Nous avons vu dans la quatrième partie la mise en place d’une autorité de certification autonome et nous avons configuré une demande de certificat pour Exchange Server 2016. Dans cette partie, nous allons configurer les services d’accès client (CAS) ainsi que les protocoles associés (POP3 / IMAP4, MAPI / HTTP, OWA…etc) afin de pouvoir envoyer des messages en interne et en externe.
Machine virtuelle nécessaire pour ce chapitre :
- AD-SERVER
- EX-SERVER1
- PC-PIXEL (Outlook 2016)
- Création de machine virtuelle Windows : machine-virtuelle-pixelabs/
Mais aussi :
- Nom de domaine : pixelabs.fr
Test domaine Tools :
- MX test : mxtoolbox.com
- SMTP Test : testconnectivity.microsoft.com
Services d’accès client
Les services d’accès client d’Exchange 2016 fonctionnent comme une porte d’entrée, ils laissent passer toutes les demandes de connexion client et les acheminent vers la base de données de boîtes aux lettres appropriée. Si un utilisateur souhaite accéder au contenu de sa messagerie, les services d’accès client transforment le contenu de sa boîte aux lettres dans un format compatible avec le client qu’il utilise (Exemple client : Outlook), et ceci, de manière transparente.
Les services d’accès client assurent 3 actions :
- Authentifier les utilisateurs
- Localiser le serveur hébergeant la base de données
- Connecter l’utilisateur à la boîte aux lettres
Pour assurer la connectivité des clients Exchange 2016 propose les services suivants :
- POP3 / IMAP4 : pour les clients non compatibles avec Exchange
- Exchange Active Sync : pour les smartphones
- Outlook Anywhere, MAPI / HTTP : pour les clients Outlook apps/Web
- Outlook Web : se connecter à sa messagerie via une interface web
- …
Source : technet.microsoft.com
Nouvelle BAL utilisateur
Nous allons créer une nouvelle boite aux lettres utilisateur (Utilisateur AD) sur le serveur Exchange pour pouvoir effectuer quelques tests ci-dessous. Connectez-vous à votre serveur EX-SERVER1.
- Cliquez sur destinataires
- Boites aux lettres
- Cliquez sur le symbole +
- Boite aux lettres utilisateur
- Alias : laissez vide
- Utilisateur existant : Permet d’ajouter un utilisateur déjà crée sur l’AD
- Nouvel utilisateur
- Dans le champ Unité d’organisation : Cliquez sur parcourir... vous pouvez sélectionner l’unité d’organisation Users (j’ai dû créer l’OU « Pixelabs » sur mon AD)
- Dans le champ Base de données de boites aux lettres : cliquez sur parcourir… et sélectionnez une base de données de boites aux lettres.
- Enregistrer
- Vous pouvez ajouter d’autres boites aux lettres utilisateur et les répartir dans BDD1/BDD2
Configuration Autodiscover
Pour que les clients puissent utiliser le service de découverte automatique, il faut ajouter un enregistrement SRV sur le contrôleur de domaine. Connectez-vous à votre serveur AD et lancez la console DNS.
- Gestionnaire de serveur > Outils > DNS
- Développez votre serveur
- Zone de recherches directes
- Faire un clic droit sur votre domaine : pixelabs.lan
- Nouveaux enregistrements…
- Sélectionnez dans la liste : Emplacement du service (SRV)
- Cliquez sur Créer un enregistrement…
- Cliquez sur Ok et fermer.
Tester l’Autodiscover
Pour tester l’Autodiscover, je me connecte sur le poste client PC-PIXEL avec le compte Adam Arouine (PIXELABS\adam.arouine):
- Lancez Outlook 2016
- La page de bienvenue s’affiche, cliquez sur suivant
- Ajouter un compte de messagerie, laissez sur Oui et cliquez sur suivant
- Le nom et l’adresse de messagerie s’affiche automatiquement
- Cliquez sur suivant
Cliquez sur terminer.
Configuration des répertoires virtuels
Nous allons configurer les services d’accès client Exchange pour utiliser le nom d’hôte public que ce soit en interne ou externe, nous allons tous les configurer pour utiliser mailhost.pixelabs.fr.
Remarque : Lors de la configuration de certificat (Voir lien), nous avons configuré le nom hôte ex-server1.pixelabs.lan (intranet) et aussi mailhost.pixelabs.fr (Internet). En cas de problème, faire une nouvelle demande et configurer le certificat uniquement pour l’hôte mailhost.pixelabs.fr que ce soit en interne ou externe (Intranet/Internet).
Connectez-vous à votre serveur Exchange et lancez le centre d’administration Exchange :
- Allez dans Serveurs > répertoires virtuels
- Double clic sur une ligne pour modifier les paramètres (pour aller plus vite, voir les commandes Powershell ci-dessous)
- ECP (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/ecp URL Externe : https://mailhost.pixelabs.fr/ecp
- EWS (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/EWS/Exchange.asmx URL Externe : https://mailhost.pixelabs.fr/EWS/Exchange.asmx
- MAPI (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/mapi URL Externe : https://mailhost.pixelabs.fr/mapi
- Microsoft-Server-ActiveSync (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync URL Externe : https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync
- OAB (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/OAB URL Externe : https://mailhost.pixelabs.fr/OAB
- OWA (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/owa URL Externe : https://mailhost.pixelabs.fr/owa
- PowerShell (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/powershell URL Externe : https://mailhost.pixelabs.fr/powershell
Cmdlet PowerShell : Remplacez par rapport à votre configuration : EX-SERVER1 et le domaine public https://mailhost.pixelabs.fr
- ECP (Default Web Site) :
Set-EcpVirtualDirectory -Identity "EX-SERVER1\ECP (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/ecp -InternalUrl https://mailhost.pixelabs.fr/ecp
- EWS (Default Web Site)
Set-WebServicesVirtualDirectory -Identity "EX-SERVER1\EWS (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/EWS/Exchange.asmx -InternalUrl https://mailhost.pixelabs.fr/EWS/Exchange.asmx
- MAPI (Default Web Site)
Set-MapiVirtualDirectory -Identity "EX-SERVER1\MAPI (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/mapi -InternalUrl https://mailhost.pixelabs.fr/mapi
- Microsoft-Server-ActiveSync (Default Web Site)
Set-ActiveSyncVirtualDirectory -Identity "EX-SERVER1\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync -InternalUrl https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync
- OAB (Default Web Site)
Set-OabVirtualDirectory -Identity "EX-SERVER1\OAB (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/OAB -InternalUrl https://mailhost.pixelabs.fr/OAB
- OWA (Default Web Site)
Set-OwaVirtualDirectory -Identity "EX-SERVER1\OWA (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/owa -InternalUrl https://mailhost.pixelabs.fr/owa
- PowerShell (Default Web Site)
Set-OwaVirtualDirectory -Identity "EX-SERVER1\PowerShell (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/powershell -InternalUrl https://mailhost.pixelabs.fr/powershell
Configuration DNS Active Directory
Connectez-vous à votre serveur AD, AD-SERVER.
- Allez dans Gestionnaire de serveur > Outils > DNS.
- Développer AD-SERVER…
- Clic droit sur Zone de recherche directes
- Nouvelle zone…
- Cliquez sur suivant
- Sélectionnez : Zone principale
- Sélectionnez : Vers tous les serveurs exécutés sur des contrôleurs de domaine dans ce domaine : pixelabs.lan
- Nom de la zone (votre domaine) : mailhost.pixelabs.fr
- Sélectionnez : N’autoriser que les mises à jours sécurisées (recomandé pour Active Directory)
- Cliquez sur suivant
- Cliquez sur Terminer
- Effectuez un clic droit le domaine : mailhost.pixelabs.fr
- Nouvel hôte (A ou AAAA)…
- Nom : laissez vide
- Adresse IP : 192.168.1.21 (IP de votre serveur Exchange : EX-SERVER1)
- Nouvel hôte (A ou AAAA)…
- Cliquez sur Ajouter un hôte
- Cliquez sur Fermer
Configuration des connecteurs SMTP
Connecteurs d’envoi
Pour pouvoir communiquer avec l’extérieur, il faut configurer deux types de connecteurs : le connecteur d’envoi et le connecteur de réception.
Connectez-vous à votre serveur Exchange EX-SERVER1, lancez le Centre d’aministration Exchange, cliquez sur le menu flux de courrier > Connecteurs d’envoi
- Cliquez sur Nouveau (symbole +)
- Nom : Pixelabs.fr
- Cochez : Internet
- Cliquez sur suivant
- Cochez : Enregistrement MX associé au domaine du destinataire
- Cliquez sur suivant
- Cliquez sur le symbole (+) pour ajouter un domaine
- Dans le champ Nom de domaine complet (FQDN), tapez : *
- Cliquez sur enregistrer
- Cliquez sur suivant
- Serveur source : EX-SERVER1
- Cliquez sur terminer.
- Effectuez un double clic sur le connecteur pour le modifier
- Cliquez sur étendue
- Tout en bas, ajouter votre FQDN externe : mailhost.pixelabs.fr
- Cliquez sur enregistrer
Connecteurs de réception
- Toujours sur la même page (flux de courrier), cliquez sur connecteurs de réception
- Effectuez un double clic sur Defaut Frontend EX-SERVER1
- Allez dans sécurité
- Vérifiez les paramètres
- Vérifiez que l’option Utilisateurs anonymes est cochée.
- Cette option doit être décochée dans le menu : Default EX-SERVER1
- Dans l’onglet étendue et vérifiez que l’écoute du connecteur se fait sur le port 25 dans la zone Liaisons de carte réseau
Remarque : je n’ai rien modifié d’autre dans le connecteurs de réception à pars ces deux options.
