Déploiement Exchange Server 2016 (Partie 5)

0

Nous avons vu dans la 4e partie la mise en place d’une autorité de certification autonome et nous avons configuré une demande de certificat pour Exchange Server 2016. Dans cette partie, nous allons configurer les services d’accès client (CAS) ainsi que les protocoles associés (POP3 / IMAP4, MAPI / HTTP, OWA…etc) afin de pouvoir envoyer des messages en interne et en externe.

Machine virtuelle nécessaire pour ce chapitre :

Mais aussi :

  • Nom de domaine : pixelabs.fr

Test domaine Tools :

Services d’accès client

Les services d’accès client d’Exchange 2016 fonctionnent comme une porte d’entrée, ils laissent passer toutes les demandes de connexion client et les acheminent vers la base de données de boîtes aux lettres appropriée. Si un utilisateur souhaite accéder au contenu de sa messagerie, les services d’accès client transforment le contenu de sa boîte aux lettres dans un format compatible avec le client qu’il utilise (Exemple client : Outlook), et ceci, de manière transparente.

Les services d’accès client assurent 3 actions :

  1. Authentifier les utilisateurs 
  2. Localiser le serveur hébergeant la base de données
  3. Connecter l’utilisateur à la boîte aux lettres

Pour assurer la connectivité des clients Exchange 2016 propose les services suivants :

  • POP3 / IMAP4 : pour les clients non compatibles avec Exchange
  • Exchange Active Sync : pour les smartphones
  • Outlook Anywhere, MAPI / HTTP : pour les clients Outlook apps/Web
  • Outlook Web : se connecter à sa messagerie via une interface web

Source : technet.microsoft.com

Nouvelle bAL utilisateur

Nous allons créer une nouvelle boite aux lettres utilisateur (Utilisateur AD) sur le serveur Exchange pour pouvoir effectuer quelques tests ci-dessous. Connectez-vous à votre serveur EX-SERVER1.

  • Cliquez sur destinataires
  • Boites aux lettres
  • Cliquez sur le symbole +
  • Boite aux lettres utilisateur
    • Alias : laissez vide
    • Utilisateur existant : Permet d’ajouter un utilisateur déjà crée sur l’AD
    • Nouvel utilisateur 

Nouvelle boite aux lettres utilisateur

  • Dans le champ Unité d’organisation : Cliquez sur parcourir... vous pouvez sélectionner l’unité d’organisation Users (j’ai dû créer l’OU “Pixelabs” sur mon AD)
  • Dans le champ Base de données de boites aux lettres : cliquez sur parcourir… et sélectionnez une base de données de boites aux lettres.
  • Enregistrer
  • Vous pouvez ajouter d’autres boites aux lettres utilisateur et les répartir dans BDD1/BDD2

Boite aux lettres utilisateur

Configuration Autodiscover

Pour que les clients puissent utiliser le service de découverte automatique, il faut ajouter un enregistrement SRV sur le contrôleur de domaine. Connectez-vous à votre serveur AD et lancez la console DNS.

  • Gestionnaire de serveur > Outils > DNS
    • Développez votre serveur
    • Zone de recherches directes
    • Faire un clic droit sur votre domaine : pixelabs.lan
      • Nouveaux enregistrements…
      • Sélectionnez dans la liste : Emplacement du service (SRV)
      • Cliquez sur Créer un enregistrement…

Configuration autodiscover Exchange 2016

  • Cliquez sur Ok et fermer.

Tester l’Autodiscover

Pour tester l’Autodiscover, je me connecte sur le poste client PC-PIXEL avec le compte Adam Arouine (PIXELABS\adam.arouine):

  • Lancez Outlook 2016
  • La page de bienvenue s’affiche, cliquez sur suivant
  • Ajouter un compte de messagerie, laissez sur Oui et cliquez sur suivant
  • Le nom et l’adresse de messagerie s’affiche automatiquement

Test autodicover Outlook 2016 Step 2

  • Cliquez sur suivant

Test autodicover Outlook 2016 Step 3

Cliquez sur terminer.

