Category: Exchange


Hello,

La migration d’une boîte Exch2003 vers 2010 en intra organisation, à priori, c’est simple : soit un clic droit Nouvelle demande de déplacement local ou en powershell new-moverequest.

Petit point d’attention, par défaut les alias 2003 se basaient sur les noms affichés (DisplayName). L’attribut DisplayName contenait souvent un espace ( » « ), exemple : Martin Dupont. De fait, les alias aussi.

En Exchange 2010, les  »  » sont un caractère interdit, il est donc nécessaire de modifier ces alias à problème car les boîtes ne sont pas migrables en l’état.

Microsoft fournit un script sur le TechNet : http://technet.microsoft.com/en-us/library/bb851499(EXCHG.80).aspx.
Ce script est assez limité car il fait une recherche sur  » « . Donc les noms qui contiennent deux voire trois espaces ne sont pas traités.

C’est pourquoi je préfère utiliser le script fourni par l’équipe produit sur le script center http://gallery.technet.microsoft.com/scriptcenter/411aec4e-8c01-4594-b993-fbd968f15399.
En plus de traiter les espaces, le script traite tous les caractères interdits et corrige aussi les groupes et les contacts… Royal

En exemple, la dernière fois que je m’en suis servi, sur 1250MBX, une seule n’avait pas été traitée. Plutôt un bon ratio.

A+

Hello,

Il y a beaucoup d’informations autour des boîtes d’arbitrage, blogs (http://makanzore.wordpress.com/2011/01/27/boite-aux-lettres-darbitrage-ou-arbitration-mailbox/) ou TechNet. Je passerai donc rapidement (commandes uniquement) sur les aspects classiques de move-request et de la suppression de la banque pour finalement faire un focus sur cas particulier d’un client récent.

Il est souvent question des boîtes d’arbitrage lorsque l’on veut supprimer la première mailbox database créée automatiquement par Exchange lors de l’installation du premier rôle mailbox 2010 installé dans l’organisation. Pour supprimer cette banque qui ne correspond pas aux conventions de nommage, il faut déplacer ces boîtes d’arbitrage.

Pour récupérer ces boîtes, deux commandes sont réalisables :

– dans le cas d’une infrastructure mono forêt mono domaine : get-mailbox -arbitration

– dans le cas d’une infrastructure mono forêt multi domaine : get-mailbox -arbitration -domaincontroller
Exemple d’une architecture domaine parent (DC1)/domaine enfant (DC2): exchange est installé dans le domaine enfant. Si on tape Get-mailbox -arbitration depuis les powershell Exchange disponibles depuis les serveurs Exchange, il est impossible de trouver les boîtes d’arbitrage. Il sera nécessaire de taper Get-mailbox -arbitration -domaincontroller DC1.domaine.parent.

Pour les déplacer, on pipe le résultat de la commande précédente dans un moverequest:

– mono forêt mono domaine : get-mailbox -arbitration | new-moverequest -targetdatabase DB1

– mono forêt multi domaine : get-mailbox -arbitration -domaincontroller DC1| new-moverequest -target database DB1 -domaincontroller DC1

C’est là que pour nous le drame s’est produit. Bien que nos comptes disposaient de tous les droits possibles et imaginables, que l’héritage était coché sur les comptes, nous avions une erreur de droit lors de la suppression :

Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Nous avons fouillé un peu partout sur le Net et mise à part la case de l’héritage, il n’y a pas grand chose…

Nous avons réussi à déplacer les boîtes en ajoutant directement sur les comptes AD des boîtes d’arbitrage le compte machine du serveur Exchange depuis lequel nous tapions les commandes. C’est en effet le web service de powershell qui n’avait le droit d’attaquer le domaine parent.

A noter deux choses. La première est qu’il faut ajouter directement le compte machine sur le compte AD, en effet, de faire appartenir la machine à un groupe et donnée le droit au groupe n’est pas suffisant. La seconde, il faut lancer le powershell depuis une machine (disons exch02) et vérifier que le powershell Exchange est bien connectée à Exch02. Si on ouvre une session sur Exch01 et connecte le powershell sur Exch02, même si les droits ont été mis à exch02, la commande échouera lamentablement.

On peut noter aussi que dans une infrastructure mono forêt multi domaines, le compte la boîte de découverte automatique est aussi hébergé dans le domaine parent. Il faut donc à lui aussi lui assigner le droit contrôle total au serveur Exchange qui fera le move-mailbox.

