant,
Exécuter un fichier : permet d’exécuter n’importe quel programme qui est spécifié dans le
pavé Exécuter un programme.
Redémarrer l’ordinateur : c’est une situation un peu extrême, qui est généralement
réservée à des services cruciaux de Windows.
Onglet Dépendances

Figure 11‑9 Onglet Dépendances

L’onglet dépendances est purement informatif et il est constitué de deux pavés. Le pavé
en haut liste les composants système nécessaires au bon fonctionnement du service. Le
pavé du bas liste les composants système qui dépendent du service.
Par exemple, dans le pavé du haut, le bon fonctionnement du service Banque
d’informations Microsoft Exchange dépend notamment du service Topologie Active
Directory Microsoft Exchange. Si ce dernier est arrêté, le service Banque d’informations
Microsoft Exchange ne pourra pas démarrer.
SC.exe
Si vous souhaitez interagir finement avec les services Windows, vous pouvez utiliser
un outil développé spécialement par Microsoft pour gérer et manipuler en ligne de
commande les services Windows. C’est l’outil Sc.exe.
En quelque sorte, cet utilitaire est le “couteau suisse” des services. Il peut interagir
directement avec les états d’exécution des services, obtenir des informations très détaillées
sur un service et mettre à jour la configuration du service.
Gérer les services
La première approche consiste à l’utiliser pour démarrer, arrêter, suspendre ou
reprendre l’exécution d’un service, bien que son intérêt ne réside pas forcément dans ce
genre de manipulations.
D’autant plus que, contrairement à d’autres outils, il ne gère pas automatiquement les
dépendances. Cela signifie par exemple que si vous souhaitez arrêter un service, c’est à
vous d’arrêter proprement les services dépendants, et parfois leurs propres services
dépendants, etc. avant de pouvoir arrêter le service en question.
Concrètement pour démarrer un service :
sc start aspnet_state
La commande start démarre le service.

Figure 11‑10 Démarrage du service

Si vous tentez d’arrêter un service dont les dépendances ne sont pas arrêtées, vous
aurez un message d’échec. Par exemple, si vous cherchez à arrêter brutalement w3svc :
sc stop w3svc
La commande stop envoie une demande d’arrêt à un service.
Dans le cas de la figure ci-dessus, ni le service W3SVC, ni les services dépendants ne
seront arrêtés. Pour l’arrêter proprement, vous devez connaître les dépendances de w3svc :
sc enumdepend w3svc
La commande enumdepend énumère les dépendances d’un service.
Figure 11‑11 Dépendances du service

Il n’y a qu’une seule dépendance (entriesread = 1). Il s’agit du service w3logsvc et


celui-ci n’a pas de dépendance.
Ensuite, il faut lancer les deux commandes successives :
sc stop w3logsvc
sc stop w3svc
Dans la pratique, il est plus simple d’utiliser la commande suivante qui se charge de
tout arrêter proprement :
Net stop w3svc
Interroger les services

L’interface graphique de la console MMC Services.msc est limitée car elle ne présente
pas toutes les caractéristiques des services.
Sc.exe offre beaucoup plus d’informations détaillées sur un service. Les propriétés du
service sont stockées dans le registre et elles sont exposées par Sc.exe.
Par exemple, pour connaître le nom d’affichage du service qui correspond au nom
w3svc, vous tapez dans une invite de commandes :
sc getdisplayname w3svc
La commande getdisplayname donne le nom complet d’un service.

Figure 11‑12 Nom complet du service

De même, pour connaître les options de récupérations du Service d’activation des


processus Windows (WAS), vous tapez dans une invite de commandes :
sc qfailure was
La commande qfailure donne les actions entreprises lors des défaillances d’un service.

Figure 11‑13 Actions en cas de défaillances

Il y a des usages encore plus spécifiques, comme la récupération du SID du service. Le


SID (Security Identifiers) est un identifiant unique pour les entités qui effectuent des
tâches dans Windows :
sc showsid w3svc
La commande showsid donne la chaîne du SID d’un service.
Figure 11‑14Identifiant SID du service

Vous pouvez aussi obtenir les privilèges Windows utilisés par le service :
sc qprivs w3svc
La commande qprivs donne les privilèges requis d’un service.

Figure 11‑15 Privilèges du service

Configurer les services


L’utilitaire Sc.exe ne sert pas qu’à interroger. Il permet aussi de modifier les paramètres
du service. Par exemple, pour forcer le démarrage d’un service en démarrage automatique.
Prenez l’exemple du service NetTcpPortSharing qui est en type de démarrage
désactivé, par défaut.
sc qc NetTcpPortSharing
La commande qc donne les informations de configuration pour un service.

Figure 11‑16 Requête

Pour forcer le type de démarrage en automatique pour le service NetTcpPortSharing :


sc config NetTcpPortSharing start= auto
Attention à l’espace avant auto.
Il existe de nombreuses autres possibilités de configurations avec le programme
Sc.exe.

PowerShell
Il est possible de manipuler les caractéristiques de base des services Windows avec les
cmdlets PowerShell : Get-Service, New-Service, Restart-Service, Resume-Service, Set-
Service, Start-Service, Stop-Service, Suspend-Service.
Par exemple, si vous voulez avoir la liste de tous les services en cours d’exécution :
Get-Service | Where-Object {$_.Status -eq “Running”}
Toutefois, les manipulations avancées des services nécessitent souvent de manipuler
l’objet Win32_Service avec la cmdlet Get-WmiObject, via Windows Management
Instrumentation (WMI).
Par exemple, si vous voulez obtenir le type de démarrage des services, vous utiliserez
la commande PowerShell suivante car la cmdlet Get-Service ne renvoie pas le type de
démarrage.
Get-WmiObject win32_service | FT Name, StartMode –a
Comme l’utilisation des objets WMI est un sujet qui implique de nombreux concepts
qui sont ne sont pas directement liés à Exchange ou IIS, le lecteur curieux est invité à
consulter des ouvrages spécialisés sur ce sujet.
Assurer la surveillance d’Exchange
La surveillance d’un système Exchange est une tâche à accomplir dès sa mise en
production.
En effet, car les informations récupérées et enregistrées lorsque “tout va bien” servent à
détecter une légère dérive ou un avertissement anodin avant qu’il ne se transforme en une
erreur critique.
Ces mêmes informations aident aussi à diagnostiquer plus rapidement et avec plus
d’efficacité un dysfonctionnement majeur, en constituant une base de référence.
Observateur d’événements
L’observateur d’événements est le premier outil à utiliser en cas de problème ou pour
surveiller l’activité d’Exchange. Il est interrogeable via la MMC eventvwr.msc ou en
ligne de commande avec l’outil en ligne de commande wevtutil.exe.
Il est possible de sélectionner des événements selon les critères choisis ou de collecter
des événements grâce à un abonnement.
Parfois, il est nécessaire d’analyser les événements d’ordinateurs différents pour
résoudre certains problèmes. Pour cela, vous pouvez activer la collecte des événements
d’autres ordinateurs afin d’en stocker une copie localement en créant un abonnement.
Une fois que les événements sont collectés, vous pouvez les manipuler comme les
autres événements locaux.

Figure 11‑17 Abonnement

Journaux Windows
Les journaux visibles dans l’observateur d’évènements possèdent tous une structure
identique.
Le journal Application consigne les messages issus des applications. Tous les
processus ont le droit d’écrire dans ce journal.
Le journal Sécurité consigne les messages issus des stratégies d’audit, ainsi que ceux
liés aux connexions. Par défaut, seuls les processus système ont le droit d’écriture dans ce
journal.
Le journal Système consigne les messages issus des processus non interactifs.
Le journal Installation consigne les messages relatifs à l’installation des applications.
Le journal Événements transférés consigne les messages liés aux abonnements.
Les événements eux-mêmes sont structurés à l’identique. En particulier, vous trouverez
toujours les informations sur le niveau (critique, erreur, avertissement, informations,
commentaires), la date et l’heure, la source, la catégorie qui dépend de la source, le
numéro identifiant de l’événement et la zone description.
La description étant libre, c’est souvent dans cette zone que se trouve des informations
précises.
L’interface graphique permet de retrouver rapidement les événements relatifs à un
service grâce aux fonctionnalités de filtrage intégrées.
Il existe plusieurs journaux visibles dans l’observateur d’événements mais le premier à
scruter est le journal Application.
Bien que le journal Application est précieux, ce serait une erreur d’en faire une
religion. Ce qui signifie que vous pouvez avoir une ferme de serveurs Exchange qui
fonctionne parfaitement bien et malgré tout, vous observez régulièrement des messages
d’avertissements ou d’erreurs dans le journal Application.
En effet, le comportement d’un composant peut être normal malgré l’apparition d’une
erreur. Cela arrive fréquemment quand le fonctionnement d’un composant est basé sur
l’hypothèse d’un démarrage d’un autre composant. Une fois que l’autre composant a
démarré, ou au contraire a fini son traitement, tout rentre dans l’ordre.
Ce phénomène se rencontre aussi dans SharePoint ou ailleurs, ainsi que dans d’autres
produits d’autres éditeurs.
Comme tous les journaux, vous pouvez filtrer le journal Application sur un ou
plusieurs ID d’événements, ou sur la source d’événements.

Figure 11‑18 Observateur d’événements


Journaux des applications et des services
En plus du fichier journal Application, il existe des fichiers journaux spécifiques à
Exchange dans Journaux des applications et des services.
Par exemple, le fichier journal MSExchange Management enregistre toutes les
cmdlets passées dans l’environnement EMS (Exchange Management Shell). Il indique
aussi le résultat de la commande est réussie ou en erreur. De cette manière, vous pouvez
récupérer l’historique des commandes réussies exécutées sur vos serveurs Exchange.
Dans l’arborescence des Journaux des applications et des services, il existe aussi les
fichiers journaux Exchange qui sont hébergés sous le dossier Microsoft puis Exchange.
Ces journaux stockent des événements provenant d’une application ou d’un composant
isolé, plutôt que des événements qui peuvent avoir un impact sur l’ensemble du système.
Ils sont parfois appelés le canal pourpre (crimson channel).
Pour Exchange, il existe les canaux d’enregistrement suivants : ActiveMonitoring,
Compliance, DxStoreHA, ESE, HighAvailability, MailboxAssistants,
MailboxDatabaseFailureItems, ManagedAvailability, PushNotifications, Troubleshooters.
Vous trouverez ci-dessous la description des canaux les plus pertinents pour le
dépannage.
Le canal ActiveMonitoring enregistre l’activité liés à la définition et au résultat des
sondes, moniteurs et répondeurs de disponibilité gérée (cf. ci-dessous).
Le canal HighAvailability enregistre l’activité liée au service de réplication Microsoft
Exchange, ainsi que ses composants, comme Active Manager, l’API de réplication
synchrone tiers, le serveur de tâches RPC, le port d’écoute TCP et l’enregistreur VSS.
Pour Active Manager, ce canal enregistre des événements comme le montage de la base de
données et la troncation du journal, ainsi que les événements associés au cluster sous-
jacent du DAG.
Le canal MailboxDatabaseFailureItems enregistre l’activité liée aux défaillances qui
affectent une base de données de boîte aux lettres répliquées.
Le canal ManagedAvailability enregistre l’activité liée aux actions de récupération, ainsi
que les résultats et les événements associés.
Le canal PushNotifications enregistre l’activité liée au push.
Cmdlets de surveillance
Pour afficher la liste des catégories d’événements Exchange et les niveaux de journal
correspondants sur des serveurs Exchange, tapez la commande suivante.
Get-EventLogLevel | FT -a
Par défaut, la journalisation est au niveau Lowest.
La modification des niveaux d’enregistrement peut aider la résolution des problèmes
liés à l’environnement Exchange.
Pour augmenter le niveau de journalisation d’événements de la catégorie MSExchange
ActiveSync\Requests sur Élevé, tapez la commande suivante sur une seule ligne.
Set-EventLogLevel `
-Identity “MSExchange ActiveSync\Requests” `
-Level High
Pour vérifier le bon fonctionnement de votre serveur Exchange, vous pouvez le faire
avec la cmdlet suivante.
Test-Mailflow

Figure 11‑19 Test-Mailflow

Si la commande Test-Mailflow affiche *ÉCHEC* (*FAILURE*) dans le champ


TestMailflowResult, vous pouvez la relancer avec les paramètres suivants qui vous
donneront plus de détail.
Test-Mailflow -ErrorLatency:1 `
-ExecutionTimeout:1 –MonitoringContext $True
Par ailleurs, vous pouvez tester la configuration des composants Exchange, grâce à la
cmdlet suivante.
Test-ServiceHealth
Les composants ne correspondent pas à un service Exchange au sens Windows. Ils sont
à comprendre comme des fonctionnalités mises à disposition des utilisateurs.
L’état des composants est stocké dans Active Directory et dans la base de registre
Windows. Vous pouvez interroger l’état des composants mais aussi les arrêter, les
démarrer ou les tester.
Figure 11‑20 Test des services

Vous pouvez obtenir une vue récapitulative de l’intégrité comprenant les indicateurs
d’intégrité et leur état actuel, grâce à la commande suivante.
Get-HealthReport -Id XSGMBx
Vous pouvez récupérer les paramètres de la configuration des composants Exchange,
grâce à la commande suivante.
Get-ServerComponentState -Id XSGMBx | ft -a
Vous pouvez obtenir une vue détaillée du composant HubTransport, grâce à la
commande suivante à saisir sur une seule ligne.
Get-ServerHealth -Id XSGMBx `
-HealthSet HubTransport

Figure 11‑21 Détail d’un composant (vue partielle)

Vous pouvez afficher la configuration générale des serveurs Exchange, grâce à la


commande suivante.
Get-ExchangeServer | ft -a
Vous pouvez afficher la configuration plus détaillée d’un serveur Exchange en
particulier, grâce à la commande suivante.
Get-ExchangeServer -Id XSGMBx | fl
Vous pouvez afficher la configuration des services de transport, grâce à la commande
suivante.
Get-TransportService
Vous pouvez afficher la configuration des serveurs Boîtes aux lettres, grâce à la
commande suivante.
Get-MailboxServer
Vous avez intérêt à sauvegarder les informations de configuration après chaque
modification importante. Ensuite, vous cherchez les différences entre les versions.
Par exemple, le 2 mai, grâce à la commande suivante à saisir sur une seule ligne.
Get-TransportService XSGMBx | fl > c:\XSGMBx-0502.txt
Ensuite, le 8 juin.
Get-TransportService XSGMBx | fl > c:\XSGMBx-0608.txt
Puis dans une invite de commandes Windows, tapez la commande suivante sur une
seule ligne.
Attention, ne tapez pas cette commande dans Windows PowerShell, car fc est un alias
de la cmdlet Format-Custom, ce qui n’a aucun rapport avec la comparaison de fichiers.
fc c:\XSGMBx-0502.txt c:\XSGMBx-0608.txt
Rapports d’audit EAC
Exchange propose des rapports d’audits prêts à l’emploi. Ces rapports permettent de
rechercher les modifications apportées aux boîtes aux lettres et aux paramètres de
configuration.
Ces rapports peuvent être consultés en ligne, ou exportés vers un fichier qui sera
envoyé à vous-même ou à un autre destinataire.
Le rapport Exécuter un rapport d’accès aux boîtes aux lettres par des non-
propriétaires permet de savoir si une boîte aux lettres a été utilisée ou modifiée par une
personne autre que le propriétaire.
Le rapport Exécuter un rapport de groupe de rôles d’administrateur permet
d’identifier les modifications apportées aux groupes de rôles.
Le rapport Exécuter un rapport de découverte électronique et de conservation
inaltérables permet d’identifier les modifications apportées à la découverte électronique
sur place et à l’archive permanente.
Le rapport Exécuter un rapport de conservation pour litige par boîte aux lettres
permet d’identifier les utilisateurs dont le blocage de litige est activé ou désactivé pour
leur boîte aux lettres.
Le rapport Exporter les journaux d’audit de boîte aux lettres permet de rechercher
et exporter les informations concernant l’accès non propriétaire à une boîte aux lettres.
Le rapport Exécuter le journal d’audit de l’administrateur permet de rechercher et
afficher des informations sur les modifications de configuration effectuées dans
l’organisation.
Le rapport Exporter le journal d’audit de l’administrateur permet de rechercher et
exporter les informations sur les changements de configuration effectuées dans votre
organisation.
Afficheur des files d’attente
Plusieurs outils intéressent l’administrateur pour dépanner et notamment ceux présents
dans la boite à outils (Exchange Toolbox) d’Exchange.
L’afficheur des files d’attente est utile lorsque les délais de remise sont longs, en cas
d’absence de remise ou de messages perdus, ou en cas de problème de synchronisation du
Edge.
Il permet de surveiller le flux des messages, inspecter les files d’attente et les messages
et exécuter des actions comme la suspension ou la reprise d’une file d’attente, ou la
suppression de messages avec ou sans accusé de non-remise.
Les files d’attentes sont détaillées plus bas.
Office 365 Best Practices Analyzer
EAC propose aussi l’utilisation de l’outil Office 365 Best Practices Analyzer. Cet
outil exécute une batterie d’analyses pour récupérer les informations de configuration. À
la fin, il affiche un rapport d’analyse sur la configuration de votre organisation Exchange.

Figure 11‑22 Outil Office 365 Best Practices Analyzer

Éventuellement, vous devrez rajouter le site http://bestpracticesanalyzer.microsoft.com


dans les sites de confiance, pour télécharger et enregistrer le setup.exe.
Avec le Gestionnaire de serveurs, installez la fonctionnalité qui s’intitule
Fonctionnalités .NET Framework 3.5.
Ensuite, vous pouvez exécuter le setup.exe.
Une fois qu’il est exécuté, vous devez éventuellement accepter les termes du Windows
Azure Active Directory Module for Windows PowerShell et ceux de Microsoft Online
Services Sign-in Assistant, si ce n’est pas déjà fait.

Figure 11‑23 Installation de Office 365 BPA

Vous cliquez sur le bouton Installer.


Lors de l’affichage des conditions d’utilisation, vous cliquez sur le bouton accept.
Puis vous lancez l’outil avec le bouton next puis start scan.
Au lancement du programme, l’outil vous demande un compte Office 365 mais il n’est
pas obligatoire.

Figure 11‑24 Compte Office 365

Si vous n’avez pas de compte Office 365, vous cliquez sur Annuler : le test démarre.

Figure 11‑25 Résultats BPA

Une fois que l’analyse est terminée, vous pouvez cliquer en face de chaque type de
résultats : failed checks, warning checks, informational checks, passed checks afin
d’obtenir le détail.
Pour obtenir la liste détaillée des résultats, vous pouvez aussi cliquer sur view details,
puis vous pouvez cliquer sur la petite flèche à gauche de chaque résultat pour obtenir une
explication.
Figure 11‑26 Résultats détaillés BPA

Si vous revenez sur la fenêtre précédente avec le résumé, vous avez aussi la possibilité
de sauvegarder les résultats de l’analyse sous forme d’un fichier HTML avec le bouton
save scan results. L’affichage obtenu avec cette méthode est généralement plus
exploitable.

Figure 11‑27 Affichage HTML de BPA

À ce jour, cet outil est en version Beta 1.0. Il est donc possible que les résultats ne
soient pas consistants. En outre, les informations fournies doivent être prises en
considération tout en faisant preuve de discernement.
Suivi des performances
L’Analyseur de performances (Performance Monitor) permet d’examiner le
comportement d’un processus à la fois en temps réel et en collectant des données afin de
les analyser ultérieurement.
Il est accessible grâce à la MMC Perfmon.msc.

Figure 11‑28 Analyseur de performances

Il peut aussi bien être utilisé pour détecter des problèmes de performances, que pour
vous aider à diagnostiquer l’origine de défaillances ou assurer la surveillance d’Exchange.
En effet, il utilise des compteurs de performances, des données de suivi d’événements
ou des informations de configuration qui peuvent être enregistrés régulièrement afin de
constituer une base de référence du comportement de votre serveur.
La comparaison dans le temps entre ces différents relevés permet parfois de détecter
l’apparition d’une anomalie.
Un compteur de performances enregistre l’activité d’un compteur d’un objet. Un
objet concerne une ressource matérielle comme la mémoire, la CPU, le réseau, les disques,
etc. ou une application logicielle avec des objets propres à l’application, comme Microsoft
Exchange Server, Internet Information Server, etc.
Un compteur est propre à un objet. Par exemple, pour l’objet Mémoire, il existe un
compteur Octets disponibles, qui correspond à la taille de la mémoire physique disponible.
Les valeurs enregistrées peuvent être instantanées ou la moyenne sur un laps de temps
donné.
Les données de suivi d’événements sont renseignées par les fournisseurs de suivi, qui
sont des composants du système d’exploitation ou des applications individuelles.
Les informations de configuration sont renseignées grâce aux valeurs des clés du
Registre Windows.
L’arborescence nommée Performance est composés de trois panneaux : Outils
d’analyse, Ensembles de collecteurs de données et Rapports.
Sous Outils d’analyse, l’entrée Analyseur de performances est probablement la plus
connue des administrateurs Windows, avec son graphe qui s’anime immédiatement. Elle
permet aussi de lire des fichiers journaux d’activité préalablement enregistrés.
Sous Ensembles de collecteurs de données, l’entrée Définis par l’utilisateur contient
deux ensembles collecteurs de données installés avec Exchange. Ces collecteurs sont
démarrés par défaut et ils enregistrent l’activité de très nombreux compteurs :
ExchangeDiagnosticsDailyPerformanceLog s’exécute tous les jours.
ExchangeDiagnosticsPerformanceLog s’exécute toutes les cinq minutes.
Sous Rapports, l’entrée Définis par l’utilisateur contient les rapports générés par les
ensembles de collecteurs de données Exchange. Les rapports sont stockés dans les sous-
dossier de %ExchangeInstallPath%Logging\Diagnostics.

Compteurs à surveiller
Dans le collecteur ExchangeDiagnosticsDailyPerformanceLog fourni avec Exchange,
il y a plus de 4000 compteurs enregistrés. Face à cette richesse, vous devrez faire un
choix. Aussi, vous trouverez ci-dessous des exemples de compteurs à surveiller qui sont
présents dans mon “kit de secours” pour Exchange.
Il s’agit d’un partage d’expérience, et certainement pas d’une vérité absolue car chaque
situation en clientèle est différente.
De même, pour quelques compteurs, une valeur suggérée est proposée qu’il faut aussi
relativiser. En particulier, l’examen d’une valeur relevée doit être mise en perspective avec
l’activité en cours.
Une très forte activité se traduira par une augmentation de la plupart des compteurs.
S’il s’agit d’une pointe d’activité exceptionnelle que les serveurs ont un peu de mal à
supporter, ce n’est pas très grave. En revanche, si la situation perdure, il faut investiguer.

Compteurs système à surveiller


Disque
Longueur moyenne de file d’attente lecture disque est le nombre moyen de
demandes de lecture placées en file d’attente pour le disque sélectionné pendant
l’intervalle échantillon. La valeur de ce compteur doit être inférieure à 2 par axe.
L’utilisation d’un système RAID peut augmenter significativement les valeurs relevées.
Moyenne disque, octets/transfert est le nombre moyen d’octets transférés depuis ou
vers le disque durant des opérations de lecture ou d’écriture. La valeur de ce compteur doit
être élevée.
Mémoire
Octets de réserve paginée sont le nombre d’octets dans la réserve paginée, une zone
de mémoire système (mémoire physique utilisée par le système d’exploitation) pour les
objets qui peuvent être écrits sur le disque lorsqu’ils ne sont pas utilisés. La valeur de ce
compteur doit être inférieure à 75% de la mémoire RAM.
Pages/s sont la vitesse à laquelle les pages sont lues à partir du disque ou écrites sur le
disque afin de résoudre des défauts de page matériels. La valeur de ce compteur doit être
inférieure à 20.
Processeur

% Temps processeur est le pourcentage de temps que le processeur utilise pour


exécuter des threads actifs. La valeur de ce compteur doit être inférieure à 80%

Compteurs Exchange à surveiller


Base de données MSExchange

Anomalies de pages de base de données/s indique le taux auquel les demandes de


pages de fichier de base de données nécessitent que le gestionnaire de cache alloue une
nouvelle page depuis le cache de base de données.
Checksums incorrects des pages de maintenance de base de données indique le
nombre de checksums de pages non corrigeables détectées lors du passage de la
maintenance de base de données.
Écritures journal/s indique le nombre de fois par seconde que les tampons du journal
sont écrits dans les fichiers journaux.
Taille de cache de base de données (Mo) est la taille de mémoire système utilisée par
le gestionnaire de cache de base de données pour stocker les informations utilisées pour
diminuer les opérations de fichiers.
MSExchange ActiveSync

Commandes Sync/s indique le nombre de commandes Sync traitées chaque seconde.


