Hello, nous allons voir ensemble l’installation et la configuration d’une infrastructure Exchange Server 2016 sous Windows Server 2016. Toutefois, avant de pouvoir réaliser cette installation, il faudra préparer le terrain et déployer tous les prérequis nécessaires. La première partie de ce projet fera donc l’état des prérequis que vous devrez réunir pour réaliser ce projet à la perfection. Ensuite, nous pourrons commencer le déploiement d’Exchange Server 2016.
Création de machine virtuelle Windows : machine-virtuelle-pixelabs/
Exchange 2016 Prérequis
L’installation d’une solution Exchange Server va passer par trois étapes majeures :
- La préparation d’annuaire Active Directory.
- L’installation des prérequis sur le serveur Exchange.
- L’installation d’Exchange Server 2016.
Composants indispensables :
- Framwork .NET 4.6.2 et plus
- Microsoft Unified Communication Managed API 4.0, Core Runtime 64 bits : Télécharger
| Niveaux fonctionnels | Système d’exploitation |
| Windows Server 2008 et + |
|
Infrastructure requise
Pour réaliser ce projet, nous allons avoir besoin de 5 machines virtuelles distinctes.
- Solution de virtualisation : Oracle VM VirtualBox, VMware WorkStation, HyperV, vSphère ESXi Hypervisor… vous avez le choix.
- Fichiers ISO d’Exchange Server 2016 : Télécharger (dernière version à ce jour : CU9) lien direct : Version installée Exchange CU9 (KB4055222) – Lien version CU11 – (KB4134118)
- Si vous souhaitez prendre une autre version, surtout prenez à partir de la version Exchange Server 2016 CU4
- Fichier ISO de Windows Server 2016 : Télécharger
| Active Directory | |
| |
| Serveur principal Exchange | Serveur DAG |
|
|
| Rôle Edge Transport (DMZ) | Poste client disposant d’Outlook 2016 |
|
|
Configuration minimale
Voici la configuration minimale des machines virtuelles. Vous n’êtes pas obligé de déployer un deuxième serveur Exchange. (Si j’avais plus de ressources, un deuxième serveur AD ne serait pas de trop)
| AD-SERVER | |
| |
| EX-SERVER1 | EX-DAG |
|
|
| EX-EDGE | PC-PIXEL (Outlook 2016) |
|
|
Schéma infrastructure Edge Transport
Si vous souhaitez implémenter un serveur de transport Edge, celui-ci doit être placé hors domaine et ne peut pas être déployé sur un serveur Exchange. Voici un petit schéma d’exemple :
Remarque : Pour le moment, je ne compte pas mettre de routeur pour Exchange Server 2016, mais lors de la mise en place d’un serveur de transport Edge, il faut bien un routeur pour faire les choses bien. Personnellement, je compte recommencer mon infrastructure Exchange plus tard avec un routeur (pfSense) et créer des sous-réseaux de classe A et B.
Future architecture :
Licences Exchange Server
Nous allons utiliser la version d’évaluation de Windows Server et Exchange Server pour mettre en place notre infrastructure. En production, il faut d’abord passer à la caisse les amis et installer de vraies licences. Pour en savoir plus sur les licences Exchange : voir ici
Je vous fais un résumé :
Tout d’abord, il existe deux éditions d’Exchange Server 2016 : l’édition Standard et l’édition Enterprise.
- L’édition standard est limitée à 5 bases de données de boîtes aux lettres montées par serveur
- L’édition Enterprise est limitée à 100 bases de données de boîtes aux lettres montées par serveur.
(C’est la SEULE différence entre les deux éditions).
Architecture de stockage
Exchange Server est compatible avec les deux types de stockage :
- Stockage traditionnel : les disques directement connectés au serveur (tout type de disque)
- Stockage en réseau : Ce sont les baies de stockage SAN (Storage Area Network) reliées en Fibre Channel ou en iSCSI. Elles fournissent un gain de performance remarquable.
Exchange 2016 fonctionne sur une architecture basée sur le stockage en réseau (SAN) mais a été également optimisé pour l’utilisation des disques SATA. Dans ce projet, je ne vais pas utiliser de stockage SAN car… je n’ai simplement pas de SAN 🙂 (c’est bien dommage, peut être un jour…)
Si vous devez utiliser un SAN pour votre architecture Exchange, alors il vous faudra déterminer le schéma de redondance à mettre en oeuvre, notamment la technologie RAID (Redundant Array of Inexpensive Independent Disks). La mise en place des SAN est coûteuse et requiert des connaissances plus poussées.
