Exchange 2003

La configuration

I.     Les destinataires

A.   Les différents types

Les différents types de destinataires n’ont pas beaucoup changé par rapport à Exchange 2000.

1)   L’utilisateur avec boîte à lettre et donc adresse de messagerie locale.

C’est la situation normale d’un utilisateur de l’entreprise qui a besoin d’un compte pour se connecter et avoir des droits, ainsi qu’une boîte hébergée sur un serveur de messagerie.

L’indication d’une banque de boîte aux lettres permet de confirmer le statut de l’utilisateur.

2)   L’utilisateur avec adresse de messagerie (distante)

Ce type d’utilisateur correspond souvent à des intervenants (extérieurs) qui ont besoin d’ouvrir des sessions et d’avoir des droits.

Leur donner une adresse de messagerie de les faire apparaître dans la liste globale et permet à tous de leur envoyer des messages.

3)   L’utilisateur sans messagerie

Normalement, ce type d’utilisateur devrait être rare !

Les comptes de services peuvent entrer dans ce cadre.

Ce type d’utilisateur dispose néanmoins déjà d’une seule zone d’adresse de messagerie, mais qui n’est pas utilisable par Exchange. En revanche, d’autres outils comme Outlook Express, effectuant des recherches par LDAP dans l’annuaire peuvent utiliser ces adresses !

4)   Le contact avec adresse de messagerie

Le contact permet de définir des personnes n’ayant aucun droit sur aucune ressource interne.

Attribuer une adresse de messagerie, permet de faire apparaître un destinataire dans la liste globale.

Le contact permet d’avoir une fiche d’information complète (et partagée) sur des personnes avec lesquelles des communications et des messages doivent être régulièrement établis par une majorité de personnes dans l’entreprise.

De nombreuses applications peuvent alors tirer partie de ces contacts pour réaliser des envois automatiques…

Un autre cas particulier d’utilisation correspond au renvoi automatique de courrier pour des utilisateurs normaux de l’entreprise vers leur adresse de messagerie privée/personnelle.

Généralement, tous les contacts ne sont pas créés de cette manière dans Active Directory. En effet, par défaut, seuls les administrateurs ont cette possibilité de créer et mettre à jour AD.

La solution généralement préférable et préférée consiste à créer un dossier public de type contact et de le configurer en tant que carnet d’adresse outlook au niveau de chaque client.

Ce type de contact est souvent créé par l’administrateur afin de rediriger temporairement ou non le courrier d’un utilisateur normal vers sa messagerie externe.

5)   Le contact sans adresse de messagerie (généralement peu utile)

C’est généralement le fait d’utiliser Active Directory en tant que réceptacle ou base de données.

La zone « adresse de messagerie » peut néanmoins être saisie et utilisée par des logiciels interrogeant par LDAP. D’autres messageries qui ne disposeraient pas d’annuaires peuvent utiliser ce champ. La messagerie POP3 de windows 2003 en est un exemple.

B.   La création des boîtes

La création des boîtes s’effectue qu’avec le gestionnaire d’ « Utilisateurs et Ordinateurs Active Directory »

Au moment de la création des comptes ou par la suite, il est possible de définir l’attribution d’une boîte de messagerie sur l’un quelconque des serveurs de messagerie.

Il s’agit bien d’une attribution, et non d’une création qui n’interviendra réellement qu’au 1^er contenu déposé dans la boîte.

Lors de la création effective de la boîte, la langue utilisée définira le libellé des noms des dossiers principaux.

L’idéal est de demander à l’utilisateur de se connecter au plus vite. En effet, les dossiers sont alors créés par Outlook dans la langue naturelle de l’utilisateur.

Si c’est un outil de sauvegarde (de boîtes individuelles) ou un antivirus de messagerie qui provoque la création de la boîte, c’est la langue par défaut de Exchange qui sera utilisée. A noter que même sur une version Française de Exchange, c’est la langue anglaise qui sera utilisée.

C.   Les adresses de messagerie

Il est important de noter que, tant qu’Exchange n’est pas installé, les utilisateurs ne peuvent avoir qu’une seule adresse de messagerie. Cette adresse est simplement saisie sur la fiche de l’utilisateur dans son onglet « général ».

=> C’est cette adresse qui est fournie par lorsque des requêtes LDAP sont réalisées directement sur l’annuaire Active Directory (par exemple dans Outlook Express).

Lorsque l’utilisation obtient des attributs Exchange (Utilisateur ou Contact), c’est l’adresse de messagerie principale (celle qui sert aux réponses) qui se retrouve dans cette zone.

En fait, l’utilisateur peut avoir plusieurs adresses de messagerie, et pas seulement en SMTP.

Dans l’onglet « Adresses de Messagerie », l’utilisateur reçoit par défaut au moins 2 adresses de messagerie :

-          L’une en SMTP (obligatoire, Elle ne peut pas être supprimée)

-          L’autre en X400 (il n’est pas utile, ni conseillé de la supprimer).

Ce sont les stratégies de destinataires qui font apparaître et mettent à jour les adresses de messagerie.

Il est possible d’ajouter ou de modifier les adresses de messagerie, soit pour définir plusieurs écritures possibles d’adresse de messagerie : « Albert.Dupont@Mondomaine.fr », « ADupont », etc…

Mais, on peut aussi définir une adresse de messagerie sur un autre domaine de messagerie (par exemple de son fournisseur Internet personnel), et même définir que cette adresse devient l’adresse principale.

Après personnalisation, il est possible de décocher la case « mise à jour automatique », mais cela est plutôt déconseillé si l’on veut garder l’ensemble de la configuration homogène. => Il vaut mieux modifier ensuite si cela est nécessaire (gérer les particularités).

L’adressage X400 sera surtout utilisé pour la communication interne, avec des messageries Exchange 2000 ou 5.5, ou lorsque toute l’organisation utilise le même domaine de messagerie.

Les autres types d’adresse (MSMAIL, GWISE, NOTES, …) serviront à la communication avec ces messageries si un connecteur a été établi vers l’une de ces messageries.

Dans certains cas, des produits additionnels tels que les logiciels de Fax pourront ajouter leur propre type d’adresse (FAX, …)

D.   Les listes de distribution

Il y a 2 types des listes de distributions :

è les listes « fixes » qui sont définies dans la base Active Directory.

è Les listes « calculées » qui sont définies par des requêtes, et qui sont donc reconstruites régulièrement par le système. Celles-ci sont définies dans le gestionnaire système d’exchange.

1)   Les listes de distribution fixes.

Ces listes sont basées sur des groupes créés dans la base Active Directory.

Lors de la création d’un groupe, la 1^ère question à se poser est de savoir si des permissions seront accordées à ce groupe (que ce soit dans le système ou la messagerie). Dans ce cas, c’est un groupe de sécurité qui devra être créé.

Si l’on n’est sur que le groupe ne devra JAMAIS servir à la sécurité, le choix d’un groupe dit « de distribution » peut alors être utilisé. Le fait d’indiquer ce mode ne suffit pas à le rendre utilisable par la messagerie.

Dans les 2 cas, un groupe de sécurité ou de distribution, il est nécessaire d’attribuer une adresse de messagerie afin de rendre disponible (et visible) ce groupe dans la messagerie, aussi bien dans la liste globale qu’au moment d’affecter des autorisations.

Mais, attention, seuls les groupes de sécurité fonctionneront pour la gestion des droits sur exchange 2000 et 2003. En revanche, les groupes de distribution fonctionneront encore sur Exchange 5.5 !

D’un point de vue pratique, le nom donné à une liste permettra de le situer dans le carnet d’adresse.

Les listes étant souvent plus utilisées que les personnes individuelles, il est pratique de les faire précéder d’un caractère comme « * » ou « + ».

Lors du classement, les listes apparaîtront en 1^er, les utilisateurs ensuite.

2)   Les listes calculées

Ce type de liste n’est disponible qu’en mode natif de Exchange 2003.

Il permet de générer un groupe de distribution directement à partir d’une requête sur l’annuaire Active Directory.

ð Contrairement aux listes de distributions classiques, celles-ci seront recalculées en fonction des modifications (ajouts/suppression).

Cette liste de distribution peut être modifiée et vérifiée à tout moment (Aperçu !)

E.    Les stratégies de destinataire

Les stratégies de destinataires sont à la base de la configuration de la messagerie.

Une bonne configuration à ce niveau est très importante pour le bon fonctionnement et la réception des messages.

