Exchange 2010 (developpez): conf DNS et certificats

Source: PDF de developpez.com

conf DNS

une seule adresse d'accès à vos utilisateurs, qu'ils soient dans l'entreprise ou à l'extérieur.

1. alias Autodiscover pointant sur votre serveur CAS: sur DNS interne, créez un enregistrement CNAME dans la zone publique (à usage privé). Ici, on fait pointer Autodiscover.todorovic.fr vers exchange.todorovic.adds : seuls les clients étant dans le réseau de l'entreprise pourront accéder à cet alias.

2. les accès OWA et Outlook Anywhere sont communs en termes de nom de serveur. Dans l'architecture proposée, OWA et Outlook Anywhere sont accessibles via mail.todorovic.fr. On va donc créer l'alias pour les utilisateurs à l'intérieur de l'entreprise.

3. MX va permettre aux autres serveurs email d'Internet de trouver votre serveur SMTP.
Sur votre DNS public, il faudra créer un enregistrement A qui désignera votre serveur SMTP. Le choix du nom est libre. Vous devrez indiquer dans cet enregistrement A l'IP publique pour accéder à votre serveur.
Ensuite, créer un enregistrement MX, qui est en fait un pointeur vers vos serveurs SMTP. Vous devrez donc indiquer le nom de votre serveur SMTP (créé précédemment avec l'enregistrement A) et le poids (ou priorité) de cet enregistrement.

Pondération: permet d'avoir des serveurs de backup si toutefois votre serveur STMP devient indisponible. Plus le poids d'un enregistrement est faible, plus cet enregistrement aura de "valeur".

Licence

Dans EMS: Set-ExchangeServer -Identity exchange.todorovic.adds -ProductKey XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Restart-Service msexchangeis

Conf certificats

Vers créer certificat avec certreq. Ci-joint exchange.todorovic.adds.inf (renommé exchange.todorovic.adds.inf.txt)
Le nom commun du certificat est le nom complet du serveur à savoir exchange.todorovic.adds. Les noms alternatifs (SAN) sont exchange.todorovic.adds(=FQDN du serveur), Autodiscover.todorovic.fr, mail.todorovic.fr et um.todorovic.adds. Il est important de noter que tout ceci est réalisé sur le compte de l'ordinateur (MachineKeySet=TRUE).

Il est obligatoire d'avoir un nom de certificat. Nous utilisons les extensions SAN, cela change le comportement de la lecture du certificat. Dès que vous ajoutez l'attribut SAN à un certificat, son nom commun est ignoré. Il est donc nécessaire de dupliquer le nom complet du serveur Exchange sinon lors de l'Autodiscover sur Outlook, vous serez averti que le nom présenté est différent du nom du certificat alors que le nom est correct.

Si vous allez dans la configuration serveur (là où on peut entrer la clé produit), vous trouverez alors un nouveau certificat non auto-signé:

Il ne reste plus qu'à assigner le certificat aux services Exchange. Vous pouvez le faire en mode graphique ou Powershell.

Get-ExchangeCertificate | fl Thumbprint,FriendlyName,Subject
Enable-ExchangeCertificate -Server "Exchange" -Services "IIS" -Thumbprint
"DAE5D9B4C8AF3724F3FF4336DE84A8A4592177B6"

Envoi/réception d'emails : sans serveur Edge

Connecteur d'envoi

dans l'organisation Exchange, ouvrir le rôle Transport Hub de l'organisation:

• clic droit / Nouveau connecteur d'envoi. Nommer votre connecteur et indiquer le type d'usage (personnalisé, interne, Internet, partenaire): domaines externes et Internet.
• définir l'espace d'adressage du connecteur : il s'agit des domaines vers lesquels le connecteur pourra envoyer des emails. Grâce à cela, vous pourrez forcer l'envoi de messages à destination d'un domaine particulier vers un serveur particulier. Ici, le connecteur sera général : il sera possible d'envoyer des emails à tous les domaines.
  Ajouter / sans "Adresse", vous pourrez préciser un domaine ou un wildcard (tous les domaines) et le cout (routage). Si vous définissez un domaine (entreprise.fr), il sera possible d'autoriser ou non les envois à destination des sous-domaines.
  on indique * avec cout 1
• indiquer si vous souhaitez utiliser les enregistrements MX des domaines pour envoyer les emails automatiquement ou si vous souhaitez faire passer les messages par un hôte particulier (hygiène de messagerie par ex).
  Ici pas de serveur d'hygiène donc il faut choisir l'utilisation des enregistrements MX des DNS.
• Puisque le connecteur d'envoi est géré au niveau de l'organisation, vous devrez sélectionner quels serveurs Transport
  Hub utiliseront ce connecteur : Nom Exchange  Site: todorovic.adds/Config Role: bal, accès...

Powershell: new-SendConnector -Name 'Domaines externes' -Usage 'Internet' -AddressSpaces 'SMTP:*;1' -lsScopedConnector $false -DNSRoutingEnabled $true -UseExternalDNSServersEnables $false -SourceTransportServers 'EXCHANGE'

Connecteur de réception

Contrairement au connecteur d'envoi, les connecteurs de réception sont gérés par serveur. Par défaut, il existe deux connecteurs de réception activés: Client (permet les communications SMTPS => TCP 587, uniquement pour les utilisateurs Exchange) et default (communications SMTP => TCP 25, pour les utilisateurs et serveurs Exchange).

Afin de permettre aux serveurs SMTP externes d'envoyer des emails à notre serveur Exchange, il va falloir modifier les autorisations du connecteur Exchange.
Ouvrez les propriétés du connecteur "Default Exchange", allez dans Groupes d'autorisation puis cochez Utilisateurs anonymes. J'ai
décoché Serveurs Exchange hérités : il s'agit des serveurs dits "legacy", autrement dit des serveurs Exchange anciens (2003).

Ou via powershell: Set-ReceiveConnector -PermissionGroups 'AnonymousUsers, ExchangeUsers, ExchangeServers' -Identity 'EXCHANGE\Default EXCHANGE'

création règles de génération des adresses email

1. Ajouter un nouveau domaine accepté par le serveur Exchange: configuration de l'organisation / Transport Hub onglet domaines acceptés.
Il y a déjà un domaine correspondant à votre domaine AD. Si vous êtes dans une configuration avec un domaine privé, l'ajout du nouveau domaine est obligatoire pour que votre serveur Exchange puisse communiquer avec l'extérieur.
Clic droit en dessous du domaine par défaut / Nouveau domaine accepté pour indiquer nom du domaine (ici Domaine public) et le nom de domaine que l'organisation Exchange va accepter (ici todorovic.fr).
Type de domaine faisant autorité, relais interne ou relais externe. Par défaut, choisissez le domaine faisant autorité. Les domaines relais correspondent à des configurations particulières de votre messagerie.
Nouveau

Powershell : new-AcceptedDomain -Name 'Domain public' -DomainName 'todorovic.fr' -DomainType 'Authoritative'

2. Allez dans les Stratégies d'adresse de messagerie dans Transport Hub (de l'orga).
Il existe une règle par défaut : les adresses de messagerie sont créées avec le domaine par défaut (todorovic.adds ici). Cette règle n'est pas appliquée à l'exception du compte ayant installé Exchange. Il n'est plus possible de modifier cette règle depuis Exchange 2010. Il faut donc en créer une nouvelle: faites un clic droit en dessous de la règle par défaut puis Nouvelle stratégie d'adresse de messagerie.

Nommez votre nouvelle règle puis indiquez le conteneur (unité d'organisation) d'utilisateurs sur lequel la règle sera appliquée. Ensuite indiquez sur quels types d'objets sera appliquée la règle. Pour simplifier l'administration et n'ayant qu'un seul domaine à héberger, je peux choisir tous les types d'objets.

Vous pourrez ensuite préciser des conditions d'application de votre nouvelle stratégie. Ces règles sont basées sur les attributs des objets. Vous ne pouvez pas accéder à tous les attributs depuis le mode graphique. Vous pouvez en revanche définir des attributs personnalisés. Ces attributs sont numérotés, vous devrez donc documenter ces attributs afin de savoir à quoi ils correspondent.

Vous devrez ensuite indiquer les règles de création d'adresses email. Il est possible de créer plusieurs adresses pour un compte en créant plusieurs règles. Cliquez sur Ajouter.
Ici on coche "partie locale ad mess" et prénom.nom avec Sel domaine accepté: todorovic.fr

Une fois que vous avez créé les règles souhaitées, passez à la planification de l'application de la stratégie.

powershell: update-EmailAdressPolicy -Identity 'Todorovic.fr'

Vers "création basique des comptes Echange"