Alphorm.com Support de la Formation Exchange 2016 Installation et Configuration

16/09/2016

1

Formation Exchange 2016 : Installation et Configuration alphorm.com™©

Formation

Exchange 2016Installation et Configuration

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Pierre NORMANDFormateur et Consultant en Systèmes et MessagerieCertifications: MCSE Messaging 2016, SCCM 2012Contact: [email protected]

16/09/2016

2


Introduction

•Présentation du formateur

•Public concerné

•Connaissances requises

•Contenu de la formation

•Les objectifs

•Les sujets non traités

16/09/2016

3


Présentation du Formateur

Pierre NORMAND

• Email : [email protected]

• Formateur Consultant Systèmes & Expert Exchange

• Certifications:

� SCCM 2012

� Exchange 2016 & Office 365 = MCSE Messaging

16/09/2016

4


Public Concerné

• Administrateurs / Ingénieurs Systèmes

• Toute Personne désirant découvrir et se former à Microsoft Exchange 2016

• Toute personne souhaitant déployer et configurer Microsoft Exchange 2016 avec les fonctions principales

16/09/2016

5


Connaissances requises

• Connaissances sur la gestion et la maintenance des systèmes d’exploitation Windows Serveurs, particulièrement Serveur 2012 R2

• Connaissances sur : TCP/IP, Adressage IP, DNS

• Connaissances sur l’Annuaire Active Directory

• Connaissances en virtualisation pour créer des machines virtuelles avec un réseau associé pour les labs

• Des bases dans l’utilisation des cmdlets Powershell

16/09/2016

6


Cursus Exchange 2016

Configuration avancée

Installation et Configuration

Migration et Coexistence

16/09/2016

7


Contenu de la formation• Chapitre I : Introduction

• Chapitre II : Présentation et prérequis

• Chapitre III : Installation d’Exchange Server 2016

• Chapitre IV : Présentation de l’administration d’Exchange

• Chapitre V : Configuration de la partie boîtes aux lettres

• Chapitre VI : Configuration de la partie accès clients

• Chapitre VII : Configuration de la partie routage des messages

• Chapitre VIII : Configuration de la gestion de la conformité

• Chapitre IX : La sécurité dans Exchange

• Chapitre X : Conclusion

16/09/2016

8


Les objectifs

• Découvrir et comprendre les bases de Exchange 2016

• Compléter ses connaissances

• Mettre en place un serveur Exchange 2016 fonctionnel

• Passer un bon moment ☺

16/09/2016

9


Les sujets non traités

•Configuration avancée

•Migration

•Coexistence

16/09/2016

10


16/09/2016

11


Présentation de l’environnement utilisé



16/09/2016

12


Introduction

•Matériel utilisé

•Schéma du lab utilisé

•Maquette utilisée

16/09/2016

13


Matériel utilisé• Système d’exploitation natif Windows 10 Professionnel

• Système de virtualisation VMWareWorkstation PRO 12.1.1

• Système d’exploitation des machines virtuelles Windows 2012 R2 Standard

• Prévoir une machine performante, avec au minimum 16 Go de RAM et de préférence un disque dur SSD

Clevo W550SU 15.6 IPS LED Full-HD MAT

Processeur: Intel i7-4702MQ 2,2GhtzDisque Dur: SSD Crutial 500GoRAM: 16Go DDR3 PC12800

16/09/2016

14


Schéma du lab

16/09/2016

15


La maquette utilisée• Outil : VMWare Workstation 12.1.1 PRO

• Réseau : type NAT, adresse 192.168.5.0/24

• Machine DC-01 : 1xProcesseur 2xCoeurs, 2Go RAM, 1xLan NAT, DD 40Go

• Machine EXCH-01 : 1xProcesseur 2xCoeurs, 8Go RAM, 1xLan NAT, DD 60Go, Exchange 2016 Version CU2

• Machine W10 : 1xProcesseur 2xCoeurs, 1Go RAM, 1xLan NAT, DD 40Go

16/09/2016

16


Etes-vous prêt ?

16/09/2016

17


Présentation d’Exchange 2016

Présentation et Prérequis



16/09/2016

18


Introduction

•Qu’est-ce que Exchange 2016 ?

•Historique des versions d’Exchange

16/09/2016

19


Qu’est-ce que Exchange 2016 ?• Logiciel de groupe de travail (Plateforme) de messagerie électronique

professionnelle

• Exchange apporte un ensemble de services :

� Echange de messages électroniques au sein de l’entreprise

� Echange de messages électroniques à l’extérieur de l’entreprise

� Gestion des ressources : salles de réunion, salles de formation…

� Gestion de la sécurité des informations de messages électroniques

� Intégration dans la suite collaborative : Sharepoint & Office Online & Skype

• Basé sur l’annuaire Active Directory (et les DNS)

16/09/2016

20


Historique des versions Exchange• 1996 - Exchange Server 4.0

• 1997 – Exchange Server 5.0

• 1997 - Exchange Server 5.5 (Standard Edition, Entreprise Edition)

• 2000 - Exchange Server 2000 (Standard Edition, Entreprise Edition)

• 2003 - Exchange Server 2003 (Standard Edition, Entreprise Edition)

• 2007 - Exchange Server 2007 (32 (non recommandé en production) et 64 bits)

• 2009 - Exchange Server 2010 (64 bits) (Standard Edition, Entreprise Edition)



• Depuis 2009 – Exchange Online, remplacé par Office 365 en 2011

16/09/2016

21


Qu’avons-nous vu ?

•On sait ce que c’est Exchange 2016

•On connait l’historique des versions d’Exchange

16/09/2016

22


Les nouveautés d’Exchange 2016




16/09/2016

23


Introduction

•Quelles sont les évolutions de Exchange 2016 ?

•Schéma général

16/09/2016

24


Les nouveautés depuis Exchange 2013• Rôles :

� Mailbox

� Edge

• Haute Disponibilité DAG :

• Amélioration d’environ 33% des performances de détection de panne et de réactivité de basculement

• Possibilité de modifier la fréquence d’analyse et répartition des bases de données

• Replay Lag Manager activé par défaut

• Création du DAG sans adresse IP

• Coexistence possible entre Exchange 2013 et Exchange 2016

• Connectivité :

� MAPI activé par défaut

� ActiveSync version 16

� Traffic proxy réversible entre Exchange 2013 et Exchange 2016

� Basé sur SHA2

• Evolution de la fonction Recherche :

� Amélioration des performances

� Recherches exécutées côté serveur

� Recherche dans le calendrier possible

16/09/2016

25


Les nouveautés depuis Exchange 2013• Langues :

� 17 nouvelles langues

• Les sources :

� Sous forme d’ISOs

• Outlook sur le Web :

� Nouveaux thèmes

� Meilleur rendu HTML

� Gestion des conversations : « épingler » & « ranger »

16/09/2016

26


Diagramme général

https://technet.microsoft.com/fr-fr/library/jj150491(v=exchg.160).aspx

16/09/2016

27


Schéma général du rôle de boîte aux lettres

16/09/2016

28


Les services• Un seule rôle Mailbox qui assure les services suivants:

� Le service de boite aux lettres :

• Hébergement des bases de données (boite aux lettres et dossiers public)

• La haute disponibilité (DAG)

� Le service d’accès client :

• Gere les connexions des clients

• Les clients sont routés via ce service pour accéder au boites aux lettres

• Gere la sécurité frontal

� Le service de routage et de transport de messages :

• Service de transport HUB

• Service de transport de boites aux lettres

� Le service de messagerie unifiée

16/09/2016

29



•On connait les nouveautés dans Exchange 2016

•On a compris le schéma général

•On connait les différents services que comporte le rôle de boîte aux lettres

16/09/2016

30


Licences et Compatibilités




16/09/2016

31


Plan

•Licences

•Scénarios de déploiement et Coexistence

•Compatibilités Clients Outlook

16/09/2016

32


Licences• Licences Exchange serveur :

� Standard : maximum 5 bases de données de boîtes aux lettres montées

� Entreprise : maximum 100 bases de données de boîtes aux lettres montées

• Licences d’accès clients (CAL) Exchange:

� Standard :

� Entreprise : nécessite une CAL standard

• Lien : https://products.office.com/fr-fr/exchange/microsoft-exchange-server-licensing-licensing-overview

16/09/2016

33


Scénarios de déploiement et Coexistence• Mode Local :

� Coexistence avec les versions antérieures d’Exchange

• Exchange 2010 SP3 RU11 minimum

• Exchange 2013 CU10 Minimum

• Organisation mixte Exchange 2010 et Exchange 2013

• Mode Hybride :

� Exchange local et Exchange Online Office 365

16/09/2016

34


Compatibilités Clients Outlook• Outlook 2010 SP2 (avec KB2965295 14 Avril 2015)

• Outlook 2013 SP1

• Outlook 2016

• Outlook Office 365

• Outlook 2011 pour MAC minimum

• Outlook Office 365 pour MAC

16/09/2016

35



•Comment fonctionne les licences Exchange 2016

•La coexistence Exchange

•Les clients Outlook compatibles

16/09/2016

36


Prérequis AD pour Exchange




16/09/2016

37


Introduction

•Comment Exchange se base sur l’AD pour fonctionner ?

•Quelles sont les étapes de préparation de l’AD pour installer Exchange ?

16/09/2016

38


Les bases• Exchange stocke toute sa configuration dans l’Active Directory :

Organisation Exchange (SendConenctor, DAG…)

Classes d'objet et attributs Exchange

Destinataires Exchange

Configuration Exchange Serveurs

Partition de Domaine

Partition de Configuration

Répliquée sur tous les contrôleurs de la forêt

Répliquée sur tous les contrôleurs d’un même domaine

Partition de Schéma

16/09/2016

39


Les prérequis pour Exchange 2016• Contrôleurs de domaine exécutant :

� Windows Server 2012 R2 Standard ou Datacenter

� Windows Server 2012 Standard ou Datacenter

� Windows Server 2008 R2 Standard ou Enterprise

� Windows Server 2008 R2 Datacenter RTM ou version ultérieure

� Windows Server 2008 Standard, Enterprise ou Datacenter

• Forêt Active Directory :

� Niveau fonctionnel doit être au minimum Windows Server 2008

• Dans chacun des sites AD où Exchange sera installé, disposer d’au minimum un catalogue global (Exchange ne peut pas s’installer avec un RODC)

16/09/2016

40


Conseils et bonnes pratiques• Avoir des contrôleurs de domaine à jour

• Avoir une bonne configuration réseau (pare-feu, routage…)

• Avoir une configuration d’adresses IP bien étudiée

• Vérifier la réplication AD

• Vérifier la configuration de site AD : noms, liens, sous-réseaux

• Vérifier le service de temps PDC

• Avoir une Unité Organisationnelle (OU) pour les destinataires de messagerie

16/09/2016

41


La préparation de l’AD pour Exchange• Obligatoire pour pouvoir installer un Exchange, que ce soit une nouvelle

installation ou une mise à niveau de version Exchange

• Il est nécessaire d’avoir les droits Active Directory

• La préparation peut se faire de deux façons :

� En préparant l’AD avant l’installation (par un administrateur du domaine)

� Pendant le déploiement du serveur Exchange

• Les étapes sont :

1. Préparation du schéma

2. Préparation du nom de l’organisation (si première préparation)

3. Préparation de la configuration

4. Préparation du domaine (qui recevra les ressources des destinataires Exchange)

16/09/2016

42



• Exchange stocke toute sa configuration dans l’AD : forte adhérence

• Les prérequis au niveau de l’AD pour Exchange 2016

• Le processus de préparation de l’AD pour Exchange

16/09/2016

43


Préparer l’AD pour Exchange




16/09/2016

44


Introduction

•Que faut-il vérifier dans l’AD pour installer Exchange ?

•Comment préparer l’AD pour Exchange ?

16/09/2016

45


Vérification des prérequis• Les contrôles à effectuer :

� Vérifier le niveau fonctionnel de la forêt

• Via la console Active Directory Domains and Trusts

• Via l’outil ADSI Edit: msDS-Behavior-Version

� Vérifier quels contrôleurs de domaines détiennent les différents rôles FSMO : en particulier le rôle maitre de schéma

� Vérifier l’état des réplications des contrôleurs de domaines:

• Préparer l’AD pour Exchange :

� Depuis une machine non Domaine Contrôleur, installer les outils AD : Install-WindowsFeature RSAT-ADDS

16/09/2016

46


La préparation de l’AD pour Exchange• Les paramètres d’installation Exchange Setup.exe :

1. /PrepareSchema

• Prépare le schéma

2. /PrepareAD /OrganizationName: "nom_organisation"

• Prépare le domaine

• Prépare les objets Exchange globaux

• Crée les Groupes de Sécurité Universels Exchange dans le domaine racine de votre forêt

3. /PrepareDomain

• Prépare le domaine pour les destinataires Exchange

/PrepareDomain nom_domaine


/PrepareAllDomains


• Ces commandes doivent être exécutées depuis un ordinateur ayant :

� .Net Framework 4.5.2

� Les outils d’administration à distance ADDS (Install-WindowsFeature RSAT-ADDS) si ce n’est pas un Domaine Contrôleur

• Lien: https://technet.microsoft.com/fr-fr/library/bb125224%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396

16/09/2016

47


La préparation de l’AD pour ExchangeSetup.exe /PrepareSchema

� Nécessite un compte membre du groupe Administrateur de Schéma et du groupe Administrateur d’entreprise

� Doit être exécuté depuis une machine x64 figurant dans le même Domaine et le même Site AD que le Maitre de Schéma (ou depuis le mettre de schéma lui-même)


� Le paramètre /DomainController permet de spécifier directement le maitre de Schéma

• Cette opération modifie la forêt AD et peut impacter une forêt de production non prévue pour Exchange

• A effectuer dans la forêt de ressource où Exchange sera installé

• Avant de passer aux étapes suivantes, attendre la réplication des informations créées/modifiées dans l’AD

16/09/2016

48


La préparation de l’AD pour ExchangeSetup.exe /PrepareAD /OrganizationName:organisationname

� Nécessite un compte membre du groupe Administrateur d’entreprise

� Doit être exécuté depuis une machine x64 figurant dans le même Domaine et le même Site AD que le Maitre de Schéma (ou depuis le mettre de schéma lui-même)

� Doit être exécuté depuis une machine pouvant communiquer avec tous les domaines de la foret sur le port TCP 389

� Cette action crée un ensemble d’objets et de conteneurs dans la partition de configuration AD

� Avant de passer aux étapes suivantes, attendre la réplication des informations créées/modifiées dans l’AD

� Attention au nommage de l’organisation positionné par le paramètre /OrganizationName:

• Se référer au Technet : https://technet.microsoft.com/fr-fr/library/bb125224(v=exchg.160).aspx

16/09/2016

49


La préparation de l’AD pour ExchangeSetup.exe /PrepareDomain

� Nécessite un compte membre du groupe Administrateur d’entreprise

� Si le domaine à préparer existait AVANT l'exécution de setup /PrepareAD, le compte doit être membre du groupe Administrateurs de domaine de ce domaine

� Si le domaine à préparer a été créé APRES l'exécution de setup /PrepareAD, le compte doit être membre du groupe Administrateurs d'organisation Exchange et du groupe Administrateurs de domaine de ce domaine

Prépare le domaine local. Cette commande n’est pas nécessaire dans le domaine dans lequel vous avez exécutez le Setup/PrepareAD

Setup.exe /PrepareDomain:FQDNnomdomaine :

� Prépare un domaine spécifié

� Nécessite les droits dans ce domaine (identique au setup.exe /PrepareDomain)

� Doit être exécuté depuis une machine pouvant communiquer avec le domaine spécifié sur le port TCP 389

Setup.exe /PrepareAllDomains

� Prépare tous les domaines de votre organisation

� Doit être exécuté depuis une machine pouvant communiquer avec tous les domaines de la foret sur le port TCP 389

16/09/2016

50



•Vérifié que notre environnement AD pouvait accueillir Exchange

•Préparé l’AD pour accueillir Exchange

16/09/2016

51


Prérequis pour Exchange Serveur




16/09/2016

52


Introduction

•Quelle configuration minimale pour installer Exchange ?

•Quels sont les prérequis à prévoir avant d’installer Exchange ?

16/09/2016

53


Les Systèmes d’exploitation supportés• Pour un serveur Exchange :



• Pour les outils d’administration Exchange:



� Édition 64 bits de Windows 10

� Édition 64 bits de Windows 8.1

• Pas de version Core, uniquement la version graphique GUI est supportée

16/09/2016

54


Matériel requisProcesseur • ordinateur basé sur une architecture x64 équipé d'un processeur Intel prenant en charge l'architecture 64 d'Intel (Intel

EM64T)• processeur AMD prenant en charge la plate-forme AMD64• les processeurs Intel Itanium IA64 ne sont pas pris en charge

Mémoire • Rôle Boîte aux lettres : 8 Go au minimum (plutôt 16Go en pratique, et en fonction de l’architecture)• Rôle Transport Edge : 4 Go au minimum (plutôt 6Go en pratique, et en fonction du traffic)

Taille du fichier d’échange

• Moins de 32Go de RAM : la quantité de RAM physique + 10 Mo• Plus de 32Go de RAM : taille fixe 32 778Mo

Espace disque • Au moins 30 Go sur le lecteur sur lequel vous installez Exchange• 500 Mo supplémentaires d'espace disque disponible pour chaque module linguistique de la messagerie unifiée que

vous prévoyez d'installer• 200 Mo d'espace disque disponible sur le lecteur système• Un disque dur qui héberge la base de données des files d’attente de messages avec au moins 500 Mo d’espace libre.

Format de fichier • Partitions de disque formatées comme systèmes de fichiers NTFS :• partition système• partitions qui stockent des fichiers binaires Exchange ou des fichiers générés par la journalisation des

diagnostics Exchange• Les partitions de disque contenant les types de fichier suivants peuvent être formatées en ReFS :

• partitions contenant des fichiers du journal des transactions• partitions contenant des fichiers de base de données• partitions contenant des fichiers d’indexation de contenu

Disques dur SSD ou SAS recommandés

16/09/2016

55


Bonnes pratiques• La simplicité :

� Un seul rôle (regroupant tous les anciens rôles)

� Ressources matérielles dédiées

� Eviter le RAID pour privilégier la technologie DAG et du JBOD

16/09/2016

56


Architecture machine recommandée• Machine Physique (recommandée) :

� Historiquement préféré, et toujours recommandé par Microsoft

� Désactiver la fonction Virtual Technologie

� Désactiver la fonction HyperThreading

� Disques dur SAS (en 7200tr/min minimum) ou SSD

� Jusqu'à 96Go de RAM

� 2Processeurs (jusqu’à 24 cœurs)

� RAID 1 pour le système d’exploitation

https://technet.microsoft.com/fr-fr/library/jj619301(v=exchg.160).aspx#BKMK_Prereq

16/09/2016

57


Architecture machine supportée• Machine Virtuelle :

� Processeur 2:1 ( ou 1:1 parfois conseillé)

� Stockage en mode Pass-trough conseillé (SCSI ou SMB3 pour les VHDX)

� RAM en statique conseillé

� NUMA activé

� Conseillé de prioriser les I/O pour les machines Exchange Server

� Désactiver les clichés instantanés

� Ne pas utiliser de disques de différentiation (ou similaire)

https://technet.microsoft.com/fr-fr/library/jj619301(v=exchg.160).aspx#BKMK_Prereq

16/09/2016

58


Les prérequis du système d’exploitation• Les outils nécessaires :

� Netframework 4.5.2

� Microsoft Unified Communication managed API 4.0 Core Runtime 64 bits

• Les fonctionnalités à installer pour le rôle de boites aux lettres :

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

16/09/2016

59



• La configuration « machine » recommandée par Microsoft

• La configuration à prévoir en cas de machine virtuelle

• Les prérequis système à installer

16/09/2016

60


Prérequis Infrastructure




16/09/2016

61


Introduction

• Que faut-il prendre en compte coté infrastructure?

� Les éléments réseaux

� Les éléments d’infrastructure

16/09/2016

62


Diagramme général

https://technet.microsoft.com/fr-fr/library/jj150491(v=exchg.160).aspx

16/09/2016

63


Flux réseau – Partie ClientsObligatoire :

• Port 443 TCP: pour les flux HTTPS

Optionnel :

• Port 587 TCP : clients SMTP authentifiés

• Port 143 TCP : IMAP4 non chiffré (non sécurisé)

• Port 993 TCP: IMAP4 chiffré (sécurisé)

• Port 110 TCP : POP3 non chiffré (non sécurisé)

• Port 995 TCP: POP3 chiffré (sécurisé)

• Optionnel : Port 80

• Lien: https://technet.microsoft.com/fr-fr/library/bb331973(v=exchg.150).aspx

16/09/2016

64


Flux réseau – Partie routageObligatoire :

• Port 25 TCP : Pour les connexions

� Courrier entrant

� Courrier sortant

� Courrier sortant : proxy via serveur d’accès client

Autre :

• Port 53 UDP/TCP: connexions et requêtes DNS

• Port 389 TCP: connexions et requêtes LDAP

• Port 50389 TCP : EdgeSync non sécurisé

• Port 50636 TCP : EdgeSync sécurisé

• Port 717 : connexions proxy sortantes

• Port 465 : connexions proxy entrantes

• Port 475 : connexions SMTP autres MBX Servers

• Port 2525 TCP: connexions entrantes depuis le même serveur

16/09/2016

65


Certificats

• Certificat auto-signé

• Certificat issue d’une autorité de certification d’entreprise PRIVÉE

• Certificat issue d’une autorité de certification tierce de confiance PUBLIQUE

16/09/2016

66



•Les différents flux réseaux utilisés par Exchange

•Les différents types de certificats

16/09/2016

67


Les types d’installations et droits

Installation Exchange



16/09/2016

68


Introduction

•Quelles sont les possibilités d’installation d’Exchange?

•Quels sont les droits nécessaires?

16/09/2016

69


Les types installation• Deux types d’installation :

1. Installer Exchange en mode avec l’assistant d’installation graphique

2. Installer Exchange en mode sans assistance

• lignes de commandes powershell

• Modes :

� Installation d’Exchange en tant qu’administrateur de l’organisation

� Installation d’Exchange en tant délégué

16/09/2016

70


Les droits nécessaires• Installation du premier serveur Exchange dans l’organisation:

� Exécuter l’installation avec un compte membre du groupe Administrateur de l’Entreprise

• Installation d’un autre serveur Exchange dans l’organisation:

� Exécuter l’installation avec un compte membre du groupe Gestion de l’Organisation

• Installation d’un autre serveur Exchange dans l’organisation en mode délégué:

� Exécuter le provisionnement du serveur exchange dans l’organisation, avec un compte membre du groupe Gestion de l’Organisation

• .\Setup.exe /NewProvisionedServer /IAcceptExchangeServerLicenseTerms

� Exécuter l’installation avec un autre compte membre du groupe Installation déléguée

https://technet.microsoft.com/fr-fr/library/bb201741(v=exchg.160).aspx

16/09/2016

71



• Les différents modes d’installation

• Les droits nécessaires pour installer un serveur Exchange

Attention aux éléments annexes comme un antivirus ou pare-feu, ils peuvent occasionner des problèmes lors de l’installation d’Exchange s’ils ne sont pas compatibles.