Tout d’abord, la stratégie va indiquer tous les types d’adresses acceptées et reconnus par Exchange.

Dans chaque type d’adresse, l’adressage est défini afin d’identifier ce qui sera considéré comme « local », le reste sera donc « distant ».

Par défaut, les adressages SMTP et X400 sont définis.

=> l’adressage X400 peut être retiré, mais cela n’est pas conseillé.

Sauf cas très rares, il ne devrait y apparaître que les domaines de messagerie effectivement utilisés et appartenant à l’entreprise.

La stratégie par défaut va s’appliquer par défaut à tous les objets de l’organisation exchange qui auront un « nom » unique et utilisable dans toute l’organisation !

Pour la messagerie Internet, tout domaine déclaré de type SMTP « @domaine.Extension » permettra au serveur d’accepter les messages destinés à ce domaine et de rechercher les utilisateurs possédant une adresse dans ce domaine. C’est l’équivalent des domaines déclarés « entrant » de Exchange 5.5 !

Une erreur courante consiste à configurer la messagerie d’un fournisseur d’accès internet lorsque tous les utilisateurs ont un compte fourni par ce même FAI (par exemple Free.fr).

ð Ceci a pour effet d’empêcher l’envoi de message vers d’autres destinataires pour ce même domaine. Les messages revenant avec la mention « destinataire inconnu ».

Lorsque aucun domaine de messagerie Internet n’a été « loué », le plus simple est alors d’utiliser le domaine local en tant que domaine de messagerie ! Ce domaine ne doit pas être un domaine réel existant sur Internet.

Des stratégies supplémentaires peuvent être ajoutées pour définir des adresses supplémentaires en fonction de requêtes précises sur les utilisateurs.

II.   Les serveurs

Une des évolutions principales dans l’administration de Exchange 200X est d’avoir un découpage des différentes fonctions !

Contrairement à Exchange 5.5, la gestion des sites, des serveurs, des communications inter-sites et des stratégies ne sont pas imposés par l’aspect géographique ou la configuration des domaines.

Il est donc possible de regrouper des serveurs de domaines différents, de sites différents afin de transmettre cette administration à un groupe d’administrateur précis.

ð la seule condition est d’appartenir à la même forêt.

A.   Les groupes administratifs

Pour faire apparaître les groupes administratifs et les groupes de routage, la 1^ère opération est de « cocher » les cases correspondantes dans les propriétés de l’organisation.

Les groupes administratifs regroupent les différents éléments administrables :

-          Les serveurs

-          Les stratégies systèmes

-          Groupes de routage

-          Les dossiers

B.   Les groupes de stockage

Les groupes de stockages sont toujours attachés à un serveur précis.

Par défaut, il n’existe qu’un seul groupe de stockage gérant une banque d’information privée et une banque d’information publique.

Seule la version Enterprise permet de gérer de multiples groupes de stockage (4) comportant un maximum de 5 banques d’information privées ou publiques.

La seule exception correspond au groupe de stockage de « restauration » qui permet de restaurer des boîtes ou dossiers dans un groupe de stockage spécifique sans toucher aux bases actives.

La 1^ère question à se poser consiste à choisir le mode de fonctionnement du « groupe de stockage » en mode « circulaire » (mode Exchange 5.5 par défaut) ou le mode « séquentiel » (par défaut).

ð Ce mode va conditionner tout le fonctionnement des banques d’information de ce groupe de stockage, ainsi que le niveau de restauration possible.

Choisir le mode « Circulaire », c’est accepter de perdre toute l’activité (messages arrivés, dossiers publics…) entre le moment de la dernière sauvegarde, et le moment de la restauration.

Le mode séquentiel garde tous les « logs » contenant les transactions permettant d’aboutir à la situation exacte du moment de l’incident. Ce mode génère une quantité impressionnante de fichiers logs EXXYYYYY.LOG de 5 Mo sur lesquels beaucoup se posent des questions.

ð Il ne faut surtout pas les supprimer, même si cela représente plusieurs Go! La perte de données est plus que probable…

ð C’est la sauvegarde par NtBackup ou par un logiciel de sauvegarde avec option « exchange » qui permet de vider tous les logs de manière correcte. Les transactions sont alors appliquées définitivement aux bases.

ð Cette sauvegarde doit être régulière, car une banque d’information répartie sur de nombreux fichiers logs est particulièrement lente.

ATTENTION : lors de migration de boîtes aux lettres, il est important de basculer le groupe de stockage en mode « Circulaire ». Des blocages (heureusement sans gravité) apparaissent environ tous les 2 Go.

Les propriétés générales du groupes de stockage permettent aussi de déplacer les fichiers journaux et les fichiers systèmes sur un nouveau répertoire (si possible d’un disque spécique). Il suffit d’indiquer un nouvel emplacement, mais attention, les banques seront temporairement inaccessibles.

Il est important de noter que les logs d’un groupe de stockage sont communs à toutes les banques d’information de ce groupe de stockage. Même si une seule banque d’information doit être restaurée, l’intégralité des fichiers logs devra être restaurée.

A remarquer aussi, l’onglet « détails » que l’on retrouve à plusieurs niveaux et qui est peu souvent utilisé. Il permet de saisir des informations « administratives » qui seront ainsi connues de tous les administrateurs accédant à cet objet.

On peut y consigner, par exeple, tous les changements de configuration, les redémarrages…

Les taches sur l’objet « groupe de stockage » permettent de gérer l’objet (renommer,…), mais aussi de créer de nouvelles banques d’informations privées ou publiques.

Les nouveaux groupes de stockages sont gérés au niveau du serveur (tache « nouveau groupe de stockage »).

L’intérêt d’avoir plusieurs groupes de stockage peut se situer à plusieurs niveaux :

-          dépasser les 5 banques d’informations

-          utiliser un nouvel processus (exécutable STORE.exe) spécifique.

-          gérer les logs de manière différente sur le nouveau groupe de stockage (et à un emplacement différent).

-          gérer des stratégies différentes !

Attention, la gestion d’un processus « Store.exe » supplémentaire consommera plus de mémoire et de CPU.

C.   Les banques d’informations

Les banques d’information séparent maintenant le type de contenu dans 2 fichiers spécifiques.

-          le fichier .EDB contient les définitions des éléments ainsi que les messages et contenu au format MAPI.

-          Le fichier .STM (streaming) contient tous les éléments reçus dans un format « Internet » et les conservera dans ce format tant que seuls des clients type OWA ou Outlook Express liront ces éléments. Dès qu’un client MAPI lira cet élément, le contenu sera transformé au format lisible par ce client.

Chaque banque d’information bénéficie d’un système permettant d’identifier de manière unique tous les éléments présents dans la base. Ceci permet de gérer ce que l’on appelle le « Single Instance Storage », c'est-à-dire qu’un même élément présent plusieurs dans la base n’y sera stocké qu’une fois. Seul un pointeur apparaîtra dans l’environnement de chaque personne.

ð Ceci explique que la somme des tailles de toutes les boîtes ne correspond pas à la taille de la base.

ð L’exportation de toutes les boîtes (par l’outil Exmerge) occupe donc souvent beaucoup de place que la base initiale.

1)   La banque privée

La banque d’information privée ne contient que les boîtes privées et les boîtes « systèmes » nécessaires au fonctionnement de certains services comme le service SMTP (system-mailbox).

L’utilisation de plusieurs banques d’information privées ou publiques donne une souplesse importante dans la gestion des disques, les traitements à appliquer aux banques d’information et aux stratégies différentes qui pourront être appliquées.

è De manière pratique, si les disques existants sont insuffisants, il suffit d’ajouter un disque, d’y créer une banque d’information et d’y déplacer des boîtes !

è L’utilisation de plusieurs banques d’information permet de réaliser différents traitements unitaires qui n’auraient pas été possibles si une seule banque avait été utilisée. La sauvegarde, la défragmentation, la réparation sont réalisées beaucoup plus rapidement sur une seule petite banque d’information avec l’avantage de garder les autres banques d’information fonctionnelles.

Ceci permet de réaliser des sauvegardes de très grosses messageries qui n’auraient pas pu être sauvegardées autrement.

Par exemple, pour la défragmentation d’une base de 5 Go, un espace théorique disponible d’au moins 5,5 Go est nécessaire. Si cette base est répartie en 5 bases de 1 Go, 1,1 Go suffira pour défragmenter chaque base.