Une fois les boîtes déplacées, on supprime les move-request

get-moverequest -sourcedatabase « db par défaut » | remove-moverequest

On peut maintenant supprimer la banque : remove-mailboxdatabase -identity « db par défaut » et ne pas oublier de supprimer manuellement les fichiers.

A+

Hello,

Pour ceux qui souhaitent installer Exchange 2010 SP1 from scratch sur un système d’exploitation Windows Server 2008 R2, un certain nombre de prérequis doivent être respectés.

Le programme d’installation valide pour vous une partie de ces prérequis, concernant les modules nécessaires de Windows Server. Si toutefois vous souhaitez préparer les machines avant installation les prérequis Windows sont disponibles sur le lien suivant :

http://technet.microsoft.com/en-us/library/bb691354.aspx#WS08R2

Mais ce n’est pas suffisant, évidemment, ce serait trop simple 😉

Les fixs nécessaires sont les suivants :

Filter pack 2010 : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=5cd4dcd7-d3e6-4970-875e-aba93459fbee&displaylang=en

KB979099 : http://www.microsoft.com/downloads/en/details.aspx?FamilyId=87f72529-d316-42e8-bf77-a46951f66dda&displaylang=en

KB977020 : https://connect.microsoft.com/VisualStudio/Downloads/DownloadDetails.aspx?DownloadID=27977&wa=wsignin1.0

KB979744 : http://support.microsoft.com/kb/979744

KB982867 : http://code.msdn.microsoft.com/KB982867/Release/ProjectReleases.aspx?ReleaseId=4520

KB983440 :  https://connect.microsoft.com/VisualStudio/Downloads/DownloadDetails.aspx?DownloadID=29092&wa=wsignin1.0

Encore une fois, la bible de l’équipe technique pourra répondre aux restes de vos questions sur le déploiement d’Exchange 2010 SP1

http://msexchangeteam.com/archive/2010/09/01/456094.aspx

A+

Hello,

Comme l’a indiquée l’équipe produit, le poster d’architecture Exchange 2010 est disponible sur http://www.microsoft.com/downloads/en/details.aspx?FamilyID=cea0cf7e-d824-49bb-8924-39d66a5fb88e.

Bonne impression 😉

Hello,

La défragementation offline permet de regagner de l’espace disque perdu au cours du temps par un mailbox database.

Pour estimer réellement l’espace perdu, on passe par notre ami eseutil :

  • On arrete la base en question
  • eseutil /ms chemin_de_la_base.edb

Ensuite on récupère dans la ligne de mailbox database le nombre de page en état « Available ».

Ce nombre représente le nombre de pages vides. Donc selon la version

  • En exchange 2003, on le multiplie par 4Ko pour connaître l’espace gagné en faisant une defragmentation offline
  • En exchange 2007 et 2010, on le multiplie par 8Ko pour connaître l’espace gagné en faisant une defragmentation offline

Voir la bible http://msexchangeteam.com/archive/2006/09/08/428860.aspx

A+

Outil du mois : Xobni

Hello,
Pour démarrer le blog, je vais essayer de présenter chaque mois un outil plus ou moins connus mais qui reste, dans la plupart des cas, utile.

Pour la première présentation, je vous propose Xobni (inbox en verlan comme disent les jeunes des années 80).
Disponible sur http://www.xobni.com/ , Xobni peut être utilisé sur les plateformes XP,Vista et 7 ainsi que sur vos Blackberrys (obligatoirement payant de ce dernier cas). Le rôle de Xobni est de vous permettre d’identifier l’ensemble des éléments de messagerie (mail, pj, contacts communs) échangés avec un interlocuteur.
Indexant boîtes aux lettres et pst, Xobni vous permet d’établir des rapports précis sur l’utilisation de votre messagerie.
Bons tests

FAQ Certificat avec Exchange

Hello,
Aujourd’hui, nous allons étudier une partie de la sécurité d’Exchange, les certificats. Beaucoup d’administrateurs de messagerie appréhendent ces questions. Cette appréhension est simplement due selon moi à un manque d’expérience et de confrontation à ces environnements généralement maîtrisés par nos collègues de la sécurité, collègues qui parlent un langage propre à eux d’ailleurs…
Le but ici n’est pas de faire un step by step sur l’installation, le renouvellement ou la suppression de certificat ; mais de répondre aux premières questions que les administrateurs Exchange 2007/2010 se posent quand on parle de certificats.

1. Qu’est-ce qu’un certificat ?

Le certificat est une carte d’identité. Prenons l’exemple de la banque, lorsque l’on accède aux services web d’une banque, on arrive sur une adresse en https://nomdelabanque.com. La banque, pour certifier à ces utilisateurs que le site lui appartient bien, fait appel une société tierce, reconnue par tout le monde, pour valider l’identité du service web.