16/09/2016

72


Installation en mode avec assistance graphique




16/09/2016

73


Introduction

•Comment installer Exchange avec assistance graphique ?

16/09/2016

74


Plan d’action• Voir les différentes versions et récupérer les sources Exchange Serveur

2016: https://technet.microsoft.com/fr-fr/library/hh135098(v=exchg.150).aspx

• Monter l’ISO

• Se rendre dans le lecteur virtuel monté

• Lancer le setup.exe en tant que administrateur

• Suivre l’assistant et renseigner les informations demandées

16/09/2016

75



•Comment installer Exchange en mode avec assistant graphique

16/09/2016

76


Installation en mode sans assistance




16/09/2016

77


Introduction

•Comment installer Exchange sans assistant graphique ?

16/09/2016

78


Plan d’action• Voir les différentes versions et récupérer les sources Exchange Serveur

2016 : https://technet.microsoft.com/fr-fr/library/hh135098(v=exchg.150).aspx

• Monter l’ISO

• Lancer une invite de commandes en tant qu’administrateur

• Se rendre dans le chemin du lecteur virtuel monté

• Exécuter la commande d’installation

• Vérifier l’installation

16/09/2016

79


Les options du setup.exe Exchange

https://technet.microsoft.com/fr-fr/library/aa997281(v=exchg.160).aspx

Setup.exe [/Mode:<setup mode>] [/IAcceptExchangeServerLicenseTerms] [/Role:<server role to install>] [/InstallWindowsComponents] [/OrganizationName:<name for the new Exchange organization>] [/TargetDir:<target directory>][/SourceDir:<source directory>] [/UpdatesDir:<directory fromwhich to install updates>] [/DomainController:<FQDN of domain controller>] [/DisableAMFiltering] [/AnswerFile:<filename>] [/DoNotStartTransport] [/EnableErrorReporting] [/CustomerFeedbackEnabled:<True | False>] [/AddUmLanguagePack:<UM language pack name>] [/RemoveUmLanguagePack:<UM language pack name>] [/NewProvisionedServer:<server>] [/RemoveProvisionedServer:<server>] [/MdbName:<mailboxdatabase name>] [/DbFilePath:<Edb file path>] [/LogFolderPath:<log folder path>] [/ActiveDirectorySplitPermissions:<True | False>] [/TenantOrganizationConfig:<path>]

16/09/2016

80



•Comment installer Exchange en mode sans assistant graphique

16/09/2016

81


Vérification de l’installation




16/09/2016

82


Introduction

•Comment vérifier l’installation d’Exchange ?

16/09/2016

83


Vérification de l’installation• Lire le rapport du setup.exe en fin d’installation (en graphique ou en ligne de commandes)

• Lire les logs d’installation (par défaut en mode verbose)

� <system drive>\ExchangeSetupLogs\ExchangeSetup.log

• Contrôler les informations dans l’Observateur d’évènements

� Exchange écrit principalement ses informations dans le journal Application

• Contrôler l’état des services démarrés (surtout ceux liés à Exchange)

• Contrôler les sites IIS

• Lancer la console powershell Exchange Management Shell

� Exécuter et contrôler le retour de la commande : Get-ExchangeServer

• Redémarrer le serveur et recontrôler à nouveau (sauf les logs d’installation)

16/09/2016

84



• Vérifié que le serveur Exchange a été installé correctement

• Vérifié que le serveur Exchange est opérationnel et prêt à être configuré

16/09/2016

85


Découverte des outils

Administration Exchange 2016



16/09/2016

86


Introduction

•Quels sont les outils d’administration à notre disposition pour administrer notre organisation Exchange ?

16/09/2016

87


Les outils d’administration

• Centre d’administration Exchange en web (EAC)

• Exchange Toolbox

• Exchange Management Shell

Il est nécessaire de disposer de droits Exchange d’administration

16/09/2016

88


La découverte en démo• Nous allons voir comment lancer et se connecter aux différents outils

d’administration d’Exchange

• Cette démonstration permettra de découvrir l’ensemble des nouveaux outils

• Installation de la clé de licence Exchange Server :

� En mode graphique (via l’EAC)

� En mode ligne de commande :

• Set-ExchangeServer MySrv –ProductKey XXXXX-XXXXX-XXXXX-XXXX

16/09/2016

89



•Découverte des nouveaux outils d’administration de Exchange 2016

•L’installation de la clé de licence Exchange Server

16/09/2016

90




Installation des outils

Administration Exchange 2016

16/09/2016

91


Introduction

•Comment installer les outils d’administration Exchange sur une machine tierce ?

16/09/2016

92


Présentation

16/09/2016

93


Les prérequis nécessaires• Un Système d’exploitation sous :



� Édition 64 bits de Windows 10

� Édition 64 bits de Windows 8.1

• .Net framework 4.5.2 (minimum)

• Outils d’administration IIS

• Utiliser un compte avec des droits pour installer des applications sur la machine (administrateur local de la machine par exemple)

• Utiliser un compte et une machine jointe au domaine

16/09/2016

94


Les modes d’installation

• Installation en mode avec l’assistant graphique

• Installation en mode sans assistance

16/09/2016

95


Installation avec l’assistant graphique• Disposer des sources Exchange Setup

• Monter l’ISO


• Lancer le setup.exe en tant que administrateur (si le contrôle UAC est activé)


• Sélectionner Outils d’administration dans la liste des rôles


16/09/2016

96


Installation sans assistance• Disposer des sources Exchange Setup

• Monter l’ISO

• Lancer l’invite de commandes en tant que administrateur


• Exécuter la commande d’installation :

� .\setup.exe /Role:ManagementTools /IAcceptExchangeServerLicenseTerms

16/09/2016

97



•Découverte des nouveaux outils d’administration de Exchange 2016

16/09/2016

98


Domaines acceptés et stratégies d’adresse de messagerie

Configuration de la BL



16/09/2016

99


Introduction

• Comment configurer notre nom de domaine dans notre organisation Exchange ?

• Comment attribuer automatiquement une adresse de messagerie à nos utilisateurs ?

16/09/2016

100


Domaines acceptés• Qu’est-ce qu’un domaine accepté ?

• Pourquoi ajouter un domaine accepté ?

• Les types de domaines acceptés :

� Domaine faisant autorité

� Domaine de relais interne

� Domaine de relais externe

• Comment les configurer ?

� Via l’EAC

� Via powershell

• New-AcceptedDomain –DomainName alphorm.lab –DomainType Authoritative –Name Alphorm


16/09/2016

101


Les stratégies d’adresse de messagerie• Qu’est-ce ?

• Pourquoi les configurer ?

• Les types de stratégies :

� Adresse de messagerie SMTP prédéfinie

� Adresse de messagerie SMTP personnalisée

� Adresse de messagerie NON SMTP ( X500, X400…)

• A qui l’appliquer ?

� Un groupe de destinataires correspondant à des critères de filtrage

• Comment les configurer ?

� Via l’EAC

� Via powershell

• New-EmailAddressPolicy -Name "Alphorm" -IncludedRecipients MailboxUsers -EnabledEmailAddressTemplates "SMTP:%g.%[email protected]"

• Update-EmailAddressPolicy –Identity "Alphorm"


16/09/2016

102



• A quoi sert un domaine accepté?

• Comment configurer un domaine accepté?

• Commenter mettre en place des stratégies d’adresse de messagerie?

16/09/2016

103




Bases de données de boîtes aux lettres


16/09/2016

104


Introduction

• Qu’est-ce qu’une base de données Exchange ?

• Comment personnaliser la base de données Exchange ?

16/09/2016

105


Présentation

16/09/2016

106


La composition d’une base de données• Stocke les boîtes aux lettres

• Détails des Fichiers de la base de données de boîtes aux lettres :

� Un fichier « TMP.EDB » :

• Fichier temporaire

� Un Fichier « .EDB » :

• La base de données de boîtes aux lettres

� Des fichiers « .LOG » :

• Les journaux des transactions

� Un fichier « .CHK » :

• Point de contrôle

� Des fichiers « E##res0001.jrs - E##res000A.log » :

• Fichiers de journaux de réserve

16/09/2016

107


Personnaliser une base de données• La taille de la base de données

• Les quotas des boîtes aux lettres

• La période de rétention des éléments et boîtes aux lettres supprimées

• Le carnet d’adresses

• Les logs circulaires

• Le montage automatique de la base de données

• L’activation de l’indexation

16/09/2016

108


Comment l’administrer ?• Via EAC

• Via PowerShell :

� New-MailboxDatabase –Name "DB01" -EdbFilePath "D:\ExchangeDatabases\DB1\DB1.edb" –LogFolderPath "D:\ExchangeDatabases\DB1\"

� Set-MailboxDatabase

� Get-MailboxDatabase

� Dismount-Database

� Mount-Database

� Move-DatabasePath

� New-Mailbox -PublicFolder -Name MasterHierarchy

Redémarrage du service Exchange Information Store

Nécessite un compte avec les droits adaptés

16/09/2016

109


Qu’avons-nous vu?

• Les fichiers qui composent une base de données de boîtes aux lettres

• Les éléments de base pour administrer une base de données de boîtes aux lettres

16/09/2016

110




Les destinataires de messagerie


16/09/2016

111


Introduction

• Qu’est ce qu’un destinataire de messagerie électronique ?

• Quels sont les différents types de destinataires de messagerie électronique ?

• Comment les administrer ?

16/09/2016

112


Description

• Les destinataires de messagerie électronique Exchange sont des objets AD avec extension de messagerie (personnes ou ressources) permettant de délivrer ou router des messages électroniques.

16/09/2016

113


Les types de destinatairesLes destinataires :

� Boîtes aux lettres d'utilisateur

� Contacts de messagerie

� Utilisateurs de messagerie

� Boîtes aux lettres de ressources

� Boîtes aux lettres partagées

� Groupes de sécurité et de distribution à extension messagerie

� Groupes de distribution dynamiques

� Boîtes aux lettres liées

� Boîtes aux lettres Office 365 (distante, en mode hybrid)

� Boîtes aux lettres de site

L’attribut principal qui les définit est msExchRecipientTypeDetails

Les comptes membre du groupe Administrateur du Domaine sans l’héritage auront des soucis sur l’accès mobile


PrincipeBoite aux lettres liées

Boite aux lettres de site

16/09/2016

114


Comment les administrer ?Via EAC

Via PowerShell :

� New-Mailbox ; Set-Mailbox ; Enable-Mailbox ; Disable-Mailbox ; Remove-Mailbox

� New-Contact ; Set-Contact ; Remove-Contact

� New-MailUser -Identity John -ExternalEmailAddress [email protected] ; Set-MailUser ; Remove-MailUser

� New-Mailbox –Room ; New-Mailbox –equiment

� New-Mailbox –Shared

� New-DistributionGroup -Name "Managers" -Type "Security“ ; New-DistributionGroup -Name Managers"Managers" -Type “Distribution“ ; Enable-DistributionGroup

� New-DynamicDistributionGroup -Name "Marketing Group" -IncludedRecipients "MailboxUsers,MailContacts" -ConditionalDepartment "Marketing","Sales“

� New-Mailbox -Name "Ayla Kol" -LinkedDomainController "DC1.alphormus.lab" -LinkedMasterAccount "alphormus.lab\john" -OrganizationalUnit Users -UserPrincipalName [email protected] -LinkedCredential:(Get-Credential alphormus.lab\administrator)

� Enable-RemoteMailbox “Laura" -RemoteRoutingAddress “[email protected] ; New-RemoteMailbox -Name "Yohan" –Password:(Get-Credential) -UserPrincipalName [email protected]

� Boite aux lettres de site à active dans SharePoint

16/09/2016

115



• Un destinataire de messagerie est TOUJOURS lié à un compte AD

• Les différents destinataires de messagerie dans Exchange

• Un destinataire de messagerie est un compte AD avec des Extensions de messagerie Exchange

• La gestion des différents destinataires

16/09/2016

116




Personnaliser une boîte aux lettres


16/09/2016

117


Introduction

•Que peut-on personnaliser sur une boîte aux lettres?