Chaque banque d’information bénéficie d’une configuration bien spécifique, ce qui est bien pratique et nécessaire dans certaines situations.

ð L’archivage de tous les messages entrants/sortants

ð L’utilisation d’une banque publique spécifique

L’emplacement des fichiers peut être modifié très simplement ! Mais, attention la banque d’information sera démontée, déplacée et remontée dès que les modifications seront appliquées.

è Il est donc judicieux de modifier l’emplacement des 2 fichiers (.EDB et .STM) lors de la même opération et de tenir compte de la durée du transfert entre disques qui peut durer jusqu’à plusieurs heures !

Lors d’opérations complexes (et de nombreux redémarrage), ne pas monter les banques d’informations peut éviter d’altérer les banques d’information (la terreur de l’administrateur de messagerie).

L’option d’écrasement des banques d’information est souvent oubliée lors des 1^èrestentatives de restauration.

ð Des restaurations systèmes (fichiers…) n’écraseront pas par défaut les banques d’information sans que celles-ci soient autorisées de manière explicite.

La planification permet de choisir l’heure à laquelle sont exécutés certains traitements dont la défragmentation « interne » (en-ligne). Cette défragmentation ne diminue jamais la taille des fichiers !

Un coup d’œil rapide permet d’avoir connaissance de la dernière sauvegarde réalisée.

Dans l’idéal, c’est la stratégie de banque d’information qui affectera la plupart des paramètres d’une banque d’information. Dans le cas de système de messagerie peu complexe, l’administration directe des propriétés suffira amplement.

-          Les limites de stockages devraient être définies au plus vite après la mise en place de la messagerie. Les utilisateurs prennent très vite de mauvaises habitudes.

-          Les limites sont généralement affectées de manière croissante.

Une manière (terre à terre) de définir la limite est de partir de la taille du disque réservée aux banques privées.

(Taille Disque / 210 * 100)/ Nombre de boîtes.

Cette formule ne tient pas compte de l’aspect humain, qui fait que les boîtes des responsables ne sont pas traitées de la même manière que les autres.

La plupart des administrateurs définissent des limites pour l’avertissement et l’envoi, mais rarement pour la réception.

La logique voudrait que les limites soient progressives !!!

Le planning permet de configurer la date d’envoi du message concernant les alertes sur les limites. L’envoi une à 2 fois par jour est une bonne valeur. L’envoi du message toutes les 15 minutes (paramètre « toujours ») est en revanche une mauvaise idée et contraire au but recherché.

Les paramètres de suppression doivent être définis avec précaution. Si la conservation d’une boîte supprimée pendant 30 jours est une bonne chose, la conservation des éléments supprimés pendant une période trop longue devient vite une lourdeur importante.

Les éléments supprimés vont tout d’abord dans le dossier « éléments supprimés » puis dans les objets supprimés.

ð un élément supprimé va donc rester un certain temps dans le dossier « élément supprimé » avant d’être supprimé définitivement. Le délai de conservation n’est donc qu’un délai supplémentaire de grâce qui est accordé au document.

ð L’option de suppression définitive qu’après sauvegarde est un garde-fou bien pratique (si les sauvegardes sont fiables).

2)   La banque publique

La banque publique possède les mêmes onglets que la banque privée, et un onglet supplémentaire pour gérer la réplication de ses dossiers publics.

En effet, les dossier privés (boîtes) ne peuvent pas être répliquées entre 2 serveurs.

C’est la « planification » qui est visée par cette configuration afin de choisir les heures (tranches horaires) pendant lesquelles cette banque d’information sera répliquée.

La réplication de dossiers publics, configurée au niveau du dossier, permet d’éviter l’utilisation des « public folder referals », c'est-à-dire l’utilisation d’un dossier public qui apparaît dans son environnement et qui se trouve en réalité sur un serveur/site distant.

D.   Les index de recherches

Les indexs de recherches permettent d’optimiser les recherches aussi bien sur les banques privées que publiques.

Tous les clients (Outlook et OWA) bénéficient de ce type de recherche !

Tant que les indexs ne sont pas configurés, les recherches se font séquentiellement… Si un index est présent, il est automatiquement utilisé.

L’onglet « Indexation de texte intégral » sur chaque banque d’information (privée ou publique) permet de planifier la mise à jour des indexs.

ð l’activation se fait par l’intermédiaire du bouton droit sur l’objet de « banque d’information » que l’on veut indexer. (choisir « créer »)

ð Ensuite, sélectionner « démarrer le remplissage complet »

L’onglet « Indexation de texte intégral » permet ensuite de choisir le rythme des mises à jour.

ð En effet, ceci peut être très coûteux en temps CPU et par la suite en terme d’espace disque.

Si possible (version Entreprise), l’indexation devrait être réservée à une banque d’information réservée au stockage des documents sensibles.

E.    Les serveurs virtuels

La configuration des différents serveurs virtuels.

1)   HTTP

Le serveur Outlook Web Access est automatiquement installé et configuré lors de l’installation de Exchange dans le web par défaut du serveur.

La configuration par défaut convient dans la plupart des situations, néanmoins il est possible d’adapter, modifier et même de supprimer les paramètres de l’installation.

Le répertoire virtuel « /exchange » permet l’accès complet à sa boîtes aux lettres, mais aussi aux dossiers publics.

Le répertoire virtuel « /public » permet un accès direct aux dossiers publics.

En fait, selon les droits tous les dossiers sont virtuellement accessibles. Par exemple, si l’on dispose du droit de lecture sur l’agenda d’une autre personne, il est possible d’y accéder en spécifiant directement le nom du dossier souhaité :

http://ServeurExchange/Exchange/Nom/Calendrier

Le nom du dossier doit correspondre exactement au dossier tel qu’il apparaît dans la boîte du propriétaire.

La configuration d’un nouveau serveur http peut permettre l’utilisation de noms de répertoires virtuels différents. Elle permet aussi de différencier les accès entre les cartes réseaux reliées au réseau local et celles d’internet.

ð Il est alors facile de n’arrêter que le web gérant l’accès Internet sans arrêter l’accès interne.

2)   IMAP

Le service IMAP est désactivé par défaut !

ð il est nécessaire d’aller dans la gestion des services afin de le mettre en automatique (ou en manuel) pour pouvoir le démarrer à partir de la console d’administration.

L’option « non assigné » signifie que le protocole est actif par défaut sur toutes les cartes réseaux et adresses IP.

Si l’on veut différencier le fonctionnement ou ne pas activer le protocole sur toutes les cartes, il sera nécessaire de préciser les adresses IP (et le port) sur lesquelles le protocole sera actif.

ATTENTION, dès que l’on précise des adresses IP spécifiques, cela signifie que la configuration devra aussi être changée manuellement en cas de changement d’adresse IP du serveur.

L’activation de la récupération rapide permet à certains clients IMAP de récupérer plus rapidement les messages en leurs évitant d’attendre la taille exacte des messages avant de commencer leur chargement. Malheureusement, ceci peut poser problème avec certains clients qui n’arriveraient plus à récupérer les messages.

L’inclusion des dossiers publics permet effectivement d’en obtenir l’accès, mais là aussi, ATTENTION, les nombreux dossiers publics d’un serveur Exchange peuvent causer des problèmes sur certains clients IMAP.

ð Pour ces 2 options, il sera nécessaire de les désactiver si des problèmes sont rencontrés par les utilisateurs.

A noter que le délai de connexion de 30 minutes EST LE MINIMUM, il permet de forcer une déconnexion en cas d’inactivité de cette durée.

=> Il faut parfois augmenter cette valeur. En effet, si des messages nécessitent plus de 30 minutes de transferts, les utilisateurs seront systématiquement déconnectés avant l’arrivée du message.

L’onglet « accès » est relativement classique.

Le format des messages permet d’indiquer le format des messages envoyés aux clients.

è par défaut, les 2 formats « texte brut »et « HTML » sont envoyés

è Il est possible de n’utiliser qu’un seul des formats, ou même utiliser le format « RTF » de Exchange en remplacement du mode par défaut.

Le format « rtf » est surtout intéressant si l’on sait que le client de messagerie est de type Outlook.

L’onglet calendrier permet de gérer les demandes de réunion reçues par IMAP, mais ceci suppose que le serveur OWA est bien accessible.

La notion de serveur frontal permet effectivement d’indiquer un serveur frontal précis, mais aussi d’utiliser un nom de serveur web complet qui peut être différent du nom interne du serveur Exchange.

