Вы находитесь на странице: 1из 53

Configuration et gestion

dExchange 2010
(v5.60)

Tutorial conu et rdig par Michel de CREVOISIER

ARTICLES ASSOCIES
1.
2.
3.
4.

Installation dExchange 2010 (lien)


Configuration et gestion dExchange 2010 (lien)
Outils pour Exchange 2010 (lien)
Haute-disponibilit sous Exchange 2010 (lien)

SOURCES
Configuration dExchange 2010 :
http://mtodorovic.developpez.com/tutoriels/windows/installation-configuration-exchange-2010/
http://www.servolutions.com/fr/support/config_exchange_2010.htm

INDEX
1.

2.

3.

4.

5.

6.

Configuration DNS du registrar .................................................................................................................. 4


1.1

Accs OWA et Outlook Anywhere (A) ............................................................................................... 4

1.2

Serveur mail (MX) ................................................................................................................................ 4

1.3

Autodiscover (A) .................................................................................................................................. 4

1.4

Solution alternative (CNAME) ............................................................................................................. 4

1.5

Protection antispam (TXT) ................................................................................................................... 5

Configuration du pare-feu .......................................................................................................................... 6


2.1

Accs Outlook Anywhere et OWA : 443............................................................................................ 6

2.2

SMTP et authentification TLS : 25 et 587 ............................................................................................ 6

2.3

Ports utiliss par Exchange .................................................................................................................. 6

Configuration des bases de donnes ......................................................................................................... 7


3.1

Caractristiques et fonctionnement ................................................................................................... 7

3.2

Cration dune base de donnes ......................................................................................................... 7

3.3

Gestion des fichiers de transactions.................................................................................................... 9

Gestion des botes aux lettres .................................................................................................................. 10


4.1

Types de botes aux lettres ................................................................................................................ 10

4.2

Cration dun compte de messagerie utilisateur .............................................................................. 10

4.3

Cration automatise de botes aux lettres ...................................................................................... 12

4.4

Quotas de botes aux lettres ............................................................................................................. 15

4.5

Suppression de botes aux lettres ..................................................................................................... 16

4.6

Dplacement de botes aux lettres ................................................................................................... 16

4.7

Nettoyage des BAL dconnectes ..................................................................................................... 17

Configuration de la fonctionnalit Autodiscover .............................................................................. 18


5.1

Prsentation ...................................................................................................................................... 18

5.2

Fonctionnement ................................................................................................................................ 18

5.3

Configuration ..................................................................................................................................... 19

5.4

Vrifications ....................................................................................................................................... 19

5.5

Cration dune zone DNS supplmentaire ........................................................................................ 20

5.6

Test avec Outlook 2010 ..................................................................................................................... 20

Configuration dOutlook Web App ........................................................................................................... 22


6.1

Configuration ..................................................................................................................................... 22
2

6.2

Authentification................................................................................................................................. 23

6.3

Historique des crans daccueil OWA ............................................................................................... 24

7.

Configuration dOutlook Anywhere ......................................................................................................... 26


7.1

Configuration ct serveur ................................................................................................................ 26

7.2

Vrifications ....................................................................................................................................... 28

7.3

Configuration de la messagerie ......................................................................................................... 28

8.

Nom de domaine et approbation ............................................................................................................. 30


8.1

Ajout dun nouveau domaine ............................................................................................................ 30

8.2

Cration dune stratgie de nom....................................................................................................... 30

8.3

Vrification de la stratgie ................................................................................................................ 33

9.

Configuration des connecteurs ................................................................................................................ 34


9.1

Fonctionnement gnral ................................................................................................................... 34

9.2

Connecteur denvoi ........................................................................................................................... 34

9.3

Connecteurs de rception ................................................................................................................. 39

10.

Cration et assignation dun certificat ................................................................................................. 42

10.1

Gnration dune demande de certificat .......................................................................................... 42

10.2

Installation dune autorit de certification (CA)................................................................................ 45

10.3

Cration dun modle de certificat.................................................................................................... 45

10.4

Gnration du certificat .................................................................................................................... 45

10.5

Importation du certificat ................................................................................................................... 46

10.6

Affectation de services au certificat .................................................................................................. 47

10.7

Cration dune GPO pour dlivrer le certificat .................................................................................. 47

10.8

Vrification et test ............................................................................................................................. 48

11.

Optimisations ........................................................................................................................................ 49

11.1

Dplacement de la base de donnes et des journaux de transactions ............................................. 49

11.2

Dplacement des files dattentes ...................................................................................................... 49

11.3

Dplacement des logs ....................................................................................................................... 51

11.4

Spcifications des serveurs AD et GC ................................................................................................ 51

11.5

Rsolution externe de noms.............................................................................................................. 52

12.
12.1

Scurit.................................................................................................................................................. 53
Activation du chiffrement SSL sur Anywhere .................................................................................... 53

Conclusion ......................................................................................................................................................... 53

1. Configuration DNS du registrar


Avant de se lancer dans la configuration proprement dite dExchange, il est ncessaire de crer les
enregistrements lists la suite depuis linterface web de votre registrar (cela suppose bien
videmment que vous ayez acquis au pralable un nom de domaine).