Les clients utilisent cette commande pour synchroniser des éléments dans un dossier.
MSExchange OWA

Demandes en échec/s est le nombre de demandes d’Outlook Web App qui ont échoué
par seconde.
MSExchangeAutodiscover

Demandes/s correspond au nombre de demandes de découverte automatique traitées


par seconde.
MSExchangeWS

Temps moyen de réponse indique le temps moyen (en millisecondes) écoulé entre le
début et la fin des demandes.
Proxy RPC/HTTP
Nombre de tentatives de connexions à un serveur frontal est la fréquence à laquelle
le proxy RPC tente d’établir une connexion à un serveur frontal.
Requêtes RPC/HTTP par seconde est le taux de requêtes envoyées aux serveurs
frontaux par seconde.
SmtpReceive de la remise MSExchange
Messages reçus/s indique le nombre de messages reçus par le serveur SMTP chaque
seconde.
Moyenne d’octets/message indique le nombre moyen d’octets message par message
entrant reçu.
Octets de message reçus/s indique le nombre d’octets reçus dans les messages par
seconde.
Octets reçus/s indique le nombre d’octets reçus par seconde.
SmtpSend de la remise MSExchange
Messages envoyés/s indique le nombre de messages envoyés chaque seconde par le
connecteur SMTPSend.
Moyenne d’octets/connexion indique le nombre moyen d’octets par connexion
envoyés par ce connecteur SMTPSend.
Octets de message envoyés/s indique le nombre d’octets envoyés dans les messages
par seconde.
Octets envoyés/s indique le nombre d’octets envoyés par seconde.

Compteurs IIS à surveiller


Applications ASP.NET
Demandes/s est le nombre de demandes exécutées par seconde. La valeur de ce
compteur doit être élevée.
Nombre d’instances de pipeline est le nombre d’instances de pipeline actives. La
valeur de ce compteur doit être faible sous charge.
Total d’erreurs est le nombre total d’erreurs. La valeur de ce compteur doit être égale
à 0.
ASP.NET
Demandes en attente est le nombre de demandes en attente de traitement. La valeur
de ce compteur doit être proportionnelle à la charge client.
Redémarrages de l’application est le nombre de fois où l’application a été
redémarrée au cours de la durée de vie du serveur Web. La valeur de ce compteur doit être
en diminution ou stable.
Redémarrages du processus de travail est le nombre de fois où un processus de
travail a redémarré sur l’ordinateur. La valeur de ce compteur doit être en diminution ou
stable.
Cache de service Web

% de correspondances dans le cache URI est le ratio entre les accès au cache URI du
mode utilisateur et le nombre total de demandes de cache (depuis le démarrage du
service). La valeur de ce compteur doit être élevée.
Noyau: % de correspondances dans le cache URI est le ratio entre les accès au
cache URI du noyau et le nombre total de demandes de cache (depuis le démarrage du
service). La valeur de ce compteur doit être élevée.
Service Web

Connexions actives est le nombre actuel de connexions établies avec le service Web.
La valeur de ce compteur est un indicateur.
Nb total de demandes de méthodes/s est la fréquence à laquelle les requêtes HTTP
sont reçues. La valeur de ce compteur doit être élevée.
Octets envoyés/s est la vitesse d’émission des octets de données par le service Web. La
valeur de ce compteur doit être élevée.
Gestion de la charge de travail
La gestion de la charge de travail (Workload Management) permet de contrôler la
consommation des ressources système telles que le processeur par les charges de travail,
comme l’utilisation d’Outlook Web App ou la migration de boîtes aux lettres.
L’objectif est de s’assurer qu’une consommation importante de ressources d’un
utilisateur ne va pas impacter trop fortement les performances du serveur ou les temps de
réponse des autres utilisateurs.
Par défaut, l’utilisateur peut augmenter brièvement la consommation de ressources
pendant sans subir de réduction de bande passante. Si la situation perdure, les processus
sont retardés pendant de courtes périodes pour l’utilisateur.
Il n’y a qu’une stratégie de limitation par défaut dans Exchange 2016, qui s’intitule
GlobalThrottlingPolicy. Cette stratégie définit les paramètres de limitation par défaut
pour tous les utilisateurs nouveaux et existants dans votre organisation.
Microsoft recommande vivement de ne pas personnaliser les paramètres de limitation
de la stratégie GlobalThrottlingPolicy.
En revanche, vous pouvez créer des stratégies de limitation supplémentaires. Celles-ci
peuvent concerner une charge de travail particulière et s’appliquer à tous les utilisateurs,
ou un utilisateur en particulier ou un serveur spécifique.
L’interrogation des paramètres de stratégies de limitation se fait grâce à la cmdlet
suivante.
Get-ThrottlingPolicy

Figure 11‑29 Stratégie de limitation

Vous pouvez créer une stratégie de limitation qui interdit d’exécuter plus de trois
cmdlets destructives en moins de dix minutes, avec la cmdlet suivante.
Une cmdlet de destructive peut être par exemple une suppression de compte ou de
boîte aux lettres.
New-ThrottlingPolicy -Name HalteSuppression `
-PowerShellMaxDestructiveCmdlets 3 `
-PowerShellMaxDestructiveCmdletsTimePeriod 600
Si vous voulez appliquer cette stratégie à Bob, tapez la cmdlet suivante.
Set-ThrottlingPolicyAssociation `
-Id ‘Bob Durand’ `
-ThrottlingPolicy HalteSuppression
Si Bob essaye de faire trois cmdlets destructives en moins de 10 minutes, il aura le
message suivant.
Figure 11‑30 Résultat de la stratégie (vue partielle)

Bob doit attendre l’expiration du délai avant de soumettre à nouveau ses cmdlets
destructives.
TP 11A Configurer l’audit
Objectif
L’objectif est de découvrir et manipuler les rapports d’audit.
Les tâches à accomplir sont :
Activer l’enregistrement d’audit de boîte aux lettres
Configurer Outlook sur le web pour autoriser les pièces jointes XML
Exécuter le journal d’audit de l’administrateur
Exporter le journal d’audit de l’administrateur
Exécuter un rapport de découverte électronique et de conservation inaltérables
Exécuter un rapport de groupe de rôles d’administrateur

Solution
Activer l’enregistrement d’audit de boîte aux lettres

L’enregistrement d’audit de boîte aux lettres doit être activé pour chaque boîte aux
lettres concernée, si vous souhaitez obtenir un rapport d’audit en cas d’accès à la boîte aux
lettres par un non-propriétaire.
Pour activer l’enregistrement d’audit de boîte aux lettres pour la boîte aux lettres
d’Alice, exécutez la commande suivante dans EMS.
Set-Mailbox ‘Alice Martin’ -AuditEnabled $true
Pour l’activer pour toutes les boîtes aux lettres, exécutez d’abord cette première
commande dans EMS pour récupérer un objet qui pointe sur toutes les boîtes aux lettres.
$Bal = Get-Mailbox -Filter {(RecipientTypeDetails -eq ‘UserMailbox’)}
Puis, exécutez ensuite la commande suivante dans EMS.
$Bal | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Vous venez d’activer l’enregistrement d’audit pour toutes les boîtes aux lettres de
l’organisation. Pour vérifier la prise en compte de vos commandes, exécutez la cmdlet
suivante.
Get-Mailbox | FL Name,AuditEnabled
Configurer Outlook sur le web pour autoriser les pièces jointes XML

Outlook pour le Web bloque les pièces jointes XML par défaut. Hors, Exchange envoie
un fichier au format XML lors d’une demande d’export d’un journal d’audit des boîtes aux
lettres. Par défaut, Outlook ne bloque pas les pièces jointes au format XML.
Si vous voulez utiliser Outlook sur le web pour consulter les rapports d’audit transmis
d’Exchange, exécutez la cmdlet suivante pour ajouter XML à la liste des types de fichiers
autorisés dans Outlook sur le web.
Set-OwaMailboxPolicy -Id Default
-AllowedFileTypes @{add=’.xml’}
Exécutez la commande suivante pour supprimer XML de la liste des types de fichiers
bloqués dans Outlook Web App.
Set-OwaMailboxPolicy -Id Default -BlockedFileTypes @{remove=’.xml’}
Pour vérifier que les fichiers avec une extension .xml sont bien autorisés, exécutez la
cmdlet suivante.
Dans la liste qui s’affiche, vérifiez la présence de .xml.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty AllowedFileTypes
Pour vérifier que les fichiers avec une extension .xml ne sont pas interdits, exécutez la
cmdlet suivante.
Dans la liste qui s’affiche, vérifiez l’absence de .xml.
Get-OwaMailboxPolicy | Select-Object -ExpandProperty BlockedFileTypes
Exécuter le journal d’audit de l’administrateur
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
La journalisation d’audit de l’administrateur est activée par défaut. Pour vérifier qu’elle
est activée, exécutez la commande suivante dans EMS.
Get-AdminAuditLogConfig |
FL AdminAuditLogEnabled
Si la journalisation d’audit de l’administrateur est désactivée, vous pouvez l’activer en
exécutant la commande suivante.
Set-AdminAuditLogConfig
-AdminAuditLogEnabled $True
Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez
une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités, cliquez sur gestion de la conformité puis cliquez sur
l’onglet audit.
Dans le volet central, cliquez sur Exécuter le journal d’audit de l’administrateur :
une fenêtre s’ouvre.
Si rien n’apparaît dans la fenêtre, cliquez sur le bouton rechercher. Vous pouvez aussi
modifier la date de début et la date de fin, qui est par défaut la date d’aujourd’hui.
Vous pouvez parcourir la liste de toutes les cmdlets qui ont été exécutées sur votre
serveur. Dans le volet de droite, vous le détail de la cmdlet. Ces cmdlets ont pu être
exécutées directement dans EMS ou via EAC.
Consultez quelques cmdlets puis cliquez sur le bouton Fermer.
Exporter le journal d’audit de l’administrateur

Dans le volet de fonctionnalités d’EAC, cliquez sur gestion de la conformité puis


cliquez sur l’onglet audit.
Dans le volet central, cliquez sur Exporter le journal d’audit de l’administrateur :
une fenêtre s’ouvre.
Cliquez sur le bouton sélectionner des utilisateurs puis sélectionnez votre compte.
Vous pouvez aussi modifier la date de début et la date de fin.
Cliquez sur le bouton exporter.
Ouvrez Outlook sur le web : tenez compte que l’opération d’export peut prendre de très
nombreuses minutes. À titre d’informations, la réception des exports peut prendre
plusieurs jours dans Exchange Online. Même si cela est beaucoup plus rapide avec
Exchange Server 2016, pendant ce temps, passez à l’exercice suivant.
Exécuter un rapport de découverte électronique et de conservation inaltérables

Dans le volet de fonctionnalités d’EAC, cliquez sur gestion de la conformité puis


cliquez sur l’onglet audit.
Dans le volet central, cliquez sur Exécuter un rapport de découverte électronique et
de conservation inaltérables : une fenêtre s’ouvre.
Si rien n’apparaît dans la fenêtre, cliquez sur le bouton rechercher. Vous pouvez aussi
modifier la date de début et la date de fin.
Consultez les blocages puis cliquez sur le bouton Fermer.
Exécuter un rapport de groupe de rôles d’administrateur

Dans le volet de fonctionnalités d’EAC, cliquez sur gestion de la conformité puis


cliquez sur l’onglet audit.
Dans le volet central, cliquez sur Exécuter un rapport de groupe de rôles
d’administrateur : une fenêtre s’ouvre.
Si rien n’apparaît dans la fenêtre, cliquez sur le bouton rechercher. Vous pouvez aussi
modifier la date de début et la date de fin, ainsi que les groupes de rôles à auditer. Si vous
ne sélectionnez aucun groupe de rôles, ils sont tous audités.
Vous savez quels sont les membres qui ont été mise à jour et quand.
Figure 11‑31 Rapport d’audit sur les groupes de rôle

Consultez les groupes de rôles puis cliquez sur le bouton Fermer.

Résumé
Dans cet exercice, vous avez manipulé les rapports d’audit afin de d’identifier des
activités suspectes.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Exporter les journaux d’audit de boîte aux lettres : Exchange 2013 Help :
https://technet.microsoft.com/fr-fr/library/jj150552(v=exchg.150).aspx
Chapitre 12 Réparer les bases de données

Base de données de boîtes aux lettres


La mémoire du serveur Exchange est organisée sous forme de cache de pages, ainsi
que de mémoires tampons pour les journaux de transaction, et la banque des versions.
La banque des versions est l’emplacement où Exchange conserve les enregistrements
des transactions non terminées.
Les mémoires tampons sont vidées pour créer les fichiers journaux de transaction
LOG. Ces fichiers sont toujours créés avant la mise à jour de la base EDB.
La mémoire cache sert à mettre à jour les pages de la base EDB. Cette base est mise à
jour plus tardivement que les fichiers journaux de transaction.
Ce fonctionnement entraîne un décalage volontaire entre les mises à jour enregistrées
dans les fichiers journaux LOG et celles qui sont enregistrées dans la base EDB.
Afin d’assurer la cohérence des enregistrements à tout moment, un fichier avec un
extension CHK, comme par exemple E00.chk, stocke les informations sur les dernières
mises à jour faites dans le fichier EDB. Quand une transaction est écrite sur le fichier EDB
à partir de la mémoire, le fichier CHK l’enregistre.
Ce mécanisme permet d’assurer la cohérence des enregistrements.
Cependant, à chaque instant dans le cadre d’une activité normale, il y a des données
qui restent dans la mémoire du serveur, qui ont été écrites dans les fichiers journaux LOG
mais pas dans le fichier EDB.
Cette quantité de données représente jusqu’à 100 Mo par base de données. Autrement
dit, si vous avez 3 bases de données, il peut rester 300 Mo de données en mémoire, qui ont
été enregistrées dans les fichiers journaux LOG mais pas dans les fichiers EDB
correspondants.
La compréhension de ces mécanismes est importante pour mieux saisir comment les
sauvegardes fonctionnent et comment restaurer sans perdre de données.
Base de données de récupération
Une base de données de récupération est un type particulier de base de données de
boîtes aux lettres, qui n’est pas visible dans EAC.
Elle permet de monter une base de données restaurée pour en extraire les données
depuis la base de données récupérée.
Vous pouvez créer plusieurs bases de données de récupération sur un serveur
Exchange. Elles ne sont pas prises en compte dans le calcul du nombre maximum de bases
de données de boîtes aux lettres supportées par les serveurs de boîtes aux lettres.
Le principe de fonctionnement est de choisir de restaurer une base de données et ses
fichiers journaux à un emplacement physique différent de celui d’origine. Cet
emplacement est celui qui est sera utilisé pour la création de la base de données de
récupération.
Comme cet emplacement est différent de l’emplacement d’origine, la base restaurée est
dans un état d’arrêt incohérent. Pour mettre cette base de données dans un état d’arrêt
cohérent, il faut utiliser le commutateur /R d’ESEUTIL.
Si vous avez besoin d’une base de données de récupération, vous devez la créer. Le
paramètre EdbFilePath doit correspondre au nom et au chemin d’accès du fichier de base
de données récupéré. Le paramètre LogFolderPath doit correspondre à l’emplacement des
fichiers journaux récupérés.
De cette façon, la base de données de récupération “pointe” sur les fichiers de la base
restaurée.
Une fois que le service de banque d’informations Microsoft Exchange est redémarré et
que la base de récupération est montée, il ne reste plus qu’à restaurer une boîte aux lettres
de cette base vers une boîte aux lettres d’un destinataire quelconque avec la cmdlet New-
MailboxRestoreRequest.
Détecter les corruptions de bases de données
Généralement, il existe deux types de corruptions logiques des bases de données.
Dans le cas de la corruption logique de la base de données, le total de contrôle des
pages de la base de données correspond, mais les données des pages sont erronées. Bien
que le système d’exploitation ait renvoyé un message de succès, les données n’ont pas été
écrites sur le disque, ou elles ont été écrites à la mauvaise place. Cela s’appelle un vidage
perdu. C’est généralement dû à une mauvaise configuration du disque.
Pour la corruption logique de banque d’informations, les données sont
généralement modifiées de manière inattendue par des applications tierces. Pour Exchange
les transactions sont valides. Cependant, l’utilisateur considère qu’il s’agit d’une altération
de sa boîte aux lettres.
Afin de répondre à ces problèmes, vous pouvez utiliser la fonction de Découverte
électronique et conservation inaltérables puisqu’elle évite que le contenu soit altéré ou
supprimé définitivement par un utilisateur ou une application.
Une autre possibilité est de mettre en œuvre les copies retardées (lagged copies) d’un
DAG.

Copies retardées
Les copies passives d’un DAG sont alimentées grâce à la réplication des fichiers
journaux de transaction.
Lorsqu’un fichier journal est créé sur le serveur qui détient la copie active, il est
envoyé à la file d’attente de relecture des serveurs qui détiennent une copie passive.
Vous pouvez paramétrer le délai d’attente avant que les fichiers de cette file d’attente
soient traités, grâce à l’option ReplayLagTime de la cmdlet :
Set-MailboxDatabaseCopy
Ce délai peut varier de 0.0:0:0 à 14.0:0:0, autrement dit de 0 seconde (immédiatement)
à 14 jours.
L’idée derrière ce délai est de se donner la possibilité de récupérer les mises à jour
jusqu’à une certaine date, afin d’éviter de reproduire une corruption sur la base passive.
On parle de copies retardées (lagged copies).
Par exemple, si vous voulez que les fichiers journaux soient rejoués au bout de 9 jours
et qu’ils soient tronqués au bout de 14 jours après avoir été rejoués dans la copie passive,
tapez la cmdlet suivante.
Set-MailboxDatabaseCopy -Id BDD-TOUS\XSGMBx
-ReplayLagTime 9.0:0:0 -TruncationLagTime 14.0:0:0
Afin d’éviter une perte éventuelle de données, la valeur du paramètre de
SafetyNetHoldTime doit être égale ou supérieure à ReplayLagTime. Le paramètre
SafetyNetHoldTime indique la durée de conservation du cliché instantané d’un message
non reconnu.
Par exemple, pour être cohérent avec l’exemple précédent, vous tapez la cmdlet
suivante.
Set-TransportConfig -SafetyNetHoldTime 11.0:0:0
Cette technique permet de retarder et de bloquer une corruption logique de bases de
données. Malgré son intérêt, elle nécessite de devoir stocker jusqu’à 14 jours maximum de
fichiers journaux de transactions. En outre, l’opération de rejoue de ces fichiers journaux
de transactions est chronophage.
Il s’agit donc plus d’une technique de récupération en cas de sinistre que de haute
disponibilité.
Avant de récupérer d’une base de données, vous devez suspendre la réplication sur la
base retardée, avec la cmdlet suivante.
Suspend-MailboxDatabaseCopy -Id BDD-TOUS\XSGMBx
Ensuite, vous devez identifier le fichier journal qui servira de point de reprise. Tous les
fichiers plus récents doivent être déplacés dans un autre dossier quelconque, afin de ne pas
être pris en compte lors de la relecture des fichiers journaux.
Puis, vous supprimez le fichier de contrôle avec une extension CHK, comme par
exemple E00.chk. Si le fichier CHK est absent, la relecture est faite automatiquement à
partir du fichier LOG le plus ancien. Si les mises à jour du fichier EDB ont déjà été faites
pour les premiers fichiers LOG, elles ne seront pas appliquées une seconde fois car seules
les nouvelles mises à jour seront appliquées.
Enfin, vous devez ouvrir une invite de commande et vous positionnez à l’emplacement
du fichier EDB. Ensuite, vous indiquez le chemin des fichiers journaux LOG dans le
commutateur /l. Par ailleurs, le commutateur /i sert à ignorer les autres bases de données
sur lesquels les fichiers journaux ne sont pas rejoués.
Par exemple, en tapant la commande suivante. Dans cette commande E00 est
l’identifiant interne de votre base, et non pas son nom.
ESEUTIL /R E00 /lE:\BDD01 /i
À l’issue de cette commande, le fichier EDB est mis à jour dans un état cohérent.
La base peut être restaurée selon les méthodes présentées plus bas dans le chapitre
consacré à la récupération en cas de sinistre.

Maintenance
Il existe un mécanisme de maintenance des bases de données qui est intégré à
Exchange. Ce mécanisme lui permet de vérifier la cohérence logique de la structure de la
base de données.
Sur chaque page de la base est calculé un contrôle afin de s’assurer que la page n’a pas
été altérée. Si une altération est détectée, le mécanisme de maintenance est capable de le
corriger.
En outre, il procède à une défragmentation logique en ligne afin de réorganiser les
pages et les indexes. L’objectif étant surtout de libérer des pages grâce à cette
réorganisation.
Cette maintenance de la base de données est faite par défaut quotidiennement et en
permanence, c.à.d. 24 heures / 24.
Pour éviter une consommation excessive des ressources, vous pouvez limiter le
fonctionnement de ce mécanisme sur une plage horaire définie.
Si vous ouvrez le Centre d’administration Exchange, dans le volet de fonctionnalités,
cliquez sur serveurs puis dans les onglets, cliquez sur bases de données.
Cliquez sur le nom d’une base de données pour la sélectionner et dans la barre d’outils,
cliquez sur Modifier (crayon).
Quand la base de données s’affiche, cliquez sur maintenance dans le volet.

Figure 12‑1 Maintenance de la base

Si vous décochez la case Activer la maintenance de base de données en arrière-plan


(analyse ESE 24 heures/24, 7 j/7), le mécanisme de maintenance des bases de données
s’exécutera uniquement sur la plage horaire définie, qui est par défaut entre 1 heure et
5 heures du matin. La durée de cette plage est personnalisable.
Les outils de réparation
Une fois la base de données démontée, sa cohérence peut être vérifiée avec les
commandes suivantes.
Cette commande vérifie le contrôle de parité (checksum) de toutes les pages de la base.
Si la commande échoue, recommencez avec le nom complet du fichier de la base de
données EDB.
ESEUTIL /K “BDD-TOUS.edb”

Figure 12‑2

La commande suivante vérifie l’intégrité des pages de la base.


