Microsoft Exchange est un logiciel de groupe de travail de messagerie électronique pour professionnels s’installant sur un serveur. Il fût créé par Microsoft notamment pour concurrencer Lotus Domino d'IBM et Postfix pour Linux.
Microsoft Exchange est très utilisé dans les entreprises, 52 % du marché des plates-formes de messagerie et de collaboration d'entreprise en 2008.
C'est un produit de la gamme des serveurs Microsoft apportant un ensemble de services tels que :
Microsoft Exchange est basé sur l’Active Directory de Microsoft, sur l’utilisation des DNS et est indissociable de ces derniers.
C’est-à-dire que les boites aux lettres utilisateurs auront des éléments qui seront stockés dans les profils des comptes utilisateurs de l’annuaire Active Directory et que les DNS seront utilisés afin de faire du routage de message électronique (client Outlook, serveurs externes, etc.)
Historique des différentes versions de Microsoft Exchange :
Seul le rôle MAILBOX gère les services suivants
Il existe deux types de licences :
La partie serveur se compose elle-même de deux licences différentes, une version Standard et une version Entreprise.
La version Standard de la licence permet de « monter » jusqu’à 5 bases de données en même temps. C’est-à-dire que même si le serveur héberge 10 bases de données ou plus par exemple, seulement 5 pourront être « montées » et utilisées.
La version Entreprise quant à elle, permet de « monter » jusqu’à 100 bases de données en même temps. Dans ce cas aussi, si le serveur héberge plus de 100 bases de données, seulement 100 pourront être montées et utilisées au maximum.
Cette partie se compose également des version Standard et Entreprise.
Certaines fonctions sont présentes uniquement dans la version Entreprise, par exemple la fonction d’archivage n’est pas présente dans la version standard. Pour l’utiliser il faudra obligatoirement une licence Entreprise.
Attention : pour utiliser une licence Entreprise, il faudra la greffer obligatoirement sur une licence Standard. Il faudra donc les 2 licences afin d’utiliser une licence Entreprise.
Comme le nom l’indique, le mode local consiste à héberger soit même en local le ou les serveurs Exchange de l’organisation.
Dans cette configuration, il est possible de faire coexister Exchange 2016 avec les versions antérieures suivantes :
Il est donc possible d’avoir ces 3 versions d’Exchange en même temps si les versions requises sont respectées. Toutefois il est conseiller d’avoir une seule version identique sur tous les serveurs de l’organisation
Ce mode consiste à utiliser à la fois un ou des serveurs en local mais également un ou des serveurs dans le Cloud via Exchange Online Office365.
Les deux parties seront en rapport l’une avec l’autre et la synchronisation entre les serveurs sera effectuée à l’aide d’un serveur Exchange qui aura un rôle particulier.
Pour mettre en place le mode hybride, il faudra obligatoirement avoir un nom de domaine ainsi qu’un ou plusieurs contrôleurs de domaine dans Office365.
Exchange 2016 est compatible avec les clients Outlook suivants :
En cas d’utilisation de MAC, les versions suivantes sont compatibles :
Exchange stocke l’intégralité de sa configuration dans l’Active Directory.
Le lien entre Exchange et l’Active Directory est donc très étroit, Exchange ne peut pas fonctionner sans Active Directory.
Dans l’Active Directory il existe 4 partitions :
Les partition Schéma et Configuration sont répliquées dans toute la forêt tandis que les partition Domaine et Applications son répliquées dans un même domaine.
Toutes les informations de type « classes d’objet et attributs Exchange » sont stockées dans la partition Schéma.
La réplication est au niveau de la forêt.
Toutes les informations de type « Configuration des serveurs Exchange et d’Organisation Exchange » sont stockées dans la partition Configuration.
La réplication est au niveau de la forêt.
Toutes les informations de type « Destinataires Exchange » sont stockées dans la partition Domaine.
La réplication est au niveau du domaine.
Résumé en schéma :
Au minimum, les contrôleurs de domaines de l’organisation doivent être en 2008.
Il est recommandé pour l’instant d’avoir au maximum des contrôleurs de domaine en 2012 R2 car Exchange 2016 n’est pas encore officiellement supporté sur la version Windows Server 2016.
Le niveau fonctionnel de la forêt doit être au minimum en 2008.
Attention : Exchange ne peut pas s’installer dans un domaine où ne figurent que des contrôleurs Read Only (RODC) car il utilise le catalogue global. Exchange effectue des écritures dans l’Active Directory en permanence. Il est donc impératif d’avoir dans le domaine au moins un contrôleur en lecture écriture avec le catalogue global.
Il est obligatoire de préparer la forêt Active Directory pour l’arrivée de Exchange.
Cette préparation est valable à la fois pour installer Exchange mais également pour effectuer une mise à niveau.