1.1 Accs OWA et Outlook Anywhere (A)


Ces enregistrements permettent daccder OWA (point 6) et Outlook Anywhere (point 7) depuis
lextrieur.
Hostname : mail.domaine-registrar.com

Record type : A

Data : X.X.X.X (public IP)

1.2 Serveur mail (MX)


Cet enregistrement permet dindiquer vers o doivent tre redirigs les mails pointant vers votre
domaine :
Hostname : domaine-registrar.com Record type : MX 10

Data : X.X.X.X (public IP)

1.3 Autodiscover (A)


Afin dutiliser cette fonctionnalit prsente au point 5, il est ncessaire de rajouter une entre de
type A. Cela dit, elle nest pas ncessaire si vous utilisez la mthode dcrite au point 1.4.
Hostname : autodiscover.domaine-registrar.com

Record type : A

Data : X.X.X.X (public IP)

1.4 Solution alternative (CNAME)


Cette solution a pour avantage de navoir recours qu une seule entre de type A tout en limitant le
nombre denregistrements associs votre nom de domaine. La solution consiste donc utiliser une
entre de type CNAME pour laccs au Webmail et Outlook Anywhere ainsi quune entre de type A
pour votre nom de domaine. En rsum :
Host

Type

Data
(Public IP)

mail.domaine-registrar.com

A
CNAME

domaine-registrar.com

MX 10

domaine-registrar.com

domaine-registrar.com
domaine-registrar.com

1.5 Protection antispam (TXT)


Afin de limiter un afflux massif de spam, certains fournisseurs obligent de crer un enregistrement
SPF (Sender Policy Framework) de type TXT. Ce dernier permet dindiquer quelles IP sont autorises
envoyer du courrier pour le ou les domaines en question :
Host : domaine-registrar.com

Record type : TXT

Data : "xxxxxx"

Vous pouvez utiliser ce site pour complter votre enregistrement et ce site pour vrifier si votre
champ SPF a t correctement saisi. Par ailleurs, vous pouvez consulter ce site pour savoir si votre
serveur mail nest pas blacklist . Vous trouverez ci-dessous un schma rsumant le
fonctionnement de cet enregistrement. Sachez quil existe galement un autre modle de protection
nomm DKIM.

2. Configuration du pare-feu

2.1 Accs Outlook Anywhere et OWA : 443


Pour que ces deux fonctionnalits soient accessibles depuis lextrieur, il est ncessaire douvrir le
port 443 en entre et de le rediriger vers votre serveur CAS.

2.2 SMTP et authentification TLS : 25 et 587


Pour recevoir les mails de lextrieur, il est ncessaire douvrir le port 25 (SMTP) en entre et de
rediriger ces flux vers votre serveur CAS. Par ailleurs, si votre fournisseur requiert une
authentification TLS pour lenvoi (point 9.2.3), il sera ncessaire douvrir le port 587 (TLS).

2.3 Ports utiliss par Exchange


Vous trouverez ici lensemble des ports internes utiliss par Exchange dans lensemble de ses rles
et services.

3. Configuration des bases de donnes


3.1 Caractristiques et fonctionnement
Lensemble des botes aux lettres est stock dans une base de donnes dextension EDB .
Microsoft recommande de ne pas dpasser les 2 To pour celle-ci, mme si sa taille maximale est de
16 To. En complment de la base de donnes existe un certain nombre dautres fichiers :
*.log : fichier journal de transaction (2)
*.chk : fichier moteur de transaction (5)
*.jrs : fichiers temporaires de mmoire tampon (4)
*.edb : fichier de la base de donnes
Le schma ci-dessous reprsente le traitement dun mail :

3.2 Cration dune base de donnes


Lors de son installation, Exchange crait automatiquement une base de donnes. Nanmoins nous
allons voir comment en crer une nouvelle depuis la console :
Allez dans Organization Configuration > Mailbox
Dans lapart de droite, cliquez sur New Mailbox Database

Indiquez le nom de la base de donnes ainsi que le serveur lhbergeant :

Indiquez ensuite lemplacement de la base de donnes et des fichiers de logs

En gnral, il convient de stocker la base de donnes sur des disques durs performants de type
SAS en RAID 5 et les fichiers de logs sur des disques de hautes capacits de type SATA en RAID 5. Il
convient galement de crer au moins deux bases de donnes : une base de donnes utilisateurs
VIP disposant dune capacit de stockage importante et une base de donnes utilisateurs
normaux disposant dune capacit infrieure.