La technologie RAID permet de proposer des disques de grande capacité dotés d’un niveau de fiabilité élevé. Sous Exchange, pour assurer la disponibilité des données par exemple, on pourra implémenter la technologie RAID au niveau des disques. Voici les options RAID :
- RAID 0 : Ne propose aucune tolérance aux pannes, il propose un volume dont la taille correspond à la somme des disques. Si l’un des disques tombe en panne, c’est foutu, la totalité du volume est perdue.
- RAID 1 : Offre une tolérance aux pannes en copiant les données sur deux disques physiques distincts.
- RAID 5 : Utilise au moins 3 disques durs et répartit les données sur plusieurs disques pour gagner en performance grâce à l’accès simultané, auxquelles seront également ajoutées des données de parité. En cas de défaillance de l’un des disques, les données seront calculées grâce aux informations et données de parité situées sur les autres disques.
- RAID 6 (5+1) : Utilise au moins 6 disques et fonctionne de manière similaire au RAID 5, à la différence qu’il est capable de préserver l’intégrité des données après la panne de deux disques durs. Il génère deux jeux d’informations de parité et les stocke sur deux disques différents.
Il est possible de tester les performances de vos disques avec l’outil Microsoft Exchange Server Jetstress 2013 Tool : Télécharger
Autorité de certification
Je vous explique en quelques lignes sans trop rentrer dans les détails. Vous avez le choix :
- Soit de passer encore à la caisse > Rapide, ça marche et sans prise de tête
- Soit de mettre en place votre CA > « Rapide », « ça marche », mais casse-tête
Je m’explique : vous pouvez acheter un certificat chez une autorité de certification (valide pour tous), ou d’utiliser un certificat auto-signé (valide que pour vous). Alors, pourquoi il est conseillé d’acheter un certificat chez une CA ?
C’est simple, un certificat signé par une Autorité de Certification sera détecté automatiquement partout comme étant valide. Car, les ordinateurs, les smartphones…etc., partagent la liste des autorités de certification valides sur Internet. Et donc, aucune manipulation à faire sur les postes de votre infrastructure.
Un certificat auto-signé n’étant pas nativement approuvé, il n’est donc valide que pour vous-même, ce qui veut dire qu’il faut installer ce certificat sur tous les postes connectés à votre infrastructure Exchange.
Pour notre infrastructure Exchange, nous allons mettre en place une autorité de certificat autonome.
Nom de domaine / DNS
Exchange utilise un serveur DNS pour identifier les serveurs SMTP, vers lequel il envoie des e-mails au travers des enregistrements de type MX (Mail eXchanger), mais également pour recevoir des e-mails depuis l’extérieur. Si vous souhaitez donc envoyer un mail depuis votre serveur Exchange vers votre boite perso Gmail.com par exemple, il vous faut un nom de domaine.
Dans mon cas, je vais utilise le domaine pixelabs.fr pour communiquer avec l’extérieur. Vous pouvez déjà préparer la configuration chez votre hébergeur.
- Je me connecte à mon espace client OVH
- Cliquez sur Domaines
- Cliquez sur le nom de votre domaine : Pixelabs.fr
- Cliquez sur Zone DNS
- Vous allez ajouter deux entrées DNS
- Type A
- Type MX
- Type SRV (autodiscover)
- Sur la colonne de droite, cliquez sur Ajouter une entrée
- Enregistrement type A
- Sous-domaine : mailhost
- TTL : Par défaut
- Cible : Adresse IP de votre Box/Routeur
- Ce qui donne : mailhost IN A IP_public_de_la_Box // connecter à votre box pour voir l’IP public
- Validez la création
- Enregistrement type A
A partir de ce moment, évitez de redémarrer votre box, si l’adresse IP change, c’est foutu !
- Sur la colonne de droite, cliquez sur Ajouter une entrée
- Enregistrement type MX
- Sous-domaine : laissez vide
- TTL : par défaut
- Priorité : 0
- Cible : mailhost.pixelabs.fr. // il y a un « point » à la fin
- Ce qui donne : IN MX 0 mailhost.pixelabs.fr.
- Validez la création
- Enregistrement type MX
Vous pouvez également ajouter une entrée pour l’autodiscover si vous le souhaitez :
- Sur la colonne de droite, cliquez sur Ajouter une entrée
- Enregistrement type SRV
- Sous-domaine : _autodiscover._tcp
- TTL : par défaut
- Priorité : 0
- Poids : 0
- Port : 443
- Cible : mailhost.pixelabs.fr. // il y a un « point » à la fin
- Ce qui donne : _autodiscover._tcp IN SRV 0 0 443 mailhost.pixelabs.fr.
- Validez la création
- Enregistrement type SRV
N’oubliez surtout pas de faire une redirection de port 25/TCP depuis votre box vers le serveur Exchange. Nous allons voir comment s’y prendre dans la dernière partie de ce projet (Edge Transport).
En attendant que le domaine se propage (1h / 24h max) préparez votre infrastructure Exchange (VMs, AD, DNS, Exchange…)
Test domain Tools
Pour tester l’enregistrement MX de votre domaine public : mxtoolbox.com
Pour tester la connectivité SMTP : testconnectivity.microsoft.com
Sigles / Protocoles
Quelques sigles que nous allons rencontrer tout au long de ce projet :
MAPI : Messaging Application Programming Interface
HTTP(S) : Hypertext Transfer Protocol (Secure)
SMTP : Simple Mail Transfer Protocol
IMAP4 : Internet Message Access Protocol 4
POP3 : Post Office Protocol 3
EAS : Exchange ActiveSync
EWS : Exchange Web Services
ECP : Exchange Control Panel
OAB : Offline Address Book
OWA : Outlook Web App
RPS : Remote PowerShell
TCP : Transmission Control Protocol
DNS : Domain Name System
UPN : User Principal Name
DMZ : Demilitarized Zone
MX : Mail eXchanger
TTL : Time To Live
FQDN : Fully Qualified Domain Name
DHCP : Dynamic Host Configuration Protocol
iSCSI : Internet Small Computer System Interface
RAID : Redundant Array of Inexpensive Independent Disks
SSL/TLS : SSL – Secure Sockets Layer / TLS -Transport Layer Security
Je m’arrête ici, à très bientôt pour la deuxième partie.
Merci pour le partage de tes connaissances c’est un bon travail.
Bonne continuation.
Bien à toi
Merci pour ton message.
Hello l’ami,
Je suis tomber sur ce site en cherchant des règles de firewall pour pfsense (afin de rendre ma sécurité un peu meilleure).
J’ai parcouru tous les topics, et je dois dire que tu devrais aller donner des conseils a certains professeur car, je n’ai jamais vu de tutos aussi bien expliqué pas a pas, avec clarté, avec des mots compréhensible de tous etc etc 🙂
Bravo à toi, je ne peu que t’encourager à continuer, heureusement que des gars comme toi sont la pour nous autres 😉
Je vais suivre ce tuto exchange, mes ressources ne permettront que d’avoir un AD, un EXCHANGE et un EDGE.
Est-ce que la sécurité est abordée ? qui que j’ai entendu, il ne font jamais de serveur exchange, pour eux étant trop compliqué à gérer au niveau sécurité.
Merci pour ce merveilleux site/bible.
Hello,
Avec plaisir et un grand merci à toi pour ton commentaire, cela m’encourage beaucoup.
Tout est abordé sur la partie Exchange. En plus d’un firewall (ici, pfSense) pour sécuriser l’ensemble de l’infra :
– Certificat SSL/TLS
– Disque distant iSCSI
– Haute disponibilité des BDD (DAG)
– Filtrage anti-spamme (Edge)
– Sauvegarde est restauration
– La supervision…etc.
Malheureusement, je n’ai pas les ressources nécessaires pour aller plus loin, mais je pense que j’ai abordé tout ce qu’il faut pour un Exchange parfait.
Bonne soirée.
-Pixel.
J’ai rarement vu un travail aussi abouti et une volonté manifeste de rendre les explications accessibles a tous avec tous ces liens, ces couleurs. Ce jour de la découverte de votre site changera quelque chose dans mon parcours.
Votre commentaire m’encourage beaucoup. Un GRAND MERCI à vous.
Bonne journée.
-Pixel.
Joli travail 🙂
Merci 😉