•Comment réaliser les différentes personnalisations sur les boîtes aux lettres ?

16/09/2016

118


Qu’allons nous personnaliser ?• Le quota d’une boîte aux lettres

• Désactiver l’antispam d’une boîte aux lettres

• Activer la super corbeille de récupération des éléments supprimés de toutes les boîtes aux lettres

• Désactiver l’accès mobile ActiveSync d’un groupe de boîtes aux lettres

• Désactiver l’accès OWA mobile d’une boîte aux lettres

• Désactiver l’accès Web OWA d’une boîte aux lettres

• La taille maximale autorisée en envoi et réception d’un message pour une boîte aux lettres

• Le nombre maximal de destinataires autorisés pour un message envoyé à une une boîte aux lettres

• Réinitialiser le mot de passe de toutes les boîtes aux lettres utilisateurs à la prochaine connexion

• Le déplacement d’une boîte aux lettres vers une autre base de données

16/09/2016

119


Comment réaliser ces personnalisations ?• Via EAC :

� Toutes les actions ne sont pas possible!

• Via PowerShell :� Set-Mailbox –identity [email protected] -ProhibitSendQuota 9GB -ProhibitSendReceiveQuota 10GB -IssueWarningQuota

8GB

� Set-Mailbox –identity [email protected] –AntispamBypassEnabled $True

� Get-Mailbox | Set-Mailbox –SingleItemRecoveryEnabled $true

� Get-User -Filter "Department -eq ‘Stagiaires'“ | Set-CasMaiblox –ActiveSyncEnabled $false

� Set-CasMailbox –identity [email protected] –OWAforDevicesEnabled $false

� Set-CasMailbox –identity [email protected] –OWAEnabled $false

� Set-Mailbox –identity [email protected] –MaxReceiveSize 5MB –MaxSendSize 5MB

� Set-Mailbox –identity [email protected] –RecipientLimits 100

� Get-Mailbox | Set-Mailbox –ResetPasswordOnNextLogon $true

� New-MoveRequest –Idenity [email protected] –TargetDatabase MyDB01 -BatchName “Test01”

Update-Recipient dans le cadre de FIM

16/09/2016

120



•Différentes options de base sur les boîtes aux lettres

•Les manipulations de base sur le boîtes aux lettres, en PowerShell

16/09/2016

121




Activer la boîte aux lettres d’archivage


16/09/2016

122


Introduction

•Comment peut-on disposer de l’archivage Exchange ?

16/09/2016

123


Pourquoi une boîte d’archivage ?• Etendre la boîte aux lettres

• Déplacer automatiquement les anciens messages vers la boîte d’archivage

• Eviter l’utilisation des PST locaux

• Stocker et sauvegarder les données archivées côté serveur

• Elle se monte et est visible automatiquement dans Outlook

• Elle n’est disponible que en mode Outlook connecté

16/09/2016

124


Comment réaliser ces personnalisations ?• Via EAC

• Via PowerShell:

� New-Mailbox -UserPrincipalName [email protected] -Alias test02 -Name test02 -Database “DB01“ –Archive

� Enable-Mailbox [email protected] –Archive

� Enable-RemoteMailbox test03 –Archive

� Get-Mailbox -Archive

New-MailboxImportRequest pour importer les PST

16/09/2016

125



•Activer la boîte aux lettre d’archivage

16/09/2016

126




Délégations de boîtes aux lettres


16/09/2016

127


Introduction

•Peut-on partager l’accès à une boîte aux lettres ?

•Comment peut-on partager l’accès à une boîte aux lettres ?

16/09/2016

128


Quel est le but ?• Permettre à une (ou plusieurs) personne d’accéder aux messages de

votre boîte aux lettres :

� Ajouter le droit FullAccess sur votre boîte pour cette personne déléguée

• Permettre à une (ou plusieurs) personne d’écrire en votre nom

� Ajouter le droit SendOnBehalf sur votre boîte pour cette personne déléguée

• Permettre à une (ou plusieurs) personne d’écrire à votre place

� Ajouter le droit SendAs sur votre boîte pour cette personne déléguée

• Définir le propriétaire d’une boîte de ressourceCeci ne peut pas s’appliquer sur tous les objets de messagerie, voir le tableau du TechNet

https://technet.microsoft.com/en-us/library/jj919240(v=exchg.160).aspx

16/09/2016

129


Comment peut-on faire dans Exchange ?• Via EAC

• Via PowerShell :

� Add-MailboxPermission -Identity “[email protected]“ –User [email protected] -AccessRights FullAccess -InheritanceType All –AutoMapping $true

� Set-Mailbox -Identity [email protected] –[email protected]

� Get-Mailbox -Identity “[email protected]“ | Add-ADPermission –User [email protected] -ExtendedRights "Send As“

� Add-MailboxPermission -Identity “Salle de Reunion Acceuil" -Owner “Emilie"

16/09/2016

130



•Les délégations entre boîtes aux lettres

16/09/2016

131




Les listes d’adresses


16/09/2016

132


Introduction

•Peut-on disposer d’un carnet de destinataires de messagerie électronique dans Exchange ?

•Comment peut-on configurer et personnaliser ce carnet ?

16/09/2016

133


Présentation• Elles regroupent des objets de messagerie de type destinataire, en fonction de

critères sur des attributs des comptes AD (requête LDAP)

• Elles permettent de structurer des utilisateurs, généralement elles sont utilisées pour représenter virtuellement la structure de l’entreprise dans ses différents services

• NE PAS CONFONDRE avec les groupes de distributions

• Elles sont liées à l’organisation Exchange, mais peuvent être segmentées logiquement en plusieurs organisations et ne pas être visibles par une certaine partie des utilisateurs

• Une organisation Exchange peut disposer de plusieurs listes d’adresses globales (GAL), par exemple dans le cadre d’une mutualisation de l’organisation Exchange, mais un utilisateur de messagerie ne peut se voir assigner qu’une seule liste d’adresse globale

16/09/2016

134


Les listes d’adresses par défaut• Dossiers publics

• La liste d’adresses globale (GAL)

• Tous les contacts

• Tous les groupes

• Tous les utilisateurs

• Toutes les salles

16/09/2016

135


Carnet d’adresses en mode hors connexion• Son nom plus connu est OAB pour Offline Address Book

• Uniquement pour Outlook

• Téléchargé en local

• Celui par défaut dans Exchange contient la liste d’adresse globale

• Permet aux utilisateurs non connectés au serveur, d’effectuer des recherches dans la liste d’adresse de l’OAB (par défaut la liste d’adresse globale)

• Il est généré par une boîte d’arbitration qui a l’attribut OABGen à $True, il peut y en avoir plusieurs dans l’organisation (plusieurs OAB par exemple) :

� Get-Mailbox -Arbitration | where {$_.PersistedCapabilities -like "*oab*"}

• Il est copié sur tous les serveurs Exchange d’accès client, récupéré à l’aide du répertoire virtuel OAB via les services Web (IIS)

16/09/2016

136


Les stratégies de carnet d’adresses• Il peut y avoir plusieurs dans l’organisation Exchange

• Il peut y en avoir qu’une seule attribuée par destinataire de messagerie

• Permettent de segmenter les vues des listes d’adresses, regroupés dans liste d’adresses globales (GAL) :

� Par exemple dans le cas d’une infrastructure mutualisée, ou entre la direction et les différents services

Elle comporte les éléments suivants :

� Une liste d’adresse globale

� Un carnet d’adresses en mode hors connexion

� Des listes d’adresses

� Une liste d’adresses de salles

16/09/2016

137


Les stratégies de carnet d’adressesSe crée en powerwhell via la commande suivante :

� New-AddressBookPolicy -Name "All Alphorm ABP" -AddressLists "\All Alphorm","\All Alphorm Mailboxes","\All Alphorm DLs","\All Alphorm Contacts" -RoomList "\All Alphorm-Rooms" -OfflineAddressBook "\Alphorm-All-OAB" -GlobalAddressList "\All Alphorm"

S’attribue à boîte aux lettre utilisateur via la commande suivante :

� Set-Mailbox -Identity [email protected] -AddressBookPolicy "All Fabrikam"

16/09/2016

138



• La définition d’une liste d’adresses

• Leur utilité

• Les segmentations possibles

• La fonction du carnet d’adresses en mode hors connexion

• Comment créer et attribuer une stratégie de carnet d’adresses

16/09/2016

139




Groupe de disponibilité de base de données


16/09/2016

140


Introduction

•Quelle solution de haute disponibilité propose Exchange 2016 ?

•Quel est son fonctionnement ?

•Comment peut-on l’implémenter ?

16/09/2016

141


Présentation• Connu sous le nom DAG pour Database Availability Group

• Un groupe de disponibilité est un service de haute disponibilité Exchange, dans la résilience de site et des bases de données de boîtes aux lettres. Il permet de regrouper plusieurs serveurs Exchange ayant le rôle de boîtes aux lettres (au maximum 16 par groupe), pour pouvoir répliquer des bases de données de boîtes aux lettres (les copies).

• Il permet la haute disponibilité des bases de données de boîtes aux lettres, et donc de prévenir les pannes et la coupure de service

• Il se base sur le service cluster de Windows Serveur

16/09/2016

142


Présentation• Il a besoin d’un serveur témoin avec un partage de fichiers pour

fonctionner, qui assure la cohérence, le départage et le temps de réponse des clusters

• Il se base sur le composant Active Manager pour fonctionner, qui comporte :

� Le gestionnaire Active Manager Principal (PAM) : détermine quelles copies de bases de données seront actives ou passives

� Le gestionnaire Active Manager de Secours (SAM) : communique l’état des bases de données aux autres membres du DAG et le serveur témoin, établit la santé de chaque base de données

16/09/2016

143


Fonctionnement

16/09/2016

144


Informations• Nécessite des autorisations Exchange

• Le nom d’un DAG doit être unique au sein de l’organisation Exchange (15 caractères)

• Une seule des copies de bases de données ne peut être active et montée en même temps

• Il est conseillé que les serveurs Exchange d’un même DAG aient la même version de Exchange Serveur (pour le moment la coexistence Exchange 2013 et Exchange 2016 n’est pas supportée au sein d’un même DAG)

• Exchange 2016 n’oblige plus d’avoir une adresse IP pour le DAG (aucune configuration d’enregistrements DNS n’est à prévoir)

16/09/2016

145


Informations• Le DAG ne peut pas être géré par les outils de cluster de basculement Windows

Serveur

• Le serveur témoin ne peut pas être un membre du DAG

• Un serveur témoin peut être commun à plusieurs DAG, mais avec des répertoires de partages différents pour chaque DAG

• Il est possible, et conseillé, de séparer le réseau d’accès client du réseau de réplication du DAG

• Les données des copies de bases de données seront stockées aux mêmes emplacements sur chaque membre du DAG les détenant

16/09/2016

146


Schéma

16/09/2016

147


Les actions de la configuration• Obligatoire :

� Création du DAG

� Ajout des membres du DAG

� Ajout des copies de bases de données sur les serveurs qui ne les ont pas

16/09/2016

148


Les actions de la configuration• Optionnel :

� Préparation d’un serveur témoin avec le groupe « alphorm.lab\Exchange Trusted Subsystem » à ajouter en tant que membre du groupe « Administrateurs » local si ce n’est pas un serveur exchange.