3.3 Gestion des fichiers de transactions


La mthode dcrite prcdemment (point 3.1) permet de garantir lintgrit des donnes afin de
pouvoir restaurer la totalit des mails en cas de crash. En revanche, elle ncessite une quantit
despace disque importante. Si vous mettez en place un serveur de test ou que vous ne souhaitez pas
offrir la possibilit de restauration totale, pour pouvez activer la Journalisation des logs circulaire qui
limitera lespace denregistrement circulaire 5Mb :
Allez dans Organization Configuration > Mailbox
Clic droit sur votre base de donnes
Onglet Maintenance
Cochez la case Enable circular logging

4. Gestion des botes aux lettres


4.1 Types de botes aux lettres
Il existe diffrents types de botes aux lettres :
User mailbox : bote classique pour un utilisateur
Room mailbox : permet de rserver des salles de runion (info ici)
Equipment mailbox : permet de rserver des quipements (ex : vidoprojecteurs)
Linked mailbox : permet dassocier une adresse mail avec un compte situ par exemple dans
une fort diffrente (info ici)
Autodiscover : permet dactiver la recherche dun mail depuis les botes aux lettres (info ici)

4.2 Cration dun compte de messagerie utilisateur

Allez dans Recipient Configuration > Mailbox


Dans lapart de droite, cliquez sur New Mailbox. Lcran ci-dessous apparat :

Cliquez sur User Mailbox et indiquez lutilisateur concern en cliquant sur Add :

10

Remplissez ensuite lalias, sachant que ce dernier sera le mail dfinitif de votre utilisateur (il
peut tre diffrent du nom dutilisateur). Vous pouvez galement choisir dans quelle base de
donnes sera sauvegard cette bote mail

Flicitions, vous venez de crer votre premier utilisateur !

11

4.3 Cration automatise de botes aux lettres


4.3.1 Autorisations supplmentaires
Pour importer et crer automatiquement une liste dadresses mails partir dun fichier CSV, vous
devez tre membre dun RBAC disposant de droits particuliers. Pour cela :
Depuis la console Exchange, allez dans lapart ToolBox > Role Base Access Control (RBAC)
User Editor

Cliquez sur licne RBAC. Votre navigateur souvrira et vous demandera de vous authentifier
afin daccder lECP (Exchange Control Panel)
Cliquez sur Nouveau et remplissez les informations demandes

Dans Rles, cliquez sur Ajouter et cherchez le groupe MailBox Import Export

12

Dans la partie Membres, ajoutez lutilisateur AD qui fera partie de ce groupe. Pour cela cliquez
sur Ajouter et indiquez lutilisateur concern
Cliquez sur Enregistrer

Votre utilisateur possde maintenant les autorisations ncessaires la cration automatise de


botes mails

4.3.2 Cration du tableau et saisie des donnes

Crez un fichier Excel classique ayant pour intitul de colonne les noms suivants (attention,
certains champs servent uniquement la gnration dautres champs) :
o LastName
o FirstName
o Domaine
o Alias (dbut adresse mail)
o UPN (nom dutilisateur AD : prenom.nom@domaine-AD.com)
o DisplayName (Nom affich)
o UO (Unit dOrganisation o seront enregistrs les utilisateurs)
o Database
o PSW (mot de passe par dfaut, changement lors de la premire ouverture de session)
Remplissez ensuite ce fichier et enregistrez-le en tant que fichier CSV

13

4.3.3 Changement du sparateur pour les fichiers CSV


Par dfaut, lexportation en fichier CSV depuis Excel est faite avec des points-virgules. Hors le
sparateur reconnu par Exchange est la virgule. Il faut donc modifier les paramtres linguistiques de
votre systme pour que votre fichier CSV soit export avec des , . Cela dit, je les ai changs et
lexportation continue de se faire avec des ; .

Conclusion : une fois export en CSV, ouvrez votre fichier avec votre Notepad favori et faites
CTRL+H pour remplacer tous les ; par des , .

4.3.4 Script

Une fois votre fichier CSV prt, copiez-le sur votre serveur Exchange
Excutez ensuite la commande suivante depuis la console EMS :

Import-Csv file.csv | ForEach { New-Mailbox Alias $_.Alias Name $_.DisplayName


OrganizationalUnit $_.UO FirstName $_.FirstName -LastName $_.LastName -UserPrincipalName
$_.UPN Database $_.Database Password (ConvertTo-SecureString $_.PSW -AsPlainText -Force)
ResetPasswordOnNextLogon $True }
14

Et voici le rsultat :

Il est bien videmment possible dajouter dautres paramtres. Pour cela je vous invite consulter la
syntaxe de la commande New-Mailbox ici

4.3.5 Erreurs
Si votre fichier CSV contient comme sparateur des ; au lieu des , , voici lerreur que
rencontrerez :

4.4 Quotas de botes aux lettres


Vous pouvez dfinir une limite de taille des botes aux lettres au niveau de la base de donnes. Pour
cela :
Allez dans Organization Configuration > Mailbox
Clic droit sur votre base de donnes
Onglet Limites
Vous pouvez alors indiquer les diffrentes actions possibles lorsquun certain seuil est atteint, et en
parallle programmer lenvoi dun mail davertissement :

15

4.5 Suppression de botes aux lettres


Si vous souhaitez supprimer une bote aux lettres, deux solutions sont possibles :
La dsactiver (clic droit > Disable) : dans ce cas elle sera dplace dans le dossier
Disconnected mailbox
La supprimer (clic droit > Delete) : dans ce cas la bote et lutilisateur AD seront supprims

