Hello, nous allons voir ensemble l’installation et la configuration d’une infrastructure Exchange Server 2016 sous Windows Server 2016. Toutefois, avant de pouvoir réaliser cette installation, il faudra préparer le terrain et déployer tous les prérequis nécessaires. La première partie de ce projet fera donc l’état des prérequis que vous devrez réunir pour réaliser ce projet à la perfection. Ensuite, nous pourrons commencer le déploiement d’Exchange Server 2016.

Création de machine virtuelle Windows : machine-virtuelle-pixelabs/

Exchange 2016 Prérequis

L’installation d’une solution Exchange Server va passer par trois étapes majeures :

• La préparation d’annuaire Active Directory.
• L’installation des prérequis sur le serveur Exchange.
• L’installation d’Exchange Server 2016.

Composants indispensables :

• Framwork .NET 4.6.2 et plus
• Microsoft Unified Communication Managed API 4.0, Core Runtime 64 bits : Télécharger

Niveaux fonctionnels	Système d’exploitation
Windows Server 2008 et +	Windows Server 2012 Windows Server 2012 R2 Windows Server 2016

Infrastructure requise

Pour réaliser ce projet, nous allons avoir besoin de 5 machines virtuelles distinctes.

• Solution de virtualisation : Oracle VM VirtualBox, VMware WorkStation, HyperV, vSphère ESXi Hypervisor… vous avez le choix.
• Fichiers ISO d’Exchange Server 2016 : Télécharger (dernière version à ce jour : CU9) lien direct : Version installée Exchange CU9 (KB4055222) – Lien version CU11 – (KB4134118)
• Si vous souhaitez prendre une autre version, surtout prenez à partir de la version Exchange Server 2016 CU4
• Fichier ISO de Windows Server 2016 : Télécharger

Active Directory
Contrôleur de domaine Nom Serveur : AD-SERVER Adresse IP : 192.168.1.20 Domaine : pixelabs.lan Rôles  : Active Directory , DNS, DHCP Installation par défaut
Serveur principal Exchange	Serveur DAG
Serveur Exchange 1 Windows Server 2016 Nom : EX-SERVER1 Adresse IP : 192.168.1.21 DNS principale : 192.168.1.20 Rôle : boites aux lettres Membre du domaine : pixelabs.lan Installation par défaut	Serveur Exchange 2  Windows Server 2016 Nom : EX-DAG Adresse IP : 192.168.1.22 DNS principale : 192.168.1.20 Rôle : boites aux lettres Membre du domaine : pixelabs.lan Installation par défaut
Rôle Edge Transport (DMZ)	Poste client disposant d’Outlook 2016
Serveur Edge   Windows Server 2016 Nom : EX-EDGE Adresse IP : N/A DNS principale : N/A Rôle : Edge Transport Installation par défaut	Windows 10 Nom : PC-PIXEL Adresse IP : 192.168.1.25 ou DHCP Membre du domaine : pixelabs.lan Rôle : Machine de test Installation par défaut

Configuration minimale

Voici la configuration minimale des machines virtuelles. Vous n’êtes pas obligé de déployer un deuxième serveur Exchange. (Si j’avais plus de ressources, un deuxième serveur AD ne serait pas de trop)

AD-SERVER
Mémoire RAM : 2 Go  Espace disque : 50 Go
EX-SERVER1	EX-DAG
Mémoire RAM : 8 Go minimum Espace disque : 50 Go	Mémoire RAM : 8 Go minimum Espace disque : 50 Go
EX-EDGE	PC-PIXEL (Outlook 2016)
Mémoire RAM : 3 Go Espace disque : 50 Go	Mémoire RAM : 2 Go Espace disque : 20 Go

Schéma infrastructure Edge Transport

Si vous souhaitez implémenter un serveur de transport Edge, celui-ci doit être placé hors domaine et ne peut pas être déployé sur un serveur Exchange. Voici un petit schéma d’exemple :

Remarque : Pour le moment, je ne compte pas mettre de routeur pour Exchange Server 2016, mais lors de la mise en place d’un serveur de transport Edge, il faut bien un routeur pour faire les choses bien. Personnellement, je compte recommencer mon infrastructure Exchange plus tard avec un routeur (pfSense) et créer des sous-réseaux de classe A et B. 