Le compte qui devra préparer Active Directory devra avoir les droits nécessaires pour le faire.
Il est possible d’effectuer la préparation de deux manières :
Les étapes de la préparation sont les suivantes :
Il est impératif de vérifier les éléments suivants :
Via la console Active Directory Domains And Trust
Via l’outil ADSI Edit « msDS-Behavior-Version »
netdom query fsmo
repadmin /replsummary
Install-WindowsFeature RSAT-ADDS
Afin de préparer l’Active Directory, il va falloir suivre différentes étapes depuis un poste ayant d’installé :
Les étapes sont les suivantes :
Nécessite un compte membre du groupe Administrateur de schéma et du groupe Administrateur de l’entreprise.
Doit être exécuté depuis un poste x64 étant dans le même domaine ET le même site AD que le DC maître de schéma.
Il est possible de spécifier directement le DC qui est maître de schéma à l’aide du paramètre /DomainController « nom_du_DC »
Nécessite un compte membre du groupe Administrateur de l’entreprise.
Doit être exécuté depuis un poste x64 étant dans le même domaine ET le même site AD que le DC maître de schéma (ou depuis le maître de schéma directement).
Doit être exécuté depuis un poste qui peut communiquer avec l’ensemble de tous les domaines de la forêt sur le port TCP 389
Nécessite un compte membre du groupe Administrateur de l’entreprise.
Si le domaine à préparer existait AVANT l’exécution de setup /PrepareAD, le compte doit être membre du groupe Administrateur de domaine de ce même domaine.
Si le domaine à préparer a été créé APRES l’exécution de setup /PrepareAD, le compte doit être membre du groupe Administrateur d’organisation Exchange ET du groupe Administrateur de domaine de ce même domaine.
Cette commande n’est pas nécessaire dans le domaine dans lequel le setup /PrepareAD a été effectué.
Nécessite les droits dans ce domaine (identique au setup /PrepareDomain)
Doit être exécuté depuis un poste pouvant communiquer avec le domaine spécifié sur le port TCP 389.
Doit être exécuté depuis un poste pouvant communiquer avec l’ensemble des domaines de la forêt sur le port TCP 389
Ces commandes devront être lancées depuis PowerShell soit après avoir défini le chemin du setup.exe de Exchange soit après s’être directement positionné dans le lecteur contenant l’iso de Exchange et devront TOUTES être suivi du paramètre « /iacceptexchangeserverlicenseterms » :
Préparation du schéma :
Préparation de l’Active Directory :
Préparation du domaine :
Cette partie n’est pas obligatoire SI ET SEULEMENT SI le PrepareAD a été effectué.
Pour installer Exchange 2016, seulement deux OS sont supportés.
Il s’agit de Windows Server 2012 et 2012R2 dans les version Standard ou Datacenter.
Les outils d’administration à distance RSAT Tools peuvent être installés quant à eux sur les OS suivant :
Attention : version graphique UNIQUEMENT, pas de version Core
Il est recommandé d’utiliser des disques dur SSD ou SAS.
Afin d’optimiser au mieux son installation de Exchange, il est recommandé les pratiques suivantes :
Il est recommandé de privilégier des serveurs physiques plutôt que des serveurs virtuels puis de
Voici les recommandations en cas de virtualisation des serveurs Exchange :
L’OS sur lequel sera installé Exchange devra impérativement avoir Netframework 4.5.2 et Microsoft Unified Communication managed API 4.0 Core Runtime 64bits d’installés.
Les fonctionnalités pour le rôle de boite aux lettres sont les suivantes :
Install-WindowsFeature AS-http-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-http-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Brownsing, Web-Dyn-Compression, Web-http-Errors, Web-http-Logging, Web-http-Redirect, Web-http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation
Il est OBLIGATOIRE d’ouvrir le port TCP 443 afin d’autoriser les connexions pour les clients Web de l’organisation.
Pour les clients IMAP4 et POP3 les ports à ouvrir sont respectivement les ports TCP 143 et TCP 110, toutefois il est conseillé de n’ouvrir que les ports sécurisés pour ces protocoles. A savoir TCP 993 pour IMAP4 et TCP 995 pour POP3.
Ne pas oublier d’ouvrir le port 25 pour les flux SMTP.
Attention si certaines GPO bloquent certains de ces ports, il faudra les désactiver pour le ou les serveurs Exchange.
Pour que le flux de messages électroniques puisse circuler sur le réseau il est OBLIGATOIRE d’ouvrir les ports suivants :
Schéma de flux interne au serveur Exchange :
Pour la partie « connectée à Internet », il n’est pas conseillé d’utiliser des certificats auto-signés. L’idéal est d’utiliser des certificats d’une autorité de certification tierce de confiance PUBLIQUE. Par défaut le certificat est auto-signé.