4.6 Dplacement de botes aux lettres


Pour dplacer une bote aux lettres dune base de donnes vers un autre :
Slectionnez la bote et dans lapart de droite cliquez sur New Local Move Request

Lassistant se lance. Indiquez alors la base de donnes vers laquelle vous souhaitez la
dplacer :

Une fois lassistant termin, la bote apparaitra dans Recipient Configuration > Move
Request. Faites un clic droit sur celle-ci puis Clear pour effacer le journal

Le dplacement dune bote peut savrer tre une opration trs longue. Sous Exchange 2003 et
2007, la bote tait indisponible durant la totalit du dplacement. Depuis Exchange 2010,
lutilisateur peut continuer utiliser sa bote mail sans interruption. Notez galement que le
dplacement se fait via le protocole IMAP. Source
16

4.7 Nettoyage des BAL dconnectes


Si vous souhaitez lister les BAL dconnecte, excutez la commande suivante partir de lEMS :
Get-MailboxStatistics -Database "<nom mailbox>" | where-object { $_.DisconnectDate -ne $null } |
Select DisplayName,MailboxGuid
Vous pouvez galement supprimer une BAL dconnecte laide de la commande suivante :
Remove-StoreMailbox -Database ""<nom mailbox>" -Identity <nom BAL -MailboxState
SoftDeleted
Source

17

5. Configuration de la fonctionnalit Autodiscover


5.1 Prsentation
Autodiscover est un service Web reprsent par un Virtual Directory sous IIS qui permet de :
Configurer automatiquement les paramtres des profils Outlook pour les nouveaux
utilisateurs
Fournir laccs Exchange pour les priphriques mobiles tels quAndroid, iPhone ou
Windows Phone
Fournir laccs Exchange pour les priphriques anciens fonctionnant via Active Sync,
savoir Windows Mobile 6.x et Pocket PC

Fonctionnellement, un objet Active Directory de type SCP (Service Connection Points) est cr dans
lActive Directory. Cet objet contient et publie la liste de toutes les URL du service de dcouverte
automatique :
URL dOWA
URL du service de disponibilit
URL dabsence du bureau
URL du carnet dadresses en mode hors connexion
URL du service de messagerie unifie
URL du panneau de configuration Exchange (ECP)

5.2 Fonctionnement
Depuis lintranet, la dcouverte se fait via lenregistrement SCP (source) :

18

Depuis internet, la dcouverte se fait respectivement via ces deux URL :


1. https://domaine-registrar.com/autodiscover/autodiscover.xml
2. https://autodiscover.domaine-registrar.com/autodiscover/autodiscover.xml

5.3 Configuration
Par dfaut, laccs pointe vers https://SRV-MAIL.domaine-AD.com/autodiscover/autodiscover.xml.
Cependant il est ncessaire de modifier cet enregistrement afin de rendre le service accessible aussi
bien depuis lintrieur que depuis lextrieur. Pour cela :

Ouvrez la console EMS


Excutez la commande ci-dessous. Aprs quoi vous devrez excuter la commande IISreset
depuis une console CMD sur votre serveur Exchange pour prendre en compte la nouvelle
URL :
Set-ClientAccessServer
-Identity
VotreServeurCAS
-AutoDiscoverServiceInternalUri
https://autodiscover.domaine-registrar/autodiscover/autodiscover.xml

5.4 Vrifications
Pour obtenir lURL du service Autodiscover, excutez la commande suivante :
Get-ClientAccessServer | fl -p Name,*uri*
Tapez la commande suivante pour vrifier le bon fonctionnement dun utilisateur en particulier :
Test-OutlookWebServices -identity <user>

19

5.5 Cration dune zone DNS supplmentaire


Maintenant que vous avez configur ladresse Autodiscover avec un lien du type
https://autodiscover.domaine-registrar/autodiscover/autodiscover.xml, vous allez pouvoir ouvrir
Outlook et vrifier le bon fonctionnement de ce service.
Cela-dit, vous remarquerez que nous avons configur lURL en utilisant le nom de domaine fourni par
votre registrar. Hors ce dernier nest pas connu par votre DNS interne. Par consquent lorsque vous
lancerez Outlook pour la premire fois, vous vous heurterez lerreur 80070057. Pour rsoudre ce
problme, vous devrez crer une zone supplmentaire dans votre AD. Cette dernire portera le nom
du domaine fourni par votre registrar et contiendra une entre de type A pointant vers lIP interne
de votre serveur Exchange. Cette configuration servira galement la fonctionnalit Outlook
Anywhere (point 7).

5.6 Test avec Outlook 2010

Rcupration automatique de lutilisateur et de ladresse mail :

20

Si vous navez pas encore configur de certificat (point 10), il est normal que le message
suivant apparaisse :

Patientez ensuite quelques instants avant de voir ce message safficher :

Votre messagerie Outlook est dornavant oprationnelle !