3)   NNTP

Le service NNTP est nécessaire pour l’installation de Exchange 2003 mais n’est pas obligatoire pour l’utilisation. Ceci ne veut pas dire qu’il faut le désinstaller !

L’accès par NNTP est une possibilité supplémentaire d’accès à des dossiers publics par un protocole standard.

NNTP permettra aussi de synchroniser des forums (news) avec d’autres serveurs de news. Mais, attention, on ne peut pas faire n’importe quoi.

En effet, les serveurs de « news » sont généralement gérés par des fournisseurs d’accès Internet. Si l’accès est libre pour les utilisateurs par l’intermédiaire de programmes spécialisés en lecture de news, il n’est pas libre pour les serveurs qui veulent répliquer ou synchroniser des forums complets.

ð En effet, ceci donne un surcroît de travail pour les serveurs correspondants.

ð Les administrateurs de news (s’ils l’acceptent) doivent donc inclure votre serveur parmi les serveurs autorisés à venir chercher l’information. Ceci nécessite donc parfois un compte et un mot de passe pour se connecter dans ce mode.

Comme pour les autres protocoles, il est possible de choisir sur quelques adresses IP il sera disponible.

L’utilisation en interne ne causera pas de gros soucis ! En revanche, certains paramètres seront à considérer en cas d’accès depuis Internet.

è L’accès anonyme doit être autorisé

è Le nombre de connexion maximum doit être adapté.

L’onglet « paramètres » permet de régler les tailles de publication !

è La case « autoriser les serveurs à tirer les articles de News » autorisera d’autres serveurs NNTP à répliquer l’information.

è La case « autoriser les messages de contrôle » permettra aux comptes « autorisés » à gérer le serveur NNTP, notamment en créant/supprimant des groupes de discussion mais aussi des articles.

La partie du bas est réservée à la configuration de l’aspect « modération », c'est-à-dire la possibilité d’indiquer le serveur et le domaine dont dépend le modérateur désigné pour recevoir les publications et les accepter ou non.

La configuration d’un groupe de discussion s’effectue par l’ajout au niveau du conteneur correspondant. Saisir le nom, un nom convivial et une description.

ð Ce dossier apparaîtra sur les postes clients dans le dossier « Internet Newsgroups »

L’onglet « alimentation » permet d’indiquer les autres serveurs de news avec lequel ce serveur sera en communication. La communication entre 2 serveurs de news doit être préparée, acceptée et prévue des 2 côtés. Parfois des comptes d’accès sont définis.

La stratégie d’expiration permet d’indiquer la durée de vie de l’information, ceci afin d’éviter un engorgement des dossiers de discussion.

4)   POP3

Cet accès est désactivé par défaut. Comme pour les autres, il sera nécessaire de débloquer le démarrage du service en retirant le mode « désactivé ».

L’accès POP3 reprend la plupart des éléments de configuration du protocole IMAP, sauf l’accès aux dossiers publics.

Ce type d’accès est encore beaucoup plus souvent utilisé que le mode IMAP.

Attention, le protocole POP3 (et donc le serveur virtuel POP3) n’est fait que pour donner l’accès aux boîtes et récupérer les messages.

ð Il ne faut pas le confondre avec les logiciels souvent appelés « Connecteur POP3 » qui sont prévus pour permettre la récupération des messages (de une ou plusieurs boîtes) auprès de messageries distantes afin de les redistribuer dans la messagerie locale.

Microsoft n’intègre un « connecteur POP3 » que pour les petites messageries basées sur la version SBS.

5)   SMTP

Contrairement aux autres protocoles, celui-ci fait partie du fonctionnement normal de windows 200X notamment pour la communication intersites.

Le serveur virtuel SMTP est la base du fonctionnement de l’ensemble Exchange et de sa communication avec l’extérieur.

Un soin particulier devra être apporté à sa configuration et au mécanisme anti-relais.

Un premier aspect de sécurité pourra être de créer un serveur virtuel SMTP pour gérer la communication locale et un autre pour gérer Internet.

Le bouton « options avancées » permettra d’atteindre un point important de la configuration.

On peut définir par exemple un port différent pour la gestion interne, et surtout désactiver les filtres.

Sur la carte connectée à internet, il est important d’activer les filtres, même si vous ne les utilisez pas tout de suite !!!

Le filtre de connexion permettra de limiter les connexions provenant de sites répertoriés par les gestionnaires de listes de spammeurs (SBL).

L’onglet « Accès » est très important, car les erreurs sont souvent commises à ce niveau.

Le bouton « authentification » configurer les types d’utilisateurs pouvant se connecter.

è Pour un accès depuis « Internet », il est important de laisser un accès « anonyme », sinon vous ne pourrez recevoir aucun message !

è Pour les utilisateurs de l’entreprise, souhaitant utiliser l’envoi direct par SMTP, l’authentification (intégrée) leur permettra de se connecter et d’obtenir des possibilités différentes.

Les connexions anonymes peuvent être retirées si l’on veut interdire l’utilisation du service SMTP en interne notamment par d’autres serveurs.

L’authentification de base ne devrait pas être cochée sauf si le cryptage TLS est actif. Mais, attention, ce mode n’est pas pris en charge par tous les logiciels clients de messagerie. Bien entendu, il n’ya aucun problème avec ceux de Microsoft !

La méprise se situe souvent entre le bouton « connexion » et le bouton « relais » car l’affichage est très proche.

Sur le bouton connexion, il est indispensable d’autoriser la connexion de tout site distant ! En effet, a priori, toute messagerie distante est susceptible de vous envoyer un message.

L’interdiction de connexion ne devra donc se faire que pour des adresses IP ou des domaines clairement identifiés comme à refuser.

ð Attention, il ne faut pas interdire complètement un domaine d’un fournisseur internet comme « Free.fr ». En effet, vous risquez d’interdire beaucoup trop de messages « normaux » par cette méthode.

Pour le relais, le choix par défaut « uniquement la liste ci-dessous » est le meilleur choix.

-          Idéalement, la liste des ordinateurs devrait rester vide.

-          A la rigueur, le réseau local peut être autorisé par l’adresse réseau ou le domaine local.

-          Il ne faut surtout pas autoriser un serveur de relais externe !!! sinon, il n’y a plus d’anti-relais possible.

On peut se baser sur l’autorisation du relais pour les seuls ordinateurs (et utilisateurs) authentifiés. Si l’on veut être plus restrictif, décocher la case, ce qui permettra de désigner précisément les utilisateurs, les groupes ou les ordinateurs autorisés à déposer et/ou à relayer grâce à ce serveur.

Cette sécurité sera complétée par l’activation des fournisseurs de « listes noires » que nous verrons un peu plus loin.

La gestion du message permet de définir des paramètres très intéressants.

è La taille de chaque message sortant :

Les messages trop gros seront renvoyés à l’expéditeur.

è La taille d’une session :

Limiter une session permet de fluidifier les liaisons en n’admettant qu’une quantité précise de messages en fonction de leurs tailles. Dès que la taille d’une session est atteinte, une nouvelle session doit être redémarrée.

è Le nombre de destinataire par message est positionné à 64000 par défaut. Or, souvent, les relais SMTP des fournisseurs d’accès sont limités par le logiciel SMTP utilisé. C’est la taille de la chaine contenant les destinataires qui pose problème.

ð il est alors nécessaire de limiter le nombre de destinataires par message, ou bien de réaliser un script pour réaliser l’envoi « message par message ».

è L’indication d’une adresse de messagerie permet de recevoir tous les messages qui ne peuvent être remis. Ce compte, généralement l’administrateur, pourra rediriger les messages sur le destinataire correct en cas de petite erreur dans la saisie de l’adresse ! L’émetteur pourra aussi être prévenu de l’adresse correcte à utiliser.

è Le répertoire « badmail » contient tous les messages qui ont été filtrés ou qui n’ont pas pu être délivrés. En cas de mauvaise configuration, ce répertoire peut avoir reçu des messages corrects. Mais, dès que la configuration correcte est en place, on peut vider ce répertoire sans aucun problème.

Un examen ponctuel permet parfois d’obtenir des informations intéressantes sur des dysfonctionnements, des expéditeurs à interdire…

è La zone « transférer tous les messages » ne doit être utilisée que dans des situations particulières.