ESEUTIL /G “BDD-TOUS.edb”

Figure 12‑3 Contrôle d’intégrité

Si une base est corrompue, ESEUTIL propose le commutateur /P pour éliminer tous les
pointeurs invalides. Ce commutateur soigne en supprimant, donc le résultat se traduit par
une perte de données.
Le processus de réparation prend du temps. Si vous suivez les recommandations de
Microsoft pour limiter la taille de vos bases à 200 Go, une réparation se déroule durant
une vingtaine d’heures environ.
La commande suivante répare les pages de la base.
ESEUTIL /P “BDD-TOUS.edb”
Une fois la réparation terminée, vous devez créer une nouvelle base de données qui
hébergera les boîtes aux lettres actuelles. Bien évidemment, vous pouvez le faire avec la
méthode classique de création d’une base de données, suivi d’une copie des boîtes aux
lettres, de la suppression de l’ancienne base et d’une sauvegarde.
Vous pouvez aussi utiliser le commutateur /D de ESEUTIL. Ce commutateur procède à
une défragmentation hors ligne. L’intérêt de la défragmentation hors ligne est
d’automatiser la création d’une nouvelle base de données, la copie des données dans la
nouvelle base, l’optimisation des données et la suppression de l’ancienne base de données.
Il ne vous restera plus qu’à faire la sauvegarde.
La défragmentation hors ligne peut prendre aussi beaucoup de temps. Pour une base de
200 Go, une défragmentation peut durer d’une à vingt heures, selon la quantité de données
à déplacer dans la base.
La commande suivante défragmente hors-ligne la base.
ESEUTIL /D “BDD-TOUS.edb”

Figure 12‑4 Défragmentation

Bien que les bases Exchange ne cessent de devenir plus robustes, la défragmentation
hors ligne régulière d’une base reste d’actualité. En effet, elle permet d’augmenter
sensiblement les performances et la robustesse. D’autant qu’il est facile d’écrire un script
planifié qui démonte automatiquement la base, la défragmente puis la remonte après une
sauvegarde.
TP 12A Résoudre des problèmes de bases de données
Objectif
L’objectif est de résoudre deux problèmes de bases de données.
Le premier problème concerne une base de données qui est dans un état incohérent et
qu’il faut remettre en état cohérent.
Le second est un problème de réplication de bases de données qui ne se produit plus
dans un DAG.
Les tâches à accomplir sont :
Résoudre les problèmes d’état de la base
Résoudre les problèmes de réplication de bases

Solution
Résoudre les problèmes d’état de la base
Compte-tenu de son fonctionnement, la base de données est toujours dans un état
incomplet. Il n’y a que quand elle est démontée proprement que les transactions en
mémoire restantes sont écrites dans la base.
Les informations sur l’arrêt sont stockées dans l’entête de la base. Cet entête est la
première page du fichier. La seconde page contient une copie de l’entête.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Avec le gestionnaire de tâches, arrêtez le processus
Microsoft.Exchange.Store.Service.exe.
Sans perdre de temps, saisissez la commande suivante. Si la commande échoue,
recommencez avec le nom complet du fichier de la base de données EDB.
ESEUTIL /MH BDD-TOUS.edb

Figure 12‑5 En-tête (vue partielle)


Parmi les informations restituées, identifiez la valeur de DB Signature. Elle contient la
date et l’heure de création de la base, ainsi qu’un nombre entier à côté de Rand qui
représente un identifiant interne de la base. La valeur de Rand sert de clé étrangère pour
les fichiers journaux et le fichier de contrôle.
Vérifiez que la taille de page est bien de 32 Ko (32768) dans la valeur de cbDbPage
Dans le champ State, relevez la valeur de l’état de la base. Il peut être en état cohérent
(Clean Shutdown) ou incohérent (Dirty Shutdown). Si vous avez été assez rapide, la base
affiche un état incohérent. Dans le cas contraire, vous n’avez pas pu faire un vidage de son
état.
Si la base est dans un état incohérent, vous avez besoin des fichiers journaux. Dans le
champ Log Required, vous trouvez le numéro du premier (0xaa) au dernier fichier journal
(0xc1) nécessaire. Vérifiez que vous trouvez les fichiers journaux E01000000AA.log à
E01000000C1.log.
Proposez par écrit une méthode de récupération mais ne la faites pas : vous aurez
l’occasion de le faire dans un autre exercice.
Résoudre les problèmes de réplication de bases

Cet exercice suppose qu’un DAG existe dans votre environnement. Dans ce DAG, les
bases ne répliquent plus entre elles.
Parmi les causes possibles, une réplication peut ne plus se faire à cause d’un espace
disque insuffisant sur le serveur de destination, ou en cas de problèmes intermittents ou
permanents de réseau, ou en l’absence d’autorisations suffisantes.
Dans un premier temps, afin d’identifier la nature du problème, vous allez suivre
l’évolution des files d’attentes de réplication. En effet, il existe deux colonnes qui vous
informent précisément sur l’évolution de ces files d’attentes.
La colonne CopyQueue Length donne le nombre de fichiers en attente de transferts
dans la file d’attente de réplication, tandis que ReplayQueue Length indique le nombre
de fichiers en attente sur la file d’attente de relecture.
Vous pouvez obtenir les valeurs de ces colonnes et donc l’état de la réplication des
bases des DAG, grâce à la cmdlet suivante.
Get-MailboxDatabase |
Get-MailboxDatabaseCopyStatus

Figure 12‑6 Statut de la réplication

Vous pouvez aussi tester l’état de la réplication des bases des DAG, grâce à la cmdlet
suivante.
Test-ReplicationHealth -Id XSGMBx

Figure 12‑7 État de la réplication

Vous voyez apparaître deux erreurs (volontaires) liées à l’absence de disponibilité de la


réplication du DAG.
Pour obtenir plus d’explications, tapez la cmdlet suivante.
DatabaseAvailability correspond à une vérification qui a échoué.
Test-ReplicationHealth -Id XSGMBx | where {$_.Check -like “DatabaseAvailability”} |
FL

Figure 12‑8 Erreur DAG (vue partielle)

Dans ce cas précis, le problème provient de la base BDD-LILLE qui n’est pas membre
d’un DAG.
Pour vous aider à résoudre un problème, vous pouvez utiliser le script
CollectOverMetrics.ps1, présent dans le dossier %ExchangeInstallPath%Scripts.
Vous devez indiquer en paramètre le nom du DAG (“DAG01”) et des bases de données
(“BDD*”), grâce à la cmdlet suivante.
Les autres paramètres permettent de générer un rapport HTML et de le voir.
.\CollectOverMetrics.ps1 -Database:“BDD*” `
-DatabaseAvailabilityGroup DAG01 `
-GenerateHtmlReport -ShowHtmlReport
Figure 12‑9 Statistiques des bases de données

Résumé
Dans cet exercice, vous avez appris à résoudre un problème d’état incohérent d’une
base de données, ainsi qu’à identifier et résoudre les problèmes liés à la réplication de
bases dans un DAG grâce aux scripts spécialisés d’Exchange.
Chapitre 13 Sauvegarder et superviser les boîtes

aux lettres

Principes de la sauvegarde
Ce qui est important dans une sauvegarde, ce n’est pas la sauvegarde, c’est la
restauration. Cependant pour faire une restauration qui réclame un minimum de ressources
et donc de temps, la préparation de la sauvegarde est essentielle.
Vous verrez dans les exercices des TP 13A Sauvegarder les bases de données et TP
13B Restaurer sur l’emplacement d’origine, à quel point sont importants les choix des
bonnes options de sauvegarde.
Par ailleurs, avec l’introduction du mécanisme de Protection des données natives
Exchange (Exchange Native Data Protection), vous verrez à quelles conditions il est
possible de faire des restaurations sans sauvegarde.
Cliché instantané de volume
Le service de clichés instantanés de volume (VSS, Volume Shadow Copy Service) est
composé du service VSS dont le rôle est de coordonner les trois autres composants :
Demandeur VSS (VSS Requestor), Rédacteur VSS (VSS Writer) et Fournisseur VSS (VSS
Provider).
Demandeur VSS est l’application de sauvegarde. Typiquement, il s’agit de la
fonctionnalité de sauvegarde Windows ou de pratiquement tout autre solution de
sauvegarde qui s’exécute dans Windows. C’est ce composant qui fait la demande de
sauvegarde.
Rédacteur VSS permet de garantir la cohérence de la sauvegarde. Il est propre à
chaque application. Des applications comme Exchange ou SQL server fournissent le
rédacteur correspondant. Le rédacteur d’Exchange 2016 vide les données en cache,
s’assure de la mise en cohérence des données, bascule la base en lecture seule, etc. durant
la sauvegarde. La durée maximale pour figer les données ne doit pas dépasser 60
secondes. Durant ce temps, toutes les opérations d’écritures sont bloquées, la lecture est
autorisée.
À l’issue de cette préparation des données, le Rédacteur VSS notifie le service VSS.
Celui-ci prévient le Fournisseur VSS que la sauvegarde est faisable.
Fournisseur VSS est le composant qui créé les clichés instantanés des données
(snapshot) de la base. Une fois que le cliché est pris, il informe le Demandeur VSS que
c’est fait. Le cliché peut être pris au niveau logiciel ou matériel. La création d’un cliché
instantané de doit pas dépasser 10 secondes. Durant ce temps, toutes les opérations d’E/S
sont bloquées, y compris la lecture.
Fournisseur VSS peut créer les clichées instantanés selon des modes différents.
Sauvegarde complète (Complete copy). Une fois la copie complète réalisée, elle est en
lecture seule. Une copie complète est parfois appelée un clone ou un miroir.
Sauvegarde de copie (Copy-on-write). C’est une copie différentielle. Seules les données
modifiées sont copiées. Les données copiées dans le cliché sont les valeurs avant leur
modification.
Avant de valider le cliché, le service VSS vérifie auprès du Rédacteur VSS que les
opérations d’écritures qui étaient en attente, quand les écritures sur la base étaient
bloquées, ont bien été exécutées.
Si le Rédacteur VSS rapporte un risque d’erreur, le cliché est supprimé puis le
Demandeur VSS est prévenu du problème. La prise de cliché est abandonnée si sa création
prend plus de 10 secondes ou si la durée prise pour figer les données a dépassé 60
secondes.
L’intégrité du cliché est vérifiée par le Demandeur VSS. Si celui-ci ne détecte pas
d’erreurs, il informe Exchange du succès de l’opération et le cliché est copié à
l’emplacement de la sauvegarde.
Quand toutes les données sont sauvegardées, Demandeur VSS informe le service VSS.
Les fichiers journaux de transaction peuvent être purgés.
À titre informatif, l’outil en ligne de commande d’administration du service de cliché
instantané de volume VSSADMIN, vous permet de visualiser et manipuler la plupart des
composants VSS.

Figure 13‑1 VSSADMIN


Sauvegarde d’une base de données
Vous pouvez utiliser le programme Sauvegarde Windows Server (WSB, Windows
Server Backup) pour effectuer des sauvegardes. Même s’il offre assez peu d’options pour
Exchange, il reste utilisé.
Pour l’utiliser, vous devez installer Sauvegarde Windows Server qui est une
fonctionnalité du Gestionnaire de Serveur.
Sauvegarde Windows Server permet de faire des sauvegardes uniques ou planifiées.
Lorsque vous faites une sauvegarde complète VSS, et que vous sauvegarder toutes les
données d’Exchange sélectionnées, y compris la base et les journaux de transactions,
ceux-ci seront purgés.
Vous devez effectuer des sauvegardes au niveau du volume lors de la sauvegarde des
données Exchange avec WBS, et non au niveau d’un dossier. En effet, la seule façon
d’effectuer une sauvegarde ou une restauration de niveau application est de sélectionner
un volume entier.
Restauration
Vous pouvez utiliser le programme Sauvegarde Windows Server (WSB, Windows
Server Backup) pour effectuer des restaurations. Il peut restaurer la base à son
emplacement d’origine ou sur un autre emplacement.
Si vous restaurez la base de données Exchange à son emplacement d’origine, les
opérations nécessaires seront exécutées automatiquement : démontage de la base existante,
écrasement de la base existante avec le contenu de la sauvegarde, rejoue des fichiers
journaux de transactions et montage de la base.
L’inconvénient de cette méthode est le temps d’immobilisation de la base entre le
moment où elle est démontée puis remontée. Ce temps peut être considérable pour de très
grosses bases.
Si vous décidez de restaurer la base de données Exchange sur un autre emplacement, la
base courante n’est absolument pas impactée. Généralement ce scenario est utilisé en lien
avec une base de données de récupération.
Une base de récupération est une base de données particulière, qui sert à récupérer une
boîte aux lettres.
Mise en quarantaine
La fonctionnalité de mise en quarantaine détecte les boîtes aux lettres dont les threads
“gèlent”. Le “gel” des threads provoque une consommation importante de ressources de la
part du programme store.exe qui tente de réparer le problème.
Pour éviter cette surconsommation, Exchange place en quarantaine les boîtes aux
lettres concernées. Celles-ci deviennent inaccessibles à leur utilisateur.
Pour connaître la liste des boîtes aux lettres actuellement en quarantaine, vous devez
vérifier l’apparition de l’événement 10018 dans les journaux Windows.
Vous pouvez aussi exécuter la commande EMS suivante sur une seule ligne.
Get-Mailbox | Get-MailboxStatistics | `
Where {$_.IsQuarantined –eq $True}
Journaux de transport
Dans Exchange Server 2016, vous disposez des journaux de transport suivants pour
dépanner les problèmes de messagerie. Tous les journaux ne sont pas activés par défaut.

Journal de l’agent
Le journal de l’agent (Agent log) enregistre les actions effectuées sur un message par
des agents de blocage de courrier indésirable, comme par exemple le filtrage des
connexions, du contenu, des destinataires ou des expéditeurs.
Sa configuration se fait grâce à la cmdlet suivante.
Set-TransportService
Les recherches sont faites grâce à la cmdlet.
Get-AgentLog
Vous pouvez aussi utiliser ce script :
Get-AntiSpamFilteringReport.ps1
L’emplacement par défaut des fichiers journaux d’agents est
%ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.

Journaux de connectivité
Les journaux de connectivité (Connectivity logs) enregistrent l’activité de connexion
sortante utilisée pour transmettre des messages en provenance d’un service de transport
sur le serveur Exchange.
Sa configuration se fait grâce aux cmdlets suivantes.
Set-TransportService
Set-FrontendTransportService
Set-MailboxTransportService
Par exemple, pour définir le niveau de journalisation sur les connecteurs internes d’un
serveur Edge :
Get-TransportService | Set-TransportService `
–IntraOrgConnectorProtocolLoggingLevel verbose
Et sur un serveur de boîtes aux lettres :
Get-FrontEndTransportService | `
Set-FrontEndTransportService `
–IntraOrgConnectorProtocolLoggingLevel verbose
Par défaut, les fichiers journaux de connectivité se trouvent dans un sous-dossier de
%ExchangeInstallPath%TransportRoles\Logs.
Pour Transport service : \Hub\Connectivity
Pour Front End Transport service : \FrontEnd\Connectivity
Pour Mailbox Transport service : \Mailbox\Connectivity

Suivi des messages et des rapports de remise


Le suivi des messages et des rapports de remise (Message tracking and delivery
reports) enregistre le détail de toutes les activités liées aux messages quand ils sont
transférés vers ou proviennent d’un serveur de boîte aux lettres Exchange 2016. Par
défaut, l’enregistrement est activé.
Sa configuration se fait grâce aux cmdlets suivantes.
Set-TransportService
Set-MailboxServer
L’emplacement par défaut des fichiers de suivi des messages est
%ExchangeInstallPath%TransportRoles\Logs\MessageTracking.
Le chapitre suivant est consacré au suivi des messages.

Suivi du pipeline
Le suivi du pipeline (Pipeline tracing) capture le contenu complet des messages
électroniques, ainsi que des informations détaillées sur les modifications apportées par
agent de transport. Par défaut, l’enregistrement est désactivé.
L’examen ce contenu permet de déterminer si les agents de transport ont appliqué les
modifications prévues aux messages. Lors du dépannage, cet examen permet de
déterminer l’agent de transport en cause. Une fois que le problème est corrigé, vous
pouvez le vérifier en consultant à nouveau le suivi du pipeline.
Sa configuration se fait grâce aux cmdlets suivantes.
Set-TransportService
Set-MailboxTransportService
Le suivi du pipeline enregistre les captures dans des fichiers instantanés. Ces fichiers
sont enregistrés dans le dossier MessageSnapshots, dans le chemin d’accès du suivi du
pipeline correspondant pour le service de transport.

Journaux de protocole
Les journaux de protocole (Protocol logs) enregistrent les conversations SMTP entre
les connecteurs d’envoi et de réception dans le cadre de la remise des messages. Par
défaut, l’enregistrement est désactivé.
Sa configuration se fait grâce à la cmdlet suivante.
Set-MailboxTransportService
Par défaut, les fichiers journaux de protocole se trouvent dans un sous-dossier de
%ExchangeInstallPath%TransportRoles\Logs.
Pour le service de transport sur des serveurs de boîtes aux lettres.
Connecteur de réception : \Hub\ProtocolLog\SmtpReceive
Connecteur d’envoi : \Hub\ProtocolLog\SmtpSend
Pour le service de transport de boîtes aux lettres sur des serveurs de boîtes aux lettres
Connecteur de réception : \Mailbox\ProtocolLog\SmtpReceive
Connecteur d’envoi : \Mailbox\ProtocolLog\SmtpSend
Pour le service de transport frontal sur des serveurs d’accès au client.
Connecteur de réception : \FrontEnd\ProtocolLog\SmtpReceive
Connecteur d’envoi : \FrontEnd\ProtocolLog\SmtpSend

Journaux de table de routage


Les journaux de table de routage (Routing table logs) consignent des instantanés de
la table de routage utilisée par Exchange 2016 pour acheminer les messages à leur
destination.
Ils sont disponibles dans le service de transport sur les serveurs de boîtes aux lettres.
Monitoring et suivi des messages
Le suivi des messages est un journal détaillé consignant toute l’activité de messagerie,
au fur et à mesure que des messages sont échangés par le service de transport, le serveur
de boîte aux lettres ou un serveur Edge.
Les fichiers journaux de suivi des messages sont des fichiers texte au format CSV, où
les valeurs sont séparées par des virgules.
Aucun contenu de message n’est stocké dans le journal de suivi des messages.
Les journaux de suivi des messages sont utiles pour les investigations sur les messages
ainsi que pour l’analyse, les rapports et le dépannage du flux de messagerie.

Valeurs par défaut


Les valeurs suivantes sont les valeurs par défaut, suite à l’installation d’Exchange.
Le suivi des messages est activé par défaut sur les serveurs de boîtes aux lettres, serveurs
d’accès au client et serveurs Edge.
L’objet du message électronique est stocké par défaut. La valeur est dans le champ
message-subject.
Par défaut, les fichiers journaux du suivi de messages sont stockés dans le dossier
%ExchangeInstallPath%TransportRoles\Logs\MessageTracking.
La taille maximale des fichiers journaux de suivi des messages est de 10 Mo.
La taille maximale du dossier contenant les fichiers journaux de suivi des messages est de
1 000 MB.
L’âge maximal des journaux de suivi des messages est par défaut est 30 jours.
Toutes ces valeurs par défaut sont modifiables.

Configuration
La configuration du suivi des messages peut se faire aussi bien avec la cmdlet Set-
TransportService ou Set-MailboxServer. Avec ces cmdlets, vous pouvez modifier la
configuration du suivi.
Pour désactiver le suivi de messages sur le serveur XSGMBx :
Set-TransportService -Id XSGMBx `
–MessageTrackingLogEnabled $false
Pour désactiver la journalisation de l’objet des messages :
Set-TransportService -Id XSGMBx `
–MessageTrackingLogSubjectLoggingEnabled $false
Pour spécifier l’emplacement des journaux de suivi des messages dans E:\LOGS-
EXCHANGE. Le dossier est automatiquement créé, s’il n’existe pas :
Set-TransportService -Id XSGMBx `
-MessageTrackingLogPath E:\LOGS-EXCHANGE
Pour modifier la taille maximum des fichiers journaux à 50 Mo :
Set-TransportService -Id XSGMBx `
–MessageTrackingLogMaxFileSize 50MB
Pour modifier la taille maximum du dossier des fichiers journaux à 5000 Mo :
Set-TransportService -Id XSGMBx `
-MessageTrackingLogMaxDirectorySize 5000MB
Pour spécifier un âge maximal de 90 jours pour les journaux de suivi des messages :
Set-TransportService -Id XSGMBx `
-MessageTrackingLogMaxAge 90.00:00:00
Pour retrouver les messages envoyés par Bob@NOVAx.AD en 2025. La date est au
format régional US, soit mm/dd/aaaa.
Get-MessageTrackingLog -Start “01/01/2025” `
-End “12/31/2025” -Server XSGMBx `
-Sender Bob@NOVAx.AD

Nom des fichiers journaux


Les fichiers journaux sont spécialisés selon le service qui les gère.
Les journaux dont le nom débute par MSGTRK sont liés au service de transport.
Les journaux dont le nom débute par MSGTRKMA sont liés aux messages modérés
qui peuvent être approuvés ou rejetés. La modération peut être mise en œuvre via un
groupe de distribution modéré par une règle de transport.
Les journaux dont le nom débute par MSGTRKMD sont liés aux messages remis par
le service de remise de transport de boîte aux lettres.
Les journaux dont le nom débute par MSGTRKMS sont liés aux messages envoyés
par le service de dépôt de transport de boîte aux lettres.
Après l’identifiant du type de fichier journal dans le nom, vous trouverez la date au
format temps universel coordonné (UTC) à laquelle le fichier journal a été créé, ainsi
qu’un numéro d’instance qui commence tous les jours à la valeur 1.
Par exemple, le fichier MSGTRK20251231-3.LOG fait référence au troisième fichier
de la journée du 31.12.2025, lié au service de transport.

Format des fichiers journaux


Tous les fichiers journaux de suivi des messages comportent un en-tête structuré à
l’identique :
#Software est le nom du logiciel ayant créé le fichier journal de suivi des messages. La
valeur est Microsoft Exchange Server.
#Version est le numéro de version du logiciel ayant créé le fichier journal de suivi des
messages. La valeur actuelle est 15.01.0466.033.
#Log-Type est le type de journal, soit Message Tracking Log.
#Date est la date et l’heure UTC de création du fichier journal au format ISO 8601.
#Fields contient le nom des champs utilisés dans le fichier journal de suivi des
messages.

Champs des fichiers journaux


Chaque événement de message est consigné sur une seule ligne dans le journal. La
liste ci-dessous présente une description sommaire du rôle de chaque champ. Le lecteur
intéressé par une explication plus précise est invité à consulter l’article de Microsoft :
Suivi des messages
http://coudr.com/v
date-time : Date et heure UTC de l’événement de suivi de message au format ISO
8601.
client-ip : Adresse IP de l’ordinateur ayant envoyé le message.
client-hostname : Nom de l’ordinateur ayant envoyé le message.
server-ip : Adresse IP à laquelle le service a tenté de remettre le message.
server-hostname : Nom FQDN du serveur destinataire.
source-context : Informations sur l’agent de transport.
connector-id : Nom du connecteur d’envoi / réception source / destination.
source : Source de l’événement. Ce champ possède plusieurs valeurs définies comme
AGENT, QUEUE, SMTP, etc.
event-id : Indique succinctement ce qui s’est produit, par exemple si le message a été
reçu par le service, s’il a été remis au destinataire prévu ou si la remise a échoué, etc.
Exemples d’événements :
RECEIVE : Message reçu.
SEND : Message envoyé.
FAIL : Message non remis.
DELIVER : Message remis à une boîte aux lettres.
EXPAND : Message envoyé à un groupe de distribution d’expansion.
TRANSFER : Les destinataires ont reçu un autre message à cause d’une conversion de
contenu, de limites sur le nombre de destinataires ou autre.
DEFER : Remise différée qui sera retentée ultérieurement.
internal-message-id : Identificateur de message attribué par le serveur Exchange
traitant le message.
message-id : Valeur du champ d’en-tête Message-Id figurant dans l’en-tête du
message. La valeur est constante pendant toute la durée de vie du message. Pour les
serveurs Exchange, le format est : <GUID@FQDN du serveur>. Les autres systèmes de
messagerie utilisent un format différent.
network-message-id : Valeur unique d’ID de message.
recipient-address : Adresses de messagerie de tous les destinataires, séparées par des
points-virgules.
recipient-status : États de destinataire de tous les destinataires, séparés par des points-
virgules, présentés un ordre identique à celui des valeurs du champ précédent.
total-bytes : Taille du message en octets, pièces jointes incluses.
recipient-count : Nombre de destinataires du message.
related-recipient-address : Affiche d’autres adresses de messagerie de destinataires
associées au message.
reference : Informations supplémentaires pour des types d’événements spécifiques.
message-subject : Objet du message du champ d’en-tête Subject.
sender-address : Adresse de messagerie spécifiée dans le champ d’en-tête Sender ou
From, en cas d’absence de Sender.
return-path : Adresse de messagerie de retour. Éventuellement, il peut contenir la
valeur <> qui signifie une valeur d’adresse d’expéditeur nulle.
message-info : Fournit des détails supplémentaires sur ce qui s’est produit, comme par
exemple, si un programme malveillant a été détecté ou signaler qu’un message est de très
grande taille.
directionality : Direction du message, comme par exemple, Incoming, Undefined et
Originating.
tenant-id : Identifiant du tenant dans Exchange Online. Non utilisé dans Exchange
2016.
original-client-ip : Adresse IP du client d’origine.
original-server-ip : Adresse IP du serveur d’origine.
custom-data : Informations supplémentaires, comme le GUID de la règle de transport
de la stratégie DLP appliquée au message.
TP 13A Sauvegarder les bases de données
Objectif
L’objectif est de sauvegarder toutes les bases de données Exchange.
Les tâches à accomplir sont :
Installer Sauvegarde Windows Server
Sauvegarder les bases de données
Vérifier la sauvegarde

Solution
Installer Sauvegarde Windows Server

Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.