21

6. Configuration dOutlook Web App


Outlook Web App, anciennement Outlook Web Access, permet daccder votre compte Exchange
depuis votre navigateur. Par dfaut, il est accessible via les adresses suivantes :
https://srv-mail.domaine-AD/owa
https://srv-mail/owa

6.1 Configuration

Allez dans Server Configuration > Client Access


Dans lapart en bas, cliquez droit sur OWA > Properties

Indiquez alors les URL interne et externe dOWA (il convient dindiquer la mme URL du point 1.1
pour les 2 sites) :

22

6.2 Authentification
Il galement possible de modifier le type dauthentification. Loption user name only permet
quant elle de sabstenir du nom de domaine tant donn quil est indiqu en dur dans la
configuration :

Attention ! Aprs avoir modifi lun de ses paramtres, il sera ncessaire dexcuter la commande
iisreset /noforce sur votre serveur Exchange. Cela dit, et plusieurs reprises, je me suis retrouv avec
le webmail plant.

23

6.3 Historique des crans daccueil OWA


A titre dillustration, vous trouverez la suite les crans daccueil respectifs dExchange 2003, 2007
et 2010 :

24

25

7. Configuration dOutlook Anywhere


Cette fonctionnalit permet aux clients extrieurs de se connecter la messagerie interne depuis
Outlook sans tablir de connexion VPN. Concrtement, lensemble du trafic MAPI est encapsul dans
connexion scurise de type RPC over HTTPS (galement ancien nom de cette fonctionnalit sous
Exchange 2003). Source

7.1 Configuration ct serveur


7.1.1 Via lassistant graphique
Pour activer cette fonctionnalit :
Allez dans Server Configuration > Client Access
Dans lapart droite, cliquez sur Enable Outlook Anywhere

Indiquez ensuite le nom dhte externe (utilisez le mme nom quau point 1.1) et choisissez
le type dauthentification souhaite :
o Basic : les identifiants daccs sont demands chaque reprise et sont envoys en
clair. Si ce choix est retenu, il est recommand dactiver le chiffrement SSL sur le
rpertoire virtuel IIS (point 12.1)
o NTLM : cette option utilise le protocole NTLM pour authentifier les utilisateurs. De ce
fait il nest pas ncessaire de renseigner les identifiants pour se connecter Exchange.
Hlas, ce protocole est trs souvent bloqu par les pare-feu. Aussi, il est recommand
de mettre en place un serveur TMG ou Forefront. Une procdure est disponible ici

26

Loption Allow secure channel (SSL) offloading permet dacclrerez les tapes de
chiffrement/dchiffrement avec un acclrateur SSL (source).

Une fois lassistant termin, vous devrez attendre 15 minutes avant quOutlook Anywhere soit
totalement actif. Vous pouvez toutefois acclrer ce processus en redmarrant le service
Microsoft Exchange Active Directory Topology

27

7.1.2 En PowerShell
Pour activer et configurer OWA en PowerShell, excutez la commande suivante (Source) :
Enable-OutlookAnywhere -Server '<Serveur CAS>' -ExternalHostname <mail.domaineregistrar.com>' -DefaultAuthenticationMethod 'Basic' -SSLOffloading $false
Pour rcuprer la configuration actuelle dOWA (Source) :
Get-OutlookAnywhere -Server <serveur>

7.2 Vrifications
Pour vrifier la connectivit avec OWA depuis votre serveur CAS (Source) :
Test-OutlookConnectivity -Protocol:Http -GetDefaultsFromAutoDiscover:$true verbose
Vous pouvez galement utiliser loutil ExRCA prsent au point 13.2.2.

7.3 Configuration de la messagerie

Allez dans Fichier > Paramtres du compte > Paramtres du compte

Double clic sur votre compte Exchange > Paramtres supplmentaires > Connexion et
cochez la case sous Outlook Anywhere

28

Cliquez ensuite sur Paramtres proxy Exchange


En URL, saisissez ladresse renseigne au point 1.1. Indiquez ensuite le type dauthentification
dfinie auparavant, sachant que lauthentification de base ne supporte pas le SSL

Les cases cocher Sur des rseaux donnent priorit lutilisation dune connexion RPC over
HTTPS au lieu dune connexion MAPI, mme en tant connect au rseau local.

29

8. Nom de domaine et approbation


En rgle gnrale, le nom obtenu auprs de votre registrar est diffrent de votre domaine Active
Directory. Vous allez donc dun ct avoir des adresses en user@domaineAD.com et de lautre
des adresses en user@domaine-registrar.com . Il va donc falloir configurer Exchange pour
approuver ce nouveau nom de domaine, car autrement aucun email ne pourra outrepasser ce filtre.
Pour ajouter un domaine approuv :

8.1 Ajout dun nouveau domaine

Allez dans Hub Transport > Accepted domains


Cliquez sur New accepted domain

Dfinissez ensuite ce nouveau domaine comme celui par dfaut :


Clic droit > Set as default

8.2 Cration dune stratgie de nom


Maintenant que vous avez approuv ce nouveau nom de domaine, il est ncessaire de crer une
stratgie permettant de convertir vos adresses au format user@domaine-registrar.com . Pour
cela :
Allez dans Hub Transport > E-mail address policies
Cliquez sur New E-mail address policy
La fentre ci-dessous souvre :

30

Notez quil est possible de filtrer par OU les objets affects par cette stratgie en cliquant sur
Browse

Vous pouvez galement indiquer ici dautres critres de restriction :

Une fois arriv cette fentre, cliquez sur Add

31

Ensuite cliquez sur Browse et indiquez le domaine sur lequel vous souhaitez appliquer votre
stratgie (en loccurrence domaine-registrar.com ) :

32

Excutez la tche immdiatement :

8.3 Vrification de la stratgie


Nous allons maintenant vrifier que les utilisateurs existants ont bien reu le nouveau nom de
domaine via la stratgie cre :
Allez dans Recipient Configuration > Mailbox
Double clic sur un utilisateur existant > Onglet E-mail addresses
Vous devriez constater alors la prsence de 2 adresses mails :
o user@domaine-registrar.com en gras (adresse utilise par dfaut)
o user@domaineAD.com
Si cest le cas, votre stratgie a bien fonctionn

33

9. Configuration des connecteurs


9.1 Fonctionnement gnral
Les connecteurs sont des lments clefs au sein dExchange car ils permettent lenvoi et la
rception des mails. En vulgarisant, on peut comparer les connecteurs aux protocoles POP et
SMTP prsents dans les paramtres des clients de messagerie classique.

9.2 Connecteur denvoi


9.2.1 Cration dun connecteur Internet
Pour crer un connecteur denvoi vers internet (Source):
Allez dans Organization Configuration > Hub Transport
Dans lapart de droite, cliquez sur New send connector et choisissez les options comme cidessous :

34

Cliquez sur Add

Dans Address, indiquez un domaine en particulier ou bien insrez le champ * pour


autoriser lenvoi vers tous les domaines. Vous pouvez galement indiquer un cot dans le cas
o vous souhaitez effectuer du routage de mails avec plusieurs connecteurs

Attention ! Pour la suite deux possibilits vous sont offertes :


9.2.2 Mthode denvoi simple
Pour envoyer directement vos mails sans les faire transiter par un serveur SMTP en particulier, optez
pour loption Use domaine name system (DNS) "MX". Cela dit, cette solution est dconseille dans
la mesure o votre IP pourrait tre considre comme source de spam . Cest pourquoi il vaut
mieux utiliser la solution du point suivant.

35

Il est galement recommand de cocher la case Use the external DNS lookup. Plus de dtails au
point 11.5.

9.2.3 Mthode denvoi avance


De plus en plus de FAI obligent leurs clients sauthentifier afin de limiter lafflux massif de SPAM. Si
cest votre cas, suivez comme suit :
Choisissez loption Route mail throught et cliquez sur Add

Indiquez alors le nom du serveur mail de votre fournisseur (smtp.ovh.net, smtp.orange.fr,


smtp.free.fr, ) :

36

Au menu suivant, configurez les paramtres dauthentification fournis par votre fournisseur.
Dans le cas dune authentification TLS, pensez ouvrir le port 587 sur votre pare-feu comme
indiqu au point 2.2

*********************************

37

A ltape suivante, ajoutez le ou les serveur(s) HUB de transport permettant lenvoi demail :

Pour terminer, validez la cration du connecteur et vrifiez que votre connecteur denvoi a
bien t cr dans longlet Send connectors :

9.2.4 Notes importantes concernant lenvoi

Les SMTP de Free routent tout dans la limite de 200 mails et connexions par jours
Votre Freebox bloque par dfaut lenvoi de mail partir du port 25 (option modifiable) afin
de limiter les sources de spam

Il est possible dutiliser lauthentification SMTP condition de disposer dun compte mail chez
Free. Vous devrez ensuite vous connecter laide de ce compte (pas votre numro de ligne)
pour activer loption Gestion du SMTP authentifi . Toutefois, cette authentification nest
pas ncessaire si votre FAI est Free.

38

9.3 Connecteurs de rception


9.3.1 Fonctionnement
Pour visualiser les connecteurs de rception crs par dfaut (source) :
Allez dans Server Configuration > Hub Transport
Deux connecteurs sont alors prsents :

Le connecteur Client autorise les communications sur le port 587 pour les clients non MAPI, tels
que POP et IMAP. Quant au second, il permet la communication partir de serveurs de transport sur
le port 25.

9.3.2 Rception des mails extrieurs


Pour permettre la rception de mails provenant dinternet, il est ncessaire de crer un nouveau
connecteur. Pour cela :
Allez dans Server Configuration > Hub Transport
Cliquez sur New receive connector

39

Indiquez le port utiliser (25 par dfaut). Attention, certains fournisseurs ont tendance
utiliser un autre port pour des raisons de scurit. Par ailleurs, il convient dindiquer lIP de
votre serveur Exchange dans local IP address

Une fois lassistant termin, ouvrez les proprits du connecteur et dans longlet Permission groups,
cochez la case Anonymous. Dcochez les autres pour terminer.