Test autodicover Outlook 2016 Step 4

Configuration des répertoires virtuels

Nous allons configurer les services d’accès client Exchange pour utiliser le nom d’hôte public que ce soit en interne ou externe, nous allons tous les configurer pour utiliser mailhost.pixelabs.fr.

Remarque : Lors de la configuration de certificat (Voir lien), nous avons configuré le nom hôte ex-server1.pixelabs.lan (intranet) et aussi mailhost.pixelabs.fr (Internet). En cas de problème, faire une nouvelle demande et configurer le certificat uniquement pour l’hôte mailhost.pixelabs.fr que ce soit en interne ou externe (Intranet/Internet).

Connectez-vous à votre serveur Exchange et lancez le centre d’administration Exchange :

  • Allez dans Serveurs > répertoires virtuels

Configuration des répertoires virtuels Exchange

  • Double clic sur une ligne pour modifier les paramètres (pour aller plus vite, voir les commandes Powershell ci-dessous)
  • ECP (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/ecp
URL Externe : https://mailhost.pixelabs.fr/ecp
  • EWS (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/EWS/Exchange.asmx
URL Externe : https://mailhost.pixelabs.fr/EWS/Exchange.asmx
  • MAPI (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/mapi
URL Externe : https://mailhost.pixelabs.fr/mapi
  • Microsoft-Server-ActiveSync (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync
URL Externe : https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync
  • OAB (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/OAB
URL Externe : https://mailhost.pixelabs.fr/OAB
  • OWA (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/owa
URL Externe : https://mailhost.pixelabs.fr/owa
  • PowerShell (Default Web Site)
URL interne : https://mailhost.pixelabs.fr/powershell
URL Externe : https://mailhost.pixelabs.fr/powershell

Cmdlet PowerShell : Remplacez par rapport à votre configuration : EX-SERVER1 et le domaine public https://mailhost.pixelabs.fr

  • ECP (Default Web Site) :
Set-EcpVirtualDirectory -Identity "EX-SERVER1\ECP (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/ecp -InternalUrl https://mailhost.pixelabs.fr/ecp
  • EWS (Default Web Site)
Set-WebServicesVirtualDirectory -Identity "EX-SERVER1\EWS (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/EWS/Exchange.asmx -InternalUrl https://mailhost.pixelabs.fr/EWS/Exchange.asmx
  • MAPI (Default Web Site)
Set-MapiVirtualDirectory -Identity "EX-SERVER1\MAPI (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/mapi -InternalUrl https://mailhost.pixelabs.fr/mapi
  • Microsoft-Server-ActiveSync (Default Web Site)
Set-ActiveSyncVirtualDirectory -Identity "EX-SERVER1\Microsoft-Server-ActiveSync (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync -InternalUrl https://mailhost.pixelabs.fr/Microsoft-Server-ActiveSync
  • OAB (Default Web Site)
Set-OabVirtualDirectory -Identity "EX-SERVER1\OAB (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/OAB -InternalUrl https://mailhost.pixelabs.fr/OAB
  • OWA (Default Web Site)
Set-OwaVirtualDirectory -Identity "EX-SERVER1\OWA (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/owa -InternalUrl https://mailhost.pixelabs.fr/owa
  • PowerShell (Default Web Site)
Set-OwaVirtualDirectory -Identity "EX-SERVER1\PowerShell (Default Web Site)" -ExternalUrl https://mailhost.pixelabs.fr/powershell -InternalUrl https://mailhost.pixelabs.fr/powershell

 

Configuration DNS Active Directory

Connectez-vous à votre serveur AD : AD-SERVER. Gestionnaire de serveur > Outils > DNS. Développer AD-SERVER..