Avec Windows PowerShell, installez la fonctionnalité Sauvegarde Windows Server
(Windows Server Backup).
Add-WindowsFeature Windows-Server-Backup
Sauvegarder les bases de données

Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.


Ouvrez l’explorateur Windows pour afficher le contenu du dossier E:\BDD01, qui
contient les fichiers journaux de transaction de la base BDD-TOUS. Vous garderez ouvert
ce dossier jusqu’à la fin de l’exercice. Vous vous arrangerez aussi pour l’avoir toujours
sous les yeux durant les manipulations.
Ouvrez le Gestionnaire de serveurs, et dans les outils, cliquez sur Sauvegarde Windows
Server.
Dans le volet de gauche, cliquez sur Sauvegarde locale. Patientez quelques secondes.
Lorsque le contenu, normalement vide, de la sauvegarde locale s’affiche, cliquez sur
Sauvegarde unique dans le volet Actions (à droite) : un assistant s’ouvre.
Dans la fenêtre Options de sauvegarde, gardez Autres options puis cliquez sur
Suivant.
L’objectif est de sauvegarder uniquement la base de données. Dans la fenêtre
Sélectionner la configuration de la sauvegarde, cochez Personnalisé puis cliquez sur
Suivant.
Dans la fenêtre Sélectionner les éléments à sauvegarder, cliquez sur le bouton Ajouter
des éléments : la fenêtre Sélectionner des éléments s’affiche.
Figure 13‑2 Sélection des éléments

Avec la souris, cochez le volume E:, qui contient les fichiers des bases, puis validez
votre sélection en cliquant une seule fois sur OK pour revenir à la fenêtre Sélectionner les
éléments à sauvegarder.
Il est important que vous cochiez tout le volume et pas uniquement les sous-dossiers
pour la future restauration.
Vous souhaitez faire une sauvegarde complète VSS. Toutefois, par défaut, Sauvegarde
Windows Server propose de faire une sauvegarde de copie VSS. Vous allez modifier cette
option.
Dans la même fenêtre Sélectionner les éléments à sauvegarder, cliquez sur le bouton
Paramètres avancés : la fenêtre Paramètres avancés s’affiche.
Cliquez sur l’onglet Paramètres VSS puis cochez Sauvegarde Complète VSS puis
validez votre sélection en cliquant une seule fois sur OK pour revenir à la fenêtre
Sélectionner les éléments à sauvegarder. La sauvegarde complète est la seule option qui
permet de tronquer les fichiers journaux de transactions.
Cliquez sur Suivant : la fenêtre Spécifier le type de destination s’affiche.
Dans cette fenêtre, cochez Lecteurs locaux puis cliquez sur Suivant puis, dans
Destination de sauvegarde, sélectionnez F:
Laissez les autres options par défaut et cliquez sur suivant.
Le paramétrage de la sauvegarde est terminé, cliquez sur le bouton Sauvegarde puis
patientez quelques instants.
Figure 13‑3 Sauvegarde terminée

La sauvegarde est terminée. Cliquez sur le bouton Fermer. La description doit contenir
uniquement Réussite.
Si la sauvegarde est marquée comme Réussie, mais avec des avertissements ou
Terminé, mais avec des avertissements, ce n’est pas satisfaisant.

Figure 13‑4 Détail de la sauvegarde

Si c’est le cas, dans le détail de la sauvegarde, cliquez sur Afficher la liste de tous les
fichiers rejetés : le fichier journal de la sauvegarde s’ouvre.
Au début du fichier journal, cherchez un message comme celui-ci :
Writer Failures (ou Échecs de l’enregistreur)
Writer Id: {76FE1AC4-15F7-4BCD-987E-8E1ACB462FB7}
Instance Id: {D4EB8D13-07A5-409D-8027-489BE1D411DA}
Writer Name: Microsoft Exchange Writer
Writer State: 5
Failure Result: 800423F3
Pour chercher à résoudre ce problème, essayez les manipulations suivantes :
Redémarrez le service Banque d’informations Microsoft Exchange
restart-service MSExchangeIS
Redémarrez le service Réplication de boîte aux lettres Microsoft Exchange
restart-service MSExchangeMailboxReplication
Recommencez la sauvegarde jusqu’à la disparation de l’erreur. Si l’erreur ne disparaît
pas, redémarrez votre serveur.
Vérifier la sauvegarde

Consultez le contenu du dossier E:\BDD01, qui contient les fichiers journaux de


transaction de la base BDD-TOUS. Vous constaterez que le nombre de fichiers LOG a
drastiquement diminué.
Vous pouvez aussi savoir quand une base de données a été sauvegardée, grâce à cette
cmdlet.
Get-MailboxDatabase -Server XSGMBx | `
FL Name, *backup*
Les valeurs de SnapshotLastFullBackup et LastFullBackup indiquent la date de la
dernière sauvegarde réussie et s’il s’agit d’une sauvegarde complète VSS.
Une fois la base de données démontée, vous pouvez obtenir le même type
d’informations, avec l’instruction suivante à saisir dans une invite de commandes.
Les informations de sauvegarde sont dans l’entête Previous Full Backup, car la
sauvegarde est terminée. La section Current Full Backup contient uniquement les
informations de la sauvegarde en cours.
ESEUTIL /MH BDD-TOUS.edb

Résumé
Dans cet exercice, vous avez installé Sauvegarde Windows Server pour sauvegarder
toutes les bases de données Exchange.
TP 13B Restaurer sur l’emplacement d’origine
Objectif
L’objectif est de restaurer les bases de données Exchange sur leur emplacement
d’origine. Lors de la restauration avec l’outil Sauvegarde Windows Server, vous n’avez
pas le choix de la base de données à restaurer. Cette limitation est liée à l’outil. D’autres
outils de sauvegarde / restauration permettent une granularité plus fine.
Les tâches à accomplir sont :
Modifier la base avant la restauration
Préparer la base de données pour la restauration
Restaurer les bases de données
Vérifier la restauration

Préparation
L’exercice du TP 13A Sauvegarder les bases de données doit être terminé et réussi,
avant de débuter celui-ci.

Solution
Modifier la base avant la restauration

Vous allez envoyer un nouveau message au groupe Direction, avant la restauration de


la base. L’objectif est de vérifier qu’à la fin de la restauration, Exchange a bien rejoué les
fichiers journaux après la sauvegarde.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Ouvrez Outlook sur le web :
https://XSGMBx.NOVAx.ad/owa
Envoyez un nouveau message au groupe Direction, avec l’objet : Avant restauration.
Préparer la base de données pour la restauration

Démarrez le Centre d’administration Exchange avec le navigateur Internet et ouvrez


une session avec le compte de domaine Administrateur.
Dans le volet de fonctionnalités d’EAC, cliquez sur serveurs puis cliquez sur l’onglet
bases de données et sélectionnez votre base de données BDD-TOUS.
Dans la barre d’outils, cliquez sur Plus (‘…’) puis démontez la base. Cela met à jour la
base avec les fichiers de transactions.
Dans la barre d’outils, cliquez sur Modifier (crayon).
Dans le volet, cliquez sur maintenance et cochez la case Cette base de données peut
être écrasée par une restauration.
Cliquez sur Enregistrer.
La commande correspondante à saisir sur une seule ligne est :
Set-MailboxDatabase -Id BDD-TOUS -AllowFileRestore $True
Restaurer les bases de données

Ouvrez le Gestionnaire de serveurs, et dans les outils, cliquez sur Sauvegarde


Windows Server.
Dans le volet de gauche, cliquez sur Sauvegarde locale. Patientez quelques secondes.
Dans le volet central, il est possible qu’il existe plusieurs sauvegardes, si vous avez fait
plusieurs tentatives. En double-cliquant sur les sauvegardes, Sauvegarde Windows Server
vous affiche le détail de la sauvegarde et en particulier l’heure et l’emplacement.
Dans le volet Actions, cliquez sur Récupérer : un assistant s’ouvre.
Dans la fenêtre Mise en route, cliquez sur Ce serveur (XSGMBx) puis cliquez sur
Suivant.
Dans la fenêtre Sélectionner une date de sauvegarde, sélectionnez la date et l’heure de
la sauvegarde à utiliser pour la restauration puis cliquez sur Suivant.
Dans la fenêtre Sélectionner le type de récupération, cochez la case Applications. Si
l’option Applications ne peut pas être sélectionnée, cela indique que la sauvegarde a été
faite au niveau du dossier, et non au niveau du volume.

Figure 13‑5 Applications

Cliquez sur Suivant.


Dans la fenêtre Sélectionner une application, vérifiez qu’Exchange est bien
sélectionné par défaut.
Figure 13‑6 Application Exchange

Laissez l’autre option par défaut et cliquez sur Suivant.


Dans la fenêtre Spécifier les options de récupération, cochez Restaurer à
l’emplacement d’origine puis cliquez sur Suivant.
Dans la fenêtre Confirmation, vous voyez les identifiants des éléments qui vont être
restaurés.
Cliquez sur le bouton Récupérer puis patientez quelques instants.

Figure 13‑7 Récupération terminée

Vérifier la restauration
Ouvrez Outlook sur le web :
https://XSGMBx.NOVAx.ad/owa
Vérifiez que le message envoyé au groupe Direction avec l’objet Avant restauration est
bien présent.
Cela prouve qu’Exchange a bien rejoué les fichiers journaux qui ont été générés après
la sauvegarde, une fois que la restauration s’est terminée.

Résumé
Dans cet exercice, vous avez restauré les bases de données avec WBS sur leur
emplacement d’origine.
TP 13C Restaurer à un autre emplacement
Objectif
L’objectif est de restaurer la base de données BDD-TOUS sur un autre emplacement.
La restauration sur un autre emplacement permet de tester la sauvegarde afin de vérifier
qu’elle est bien opérationnelle.
Les tâches à accomplir sont :
Modifier la base avant la restauration
Restaurer les bases de données
Vérifier la restauration

Préparation
L’exercice du TP 13A Sauvegarder les bases de données doit être terminé et réussi,
avant de débuter celui-ci.
Avant de démarrer l’exercice, créez un dossier E:\BDD-RECUP01 sur XSGMBx.

Solution
Modifier la base avant la restauration

Vous allez envoyer un autre message au groupe Direction, avant la restauration de la


base. L’objectif est de vérifier qu’à la fin de la restauration, Exchange n’a pu rejouer les
fichiers journaux après la sauvegarde à cause de la procédure de restauration.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Ouvrez Outlook sur le web :
https://XSGMBx.NOVAx.ad/owa
Envoyez un nouveau message au groupe Direction, avec l’objet : Seconde
restauration (1815-1830).
Restaurer les bases de données

Ouvrez le Gestionnaire de serveurs, et dans les outils, cliquez sur Sauvegarde


Windows Server.
Dans le volet de gauche, cliquez sur Sauvegarde locale. Patientez quelques secondes.
Dans le volet central, il est possible qu’il existe plusieurs sauvegardes, si vous avez fait
plusieurs tentatives. En double-cliquant sur les sauvegardes, Sauvegarde Windows Server
vous affiche le détail de la sauvegarde et en particulier l’heure et l’emplacement.
Dans le volet Actions, cliquez sur Récupérer : un assistant s’ouvre.
Dans la fenêtre Mise en route, cliquez sur Ce serveur (XSGMBx) puis cliquez sur
Suivant.
Dans la fenêtre Sélectionner une date de sauvegarde, sélectionnez la date et l’heure de
la sauvegarde à utiliser pour la restauration puis cliquez sur Suivant.
Dans la fenêtre Sélectionner le type de récupération, cochez la case Applications. Si
l’option Applications ne peut pas être sélectionnée, cela indique que la sauvegarde a été
faite au niveau du dossier, et non au niveau du volume.
Cliquez sur Suivant.
Dans la fenêtre Sélectionner une application, vérifiez qu’Exchange est bien
sélectionné par défaut.
Laissez l’autre option par défaut et cliquez sur Suivant.
Dans la fenêtre Spécifier les options de récupération, cochez Restaurer à un autre
emplacement puis cliquez sur Parcourir et indiquez l’emplacement E:\BDD-RECUP01.

Figure 13‑8 Restauration à un autre emplacement

Cliquez sur Suivant puis cliquez sur Récupérer.


Quand la restauration est terminée, cliquez sur Fermer.
Ouvrez l’explorateur Windows sur E:\BDD-RECUP01\E_ (ou son équivalent) : vous
voyez des dossiers avec les identifiants des bases. Naviguez dans BDD01, vous trouverez
le fichier EDB, ainsi que les fichiers journaux.
Pour finaliser la restauration, vous devez utiliser l’outil ESEUTIL avec l’option /R
pour rejouer les fichiers journaux dans la base de données.
Vous devez ouvrir une invite de commande et vous positionnez à l’emplacement du
fichier EDB. Ensuite, vous indiquez le chemin des fichiers journaux LOG dans le
commutateur /l et du fichier CHK, dans le commutateur /s. Par ailleurs, le commutateur /i
sert à ignorer les autres bases de données sur lesquels les fichiers journaux ne sont pas
rejoués.
Par exemple, en tapant la commande suivante. Dans cette commande E00 est
l’identifiant interne de votre base, et non pas son nom.
ESEUTIL /R E00 /lE:\BDD-RECUP01\E_\BDD01 `
/sE:\BDD-RECUP01\E_\BDD01 /i

Figure 13‑9 Restauration terminée

Pour des raisons pratiques liées à la construction du cours, il est possible que la copie
d’écran soit légèrement différente de la commande passée.
Vérifier la restauration

Dans le dossier E:\BDD-RECUP01\E_\BDD01 (ou son équivalent), vérifiez que la


base de données est en état Clean Shutdown, avec la commande suivante. L’état de la
base se trouve dans la zone Fields (champs), dans State (état).
ESEUTIL /MH BDD-TOUS.edb
Si la base est toujours dans l’état Dirty Shutdown, vous pouvez essayer de la réparer
avec la commande suivante.
Vous validerez le message d’avertissement (Warning), qui vous prévient que vous
risquez de perdre des données.
ESEUTIL /P BDD-TOUS.edb
Ensuite, vous démontez la base BDD-TOUS.
Dans le dossier E:\BDD01, supprimez tous les fichiers de la racine.
Copiez tout le contenu de E:\BDD-RECUP01\E_\BDD01 dans E:\BDD01 puis
remontez la base BDD-TOUS.
Ouvrez Outlook sur le web.
Vérifiez que les messages précédents envoyés à la Direction n’apparaissent pas. C’est
normal puisque ces messages étaient dans des fichiers journaux qui ont été supprimés et
qui n’ont pas été sauvegardés.

Résumé
Dans cet exercice, vous avez restauré les bases de données avec Sauvegarde Windows
Server sur un autre emplacement.
TP 13D Restaurer une boîte aux lettres
Objectif
L’objectif est de restaurer la boîte aux lettres d’Alice, ainsi que le contenu de la boîte
de réception de Chris dans celle d’Administrateur, grâce à la base de données de
restauration.
Les tâches à accomplir sont :
Créer la base de données de restauration
Vérifier le contenu de la base de données de restauration
Restaurer la boîte aux lettres
Vérifier la restauration

Préparation
Les exercices des TP 13A Sauvegarder les bases de données et TP 13C Restaurer à
un autre emplacement doivent être terminés et réussis, avant de débuter celui-ci.

Solution
Créer la base de données de restauration
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Vous allez créer la base de données de restauration, en prenant soin qu’elle pointe vers
le dossier E:\BDD-RECUP01\E_\BDD01. Ce dossier correspond exactement à
l’emplacement où a été restauré la base précédente : veillez à mettre les bons chemins.
Pour créer la base de données de restauration, tapez la cmdlet suivante.
New-MailboxDatabase -Recovery -Name BDD-RECUP01 -Server XSGMBx -
EDBFilePath ‘E:\BDD-RECUP01\E_\BDD01\BDD-TOUS.edb’ -Logfolderpath
“E:\BDD-RECUP01\E_\BDD01”
Puis redémarrez Microsoft Exchange Information Store.
Restart-Service MSExchangeIS
Montez la base de données de récupération.
Mount-Database BDD-RECUP01
Vérifier le contenu de la base de données de restauration
Arrivé à ce point, vous obtenez deux bases de données BDD-TOUS : la base de
données de production et la base de données de récupération.
Vous pouvez donc manipuler les boîtes aux lettres de la base de données de
récupération. Notamment, vous aimeriez connaître le contenu de cette base. Toutefois,
comme il s’agit d’une base particulière, vous ne pouvez pas utiliser la cmdlet Get-
Mailbox.
À la place, pour connaître le contenu de la base, vous pouvez exécuter la cmdlet
suivante.
Get-MailboxStatistics -Database BDD-RECUP01 | select DisplayName, ItemCount | FT -a
Vérifiez qu’il existe bien des boîtes aux lettres non-vides pour Alice Martin et pour
Chris Dubois.
Restaurer la boîte aux lettres

Pour restaurer la boîte aux lettres d’Alice dans celle d’Administrateur, exécutez la
commande suivante.
New-MailboxRestoreRequest -SourceDatabase BDD-RECUP01 -SourceStoreMailbox
‘Alice Martin’
-TargetMailbox Administrateur `
-AllowLegacyDNMismatch
Soyez sans crainte, le contenu de la boîte aux lettres d’Administrateur ne va pas être
écrasé par la restauration. Si un élément existe déjà, une copie sera faite pour préserver le
contenu d’origine de destination.
Vous pourriez aussi choisir de ne restaurer qu’un dossier de la boîte aux lettres source,
avec le paramètre IncludeFolders.
Pour restaurer la boîte aux lettres de réception de Chris dans celle d’Administrateur,
exécutez la commande suivante.
New-MailboxRestoreRequest `
-SourceDatabase BDD-RECUP01 `
-SourceStoreMailbox ‘Chris Dubois’ `
-TargetMailbox Administrateur `
-AllowLegacyDNMismatch `
-IncludeFolders “Boîte de réception/*”
Pour suivre l’état de la demande de restauration de boîte aux lettres, vous pouvez taper
la cmdlet suivante.
Get-MailboxRestoreRequest | FT -a
Lorsque la restauration est terminée, vous pouvez supprimer la demande à l’aide de la
cmdlet suivante.
Get-MailboxRestoreRequest -Status Completed | `
Remove-MailboxRestoreRequest
Vérifier la restauration

Ouvrez une session avec le compte de domaine Administrateur@NOVAx.AD sur


CLIENTx.
Dans Outlook, vous voyez apparaître les messages précédemment destinés à Alice et
présents dans la sauvegarde.
De même, vous trouvez dans la boîte de réception les messages sauvegardés
précédemment reçus par Chris.

Résumé
Dans cet exercice, vous avez restauré le contenu de la boîte aux lettres d’Alice, ainsi
que le contenu de la boîte de réception de Chris dans la boîte aux lettres d’Administrateur.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Livre “Mastering Microsoft Exchange Server 2013”, Éditeur Sybex, Auteur : David
Elfassy
Journaux de transport : https://technet.microsoft.com/fr-
fr/library/dd302434(v=exchg.150).aspx
Journalisation de l’agent anti-courrier indésirable : https://technet.microsoft.com/fr-
fr/library/bb124795(v=exchg.150).aspx
Enregistrement de la connectivité : https://technet.microsoft.com/fr-
fr/library/bb124500(v=exchg.150).aspx
Suivi des messages : https://technet.microsoft.com/fr-
fr/library/bb124375(v=exchg.160).aspx
Protocol logging : https://technet.microsoft.com/fr-
fr/library/aa997624(v=exchg.160).aspx
Suivi du pipeline : https://technet.microsoft.com/fr-
fr/library/bb125018(v=exchg.150).aspx
Using Windows Server Backup to back up and restore Exchange data :
https://technet.microsoft.com/en-us/library/dd876851(v=exchg.160).aspx
Chapitre 14 Dépanner la messagerie

Problèmes d’Outlook
Performances
Les utilisateurs d’Outlook peuvent se plaindre de mauvais temps de réponse. Cette
situation peut être causée par la présence de dossiers qui contiennent de nombreux
éléments. Les dossiers sont la boîte de réception, les calendriers, les tâches, etc., ainsi que
les sous-dossiers qui ont pu être créés par l’utilisateur.
Il est recommandé de limiter les hiérarchies de dossiers avec un maximum de trois
niveaux. Les dossiers par défaut font partie de la hiérarchie. En particulier, la boîte de
réception est le premier niveau. L’utilisateur peut donc créer deux sous-niveaux de dossier
sans pénaliser les performances.
Idéalement, le nombre d’éléments maximum ne devrait pas dépasser 5000. S’il existe
plus de 5000 éléments dans un dossier, l’utilisateur devrait créer un autre dossier, sans
jamais dépasser les trois niveaux, puis déplacer les éléments en surnombre dans ce
nouveau dossier.
S’il effectue cette opération, il améliorera significativement les temps de réponses.

Autodiscover
La découverte automatique (Autodiscover) est un protocole qui automatise
l’installation et la configuration du client Outlook. S’il n’est pas implémenté correctement,
les problèmes rencontrés sont de toutes natures.
Par exemple, vos utilisateurs seront dans l’incapacité d’obtenir les informations de
plages horaires disponibles ou occupées lors de la planification d’une réservation de salle
ou d’une réunion. Ils pourront aussi être incapables de récupérer les carnets d’adresses en
mode hors connexion (OAB : Offline Address Book), ou bien de paramétrer le message
d’absence du bureau (Out-of-office).
La quasi-totalité des problèmes de la configuration provient d’erreurs liés aux
certificats SSL. Si Outlook détecte une anomalie dans un certificat, le service de
configuration automatique s’arrête.
Le bon fonctionnement du service de configuration automatique peut se vérifier à partir
du client Outlook, lorsqu’il est en cours d’exécution.
Dans la barre d’outils, faites un clic droit + CTRL sur l’icône d’Outlook dans la zone
de notification.
Figure 14‑1 Zone de notification Outlook

Dans le menu qui s’affiche, sélectionnez Tester la configuration automatique de la


messagerie. Vous ne verrez pas ce menu, si vous n’avez pas appuyé sur la touche Ctrl en
même temps que vous faites un clic droit sur l’icône d’Outlook.
Dans la fenêtre qui apparaît, laissez cochées les options par défaut puis cliquez sur le
bouton Tester. Si vous ne voulez avoir que les requêtes d’Autodiscover, décochez les
options Guessmart. Par défaut, l’outil affiche toutes les URLS renvoyées au client
Outlook.
La fenêtre est constituée de 3 onglets : Résultats, Journal et XML. L’onglet Résultats
affiche une synthèse du test, l’onglet Journal détaille les étapes du test et l’onglet XML
contient le fichier XML retourné par Exchange.