40

9.3.3 Ajout dun connecteur pour quipements spcifiques


Vous pouvez galement autoriser certains quipements spcifiques (serveurs, switchs, ) envoyer
des mails via votre serveur Exchange. Pour cela excutez la commande suivante :
new-ReceiveConnector -Name <nom connecteur>' -Usage 'Client' -RemoteIPRanges
'192.168.0.1/32','192.168.0.2/32' -Server '<nom serveur>'
Une fois le connecteur cr, pensez vrifier que votre quipement supporte bien lenvoi sur le port
587. Dans le cas contraire, il faudra modifier graphiquement votre connecteur afin de spcifier le port
25. Il se peut galement que deviez crer une rgle sur le pare-feu du serveur afin dautoriser le trafic
entrant sur ce port. De plus, il faudra autoriser les utilisateurs anonymes pour ce connecteur.
Source

41

10.

Cration et assignation dun certificat

Lors de linstallation de votre serveur Exchange, ce dernier va crer un certificat auto-sign. De ce


fait, en vous connectant OWA (et dautres services galement) vous recevrez le message derreur
suivant :

Ceci est simplement d au fait que votre certificat na pas t dlivr par une autorit de certification
approuve. Pour parer ce problme, vous avez le choix entre acqurir un certificat (payant) ou crer
votre propre autorit de certification (gratuit). Et cest donc ce que nous allons faire par la suite

10.1

Gnration dune demande de certificat

Allez dans Server configuration > SRV-MAIL > New exchange Certificate

Indiquer un nom pour votre certificat

42

Remplissez ensuite les noms que vous voulez certifier :

Client Access Server (OWA)


o OWA on the intranet
MAIL.domaine-registrar.com
Domaine-AD (englobe MAIL.domaine-AD.com et FQDN interne serveur-mail
MAIL (si CNAME cr sur DNS interne)
o OWA on the internet
MAIL.domaine-registrar.com
CAS (Active Sync)
o MAIL.domaine-registrar.com (on considre laccs mobile uniquement via internet)
CAS (Web Services, Outlook Anywhere, Autodiscover)
o MAIL.domaine-registrar.com
Autodiscover
o Autodisover.domaine-registrar.com

43

o Autodisover.domaine-AD.com
**************************
Indiquez ensuite le nom de domaine utiliser par dfaut. Ce dernier servira galement identifier
votre certificat dans vos magasins :

Remplissez ensuite les informations demandes et cliquez sur Browse pour indiquer
lemplacement du fichier de requte :

Une fois termin, vous obtenez un fichier *.req


44

10.2

Installation dune autorit de certification (CA)

Linstallation du rle ADCS (Active Directory Certification Services) nest pas dtaille ici. En revanche,

elle est explique au sein de mon tuto intitul VPN SSTP sous Server 2008 R2 (tuto de A Z)
disponible sur Scribd (rendez-vous directement au point II et optez pour une autorit de type
Enterprise).

10.3

Cration dun modle de certificat

Ouvrez le gestionnaire de serveur o se trouve install le rle ADCS :

Dans Certificate Template, clic droit sur modle Web Server > Duplicate Template >
Windows Server 2003 Enterprise > OK
Indiquez ensuite un nom et une priode de validit :

OK
Clic droit sur votre nouveau modle > Reenroll all certificate holders
Ensuite, droulez le menu portant le nom de votre CA puis faites un clic droit sur Certificate
Templates > New certificate template to issue et indiquez le modle crait auparavant (celui
qui a t dupliqu)

10.4

Gnration du certificat

Une fois votre modle prt, dirigez-vous sur le site ADCS afin deffectuer la demande de certificat
(http://SRV-ADCS/certsrv/en-us):

45

Allez dans Request a certificate > Advanced certificate request > Submit a certificate []

Dans la partie haute du formulaire, collez le contenu du fichier *.req gnr au point 10.1.
Dans le menu droulant, choisissez le modle de certificat cr auparavant
Cliquez sur Submit puis Download certificate. Indiquez alors lemplacement o sera stock
votre certificat

10.5

Importation du certificat

Maintenant que votre certificat est cr, il est ncessaire de limporter sous Exchange. Pour cela :
Allez dans Server configuration > SRV-MAIL

46

Vous remarquerez alors un certificat ayant pour statut This is a pending certificate signing
resquest. Faites un clic droit dessus > Complete pending request
Une fentre souvre. Indiquez alors lemplacement du certificat gnr au point prcdent

10.6

Affectation de services au certificat

Votre certificat est dornavant reconnu par Exchange. Il faut maintenant indiquer par quels services
dExchange ce dernier sera utilis. Pour cela :
Clic droit sur votre certificat > Assign services to certificate
Une nouvelle fentre souvre, vous demandant les services affecter ce certificat. Cochez
IMAP et IIS (SMTP se rajoutera par dfaut) :

10.7

Cration dune GPO pour dlivrer le certificat

Il est maintenant ncessaire de distribuer et dinstaller ce certificat sur tous vos postes client. Pour
cela :
Ouvrez la console Group Policy Management
Crez une nouvelle GPO et appliquez l lensemble de votre domaine
Editez-l et dirigez-vous dans Computer Configuration > Windows Settings > Security
settings > Public key policies > Trusted root []
Clic droit > Import. Indiquez alors lemplacement de votre certificat Exchange > OK
47

Faites un gpupdate/force ou redmarrez vos ordinateurs pour prendre en compte cette


nouvelle GPO

10.8

Vrification et test

Si vous avez correctement configur et dploy votre certificat, vous ne devriez plus avoir de
message derreur :

48

11.

