Déploiement Exchange Server 2016 (Partie 1)

Hello, nous allons voir ensemble l’installation et la configuration d’une infrastructure Exchange Server 2016 sous Windows Server 2016. Toutefois, avant de pouvoir réaliser cette installation, il faudra préparer le terrain et déployer tous les prérequis nécessaires. La première partie de ce projet fera donc l’état des prérequis que vous devrez réunir pour réaliser ce projet à la perfection. Ensuite, nous pourrons commencer le déploiement d’Exchange Server 2016.

Création de machine virtuelle Windows : machine-virtuelle-pixelabs/

Installation complète Exchange Server 2016

Exchange 2016 Prérequis

L’installation d’une solution Exchange Server va passer par trois étapes majeures :

  • La préparation d’annuaire Active Directory.
  • L’installation des prérequis sur le serveur Exchange.
  • L’installation d’Exchange Server 2016.

Composants indispensables :

  • Framwork .NET 4.6.2 et plus
  • Microsoft Unified Communication Managed API 4.0, Core Runtime 64 bits : Télécharger
Niveaux fonctionnelsSystème d’exploitation
Windows Server 2008 et +
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016

Infrastructure requise

Pour réaliser ce projet, nous allons avoir besoin de 5 machines virtuelles distinctes.

Active Directory
  • Contrôleur de domaine
    • Nom Serveur : AD-SERVER
    • Adresse IP : 192.168.1.20
    • Domaine : pixelabs.lan
    • Rôles  : Active Directory , DNSDHCP
    • Installation par défaut
Serveur principal ExchangeServeur DAG
  • Serveur Exchange 1
    • Windows Server 2016
    • Nom : EX-SERVER1
    • Adresse IP : 192.168.1.21
    • DNS principale : 192.168.1.20
    • Rôle : boites aux lettres
    • Membre du domaine : pixelabs.lan
    • Installation par défaut
  • Serveur Exchange 2 
    • Windows Server 2016
    • Nom : EX-DAG
    • Adresse IP : 192.168.1.22
    • DNS principale192.168.1.20
    • Rôle : boites aux lettres
    • Membre du domaine : pixelabs.lan
    • Installation par défaut
Rôle Edge Transport (DMZ) Poste client disposant d’Outlook 2016
  • Serveur Edge  
    • Windows Server 2016
    • Nom : EX-EDGE
    • Adresse IP : N/A
    • DNS principale : N/A
    • Rôle : Edge Transport
    • Installation par défaut
  • Windows 10
    • Nom : PC-PIXEL
    • Adresse IP : 192.168.1.25 ou DHCP
    • Membre du domaine : pixelabs.lan
    • Rôle : Machine de test
    • Installation par défaut

Configuration minimale

Voici la configuration minimale des machines virtuelles. Vous n’êtes pas obligé de déployer un deuxième serveur Exchange. (Si j’avais plus de ressources, un deuxième serveur AD ne serait pas de trop)

AD-SERVER
  • Mémoire RAM : 2 Go 
  • Espace disque : 50 Go
EX-SERVER1EX-DAG
  • Mémoire RAM : 8 Go minimum
  • Espace disque : 50 Go
  • Mémoire RAM : 8 Go minimum
  • Espace disque : 50 Go
EX-EDGE PC-PIXEL (Outlook 2016)
  • Mémoire RAM : 3 Go
  • Espace disque : 50 Go
  • Mémoire RAM : 2 Go
  • Espace disque : 20 Go

Schéma infrastructure Edge Transport

Si vous souhaitez implémenter un serveur de transport Edge, celui-ci doit être placé hors domaine et ne peut pas être déployé sur un serveur Exchange. Voici un petit schéma d’exemple :

Remarque : Pour le moment, je ne compte pas mettre de routeur pour Exchange Server 2016, mais lors de la mise en place d’un serveur de transport Edge, il faut bien un routeur pour faire les choses bien. Personnellement, je compte recommencer mon infrastructure Exchange plus tard avec un routeur (pfSense) et créer des sous-réseaux de classe A et B. 

Future architecture :

Architecture Exchange un Firewall

Licences Exchange Server

Nous allons utiliser la version d’évaluation de Windows Server et Exchange Server pour mettre en place notre infrastructure. En production, il faut d’abord passer à la caisse les amis et installer de vraies licences. Pour en savoir plus sur les licences Exchange : voir ici

Je vous fais un résumé :

Tout d’abord, il existe deux éditions d’Exchange Server 2016 : l’édition Standard et l’édition Enterprise.

  • L’édition standard est limitée à 5 bases de données de boîtes aux lettres montées par serveur
  • L’édition Enterprise est limitée à 100 bases de données de boîtes aux lettres montées par serveur.

(C’est la SEULE différence entre les deux éditions).

Architecture de stockage

Exchange Server est compatible avec les deux types de stockage :

  • Stockage traditionnel : les disques directement connectés au serveur (tout type de disque)
  • Stockage en réseau : Ce sont les baies de stockage SAN (Storage Area Network) reliées en Fibre Channel ou en iSCSI. Elles fournissent un gain de performance remarquable.

Exchange 2016 fonctionne sur une architecture basée sur le stockage en réseau (SAN) mais a été également optimisé pour l’utilisation des disques SATA. Dans ce projet, je ne vais pas utiliser de stockage SAN car… je n’ai simplement pas de SAN 🙂 (c’est bien dommage, peut être un jour…) 

Si vous devez utiliser un SAN pour votre architecture Exchange, alors il vous faudra déterminer le schéma de redondance à mettre en oeuvre, notamment la technologie RAID (Redundant Array of Inexpensive Independent Disks). La mise en place des SAN est coûteuse et requiert des connaissances plus poussées.

La technologie RAID permet de proposer des disques de grande capacité dotés d’un niveau de fiabilité élevé. Sous Exchange, pour assurer la disponibilité des données par exemple, on pourra implémenter la technologie RAID au niveau des disques. Voici les options RAID :

  • RAID 0 : Ne propose aucune tolérance aux pannes, il propose un volume dont la taille correspond à la somme des disques. Si l’un des disques tombe en panne, c’est foutu, la totalité du volume est perdue.
  • RAID 1 : Offre une tolérance aux pannes en copiant les données sur deux disques physiques distincts.
  • RAID 5 : Utilise au moins 3 disques durs et répartit les données sur plusieurs disques pour gagner en performance grâce à l’accès simultané, auxquelles seront également ajoutées des données de parité. En cas de défaillance de l’un des disques, les données seront calculées grâce aux informations et données de parité situées sur les autres disques.
  • RAID 6 (5+1) : Utilise au moins 6 disques et fonctionne de manière similaire au RAID 5, à la différence qu’il est capable de préserver l’intégrité des données après la panne de deux disques durs. Il génère deux jeux d’informations de parité et les stocke sur deux disques différents.

Il est possible de tester les performances de vos disques avec l’outil Microsoft Exchange Server Jetstress 2013 ToolTélécharger

Autorité de certification

Je vous explique en quelques lignes sans trop rentrer dans les détails. Vous avez le choix :

  • Soit de passer encore à la caisse > Rapide, ça marche et sans prise de tête
  • Soit de mettre en place votre CA > « Rapide », « ça marche », mais casse-tête

Je m’explique : vous pouvez acheter un certificat chez une autorité de certification (valide pour tous), ou d’utiliser un certificat auto-signé (valide que pour vous). Alors, pourquoi il est conseillé d’acheter un certificat chez une CA ?

C’est simple, un certificat signé par une Autorité de Certification sera détecté automatiquement partout comme étant valide. Car, les ordinateurs, les smartphones…etc., partagent la liste des autorités de certification valides sur Internet. Et donc, aucune manipulation à faire sur les postes de votre infrastructure.

Un certificat auto-signé n’étant pas nativement approuvé, il n’est donc valide que pour vous-même, ce qui veut dire qu’il faut installer ce certificat sur tous les postes connectés à votre infrastructure Exchange.

Pour notre infrastructure Exchange, nous allons mettre en place une autorité de certificat autonome.

Nom de domaine / DNS

Exchange utilise un serveur DNS pour identifier les serveurs SMTP, vers lequel il envoie des e-mails au travers des enregistrements de type MX (Mail eXchanger), mais également pour recevoir des e-mails depuis l’extérieur. Si vous souhaitez donc envoyer un mail depuis votre serveur Exchange vers votre boite perso Gmail.com par exemple, il vous faut un nom de domaine.

Dans mon cas, je vais utilise le domaine pixelabs.fr pour communiquer avec l’extérieur. Vous pouvez déjà préparer la configuration chez votre hébergeur.

  • Je me connecte à mon espace client OVH
    • Cliquez sur Domaines
    • Cliquez sur le nom de votre domaine : Pixelabs.fr
    • Cliquez sur Zone DNS
    • Vous allez ajouter deux entrées DNS
      • Type A
      • Type MX
      • Type SRV (autodiscover)

Zone DNS OVH

  • Sur la colonne de droite, cliquez sur Ajouter une entrée
    • Enregistrement type A
      • Sous-domaine : mailhost
      • TTL : Par défaut
      • Cible : Adresse IP de votre Box/Routeur
      • Ce qui donne : mailhost IN A IP_public_de_la_Box  // connecter à votre box pour voir l’IP public
    • Validez la création

A partir de ce moment, évitez de redémarrer votre box, si l’adresse IP change, c’est foutu !

  • Sur la colonne de droite, cliquez sur Ajouter une entrée
    • Enregistrement type MX
      • Sous-domaine : laissez vide
      • TTL : par défaut
      • Priorité : 0
      • Cible : mailhost.pixelabs.fr.       // il y a un « point » à la fin
      • Ce qui donne : IN MX 0 mailhost.pixelabs.fr.
    • Validez la création

Vous pouvez également ajouter une entrée pour l’autodiscover si vous le souhaitez :

  • Sur la colonne de droite, cliquez sur Ajouter une entrée
    • Enregistrement type SRV
      • Sous-domaine : _autodiscover._tcp
      • TTL : par défaut
      • Priorité : 0
      • Poids : 0
      • Port : 443
      • Cible : mailhost.pixelabs.fr.       // il y a un « point » à la fin
      • Ce qui donne : _autodiscover._tcp IN SRV 0 0 443 mailhost.pixelabs.fr.
    • Validez la création

N’oubliez surtout pas de faire une redirection de port 25/TCP depuis votre box vers le serveur Exchange. Nous allons voir comment s’y prendre dans la dernière partie de ce projet  (Edge Transport).

En attendant que le domaine se propage (1h / 24h max) préparez votre infrastructure Exchange (VMs, AD, DNS, Exchange…)

Test domain Tools

Pour tester l’enregistrement MX de votre domaine public : mxtoolbox.com

Pour tester la connectivité SMTP : testconnectivity.microsoft.com

Sigles / Protocoles

Quelques sigles que nous allons rencontrer tout au long de ce projet :

MAPI : Messaging Application Programming Interface

HTTP(S) : Hypertext Transfer Protocol (Secure)

SMTPSimple Mail Transfer Protocol

IMAP4Internet Message Access Protocol 4

POP3Post Office Protocol 3

EASExchange ActiveSync

EWSExchange Web Services

ECP : Exchange Control Panel

OABOffline Address Book

OWAOutlook Web App

RPSRemote PowerShell

TCP Transmission Control Protocol

DNS : Domain Name System

UPN : User Principal Name

DMZ : Demilitarized Zone

MX : Mail eXchanger

TTL Time To Live

FQDN : Fully Qualified Domain Name

DHCP : Dynamic Host Configuration Protocol

iSCSI : Internet Small Computer System Interface

RAID : Redundant Array of Inexpensive Independent Disks

SSL/TLS SSL – Secure Sockets Layer TLS -Transport Layer Security

Je m’arrête ici, à très bientôt pour la deuxième partie.

6 Responses

  1. visvic dit :

    Hello l’ami,

    Je suis tomber sur ce site en cherchant des règles de firewall pour pfsense (afin de rendre ma sécurité un peu meilleure).
    J’ai parcouru tous les topics, et je dois dire que tu devrais aller donner des conseils a certains professeur car, je n’ai jamais vu de tutos aussi bien expliqué pas a pas, avec clarté, avec des mots compréhensible de tous etc etc 🙂

    Bravo à toi, je ne peu que t’encourager à continuer, heureusement que des gars comme toi sont la pour nous autres 😉

    Je vais suivre ce tuto exchange, mes ressources ne permettront que d’avoir un AD, un EXCHANGE et un EDGE.
    Est-ce que la sécurité est abordée ? qui que j’ai entendu, il ne font jamais de serveur exchange, pour eux étant trop compliqué à gérer au niveau sécurité.

    Merci pour ce merveilleux site/bible.

    • sysadmin dit :

      Hello,
      Avec plaisir et un grand merci à toi pour ton commentaire, cela m’encourage beaucoup.
      Tout est abordé sur la partie Exchange. En plus d’un firewall (ici, pfSense) pour sécuriser l’ensemble de l’infra :
      – Certificat SSL/TLS
      – Disque distant iSCSI
      – Haute disponibilité des BDD (DAG)
      – Filtrage anti-spamme (Edge)
      – Sauvegarde est restauration
      – La supervision…etc.
      Malheureusement, je n’ai pas les ressources nécessaires pour aller plus loin, mais je pense que j’ai abordé tout ce qu’il faut pour un Exchange parfait.
      Bonne soirée.
      -Pixel.

  2. Kouakou dit :

    J’ai rarement vu un travail aussi abouti et une volonté manifeste de rendre les explications accessibles a tous avec tous ces liens, ces couleurs. Ce jour de la découverte de votre site changera quelque chose dans mon parcours.

  3. Romain dit :

    Joli travail 🙂

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *