<p>Microsoft Exchange est un logiciel de groupe de travail de <strong>messagerie électronique</strong><strong>pour professionnels</strong> s’installant sur un serveur. Il fût créé par Microsoft notamment pour concurrencer Lotus Domino d'IBM et Postfix pour Linux.<br>Microsoft Exchange est très utilisé dans les entreprises, 52 % du marché des plates-formes de messagerie et de collaboration d'entreprise en 2008.<br>C'est un produit de la gamme des serveurs Microsoft apportant un ensemble de services tels que : </p>
<li>La gestion des échanges de messages électroniques au sein de l’entreprise</li>
<li>La gestion des échanges de messages électroniques vers et depuis l’extérieur de l’entreprise</li>
<li>La gestion de la sécurité des informations de messages électroniques</li>
<li>La gestion des ressources (salles de réunion, salles informatiques, du matériel, etc.)</li>
<li>La gestion d'agenda</li>
<li>La gestion des contacts</li>
<li>Le stockage des informations</li>
</ul>
<p>Microsoft Exchange est <strong>basé sur l’Active Directory</strong> de Microsoft, sur <strong>l’utilisation des DNS</strong> et est <strong>indissociable</strong> de ces derniers.<br>C’est-à-dire que les boites aux lettres utilisateurs auront des éléments qui seront stockés dans les profils des comptes utilisateurs de l’annuaire Active Directory et que les DNS seront utilisés afin de faire du routage de message électronique (client Outlook, serveurs externes, etc.) </p>
<p><u>Historique des différentes versions de Microsoft Exchange : </u></p>
<ul>
<li>1996 - Exchange Server 4.0</li>
<li>1997 - Exchange Server 5.0</li>
<li>1997 - Exchange Server 5.5 (Standard Edition - Entreprise Edition)</li>
<li>2000 - Exchange Server 2000 (Standard Edition - Entreprise Edition)</li>
<li>2003 - Exchange Server 2003 (Standard Edition, limité à une base de données de 16Go - Entreprise Edition)</li>
<li>2007 - Exchange Server 2007 (32, non recommandé en production et 64 bits)</li>
<li>2009 - Exchange Server 2010 (64 bits - Standard Edition - Entreprise Edition)</li>
<li>2009 - Exchange Online</li>
<li>2011 – Office365 (remplaçant de Exchange Online)</li>
<li>2013 – Exchange Server 2013 (64 bits – Standard Edition – Entreprise Edition)</li>
<li>2016 – Exchange Server 2016 (64 bits – Standard Edition – Entreprise Edition)</li>
<li><strong>Mailbox</strong> : regroupement des rôles HUB, CAS et BMX (Mailbox)</li>
<li><strong>Edge</strong> : rôle à placer sur un serveur <u>relais</u> de messagerie qui sera par exemple positionné en <u>DMZ</u>. Les différents échanges de messages électroniques passeront par le serveur Edge, permettant de ne pas cibler directement le serveur Mailbox.</li>
<li><strong>Amélioration d’environ 33% des performances de détection de pannes</strong> et de réactivité de basculement de l’utilisation d’une base de données d’un serveur à l’autre.</li>
<li><strong>Possibilité d’améliorer la fréquence d’analyse et la répartition des bases de données. </strong>Le service de réplication inspecte l’état des différentes bases de données sur les serveurs par défaut toutes les heures afin de détecter des problèmes et effectuer un basculement d’un serveur à l’autre en « montant » et « démontant » la ou les base de données à problème. Ce laps de temps devient modifiable.</li>
<li><strong>Relay Lag Manager activé par défaut</strong>. Permet de choisir quelles bases de données auront les informations en temps réel et lesquelles auront un délai de réception de ces données ainsi que les serveurs qui hébergeront ces deux types de BDD. Par exemple un serveur peut comporter des BDD qui auront les données en temps réel tandis qu’un autre serveur aura des BDD qui auront 7 jours de « retard » sur les informations stockées. Permet d’éviter la corruption de toutes les bases de données en cas de problème de réplication ou d’attaque, la corruption de toutes les boites en même temps, de corriger un problème suppression de boite mail utilisateur, etc.</li>
