Microsoft Exchange
Posted on sam. 24 novembre 2018 in Système
Catalogue globale : copie du domaine et copie partielle en lecture seule des autres domaines - Une copie local par site obligatoire
OS IIS (toutes les cases) UCMA FilterPAck PowerShell Script (RSAT et ADDSTools) Redémarrer /PrepareAD (Administrateurs du schéma) BAL en PREMIER et CAS après
Droits
Administrateurs local (OS et pré-requis) Administrateurs du domaine (intégration au domaine) Administrateurs du schéma (PrepareAD) Administrateur de l'entreprise (installation des rôles)
Rôles serveurs
Serveur d'accès client (CAS)
- Authentification des clients
- Routage, vérification et filtrage
- Gestion des protocoles clients
- Gestion des connexions SMTP au serveur
- Carnets d'adresses hors ligne
- Info-courrier
- Certificat
Serveur de boîtes aux lettres (BAL)
- Base de données
- Règles de transport (HUB)
- Catégorisation
- Messagerie unifiée
- Dossiers publics (boite aux lettres)
- Protection AV et anti-spam
Serveur Edge
- AD-LDS
- Relais SMTP
- Protection AV et anti-spam
- Règles de transport avec des connecteurs SMTP
- Réécriture d'adresse
Version
Exchange
Édition | Composants |
---|---|
Standard | 5 bases de données de BAL |
Entreprise | 50 bases de données de BAL |
CAL
Édition | Composants |
---|---|
Standard | Courrier, calendrier, OWA et ActiveSync |
Entreprise | Courrier, calendrier, OWA, ActiveSync, messagerie unifiée, journalisation, Forefront... |
Scénarios de déploiement
- Tout les rôles Exchange sur le même serveur
- Au moins un serveur par rôle
- Déploiement hybride
DNS
Installation
Install-WindowsFeature AS-HTTP-Activation,NET-Framework-45-Features,Web-Mgmt-Console,WAS-Process-Model,Web-Asp-Net45,Web-Basic-Auth,Web-Client-Auth,Web-Digest-Auth,Web-Dir-Browsing,Web-Dyn-Compression,Web-Http-Errors,Web-Http-Logging,Web-Http-Redirect,Web-Http-Tracing,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Lgcy-Mgmt-Console,Web-Metabase,Web-Mgmt-Console,Web-Mgmt-Service,Web-Net-Ext45,Web-Request-Monitor,Web-Server,Web-Stat-Compression,Web-Static-Content,Web-Windows-Auth,Web-WMI,Windows-Identity-Foundation,RPC-over-HTTP-proxy,RSAT-Clustering,RSAT-Clustering-CmdInterface,RSAT-Clustering-Mgmt,RSAT-Clustering-PowerShell,Desktop-Experience
Install-WindowsFeature RSAT-ADDS-Tools RSAT-ADDS
FilterPack64
UcmaRuntimeSetup
# Monter l'iso Exchange
.\setup.exe /PrepareAD /IAcceptExchangeServerLicenceTerms /OrganizationName:"starwars"
.\setup.exe /role:MB /IAcceptExchangeServerLicenceTerms
.\setup.exe /role:CA /IAcceptExchangeServerLicenceTerms
Fichiers de BAL
- Base de données : edb
- Journal des transactions : log
- Point de contrôle : chk
- Fichier temporaire : tmp.edb
Destinataires possibles
- Boites aux lettres utilisateurs (interne)
- Contacts de messagerie
- Utilisateurs de messagerie (externe)
- Dossiers publics
- Boite aux lettres de ressources
- Boite aux lettres partagées
- Boite aux lettres liées
- Boite aux lettres distante
- Boite aux lettres de sites
- Groupe de sécurité et de distribution à extension de messagerie (RBAC - délégation)
- Liste d'adresses globales (requête LDAP vers le CG)
ActiveSync
Fonctionnement
- Configuration d'un compte ActiveSync sur un appareil mobile en entrant une adresse de messagerie et le mot de passe associé
- Résolution DNS afin de connaître l'URL d'accès à l'autodiscover du domaine
- L'appareil mobile se connecte au site virtuel de l'autodiscover
- Le service Autodiscover envoie une réponse XML via le pare-feu SSL afin de paramétrer la synchronisation
Fonctionnalités
- Indicateurs de suivi
- Regroupement des messages
- Synchronisation des SMS avec Exchange
- Service d'effacement à distance
- Mise à jour
- Direct Push
- Prise en charge des informations de disponibilité des contacts
- Réinitialisation du code PIN
DAG (Database Availability Groupment)
Groupe de base de données à des fins de hautes disponibilités de boîtes aux lettres.
Un groupement DAG permet la réplication des bases de données sélectionnées dans la console ou via PowerShell. Le basculement entre les deux serveurs se fait automatiquement via un serveur témoin choisi lors de la création du DAG. Maximun de 16 copies de la base de données. Retard de relecture. Serveur témoin (quorum) est obligatoire.
Un serveur BAL ne peut faire parti que d'un seul DAG à la fois.
SSL
- Génération depuis la console ECP ou PowerShell de la requête de certificat
- Création du certificat via l’autorité racine et récupération
- Ajout du certificat à la demande Exchange
- Déploiement du certificat racine sur l'ensemble des postes
- Sélection du nouveau certificat dans IIS
Transport des messages
- MTA (Mail Transport Agent) : Serveur chargé du transport du courrier et communique entre eux via SMTP
- MDA (Mail Delivery Agent) : Serveur chargé de stocker les mails entrants jusqu'à ce que l'utilisateur vienne les relever
- MUA (Mail User Agent) : Logiciel installé sur le système de l'utilisateur (client de messagerie)
Cheminement :
- Vérification des domaines acceptés (BAL)
- Requête LDAP pour avoir le GUID (BAL / client Outlook)
- Récupération du mail (HUB)
- Transport vers le serveur BAL contenant la base de données de la boites aux lettres cibles (BAL)
SMTP
Commande | Définition |
---|---|
HELO |
identifie le serveur émetteur |
MAIL FROM: |
identifie l'émetteur du message |
RCPT FROM: |
identifie le destinataire du message |
DATA | envoie le message au serveur de destination |
RSET | abandonne l'envoi du message en cours |
VRFY |
vérifie que le destinataire est valide sur le serveur destination |
HELP | affiche la liste des commandes SMTP supportées |
QUIT | déconnecte la session |
TURN | envoie les messages en liste d'attente |
Protocole
Protocole | Port non sécurisé | Port TLS/SSL |
---|---|---|
HTTP | 80 | 443 |
POP3 | 110 | 995 |
IMAP4 | 143 | 993 |
SMTP | 25 | 25 |
Soumission client | 587 | 587 |
Synchronisation EdgeSync/ADAM | 50636 | 50636 |
S/MIME
Sauvegarde
- Pour tout les rôles : le système complet et la configuration Active Sync
- Pour les BAL : bases de données et journaux (vss)
- Pour les CAS : certificats SSL et configuration complète IIS
.\appcmd.exe add backup IIS
- Durée de rétention des éléments supprimés et boites aux lettres supprimées (la règle au plus près de l'objet l'emporte)
Restauration
Nom | Définition |
---|---|
Restauration de base de données | Remplace une base de données existante |
Base de données de récupération | Restaure la base de données perdue dans la base de données de récupération à partie d'une sauvegarde |
Récupération de tonalité | Remet en place un service Exchange avant la restauration de l'historique des mails |
Récupération de DAG | Monte une copie passive d'une base de données du DAG sur un autre serveur BAL |
Règles de transports
- Limitent les flux de messages
- Modifient le contenu des messages en transit
- Empêcher les utilisateurs spécifiés d'échanger des courriers électroniques avec d'autres utilisateurs définis
- Bloquer tout contenu inapproprié entrant ou sortant
- Appliquer des restrictions basées sur les classifications de messages afin de restreindre le flux d'informations confidentielles de l'organisation
- Suivre ou journaliser les messages échangés avec certaines personnes
- Rediriger les messages entrants ou sortants pour les examiner avant leur remise
Pare-feu
Pare-feu | Règle du pare-feu | Explications |
---|---|---|
Externe | Autoriser l'ouverture du port TCP/25 à partir des IP externes vers le relais | Autorise les hôtes SMTP sur internet à envoyer des mails |
Externe | Autoriser l'ouverture du port TCP/25 vers les IP externes à partir du relais | Permet au relais d'envoyer des mails sur des hôtes SMTP internet |
Externe | Autoriser l'ouverture du port TCP/53 et UPD/53 vers les IP externes à partir du relais | Permet la résolution des noms DNS sur internet |
Interne | Autoriser l'ouverture du port TCP/25 à partir du relais vers le CAS | Permet au relais SMTP d'envoyer des mails au CAS |
Interne | Autoriser l'ouverture du port TCP/25 à partir du CAS vers le relais | Permet au CAS d'envoyer des mails entrants |
Interne | Si AD LDS, autoriser l'ouverture du port TCP/50636 à partir du CAS vers le relais | Permet la communication entre ADDS et ADLDS |