2. Pourquoi en ai-je besoin pour Exchange ?

En plus de permettre la conformité du service web, le certificat permet de chiffrer la communication entre le service et son client. Dans la partie qui nous intéresse, les certificats seront utilisés pour l’ensemble des services web : Outlook Web Access, Autodiscover, Outlook Anywhere et ActiveSync.

3. Quel type de certificat ai-je besoin ?

La réponse peut se découper en deux parties :
– Un certificat X.509, répondant à la RFC 2459 (http://www.ietf.org/rfc/rfc2459.txt). Ces certificats X.509 sont utilisés d’une infrastructure à clefs publiques. C’est-à-dire que le client qui accède un service web sécurisé par un certificat X.509 va utiliser la clef publique (présente dans le certificat) de ce service web pour chiffrer sa communication avec ce dernier. La communication ne pourra être déchiffrée que par la clef privée qui correspondra à la clef publique qui l’a chiffrée. La clef privée est bien sûr connue uniquement du service web.
– L’administrateur pourra utiliser :
o Un certificat issu d’une autorité de certification (CA) reconnue par l’ensemble du monde. Ces autorités de certification sont souvent payantes (exemple : VeriSign) et sont utilisées dans les cas les plus simples,
o Un certificat issu d’une autorité de certification interne (sur un serveur Windows Server, ou autre bien sûr…)
Nous reviendrons plus en détails sur ces deux solutions plus tard.

4. Pourquoi ai-je une erreur de certificat ?

L’erreur de certificat peut apparaître soit dans Outlook soit dans le navigateur web. Les principales erreurs liées aux certificats sont :
– Incohérence entre le nom du certificat et le nom du service. Par exemple, j’héberge un site sécurisé sur ma machine. Le certificat est prévu pour le nom public du site web qui est webmail.tartanpion.com. A des fins de tests j’entre https://localhost dans mon navigateur. Le nom « localhost » n’étant pas renseigné dans le certificat, j’obtiens l’erreur « Le certificat a été généré pour un autre adresse de site web »,
– La date de validité du certificat a expiré,
– Le certificat a été émis par une autorité de certification non reconnue. Le certificat est émis par une autorité de confiance. Pour valider le certificat, il faut que le client fasse confiance à l’autorité. Donc, deux points :
o Si vous utilisez une autorité de confiance publique, telle que VeriSign, l’erreur n’aura jamais lieu quel que soit le client ou la plateforme utilisée car tous les systèmes font confiance à ces autorités publiques (voir le magasin des certificats des autorités racines de confiance http://technet.microsoft.com/fr-fr/library/cc754431(WS.10).aspx

o Si vous utilisez une autorité interne, il sera nécessaire d’installer le certificat de l’autorité interne en tant qu’autorité racine de confiance. Cette action devra être réalisée sur l’ensemble des postes et plateformes de votre société. Si les postes ne font pas confiance à l’autorité interne, ils recevront l’erreur citée. Les accès réalisés par des postes extérieurs à l’entreprise (poste personnel, cybercafé,…) entraineront toujours une erreur, c’est tout à fait normal puisqu’un poste ne fera naturellement pas confiance à votre autorité interne.

5. Les SANs, Stockage Area network…
Et bien non, cet acronyme signifie Subject Alternative Names. C’est une fonctionnalité des certificats X.509 et des listes de révocation (RFC 3280, http://tools.ietf.org/html/rfc3280). Comme je l’ai dit toute à l’heure, les certificats X.509 sont utilisés par plusieurs services web Exchange. Parallèlement, il est impossible d’avoir plusieurs sites web sécurisés avec plusieurs noms sur une même adresse IP, et généralement les serveurs Exchange n’ont qu’une adresse IP. Donc pour simplifier l’architecture, nous allons utiliser une seule adresse IP avec un seul certificat qui comprendra plusieurs noms (webmail, autodiscover, activesync,…). Les SANs seront donc définis par vos soins dans votre étude préalable en fonction de vos besoins. Les SANs devront aussi contenir les noms NetBIOS et fqdn des serveurs Exchange si cela ne pose de problèmes de sécurité : dans le cas où vos serveurs Exchange sont publiés directement sur Internet, cette option est à proscrire.

6. Un certificat issu d’une CA publique
Le choix d’une CA publique est généralement plus simple :
– Le certificat est reconnu automatiquement par tous les systèmes d’exploitation et par tous les terminaux,
– La gestion de cycle de vie du certificat est limitée au certificat Exchange,
– La gestion de la liste de révocation est réalisée par l’autorité publique.
La plupart de ces autorité sont payantes (VeriSign par exemple) mais d’autres comme GoDaddy sont gratuites.

7. Un certificat issu d’une CA interne
L’installation d’une CA interne apparait au premier abord toujours plus simple : installation relativement aisée sur un Windows Server, peu de coûts associés, flexibilité lors des tests,… Je suis en complet désaccord avec cela. Le choix d’une CA interne doit être arrêté lorsque l’entreprise dispose de compétences sécurité, la gestion d’une autorité de certification est un métier à part entière, ou d’une autorité interne existante.
Toutefois, si vous décidez d’installer une CA pour les besoins précis Exchange, prenez en compte ces considérations :
– Le serveur qui joue le rôle d’autorité de certification ne joue que ce rôle : surtout pas de contrôleurs, base de données,…
– Préférez un système hiérarchique à deux niveaux d’autorités (primaire/secondaire) pour plus de sécurité,
– Faites attention aux dates d’expiration des certificats des autorités racines : si le certificat d’une autorité racine expire, la réinstallation est obligatoire,
– Déployer les certificats racine via stratégie de groupe, la GPO doit être appliquée au niveau du domaine,
– Former vos utilisateurs à outrepasser les erreurs de certificat pour les accès extérieurs.

8. Mais pourquoi le certificat auto-signé n’est pas suffisant ?
Lors de l’installation de tous les rôles Exchange sauf Mailbox, un certificat est installé sur les serveurs : il est délivré au nom NetBIOS de la machine par le même nom NetBIOS de la machine. Le nom fqdn de la machine est renseigné dans les SANs. C’est d’ailleurs pour cette raison qu’il est possible de se connecter avec Outlook et OWA à partir d’une machine du même domaine que le serveur Exchange contacté.
Les limitations du certificat auto signé sont :
– Durée de validité : 1 an pour les versions d’Exchange avant 2007 SP2, 5 an à partir du SP2,
– Impossibilité d’utiliser les services Outlook Anywhere, Active Sync et OWA en dehors du réseau de l’entreprise

9. Un peu de technique, comment afficher les certificats utilisés ?
Pour exchange 2007, Powershell uniquement. La version 2010 permet une gestion par interface graphique en plus de la ligne de commande.
Powershell : Get-ExchangeCertificate.
GUI : cliquer sur le nœud « Server Configuration »

Bonjour,

Aujourd’hui nous allons aborder dans un billet léger la problématique de gestion des comptes utilisateurs dans Microsoft Online (BPOS).

La gestion des utilisateurs dans BPOS est relativement succinte. En effet, il n’est pas pour le moment possible d’avoir la même granularité qu’avec des solutions on-premise (par exemple activation du POP3 sur certains utilisateurs, la partie messagerie instantanée pour certains…). La solution souscrite par l’entreprise s’active pour l’ensemble des utilisateurs créés. Les différences possibles pour chaque utilisateur sont offertes sur la partie quota de boîtes aux lettres (de 256Mo à 25Go).

Pour gérer vos utilisateurs, il est nécessaire de se connecter sur https://admin.microsoftonline.com et de s’identifier avec son compte d’administration. Le premier compte d’administration est admin@votre_societe.emea.microsoft.com. Si le mot de passe de ce compte est perdu, il est possible de la récupérer par deux moyens :

– Se connecter sur l’interface client https://mocp.microsoftonline.com et s’identifier avec le compte passeport Windows Live. Aller dans « Manage subscriptions« . Sur l’écran suivant, dans le menu déroulant, choisir « Get credentials »

– Contacter le support Microsoft BPOS : https://mocp-support.custhelp.com/cgi-bin/mocp_support.cfg/php/enduser/ask.php?p_sid=q214Rz1k par Internet ou http://www.microsoft.com/online/help/en-us/mocp/index.html?page=html%2F0d8eb4c2-77c5-4dd8-b66c-9f1de7451e24.htm par téléphone

1. Création d’un utilisateur

L’administrateur peut consulter la liste des utilisateurs créés.

Des vues prédéfinies sont aussi accessibles. Elles permettent d’identifier plus rapidement les administrateurs, les utilisateurs qui ne sont jamais identifiés, désactivés,… La création de vues s’axe autour des informations utilisateur (ville, fonction,…) , dates de dernière connexion…

1.1. Création manuelle d’un utilisateur

Cliquer sur « Add New user » dans l’onglet « Users« 

Seuls les éléments « User Name« , « First Name« , « Last Name » et « Display Name » sont nécessaires. Petite apparté, si vous souhaitez provisionner de manière rapide vos utilisateurs BPOS, il est possible d’utiliser soit un fichier formaté csv (dernière partie de l’article), soit d’utiliser la solution Dir Sync de Microsoft (basé sur MIIS, s’installe sur un Windows Server 2003 SP2). Les quatre attributs cités précédemment doivent donc être nécessairement remplis.

Cliquer sur « Next« 

Il n’est pas possible de mettre à jour le mot de passe pour le moment. Les options configurables sont l’accès administrateurs, l’activation immédiate du compte et sa localisation. Ces options sont modifiables après création. Cliquer sur Next.

Selon votre contrat, la taille des boîtes peut aller de 256Mo à 25Go

Choisir la taille et cliquer Create

La création d'un utilisateur est bien précédée d'un check des utilisateurs existants

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Il est possible d'envoyer les informations d'identification par mail. Attention, ces informations sont transmises en clair

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


















2. Modification d’un utilisateur
 
Pour modifier un utilisateur, il est nécessaire de revenir à la liste des utilisateurs et de cocher la case à coté de l’utilisateur à modifier.  Cliquer sur le bouton « Edit user properties » pour commencer les modifications.
 
Dans le premier onglet « General properties », on retrouve les propriétés spécifiées lors de la création de l’utilisateur. De plus, l’administrateur pourra ajouter une adresse de messagerie supplémentaire.
 

Les onglets "Settings" et "Services" n'apportent d'options supplémentaires que lors de la création

 
 
 






















3. Modification du mot de passe
Concernant la modification du mot de passe d’un utilisateur créé, deux choses sont à prendre en compte :
– Il est toujours possible d’envoyer le nouveau mot de passe en clair par messagerie
– La politique de mot de passe est : 8 caractères minimum, combinaison majuscule/miniscule, au moins un chiffre ou symbole

Pour les petits malins qui souhaitaient mettre "123" en mot de passe

Voilà pour l’interface graphique, j’aborderai dans un billet plus court l’import d’utilisateurs via fichier .csv
A+

Bonjour,
L’équipe produit a annoncé la mise de ses fichiers excel pour exch 2007 et 2010. Vous pourrez trouver la description des modifications sur http://msexchangeteam.com/archive/2010/06/15/455159.aspx
Bonne lecture 😉

Lors d’un projet d’installation d’infrastructure, il est souvent question de virtualisation pour limiter les coûts. Pour apporter un début de réponse, voici quelques scénarios que Microsoft supporte qui vous aideront dans votre reflexion :

Hyperviseurs supportés : 

Hyper-V ou tout autre hyperviseur défini dans le programme SVVP. (Server Virtualization Validation Program, voir http://www.windowsservercatalog.com/svvp.aspx)

L’hyperviseur ne doit que jouer le rôle d’hyperviseur (pas de bases de données, d’annuaires,…). Seules les applications de gestion (antivirus, sauvegarde) devront être installé

Systèmes d’exploitation supportés :

Windows Server 2008 ou supérieur.

(Voir l’article de l’équipe produit sur les différences de performances entre 2008 et sa R2 concernant Outlook Anywhere http://msexchangeteam.com/archive/2010/04/30/454805.aspx)

 

Rôles supportés :

Tous sauf la messagerie unifiée.

(L’UM nécessite des prérequis de temps réel)

 

Stockage

-Disques virtuels de taille fixe (limite de 2To pour Hyper-V, pour les autres hyperviseurs, se référer aux spécifications éditeurs). Les disques dynamiques et différenciés ne sont pas supportés,

 -Disques physiques avec un accès dédié par machine virtuelle (ou pass-through storage),

 -iSCSI.

NB : les NAS ne sont pas supportés

 

Haute-disponibilité :

Les doubles solutions de haute-disponibilité ne sont pas supportées. Je m’explique :

– Sera supporté un serveur cas/hub unique sur une plateforme de virtualisation assurant une haute disponibilité (exemple : deux serveurs hyper-V avec fonction « Live Migration » et une baie partagée),

– Sera supporté un DAG virtualisé si la plateforme de virtualisation ne fournit de mécanismes de haute-disponibilité,

– Ne seront pas supportées : les installations d’une ferme NLB (pour CAS/HUB) ou d’un DAG (pour MBX) sur un socle de virtualisation assurant une haute-disponibilité.