� Configuration des préférences d’activation des copies de bases de données

� Configuration des copies de bases de données avec un délai d’attente de la troncation des fichiers de logs après l’écriture en base de données

� Configuration des copies des bases de données avec un retard de relecture

� Configuration du réseau de réplication

16/09/2016

149


Configuration d’un DAG• Configurable via l’EAC :

� Dans la partie « Serveurs » , onglet « Groupes de disponibilités de base de données »

• Configurable via powershell :

� New-DatabaseAvailabilityGroup -Name DAG1 -WitnessServer DC-01 -WitnessDirectory C:\DAG1 –FileSystem NTFS

� Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EXCH-01

� Add-DatabaseAvailabilityGroupServer -Identity DAG1 -MailboxServer EXCH-02

� Add-MailboxDatabaseCopy -Identity DB1 -MailboxServer EXCH-02 -ActivationPreference 2

https://technet.microsoft.com/fr-fr/library/dd351107(v=exchg.160).aspx

16/09/2016

150



•Le fonctionnement de la haute disponibilité de boîtes aux lettres DAG

•La mise en place d’un DAG

16/09/2016

151


Présentation

Configuration du client



16/09/2016

152


Introduction

•Qu’est-ce que la partie accès client ?

•Quels sont les différents accès possibles ?

•Que regroupe la partie accès client ?

16/09/2016

153


Les méthodes d’accès

• Outlook client lourd

• Outlook sur le Web

• Accès mobile (ActiveSync)

• Accès (POP-IMAP)

16/09/2016

154


Vue globale

16/09/2016

155


Les services liés à la partie accès client• Gestion des connexions clientes

• Gestion de l’accès au centre d’administration Exchange (EAC)

• Gestion de la découverte automatique du profil utilisateur (Autodiscover)

• Gestion des fonctions Outlook MAPI & Outlook AnyWhere (Client Outlook lourd)

• Gestion de la distribution du carnet d’adresses en mode hors ligne (OAB)

• Gestion des accès à la vision des disponibilités du calendrier des boîtes aux lettres (via EWS)

• Gestion des Infos-Courrier (TIPS)

• Gestion des Services Web Exchange (EWS Exchange Web Services)

16/09/2016

156


Les bases• Basé sur les sites AD (namespaces)

• Basé sur les DNS

• Basé sur un certificat :

� Doit correspondre aux noms DNS et URLs configurés (par service)

� Nécessaire pour l’authentification et le chiffrement (Il faut également activer le SSL)

• Basé sur l’authentification :

� Authentification Windows intégrée

� Authentification Digest

� Authentification de base

� Authentification basée sur les formulaires

Penser à redonder les serveurs qui feront office d’accès client, les protéger, avoir une communication avec l’AD

16/09/2016

157


Le service de disponibilité de calendrier• Le service de disponibilité est utilisable pour les clients Outlook ou OWA

(assistant de planification). Il est déployé par défaut sur tous les serveurs et n’a besoin d’aucune configuration. Il permet au client de réaliser les actions suivantes :

� Récupération des informations de disponibilité dans le calendrier des boîtes aux lettres

� Affichage des heures de travail des boîtes aux lettres

� Affichage des suggestions d'heures de réunion en proposant les taux de participation des utilisateurs en fonction du créneau horaire choisi.

Dans le cadre d’une coexistence entre forêt AD ou mode Hybrid avec Office365, cela nécessite une configuration particulière avec des droits et des flux réseaux

16/09/2016

158


Les Infos-Courrier• L’Info-Courrier est une fonction Exchange permettant de fournir des

informations sur l'état de remise d'un email avant même que celui-ci ne soit envoyé au destinataire.

• Deux types existent :

1. Des infos-courrier par défaut

2. Des infos-courrier personnalisées

16/09/2016

159



•Les bases de la partie accès client

16/09/2016

160




Les DNS pour Exchange


16/09/2016

161


Introduction

• Quels sont les différents enregistrements nécessaires pour Exchange ?

• Quels sont leurs utilités ?

• Comment faut-il les configurer ?

16/09/2016

162


Présentation• Les enregistrements DNS sont essentiels au fonctionnement de

Exchange (tout comme l’AD) :

� Le service de découverte automatique

� Le routage de messages (MX)

� La connexion des clients

� Sécuriser le nom de domaine externe (SPF)

16/09/2016

163


Les différents enregistrements internes

FQDN Type d’enregistrement Valeur

alphorm.lab MX mail.alphorm.lab

mail.alphorm.lab A 192.168.5.11

owa-interne.alphorm.lab CNAME mail.alphorm.lab

autodiscover.alphorm.lab A 192.168.5.11

_autodiscover._tcp.alphorm.lab SRV mail.alphorm.lab

16/09/2016

164


Les différents enregistrements externesFQDN Type d’enregistrement Valeur

alphorm.com MX mail.alphorm.com

mail.alphorm.com A @IP public

owa-externe.alphorm.com CNAME mail.alphorm.com

autodiscover.alphorm.com A @IP public

_autodiscover._tcp.alphorm.com SRV mail.alphorm.com

D’autres enregistrement sont nécessaire pour Exchange Hybrid

16/09/2016

165


L’enregistrement de sécurité SPF

FQDN TTL en secondes Type d’enregistrement Valeur

@ 3600 TXT v=spf1a mx +ip4:xx.xx.xx.xx ip6:yy.yy.yy.yy –all

• Ceci n’est qu’un exemple de base• Il peut être également nécessaire de configurer le reverse DNS en externe

• SPF veut dire Sender Policy Framework• Il va vous permettre de sécuriser un minimum votre nom de domaine

public, en définissant la liste des serveurs de messagerie autorisés (ou non)• Il permet également à certaines organisations de messagerie d’accepter ou

non, en vérifiant cette enregistrement elles regardent si votre organisation de messagerie est bien autorisée à émettre des messages pour votre nom de domaine public :

16/09/2016

166


Comment vérifier ?

• Nslookup

• MX Toolbox

• Microsoft Remote Connectivity Analyzer

• Outlook et Outlook sur le Web

16/09/2016

167



•Les différents enregistrements liés à Exchange

•A quoi sert chaque enregistrement

•Comment les configurer

•Comment les vérifier

16/09/2016

168




Configuration du certificat Exchange


16/09/2016

169


Introduction

• Pourquoi Exchange utilise des certificats ?

• Quels sont les types de certificats nécessaires pour Exchange ?

• Comment mettre en place un certificat pour Exchange ?

16/09/2016

170


Présentation

• Le certificat Exchange est nécessaire pour authentifier et chiffrer les connexions clients

• Le certificat doit comporter le ou les noms DNS prévus et configurés sur les serveurs

Peut avoir de sérieux impacts sur les connexions clients, faire attention en production

16/09/2016

171


Les types de certificats Exchange• Certificat auto-signé :

� Dans le cadre d’un LAB par exemple

� Nécessite une configuration sur tous les ordinateurs clients : être validé (autorisé) par les clients pour ne pas avoir d’avertissement par les clients de messagerie ou les navigateurs internet

• Certificat délivré par une autorité de certification PKI INTERNE :

� Généralement utilisé par les entreprises

� Généralement de type SAN pour embarquer des noms DNS alternatifs

� Nécessite d’être validé (autorisé) par les clients afin de ne pas avoir d’avertissement par les clients de messagerie ou les navigateurs internet

� Nécessite une configuration sur les ordinateurs clients NON JOINTS AU DOMAINE pour ne pas avoir d’avertissement

16/09/2016

172


Les types de certificats Exchange• Certificat délivré par une autorité de certification PKI EXTERNE (publique reconnue) :

� Payant

� Généralement de type WILCARD, c’est un certificat avec un seul nom DNS pour payer moins cher (*.nomdedomaine.com)

� Aura l’avantage de ne pas émettre de message d’avertissement par les clients de messagerie ou les navigateurs internet

� Ne nécessite aucune configuration des clients

16/09/2016

173


Les services Exchange utilisant le certificat• Le certificat Exchange est utilisé par les services suivants :

� SMTP

� IMAP

� POP

� IIS

� UM

� UM call router

16/09/2016

174


Les étapes de la configuration• Création d’une demande de signature de certificat (CSR pour Certificate

Signing Request), depuis le serveur Exchange, par l’émission d’une clé publique

• Signature et validation de la demande de certificat par l’autorité de certification (interne ou externe), qui retourne un certificat d’identité signé

• Importation dans Exchange du certificat signé

• Activation du certificat pour les services Exchange voulus

• (Redémarrage des services Exchange configurés)

16/09/2016

175


Les moyens de réalisation dans Exchange• Via EAC

• Via Powershell :

� New-ExchangeCertificate -GenerateRequest -RequestFile "\\EXCH-01.alphorm.lab\C$\AlphormWilcardCert.req" -FriendlyName "Alphorm.lab Wildcard Certificate" -SubjectName "C=FR,CN=*.alphorm.com«

OU

� New-ExchangeCertificate -GenerateRequest -RequestFile "\\EXCH-01.alphorm.lab\C$\AlphormSANCert.req" -FriendlyName "Alphorm.lab SAN Certificate" -SubjectName "C=FR,CN=mail.alphorm.com" -DomainName "autodiscover.alphorm.lab, autodiscover.alphorm.com,legacy.alphorm.lab,mail.alphorm.lab,mail.alphorm.com,owa-interne.alphorm.lab,owa-externe.alphorm.com"

� Import-ExchangeCertificate -FileName c:\MySignedCert.p7b

� Get-ExchangeCertificate -DomainName « mail.alphorm.com" | fl

� Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX -Services "POP,IMAP,SMTP,IIS"

16/09/2016

176


Qu’avons nous vu ?

•Le certificat Exchange est obligatoire pour sécuriser les connexions clients ☺

•Les types de certificats et services

•Les étapes de la mise en place

16/09/2016

177




Le service de découverte automatique


16/09/2016

178


Introduction

• Peut-on configurer automatiquement nos clients de messagerie ?

• Comment fonctionne cette technologie ?

• Comment peut-on la mettre en place ?

16/09/2016

179


A quoi sert-il ?• La fonction Autodiscover (découverte automatique) permet de

configurer automatiquement les profils des comptes de boîtes aux lettres Outlook ou autres clients des Services Web Exchange (EWS)

• Cela aide et facilite la vie aux utilisateurs

• Fonctionne en interne comme en externe (si autorisé et configuré)

• Fonctionne également en mode Hybrid, forêt de ressources et forêts multiples

16/09/2016

180


Les principales phases• Identifier les serveurs de point de terminaison de découverte automatique, puis établir

une liste, via :

1. Objet SCP dans l’AD (en interne)

2. Le domaine extrait de l’adresse de messagerie à configurer

• Tentative de connexion en suivant la liste établie (en https)

• Autre tentatives de connexion

1. Demande « Get » non authentifiée sur l’URL de type http://autodiscover.alphorm.lab/autodiscover/autodiscover.xml

2. Requête DNS sur l’enregistrement SRV de type _autodiscover._tcp.alphorm.lab

• Récupération en local du fichier XML (URLs) après la connexion établie, puis lecture des informations pour la configuration du client de messagerie

https://msdn.microsoft.com/fr-fr/library/office/jj900169(v=exchg.150).aspx

16/09/2016

181


Les principales phases schématisées

16/09/2016

182


La configuration1. Enregistrements DNS :

� Interne

� Externe

2. Exchange (la partie accès client) :

� Les URLs (en powershell ou via EAC)

� Les types d’authentifications (en powershell ou via EAC)

3. Vérifier la configuration :

1. En interne via powershell avec la cmdlet Test-OutlookConnectivity

2. En externe via Microsoft Remote Connectivity Analyzer https://testconnectivity.microsoft.com/

4. Vérifier le fonctionnement :

1. Via un client en interne

2. Via un client en externe

16/09/2016

183



•L’autodiscover c’est génial ☺

•Son principe de fonctionnement

•Comment le configurer

16/09/2016

184




Configuration des URLsd’accès clients


16/09/2016

185


Introduction

•Quels sont les différentes URLs d’accès client à personnaliser ?