Lors d’une migration d’un serveur de messagerie à un autre, cette case permet de gérer rediriger les messages pour les utilisateurs qui n’ont pas encore été migrés vers l’ancien serveur de messagerie en indiquant son nom ou numéro IP.

Attention à ne pas définir ce paramètre sur 2 sites/serveurs distants de manière croisée, car de nombreux messages risquent de rebondir d’un site à l’autre.

La configuration de la remise des messages sortants ne pose généralement pas de problème.

L’envoi des messages vers Internet se produit sans problème si le serveur peut résoudre (par DNS) les domaines distants et si la connexion par SMTP vers les messageries distantes n’est pas filtrée.

Les valeurs par défaut de la page « remise » sont rarement à modifier. En revanche, la situation idéale n’existant pas, il faut souvent adapter les autres paramètres.

La sécurité sortante n’est à modifier que lorsque l’accès entre différents sites ou avec d’autres entreprises spécifiques, doit être authentifié pour des raisons de sécurité. Un serveur virtuel SMTP spécifique est alors réalisé.

Les paramètres de connexions sortantes servent principalement à indiquer un port différent du port 25 par défaut afin de se connecter sur un lien SMTP différent/réservé pour cela.

Les options avancées contiennent des éléments intéressants :

-          Le domaine fictif permet de rediriger les NDRs (messages de non-délivrance) vers ce domaine plutôt que vers le domaine source du message.

-          La zone « actif » correspond en réalité à la définition d’un serveur de relais. Idéalement, la zone est vide lorsque le serveur Exchange peut atteindre directement et sans problème toutes les messageries distantes.

è définir un serveur de relais permet de reporter tout le travail de résolution DNS et de communications SMTP sur un autre serveur.

è Cet autre serveur peut être une machine dédiée dans la DMZ (sur le site) ou une machine du fournisseur d’accès. Dans ce dernier cas, ceci doit être vu comme un service supplémentaire que nous accorde le fournisseur d’accès Internet.

III. Les groupes de routage

Un groupe de routage permet de regrouper de manière pratique les serveurs de messagerie qui ont des communications directes, même si les domaines et les administrateurs de ces serveurs sont différents. => C’est l’aspect « connectivité » qui est important.

Ceci permet de donner une souplesse nouvelle dans la transmission des messages notamment dans les organisations importantes comportant des serveurs de domaines différents sur des sites identiques. Le nombre de « sauts » réalisés par un message est donc limité.

Dès que 2 serveurs Exchange de la même organisation sont reliés par des liaisons lentes ou intermittentes, un connecteur de groupe de routage est nécessaire.

A.   Définition, création

Le 1^er groupe de routage (c’est son nom par défaut) est créé d’origine dès l’installation du 1^er serveur Exchange.

L’affichage des groupes de routage n’est pas automatique, il doit être demandé par l’activation de ce mode.

Il est nécessaire de demander l’affichage des groupes de routages en passant par les propriétés.

Par défaut, tous les serveurs Exchange se retrouvent dans le même groupe de routage !

Dès que la structure de l’organisation devient complexe, multi-domaines, multi-sites, il devient important de regrouper les serveurs Exchange en fonction de leur connectivité.

Un groupe de routage correspond donc à un groupe de serveurs Exchange disposant entre eux d’une communication quasiment directe. Idéalement, il s’agit du même réseau physique. Dès qu’il existe plusieurs groupes de routage, il est alors possible de déplacer les serveurs Exchange d’un groupe à un autre.

Chaque groupe de routage dispose d’un serveur « maître » qui aura à charge de gérer la mise à jour des informations à l’intérieur du groupe. C’est le 1^er serveur indiqué dans un groupe de routage qui devient maître !

ATTENTION, dès que des groupes de routages différents sont créés, ceux-ci peuvent être affectés à des groupes administratifs différents, et des connecteurs de groupes de routage sont à créer afin de gérer les communications entre les groupes.

Plusieurs connecteurs de groupes peuvent être créés afin de créer une structure de communication plus ou moins complexe selon les besoins et les coûts de chaque liaison.

Comme pour les réseaux classiques, différentes combinaisons sont possibles, la plus classique étant d’utiliser le réseau en étoile avec un site en « hub central » et tous les autres sites rattachés à ce site central.

ð C’est la solution la plus souvent utilisée permettant la mise à jour et l’envoi le plus rapide des informations entre tous les sites.

B.   Connexion

La connexion entre les différents groupes de routage est basée sur les connecteurs de groupes de routage.

Toute l’infrastructure étant basée sur SMTP, ce sont les serveurs virtuels SMTP qui vont servir à la communication intergroupe.

Lors de la définition d’un connecteur, l’indication d’un ou de plusieurs serveurs « têtes de pont » du site distant permettra d’affecter le trafic en priorité à ces serveurs.

La planification permet gérer plus ou moins finement la communication des messages entre les différents sites en fonction de paramètres de taille, de contenu, …

Chaque connexion a un coût défini par connecteurs et par groupe de rouage, permettant de gérer au mieux l’envoi d’un message. (selon une méthode proche de OSPF).

C.   Etats des liaisons

Un des apports important de Exchange 2000 (et 2003) est une gestion dynamique des communications. Chaque connecteur teste et indique régulièrement son statut. Cette information est alors diffusée de manière globale sur l’ensemble des sites. Ensuite, seuls les changements sont transmis.

Exchange 2003 bénéficie d’un nouvel algorithme permettant de gérer les communications oscillantes et qui alternent trop souvent, afin de ne transmettre que les changements significatifs et durables.

Ce mécanisme est aussi géré pour les connecteurs X400, mais pas pour les passerelles vers les anciennes messageries comme MS-MAIL.

Chaque serveur Exchange a donc une connaissance parfaite de l’état du réseau avant même l’envoi d’un message. Ceci permet de faire transiter le message par le meilleur chemin possible, ou de mettre en attente le message (dès la source) si aucune route n’est disponible. Les allers/retours et détournements d’un message seront ainsi limités au maximum.

IV. Les autres connecteurs

A.   Le protocole SMTP : Le connecteur SMTP et serveurs virtuels SMTP

Le connecteur SMTP n’est pas indispensable pour les configurations « mono-serveur » ou relativement simple.

Le connecteur SMTP apporte néanmoins plusieurs fonctions qui sont utiles dans toutes les configurations.

Le connecteur SMTP permet

·         de gérer des restrictions sur les envois et les réceptions de messages,

·         de gérer la récupération de messages par les protocoles ETRN/ETURN,…

·         de centraliser l’envoi et la réception des messages vers Internet sur une seule machine en partageant un accès à tout ou partie de l’organisation Exchange.

·         Le connecteur SMTP est souvent utilisé pour gérer des connexions directes vers des sites locaux ou distants afin de gérer des paramètres spécifiques en évitant parfois de passer par Internet. Toute messagerie (Lotus, Sendmail, Exchange d’une autre organisation/forêt) peut ainsi être atteinte directement.

Le connecteur SMTP s’appuie sur le ou les serveurs virtuels SMTP existant

Le 1^er connecteur SMTP a généralement pour fonction de centraliser la communication avec Internet. La résolution est donc basée sur DNS pour résoudre toute adresse sur Internet et l’espace d’adressage (*) signifie que le connecteur pourra servir pour tout domaine !

B.   Le protocole WebDav

Le protocole WebDav est principalement un mode d’accès à l’information qui découle du protocole HTTP et qui permet de lire/écrire des documents à travers un service Web, comme si les documents se trouvaient sur un emplacement disque classique. Cette extension gère de nombreux aspects, notamment les conflits d’accès et donc le travail collaboratif sur des documents communs.

En plus de l’aspect pratique pour l’utilisateur, WebDav est un outil très utile et facile à utiliser pour la programmation classique ou par scripts.

V.   Le mode « mobile » (OMA)

Contrairement à l’activation de ce mode sur Exchange 2000 qui était assez complexe car liée à l’installation d’un produit supplémentaire, la configuration de l’accès est très facile sous Exchange 2003. En fait, cet accès est activé par défaut dans les paramètres globaux (services mobiles).

En revanche, il peut être bon de cocher les cases supplémentaires si l’on n’est pas sur des périphériques qui vont être connectés.

En effet, d’origine, seule une liste précise de périphériques peuvent être connectés, mais Microsoft a prévu de fournir environ tous les 6 mois une mise à jour sous la forme d’un programme de « Device Updates ».