Future architecture :

Licences Exchange Server

Nous allons utiliser la version d’évaluation de Windows Server et Exchange Server pour mettre en place notre infrastructure. En production, il faut d’abord passer à la caisse les amis et installer de vraies licences. Pour en savoir plus sur les licences Exchange : voir ici

Je vous fais un résumé :

Tout d’abord, il existe deux éditions d’Exchange Server 2016 : l’édition Standard et l’édition Enterprise.

• L’édition standard est limitée à 5 bases de données de boîtes aux lettres montées par serveur
• L’édition Enterprise est limitée à 100 bases de données de boîtes aux lettres montées par serveur.

(C’est la SEULE différence entre les deux éditions).

Architecture de stockage

Exchange Server est compatible avec les deux types de stockage :

• Stockage traditionnel : les disques directement connectés au serveur (tout type de disque)
• Stockage en réseau : Ce sont les baies de stockage SAN (Storage Area Network) reliées en Fibre Channel ou en iSCSI. Elles fournissent un gain de performance remarquable.

Exchange 2016 fonctionne sur une architecture basée sur le stockage en réseau (SAN) mais a été également optimisé pour l’utilisation des disques SATA. Dans ce projet, je ne vais pas utiliser de stockage SAN car… je n’ai simplement pas de SAN 🙂 (c’est bien dommage, peut être un jour…) 

Si vous devez utiliser un SAN pour votre architecture Exchange, alors il vous faudra déterminer le schéma de redondance à mettre en oeuvre, notamment la technologie RAID (Redundant Array of Inexpensive Independent Disks). La mise en place des SAN est coûteuse et requiert des connaissances plus poussées.

La technologie RAID permet de proposer des disques de grande capacité dotés d’un niveau de fiabilité élevé. Sous Exchange, pour assurer la disponibilité des données par exemple, on pourra implémenter la technologie RAID au niveau des disques. Voici les options RAID :

• RAID 0 : Ne propose aucune tolérance aux pannes, il propose un volume dont la taille correspond à la somme des disques. Si l’un des disques tombe en panne, c’est foutu, la totalité du volume est perdue.
• RAID 1 : Offre une tolérance aux pannes en copiant les données sur deux disques physiques distincts.
• RAID 5 : Utilise au moins 3 disques durs et répartit les données sur plusieurs disques pour gagner en performance grâce à l’accès simultané, auxquelles seront également ajoutées des données de parité. En cas de défaillance de l’un des disques, les données seront calculées grâce aux informations et données de parité situées sur les autres disques.
• RAID 6 (5+1) : Utilise au moins 6 disques et fonctionne de manière similaire au RAID 5, à la différence qu’il est capable de préserver l’intégrité des données après la panne de deux disques durs. Il génère deux jeux d’informations de parité et les stocke sur deux disques différents.

Il est possible de tester les performances de vos disques avec l’outil Microsoft Exchange Server Jetstress 2013 Tool : Télécharger

Autorité de certification

Je vous explique en quelques lignes sans trop rentrer dans les détails. Vous avez le choix :

• Soit de passer encore à la caisse > Rapide, ça marche et sans prise de tête
• Soit de mettre en place votre CA > « Rapide », « ça marche », mais casse-tête

Je m’explique : vous pouvez acheter un certificat chez une autorité de certification (valide pour tous), ou d’utiliser un certificat auto-signé (valide que pour vous). Alors, pourquoi il est conseillé d’acheter un certificat chez une CA ?

C’est simple, un certificat signé par une Autorité de Certification sera détecté automatiquement partout comme étant valide. Car, les ordinateurs, les smartphones…etc., partagent la liste des autorités de certification valides sur Internet. Et donc, aucune manipulation à faire sur les postes de votre infrastructure.

Un certificat auto-signé n’étant pas nativement approuvé, il n’est donc valide que pour vous-même, ce qui veut dire qu’il faut installer ce certificat sur tous les postes connectés à votre infrastructure Exchange.

Pour notre infrastructure Exchange, nous allons mettre en place une autorité de certificat autonome.

Nom de domaine / DNS

Exchange utilise un serveur DNS pour identifier les serveurs SMTP, vers lequel il envoie des e-mails au travers des enregistrements de type MX (Mail eXchanger), mais également pour recevoir des e-mails depuis l’extérieur. Si vous souhaitez donc envoyer un mail depuis votre serveur Exchange vers votre boite perso Gmail.com par exemple, il vous faut un nom de domaine.

Dans mon cas, je vais utilise le domaine pixelabs.fr pour communiquer avec l’extérieur. Vous pouvez déjà préparer la configuration chez votre hébergeur.

• Je me connecte à mon espace client OVH
  • Cliquez sur Domaines
  • Cliquez sur le nom de votre domaine : Pixelabs.fr
  • Cliquez sur Zone DNS
  • Vous allez ajouter deux entrées DNS
    • Type A
    • Type MX
    • Type SRV (autodiscover)

• Sur la colonne de droite, cliquez sur Ajouter une entrée
  • Enregistrement type A
    • Sous-domaine : mailhost
    • TTL : Par défaut
    • Cible : Adresse IP de votre Box/Routeur
    • Ce qui donne : mailhost IN A IP_public_de_la_Box  // connecter à votre box pour voir l’IP public
  • Validez la création

A partir de ce moment, évitez de redémarrer votre box, si l’adresse IP change, c’est foutu !

• Sur la colonne de droite, cliquez sur Ajouter une entrée
  • Enregistrement type MX
    • Sous-domaine : laissez vide
    • TTL : par défaut
    • Priorité : 0
    • Cible : mailhost.pixelabs.fr.       // il y a un « point » à la fin
    • Ce qui donne : IN MX 0 mailhost.pixelabs.fr.
  • Validez la création

Vous pouvez également ajouter une entrée pour l’autodiscover si vous le souhaitez :

• Sur la colonne de droite, cliquez sur Ajouter une entrée
  • Enregistrement type SRV
    • Sous-domaine : _autodiscover._tcp
    • TTL : par défaut
    • Priorité : 0
    • Poids : 0
    • Port : 443
    • Cible : mailhost.pixelabs.fr.       // il y a un « point » à la fin
    • Ce qui donne : _autodiscover._tcp IN SRV 0 0 443 mailhost.pixelabs.fr.
  • Validez la création

N’oubliez surtout pas de faire une redirection de port 25/TCP depuis votre box vers le serveur Exchange. Nous allons voir comment s’y prendre dans la dernière partie de ce projet  (Edge Transport).

En attendant que le domaine se propage (1h / 24h max) préparez votre infrastructure Exchange (VMs, AD, DNS, Exchange…)

Test domain Tools

Pour tester l’enregistrement MX de votre domaine public : mxtoolbox.com

Pour tester la connectivité SMTP : testconnectivity.microsoft.com

Sigles / Protocoles

Quelques sigles que nous allons rencontrer tout au long de ce projet :

MAPI : Messaging Application Programming Interface

HTTP(S) : Hypertext Transfer Protocol (Secure)

SMTP : Simple Mail Transfer Protocol

IMAP4 : Internet Message Access Protocol 4

POP3 : Post Office Protocol 3

EAS : Exchange ActiveSync

EWS : Exchange Web Services

ECP : Exchange Control Panel

OAB : Offline Address Book

OWA : Outlook Web App

RPS : Remote PowerShell

TCP : Transmission Control Protocol

DNS : Domain Name System

UPN : User Principal Name

DMZ : Demilitarized Zone

MX : Mail eXchanger

TTL : Time To Live

FQDN : Fully Qualified Domain Name

DHCP : Dynamic Host Configuration Protocol

iSCSI : Internet Small Computer System Interface

RAID : Redundant Array of Inexpensive Independent Disks

SSL/TLS : SSL – Secure Sockets Layer / TLS -Transport Layer Security

Je m’arrête ici, à très bientôt pour la deuxième partie.