Figure 14‑2 Test de Autodiscover (vue partielle de Résultats)

Si vous relancez le test en laissant uniquement cochée la case Utiliser la découverte


automatique, et en décochant Utiliser Guessmart et Authentification Guessmart sécurisé,
vous obtenez le paramétrage propre à la découverte automatique.

Figure 14‑3 Test de Autodiscover (vue partielle de Journal)

Le point de connexion de service donne l’URL du fichier XML. Il est aussi possible de
l’afficher grâce à ADSIEdit.
L’affichage ci-dessous est filtré pour ne faire apparaître que les attributs obligatoires
accessibles en écriture.
Figure 14‑4 Point de connexion de service

Microsoft Remote Connectivity Analyzer


L’outil Remote Connectivity Analyzer de Microsoft est conçu pour aider les
administrateurs de résoudre les problèmes de connectivité avec leurs déploiements
Exchange. Il permet de tester la connectivité à leurs domaines Exchange depuis Internet.
Pour utiliser cet outil, vous devez saisir les informations d’identification d’un compte
du domaine Exchange que vous souhaitez tester. Pour des raisons de sécurité, il est
recommandé de créer un compte provisoire en vue de l’utilisation de cet outil. Une fois
que le test de connectivité est terminée, vous devrez supprimer ce compte.
Il est accessible en ligne à l’URL suivante.
Microsoft Remote Connectivity Analyzer
http://coudr.com/xsg101

Figure 14‑5 Microsoft Remote Connectivity Analyzer

L’utilisation de cet outil en ligne suppose que votre serveur de messagerie Exchange
est accessible d’Internet. C’est généralement le cas pour un environnement de production,
mais ce n’est pas toujours le cas pour un environnement de tests. Par ailleurs, l’outil ne
fonctionne pas avec des certificats auto-signés.
Cet outil est aussi accessible à travers Exchange Toolbox puis Analyseur de
connectivité à distance : un lien renvoie vers le site web ci-dessus.

Journaux IIS
Le dépannage peut aussi être fait à l’aide des fichiers journaux de IIS.
::1 POST /autodiscover/autodiscover.svc &CorrelationID=
<empty>;&cafeReqId=3cf6e79b-6425-4c1e-9a80-11f973d8a64a; 443
NOVA100\HealthMailbox1497ff8 ::1 AMProbe/AutoDStack+
(ExchangeServicesClient/15.01.0466.033) - 200 0 0 213
Dans ce cas, vous savez que la requête s’est bien effectuée grâce au code message 200.

Mode cache Outlook


En mode cache, Outlook crée un fichier local OST (Offline Storage Tables) qui
correspond à la taille de la boîte aux lettres de l’utilisateur.
Si l’utilisateur a une boîte aux lettres de plusieurs dizaines de giga-octets, l’intégralité
de sa boîte est donc recopiée sur son disque local par défaut. Outre les problèmes
éventuels de place disque, cela peut ralentir son utilisation d’Outlook, notamment sur un
portable avec un disque peu rapide.
S’il dispose d’Outlook 2013 ou Outlook 2016, il peut contrôler les dossiers à
synchroniser afin d’alléger le fichier OST. Une autre solution, consiste à l’équiper d’un
disque SSD afin d’améliorer les temps de réponse.
Problèmes courants de la messagerie
Les problèmes rencontrés sont variés. Il est quasiment impossible de les énumérer tous.
Parmi les plus fréquents, vous avez pu rencontrer les cas suivants.
Le serveur Exchange peut ne plus envoyer les messages, ou au contraire il ne les reçoit
plus.
Les messages sont reçus, d’autres non.
Un utilisateur a reçu une notification d’échec de remise pour un message qu’il a envoyé.
Certains arrivent rapidement à leur destinataire, d’autres mettent beaucoup de temps.
Les utilisateurs n’arrivent plus à se connecter à leur boîtes à lettre.
Certains utilisateurs arrivent à se connecter, d’autres non.
Pour le dépannage de la messagerie, il existe une difficulté supplémentaire qui est
spécifique au fonctionnement des messages électroniques. Un message est envoyé à un
destinataire. Aussi, il est donc possible que le problème soit lié au destinataire et non à
votre infrastructure Exchange.
Messages de l’extérieur qui n’arrivent pas
Si aucun message de l’extérieur n’arrive alors que vos serveurs Exchange semblent
fonctionner correctement, vous pouvez suspecter un problème de type DNS.
En effet, avant d’envoyer le message vers un destinataire de votre organisation, un
serveur SMTP externe interroge les serveurs de noms DNS afin d’obtenir l’enregistrement
de ressources MX de votre organisation. Cet enregistrement indique l’adresse IP de vos
serveurs Exchange. Dans ce cas, une vérification de votre DNS s’impose.
Le problème peut aussi être lié à une défaillance de la synchronisation entre votre
serveur Edge et votre serveur d’accès au client. Ceci est d’autant plus pernicieux que les
messages entrants sont stockés dans la file d’attente du serveur Edge. L’émetteur ne sera
généralement averti qu’au bout de 48 heures, avec un accusé de non remise. Pour cette
raison, la file d’attente du serveur Edge doit être vérifiée systématiquement en cas de non
remise des messages.
Si certains messages arrivent, et pas d’autres, il est possible que ces messages soient
filtrés ou qu’ils n’aient pas été envoyés. Si les serveurs de messagerie de l’expéditeur ne
fonctionnent pas, ou pour tout un tas d’autres raisons, il est possible que les messages
n’aient pas été expédiés.
Le filtrage peut concerner le contenu mais aussi l’expéditeur. Le serveur SMTP des
expéditeurs peut être identifié comme étant bloqué, car non sûr.
Une recherche sur internet pour l’adresse IP fournit une réponse rapide à cette question,
par exemple sur les sites http://coudr.com/xsg014 , http://coudr.com/xsg015 ou
http://coudr.com/xsg016 .
Les mêmes conséquences peuvent arriver si l’organisation de l’émetteur a mal
configuré sa zone de recherche inversée ou son enregistrement SPF (Sender Policy
Framework). SPF est une norme de vérification du nom de domaine de l’expéditeur d’un
message électronique, dont l’objectif est de réduire les messages non sollicités.
La vérification de l’application correcte de la stratégie SPF peut se faire directement
sur le site http://www.openspf.org ou par un simple envoi d’un email à spf-
test@openspf.net. Votre message sera rejeté systématiquement et vous obtiendrez le
résultat du test SPF dans un message de rebond.
La zone de recherche inversée de l’expéditeur est utilisée pour vérifier que son nom de
domaine correspond bien à son adresse IP. Le serveur Exchange interroge les serveurs
DNS pour connaître le FQDN de l’adresse IP du serveur de messagerie de l’expéditeur. Si
le FQDN ne correspond pas au domaine de l’expéditeur, le message n’est pas accepté par
Exchange.
Les files d’attente des boîtes aux lettres peuvent aussi contenir des messages bloqués.
Dans ce cas, un redémarrage du service de transport suffit souvent à débloquer la situation.
Problèmes de connexion à la messagerie
Problèmes de certificats
Les problèmes liés aux certificats sont nombreux. Cependant, ils peuvent ne pas être
immédiatement visibles bien qu’ils touchent la totalité des services web d’Exchange.
Typiquement, un utilisateur peut se plaindre de ne pas voir les disponibilités d’une salle
de réunion dans l’agenda, ou bien qu’il ne puisse pas activer correctement la
fonctionnalité de réponse automatique d’absence du bureau, ou encore qu’il ait un
avertissement à chaque fois qu’il se connecte à Outlook sur le web pourtant il continue à
envoyer et recevoir des messages normalement.
Ce type de problème peut provenir d’Autodiscover mais, en réalité, il est souvent lié à
une mauvaise configuration des certificats.
Avant tout, il faut vérifier si la configuration des URL internes, pour les accès de
l’intranet, et externes, pour les accès d’Internet, des répertoires virtuels de la découverte
automatique est correcte.
Ensuite, il convient de vérifier les certificats. Les cas d’échec de connexion liés aux
certificats sont généralement dus au fait que :
Le client n’approuve pas le certificat.
Le certificat ne correspond pas au nom de domaine auquel le client tente de se connecter.
Le certificat est expiré.
Par conséquent, vous devez vérifier que les ordinateurs clients approuvent l’autorité de
certification et que le certificat est valide.

Connectivité d’Outlook Anywhere


La cmdlet Test-OutlookConnectivity teste les connexions d’Outlook Anywhere (RPC
sur HTTP).
L’analyseur de connectivité à distance d’Exchange permet de recevoir un récapitulatif
détaillé indiquant où le test a échoué et les mesures à prendre pour résoudre les problèmes.
La vérification de ces deux outils porte sur :
Tester la connectivité de la découverte automatique.
Valider le DNS.
Valider les certificats pour déterminer si le nom du certificat correspond au site web, si le
certificat a expiré et s’il est approuvé.
Vérifier la configuration du pare-feu.
Vérifier la connectivité des clients via une connexion à la boîte aux lettres de l’utilisateur.
Tester la connectivité
La cmdlet Test-MAPIConnectivity permet de vérifier le bon fonctionnement d’un
serveur, d’une base de données ou d’une boîte aux lettres. Le test est fait directement sur
le serveur de base de données sans passer par un serveur d’accès client.
Si l’utilisateur n’arrive pas à se connecter à sa boîte aux lettres alors que la cmdlet
renvoie une connexion réussie, cela signifie que le problème n’est pas sur le serveur, la
base de données et la boîte aux lettres.
Vous pouvez tester la connectivité du serveur XSGMB130, grâce à la commande
suivante.
Test-MAPIConnectivity -Server XSGMB130

Figure 14‑6 Test de la connectivité MAPI

Vous pouvez tester la connectivité à la base de données BDD-TOUS, grâce à la cmdlet


suivante à saisir sur une seule ligne.
Test-MAPIConnectivity -Database ‘BDD-TOUS’
Vous pouvez tester la connectivité à la boîte aux lettres d’Alice Martin, grâce à la
cmdlet suivante.
Test-MAPIConnectivity -Id ‘Alice Martin’
Files d’attente
Une file d’attente sert à stocker temporairement les messages avant leur remise. Il
existe des files d’attentes pour les messages entrants et des files d’attentes pour les
messages sortants. La plupart des files d’attente ont une durée de vie limitée.
Si un message n’a pas pu être remis, ou s’il n’y a pas de certitude que le message a été
remis, le message reste dans la file d’attente. Tant que le message reste dans la file
d’attente, le serveur Exchange cherche à le remettre et il attend un accusé de remise.
Si ces conditions ne sont pas remplies, le message expire. La période d’expiration par
défaut du message est de deux jours.
Le suivi peut être mise en œuvre via EMC ou l’outil graphique, comme l’afficheur des
files d’attente d’Exchange Toolbox.

Figure 14‑7 Exchange Toolbox

Une fois que Exchange Toolbox est démarré, vous cliquez sur Afficheur des files
d’attente.

Figure 14‑8 Afficheur des files d’attente

Vous visualisez les files d’attente du serveur sur lequel vous êtes. Toutefois, avec le
menu Actions, vous pouvez vous connecter sur un autre serveur.
Vous pouvez ouvrir une file d’attentes, pour afficher tous les messages en attente.
Si vous double-cliquez sur un message de la file d’attente, vous obtenez la raison pour
laquelle le message n’est pas encore remis. Éventuellement, vous pouvez suspendre ou
annuler un message, avec ou sans accusé de non-remise (NDR, Non-Delivery Report).
Cmdlets des files d’attentes
Le suivi des files d’attentes avec EMS permet de faire des investigations plus précises
avec la cmdlet suivante qui affiche les files d’attente du serveur en cours.
Get-Queue
Par exemple, pour obtenir la dernière erreur de la file d’attente n°1382.
Get-Queue -Id XSGMB100\1382 | Select LastError | FL
Si vous voulez obtenir la liste de toutes les files d’attentes de vos serveurs Exchange.
Get-TransportService | Get-Queue

Figure 14‑9 Files d’attentes (vue partielle)


TP 14A Dépannage d’une non-remise
Objectif
Lorsque vous dépanner, vous devez obtenir des informations les plus précises
possibles. La fameuse phrase “ça ne marche pas !” n’est évidemment pas suffisante. Il est
impératif d’avoir une description la plus précise des faits.
Vous aurez généralement de meilleurs résultats si vous avez une heure même
approximative du dysfonctionnement que pas du tout, même s’il faut savoir prendre du
recul sur les informations fournies.
L’objectif est de dépanner un échec de remise.
La tâche à accomplir est :
Utiliser le suivi des messages

Solution
Utiliser le suivi des messages

Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.


Sélectionnez une non remise de votre environnement de formation.
Dans ce cas, vous avez connaissance de l’heure d’envoi du message, de l’expéditeur et
du destinataire, vous pouvez donc utiliser le suivi des messages pour déterminer la cause.
Dans le volet de fonctionnalités, cliquez sur flux de messagerie : le volet central
s’actualise et donne accès aux onglets supplémentaires.
Cliquez sur l’onglet rapports de remise.

Figure 14‑10 Rapports de remise

Avec cet outil, vous pouvez rechercher les messages dont l’état de remise est Échec ou
En attente. Une fois le message identifié, vous pouvez consulter ses informations
détaillées pour savoir pourquoi le message n’a pas été remis.
Par exemple : A-t-il été envoyé ? A-t-il été filtré par le service anti-spam ? A-t-il eu un
retard de remise ?
Par ailleurs, Est-ce que le destinataire est injoignable ? Est-ce que le message dépasse
les limites de taille ? etc.
Les réponses à ces questions, que vous obtenez grâce au suivi des messages, vous
donnera l’explication de l’échec de remise.

Résumé
Dans cet exercice, vous avez appris à dépanner un échec de remise grâce à l’outil suivi
des messages.
TP 14B Dépannage d’une lenteur de remise
Objectif
L’objectif est de dépanner d’une lenteur de remise par analyse de l’entête.
La tâche à accomplir est :
Analyse de l’entête SMTP

Solution
Analyse de l’entête SMTP
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Sélectionnez un message quelconque de votre environnement de formation. Si
possible, sélectionnez un message qui a eu des problèmes de remises : lenteur, déroutage,
etc.
Lorsqu’un routage d’un message est retardé, vous pouvez savoir le chemin qu’il a pris
en analysant son entête SMTP. Si le message a été transporté par plusieurs serveurs de
messagerie, cela peut se révéler fastidieux de retrouver la route empruntée.
Pour vous aider, vous pouvez utiliser l’outil de Google.
La boîte à outils de Google Apps
http://coudr.com/xsg098
L’usage est très simple, vous copier-coller le contenu original de votre message dans la
grande zone. Puis, il vous restitue le routage da façon lisible.

Figure 14‑11 Analyse d’entête

Grâce à cette analyse, retracez le routage emprunté par le message et identifiez les
goulets d’étranglements.

Résumé
Dans cet exercice, vous avez appris à dépanner une lenteur de remise grâce à l’analyse
de l’entête. Cette analyse a été facilitée par un outils tiers.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Livre “Mastering Microsoft Exchange Server 2013”, Éditeur Sybex, Auteur : David
Elfassy
Livre “Pro Exchange Server 2013 Administration”, Éditeur Apress, Auteur : Jaap
Wesselius
Chapitre 15 Réparer le carnet d’adresses

Liste et carnet d’adresses


Une liste d’adresses est un ensemble d’utilisateurs d’Active Directory qui partagent des
attributs identiques. Autrement dit, l’intérêt d’une liste est de disposer d’un filtre qui
facilite la recherche des destinataires.
Les listes d’adresse les plus fréquentes sont la liste d’adresses globale, qui contient
toutes les adresses, ainsi que les listes intitulées : Tous les contacts, Tous les utilisateurs,
Tous les groupes, Toutes les salles, etc.
Bien évidemment, il est possible de créer des listes d’adresses supplémentaires afin de
faciliter la recherche d’un destinataire. La création des listes se fait via des requêtes LDAP
sur l’Active Directory, exactement comme pour les groupes dynamiques.
Les requêtes LDAP peuvent porter sur des attributs relatifs à l’organisation, comme la
ville de l’utilisateur, son service, etc. Elles peuvent aussi porter sur les attributs
personnalisés. Ceux-ci permettent de stocker des informations quelconques à propos de
vos utilisateurs : c’est vous qui décidez de la signification de chaque attribut personnalisé.

Cacher l’utilisateur
Il est possible de cacher l’appartenance d’un utilisateur à une liste, grâce à une
propriété de la boîte aux lettres de l’utilisateur concerné. C’est souvent pratiqué pour les
membres de la direction générale ou les personnalités de marque (VIP, Very Important
Person) afin d’éviter qu’ils soient importunés.
L’administrateur peut afficher toutes les boîtes aux lettres cachées de la liste d’adresses
globale, grâce à la cmdlet suivante à saisir sur une seule ligne.
Get-Mailbox | `
Where {$_.HiddenFromAddressListsEnabled `
-eq $True} | Select Name

Figure 15‑1 Boîtes aux lettres cachées

Les propriétés des boîtes aux lettres sont examinées dans le Chapitre 6 Gestion des
boîtes aux lettres.

Carnet d’adresses en mode hors connexion


Un carnet d’adresses en mode hors connexion (OAB, Offline Address Book) est une
copie d’un ensemble de listes d’adresses pour permettre à un utilisateur qui travaille en
mode hors connexion dans Outlook d’afficher les listes d’adresses. Vous pouvez décider
quelles listes d’adresses sont mises à la disposition des utilisateurs qui travaillent en mode
hors connexion.
Lorsque le rôle serveur de boîtes aux lettres est installé, le Carnet d’adresses en mode
hors connexion par défaut est créé. Il contient la Liste d’adresses globale.
Toutefois, vous pouvez créer des carnets d’adresses en mode hors connexion
supplémentaires, dans lesquels vous pouvez ajouter ou supprimer des listes d’adresses.
Les carnets d’adresses en mode hors connexion sont générés sur la base des listes
d’adresses qu’ils contiennent.
Parmi tous les carnets d’adresses en mode hors connexion disponibles, vous devez
définir celui qui sera par défaut. Cela signifie qu’il sera associé à toutes les nouvelles
bases de données de boîtes aux lettres.

Stratégie de carnet d’adresses


L’objectif d’une stratégie de carnet d’adresses (ABP, Address Book Policy) est de créer
des vues personnalisées des carnets d’adresses de l’organisation.
Par exemple, vous souhaitez que les utilisateurs d’une société, qui appartiennent à un
groupe avec une organisation Exchange unique, disposent d’un carnet d’adresses qui
affiche uniquement les adresses de leur société.

Liste d’adresse hiérarchique


Afin d’éviter un affichage à plat des destinataires, il est possible de créer une liste
d’adresse hiérarchique HAB (Hierarchical Address Book).
Pour la mettre en œuvre, un groupe avec accès de messagerie est désigné comme
portant la hiérarchie. Ensuite, la hiérarchie est créée par imbrication des groupes avec
accès de messagerie.
Par exemple, pour créer un groupe de distribution intitulé NOVA, rattaché à l’OU
Corporate, exécutez sur une seule ligne la commande ci-dessous.
New-DistributionGroup -Name “Nova” `
-DisplayName “Groupe NOVA” -Alias “NovaCorp” `
-OrganizationalUnit “NOVAx.AD/Corporate” `
-SamAccountName “NovaCorp” -Type “Distribution”
Pour activer HAB, tapez la cmdlet suivante. À l’issue de son exécution, un onglet
Organisation apparaît dans le carnet d’adresse.
Set-OrganizationConfig `
-HierarchicalAddressBookRoot “Nova”
Figure 15‑2 Onglet Organisation

Pour désigner le groupe de distribution Nova comme membre de HAB, tapez la cmdlet
suivante.
Set-Group -Id ‘Nova’ `
-IsHierarchicalGroup $True
Idem pour le groupe Direction.
Set-Group -Id ‘Direction’ `
-IsHierarchicalGroup $True
Idem pour le groupe Marketing.
Set-Group -Id ‘Marketing’ `
-IsHierarchicalGroup $True
Idem pour le groupe Informatique.
Set-Group -Id ‘Informatique’ `
-IsHierarchicalGroup $True
Pour positionner la Direction sous Nova.
Add-DistributionGroupMember -Id ‘Nova’ `
-Member ‘Direction’
Pour positionner le Marketing sous la Direction.
Add-DistributionGroupMember -Id ‘Direction’ `
-Member ‘Marketing’
Pour positionner L’Informatique sous la Direction.
Add-DistributionGroupMember -Id ‘Direction’ `
-Member ‘informatique@nova100.ad’
Vous pouvez aussi assigner des priorités avec le paramètre SeniorityIndex. La valeur la
plus élevée étant prioritaire.

Figure 15‑3 Liste hiérarchique


Migration
En cas de migration d’une version ancienne d’Exchange, il est nécessaire de modifier
les listes d’adresses avec la cmdlet :
Get-AddressList | Set-AddressList
TP 15A Construire un carnet d’adresses
Objectif
Vous travaillez dans un GIE (Groupement d’Intérêt Économique) bancaire dans lequel
votre messagerie Exchange gère les boîtes aux lettres de 30 banques distinctes.
Il est fait l’hypothèse que l’attribut personnalisé 1 de l’AD contient le nom de la
banque : Octane, Nova, Machepro, etc.
L’objectif est de créer la liste d’adresse Tout Octane pour la banque Octane. Vous
devrez aussi créer le carnet d’adresses en mode hors connexion, pour les utilisateurs
déconnectés, ainsi qu’une stratégie de carnet d’adresse qui sera affectée aux utilisateurs
d’Octane.
Les tâches à accomplir sont :
Créer une liste d’adresse spécialisée
Créer un carnet d’adresses en mode hors connexion
Créer une nouvelle stratégie de carnet d’adresses
Attribuer une stratégie de carnet d’adresses
Vérifier l’attribution de la stratégie de carnet d’adresses

Solution
Créer une liste d’adresse spécialisée
Vous allez créer une liste d’adresse intitulée Tout Octane qui sera constituée
uniquement des utilisateurs avec boîtes aux lettres dont l’attribut personnalisé 1 = Octane.
Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.
Afin de vérifier les manipulations qui suivent, vous allez modifier l’attribut
personnalisé 1 d’Alice avec la valeur Octane. Faites-le avec le Centre d’administration
Exchange.
Par ailleurs, pour créer une liste d’adresse intitulée Tout Octane basée sur l’attribut
personnalisé 1 = Octane, exécutez sur une seule ligne la commande ci-dessous.
New-AddressList -Name ‘Tout Octane’ `
-ConditionalCustomAttribute1 @(‘Octane’) `
-IncludedRecipients ‘MailboxUsers’
Pour mettre à jour cette liste, utilisez la cmdlet suivante.
Update-AddressList -Id ‘Tout Octane’
Créer un carnet d’adresses en mode hors connexion
À la suite de la création de liste d’adresses Tout Octane, vous souhaitez ajouter cette
liste dans le Carnet d’adresses en mode hors connexion par défaut.
Outre la liste Tout Octane, vous devez ajouter la liste d’adresses globale par défaut,
sinon la version hors connexion de cette ne sera pas générée.
Pour cela, dans EMS, tapez sur une seule ligne la commande suivante pour la version
en anglais.
Set-OfflineAddressBook -Identity “Default Offline Address Book” -AddressLists “Default
Global Address List”,“Tout Octane”
Pour la version en français (éventuellement).
Set-OfflineAddressBook -Identity “Carnet d’adresses en mode hors connexion par défaut”
`
-AddressLists “Liste d’adresses globale par défaut”,“Tout Octane”
Créer une nouvelle stratégie de carnet d’adresses

Si vous reprenez l’exemple du GIE bancaire qui gère les boîtes aux lettres de 30
banques distinctes, vous devriez créer 30 listes d’adresse : 1 liste par banque.
L’inconvénient de cette méthode, c’est que vos utilisateurs devront sélectionner la
bonne liste parmi les 30. De plus, l’employé de la banque Octane, il n’a que faire des 29
autres listes qui s’affichent dans son carnet d’adresses.
Pour remédier à cette situation, il vous appartient de créer une stratégie de carnet
d’adresses.
Dans cette nouvelle stratégie de carnet d’adresses, vous allez affecter la liste d’adresses
globale par défaut, le carnet d’adresses en mode hors connexion, la liste de toutes les
salles et la liste Tout Octane.
Lors de la création d’une nouvelle stratégie de carnet d’adresses, une liste d’adresses
de salles est obligatoire, même si vous n’avez aucune salle ou ressource à inclure dans
cette liste. Dans cet exemple, la liste Toutes les salles est utilisée mais il aurait été
possible de créer une liste de salles vide.
Dans EMS, tapez sur une seule ligne la commande suivante pour la version en anglais.
New-AddressBookPolicy -Name “Carnet Octane” `
-GlobalAddressList “Default Global Address List” -OfflineAddressBook “Default Offline
Address Book” -RoomList “All rooms” `
-AddressLists “Tout Octane”
Pour la version en français (éventuellement).
New-AddressBookPolicy -Name “Carnet Octane” `
-GlobalAddressList “Liste d’adresses globale par défaut” -OfflineAddressBook “Carnet
d’adresses en mode hors connexion par défaut” `
-RoomList “Toutes les salles” `
-AddressLists “Tout Octane”
Attribuer une stratégie de carnet d’adresses

Vous pouvez maintenant attribuer cette stratégie de carnet d’adresses aux utilisateurs de
boîtes aux lettres qui ont la valeur Octane dans l’attribut personnalisé 1.
Pour cela, dans EMS, tapez sur une seule ligne la cmdlet suivante.
Get-Mailbox | `
where {$_.CustomAttribute1 -eq “Octane”} | `
Set-Mailbox -AddressBookPolicy “Carnet Octane”
La stratégie aurait pu être affectée manuellement à une boîte aux lettres grâce à EAC.

Figure 15‑4 Stratégie de carnet d’adresses

Vérifier l’attribution de la stratégie de carnet d’adresses


Ouvrez une session avec le compte de domaine alice@NOVAx.AD sur CLIENTx.


Démarrez Outlook.
Lorsqu’Alice consulte son carnet d’adresses, elle ne voit que les listes d’adresses qui
sont affectées aux utilisateurs dont l’attribut personnalisé 1 est égal à Octane.

Figure 15‑5 Carnet d’adresse d’Alice

Inversement un utilisateur qui n’a aucune stratégie sur sa boîte aux lettres voit toutes
les listes d’adresses, y compris Tout Octane.

Résumé
Dans cet exercice, vous avez créé la liste d’adresse spécialisée Tout Octane.
Vous en avez profité pour modifier le carnet d’adresses en mode hors connexion avec
cette liste et la liste d’adresses globales par défaut.
Vous avez aussi créé une nouvelle stratégie de carnet d’adresses avec la liste Tout
Octane et attribuer cette stratégie de carnet d’adresses aux utilisateurs d’Octane.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Carnets d’adresses en mode hors connexion : https://technet.microsoft.com/fr-
fr/library/bb232155(v=exchg.150).aspx
Stratégies de carnet d’adresses : https://technet.microsoft.com/fr-
fr/library/hh529948(v=exchg.150).aspx
Chapitre 16 Dépanner le webmail

Les problèmes classiques côté navigateur


Lorsque vous vous connectez de l’extérieur à Exchange, vous ne savez pas nativement
quel est le serveur Exchange qui vous répond, quand une ferme de serveurs est présente.
Pourtant, cela peut se révéler utile de connaître précisément le serveur utilisé pour
dépanner des accès aléatoires.
Une technique, présentée dans l’exercice des travaux pratiques, permet de configurer
Outlook sur le web afin de connaître le serveur fautif.
Vérifier l’accès Outlook sur le web
Pour vérifier que Outlook sur le web fonctionne correctement, vous pouvez utiliser la
cmdlet suivante.
Bien évidemment, vous pouvez l’utiliser pour tous les composants, comme cela a été
expliqué dans un chapitre précédent.
Get-ServerHealth XSGMB100 -HealthSet OWA.Protocol | select Name, AlertValue | FT -
a

Figure 16‑1 Test composant Outlook sur le web


Les problèmes classiques côté serveur (IIS)
Toute l’activité liée à IIS (Internet Information Services) est enregistrée dans des
fichiers spécifiques de journalisation. La journalisation HTTP (HTTP Logging), ainsi que
la compression du contenu statique (Static Content Compression) et le filtrage des
requêtes (Request Filtering) sont activées par défaut dans IIS.
Afin de s’assurer du fonctionnement optimum de IIS, ces fichiers journaux doivent être
supervisés, exactement comme les fichiers journaux d’Exchange.
En particulier, il n’y a pas de suppression automatique. Il faut donc veiller à les
recycler.
Bien évidemment, ils sont précieux pour diagnostiquer les problèmes de connexion ou
autre, ainsi que pour surveiller les tentatives d’intrusion.
Les dossiers des fichiers journaux sont sous le dossier :
%SystemDrive%\inetpub\logs\LogFiles
Le nom du dossier journal du site est suffixé par l’identifiant interne du site. Par
exemple, si l’identifiant interne du site web est 1, le fichier journal est stocké dans
W3SVC1.
Dans les fichiers journaux, le champ cs-method indique la méthode : GET, POST, etc.
Tandis que le champ cs-uri-stem donne l’URL demandée, avant le point d’interrogation.
Par exemple, les demandes d’accès à Outlook sur le web sont repérables grâce à la
commande GET /owa/auth/logon.aspx. Les requêtes Outlook Anywhere, avec la
commande RPC_IN_DATA /rpc/rpcproxy.dll.
Compte-tenu de son fonctionnement, la disponibilité gérée génère une activité forte
dans les fichiers journaux de IIS. Typiquement, les accès aux boîtes aux lettres qui
débutent par HealthMailbox proviennent de la disponibilité gérée. De même, les accès aux
pages exhealth.check. Ces pages sont générées dynamiquement. Si tout va bien, elles
contiennent uniquement un code état 200, qui signifie que la requête du client a réussi.
TP 16A Configurer Outlook sur le web
Objectif
L’objectif est de configurer Outlook sur le web pour permettre l’accès, puis de modifier
la bannière afin de faire apparaître le nom du serveur d’accès au client. Par ailleurs, la
taille maximale des messages prise en charge par Outlook sur le web sera de 10 Mo.
Enfin, la possibilité d’indiquer s’il s’agit d’un ordinateur privé ou public sera proposé sur
l’écran d’accueil.
Vous en profiterez pour fixer la valeur de déconnexion à 2 heures pour un ordinateur
privé et 20 minutes pour un ordinateur public.
Les tâches à accomplir sont :
Configurer les URLS d’Outlook sur le web
Modifier la bannière
Configurer Web.config
Configurer l’accès public

Solution
Configurer les URLS d’Outlook sur le web

Bien qu’il soit possible de configurer les URLs externes du site web d’Outlook sur le
web avec le Centre d’administration Exchange, la manipulation est assez fastidieuse. De
plus, la configuration des URLs internes n’est pas possible avec le Centre d’administration
Exchange.
Cet exercice suppose d’un certificat SSL ait été préalablement configuré et qu’il
correspond au nom de domaine webmail.NOVAx.ad. Si ce n’est pas le cas, vous devez
l’adapter aux valeurs réelles de votre environnement.
Pur modifier le répertoire virtuel de Outlook sur le web, exécutez la commande
suivante.
Get-OwaVirtualDirectory -Server XSGMBx | `
Set-OwaVirtualDirectory `
-ExternalUrl https://webmail.NOVAx.ad/owa `
-InternalUrl https://webmail.NOVAx.ad/owa
Modifier la bannière

Ouvrez une session avec le compte de domaine Administrateur sur XSGMBx.


Avec Windows Explorer, naviguez jusqu’au dossier
%ExchangeInstallPath%frontend\HttpProxy\owa\auth.
Faites une copie du fichier logon.aspx.
Ensuite, avec le Bloc-notes (notepad.exe), ouvrez le fichier logon.aspx d’origine et
cherchez la chaîne de caractères ci-dessous.
<div class=“logonContainer”>
Immédiatement à droite de cette chaîne, vous tapez Serveur XSGMBx.
Ce qui donne
<div class=“logonContainer”>Serveur XSGMBx
Enregistrez votre modification et connectez-vous.

Figure 16‑2 Personnalisation Outlook sur le web

Configurer Web.config

Vous pouvez configurer des limites de tailles de message spécifiques pour Outlook
Web App.
Ouvrez le Gestionnaire de serveurs, et dans les Outils, cliquez sur Gestionnaire des
services Internet (IIS).
Dans le volet de gauche, naviguez dans l’arborescence jusqu’à l’application owa du
site Exchange Back End.
Dans le volet de droite, cliquez sur Explorer.
Faites une copie du fichier web.config.
Ensuite, avec le Bloc-notes (notepad.exe), ouvrez le fichier web.config d’origine et
cherchez la chaîne de caractères ci-dessous.
maxRequestLength
Cette valeur correspond à la taille maximale des messages via Outlook sur le web. Par
défaut, elle est de 35000.
Indiquez la valeur 10240, ce qui représente 10 Mo.
maxRequestLength=“10240”
Enregistrez votre modification : elle est prise en compte immédiatement : il est inutile
de faire un iisreset, par exemple.
Testez avec un message de plus de 10 Mo. Pour vous aider, vous pouvez créer un
fichier avec fsutil et le mettre en pièce jointe.
fsutil file createnew c:\bin\30mo.txt 30000000

Figure 16‑3 Taille maximale atteinte

Configurer l’accès public


Par défaut, Outlook sur le web suppose que les utilisateurs utilisent un ordinateur privé.
Pour un ordinateur privé, le temps maximum d’inactivité est de 8 heures, par défaut.
Pour un ordinateur public, il est de 15 minutes maximum. Ce délai spécifie combien de
temps un utilisateur peut être inactif avant qu’il soit obligé de se reconnecter.
Vous allez faire apparaître le choix entre ordinateur et public, avec la cmdlet suivante.
Set-OwaVirtualDirectory “XSGMBx\owa (Default Web Site)” -
LogonPagePublicPrivateSelectionEnabled $True
Puis vous appliquez votre modification, avec la commande :
iisreset
Ouvrez Outlook sur le web pour vérifier l’application de vos modifications.
Figure 16‑4 Choix de l’ordinateur

Vous pouvez changer aussi les valeurs par défaut, en mettant à jour la base de registre.
Par exemple, pour fixer un temps de 2 heures maximum pour un ordinateur privé.
Set-ItemProperty “HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA” -
Name PrivateTimeout -Value 120 -Type DWORD
Ou bien pour fixer un temps de 20 minutes maximum pour un ordinateur public.
Set-ItemProperty “HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA” -
Name PublicTimeout -Value 20 -Type DWORD
Puis vous appliquez votre modification, avec la commande :
iisreset

Résumé
Dans cet exercice, vous avez configuré Outlook sur le web pour permettre son accès et
faire apparaître le nom du serveur d’accès au client sur la bannière d’accueil.
Vous avez aussi modifié la taille maximale des messages prise en charge par Outlook
sur le web à 10 Mo.
Vous avez aussi offert la possibilité d’indiquer si la connexion à Outlook sur le web
était faite à partir d’un ordinateur public ou privé.
Enfin, vous en avez profité pour fixer la valeur de déconnexion à 2 heures pour un
ordinateur privé et 20 minutes pour un ordinateur public.
Chapitre 17 Gérer la sécurité

Problèmes liés aux configurations de sécurité Exchange


Le contrôle d’accès basé sur un rôle (RBAC, Role Based Access Control) est plus un
cadre pour gérer les autorisations d’Exchange 2016 qu’un ensemble d’outils.
Le RBAC permet d’attribuer plus finement les droits dont les administrateurs et les
utilisateurs doivent bénéficier pour accomplir leurs tâches.
Le RBAC propose deux méthodes principales pour attribuer des autorisations aux
utilisateurs. La première méthode s’appuie sur les groupes de rôles. La seconde méthode
est basée sur les stratégies d’attribution de rôle de gestion. La troisième méthode, plus
avancée, consiste en l’attribution de rôle d’utilisateur directe.
Les autorisations accordées aux administrateurs et utilisateurs sont basées sur des rôles
de gestion. Un rôle est un ensemble de tâches et il existe deux types de rôles.
Un rôle administratif concerne des tâches de gestion de l’organisation Exchange
comme celles relatives aux serveurs, aux bases de données ou aux destinataires.
Un rôle d’utilisateur concerne des tâches relatives à leurs propres boîtes aux lettres et
groupes de distribution. Les rôles d’utilisateur sont assignés à l’aide de stratégies
d’attribution de rôle et commencent par le préfixe My, comme par exemple
MyDistributionGroups ou MyDistributionGroupMembership.
Exchange 2016 propose presque 70 rôles prédéfinis pour accorder des autorisations
aux administrateurs, et près d’une vingtaine pour les utilisateurs. Aussi, afin de faciliter
l’attribution des autorisations, certains rôles ont été regroupés en groupes de rôles.
Groupe de rôles
Vous pouvez attribuer un rôle à un utilisateur ou un groupe de sécurité sans utiliser de
groupe de rôle. Il s’agit d’une technique qui est présentée plus bas.

Figure 17‑1 Groupes de rôles

Un groupe de rôles est un ensemble de rôles. Cette technique permet de simplifier


l’attribution des autorisations nécessaires pour accomplir les tâches d’administration.
Quand vous ouvrez le Centre d’Administration Exchange, si vous cliquez sur
autorisations dans le volet de fonctionnalités, vous verrez les groupes de rôles existants.
Si vous cliquez simplement sur un des groupes de rôles, le volet détail affiche les rôles
attribués et les membres éventuels.
Les 12 groupes de rôles prédéfinis sont présentés ci-dessous.
Gestion de l’organisation (Organization Management) permet de réaliser
pratiquement toutes les tâches sauf celles qui sont spécifiques au groupe Gestion de la
découverte.
Gestion de l’organisation en affichage seul (View-Only Organization Management)
permet d’afficher les propriétés de tous les objets de l’organisation Exchange, sans
pouvoir les modifier.
Gestion de la conformité (Compliance Management) permet de configurer les
paramètres de conformité Exchange conformément à la stratégie de leur organisation.
Gestion de la découverte (Discovery Management) permet d’effectuer des recherches
de boîtes aux lettres dans l’organisation Exchange pour des données répondant à des
critères spécifiques et peuvent également configurer des suspensions pour litige de boîtes
aux lettres.
Gestion de l’hygiène (Hygiene Management) permet de configurer les fonctionnalités
d’antivirus et de blocage du courrier indésirable d’Exchange 2016.
Gestion de messagerie unifiée (UM Management) permet de configurer le service de
messagerie unifiée, ainsi que les propriétés de messagerie unifiée des boîtes aux lettres, les
invites de messagerie unifiée et la configuration du standard automatique de messagerie
unifiée.
Gestion des destinataires (Recipient Management) permet de créer ou modifier les
destinataires Exchange 2016.
Gestion des dossiers publics (Public Folder Management) permet de gérer les
dossiers publics.
Gestion des enregistrements (Records Management) permet de configurer les
fonctionnalités de conformité, comme les balises de stratégie de rétention, les
classifications de message et les règles de transport.
Gestion du serveur (Server Management) permet de configurer un serveur pour les
fonctionnalités de transport, de messagerie unifiée, d’accès client et de boîte aux lettres,
les copies de bases de données, les certificats, les files d’attente de transport, les
connecteurs d’envoi, les répertoires virtuels et les protocoles d’accès client.
Installation déléguée (Delegated Setup) permet de déployer des serveurs exécutant
Exchange 2016 qui ont été précédemment mis en service par un membre du groupe de
rôles Gestion de l’organisation.
Support technique (Help Desk) permet de modifier les options Outlook Web App,
notamment le nom complet, l’adresse et le numéro de téléphone de l’utilisateur ainsi que
les options non disponibles par défaut dans Outlook Web App, comme la taille d’une boîte
aux lettres.

Créer un groupe de rôles


Si nécessaire, vous pouvez créer et rajouter de nouveaux groupes de rôles avec le
Centre d’administration Exchange, grâce au volet de fonctionnalités Autorisations, dans
l’onglet rôles d’administrateur.
Figure 17‑2 Nouveau groupe de rôles

La création peut se faire grâce à l’outil Ajouter (+) ou Copier de la barre d’outils.
Si vous ajoutez un nouveau groupe de rôle, vous devrez lui donner un nom,
sélectionner les rôles à ajouter au groupe de rôles et indiquer les membres.
Éventuellement, vous pouvez créer le nouveau groupe de rôle dans une unité
d’organisation.
Si vous copiez un nouveau groupe de rôle, vous devrez sélectionnez un groupe de rôle
existant puis le copier. Vous pourrez ensuite modifier les caractéristiques de la copie. Cette
méthode est adaptée lorsque vous souhaitez créer un groupe de rôle dont les
caractéristiques sont proches de celles d’un groupe de rôle existant.

Stratégie d’attribution de rôle


Une stratégie d’attribution de rôle permet de contrôler les paramètres que vos
utilisateurs peuvent configurer dans leurs propres boîtes aux lettres grâce à un rôle,
comme pouvoir changer son nom d’affichage, ses coordonnées, ses paramètres de
messagerie vocale ou l’appartenance au groupe de distribution. Elle ne leur permet pas de
gérer une autre boîte aux lettres.
Une stratégie d’attribution de rôle peut être ajoutée à plusieurs boîtes aux lettres.
Lorsqu’un rôle d’utilisateur est attribué à une stratégie d’attribution de rôle, toutes les
boîtes aux lettres associées à cette stratégie d’attribution de rôle reçoivent les autorisations
accordées à ce rôle.
En revanche, une boîte aux lettres ne peut être associée qu’à une stratégie d’attribution
de rôle à la fois. L’attribution d’une stratégie se fait via les propriétés de la boîte aux
lettres dans le Centre d’administration Exchange.

Figure 17‑3 Stratégie d’attribution de rôle

Les rôles d’utilisateur débutent toutes par My. : MyAddressInformation,


MyMobileInformation, MyName, etc.
Une des stratégies d’attribution de rôle est obligatoirement attribuée par défaut. En
particulier, la stratégie livrée par défaut permet aux utilisateurs de :
Rejoindre ou quitter des groupes de distribution, si ces groupes l’autorisent.
Modifier certains de leurs paramètres, comme les règles de la boîte de réception, le
comportement du vérificateur d’orthographe, les paramètres relatifs au courrier
indésirable et les périphériques ActiveSync.
Modifier leurs informations de contact, comme l’adresse et les numéros de téléphone.
Créer ou modifier ou visualiser les paramètres des messages texte.
Modifier les paramètres de la messagerie vocale.
Modifier leurs applications de place de marché.
Créer des boîtes aux lettres d’équipe et de les connecter aux sites SharePoint.
La cmdlet suivante indique les caractéristiques des stratégies d’attribution de rôle.
Get-RoleAssignmentPolicy

Créer une stratégie d’attribution de rôle


Vous pouvez créer des stratégies d’attribution de rôle dans lesquelles vous ajouterez et
supprimerez des rôles avec le Centre d’administration Exchange, grâce au volet de
fonctionnalités Autorisations, dans l’onglet rôles d’utilisateur.
La création peut se faire grâce à l’outil Ajouter (+) ou Copier de la barre d’outils, sur le
même principe que celui de la création d’un groupe de rôles.
Les rôles disponibles sont :
MyContactInformation permet de modifier ses informations de contacts, y compris
ses numéros de téléphone et ses adresses.
MyProfileInformation permet de modifier son nom et son nom d’affichage.
MyDistributionGroups permet de créer et modifier ses groupes de distribution, ainsi
que d’ajouter, modifier ou supprimer les membres à ses groupes de distribution.
MyDistributionGroupMembership permet de modifier son appartenance à des
groupes de distribution, si ces groupes autorisent cette modification.
My Custom Apps permet de modifier ses applications personnalisées.
My Marketplace Apps permet de modifier ses applications de place de marché.
My ReadWriteMailbox Apps permet d’installer des applications avec des
autorisations ReadWriteMailbox.
MyBaseOptions permet de modifier la configuration de base de sa propre boîte aux
lettres et des paramètres associés.
MyRetentionPolicies permet de modifier ses paramètres de balises et les valeurs par
défaut.
MyTextMessaging permet de créer et modifier ses paramètres de messagerie texte.
MyVoiceMail permet de modifier ses paramètres de messagerie vocale.
MyDiagnostics permet de d’effectuer des diagnostics simples sur sa boîte aux lettres,
tels que la récupération des informations de diagnostic du calendrier.
MyTeamMailboxes permet de créer des boîtes aux lettres de site et de les connecter
aux sites SharePoint.
Attribution de rôle d’utilisateur directe
Vous pouvez attribuer des rôles de gestion directement à un utilisateur ou un groupe de
sécurité universel sans passer par un groupe de rôles ou une stratégie d’attribution de rôle.
Cette méthode a l’avantage d’être précise et personnalisée, cependant elle est plus
complexe que les deux méthodes précédentes. En particulier, elle est directement liée à un
compte d’utilisateur. Si celui-ci quitte l’entreprise ou change de fonction, cela vous oblige
à faire de nombreuses manipulations, pour refléter les changements dans votre
organisation Exchange.

Étendues des rôles de gestion


Les étendues des rôles de gestion définissent la portée d’un rôle.
Lorsqu’une étendue est appliquée, l’utilisateur concerné ne peut modifier que les objets
contenus dans cette étendue. Une étendue de gestion peut être l’organisation Exchange, ou
l’utilisateur actuel, ou encore un groupe de distribution appartenant à l’utilisateur actuel.

Étendue normale ou exclusive


Une étendue de gestion peut être normale ou exclusive. Dans le cas d’une étendue
normale, tous les objets contenus dans l’étendue, sont traités à l’identique. Par contre, il
est possible de refuser l’accès aux objets contenus dans une étendue exclusive si les
utilisateurs ne se voient pas attribuer un rôle associé à l’étendue exclusive.
Une étendue exclusive est uniquement explicite. Cela signifie que vous devez la
définir. Une étendue normale peut être explicite ou implicite. Les étendues héritées sont
des étendues implicites. Les étendues personnalisées sont des étendues explicites, qu’elles
soient normales ou exclusives.
Des exemples illustreront ces concepts. Toutefois, pour mieux comprendre ces
définitions, il faut imaginer que certaines étendues se superposent. Aussi, l’intérêt des
étendues de gestion exclusives est de permettre de créer des exceptions. Autrement dit,
elles permettent de définir des sous-ensembles avec des règles du type “Tout le monde
SAUF ceux qui habitent Nantes”.