VI. Les règles de filtrages (Antivirus, AntiSpam, Junk-Email rules)

A.   ANTI-SPAM (dès l’entrée)

1)   Filtrage des connexions (temps réels et listes sures)

Le filtrage des connexions permet d’interdire les connexions en fonction du domaine ou de l’adresse IP du site émetteur.

Le fait d’interdire la connexion signifie que l’on ne pourra plus recevoir aucun message (bon ou mauvais) provenant de l’adresse IP du domaine indiqué. Cette dernière solution (extrémité) ne doit être prise que lorsque le site émetteur est manifestement la cause de vos problèmes, et que l’adresse IP appartient bien à ce domaine.

Il est inutile de bloquer une adresse IP dynamique (obtenue par DHCP) ou tout un domaine précis (style hotmail.com, msn.com,…). En effet, ceci a généralement pour effet de bloquer globalement (et sans que cela se voit) une quantité de messages « normaux ». Les utilisateurs s’aperçoivent généralement très vite de ce genre de problème !!!

De même, bloquer l’adresse IP d’un serveur de relais SMTP est aussi une très mauvaise idée.

Pour résoudre ce type de problème, la solution est de se baser sur des fournisseurs de « listes noires » (Blacks lists dites « RBL »). Différentes solutions gratuites et payantes existent sur Internet, permettant d’interroger par DNS des serveurs qui mettent régulièrement à jour 2 types de listes :

-          les serveurs « reconnus » comme étant source/responsable de SPAM

-          les serveurs « suspectés » de SPAM

La configuration du serveur virtuel SMTP de Exchange permet de définir l’utilisation de un ou plusieurs fournisseurs de RBL. Selon le fournisseur, il est possible de configurer le refus de connexion pour l’un ou les 2 types de serveurs.

• La configuration principale s’effectue dans les paramètres globaux du gestionnaire système d’Exchange. Dans les propriétés de la Remise de message, sur l’onglet Filtre de connexion, vous pouvez ajouter un ou plusieurs fournisseurs de « listes noires ».
Nous allons utiliser le fournisseur http://sbl.spamhaus.org qui est un bon exemple. Indiquer son nom SpamHaus, son suffixe de domaine sbl-xbl.spamhaus.org.
Par défaut, tout code de retour « anormal » indique que le site sera filtré et que la connexion sera refusée. Le code se présente sous la forme d’une adresse IP, certains fournisseurs peuvent prévoir un code spécifique : 127.0.0.2 à 127.0.0.4 pour SpamHaus.org.
Il se peut que certains fournisseurs nécessitent la configuration d’un code de retour précis.
Configurer plusieurs fournisseurs ne pose pas de problème, mais attention à la baisse de performance possible, et au fait que tous les fournisseurs ne sont pas gratuits.
Le site http://www.spam-blockers.com/SPAM-blacklists.htm en propose un certain nombre.
Pour éviter les problèmes de filtrage inutile, il est prudent d’ajouter les réseaux IP et/ou les domaines à partir desquels celui-ci est inutile.
• La suite de la configuration consiste à activer le filtrage au niveau de chaque serveur virtuel SMTP. À partir de l’onglet Général, cliquer sur le bouton Options avancées, cliquer ensuite le bouton Modifier et cocher la case Appliquer le filtre de connexion.
Si le serveur virtuel SMTP fonctionne sur plusieurs cartes réseaux ou adresses IP, il est possible de différencier le filtrage. Dans ce cas, le conseil est d’activer le filtrage sur une carte réseau réservée à la communication Internet, et de le désactiver sur les autres.
Comme pour la plupart des modifications de configuration, il est prudent de réinitialiser le service SMTP pour s’assurer de l’utilisation des nouveaux paramètres.
Pour vérifier le filtrage mis en place, il suffit d’envoyer un message à l’adresse nelson-sbl-test@crynwr.com. Il s’agit d’un robot qui vous enverra un message de test. Si vous ne recevez qu’un seul message, le filtrage est correctement mis en place. Le message contiendra notamment la ligne suivante : “has been blocked by spamhaus.org”.
Si vous recevez 2 messages dont un qui contient Uh-oh, your SBL block is not working!, la configuration n’est pas correcte (vérifier les activations et l’adresse DNS utilisée).
Ce test NE VERIFIE PAS l’aspect RELAIS qui lui peut très bien rester ouvert.
Attention, ceci ne veut pas dire qu’il n’y aura aucun « SPAM » et encore moins aucun virus, mais cela permettra de diminuer de manière significative (et pour tous les utilisateurs) un certain nombre de messages non sollicités.
À noter que pour les organisations importantes, il est possible de demander la synchronisation du DNS afin d’accélérer les recherches DNS (se renseigner chez les fournisseurs d’accès à Internet !).

2)   Filtrage du contenu : EXCHANGEIMF.MSI

Exchange 2003 fournit maintenant une interface de programmation permettant à tout logiciel de s’intégrer facilement dans le filtrage du contenu.

Microsoft, fort de son expérience et de ses études sur le spam a développé son propre filtre qu’il est possible de téléchargement gratuitement sur son site. Il est maintenant possible d’installer ce filtre intelligent permettant de limiter les messages de SPAM directement destinés à vos domaines de messagerie.

Le moteur IMF contient la même technologie que le filtre de SPAM intégré à Outlook 2003 mais qui va maintenant s’appliquer à tous les messages entrants et donc à toutes les boîtes. Ce filtre est indépendant du SP1 de Exchange 2003.

L’installation et le déploiement de cet utilitaire au format MSI ne devraient pas poser de problème.

2 composants : Un module « administration » et un module « fonctionnalité » permettent de n’installer que l’administration ou que le filtrage par lui-même.

La logique sera d’installer ce filtre sur tous les serveurs en contact avec les messageries externes.

La première chose à faire est d’activer le filtrage sur les serveurs virtuels connectés à l’extérieur.

La configuration proprement dite se réalise dans les paramètres globaux de l’organisation Exchange !

SCL= SPAM Confidence Level

Ce niveau de confiance est une valeur de 1 à 9 correspondant à un calcul établi en fonction de différents critères permettant d’établir qu’il s’agit ou non de SPAM. Chaque critère confirmé donne un certain nombre de points. Plus le message aura un ratio élevé, plus il y a de chance qu’il s’agisse d’un message non sollicité.

La valeur 1 ne gardera que les messages « totalement surs ». Au contraire, la valeur maximale conservera la quasi-totalité des messages.

La configuration du blocage de la passerelle permet d’agir sur les serveurs disposant de serveurs virtuels SMTP avant qu’il arrive au niveau des boîtes aux lettres. Il s’agit de la première barrière qui permet d’éviter d’intégrer les messages aux banques d’information et de réagir plus rapidement. 4 choix d’actions sont proposés pour les messages suspects.

è la suppression pure et simple

è Le rejet (émission d’un accusé de non délivrance)

è L’archivage en tant que fichier dans le dossier « \Exchsrvr\Mailroot\vsi n\UCEArchive. »

(n correspondant au N° du serveur virtuel)

è Il est aussi possible de ne rien faire sur le message. Dans ce cas, le message suit son cours, mais garde dans une propriété la valeur du ratio qu’il a obtenu.

La configuration du courrier indésirable permet d’indiquer un niveau de message inférieur ou égal à la valeur de blocage de la passerelle. En effet, aucun message de valeur supérieure ne devrait exister à ce niveau.

Ce deuxième niveau (généralement inférieur) permet de définir une zone contenant des messages qui sont peut être des messages de type non sollicités, mais pour lesquels il est préférable de laisser l’utilisateur vérifier le contenu. Ces messages sont déplacés automatiquement dans le dossier « Junk Mails » de la boîte aux lettres de l’utilisateur.

Attention, le dossier « courrier indésirable » n’est pas forcément utilisé, selon la langue utilisée au niveau du serveur !

Les valeurs effectives à utiliser dépendent beaucoup de l’utilisation et du type de messages reçu. L’important est que l’utilisateur reçoive effectivement les messages dont il a besoin pour son activité, et que le nombre de message qu’il devra examiner manuellement dans le dossier « Junk Mails » soit raisonnable.

3)   Filtrage des destinataires

Liste de distribution sécurisée (authentifié uniquement)

Le filtrage des destinataires permet d’empêcher l’envoi vers des adresses ou des domaines précis.

Attention, ces restrictions ne s’appliquent pas aux utilisateurs et serveurs Exchange authentifiés.

La case « filtrer des destinataires qui ne sont pas dans le répertoire » représente un risque, car il est alors possible d’interroger par SMTP et de déterminer des adresses valides.

4)   Restriction du relais

La notion de relais est souvent mal comprise lors de la configuration du serveur virtuel SMTP (voir le chapitre correspondant).

En effet, le relais suppose qu’une machine reçoive un message qui ne lui est pas directement destiné, et que cette machine réexpédie ce message.

Or, si un message reçu d’un serveur SMTP par le serveur Exchange puis renvoyé ailleurs est bien interprété comme du relais, c’est la même logique qui est suivie lorsque le client Outlook Express (ou tout autre client de messagerie Internet) dépose par le protocole SMTP un message destiné à Internet.

Les utilisateurs du client Outlook « standard » connectés par le service « Exchange Server » n’ont pas ce problème, car il ne s’agit pas de relais « SMTP ». Les messages arrivent par MAPI dans Exchange qui les déposent dans la queue SMTP.

D’origine, le relais SMTP est bien interdit ce qui convient à la plupart des clients utilisant le mode « préconisé » qui apporte le maximum de fonctionnalités.

Lorsque des clients Outlook Express ou d’autres serveurs (Unix, …) doivent pouvoir utiliser le serveur Exchange pour expédier des messages, il est possible d’ajouter leur adresse IP dans la liste.

Pour les clients Outlook Express, il est préférable de configurer SMTP pour s’authentifier auprès du serveur Exchange.

Des détails complémentaires pourront être trouvés au niveau de la configuration du serveur virtuel SMTP.

5)   Blocage des pièces jointes sur OWA

6)   Forçage du scan sur Tous les mails sortants

B.   VSAPI

L’antivirus peut s’installer sur une machine sans exchange

VSAPI 2.5 permet maintenant d’optimiser l’installation des antivirus de messagerie qui représentent une contrainte et un ralentissement certain de l’utilisation de la messagerie.

Cette nouvelle API autorise l’installation de l’antivirus sur un serveur différent du serveur exchange disposant des boîtes et dossiers à scanner, ce qui facilite le déploiement et la répartition de charge. Des statuts plus détaillés sont maintenant disponible et peuvent être transmis aux utilisateurs.

L’API gère les nouvelles fonctionnalités de protection des messages de SPAM par la prise en charge du filtrage des connexions basée sur les listes noires, le filtrage des expéditeurs et le blocage des messages comportant des balises.

Un certain nombre d’améliorations techniques fait que l’analyse est mieux gérée. Un message et ses pièces attachées sont traités dans la même file d’attente, il n’y aura donc plus comme avec certains antivirus, l’arrivée du message indiquant une pièce jointe qui n’est accessible que beaucoup plus tard.

D’autre part, aucun élément n’est transmis au client s’il n’a pas été scanné par la dernière version de la base de virus. Une gestion des priorités gère l’accès et la vérification privilégiée des messages demandés expressément par un utilisateur.

VII.               Les banques d’informations

A.   Maintenance On-Line

La vérification d’intégrité est maintenant intégrée au fonctionnement d’Exchange. Donc, à moins que des serveurs Exchange 5.5 n’existent encore dans l’organisation, l’option de vérification appelée « contrôle de cohérence, SA/BI » ne sera pas accessible.

La gestion de l’annuaire est reportée au niveau du système d’exploitation. La réplication entre contrôleurs de domaine et la réplication du catalogue global (qui correspond à la liste globale d’Exchange) sont maintenant gérées au niveau de Windows par le gestionnaire de « sites et Services ».

L’élément principal de la maintenance sera donc basé sur les banques d’information.

La plupart des étapes de maintenance sont programmées par défaut la nuit (de 1H à 6H). Ce sera donc généralement une mauvaise idée d’arrêter un serveur Exchange ou même d’arrêter les services Exchange durant cette période.

Si nécessaire, n’hésitez pas à modifier les horaires d’exécution.

B.   Maintenance Off-line

La maintenance « off-line » signifie que l’on va arrêter un certain nombre de services. Cela se traduit aussi par une indisponibilité totale ou partielle des fonctions du serveur Exchange.

Heureusement, ce type de maintenance se réalise très très rarement.

La maintenance est réservée aux cas « désespérés », lorsque la sauvegarde n’existe pas ou supposerait une perte d’information trop importante. Microsoft préconise le rechargement de la dernière sauvegarde et de tous les logs dans 99% des situations !!! Ceci permet de revenir à la situation la plus proche du problème sans risque.

Le seul cas d’utilisation « normale » correspond à la défragmentation d’une base Exchange. Celle-ci ne doit être exécutée que très rarement, et si l’on est sur de récupérer un espace très important, par exemple après la suppression ou le déplacement d’une quantité importante de boîtes ou de dossiers publics.

En effet, Exchange 2003 récupère automatiquement les espaces libérés et défragmente les éléments à l’intérieur de la base toutes les nuits lors de la maintenance « On-Line »!

La première étape consiste à réaliser une vérification d’intégrité. L’outil « IsInteg » permet vérifier la cohérence des informations entre elles et le bon enregistrement de tous les dossiers dans les tables de la base, et les différents index de la base.

ISINTEG –s NOMSERVEUREXCHANGE –TEST ALLTESTS

Attention, les services SA et IS doivent être démarrés, mais les banques d’information doivent être démontées.

Le montage/démontage des banques d’information par une autre console ou par script n’apparaîtra pas automatiquement. Le rafraîchissement sera obtenu après sélection du serveur, puis la touche « F5 ».

Cette commande permet de tester tous les aspects !

Si des erreurs sont détectées, elles sont affichées au fur et à mesure de l’exécution.

L’option « -fix » permet de corriger les différentes erreurs rencontrées. Cette option est souvent ajoutée dès le premier lancement, car le traitement peut représenter plusieurs heures… selon la configuration.

Ah, les chemins des binaires Exchange n’étant pas ajoutés à la variable PATH, il est nécessaire de se placer dans le dossier « ?:\PROGRAM FILES\EXCHSRVR\BIN » pour lancer ces commandes.

L’option « –verbose » permet d’obtenir des informations.

Si possible, l’idéal est de pouvoir lancer la commande jusqu’à obtenir une vérification sans « errors » ni « warning ».

Si le traitement est long, on peut considérer qu’une réparation ayant corrigé les erreurs rencontrées est bonne.

La première étape ne suffit pas toujours à corriger les problèmes, certaines erreurs ne seront corrigés qu’en s’attaquant directement aux bases de données.

Attention, dans les 2 cas, des données peuvent être perdues ou rendues inaccessibles.

La 2^ème étape correspond à la réparation des banques d’information.

L’option /D qui permet de défragmenter est l’option la plus courante à utiliser. Cette opération est la seule qui permet de diminuer physiquement et réellement la taille des banques d’information.

La défragmentation d’une banque d’information suppose qu’on est persuadé de récupérer un espace important.

Comme principe de base, il est intéressant de défragmenter si la somme des tailles de toutes les boîtes d’une banque d’information est sensiblement inférieure à la taille des fichiers .EDB et .STM

Cette défragmentation est réalisée par la recopie des informations dans une nouvelle base composée de 2 nouveaux fichiers. Cela signifie qu’il est important d’avoir la place nécessaire pour générer ces nouveaux fichiers.

L’option /t sera importante à définir pour désigner l’emplacement qui sera utilisé pour créer ces fichiers. En effet, l’outil ne vérifie pas l’espace disponible ! Il est même possible de spécifier un emplacement sur le réseau, sachant que la durée du traitement va être largement augmentée !

Lorsque le résultat est incertain (espace disque peut être insuffisant, script automatisé), l’option « /p » permet de ne pas remplacer automatiquement l’ancienne base par le résultat défragmenté. Le code d’erreur (ERRORLEVEL) pourra être utilisé pour réaliser la copie de la nouvelle base.

Sinon, le redémarrage se fera avec les anciennes bases qui n’auront pas été modifiées.

Exemple de syntaxe :

eseutil /d D:\Exchsrvr\mdbdata\priv1.edb /te:\temp\basetemp.edb /p

Microsoft(R) Exchange Server Database Utilities

Version 6.5

Copyright (C) Microsoft Corporation. All Rights Reserved.

Initiating DEFRAGMENTATION mode...