<li><strong>Création du DAG sans adresse IP. </strong>IP<strong> </strong>Obligatoire pour les versions précédentes.</li>
<li><strong>Coexistence entre Exchange 2013 ET Exchange 2016. </strong>(Théorique selon Microsoft mais à éviter)</li>
<li><strong>MAPI activé par défaut</strong>. Nouveau protocole de connexion et de communication entre Outlook et le serveur Exchange pour de meilleurs performances. Remplace « Outlook AnyWhere »</li>
<li><strong>ActiveSync version 16</strong>. Gestion de la connexion et de la synchronisation des téléphones.</li>
<p>La partie serveur se compose elle-même de deux licences différentes, une version <strong>Standard</strong> et une version <strong>Entreprise</strong>.<br>La version <strong>Standard</strong> de la licence permet de « monter » jusqu’à <strong>5 bases de données</strong> en même temps. C’est-à-dire que même si le serveur héberge 10 bases de données ou plus par exemple, seulement 5 pourront être « montées » et utilisées.<br>La version <strong>Entreprise</strong> quant à elle, permet de « monter » jusqu’à <strong>100 bases de données</strong> en même temps. Dans ce cas aussi, si le serveur héberge plus de 100 bases de données, seulement 100 pourront être montées et utilisées au maximum.</p>
<p>Cette partie se compose également des version <strong>Standard</strong> et <strong>Entreprise</strong>.<br>Certaines fonctions sont présentes uniquement dans la version Entreprise, par exemple la fonction d’archivage n’est pas présente dans la version standard. Pour l’utiliser il faudra obligatoirement une licence Entreprise.</p>
<p><i><markclass="pen-red"><strong>Attention</strong> : pour utiliser une licence Entreprise, il faudra la greffer obligatoirement sur une licence Standard. Il faudra donc les 2 licences afin d’utiliser une licence Entreprise.</mark></i></p>
<p>Comme le nom l’indique, le mode local consiste à <strong>héberger soit même en local</strong> le ou les serveurs Exchange de l’organisation.<br>Dans cette configuration, il est possible de faire coexister Exchange 2016 avec les versions antérieures suivantes : </p>
<ul>
<li>Exchange 2010 SP3 RU11 Minimum</li>
<li>Exchange 2013 CU10 >Minimum</li>
</ul>
<p>Il est donc possible d’avoir ces 3 versions d’Exchange en même temps si les versions requises sont respectées. Toutefois il est conseiller d’avoir une seule version identique sur tous les serveurs de l’organisation</p>
<p>Ce mode consiste à utiliser à la fois un ou des serveurs en local mais également un ou des serveurs dans le Cloud via Exchange Online Office365.<br>Les deux parties seront en rapport l’une avec l’autre et la synchronisation entre les serveurs sera effectuée à l’aide d’un serveur Exchange qui aura un rôle particulier.<br>Pour mettre en place le mode hybride, il faudra obligatoirement avoir un nom de domaine ainsi qu’un ou plusieurs contrôleurs de domaine dans Office365.</p>
<p>Exchange stocke l’intégralité de sa configuration dans l’Active Directory.<br>Le lien entre Exchange et l’Active Directory est donc très étroit, Exchange ne peut pas fonctionner sans Active Directory.<br>Dans l’Active Directory il existe 4 partitions :</p>
<ul>
<li><strong>Schéma</strong></li>
<li><strong>Configuration</strong></li>
<li><strong>Domaine</strong></li>
<li><strong>Application</strong> (non utilisée par Exchange)</li>
</ul>
<p>Les partition Schéma et Configuration sont répliquées dans toute la forêt tandis que les partition Domaine et Applications son répliquées dans un même domaine.<br>Toutes les informations de type « <strong>classes d’objet et attributs Exchange</strong> » sont stockées dans la partition <strong>Schéma</strong>.<br>La réplication est au niveau de la <strong>forêt</strong>.<br>Toutes les informations de type « <strong>Configuration des serveurs Exchange et d’Organisation Exchange</strong> » sont stockées dans la partition <strong>Configuration</strong>.<br>La réplication est au niveau de la <strong>forêt</strong>.<br>Toutes les informations de type « <strong>Destinataires Exchange</strong> » sont stockées dans la partition <strong>Domaine</strong>.<br>La réplication est au niveau du <strong>domaine</strong>.</p>
<p>Au minimum, les contrôleurs de domaines de l’organisation doivent être en 2008.<br>Il est recommandé pour l’instant d’avoir au maximum des contrôleurs de domaine en 2012 R2 car Exchange 2016 n’est pas encore officiellement supporté sur la version Windows Server 2016.</p>
<ul>
<li>La forêt :</li>
</ul>
<p>Le niveau fonctionnel de la forêt doit être au minimum en 2008.</p>
<p><markclass="pen-red"><strong>Attention</strong> : </mark><i><markclass="pen-red">Exchange ne peut pas s’installer dans un domaine où ne figurent que des contrôleurs Read Only (RODC) car il utilise le catalogue global. Exchange effectue des écritures dans l’Active Directory en permanence. Il est donc impératif d’avoir dans le domaine au moins un contrôleur en lecture écriture avec le catalogue global.</mark></i></p>
<p>Il est obligatoire de préparer la forêt Active Directory pour l’arrivée de Exchange.<br>Cette préparation est valable à la fois pour installer Exchange mais également pour effectuer une mise à niveau.<br>Le compte qui devra préparer Active Directory devra avoir les droits nécessaires pour le faire.</p>
<p>Il est possible d’effectuer la préparation de deux manières : </p>
<ul>
<li>Avant l’installation de Exchange (via un compte Admin du domaine)</li>
<li>Pendant le déploiement de Exchange (si le compte utilisé pour l’installation à les droits nécessaires)</li>
</ul>
<p>Les étapes de la préparation sont les suivantes : </p>
<ul>
<li>Préparation du schéma</li>
<li>Préparation du nom de l’organisation (en cas de première installation)</li>
<li>Préparation de la configuration</li>
<li>Préparation du domaine (qui recevra les ressources des destinataires Exchange)</li>
<p>Afin de préparer l’Active Directory, il va falloir suivre différentes étapes depuis un poste ayant d’installé : </p>
<ul>
<li>.NETFramework 4.5.2</li>
<li>Les outils d’administration à distance ADDS (Install-WindowsFeature RSAT-ADDS) SI ce n’est pas un contrôleur de domaine</li>
</ul>
<p>Les étapes sont les suivantes :</p>
<ul>
<li><strong>/PrepareSchema</strong> (prépare le schéma)</li>
</ul>
<p>Nécessite un <strong>compte membre du groupe Administrateur de schéma et du groupe Administrateur de l’entreprise</strong>.<br>Doit être exécuté depuis un poste x64 étant <strong>dans le même domaine ET le même site AD que le DC maître de schéma</strong>.<br>Il est possible de spécifier directement le DC qui est maître de schéma à l’aide du paramètre /DomainController « nom_du_DC »</p>
<ul>
<li><strong>/PrepareAD /OrganizationName:« nom de l’organisation »</strong> (prépare le domaine, les objets Exchange globaux, créé les groupes de sécurité Exchange dans le domaine racine de la forêt)</li>
</ul>
<p>Nécessite un compte membre du groupe <strong>Administrateur de l’entreprise</strong>.<br>Doit être exécuté depuis un poste x64 étant <strong>dans le même domaine ET le même site AD que le DC maître de schéma</strong> (ou depuis le maître de schéma directement).<br>Doit être exécuté depuis un poste qui peut <strong>communiquer avec l’ensemble de tous les domaines de la forêt sur le port TCP 389</strong></p>
<ul>
<li><strong>/PrepareDomain </strong>(prépare le domaine courant)</li>
</ul>
<p>Nécessite un compte membre du groupe <strong>Administrateur de l’entreprise</strong>.<br>Si le domaine à préparer existait <strong>AVANT</strong> l’exécution de setup /PrepareAD, le compte doit être <strong>membre du groupe Administrateur de domaine de ce même domaine</strong>.<br>Si le domaine à préparer a été créé <strong>APRES</strong> l’exécution de setup /PrepareAD, le compte doit être <strong>membre du groupe Administrateur d’organisation Exchange ET du groupe Administrateur de domaine de ce même domaine</strong>.<br>Cette commande n’est pas nécessaire dans le domaine dans lequel le setup /PrepareAD a été effectué.</p>
<ul>
<li><strong>/PrepareDomain « nom du domaine en FQDN » </strong>(si l’on souhaite préparer un domaine spécifique)</li>
</ul>
<p>Nécessite les <strong>droits dans ce domaine</strong> (identique au setup /PrepareDomain)<br>Doit être exécuté depuis un poste pouvant <strong>communiquer avec le domaine spécifié sur le port TCP 389</strong>.</p>
<ul>
<li><strong>/PrepareAllDomains</strong> (si l’on souhaite préparer tous les domaines de l’organisation)</li>
</ul>
<p>Doit être exécuté depuis un poste pouvant <strong>communiquer avec l’ensemble des domaines de la forêt sur le port TCP 389</strong><br>Ces commandes devront être lancées depuis <strong>PowerShell</strong> soit après avoir <strong>défini le chemin du setup.exe de Exchange</strong> soit après s’être directement positionné dans le lecteur contenant l’iso de Exchange et devront TOUTES être suivi du paramètre « <strong>/iacceptexchangeserverlicenseterms</strong> » :</p>
<p>Pour installer Exchange 2016, seulement <strong>deux OS sont supportés</strong>.<br>Il s’agit de <strong>Windows Server 2012 et 2012R2</strong> dans les version <strong>Standard</strong> ou <strong>Datacenter</strong>.</p>
<p>Les outils d’administration à distance <strong>RSAT Tools</strong> peuvent être installés quant à eux sur les OS suivant : </p>
<ul>
<li>Windows 8.1 en 64bits</li>
<li>Windows 10 en 64bits</li>
<li>Windows Server 2012 en Standard ou Datacenter</li>
<li>Windows Server 2012 R2 en Standard ou Datacenter</li>
</ul>
<p><markclass="pen-red"><strong>Attention</strong> : </mark><i><markclass="pen-red"><u>version graphique UNIQUEMENT</u>, pas de version Core</mark></i></p>
<p>Il est recommandé de privilégier des serveurs physiques plutôt que des serveurs virtuels puis de </p>
<ul>
<li>Désactiver la fonction « <strong>Virtual Technologie</strong> »</li>
<li>Désactiver la fonction « <strong>Hyper Threading</strong> »</li>
<li>Utiliser des disques <strong>SAS</strong> avec un minimum <strong>7200tr/min</strong> (Le mieux étant du <strong>1000tr/min</strong> ou du <strong>1500tr/min</strong>) ou alors des <strong>SSD</strong></li>
<li><strong>Jusqu’à 96Go de RAM</strong>. Au-delàs de cette quantité l’utilisation de la RAM ne sera pas optimisée.</li>
<li><strong>2 processeurs (24 cœurs max)</strong>. Au-delàs de cette quantité l’utilisation ne sera pas optimisée</li>
<li>RAID 1 <u>uniquement</u> pour le <strong>système d’exploitation</strong> (surtout pas sur la partition BDD)</li>
<p>L’OS sur lequel sera installé Exchange devra impérativement avoir <strong>Netframework 4.5.2 et Microsoft Unified Communication managed API 4.0 Core Runtime 64bits</strong> d’installés.<br>Les fonctionnalités pour le rôle de boite aux lettres sont les suivantes :</p>
<p>Il est <strong>OBLIGATOIRE</strong> d’ouvrir le port <strong>TCP 443</strong> afin d’autoriser les connexions pour les clients Web de l’organisation.<br>Pour les clients <strong>IMAP4</strong> et <strong>POP3</strong> les ports à ouvrir sont respectivement les ports TCP 143 et TCP 110, toutefois il est conseillé de n’ouvrir que les <strong>ports sécurisés</strong> pour ces protocoles. A savoir <strong>TCP 993 pour IMAP4 et TCP 995 pour POP3</strong>.<br>Ne pas oublier d’ouvrir le port 25 pour les flux SMTP.</p>
<p>Attention si certaines GPO bloquent certains de ces ports, il faudra les désactiver pour le ou les serveurs Exchange.</p>
<p>Pour la partie « connectée à Internet », il n’est pas conseillé d’utiliser des certificats auto-signés. L’idéal est <strong>d’utiliser des certificats d’une autorité de certification tierce de confiance PUBLIQUE</strong>. Par défaut le certificat est auto-signé.</p>