Étendues listées ou filtrées


Outre la notion d’étendue normal ou exclusive, une étendue concerne soit un ensemble
de destinataires, soit un élément de configuration de l’organisation.
Les étendues filtrées évaluent une ou plusieurs propriétés d’un objet par rapport à une
valeur définie dans une instruction de filtrage. Une étendue filtrée peut être appliquée à un
ensemble de destinataires ou un élément de configuration de l’organisation, comme un
serveur ou une base de données.
Les étendues de liste utilisent une liste d’objets. Une étendue de liste ne s’applique
qu’à un élément de configuration de l’organisation, comme un serveur ou une base de
données.
Enfin, lorsqu’une étendue concerne un ensemble de destinataires :
Si elle est en lecture, elle détermine les objets destinataire de l’AD que l’utilisateur
concerné est autorisé à lire.
Si elle est en écriture, elle détermine les objets destinataire de l’AD que l’utilisateur
concerné est autorisé à modifier.
Lorsqu’une étendue concerne un élément de configuration :
Si elle est en lecture, elle détermine les objets de configuration de l’AD que l’utilisateur
concerné est autorisé à lire.
Si elle est en écriture, elle détermine les objets organisation, base de données et serveur
de l’AD que l’utilisateur concerné est autorisé à modifier.
Prenons un exemple.
Vous souhaitez que Bob administre tous les serveurs Exchange sauf ceux de Nantes. Si
vous avez ajoutez simplement Bob au groupe de rôle Gestion du serveur, il pourra
administrer tous les serveurs de l’organisation. Ce n’est pas ce que vous voulez.
Dans ce cas, vous allez créer en plus une étendue exclusive qui listera les serveurs de
Nantes avec une interdiction de modification de leurs configurations. Cette étendue sera
attribuée à Bob. De cette façon, il ne pourra pas administrer les serveurs nantais.
TP 17A Attribuer un membre à un groupe de rôles
Objectif
Vous pouvez attribuer un membre à un groupe de rôles avec le Centre d’administration
Exchange, en cliquant sur autorisations dans le volet de fonctionnalités, puis avec l’outil
Modifier (crayon) de la barre d’outils, après avoir sélectionné un groupe de rôles.
Sans surprise, vous pouvez aussi utiliser la console Utilisateurs et ordinateurs Active
Directory. Dans l’unité d’organisation Microsoft Exchange Security Groups, vous
retrouvez tous les groupes de rôles et vous pouvez ajouter l’utilisateur avec la méthode
habituelle. Cela revient strictement au même que la méthode précédente pour l’ajout d’un
membre.
Vous pouvez aussi le faire avec les cmdlets EMS. En termes de suivi d’attribution des
permissions, cette méthode est préférable. En effet, il est facile d’avoir un historique des
cmdlets d’autorisations dans un fichier avec une date correspondante.
L’objectif de cet exercice est d’ajouter Francine Lefebvre au groupe Gestion de la
découverte (Discovery Management).
Le groupe Gestion de la découverte dispose d’une fonctionnalité très puissante qui
permet de faire des recherches dans les boîtes aux lettres. Pour des raisons évidentes, cette
fonctionnalité ne doit être utilisée qu’en conformité totale avec toutes les dispositions
légales et juridiques. Il vous appartient donc d’en vérifier les conditions d’utilisation selon
la réglementation en vigueur de votre pays ou localité.
Vous vérifierez que Francine dispose bien des outils nécessaires dans EAC.
Inversement, vous vérifierez que l’administrateur Exchange ne peut pas faire de
recherche dans les boîtes aux lettres avec le Centre d’administration Exchange.
Les tâches à accomplir sont :
Ajouter un membre au groupe
Vérifier la disponibilité des outils EAC
Vérifier l’indisponibilité des outils EAC

Solution
Ajouter un membre au groupe

Pour ajouter Francine Lefebvre au groupe Gestion de la découverte (Discovery


Management), tapez la cmdlet suivante sur une seule ligne.
Add-RoleGroupMember “Discovery Management” `
-Member “Francine Lefebvre”
Vérifier la disponibilité des outils EAC

Vous allez vérifier que Francine dispose bien des outils nécessaires dans EAC.
Ouvrez une session avec le compte de domaine francine@NOVAx.AD sur CLIENTx.
Ouvrez le Centre d’administration Exchange avec la commande suivante à taper dans
le navigateur web.
https://XSGMBx/ecp
Éventuellement, vous devrez rajouter le site https://XSGMBx dans les sites de
confiance.
Lorsque l’écran EAC s’affiche, connectez en tant que NOVAx\Francine. Une fois que
EAC est ouvert, cliquez sur gestion de la conformité.

Figure 17‑4 Découverte électronique Francine

Francine accède bien aux outils dont elle a besoin, et uniquement à eux. La présence de
la fonctionnalité dossiers publics est liée à la nouvelle possibilité dans Exchange Server
2016 de procéder à une découverte électronique dans les dossiers publics d’Exchange.
Vérifier l’indisponibilité des outils EAC

Vous allez vérifier que le compte Administrateur ne dispose pas par défaut des outils de
recherche de la découverte électronique dans le Centre d’administration Exchange.
Ouvrez une session avec le compte de domaine Administrateur@NOVAx.AD sur
XSGMBx.
Ouvrez le Centre d’administration Exchange avec la commande suivante à taper dans
le navigateur web.
https://XSGMBx/ecp
Lorsque l’écran EAC s’affiche, connectez en tant que NOVAx\Administrateur. Une
fois que EAC est ouvert, cliquez sur gestion de la conformité.
Figure 17‑5 Découverte électronique Administrateur

L’administrateur peut créer une recherche, mais il lui manque l’outil Loupe pour voir
les résultats. Cette situation est normale car cette fonction est réservée à une personne
habilitée spécifiquement pour les recherches légales.
Bien évidemment, l’administrateur a la possibilité de se rajouter volontairement au
groupe Discovery Management. Toutefois, il devra être en mesure de le justifier en cas
d’un audit.

Résumé
Dans cet exercice, vous avez ajouté Francine au groupe de rôles Gestion de la
découverte. Vous avez aussi vérifié qu’elle avait bien les outils nécessaires dans EAC, et
qu’inversement, l’administrateur n’en disposait pas par défaut.
TP 17B Attribuer un rôle direct
Objectif
Vous souhaitez confier à Bob uniquement l’administration des serveurs Exchange de
Nantes.
L ‘objectif de cet exercice est de créer une étendue, nommée Serveurs Nantes qui liste
tous les serveurs nantais actuels. Pour cet exemple fictif, nous supposons qu’il y a deux
serveurs Nantais : XSGMB100 et XSGMB130.
Les utilisateurs auxquels ont été attribués des rôles à l’aide de l’attribution des rôles de
gestion ayant cette étendue ne peuvent effectuer des tâches que sur les serveurs de Nantes.
L’étendue sera ensuite associée à une attribution de rôle de gestion qui affecte le rôle
de gestion Exchange Servers au groupe du rôle Server Management Nantes, qui sera créé
pour l’occasion.
Les tâches à accomplir sont :
Enlever un membre d’un groupe de rôle
Créer un groupe de rôle dédié et ajouter un membre
Créer une étendue
Associer l’étendue
Vérifier les autorisations

Solution
Enlever un membre d’un groupe de rôle

Pour enlever Bob Durand du groupe de rôle Gestion de l’organisation (Organization


Management), tapez la cmdlet suivante sur une seule ligne.
Update-RoleGroupMember `
‘Organization Management’ -Members `
@{Remove=(Get-Mailbox ‘Bob Durand’).Identity}
Si des messages de confirmation d’opérations apparaissent, validez-les.
Créer un groupe de rôle dédié et ajouter un membre

Pour créer un groupe de rôle dédié à l’administration des serveurs de Nantes et ajouter
Bob comme membre, ouvrez le Centre d’administration Exchange et dans le volet de
fonctionnalités, cliquez sur autorisations.
Dans la liste des groupes de rôles, cliquez sur Server Management pour le
sélectionner.
Dans la barre d’outils, cliquez sur Copier, qui est représenté sous forme d’une icône
avec deux fichiers superposés : la fenêtre nouveau groupe de rôles apparait.
Dans cette fenêtre, changez le nom généré (Copie de Server Management) en : Server
Management Nantes.
En bas de cette fenêtre, cliquez sur le + qui se trouve sous Membres et ajouter Bob
Durand.

Figure 17‑6 Server Management Nantes

Puis cliquez sur Enregistrer.


Pensez à ajouter Bob, comme c’est indiqué dans l’exercice. Si vous avez oublié de le
faire au moment de la création, vous pouvez le rajouter après coup avec l’outil Modifier
(crayon).
Créer une étendue

Pour créer une étendue nommée Serveurs Nantes qui inclut uniquement les serveurs
XSGMB100 et XSGMB130, tapez la cmdlet suivante sur une seule ligne.
New-ManagementScope -Name ‘Serveurs Nantes’ `
-ServerList XSGMB100, XSGMB130
Figure 17‑7 Création de l’étendue (vue partielle)

Associer l’étendue

Pour associer l’étendue Serveurs Nantes au rôle de gestion Exchange Servers du


groupe de rôle Server Management Nantes, tapez la cmdlet suivante sur une seule
ligne.
Par commodité, le nom Nova Serveurs Nantes a été assigné à l’association elle-même.
Si vous ne le faites pas, un nom est généré et, dans ce cas, il n’est pas toujours évident de
retrouver ses propres associations.
New-ManagementRoleAssignment `
-Name ‘Nova Serveurs Nantes’ `
-SecurityGroup ‘Server Management Nantes’ `
-Role ‘Exchange Servers’ `
-CustomConfigWriteScope ‘Serveurs Nantes’

Figure 17‑8 Association de l’étendue (vue partielle)

L’attribution des droits est terminée.


Vérifier les autorisations

Vous allez vérifier que Bob dispose bien des outils nécessaires dans EAC et qu’il ne
voit que les serveurs Nantes.
Ouvrez une session avec le compte de domaine bob@NOVAx.AD sur CLIENTx.
Ouvrez le Centre d’administration Exchange avec la commande suivante à taper dans
le navigateur web.
https://XSGMBx/ecp
Éventuellement, vous devrez rajouter le site https://XSGMBx dans les sites de
confiance.
Lorsque l’écran EAC s’affiche, connectez en tant que NOVAx\Bob. Une fois que EAC
est ouvert, cliquez sur serveurs.
Bob peut voir tous les serveurs présents. Toutefois, il ne peut configurer que les
serveurs de Nantes.
Sélectionnez un serveur nantais puis la barre d’outils pour modifier sa configuration.
Par exemple, changez le texte de la Chaîne de bannière qui se trouve dans le volet POP3,
par un autre texte quelconque, puis enregistrez vos modifications. Un message
d’avertissement que le service POP3 doit être redémarré et votre modification est bien
enregistrée.
Tentez de faire la même manipulation sur un serveur qui n’est pas nantais.

Résumé
Dans cet exercice, vous avez créé le groupe de rôle Server Management Nantes par
copie du groupe d’origine Server Management.
Ensuite, vous avez déplacé Bob du groupe Gestion de l’organisation vers le groupe
Server Management Nantes.
Puis vous avez créé une étendue avec les serveurs de Nantes et vous avez associé cette
étendue au rôle de gestion Exchange Servers du groupe de rôle Server Management
Nantes.
Vous avez pu vérifier que Bob ne pouvait configurer que les serveurs de Nantes.
Références et documents à lire
Les architectures d’Exchange 2016 et Exchange 2013 étant très proches, il n’existe pas
toujours de documentations distinctes pour chacune des deux architectures. Les
informations publiées pour Exchange 2013 sont généralement valides pour Exchange
2016.
Présentation du contrôle d’accès basé sur un rôle : https://technet.microsoft.com/fr-
fr/library/dd298183(v=exchg.150).aspx
Chapitre 18 Récupérer en cas de désastre

Scenario catastrophe
Si la récupération de la base de données se révèle plus compliquée que prévu et que
vos utilisateurs doivent impérativement continuer à travailler avec la messagerie, il existe
une technique qui peut vous aider.
Vous pouvez supprimer tous les fichiers physiques de la base, puis remonter la base.
Comme les fichiers de base de données sont manquants, le remontage de la base va
entraîner la création d’une base de données vide avec des boîtes aux lettres vides.
Les utilisateurs pourront se reconnecter à leur boîte à lettres, qui sera évidemment vide.
Ce qui leur permettra de continuer à envoyer et à recevoir des messages le temps que la
base sauvegardée soit récupérée.

Figure 18‑1 Boîte aux lettres temporaire

Une fois que la récupération sera terminée, il faudra sauvegarder la nouvelle base, puis
permuter les deux bases et remonter la nouvelle base sur une base de récupération.
L’utilisation de la base de récupération est détaillée dans l’exercice du TP 13D
Restaurer une boîte aux lettres.
Reprise en cas de désastre
La récupération d’un serveur Exchange peut bien se passer, si vous prenez soin de ne
rien supprimer ou écraser. En effet, cette récupération s’appuie sur les informations
existantes stockées dans Active Directory.
Grâce à ces informations, il est possible de récupérer un serveur opérationnel ou de
déplacer un serveur sur un nouveau matériel avec le même nom.
Les informations de configuration lues à partir d’Active Directory concernent les
données de configuration d’Exchange et les services installés sur le serveur. Lorsque les
paramètres ne sont pas trouvés dans Active Directory, les paramètres par défaut sont
rétablis.
En revanche, les paramètres personnalisés stockés sur le serveur, ainsi que le contenu
des bases de données ne sont pas restaurés.
Pour récupérer proprement l’ancien serveur, le nouveau serveur doit avoir le même
nom et la même configuration disque que le serveur d’origine.
Dans la console Utilisateurs et Ordinateurs Active Directory, vous devez réinitialiser
le compte de l’ordinateur : ne le supprimez surtout pas. L’opération de réinitialisation
casse la relation de confiance entre le serveur et le domaine.
Ensuite, vous installez le nouvel ordinateur avec exactement le même nom. Vous
prenez aussi soin d’installer les mêmes services packs et correctifs du serveur d’origine.
Puis, faites-le rejoindre le domaine et redémarrez.
Une fois que l’ordinateur a redémarré, ouvrez une session en tant qu’administrateur de
domaine et installez les prérequis nécessaires à l’installation d’Exchange.
Ensuite, insérez les binaires d’installation d’Exchange et dans une invite de commande,
tapez la commande suivante.
Setup.exe /mode:RecoverServer /IAcceptExchangeServerLicenseTerms

Figure 18‑2 Mode de récupération


TP 18A Mise en œuvre scenario catastrophe
Objectif
L’objectif est de mettre en œuvre une récupération suite à un scenario catastrophe avec
import des messages.
Les tâches à accomplir sont :
Créer et monter une nouvelle base de données
Installer Sauvegarde Windows Server
Sauvegarder les bases de données
Créer une base de données vide à la place de celle d’origine
Utiliser l’envoi / réception des messages (utilisateur)
Restaurer dans la base de récupération
Permuter les bases de données
Copier la base de récupération dans la base restaurée

Solution
Créer et monter une nouvelle base de données

Si la session d’administrateur de domaine n’est pas encore ouverte sur XSGMBx,


ouvrez-en une avec le compte de domaine Administrateur@NOVAx.AD.
Exécutez sur une seule ligne la commande ci-dessous dans la console EMS, pour créer
la base de données BDD-NORD.
New-MailboxDatabase –Server XSGMBy `
–Name ‘BDD-NORD’ `
-LogFolderPath ‘E:\BDD59’ `
-EdbFilePath ‘E:\BDD59\BDD-NORD.edb’
Redémarrez le service Microsoft Exchange Information Store.
Restart-Service MSExchangeIS
Montez la nouvelle base de données.
Mount-database ‘BDD-NORD’
Si vous obtenez le message ” Échec du montage de la base de données BDD-NORD
Erreur: Une opération Active Manager a échoué avec une erreur provisoire.
Recommencez l’opération”, redémarrez le serveur puis remontez la base.
Créer des boites aux lettres dans la nouvelle base

Vous allez créer deux nouvelles boîtes aux lettres qui seront rattachées à cette nouvelle
base de données. Dans un scénario réel (qui est simulé ici), ces nouvelles boites aux lettres
serviraient à faire des tests avant de basculer en production.
Créez une première boîte aux lettres.
New-Mailbox -Name ‘Olive Marchal’ -Alias ‘olive’ -UserPrincipalName
‘Olive@nova100.ad’ `
-SamAccountName ‘Olive’ -OrganizationalUnit ‘Corporate’ -FirstName ‘Olive’ -
LastName ‘ Marchal’ -Database ‘BDD-NORD’ -Password (ConvertTo-SecureString ‘a’ -
AsPlainText`
-Force) -ResetPasswordOnNextLogon $False
Créez une seconde boîte aux lettres.
New-Mailbox -Name ‘Patrick Payean’ -Alias ‘patrick’ -UserPrincipalName
‘Patrick@nova100.ad’ -SamAccountName ‘Patrick’ -OrganizationalUnit ‘Corporate’ -
FirstName ‘Patrick’ -LastName ‘ Payean’ -Database ‘BDD-NORD’ -Password
(ConvertTo-SecureString ‘a’`
-AsPlainText -Force) -ResetPasswordOnNextLogon $False
Avec Outlook sur le web, envoyez un message d’Olive à Patrick et inversement.
Installer Sauvegarde Windows Server

Normalement, la fonctionnalité Sauvegarde Windows Server doit être déjà installée,


car son installation a été faite dans le TP 13A Sauvegarder les bases de données. Il s’agit
uniquement d’un rappel.
Avec Windows PowerShell, installez la fonctionnalité Sauvegarde Windows Server
(Windows Server Backup).
Add-WindowsFeature Windows-Server-Backup
Sauvegarder les bases de données

Ouvrez le Gestionnaire de serveurs, et dans les Outils, cliquez sur Sauvegarde


Windows Server.
Dans le volet de gauche, cliquez sur Sauvegarde locale. Patientez quelques secondes.
Lorsque le contenu de la sauvegarde locale s’affiche, cliquez sur Sauvegarde unique
dans le volet Actions (à droite) : un assistant s’ouvre.
Dans la fenêtre Options de sauvegarde, gardez Autres options puis cliquez sur
Suivant.
L’objectif est de sauvegarder uniquement la base de données. Dans la fenêtre
Sélectionner la configuration de la sauvegarde, cochez Personnalisé puis cliquez sur
Suivant.
Dans la fenêtre Sélectionner les éléments à sauvegarder, cliquez sur le bouton Ajouter
des éléments : la fenêtre Sélectionner des éléments s’affiche.
Avec la souris, cochez le volume E: puis validez votre sélection en cliquant une seule
fois sur OK pour revenir à la fenêtre Sélectionner les éléments à sauvegarder.
Il est important que vous cochiez tout le volume et pas uniquement les sous-dossiers
pour la future restauration.
Vous souhaitez faire une sauvegarde complète VSS. Toutefois, par défaut, Sauvegarde
Windows Server propose de faire une sauvegarde de copie VSS. Vous allez modifier cette
option.
Dans la même fenêtre Sélectionner les éléments à sauvegarder, cliquez sur le bouton
Paramètres avancés : la fenêtre Paramètres avancés s’affiche.
Cliquez sur l’onglet Paramètres VSS puis cochez Sauvegarde Complète VSS puis
validez votre sélection en cliquant une seule fois sur OK pour revenir à la fenêtre
Sélectionner les éléments à sauvegarder.
Cliquez sur Suivant : la fenêtre Spécifier le type de destination s’affiche.
Dans cette fenêtre, cochez Lecteurs locaux puis cliquez sur Suivant puis, dans
Destination de sauvegarde, sélectionnez F:
Laissez les autres options par défaut et cliquez sur suivant.
Le paramétrage de la sauvegarde est terminé, cliquez sur le bouton Sauvegarde puis
patientez quelques instants.
La sauvegarde est terminée. Cliquez sur le bouton Fermer. La description doit contenir
uniquement Réussite.
Si la sauvegarde est marquée comme Réussie, mais avec des avertissements ou
Terminé, mais avec des avertissements, ce n’est pas satisfaisant.
Si c’est le cas, dans le détail de la sauvegarde, cliquez sur Afficher la liste de tous les
fichiers rejetés : le fichier journal de la sauvegarde s’ouvre.
Au début du fichier journal, cherchez un message comme celui-ci :
Writer Failures (ou Échecs de l’enregistreur)
Writer Id: {76FE1AC4-15F7-4BCD-987E-8E1ACB462FB7}
Instance Id: {D4EB8D13-07A5-409D-8027-489BE1D411DA}
Writer Name: Microsoft Exchange Writer
Writer State: 5
Failure Result: 800423F3
Pour chercher à résoudre ce problème, essayez les manipulations suivantes :
Redémarrez le service Banque d’informations Microsoft Exchange
restart-service MSExchangeIS
Redémarrez le service Réplication de boîte aux lettres Microsoft Exchange
restart-service MSExchangeMailboxReplication
Recommencez la sauvegarde jusqu’à la disparation de l’erreur. Si l’erreur ne disparaît
pas, redémarrez votre serveur.
Créer une base de données vide à la place de celle d’origine

Vérifiez que la base BDD-NORD contient bien les boîtes aux lettres précédentes.
Get-Mailbox -Database BDD-NORD

Figure 18‑3 Destinataires BDD-NORD

Vérifiez l’emplacement du fichier EDB de la base BDD-NORD.


Get-MailboxDatabase BDD-NORD | select EdbFilePath

Figure 18‑4 Emplacement du fichier EDB

Démontez la base BDD-NORD.


Dismount-Database BDD-NORD -confirm:$false
Copiez le contenu de E:\BDD59 sur E:\ BDD59 - Copie.
Arrêtez les services Microsoft Exchange Search et Microsoft Exchange Search Host
Controller. Un index est créé dans l’emplacement des bases. Si vous n’arrêtez pas ces
services, vous en pourrez pas supprimer les fichiers d’index. Les fichiers d’index seront
recréés.
Stop-Service MSExchangeFastSearch
Stop-Service HostControllerService
Supprimez tout le contenu du dossier E:\BDD59 : gardez uniquement le dossier vide.
Démarrez les services Microsoft Exchange Search et Microsoft Exchange Host
Controller.
Start-Service HostControllerService
Start-Service MSExchangeFastSearch
Montez la base BDD-NORD.
Mount-Database BDD-NORD
Un message d’avertissement vous prévient que plusieurs fichiers de base de données
sont manquants et qu’une base de données vide va être montée : validez.
Utiliser l’envoi / réception des messages (utilisateur)
Ouvrez une session avec le compte de domaine olive@NOVAx.AD sur CLIENTx.
Ouvrez Outlook sur le web.
Saisissez votre compte sous la forme NOVAx\Olive et son mot de passe.
Envoyez un message à Administrateur avec l’objet : Pourquoi ma boite aux lettres
est vide ?
Vérifiez que le message est bien dans Éléments envoyés.
Restaurer dans la base de récupération
Créez le dossier E:\BDD-RECUP02.
Ouvrez le Gestionnaire de serveurs, et dans les outils, cliquez sur Sauvegarde
Windows Server.
Dans le volet de gauche, cliquez sur Sauvegarde locale. Patientez quelques secondes.
Dans le volet central, il est possible qu’il existe plusieurs sauvegardes, si vous avez fait
plusieurs tentatives. En double-cliquant sur les sauvegardes, Sauvegarde Windows Server
vous affiche le détail de la sauvegarde et en particulier l’heure et l’emplacement.
Dans le volet Actions, cliquez sur Récupérer : un assistant s’ouvre.
Dans la fenêtre Mise en route, cliquez sur Ce serveur (XSGMBy) puis cliquez sur
Suivant.
Dans la fenêtre Sélectionner une date de sauvegarde, sélectionnez la date et l’heure de
la sauvegarde à utiliser pour la restauration puis cliquez sur Suivant.
Dans la fenêtre Sélectionner le type de récupération, cochez la case Applications. Si
l’option Applications ne peut pas être sélectionnée, cela indique que la sauvegarde a été
faite au niveau du dossier, et non au niveau du volume.
Cliquez sur Suivant.
Dans la fenêtre Sélectionner une application, vérifiez qu’Exchange est bien
sélectionné par défaut.
Laissez l’autre option par défaut et cliquez sur Suivant.
Dans la fenêtre Spécifier les options de récupération, cochez Restaurer à un autre
emplacement puis cliquez sur Parcourir et indiquez l’emplacement E:\BDD-RECUP02.
Cliquez sur Suivant puis cliquez sur Récupérer.
Quand la restauration est terminée, cliquez sur Fermer.
Ouvrez l’explorateur Windows sur E:\BDD-RECUP02\E_\BDD59 (ou son
équivalent) : vous trouverez le fichier EDB, ainsi que les fichiers journaux.
Pour finaliser la restauration, vous devez utiliser l’outil ESEUTIL avec l’option /R
pour rejouer les fichiers journaux dans la base de données.
Vous devez ouvrir une invite de commande et vous positionnez à l’emplacement du
fichier EDB. Ensuite, vous indiquez le chemin des fichiers journaux LOG dans le
commutateur /l et du fichier CHK, dans le commutateur /s. Par ailleurs, le commutateur /i
sert à ignorer les autres bases de données sur lesquels les fichiers journaux ne sont pas
rejoués.
Par exemple, en tapant la commande suivante. Dans cette commande E02 est
l’identifiant interne de votre base, et non pas son nom.
Faites des copier-coller des chemins des dossiers car ils sont longs.
ESEUTIL /R E02 /lE:\BDD-RECUP02\E_\BDD59 `
/sE:\BDD-RECUP02\E_\BDD59 /i

Figure 18‑5 Récupération de la base

Créez la base de données de restauration BDD-RECUP02, avec cette cmdlet. Faites des
copier-coller des chemins des dossiers car ils sont longs.
New-MailboxDatabase -Recovery -Name BDD-RECUP02 -Server XSGMBy -
EDBFilePath `
“E:\BDD-RECUP02\E_\BDD59\BDD-NORD.edb” `
-Logfolderpath “E:\BDD-RECUP02\E_\BDD59”
Puis redémarrez Microsoft Exchange Information Store.
Restart-Service MSExchangeIS
Afin de connaître l’état de votre base, tapez la cmdlet suivante.
Get-MailboxDatabase -status | ft -property name,mount*,databasesize
Selon votre licence d’Exchange, vous pouvez être limité dans le nombre de bases de
récupération existante. En particulier, dans la version d’évaluation, vous ne pouvez avoir
qu’une seule base de récupération. Si vous avez déjà une base de récupération, supprimez-
la avec la cmdlet suivante.
Remove-MailboxDatabase -id BDD-RECUP01
Montez la base de données de récupération, avec la cmdlet suivante.
Mount-Database BDD-RECUP02
Permuter les bases de données

Créez le dossier E:\TMP.