            Database: D:\Exchsrvr\mdbdata\priv1.edb

      Streaming File: D:\Exchsrvr\mdbdata\priv1.STM

      Temp. Database: e:\temp\basetemp.edb

Temp. Streaming File: e:\temp\basetemp.STM

                  Defragmentation Status (% complete)

          0    10   20   30   40   50   60   70   80   90 100

          |----|----|----|----|----|----|----|----|----|----|

          ...................................................

Note:

It is recommended that you immediately perform a full backup

of this database. If you restore a backup made before the

defragmentation, the database will be rolled back to the state

it was in at the time of that backup.

Operation completed successfully in 15.72 seconds.

Par défaut, le fichier .STM est aussi defragmenté et utilise le même répertoire.

ESEUTIL /P

La réparation des bases est considérée comme la dernière chance ! Microsoft préconise toujours la restauration de la dernière sauvegarde (même ancienne) plutôt que la tentative de réparation.

Heureusement, Exchange corrige automatiquement de très nombreuses erreurs de base de données.

Dans la pratique, cette réparation sera souvent une étape nécessaire pour remettre en état les banques d’information, notamment lorsque les fichiers n’ont pas été obtenus de manière très claire ! ( copie en cours de fonctionnement, fichiers de dates différentes,…)

Cette réparation permet de remettre la base en état, mais avec des risques de pertes de données, et parfois une base « propre » mais inutilisable !

Comme dans toutes les opérations risquées, une bonne sauvegarde est nécessaire.

Le traitement de réparation génère une nouvelle base, un minimum de vérification d’intégrité et de défragmentation étant réalisé par ce type de traitement.

Une option spécifique est importante à noter :

/createstm : permet de recréer un nouveau fichier .STM lorsque celui-ci est perdu ou altéré.

ð ATTENTION, ceci implique la perte de tous les messages et éléments qui serait resté au format « streaming »/internet.

ESEUTIL /? vous permettra d’obtenir la liste des opérations de bases. Ensuite, la lettre de l’opération (D, P,G …) indiquera la syntaxe complète de l’opération.

La réparation et la défragmentation supposent que l’on dispose de l’espace nécessaire pour générer une nouvelle base. Il faut se préparer, dans le pire de cas, si les calculs sont mauvais, à ce que la base de destination soit de taille quasiment identique à la source.

Donc, lors d’une défragmentation d’une base de 10 Go, il est fortement souhaitable de disposer d’à peu près 10 Go d’espace disponible. Quelques fichiers temporaires sont d’ailleurs utilisés pendant cette opération.

Un des intérêts de la version Enterprise est de répartir les boîtes dans différentes banques privées. L’espace nécessaire sera alors celui de la plus grande banque à défragmenter.

La durée du traitement n’est pas négligeable, selon la puissance du système, on peut partir sur la base de 1 à 4 Go par heure. Il faut aussi tenir compte du temps de transfert entre disques, si la base temporaire a été créée sur un disque différent ou sur un disque du réseau.

Il est possible de réaliser les traitements sur un système différent qui ne contiendrait pas Exchange en y déplaçant l’utilitaire et les fichiers de la banque d’information.

C.   La sauvegarde et la restauration d’Exchange.

Pour pouvoir restaurer Exchange dans de bonnes conditions, il est nécessaire d’avoir une sauvegarde correcte. Or, c’est souvent l’absence de cette bonne sauvegarde qui rend nécessaire les opérations de réparation vues précédemment!

1)   La sauvegarde :

Une « bonne » sauvegarde Exchange doit contenir :

-          les données d’état du système (les registres, la base Active Directory s’il s’agit d’un contrôleur du domaine,…)

-          les objets Exchange (les banques d’information privées et publiques)

-          Tous les répertoires gérés par exchange !

Attention, le mode « cliché instantané » doit être désactivé pour que les fichiers .log soient traitées et disparaissent au moment de la sauvegarde.

Ceci veut dire que 2 sauvegardes devront être réalisées l’une après l’autre, car les données d’état du système empêchent de sélectionner le mode « cliché instantané ».

La première étape consistera à sauvegarder les données d’état du système. Cet « état » contiendra principalement la base de registre. Si Exchange est contrôleur du domaine, des parties importantes de Active Directory seront sauvegardées, notamment si le serveur est « catalogue global ». Lorsque le serveur Exchange est « catalogue global », cela lui donne une certaine « autonomie » de fonctionnement par rapport aux autres contrôleurs, ainsi qu’une optimisation quant à l’accès et la mise à jour de la liste globale.

Si l’on sélectionner le groupe de stockage à ce niveau, les fichiers Exchange seront sauvegardés « tels quels », c'est-à-dire en cours de fonctionnement. Ceci « peut » être intéressant lorsque le mode circulaire est activé au niveau du groupe de stockage.

La 2^ème tache de sauvegarde devra être mise en ajout afin de compléter la bande.

Le groupe « Microsoft Exchange Server » contient les objets principaux à sélectionner.

Après avoir cliqué sur « démarrer », définir l’ajout sur la bande ou la réinitation de la bande avec le nouveau contenu.

Ensuite, passer parle bouton avancé pour dé-selectionner le mode « cliché ».

La désactivation du cliché est importante pour la bonne intégration dans la base des nombreux fichiers logs qui disparaîtront alors.

2)   La restauration.

La restauration des bases Exchange suppose que l’annuaire (Active Directory) est resté en bonne état (car géré par d’autre serveur). L’annuaire connaît tout les serveurs Exchange et leurs banques d’informations. Si nécessaire, la restauration de Active Directory doit être effectuée au préalable avant d’envisager celle d’Exchange.

Si d’autres contrôleurs du domaine existent, la restauration ne pose généralement aucun problème.

La synchronisation du domaine se fait automatiquement et contient toutes les informations nécessaires sur les serveurs Exchange existants.

La restauration des données d’état du système (même sur un nouveau système) permet de prendre en compte la réinstallation du nom de l’ordinateur, de tous ses attributs, de tous les services tels qu’ils étaient au moment de la sauvegarde.

Le niveau de restauration Exchange dépend beaucoup des problèmes rencontrés. Dans notre cas, on suppose que c’est la restauration totale qui est envisagée, la restauration partielle (boîte ou dossier ayant été vu précédemment.

Dans le cas d’une restauration totale de Exchange, il est très important d’autoriser cette restauration.

Cette case est à cocher sur chaque banque d’information à restaurer (privée et publique), sinon la restauration serait sans effet.

Certaines options sont aussi très importantes lors de la restauration que ce soit pour Exchange et les fichiers classiques !

L’objectif de restaurer a souvent l’objectif de revenir à une situation précise en arrière. Dans ce cas, il est important d’utiliser l’option « Remplacer les fichiers », faute de quoi, seuls les fichiers « manquants » sont restaurés.

La restauration se fera sur «  l’emplacement d’origine ».

Selon les cas, il sera possible de sélectionner la ou les banques d’information souhaitées ainsi que les logs correspondant !

Les logs, s’ils sont sélectionnés correspondent à ceux de tout le groupe de stockage. Cela ne représente pas un problème même si une seule banque d’information est restaurée. Seules les informations correspondant à la banque d’information restaurée seront ré appliquées.

On remarque que la sélection se fait bien dans les objets Exchange et non sur les unités disques…

Si l’on dispose d’une version Enterprise, il est facile de restaurer une banque d’information sur un serveur différent afin de rétablir rapidement l’accès aux boîtes.

Si des sauvegardes incrémentielles ont été effectuées, la case « dernier jeu de sauvegarde » ne doit être cochée que sur la dernière restauration.

Les sauvegardes incrémentielles ne contiennent que les logs !

En cas d’oubli, il est possible d’activer la « récupération » à partir de l’instruction « eseutil /cc » en indiquant l’emplacement temporaire choisi.

Cet emplacement contiendra le fameux fichier « restore.env » qui définit la situation des bases et des logs au moment de la sauvegarde.

Attention, la restauration complète d’une banque d’information ne peut se faire lorsque Groupe de stockage de récupération a été créé car la restauration est alors forcée vers ce groupe.

La solution la plus simple est alors de supprimer le groupe de récupération avant de réaliser une restauration complète.

Par ailleurs, même si cela peut sembler évident, la banque d’information doit être démontée avant de lancer la restauration.

Dans le cas d’une restauration sur un autre serveur, il faut bien faire attention aux noms des banques d’information qui contiennent le nom du serveur et qui peuvent avoir un libellé différent selon la langue utilisée. Pour la restauration, il est très important que le libellé corresponde exactement entre le nom sauvegardé et celui sur lequel on restaure.