Configuration domaine public
Il faut ajouter le domaine public (pixelabs.fr) aux domaines acceptés sous Exchange. Pour le moment, seul le domaine interne est présent : pixelabs.lan
Toujours sur la même page (flux de courrier), cliquez sur domaines acceptés
- Cliquez sur Nouveau (+)
- Nom : pixelabs.fr
- Domaine accepté : pixelabs.fr
- Cliquez sur enregister
- Effectuez un double clic sur le domaine : pixelabs.fr
- Cochez la case définir ce domaine comme domaine par défaut.
- Enregistrer.
Configuration des protocoles POP3/IMAP4
Le protocole POP3 (Post Office Protocol) permet aux utilisateurs de récupérer leurs messages depuis leur boîte aux lettres Exchange vers leur client de messagerie. Par défaut, le protocole POP3 utilise le port TCP 110 et TCP 995 via TLS.
Le protocole IMAP4 (Internet Message Access Protocol 4) permet aux utilisateurs, comme le protocole POP3, d’accéder aux messages de leurs boîtes aux lettres via un client de messagerie. Par défaut, le protocole IMAP4 utilise le port TCP 143 et TCP 993 via TLS.
La connectivité client IMAP4 n’est pas activée par défaut dans Exchange Server 2016.
Remarque : exemple clients POP3/IMAP4 : Mozilla Thunderbird, Mailbird
Activez le protocole POP3 au démarrage du serveur :
[PS] C:\Windows\system32> Set-Service msExchangePOP3 -StartupType Automatic [PS] C:\Windows\system32>
Activez le protocole IMAP4 au démarrage du serveur :
[PS] C:\Windows\system32> Set-Service MSExchangeIMAP4 -StartupType Automatic [PS] C:\Windows\system32>
Démarrez le service POP3 :
[PS] C:\Windows\system32> Start-Service -Service msExchangePOP3 AVERTISSEMENT : Attente du démarrage du service « Microsoft Exchange POP3 (msExchangePOP3) »… [PS] C:\Windows\system32>
Démarrez le service IMAP4 :
[PS] C:\Windows\system32> Start-service -Service MSExchangeIMAP4 AVERTISSEMENT : Attente du démarrage du service « Microsoft Exchange IMAP4 (MSExchangeIMAP4) »… [PS] C:\Windows\system32>
Il est possible de paramétrer le protocole POP3/IMAP4 depuis le Centre d’administration Exchange. Serveurs > serveurs > Double clic sur votre serveur Exchange EX-SERVER1 > POP3/IMAP4
On peut également activer ou désactiver les services d’accès client pour chaque utilisateur dans les fonctionnalités de boite aux lettres.
- Allez dans destinataires > boites aux lettres >
- Double clic sur l’utilisateur Administrateur (On a un seul utilisateur pour le moment) > fonctionnalités de boite aux lettres.
Tous les services sont activés.
Configuration de MAPI sur HTTP
MAPI sur HTTP est un protocole de transport qui améliore la fiabilité et la stabilité des connexions Outlook et Exchange en déplaçant la couche de transport vers le modèle HTTP. Les clients Outlook qui ne sont pas compatibles MAPI sur HTTP peuvent toujours utiliser Outlook Anywhere (RPC sur HTTP) pour accéder à Exchange via un serveur d’accès au client prenant en charge MAPI.
Après l’installation d’un serveur Exchange 2016 pour la première fois, c’est le protocole MAPI sur HTTP qui est utilisé par défaut, et il a pour objectif de remplacer le protocole RPC sur HTTP (Outlook Anywhere).
Remarque : MAPI/HTTP nécessite la configuration d’un certificat auparavant (voir la 4e partie)
Vérifier la configuration du service MAPI/HTTP :
[PS] C:\Windows\system32> Get-OrganizationConfig | Format-List -Property MapiHttpEnabled ... MapiHttpEnabled : True
Vérifiez si MAPI/HTTP est activé au niveau de la boite aux lettres d’un utilisateur
[PS] C:\Windows\system32> Get-CasMailbox -Identity Administrateur | Format-List -Property MAPI* ... MAPIEnabled : True MapiHttpEnabled : MAPIBlockOutlookNonCachedMode : False MAPIBlockOutlookVersions : MAPIBlockOutlookRpcHttp : False MAPIBlockOutlookExternalConnectivity : False
Activez le service et vérifiez de nouveau :
[PS] C:\Windows\system32> Set-CasMailbox Administrateur -MapiHttpEnabled $true
Vérifiez que le client outlook est connecté via le protocole MAPI/HTTP :
[PS] C:\Windows\system32> Test-OutlookConnectivity -RunFromServerId ex-server1 -ProbeIdentity OutlookMapiHttpSelfTestProbe
Remplacez ex-server1 par votre serveur Exchange :
La colonne Result affiche : Succeeded
Je m’arrête ici. Nous verrons dans le prochaine chapitre l’envoi des messages en interne et à l’extérieur.
Bonne journée et à très bientôt 🙂