Configuration de la partie accès clients Exchange 2016 

Vue d’ensemble

 Les méthodes d’accès

Il est possible d’accéder aux boites aux lettres de plusieurs manières :

• Outlook client lourd
• Outlook client web
• Accès mobile (via ActiveSync)
• Accès via POP et IMAP

Schéma global

Le schéma suivant montre les différents types d’accès et de protocoles utilisés lors des connexions effectuées par les clients.

Service d’accès au client : Front-End
Services Principaux : Back-End

Les services liés à la partie accès client

• Gestion des connexions clientes
• Gestion de l’accès au centre d’administration Exchange (EAC)
• Gestion de la découverte automatique du profile utilisateur (Autodiscover)
• Gestion des fonctions Outlook MAPI et Outlook AnyWhere (pour le client lourd de Outlook)
• Gestion de la distribution du carnet d’adresses en mode hors ligne (OAB)
• Gestion des accès à la vision des disponibilités du calendrier des boites aux lettres (via EWS)
• Gestion des infos-Courrier (TIPS en anglais)
• Gestion des services Web Exchange (EWS Exchange Web Services)

Les bases

La partie accès client de Exchange 2016 se base sur les éléments suivants : 

• Les sites Active Directory (namespaces) afin de gérer les connexion
• Les DNS
• Un certificat qui gère :
  • Il doit correspondre aux noms DNS et URLs configurées par service (dans le certificat)
  • L’authentification et le chiffrement (SSL doit être activé).
• Sur l’authentification 
  • Authentification intégrée à Windows
  • Authentification « Digest »
  • Authentification de base (nom et mot de passe)
  • Authentification basée sur les formulaires

Attention : il est important de penser à mettre en place une redondance des serveurs qui font office d’accès client, les protéger et avoir une communication avec Active Directory.

Les services de disponibilité de calendrier

Ce service est disponible et utilisable pour les clients Outlook et OWA. Disponible via « l’assistant de planification »

Il est déployé par défaut sur tous les serveurs et n’a besoin d’aucune configuration.

Il permet au client de réaliser les actions suivantes :

• Récupération des informations de disponibilité dans le calendrier des boites aux lettres
• Affichage des heures de travail des boites aux lettres
• Afficher des suggestions d’heures de réunion en proposant les taux de participation des utilisateurs en fonction du créneau horaire choisi.

Attention : Dans le cas d’une coexistence entre forêt Active Directory ou mode Hybride avec Office365, cela nécessite une configuration particulière avec des droits et des flux réseaux.

Les infos-courrier

Il s’agit d’une fonction Exchange permettant de fournir des informations sur l’état de remise d’un email avant même que celui-ci ne soit envoyé au destinataire.

Il existe deux types d’infos-courrier :

• Des infos-courrier « par défaut » (par exemple un pop-up de message d’absence qui est visible lors d’une recherche d’utilisateur pour lui envoyer un e-mail)
• Des infos-courrier « personnalisées »

Enregistrements DNS pour Exchange

Présentation

Tout comme l’Active Directory, les enregistrements DNS sont essentiels au fonctionnement de Exchange notamment pour les parties suivantes : 

• Le service de découverte automatique (Autodiscover)
• Le routage des messages via les MX
• La connexion des clients (enregistrements SRV)
• La sécurisation du nom de domaine externe (SPF)

Les différents types d’enregistrements DNS

• Type « A »

Les enregistrements DNS de type A permettent de relier un nom d’hôte à l’adresse IPv4 d’un serveur, nom de domaine ou d’un périphérique.

• Type « AAAA »

Les enregistrements DNS de type AAAA permettent de relier un nom d’hôte à l’adresse IPv6 d’un serveur, nom de domaine ou d’un périphérique.

• Type « SOA »

Les enregistrements DNS de type SOA indiquent quels sont les serveurs qui vont héberger et gérer la zone DNS.
Ils font autorité sur cette dernière et sont « maître du domaine ».

• Type « NS »

Les enregistrements DNS de type NS indiquent quels sont les serveurs qui vont héberger et gérer la zone DNS.
Ils ne font pas autorité sur cette dernière et ne sont pas « maître du domaine ».

• Type « CNAME »

Les enregistrements DNS de type CNAME permet de relier un nom d’hôte vers l’enregistrement DNS d’un autre nom d’hôte.
Il fonctionne de la même manière qu’un Alias.

• Type « MX »

MX est l’abréviation de Mail Exchange. Ces enregistrements DNS sont différents des autres enregistrements.
Ils définissent quel est ou quels sont les serveurs qui gèrent les services e-mails reliés à un nom de domaine. La mise en place d’enregistrements MX sur un nom de domaine concerne les utilisateurs qui souhaitent utiliser un service e-mail dédié (sur serveur dédié ou encore sur un serveur de messagerie en interne )

• Type « TXT »

Les enregistrements DNS de type TXT permet d’intégrer une zone DNS en texte libre.

• Type « SPF »

Les enregistrements DNS de type permettent aux destinataires de vérifier que les e-mails envoyés sont légitimes

• Type « SRV »

Les enregistrements DNS de type SRV servent à indiquer quel est le serveur qui gère un service spécifique.

L’enregistrement de sécurité SPF

L’enregistrement SPF (Sender Policy Framework) va permettre de « sécuriser » un minimum le nom de domaine public.
Il définit la liste des serveurs de messagerie autorisés ou non à envoyer et recevoir des emails pour un nom de domaine spécifique.

Il permet également à certaines organisations de messagerie d’accepter ou non la réception de mail en provenance d’un nom de domaine spécifique. Par exemple une organisation Exchange très restrictive utilisant SPF pourra refuser les emails d’une organisation moins restrictive n’utilisant pas SPF.

Configuration d'un certificat exchange

Présentation

Le certificat Exchange est nécessaire pour authentifier et chiffrer les connexions clients.
Il doit obligatoirement comporter le ou les noms DNS et être configuré sur les serveurs.

Attention : un certificat peut avoir un réel impact sur les connexions clients

Les types de certificats Exchange

Plusieurs types de certificats sont possibles dans Exchange :

• Certificats auto-signés

Ce type de certificat peut être utilisé dans le cadre d’une maquette en LAB. Il est configuré par défaut et ne doit pas être utilisé en production.
Il nécessite une configuration sur tous les clients et d’être validé (autorisé) par les clients pour éviter d’avoir des avertissements d’erreur de certificat de la part des navigateurs web ou des clients de messagerie.

• Certificats délivrés par une autorité de certification PKI Interne

Ce type de certificat est utilisé par les entreprises et est généralement de type « SAN » pour permettre l’utilisation de noms DNS alternatifs. Il nécessite d’être validé (autorisé) par les clients pour éviter d’avoir des avertissements d’erreur de certificat de la part des navigateurs web ou des clients de messagerie.
Il s’agit d’un certificat INTERNE à l’organisation et émis par une autorité INTERNE (ADCS - Active Directory Certificate Services) non destiné à être utilisé sur Internet.
Il nécessite également une configuration sur les postes clients non joints au domaine pour ne pas non plus avoir d’avertissement lors de la connexion à l’environnement de l’entreprise.

• Certificats délivrés par une autorité de certification PKI Externe 

Ce type de certificat est payant.
Il est généralement de type « Wildcard » c’est à dire qu’il est créé et validé pour un nom de domaine ET ses sous-domaines (ex : mondomaine.com et xxxxx.mondomaine.com)
Il aura l’avantage de ne pas émettre d’avertissements par les clients de messagerie et les navigateur web car il est généré par une autorité publique reconnue et de confiance. Il sera principalement utilisé pour les accès externe vers Internet.
Il ne nécessite aucune configuration des clients.

Les services Exchange utilisant un certificat

• SMTP
• IMAP
• POP
• IIS
• UM 
• UM Call Router

Les étapes de configuration

Afin d’obtenir un certificat il faut effectuer plusieurs étapes :

• Création d’une demande de signature de certificat (CSR pour Certificate Signing Request) depuis un serveur Exchange par émission d’une clé publique (c’est-à-dire qu’une clé publique sera émise par le serveur et utilisée pour la demande de signature)
• Signature et validation de la demande de certificat par l’autorité de certification interne ou externe. L’autorité de certification retournera un certificat d’identité signé par sa propre clé publique 
• Importation du certificat signé dans Exchange
• Activation du certificat pour les serveur Exchange souhaités
• Redémarrage des services Exchange précédemment configurés.

La réalisation depuis Exchange

Comme toujours il est possible de faire cette manipulation de deux manières :

• Depuis l’EAC

Se connecter sur le serveur puis aller dans la section « serveurs » puis cliquer sur « certificats »

Pour créer un  nouveau certificat cliquer sur le bouton + et sélectionner le type de certificat souhaité

Remplir les informations demandées

• Depuis l’EMS

Création de la demande 

New-ExchangeCertificate -GenerateRequest -RequestFile «\\chemin_réseau_du_fichier.req» -FriendlyName «nom_souhaité_du_certificat» -SubjectName «type_de_certificat»

Ex : SubjectName «C=FR,CN=*.nomdedomaine.com» Attention à laisser les « »

Import du certificat 

Import-ExchangeCertificate -Path «chemin_du_fichier.p7b ou .cer»

Récupérer les informations du certificat

Get-ExchangeCertificate -DomainName «nom de domaine» | fl

Activer le certificat pour les services voulus 

Enable-ExchangeCertificate -Thumbprint «N°_du_certificat» -Services «POP,IMAP,SMTP,IIS»

Le service de decouverte automatique (AutoDiscover).

A quoi sert l’autodiscover 

Cette fonction permet de configurer automatiquement les profils de comptes de boites aux lettres Outlook ou d’autres clients de messagerie des services Web Exchange (EWS) et permet un gain de temps pour les utilisateurs mais surtout pour les administrateurs. 
L’Autodiscover peut fonctionner à la fois en interne et en externe selon la configuration et les autorisations effectuées. 
Il est possible d’utiliser l’Autodiscover en mode hybrid, dans une forêt unique ou avec de multiples forêts.

Les principales phases de la découverte automatique

• Phase 1 

Le client Outlook va essayer d’identifier les serveurs de découverte automatique puis établir une liste à l’aide : 

1. Des objets SCP dans l’Active Directory (en interne, dans la partition de configuration)
2. Du domaine extrait de l’adresse de messagerie à configurer

• Phase 2

Si cela ne fonctionne pas le client fera une tentative de connexion en suivant la liste établie des points de terminaison de découverte automatique en HTTPS

• Phase 3

Si la tentative de connexion ne fonctionne toujours pas, le client effectuera d’autres tentatives de connexions via 

1. Une demande « Get » non authentifiée sur l’URL de type « http://autodiscover.nomdedomaine/autodiscover/autodiscover.xml »
2. Requête DNS sur l’enregistrement SRV de type _autodiscover._tcp.«nomdedomaine.com»

Lorsque les serveurs seront identifiés, le client effectuera après que la connexion soit établie, une récupération en local du fichier XML puis la lecture des informations du client de messagerie.

Schéma des différentes phases

La configuration

Il y a plusieurs configurations à effectuer.
Dans un premier temps il faudra effectuer les enregistrements DNS de l’Autodiscover en interne ou en externe.
Dans un deuxième temps il faudra configurer les serveurs d’accès clients de Exchange avec les informations suivantes :

• Les URLs l’Autodiscover (via l’EAC ou l’EMS)
• Les types d’authentifications (via l’EAC ou l’EMS)

Lorsque ces configurations sont effectuées il faut penser à vérifier la configuration

• En interne via l’EMS avec la cmdlet « Test-OutlookConnecivity »
• En externe via Microsoft Remote Connectivity Analyzer (https://testconnectivity.microsoft.com)

En fin, effectuer une vérification du fonctionnement à l’aide d’un client Interne et d’un client externe.

Configuration des accès clients

Ce qu’il faut configurer

Il est impératif de configurer les différentes URLs des services qui sont obligatoires pour le bon fonctionnement des accès clients.
Ces URLs sont configurables sur des dossiers virtuels disponibles dans la section IIS à fois pour la partie Front-End et pour la partie Back-End.

• OWA (Webmail)
• MAPI (connexion des clients lourds Outlook)
• AnyWhere (client lourds Outlook via RPC sur http)
• ActiveSync (configuration pour les accès mobiles)
• EWS (Exchange Web Services)
• OAB (tout ce qui est listes d’adresses et carnet d’adresses)
• ECP (tout ce qui concerne l’administration de Exchange via le Web et la console graphique)
• Autodiscover
• PowerShell (en cas d’utilisation de script PowerShell)

Attention la modification de ces URLs peut avoir des impacts important sur les connexions clients.

Comment faire la configuration

Via l’ECA 

Se connecter à l’ECA puis dans la section « serveurs » cliquer sur l’onglet « répertoires virtuels »

Pour effectuer la configuration, soit faire un double clic sur le répertoire virtuel et remplir les informations nécessaires. 

Pour la partie « AnyWhere », il faut se rendre dans la partie « serveur » puis dans l’onglet « serveur » 

Faire un double clic sur le serveur puis cliquer sur Outlook AnyWhere afin de remplir les champs nécessaires

Attention : il n’est pas possible de configurer la partie Autodiscover via l’ECA et l’intégralité de ces configurations devra être effectuée sur TOUS les serveurs ayant le rôle de boite aux lettres.

Via l’EMS

• Pour configurer la partie Webmail :

Set-OWAVirtualDirectory -Identity «nom_du_serveur\OWA» -InternalURL «URL_Interne_du_répertoire» -ExternalURL «URL_Externe_du_répertoire» -basicAuthentication $true -FormsAuthentication $True -WindowsAutentication $False

• Pour configurer la partir MAPI

Set-MapiVirtualDirectory -Identity «nom_du_serveur\MAPI» -InternalURL «URL_Interne_du_répertoire» -ExternalURL «URL_Externe_du_répertoire» -IISAuthenticationMethods NTLM

• Pour configurer la partie Anywhere

Set-OutlookAnywhere -Identity «nom_du_serveur\rpc» -SSLOffloading $False -InternalClientsRequireSSL $True -ExternalClientsRequireSSL $True -IISAuthenticationMethods NTLM -InternalClientAuthenticationMethod NTLM -ExternalClientAuthenticationMethod NTLM

• Pour configurer la partie ActiveSync

Set-ActiveSyncVirtualDirectory -Identity «nom_du_serveur\Microsoft-Server-ActiveSync» -InternalURL «URL_Interne_du_répertoire_Microsoft-Server-ActiveSync» -ExternalURL «URL_Externe_du_répertoire_Microsoft-Server-ActiveSync» -basicAuthEnabled $True -WindowsAuthEnabled $True -CompressionEnabled $True -ClientCertAuth ignore

• Pour configurer la partie EWS ( Exchange Web Services)

Set-WebServicesVirtualDirectory -Identity «nom_du_serveur\EWS» -ExternalURL «URL_Externe_du_répertoire_EWS/exchange.asmx» -BasiAuthentication $True -InternalURL «URL_Interne_du_répertoire_EWS/exchange.asmx» -MRSProxyEnabled $True -WindowsAuthentication $True

• Pour configurer la partie OAB

Set-OABVirtualDirectory -Identity «nom_du_serveur\OAB» -InternalURL «URL_Interne_du_répertoire_OAB» -ExternalURL «URL_Externe_du_répertoire_OAB» -basicAuthentication $True -WindowsAuthentication $True -RequireSSL $True

• Pour configurer la partie ECP

Set-ECPVirtualDirectory -Identity «nom_du_serveur\ECP» -InternalURL «URL_Interne_du_répertoire_ECP» -basicAuthentication $True -FormsAuthentication $True -WindowsAuthentication $False -AdminEnabled $True

• Pour configurer la partie Autodiscover

Set-ClientAccessService -Identity «nom_FQDN_du_serveur» -AutoDiscoverServiceInternalUri «https://autodiscover.nomdudomaine/Autodiscover/Autodiscover.xml»

• Pour configurer la partie PowerShell en cas d’utilisation de script

Set-PowerShellVirtualDirectory -Identity «nom_du_serveur\PowerShell» -internalUrl «https://mail.nomdedomaine/powershell» -basicAuthentication $False -WindowsAuthentication $True

Configuration d’un client de messagerie Outlook 2016

• Vérification que le certificat racine est déployé dans le « magasin » des certificats du client

Sur un poste client, ouvrir une console « mmc » en tant qu’administrateur.
Cliquer sur ajouter/supprimer un composant logiciel »

Cliquer sur « certificats » puis sur « ajouter » et choisir « un compte d’ordinateur local »

Sélectionner l’ordinateur local puis cliquer sur « Terminer »

La console mmc est prête à afficher les certificats de l’ordinateur local.
Cliquer sur « certificats (ordinateur local) puis sur « autorités de certification racines de confiance »

Puis cliquer à nouveau sur certificat pour afficher la liste des certificats du poste local.

Le certificat de notre PKI interne (ici censuré) et celui du serveur Exchange sont bien présents dans la liste des certificats du poste.
Il n’y aura donc pas d’avertissement de certificat lors de la connexion via le client Outlook ou le Webmail (en interne)
Le certificat de la PKI Interne est automatiquement publié sur tous les poste joins au domaine.
Si un poste n’est pas joint au domaine il faudra importer ce certificat à ce même endroit pour que cela fonctionne.

• Configuration du profile Outlook 2016 via le service de découverte automatique et ses différentes options

Lancer Outlook et indiquer un email d’utilisateur.
L’Autodiscover se fera automatiquement et permettra de récupérer les informations de profile ainsi que les différentes boites aux lettres partagées si tel est le cas.

Attention cela fonctionnera seulement si l’Autodiscover est correctement configuré

Si l’on souhaite télécharger le carnet d’adresses en mode hors connexion, il faut aller dans « information » puis « paramètres du compte » puis cliquer sur « télécharger le carnet d’adresses »

Sur le prochain pop-up, si plusieurs carnets sont créés il sera possible de sélectionner celui qui sera téléchargé