Optimisations

11.1

Dplacement de la base de donnes et des journaux de transactions

Dans un souci de performance, il convient de dplacer la base de donnes ainsi que les journaux de
transactions sur une partition ou un disque ddi. Pour cela :

Allez dans Organization Configuration > Mailbox


Clic droit sur votre base de donnes > Move Database Path
Indiquez alors les nouveaux emplacements :

11.2

Dplacement des files dattentes

Il est galement conseill de placer les files dattentes des messages sur une partition ou un disque
dur ddi. Source

11.2.1 Modifications des droits NTFS

Crer un nouveau dossier lemplacement de votre choix


Modifier les droits NTFS du dossier en ajoutant les utilisateurs ci-dessous en Full control :
o Network Service
o System
o Administrators

49

11.2.2 Dplacement des files


Editez le fichier suivant avec votre Notepad favori :
C:\Program Files\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config

Rechercher la valeur ci-dessous dans le fichier prcdemment ouvert et remplacez le chemin


daccs par le celui souhait. Pour terminer, enregistrez et quittez le fichier.
<add key="QueueDatabaseLoggingPath" value="<chemin daccs>" />

Arrter le service Microsoft Exchange Transport


Copier les fichiers suivants dans le nouvel emplacement :
o Trn.log
o Trnres00001.jrs
o Trnres00002.jrs
o Trntmp.log
Dmarrer le service Microsoft Exchange Transport
Vrifiez que le fichier tmp.edb est bien cr

Supprimer le contenu de lancien rpertoire

Note : lorsque le service Microsoft Exchange Transport est arrt, le fichier tmp.edb disparait. Il est
recr automatiquement dans le nouveau rpertoire au lancement du service

50

11.3

Dplacement des logs

Pour dplacer les logs (suivi des messages, connectivit, envoi et rception), allez dans :
Server Configuration > Hub Transport > clic droit sur votre serveur > Log settings
Indiquez les emplacements de votre choix :

11.4

Spcifications des serveurs AD et GC

Vous avez galement la possibilit dindiquer quels sont vos contrleurs de domaine ainsi que vos
catalogues globaux :

11.4.1 Via linterface graphique

Server Configuration > Hub Transport > clic droit sur votre serveur > System settings

51

11.4.2 En PowerShell
Pour les modifier
Set-ExchangeServer -Identity <server_name> -StaticDomainControllers DC1.local,DC2.local
Set-ExchangeServer -Identity <server_name> -StaticGlobalCatalogs DC1.local,DC2.local
Pour les afficher :
Get-ExchangeServer Identity <server_name> -Status | FL

11.5

Rsolution externe de noms

Comme prsent au point 9.2.2, la case Use external DNS lookup permet dindiquer que vous
souhaitez utiliser des DNS diffrents de ceux indiqus dans votre carte rseau pour effectuer la
rsolution de noms. En gnral, cette configuration est ncessaire quand votre fournisseur de mail
requiert que vous passiez obligatoirement par ses DNS (ce qui est le cas dOrange par exemple).
Source

11.5.1 Via lassistant graphique

Server Configuration > Hub Transport > clic droit sur votre serveur > System settings

11.5.2 En PowerShell
Set-TransportServer -ExternalDNSServers '80.10.242.2' -ExternalDNSAdapterEnabled $false -Identity
'server_name'

52

12.

Scurit

12.1

Activation du chiffrement SSL sur Anywhere

Pour des raisons de scurit, il est recommand dactiver lutilisation du SSL sur le rpertoire virtuel
dOutlook Anywhere. Pour cela, suivez ces instructions.

Conclusion
Exchange 2010 apporte donc de nombreuses nouveauts par rapport son prdcesseur Exchange
2007. Grce la gestion simplifie des RBAC, une connectivit amliore pour les priphriques
mobiles et une refonte totale du systme de clustering, son implmentation est devenue beaucoup
plus souple quauparavant. Par ailleurs, le langage PowerShell apporte une souplesse incroyable en
ce qui concerne ladministration quotidienne des serveurs de messagerie.
Quant aux solutions concurrentes, essentiellement Postfix et Lotus, elles restent toutefois
intressantes mme si laspect messagerie mobile nest pas aussi bien dvelopp et intgr quau
sein dExchange.

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :


m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en dores et dj remerci


53

Оценить