  • Clic droit sur Zone de recherche directes
    • Nouvelle zone…
    • Cliquez sur suivant
    • Sélectionnez : Zone principale
    • Sélectionnez : Vers tous les serveurs exécutés sur des contrôleurs de domaine dans ce domaine : pixelabs.lan 
    • Nom de la zone (votre domaine) : mailhost.pixelabs.fr
    • Sélectionnez : N’autoriser que les mises à jours sécurisées (recomandé pour Active Directory)
    • Cliquez sur suivant
    • Cliquez sur Terminer
  • Effectuez un clic droit le domaine : mailhost.pixelabs.fr
    • Nouvel hôte (A ou AAAA)…
      • Nom : laissez vide
      • Adresse IP : 192.168.1.21 (IP de votre serveur Exchange : EX-SERVER1)
  • Cliquez sur Ajouter un hôte
  • Fermer

Configuration des connecteurs SMTP

Connecteurs d’envoi

Pour pouvoir communiquer avec l’extérieur, il faut configurer deux types de connecteurs : le connecteur d’envoi et le connecteur de réception.

Connectez-vous à votre serveur Exchange EX-SERVER1, lancez le Centre d’aministration Exchange, cliquez sur le menu flux de courrier > Connecteurs d’envoi

  • Cliquez sur Nouveau (symbole +)
  • Nom : Pixelabs.fr
  • Cochez : Internet

Connecteur d'envoi Exchange 2016

  • Cliquez sur suivant
  • Cochez : Enregistrement MX associé au domaine du destinataire
  • Cliquez sur suivant
  • Cliquez sur le symbole (+) pour ajouter un domaine
  • Dans le champ Nom de domaine complet (FQDN), tapez :  *  

  • Cliquez sur enregistrer
  • Cliquez sur suivant 
  • Serveur source : EX-SERVER1
  • Cliquez sur terminer.
  • Effectuez un double clic sur le connecteur pour le modifier
    • Cliquez sur étendue
    • Tout en bas, ajouter votre FQDN externe : mailhost.pixelabs.fr

FQDN Exchange server 2016

  • Cliquez sur enregistrer

Connecteurs de réception

  • Toujours sur la même page (flux de courrier), cliquez sur connecteurs de réception
  • Effectuez un double clic sur Defaut Frontend EX-SERVER1
  • Allez dans sécurité
  • Vérifiez les paramètres

Connecteur de réception Exchange 2016

  • Vérifiez que l’option Utilisateurs anonymes est cochée.
  • Cette option doit être décochée dans : Default EX-SERVER1
  • Dans l’onglet étendue et vérifiez que l’écoute du connecteur se fait sur le port 25 dans la zone Liaisons de carte réseau

Remarque : je n’ai rien modifié d’autre dans le connecteurs de réception à pars ces deux options.

Configuration domaine public

Il faut ajouter le domaine public (pixelabs.fr) aux domaines acceptés sous Exchange. Pour le moment, seul le domaine interne est présent : pixelabs.lan

Toujours sur la même page (flux de courrier), cliquez sur domaines acceptés

  • Cliquez sur Nouveau (+)
    • Nom : pixelabs.fr
    • Domaine accepté : pixelabs.fr

Domaine accepté Exchange 2016

  • Cliquez sur enregister
  • Effectuez un double clic sur le domaine : pixelabs.fr
  • Cochez la case définir ce domaine comme domaine par défaut.
  • Enregistrer.

Configuration des protocoles POP3/IMAP4

Le protocole POP3 (Post Office Protocol) permet aux utilisateurs de récupérer leurs messages depuis leur boîte aux lettres Exchange vers leur client de messagerie. Par défaut, le protocole POP3 utilise le port TCP 110 et TCP 995 via TLS.

Le protocole IMAP4 (Internet Message Access Protocol 4) permet aux utilisateurs, comme le protocole POP3, d’accéder aux messages de leurs boîtes aux lettres via un client de messagerie. Par défaut, le protocole IMAP4 utilise le port TCP 143 et TCP 993 via TLS.

La connectivité client IMAP4 n’est pas activée par défaut dans Exchange Server 2016.