•Comment peut-on les configurer ?

16/09/2016

186


Que faut-il configurer ?• Les différentes URLs de service qui sont obligatoires pour le bon fonctionnement des

accès clients

• Les dossiers virtuels : partie interne et externe

� OWA

� MAPI

� AnyWhere

� ActiveSync

� EWS

� OAB

� ECP (d’administration EAC)

� Autodiscover

� Powershell

16/09/2016

187


Comment peut-on les configurer ?• Via EAC :


� Set-OWAVirtualDirectory -Identity "EXCH-01\OWA (Default Web Site)" -InternalUrl https://owa-interne.alphorm.lab/owa -ExternalUrl https://owa-externe.alphorm.com/owa -basicAuthentication $true -FormsAuthentication $true –WindowsAuthentication $false

� Set-MapiVirtualDirectory -Identity "EXCH-01\mapi (Default Web Site)" -InternalUrl https://mail.alphorm.lab/mapi -ExternalUrl https://mail.alphorm.com/mapi -IISAuthenticationMethods NTLM

� Set-OutlookAnywhere -Identity "EXCH-01\rpc (Default Web Site)" -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $true -IISAuthenticationMethods NTLM –InternalClientAuthenticationMethod NTLM –ExternalClientAuthenticationMethod NTLM

� Set-ActiveSyncVirtualDirectory -Identity "EXCH-01\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl https://mail.alphorm.lab/Microsoft-Server-ActiveSync -ExternalUrl https://mail.alphorm.com/Microsoft-Server-ActiveSync -basicAuthEnabled $true –WindowsAuthEnabled $true –CompressionEnabled $true –ClientCertAuth ignore

� Set-WebServicesVirtualDirectory -Identity "EXCH-01\EWS (Default Web Site)" -ExternalUrl https://mail.alphorm.com/EWS/exchange.asmx -BasicAuthentication $true -InternalUrl https://mail.alphorm.lab/EWS/exchange.asmx -MRSProxyEnabled $false –WindowsAuthentication $true

16/09/2016

188


Comment peut-on les configurer ?� Set-OABVirtualDirectory -Identity "EXCH-01\OAB (Default Web Site)" -InternalUrl https://mail.alphorm.lab/oab -

ExternalUrl https://mail.alphorm.com/oab -basicAuthentication $true –WindowsAuthentication $true –RequireSSL $true

� Set-ECPVirtualDirectory -Identity "EXCH-01\ECP (Default Web Site)" -InternalUrl https://owa-interne.alphorm.lab/ecp -basicAuthentication $true -FormsAuthentication $true –WindowsAuthentication $false –AdminEnabled $true

� Set-ClientAccessService -Identity EXCH-01.alphorm.lab -AutoDiscoverServiceInternalUri https://autodiscover.alphorm.lab/Autodiscover/Autodiscover.xml

� Set-PowerShellVirtualDirectory -Identity "EXCH-01\PowerShell (Default Web Site)" -InternalUrl https://mail.alphorm.lab/powershell -basicAuthentication $false –WindowsAuthentication $true

• Exécuter un la commande : IISReset

16/09/2016

189



•La configuration de nos URLs d’accès client (renseignées dans le certificat exchange)

16/09/2016

190




Validation du fonctionnement du client Outlook 2016


16/09/2016

191


Introduction

• Notre configuration est-elle bien faite, ou avons-nous oublié des éléments ?

• Notre client de messagerie favori peut-il se configurer automatiquement ?

• Peut-il également se connecter et ouvrir une boîte aux lettres ?

• Peut-il accéder aux ressources ?

16/09/2016

192


Plan d’action

• Vérification du certificat racine déployé dans la ruche de certificat du client

• Configuration du profil Outlook 2016 via le service de découverte automatique et ses différentes options

• Vérification

16/09/2016

193



•Notre configuration fonctionne ☺

16/09/2016

194


Les principes du routage de messages



Configuration du routage

16/09/2016

195


Introduction

•Comment fonctionne la distribution des messages depuis et vers l’extérieur ?

•Comment cela fonctionne-t-il en interne et sur notre serveur Exchange ?

16/09/2016

196


Les bases du routage• Le routage Exchange est basé principalement sur :

� Le protocole SMTP

� DNS

� L’AD

� Les services Exchange

16/09/2016

197


Le service de transport des messages• Le service de transport de messages est composé de trois parties regroupées dans le rôle

de boîte aux lettres :

� Le service de Transport Frontal (et Transport Edge) :

• Effectue la transmission par proxy

� Le service de Transport (Hub) :

• Achemine les messages entre le service de Transport Frontal et le service de transport de boîte aux lettres

� Le service de Transport de boîte aux lettres :

• Le dépôt du transport de boîte aux lettres (mise en file d’attente)

• La remise du transport de boîte aux lettres (remise des messages dans la base de données via le catégoriseur)

• Gère la communication RPC avec la base de données

16/09/2016

198


Schéma général du routage des messages

16/09/2016

199


Les composants du transport des messages� Réception SMTP :

• Basée sur les services de transport frontal, transport Hub et transport de boîte aux lettres

� Envoi SMTP :

• Basé sur le service de transport frontal et le service de transport Hub

� Les répertoires de collecte et de relecture :

• Le répertoire de collecte permet au service de transport Hub de traiter et remettre un fichier texte formaté correctement

� La file d'attente de soumission :

• Stocke tous les messages sur un disque dans l’attente que le catégoriseur les traite avant de les remettre

� Le catégoriseur :

• Classe les messages par catégorie

� La file d'attente de remise :

• Contient les messages que le serveur n'a pas remis

� Le pilote de banque d'informations :

• Récupère des messages dans la boîte d'envoi de l'expéditeur, puis les envoie au composant sélecteur Hub.

16/09/2016

200


Schéma du routage des messages interne

16/09/2016

201



•Les bases du fonctionnement du routage de message avec Exchange

16/09/2016

202




Les connecteurs


16/09/2016

203


Introduction

• Quels sont les éléments qui permettent d’interconnecter et de distribuer les messages entre les différents serveurs de messagerie (interne ou externe) ?

• Quelle est la relation entre le routage des messages et ces éléments ?

• Comment les vérifier et les configurer ?

16/09/2016

204


Présentation• Ils sont les points d’entrées et de sorties des flux des messages

• Ils permettent l’envoi et la réception des messages (en interne ou en externe)

• Il en existe 2 types :

1. Les connecteurs de réception

2. Les connecteurs d’envoi

• Ils sont basés sur le protocole SMTP et des droits AD

16/09/2016

205


Connecteurs de Réception• Il y en a 5 par défaut (3 pour la partie frontale et 2 pour la partie dorsale) :

1. « EXCH-01 par défaut » : Accepte des connexions des serveurs de boîtes aux lettres exécutant le service de transport et de serveurs EDGE.

2. « EXCH-01 proxy client » : Accepte les connexions provenant de serveurs frontaux. En règle générale, les messages sont envoyés à un serveur frontal via SMTP.

3. « EXCH-01 frontal par défaut » : Accepte les connexions provenant d’expéditeurs SMTP via le port 25. C’est le point d’entrée habituel des messages à destination de votre organisation.

4. « EXCH-01 frontal proxy sortant » : Accepte les messages provenant d’un connecteur d’envoi sur un serveur principal, le proxy frontal étant activé.

5. « EXCH-01 frontal client » : Accepte les connexions sécurisées lorsque le protocole TLS (Transport Layer Security) est appliqué.

• La portée est au niveau d’un seul serveur

• Ils écoutent les connexions entrantes

16/09/2016

206


Les types de connecteurs de réception• Le type de connecteur de réception détermine les groupes d’autorisations par défaut attribués au connecteur

ainsi que les mécanismes d’authentification disponibles :

� Client :

• Généralement pour les connexions clients qui n’utilisent pas Microsoft Office Outlook (scripts ou applications). Il peut utiliser l’authentification TLS

� Personnalisé :

• Habituellement utilisé dans le cadre d’inter-forêts ou si votre organisation reçoit des messages provenant d’un agent de transfert de messages SMTP

� Interne :

• Utilisé pour les communications entre les serveurs qui exécutent le service de transport ou entre des serveurs de boîtes aux lettres qui exécutent le service de transport et des agents de transfert tiers

� Internet :

• Utilisé pour recevoir des messages SMTP d’Internet (avec le droit anonyme)

� Partenaire :

• Utilisé pour des communications sécurisées avec un partenaire

16/09/2016

207


Schéma du routage de messages interne

16/09/2016

208


Connecteurs d’envoi• Il n’y en a pas de configuré par défaut

• La portée est au niveau de l’organisation

• Plusieurs serveurs peuvent être source d’envoi pour un seul connecteur, ce qui permet de faire de la haute disponibilité

• Se basent sur des enregistrements MX ou des hôtes de destinations (SMTP relais)

16/09/2016

209


Les types de connecteurs d’envoi• Le type de connecteur d’envoi détermine les groupes d’autorisations par défaut attribués

au connecteur ainsi que les mécanismes d’authentification disponibles :

� Personnalisé :

• Utilisé pour envoyer des messages SMTP pour des usages spécifiques

� Interne :

• Utilisé pour envoyer des messages SMTP vers l’interne

� Internet :

• Utilisé pour envoyer des messages SMTP vers Internet

� Partenaire :

• Utilisé pour des communications sécurisées avec un partenaire

16/09/2016

210



•Les connecteurs de réception pour la réception des messages

•Les connecteurs d’envoi pour l’envoi des messages

16/09/2016

211




Les rapports de remise pour administrateurs


16/09/2016

212


Introduction

•Quel est le moyen de vérifier l’envoi ou la réception d’un message ?

•Comment peut-on voir son acheminement ?

16/09/2016

213


Présentation• Permet le suivi des messages

• Ils permettent d’effectuer des recherches dans les logs de transport

• Ils sont indispensables pour un support technique

• Uniquement les informations de transit sont disponibles et pas le contenu des messages

• Ils sont basés sur des critères de recherche, par exemple :

� L’adresse de messagerie de l’émetteur

� L’adresse de messagerie du destinataire

� Une date et heure pour une recherche à partir d’un moment précis

� Une date et heure pour une recherche jusqu’à un moment précis

� Un sujet de message

� …

16/09/2016

214


Comment effectuer cette recherché ?• Via l’EAC

• Via powershell:

� Get-MessageTrackingLog -resultSize Unlimited -sender:"[email protected]" -recipient: "[email protected]" –MessageSubject "Exchange2016"

� Get-TransportService | Get-MessageTrackingLog -resultSize Unlimited -sender:"[email protected]" -recipient: "[email protected]" -Start "08/01/2016 12:01:00 PM" -End "12/31/2016 11:59:00 PM" | Select-Object TimeStamp, EventId, Source, Sender, clientIP, ServerIP, ClientHostName, ServerHostName, SourceContext, ConnectorID, InternalMessageID, MessageID, {$_.Recipients}, MessageSubject, Directionality, returnpath, messageinfo, totalbytes | Export-Csv -Delimiter “;” -Notype C:\MyTracking.csv

16/09/2016

215



•La puissance de l’outil de recherche de suivi des messages pour vérifier qu’un collègue a bien reçu notre message pour le barbecue ☺

16/09/2016

216


Balises et Stratégies de rétention



La gestion de la conformité

16/09/2016

217


Introduction

•Comment peut-on mettre en place des politiques de retenues de messages ?

16/09/2016

218


Présentation• Les stratégies de rétention existent depuis Exchange 2000, mais ont évolué

• Permet de gérer le cycle de vie des messages, par exemple pour respecter la législation

• Les stratégies de rétention permettent de « nettoyer » automatiquement le contenu des boites des utilisateurs et fonctionnent par le biais des balises de rétention et grâce au service de gestion des enregistrements (MRM)

• Basé sur l’association de stratégies et de balises de rétention

• S’appliquent sur les boîtes aux lettres et leurs dossiers

• Elles sont mises à disposition et visibles par les utilisateurs

16/09/2016

219


Les balises de rétention• Le type de balise :

• L’action de rétention :

� Supprimer et autoriser la récupération

� Supprimer définitivement

� Déplacer vers l’archive

• La période de rétention :

� Jamais

� Lorsque l’élément est plus âgé de (en jours)

• Commentaire

16/09/2016

220


Comment ca marche ?1. Création de balises de rétention

2. Création de stratégies de rétention

3. Association des balises de rétention aux stratégies de rétention

4. Application des stratégies de rétention (aux boîtes aux lettres)

5. Traitement des boîtes aux lettres par l’Assistant dossier géré

6. Traitement des boîtes aux lettres

16/09/2016

221



•Comment appliquer des règles automatiques de gestion des messages dans les dossiers

16/09/2016

222




Les règles de transport


16/09/2016

223


Introduction

•Qu’est-ce que les règles de transport ?

•Comment peut-on en mettre en place ?

16/09/2016

224


Présentation• Connues également sous le nom de règles de flux de messagerie

• Semblables aux règles du client Outlook mais

� Elles s’appliquent à toute l’organisation Exchange

� Elles sont consommatrices de ressources

� Elles permettent d’enregistrer les échanges de messages (le contenu)

� Elles recherchent des messages qui correspondent à certains critères et effectuent une action voulue (on peut presque tout faire)

� Elles agissent pendant le transport du message, avant la remise dans les boîte aux lettres

• https://technet.microsoft.com/fr-fr/library/dd638183(v=exchg.160).aspx

16/09/2016

225


Réaliser une règle de transport ?• Via EAC :

� Dans la partie « Flux de messagerie » , « règles »

� Il existe des règles prédéfinies et des règles manuelles


� New-TransportRule -Name “Blocage de messages des stagiaires" -SenderADAttributeContainsWords “DisplayName:stagiaire“ –SentToScope “NotInOrganization” -RejectMessageEnhancedStatusCode "5.7.1" -RejectMessageReasonText "Email messages sent outside Alphorm is not authorized.“

16/09/2016

226



•Comment contrôler finement le flux de mails qui transite

16/09/2016

227




Les règles de journalisation


16/09/2016

228


Introduction

•Qu’est-ce que les règles de journalisation ?

•Comment fonctionnent-elles ?

•Comment peut-on les mettre en place ?

16/09/2016

229


Présentation

• Elles existent depuis Exchange 2007

• Elles permettent d’enregistrer les échanges de messages (le contenu)

• Conçu plutôt pour respecter le cadre légal (ou éventuellement diagnostiquer)

• Elles sont basées sur des règles de transport

16/09/2016

230


Le fonctionnement• Elles sont applicables à un ou plusieurs destinataires :

� Boîte aux lettres Exchange

� Groupe de distribution

� Utilisateur de messagerie

� Contact

• Elles s’appliquent à un périmètre (dit étendue) :

� Messages internes uniquement (scope internal)

� Messages externes uniquement (scope external)

� Tous les messages (scope global)

• Le résultat d’une règle est envoyé à un destinataire de messagerie

16/09/2016

231


Comment réaliser une règle ?• Via EAC


� New-JournalRule -Name “Compta" -JournalEmailAddress “journal" -Scope External -Recipient [email protected] -Enabled $true

16/09/2016

232



•Les règles de journalisation

16/09/2016

233




La prévention des pertes de données


16/09/2016

234


Introduction

•Quelle solution Exchange embarque-t-il pour prévenir de la perte des données confidentielles ?

•Comment fonctionnent-elle ?

•Comment peut-on la mettre en place ?

16/09/2016

235


Présentation• Ce sont des règles de conformité pour prévenir la divulgation des données sensibles

• Connues sous l’abréviation DLP (Data Lost Prévention)

• Elles sont basées sur des règles de transport

• Elles analysent les messages

• Elles réagissent en fonction de critères (mots clés, correspondance de dictionnaire, évaluation d’expressions…)

• Elles informent les utilisateurs avant l’envoi de messages (semblables aux infos-courrier)

• Depuis Exchange 2013 SP1, elles sont également affichées via OWA et OWA Mobile

• Depuis Exchange 2013 SP1, elles intègrent la création d’empreinte numérique de document (pour les formulaires standard)

16/09/2016

236


Comment réaliser une règle? • Via EAC :

� Dans la partie « Gestion de la conformité » , « Prévention des pertes de données »

� Il existe des règles prédéfinies et des règles manuelles


� Get-ClassificationRuleCollection ; New-ClassificationRuleCollection ; Remove-ClassificationRuleCollection ; Set-ClassificationRuleCollection

� Get-DataClassification ; New-DataClassification ; Remove-DataClassification ; Set-DataClassification

� Get-DlpPolicy ; New-DlpPolicy ; Remove-DlpPolicy ; Set-DlpPolicy

� Export-DlpPolicyCollection ; Import-DlpPolicyCollection

� Get-DlpPolicyTemplate ; Import-DlpPolicyTemplate ; Remove-DlpPolicyTemplate

� New-Fingerprint

� Get-PolicyTipConfig ; New-PolicyTipConfig ; Remove-PolicyTipConfig ; Set-PolicyTipConfig

16/09/2016

237



•Les règles pour prévenir de la perte des données sensibles

•La mise en œuvre via l’interface graphique

16/09/2016

238




L’audit


16/09/2016

239


Introduction

•Qu’est-ce que l’audit Exchange ?

•Quelles sont ses différentes parties ?

•Dans quel but ?


16/09/2016

240


Présentation• L’audit dans Exchange existe depuis Exchange 2010

• L’audit est une fonction de génération de rapports

• On le retrouve sous deux formes :

1. Les journaux d’audit des administrateurs

• Permet d’enregistrer et rechercher les différentes cmdlets Exchange lancées sur toute l’organisation Exchange, basés sur les droits AD (RBAC)

• La configuration s’applique au niveau de l’organisation

2. Les journaux d’audit des boîtes aux lettres

• Permet d’enregistrer et rechercher les différents accès aux lettres boîte aux lettres, basés sur les droits AD

• La configuration s’applique au niveau d’une boîte aux lettres

16/09/2016

241


Les journaux d’audit administrateurs• Administration via powershell :

� Vérification de l’activation par défaut :

• Get-AdminAuditLogConfig | FL AdminAuditLogEnabled

� Activation :

• Set-AdminAuditLogConfig -AdminAuditLogEnabled $True

• Consultation des journaux via l’EAC :

� Dans la partie « Gestion de la conformité » , « audit », puis sélectionnez « Exécuter le rapport du journal d’audit de l’administrateur »

• Consultation des journaux via Powershell :

� Search-AdminAuditLog : affichera le résultat dans la console powershell

� New-SearchAdminAuditLog : enverra le résultat sous forme XML dans une boîte aux lettre spécifiée

16/09/2016

242


Les journaux d’audit de boîtes aux lettres• Il faut tout d’abord l’activer sur les boîtes aux lettres à surveiller, uniquement en

powershell :

� Set-Mailbox -Identity “[email protected]" -AuditEnabled $true

• Par défaut seul les enregistrements ci-dessous sont journalisés :

� Les actions des administrateurs

� Les actions des délégués

� Les actions des propriétaires spécifiées

• Pour activer plus d’enregistrement comme la suppressions de message, la copie de messages… il est possible de lancer ce type de commande :

� Set-Mailbox -Identity “[email protected]" -AuditDelegate SendAs,SendOnBehalf,Move,SoftDelete,HardDelete –AuditAdmin MessageBind,FolderBind,copy,move –AuditOwner HardDelete -AuditEnabled $true

16/09/2016

243


Les journaux d’audit de boîtes aux lettres• Consultation des journaux via l’EAC :

� Dans la partie « Gestion de la conformité » , « audit », puis « Exécuter un rapport d’accès aux boîtes aux lettres par des non-propriétaires »

• Consultation des journaux via Powershell :

� Search-MailboxAuditLog : effectuera une recherche synchrone dans les entrées du journal d’une seule boîte aux lettres, et affichera le résultat dans la console powershell

� New-MailboxAuditLogSearch : effectuera une recherche asynchrone dans les entrées du journal d’une ou plusieurs boîtes aux lettres enverra le résultat sous forme XML dans une boîte aux lettres spécifiée

16/09/2016

244



• A quoi servent les audits

• Effectuer une recherche dans les journaux d’audit d’administrateurs

• Effectuer une recherche dans les journaux d’audit des boîtes aux lettres

16/09/2016

245




La découverte électronique et le blocage sur place


16/09/2016

246


Introduction

•Qu’est-ce que c’est ?

•Qu’est-ce que ça regroupe ?


16/09/2016

247


Présentation• Ces services Exchange permettent d’aider les administrateurs à maintenir la

sécurité et à respecter la législation en cas de litige, en prévenant la suppression définitive d’éléments de messagerie

• Le blocage sur place d’une boîte aux lettres (InPlace Hold eDiscovery) :

� C’est une recherche qui s’applique au niveau d’une boîte aux lettres

� Permet d’effectuer une recherche d’éléments dans les boîtes aux lettres (utilisateurs ou dossiers publics)

� Permet de rechercher les éléments supprimés, les versions originales d’éléments modifiés

� Par défaut nécessite d’être membre du groupe de sécurité RBAC « Gestion de la l’organisation » et « Gestion de la détection »

� Permet de conserver l’état du contenu d’une boîte aux lettres ou dossiers publics (et son archive), en conservant le contenu, les éléments supprimés, les versions originales des éléments modifiés

16/09/2016

248


Présentation• La conservation d’une boîte aux lettres (Litigation-Hold) :

� La configuration s’applique au niveau d’une boîte aux lettres

� Par défaut nécessite d’être membre du groupe de sécurité RBAC « Gestion de la l’organisation »

� Nécessite 60 minutes avant de prendre effet

� Permet de conserver l’état du contenu d’une boîte aux lettres ou dossiers publics (et son archive), en conservant le contenu, les éléments supprimés, les versions originales des éléments modifiés

• Le blocage de rétention (Retention-Hold) :

� Permet de suspendre le traitement des stratégies (stratégies de rétention) d’une boîte aux lettres, principalement utilisé dans le cas d’un utilisateur absent momentanément

� Par défaut nécessite d’être membre du groupe de sécurité RBAC « Gestion des Enregistrements »

16/09/2016

249


In-Place Hold eDiscovery• Via l’EAC :

� Dans la partie « Gestion de la conformité » , « Découverte électronique et conservation inaltérables », puis sélectionnez « Nouveau+ »


� Activation:

• New-MailboxSearch “Blocage sur place stagiaire" -SourceMailboxes “[email protected]" -InPlaceHoldEnabled $true

� Désactivation:

• Set-MailboxSearch “Blocage sur place stagiaire” -InPlaceHoldEnabled $false

� Suppression:

• Remove-MailboxSearch Blocage sur place stagiaire”


16/09/2016

250


Litigation-Hold• Via l’EAC :

� Dans la partie « Destinataires » , « boîtes aux lettres », puis sélectionnez la boîte aux lettre à configurer, « modifier », « fonctionnalités de boîte aux lettres », puis « activer » sur « conservation pour litige »


� Activation:

• Set-Mailbox [email protected] -LitigationHoldEnabled $true -LitigationHoldDuration 2555

� Désactivation:

• Set-Mailbox [email protected] -LitigationHoldEnabled $false

https://technet.microsoft.com/fr-fr/library/dn743673(v=exchg.160).aspx

16/09/2016

251


Retention-Hold• Uniquement via Powershell :

� Activation :

• Set-Mailbox [email protected] -RetentionHoldEnabled $true

� Désactivation :

• Set-Mailbox [email protected] -RetentionHoldEnabled $false

� Vérification :

• Get-Mailbox [email protected] | Select RetentionHoldEnabled


16/09/2016

252



•Ce qu’est le blocage sur place

•Les différentes utilisations possibles

16/09/2016

253


Antispam et antimalware

La sécurité dans Exchange 2016



16/09/2016

254


Introduction

• Que propose et embarque Exchange pour la protection des messages ?

• Quels sont les différents éléments ?

• A quoi sert chaque élément ?

• Comment peut-on configurer ces éléments de sécurité ?

16/09/2016

255


Présentation• Ces services nécessitent un accès à internet pour leurs mises à jour

• La protection Antispam :

� Permet de se protéger contre les messages indésirables (pub)

� Disponible depuis Exchange 2010

� Sous forme d’agents et de valeurs de priorités

� Basée sur le service de transport (fonctionne comme les agents intégrés au transport)

� Activée par défaut sur les serveurs ayant le rôle EDGE

� Tous les agents ne sont pas activables avec le rôle de boîtes aux lettres

� Rejette/met en quarantaine les messages identifiés comme non légitimes

16/09/2016

256


Présentation• La protection Antimalware :

� Permet de mettre en quarantaine les messages potentiellement infectés

� Disponible depuis Exchange 2013

� Il est disponible uniquement sur les serveurs ayant le rôle de boîtes aux Lettres

� Il est activé par défaut

16/09/2016

257


Agents Antispam sur les serveurs EDGE• Agent de filtrage des connexions entrantes

• Agent de filtrage des destinataires

• Agent de filtrage des pièces jointes

16/09/2016

258


Agents Antispam sur les serveurs de boîtes aux lettres

• Agent de filtrage des expéditeurs

• Agent d’ID des expéditeurs (usurpation d’identité)

• Agent de filtrage de contenu (SCL)

• Agent d’analyse de protocole pour de la réputation de l’expéditeur (SRL)

16/09/2016

259


Configuration sur un serveur de boîtes aux lettres

• En powershell :

� & $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

� Restart-Service MSExchangeTransport

� Get-TransportAgent

� Set-TransportConfig -InternalSMTPServers @{Add=“192.168.5.11"}

� Set-ContentFilterConfig -Enabled $true -InternalMailEnabled $true -ExternalMailEnabled $true [email protected] -BypassedSenders [email protected] -BypassedSenderDomains *.microsoft.com

� Add-ContentFilterPhrase -Influence GoodWord -Phrase “Barbecue“

� Add-ContentFilterPhrase -Influence BadWord -Phrase “greve“

� Set-ContentFilterConfig -SCLDeleteEnabled $true -SCLDeleteThreshold 9 -SCLRejectEnabled $true -SCLRejectThreshold 8 -SCLQuarantineEnabled $true -SCLQuarantineThreshold 7

� Set-ContentFilterConfig -OutlookEmailPostmarkValidationEnabled $true

� Set-ContentFilterConfig -RejectionResponse "Your message was rejected because it appears to be SPAM."

� Set-SenderReputationConfig –Enabled $true –InternalMailEnabled $false –ExternalMailEnabled $true

16/09/2016

260



• La sécurité n’est pas une option si l’on ne veut pas se faire spammer ☺

• Pour accompagner cette solution, il est possible de mettre en œuvre des règles de transport

16/09/2016

261




Les autorisations RBAC


16/09/2016

262


Introduction

•Qu’est-ce qu’une autorisation RBAC ?

•A qui s’applique-t-elle ?

•Comment la mettre en place ?

16/09/2016

263


Présentation• RBAC veut dire Role Based Access Control

• Les autorisations RBAC sont des droits AD pour Exchange

• Elles sont des modèles d’autorisations sur Exchange, pour déléguer un périmètre

• Elles s’appliquent à deux populations:

1. Pour les administrateurs

2. Pour les utilisateurs

16/09/2016

264


Présentation• Ces autorisations sont appliquées sur des groupes, on retrouve deux types de groupe:

1. Les groupes de rôles intégrés :

• Ce sont des groupes par défaut dans Exchange, qui sont créés dans le domaine racine de l’organisation

• Chacun est préconfiguré avec certains rôles Exchange

2. Les groupes de rôles de gestion :

• Ce sont des groupes universels de sécurité, personnalisables où l’on applique des rôles Exchange

• Ils ont une portée, dite « étendue » de type :

- Normale

- Exclusive

16/09/2016

265


Le principe de fonctionnement

Autorisations RBAC

Qui

OùQuoi

16/09/2016

266


Le principe de fonctionnement

16/09/2016

267


Configuration• Via l’EAC :

� Dans la partie « Autorisations »


� New-ManagementRole “Project" –Parent "Address Lists"

� New-RoleGroup -Name “Project Exchange 2016" -Roles "Project" [email protected]

� New-ManagementRoleAssignment –Role "Edge Subscriptions" -SecurityGroup "Project Exchange 2016"

16/09/2016

268


Configuration• Via l’EAC :

� Dans la partie « Autorisations »


� New-RoleGroup -Name “Limitation des destinataires" -Roles "Mail Recipients", "Mail Enabled Public Folders" [email protected], [email protected]

� New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup " Limitation des destinataires "

16/09/2016

269



•Quel est l’utilité des droits RBAC

•Quel est leur fonctionnement

•On sait les configurer

•Les droits RBAC sont puissants et utiles ☺

16/09/2016

270




Politiques d’accès mobile


16/09/2016

271


Introduction

•Quels sont les moyens de sécuriser les accès mobiles ?

•Comment peut-on les configurer ?

16/09/2016

272


Présentation• Elle peut s’appliquer sous plusieurs formes :

1. Activation ou désactivation de ActiveSync sur les boîtes aux lettres

• Traité dans la partie « configuration accès mobiles » de la formation

2. Règles d’accès aux périphériques mobiles et quarantaine

• Permettent d’appliquer un comportement en fonction du type de mobile:

- Accepter

- Refuser

- Mettre en quarantaine pour approbation

16/09/2016

273


Présentation3. Stratégies de boîte aux lettre de périphérique mobiles

• Permettent de gérer différentes exigences pour autoriser l’accès mobiles:

- Un mot de passe et sa complexité

- Le chiffrement du mobile

- La réinitialisation du mobile en cas d’échec

- Autoriser ou non des fonctionnalités ou service du téléphone (Bluetooth, partage de connexion….)

16/09/2016

274


Règles d’accès mobiles et quarantaine• Configurable via l’EAC :

� Dans la partie « Mobile » , onglet « Accès au périphérique mobile », partie « Règles d’accès aux périphériques », puis « Nouveau+ »


� New-ActiveSyncDeviceAccessRule -Characteristic DeviceOS -QueryString "iOS 6.1 10B145" -AccessLevel Block

� New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString NokiaE521/2.00()MailforExchange -AccessLevel Allow

https://technet.microsoft.com/en-us/library/dd876923(v=exchg.160).aspx

16/09/2016

275


Stratégies d’accès mobiles• Configurable via l’EAC :

� Dans la partie « Mobile » , onglet « Accès au périphérique mobile », partie « Stratégies de boîte aux lettres de périphérique mobile », puis « Nouveau+ »


� New-MobileDeviceMailboxPolicy -Name "Stratégie des Commerciaux" -PasswordEnabled $true -AlphanumericPasswordRequired $true -PasswordRecoveryEnabled $true -IsDefault $false -AttachmentsEnabled $false -AllowStorageCard $true -PasswordHistory 10

� New-MobileDeviceMailboxPolicy –Name "Stratégie direction" -AllowBluetooth Allow -AllowBrowser $true -AllowCamera $true -AllowPOPIMAPEmail $false -PasswordEnabled $true -AlphanumericPasswordRequired $true -PasswordRecoveryEnabled $true -MaxEmailAgeFilterTwoWeeks -AllowWiFi $true -AllowStorageCard $true

https://technet.microsoft.com/en-us/library/jj218612(v=exchg.160).aspx

16/09/2016

276



•La sécurisation des accès mobiles

16/09/2016

277




Mettre à jour Exchange


16/09/2016

278


Introduction

•Que comportent les mises à jour Exchange ?

•Quels sont les bonnes pratiques les concernant ?

•Comment peut les déployer ?

16/09/2016

279


Présentation• L’installation d’un Cumulative Update Exchange permet de :

� Corriger des bugs ou des failles de sécurité

� Apporter des évolutions

� Rester éligible au support de Microsoft

• Depuis Exchange 2013, les sources d’un cumulative update sont en fait les sources complètes de Exchange (plus de kb comme en Exchange 2007 et Exchange 2010)

16/09/2016

280


Bonnes pratiques• Lire les correctifs apportés par cette mise à jour

• Lire les prérequis nécessaire par cette mise à jour (extension de schéma, domaine…)

• Rechercher les éventuels bugs connus après le passage de cette mise à jour

• Effectuer des tests dans un environnement de validation avant le déploiement en production

• Valider une sauvegarde de l’Active Directory

• Valider une sauvegarde du serveur Exchange

• Mettre le serveur en maintenance

• Effectuer la mise à jour hors des horaires de travail, et redémarrer le serveur en fin d’installation

• Valider l’installation et le fonctionnement du serveur avant de le remettre en production

� Nécessite le droit Administrateur de l’organisation

� Installer les mises à jour dans cette ordre :

Serveurs avec le rôles de boites aux lettres

Serveurs avec le rôle EDGE

16/09/2016

281


Installation en mode avec assistant graphique

• Récupérer les sources Exchange Serveur 2016

https://technet.microsoft.com/fr-fr/library/hh135098(v=exchg.150).aspx

• Monter l’ISO


• Lancer le setup.exe en tant que administrateur


16/09/2016

282


Installation en mode sans assistance• Vérifier si il n’y a pas de prérequis à installer

• Récupérer les sources Exchange Serveur 2016

https://technet.microsoft.com/fr-fr/library/hh135098(v=exchg.150).aspx

• Monter l’ISO

• Lancer le un invite de commandes en tant que administrateur


• Exécuter la commande de mise à jour

.\setup.exe /mode:upgrade /IAcceptExchangeServerLicenseTerm

• Reconfigurer les configurations personnalisées (URLs Accès Client …)

16/09/2016

283



•Mettre à jour son serveur Exchange 2016

16/09/2016

284


Conclusion

Pour finir



16/09/2016

285


Rappel des objectifs de la formation

• Découvrir et comprendre les bases de Exchange 2016

• Compléter ses connaissances

• Apprendre à gérer l’essentiel des fonctionnalités de Exchange 2016

• Mettre en place un serveur Exchange 2016 fonctionnel

16/09/2016

286


Liens utiles

• https://technet.microsoft.com/fr-fr/library/mt170645(v=exchg.160).aspx

• http://exchangeserverpro.com/

• http://msexchangeguru.com/

• http://www.msexchange.org/

16/09/2016

287


Cursus Exchange 2016

Configuration avancée

Installation et Configuration

Migration et Coexistence

16/09/2016

288


A bientôt ☺

Alphorm.com Support de la Formation Exchange 2016 Installation et Configuration

Technology

Transcript of Alphorm.com Support de la Formation Exchange 2016 Installation et Configuration