Déplacez les fichiers de BDD-RECUP02 vers E:\TMP.
Move-DatabasePath -Id BDD-RECUP02 -EdbFilePath E:\TMP\BDD-NORD.edb -
LogFolderPath E:\TMP
Si des messages de confirmation d’opérations apparaissent, validez-les.
Déplacez les fichiers de BDD-NORD vers E:\BDD-RECUP02\E_\BDD59. Si un
message vous indique que des fichiers journaux sont déjà présents, supprimez
manuellement les fichiers journaux du dossier de destination.
Move-DatabasePath -Id BDD-NORD -EdbFilePath `
E:\BDD-RECUP02\E_\BDD59\BDD-NORD.edb `
-LogFolderPath E:\BDD-RECUP02\E_\BDD59
Si des messages de confirmation d’opérations apparaissent, validez-les.
Déplacez les fichiers de BDD-RECUP02 vers E:\BDD59.
Move-DatabasePath -Id BDD-RECUP02 -EdbFilePath E:\BDD59\BDD-NORD.edb -
LogFolderPath E:\BDD59
Si des messages de confirmation d’opérations apparaissent, validez-les.
À l’issue de cette manipulation, vous avez obtenu deux résultats. D’une part la base de
production d’origine a été restaurée. Par ailleurs, le contenu temporaire de la base de
production vide à l’origine est maintenant disponible via la base de récupération.
Il ne reste plus qu’à copier le contenu de la base de récupération dans la base restaurée.
Copier la base de récupération dans la base restaurée

Copiez le contenu de la boîte aux lettres d’Olive dans la base restaurée


New-MailboxRestoreRequest -SourceDatabase BDD-RECUP02 -SourceStoreMailbox
‘Olive Marchal’ `
-TargetMailbox ‘Olive Marchal’
Le contenu de la boîte aux lettres d’Olive ne sera pas écrasé par la restauration. Le
contenu de la base de restauration s’ajoute à la boîte aux lettres d’Olive.
Pour suivre l’état de la demande de restauration de boîte aux lettres, vous pouvez taper
la cmdlet suivante.
Get-MailboxRestoreRequest
Lorsque la restauration est terminée, vous pouvez supprimer la demande à l’aide de la
cmdlet suivante.
Get-MailboxRestoreRequest -Status Completed | Remove-MailboxRestoreRequest
Ouvrez une session avec le compte de domaine olive@NOVAx.AD sur CLIENTx.
Ouvrez Outlook sur le web.
Vérifiez que les messages précédents avant la restauration sont bien présents et que le
message avec l’objet Pourquoi ma boite aux lettres est vide ? envoyé à Administrateur
est bien dans Éléments envoyés.

Résumé
Dans cet exercice, vous avez sauvegardé toutes les bases de données. Ensuite, vous
avez supprimé les fichiers de la base BDD-NORD. Exchange a créé une base de données
vide à la place de celle d’origine. Vous avez restauré la sauvegarde dans la base de
récupération, puis vous avez permuté les bases de données. Enfin, vous avez copié le
contenu de la base de récupération dans la base restaurée pour Olive.
Chapitre 19 Téléchargement des aides aux

exercices
Vous pouvez télécharger en une seule fois tous les fichiers nécessaires aux exercices
des travaux pratiques à l’adresse suivante : http://coudr.com/e : tous les fichiers mis à
disposition (scripts, programmes, etc.) sont à utiliser à vos risques et périls.
Les fichiers sont regroupés par chapitre comme dans le livre : TP 02A Installer Active
Directory, TP 03A Préparer les VMs, etc.
Vous pouvez utiliser les scripts PowerShell, si vous l’avez autorisé avec la cmdlet :
Set-ExecutionPolicy unrestricted
Reportez-vous au livre pour une explication des conséquences de l’exécution de cette
cmdlet.
Votre intérêt est d’ouvrir les scripts pour vous assurer qu’ils font bien ce que vous
pensez. Si vous avez un doute sur une commande, vous pouvez rajouter les paramètres -
WhatIf ou -ValidateOnly, qui simulent le comportement de la commande, sans l’exécuter.
Ces scripts me servent à “remonter” rapidement l’ordinateur d’un stagiaire lorsqu’il y a
eu un problème.
Il y a deux façons d’utiliser les scripts PowerShell. La première méthode consiste à
personnaliser chacun des scripts puis à les exécuter. La seconde méthode consiste à
personnaliser le script intitulé “000-BlocCommun.ps1” qui se trouve dans le dossier
TP00-Commun.
Le script intitulé “000-BlocCommun.ps1” est appelé dans tous les scripts PowerShell,
à deux exceptions près (peu importantes) : il ne contient que des variables PowerShell et il
est utilisé pour personnaliser tous les scripts PowerShell qui sont livrés avec les exercices.
Les instructions pour l’utiliser sont simples :
Créez un dossier C:\bin (impératif).
Copiez tous les fichiers du dossier TP00-Commun dans le répertoire C:\bin sans le
renommer.
Modifiez les valeurs des 6 premières variables de ce fichier.
Si vous avez personnalisé le script intitulé “000-BlocCommun.ps1”, les scripts
PowerShell livrés vont remplacer automatiquement leurs variables avec les valeurs de
“000-BlocCommun.ps1”. Il y a très peu de variables qui n’ont pas été personnalisées.
L’activité des scripts est journalisée dans le dossier ${env:appdata}\entropy\logs. Ce
qui donne par exemple pour l’utilisateur bob :
C:\Users\bob\AppData\Roaming\entropy\logs.
Si vous avez des questions, ou si vous rencontrez des difficultés, contactez-moi
directement. Pour entrer en contact direct : http://coudr.com/contact/
Chapitre 20 Index des figures

Figure 2‑1 PowerShell dans la barre des tâches


Figure 2‑2 PowerShell sur l’écran d’Accueil
Figure 2‑3 Invite de commandes PowerShell
Figure 2‑4 Get-Command *site*
Figure 2‑5 Affichage de l’aide dans une fenêtre
Figure 2‑6 Membres de Get-Service
Figure 2‑7 Services affichés
Figure 2‑8 Service triés sur statut
Figure 2‑9 Services regroupés par statut (vue partielle)
Figure 2‑10 Services regroupés par statut avec le DisplayName (partiel)
Figure 2‑11 Ajustement automatique des colonnes (partiel)
Figure 2‑12 Services détaillés
Figure 2‑13 Positionnement des rôles
Figure 2‑14 Arborescence de domaines
Figure 2‑15 Icône réseau
Figure 2‑16 Connexion au réseau local
Figure 2‑17 Exemple de configuration DC100
Figure 2‑18 Gestionnaire de serveur
Figure 2‑19 Modification de la stratégie de sécurité du domaine
Figure 2‑20 Stratégie de mot de passe
Figure 2‑21 Utilisateurs et ordinateurs Active Directory
Figure 2‑22 Création compte
Figure 2‑23 Ville et Société des utilisateurs
Figure 3‑1 Prérequis matériel minimum
Figure 3‑2 Abaque empirique CPU et RAM
Figure 3‑3 Création VM
Figure 3‑4 VM Serveur 2
Figure 3‑5 Exemple de configuration XSGMB100
Figure 3‑6 NetTcpPortSharing
Figure 3‑7 Installation terminée de UCMA
Figure 3‑8 RSAT-ADDS
Figure 3‑9 Préparation de l’AD
Figure 3‑10 Préparation du schéma
Figure 3‑11 Préparation du domaine
Figure 3‑12 Vérification des mises à jour
Figure 3‑13 Sélection du rôle de serveur
Figure 3‑14 Installation terminée
Figure 3‑15 Début installation unattended
Figure 3‑16 Fin installation unattended
Figure 4‑1 Zonage du Centre d’administration Exchange
Figure 4‑2 Modification en masse
Figure 4‑3 EMS
Figure 4‑4 Services en cours d’exécution
Figure 4‑5 Administrateur externe
Figure 4‑6 Boîte aux lettres
Figure 4‑7 Utilisateur de messagerie
Figure 4‑8 Contact
Figure 4‑9 Ajout d’une connexion
Figure 4‑10 Partition de configuration
Figure 4‑11 Groupes de sécurité universel pour Exchange
Figure 4‑12 Connexion au schéma
Figure 4‑13 Recherche de ms-Exch-Schema-Version-Pt
Figure 4‑14 CN=ms-Exch-Schema-Version-Pt
Figure 4‑15 Correspondance rangeUpper et version Exchange
Figure 4‑16 Services Exchange
Figure 4‑17 Pools d’applications
Figure 4‑18 Centre d’administration Exchange
Figure 4‑19 Centre d’administration Exchange
Figure 4‑20 Serveurs de l’organisation
Figure 4‑21 Bases de données
Figure 4‑22 Recherche EMS
Figure 4‑23 Exchange Management Shell
Figure 4‑24 Get-Mailbox
Figure 4‑25 BAL d’arbitrage
Figure 4‑26 Accès refusé à Bob
Figure 4‑27 Ajout du compte de Bob
Figure 4‑28 Accès accordé à Bob
Figure 4‑29 Domaines acceptés avec le Centre d’administration Exchange
Figure 4‑30 Nouvelle stratégie
Figure 4‑31 Stratégie avec le Centre d’administration Exchange
Figure 4‑32 Menu d’aide
Figure 4‑33 Fenêtre nouvelle boîte aux lettres utilisateur
Figure 4‑34 BAL de Bob créée
Figure 4‑35 Liste des BAL activées
Figure 4‑36 Installation d’Outlook
Figure 4‑37 Configuration d’Outlook
Figure 4‑38 AutoDiscover
Figure 4‑39 Configuration terminée
Figure 4‑40 Outlook
Figure 4‑41 Utilisateur de messagerie
Figure 4‑42 Utilisateur de messagerie
Figure 4‑43 Contact de messagerie
Figure 4‑44 Liste Nantes
Figure 4‑45 Liste des membres
Figure 4‑46 Membres d’une liste d’adresses
Figure 4‑47 Carnet d’adresses
Figure 4‑48 Liste d’adresses globale
Figure 4‑49 Liste Nantes
Figure 4‑50 Propriétés du groupe
Figure 4‑51 Sélectionner un élément
Figure 4‑52 Société = “Octane”
Figure 4‑53 Groupe dynamique avec règle
Figure 4‑54 Liste des membres du groupe Octane
Figure 4‑55 Liste des membres du groupe Octane.png
Figure 4‑56 Liste des membres du groupe Octane
Figure 4‑57 Zone Valeur de CreateDialog
Figure 4‑58 Nom Prénom
Figure 4‑59 Affichage de tous les destinataires
Figure 5‑1 Applications IIS (vue partielle)
Figure 5‑2 Certificats des Services Exchange
Figure 5‑3 Sites et services AD
Figure 5‑4 Propriétés du SCP de XSGMB100 (vue partielle)
Figure 5‑5 Paramètres généraux Autodiscover
Figure 5‑6 Méthodes d’authentification Autodiscover
Figure 5‑7 Paramètres généraux Outlook sur le web
Figure 5‑8 Méthodes d’authentification Outlook sur le web
Figure 5‑9 Fonctionnalités Outlook sur le web
Figure 5‑10 Accès au fichier Outlook sur le web
Figure 5‑11 Zone de notification Outlook
Figure 5‑12 État de la connexion
Figure 5‑13 Certificats
Figure 5‑14 Liste des services Exchange
Figure 5‑15 Domaines par défaut
Figure 5‑16 Domaines sélectionnés
Figure 5‑17 Demande d’un certificat
Figure 5‑18 Enregistrement de la demande
Figure 5‑19 Demande enregistrée
Figure 5‑20 Certificat valide
Figure 5‑21 Services du certificat
Figure 5‑22 Répertoires virtuels
Figure 5‑23 Outlook sur le web d’Alice
Figure 5‑24 Sélecteur d’applications
Figure 5‑25 Sélectionner des fonctionnalités
Figure 5‑26 POP3 fonctionne
Figure 5‑27 Paramètres généraux Vers Nova5
Figure 5‑28 Paramètres de remise Vers Nova5
Figure 5‑29 Paramètres d’étendue Vers Nova5
Figure 5‑30 Paramètres généraux De Nova100
Figure 5‑31 Paramètres de sécurité De Nova100
Figure 5‑32 Paramètres d’étendue De Nova100
Figure 5‑33 Transfert de zone vers NOVA100
Figure 5‑34 Connecteur d’envoi vers Internet
Figure 6‑1 Quotas de la base
Figure 6‑2 Quotas de la boîte aux lettres
Figure 6‑3 BAL : Général
Figure 6‑4 BAL : Utilisation des boîtes aux lettres
Figure 6‑5 BAL : Informations sur le contact
Figure 6‑6 BAL : Organisation
Figure 6‑7 BAL : Adresse de messagerie
Figure 6‑8 BAL : Fonctionnalités de boîte aux lettres (vue partielle)
Figure 6‑9 BAL : Membre de
Figure 6‑10 BAL : Info courrier
Figure 6‑11 BAL : Délégation de boîte aux lettres
Figure 6‑12 Boîtes aux lettres de ressources
Figure 6‑13 Options de la BAL de ressource
Figure 6‑14 Boîte aux lettres partagée
Figure 6‑15 Création d’une boîte aux lettres de dossier public
Figure 6‑16 Boîte aux lettres de dossier public
Figure 6‑17Création de la hiérarchie
Figure 6‑18 Nouveau dossier public
Figure 6‑19 Sous-dossier
Figure 6‑20 Hiérarchie des dossiers publics
Figure 6‑21 Dossier Direction
Figure 6‑22 Autorisations des dossiers publics
Figure 6‑23 Dossier Informatique
Figure 6‑24 Adresse email du dossier
Figure 6‑25 Dossiers publics vus d’Outlook
Figure 6‑26 Ajout dossier public dans Outlook sur le web
Figure 6‑27 Création d’une base de données
Figure 6‑28 Liste des bases de données
Figure 6‑29 Modification en bloc
Figure 6‑30 Lot de migration
Figure 6‑31 Affichage de l’alerte
Figure 6‑32 Migration Déplacement VIP
Figure 6‑33 OU Informatique
Figure 6‑34 Requêtes de migration
Figure 6‑35 Maintenance de la base
Figure 6‑36 BAL Alice
Figure 6‑37 6-12 BAL d’archivage d’Alice
Figure 7‑1 Service de transport frontal
Figure 7‑2 Service de transport
Figure 7‑3
Figure 7‑4 Service de transport de boîtes aux lettres
Figure 7‑5 Priorité des règles
Figure 7‑6 Créer une stratégie DLP
Figure 7‑7 Modèles DLP
Figure 7‑8 Règles
Figure 7‑9 Conseil de stratégie
Figure 7‑10 Règle de journal
Figure 7‑11 État de journal
Figure 7‑12 Ajout d’une règle
Figure 7‑13 Règle pour messages de Bob
Figure 7‑14 Message pour Bob reçu aussi par l’administrateur
Figure 7‑15 Dédit de responsabilité
Figure 7‑16 Vérification du dédit de responsabilité
Figure 7‑17 Suffixe DNS principal
Figure 7‑18 Ajout enregistrement de ressources dans le DNS
Figure 7‑19 Vérification des mises à jour
Figure 7‑20 Sélection du rôle Edge
Figure 7‑21 Installation Edge terminée
Figure 7‑22 Traitement abonnement
Figure 7‑23 Connecteurs Edge
Figure 7‑24 Installation réussie du Edge
Figure 7‑25 Files d’attente du Edge
Figure 8‑1 Configuration par défaut (vue partielle)
Figure 8‑2 Récupérer les éléments supprimés
Figure 8‑3 Limites de la base
Figure 8‑4 Maintenance de la base
Figure 8‑5 Conservation inaltérable BAL d’Alice
Figure 8‑6 Blocages sur place
Figure 8‑7 Recherche
Figure 8‑8 Estimation de la recherche
Figure 8‑9 Résultats de la recherche
Figure 8‑10 Copie des résultats
Figure 8‑11 Export
Figure 8‑12 Balises par défaut
Figure 8‑13 Balise dans Outlook
Figure 8‑14 Stratégies de rétention par défaut
Figure 8‑15 Balise Suppression au bout de 3 ans
Figure 8‑16 Balise Suppression au bout de 3 ans
Figure 8‑17 Affectation à Bob
Figure 8‑18 Filtre anti-programme malveillant
Figure 8‑19 Rapport anti-malware
Figure 8‑20 Rapport de malware
Figure 9‑1 DAG entre ADs
Figure 9‑2 Activation des fonctionnalités avancées
Figure 9‑3 Modification des Types d’objets
Figure 9‑4 Objet nom de cluster (vue partielle)
Figure 9‑5 Nouveau DAG
Figure 9‑6 Appartenance au DAG
Figure 9‑7 Ajout de votre serveur XSGMBx
Figure 9‑8 Réseau du DAG dédié
Figure 9‑9 Désactiver le réseau MapiDagNetwork
Figure 9‑10 Ajouter une copie de base de données
Figure 9‑11 Indiquer le serveur de boîtes aux lettres
Figure 9‑12 Copie initiale
Figure 9‑13 Dossiers d’origine
Figure 9‑14 Dossiers de la copie
Figure 9‑15 Détail de la réplication
Figure 9‑16 Basculement de l’état de la base
Figure 10‑1 Plan de numérotation
Figure 10‑2 Stratégie par défaut
Figure 10‑3 Activation de la messagerie unifiée
Figure 11‑1 Services en cours d’exécution
Figure 11‑2 Architecture générale IIS 8 / 8.5
Figure 11‑3 Pool d’applications
Figure 11‑4 Sites IIS pour Exchange
Figure 11‑5 Liste des services Windows
Figure 11‑6 Onglet Général
Figure 11‑7 Onglet Connexion
Figure 11‑8 Onglet Récupération
Figure 11‑9 Onglet Dépendances
Figure 11‑10 Démarrage du service
Figure 11‑11 Dépendances du service
Figure 11‑12 Nom complet du service
Figure 11‑13 Actions en cas de défaillances
Figure 11‑14Identifiant SID du service
Figure 11‑15 Privilèges du service
Figure 11‑16 Requête
Figure 11‑17 Abonnement
Figure 11‑18 Observateur d’événements
Figure 11‑19 Test-Mailflow
Figure 11‑20 Test des services
Figure 11‑21 Détail d’un composant (vue partielle)
Figure 11‑22 Outil Office 365 Best Practices Analyzer
Figure 11‑23 Installation de Office 365 BPA
Figure 11‑24 Compte Office 365
Figure 11‑25 Résultats BPA
Figure 11‑26 Résultats détaillés BPA
Figure 11‑27 Affichage HTML de BPA
Figure 11‑28 Analyseur de performances
Figure 11‑29 Stratégie de limitation
Figure 11‑30 Résultat de la stratégie (vue partielle)
Figure 11‑31 Rapport d’audit sur les groupes de rôle
Figure 12‑1 Maintenance de la base
Figure 12‑2
Figure 12‑3 Contrôle d’intégrité
Figure 12‑4 Défragmentation
Figure 12‑5 En-tête (vue partielle)
Figure 12‑6 Statut de la réplication
Figure 12‑7 État de la réplication
Figure 12‑8 Erreur DAG (vue partielle)
Figure 12‑9 Statistiques des bases de données
Figure 13‑1 VSSADMIN
Figure 13‑2 Sélection des éléments
Figure 13‑3 Sauvegarde terminée
Figure 13‑4 Détail de la sauvegarde
Figure 13‑5 Applications
Figure 13‑6 Application Exchange
Figure 13‑7 Récupération terminée
Figure 13‑8 Restauration à un autre emplacement
Figure 13‑9 Restauration terminée
Figure 14‑1 Zone de notification Outlook
Figure 14‑2 Test de Autodiscover (vue partielle de Résultats)
Figure 14‑3 Test de Autodiscover (vue partielle de Journal)
Figure 14‑4 Point de connexion de service
Figure 14‑5 Microsoft Remote Connectivity Analyzer
Figure 14‑6 Test de la connectivité MAPI
Figure 14‑7 Exchange Toolbox
Figure 14‑8 Afficheur des files d’attente
Figure 14‑9 Files d’attentes (vue partielle)
Figure 14‑10 Rapports de remise
Figure 14‑11 Analyse d’entête
Figure 15‑1 Boîtes aux lettres cachées
Figure 15‑2 Onglet Organisation
Figure 15‑3 Liste hiérarchique
Figure 15‑4 Stratégie de carnet d’adresses
Figure 15‑5 Carnet d’adresse d’Alice
Figure 16‑1 Test composant Outlook sur le web
Figure 16‑2 Personnalisation Outlook sur le web
Figure 16‑3 Taille maximale atteinte
Figure 16‑4 Choix de l’ordinateur
Figure 17‑1 Groupes de rôles
Figure 17‑2 Nouveau groupe de rôles
Figure 17‑3 Stratégie d’attribution de rôle
Figure 17‑4 Découverte électronique Francine
Figure 17‑5 Découverte électronique Administrateur
Figure 17‑6 Server Management Nantes
Figure 17‑7 Création de l’étendue (vue partielle)
Figure 17‑8 Association de l’étendue (vue partielle)
Figure 18‑1 Boîte aux lettres temporaire
Figure 18‑2 Mode de récupération
Figure 18‑3 Destinataires BDD-NORD
Figure 18‑4 Emplacement du fichier EDB
Figure 18‑5 Récupération de la base

Vous aimerez peut-être aussi