Exemple clients POP3/IMAP4 : Mozilla Thunderbird, Mailbird

Activez le protocole POP3 au démarrage du serveur :

[PS] C:\Windows\system32> Set-Service msExchangePOP3 -StartupType Automatic
[PS] C:\Windows\system32>

Activez le protocole IMAP4 au démarrage du serveur :

[PS] C:\Windows\system32> Set-Service MSExchangeIMAP4 -StartupType Automatic
[PS] C:\Windows\system32>

Démarrez le service POP3 :

[PS] C:\Windows\system32> Start-Service -Service msExchangePOP3
AVERTISSEMENT : Attente du démarrage du service « Microsoft Exchange POP3 (msExchangePOP3) »…
[PS] C:\Windows\system32>

Démarrez le service IMAP4 :

[PS] C:\Windows\system32> Start-service -Service MSExchangeIMAP4
AVERTISSEMENT : Attente du démarrage du service « Microsoft Exchange IMAP4 (MSExchangeIMAP4) »…
[PS] C:\Windows\system32>

Il est possible de paramétrer le protocole POP3/IMAP4 depuis le Centre d’administration Exchange. Serveurs > serveurs > Double clic sur votre serveur Exchange EX-SERVER1 > POP3/IMAP4

On peut également activer ou désactiver les services d’accès client pour chaque utilisateur dans les fonctionnalités de boite aux lettres. Allez dans destinataires > boites aux lettres > Double clic sur l’utilisateur Administrateur (On a un seul utilisateur pour le moment) > fonctionnalités de boite aux lettres.

 

Fonctionnalités de boite aux lettres

Tous les services sont activés.

Configuration de MAPI sur HTTP

MAPI sur HTTP est un protocole de transport qui améliore la fiabilité et la stabilité des connexions Outlook et Exchange en déplaçant la couche de transport vers le modèle HTTP. Les clients Outlook qui ne sont pas compatibles MAPI sur HTTP peuvent toujours utiliser Outlook Anywhere (RPC sur HTTP) pour accéder à Exchange via un serveur d’accès au client prenant en charge MAPI.

Après l’installation d’un serveur Exchange 2016 pour la première fois, c’est le protocole MAPI sur HTTP qui est utilisé par défaut, et il a pour objectif de remplacer le protocole RPC sur HTTP (Outlook Anywhere).

Remarque : MAPI/HTTP nécessite la configuration d’un certificat auparavant (voir la 4e partie)

Vérifier la configuration du service MAPI/HTTP :

[PS] C:\Windows\system32> Get-OrganizationConfig | Format-List -Property MapiHttpEnabled
...
MapiHttpEnabled : True

Vérifiez si MAPI/HTTP est activé au niveau de la boite aux lettres d’un utilisateur

[PS] C:\Windows\system32> Get-CasMailbox -Identity Administrateur | Format-List -Property MAPI*
...
MAPIEnabled : True
MapiHttpEnabled :
MAPIBlockOutlookNonCachedMode : False
MAPIBlockOutlookVersions :
MAPIBlockOutlookRpcHttp : False
MAPIBlockOutlookExternalConnectivity : False

Activez le service et vérifiez de nouveau :

[PS] C:\Windows\system32> Set-CasMailbox Administrateur -MapiHttpEnabled $true

Enable MAPI over HTTP Exchange 2016

Vérifiez que le client outlook est connecté via le protocole MAPI/HTTP :

[PS] C:\Windows\system32> Test-OutlookConnectivity -RunFromServerId ex-server1 -ProbeIdentity OutlookMapiHttpSelfTestProbe

Remplacez ex-server1 par votre serveur Exchange :

Test MAPI over HTTP Exchange

La colonne Result affiche : Succeeded

Je m’arrête ici. Dans la prochaine partie, nous allons tester l’envoi des messages en interne et à l’extérieur. Bonne journée et à très bientôt 🙂

La rédaction de cette documentation demande beaucoup de temps, de motivation, mais surtout beaucoup de café 🙂
Vous aimez pixelabs ?
Offrez moi un petit café en cliquant sur la tasse ci-dessous.
pixelans_donation
Merci !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *