Les paramètres Exchange Server que vous devez obtenir correctement

Microsoft a investi des millions de dollars dans Azure et Office 365, et leurs concurrents emboîtent le pas avec leurs propres offres de cloud public de bonne foi. Mais les solutions de cloud public ne conviennent pas à tout le monde. Les organisations de toutes sortes ont des raisons légitimes de ne pas vouloir que leurs données restreintes sur des systèmes échappent à leur contrôle total.

Pour beaucoup de ces entités, Exchange Server local est un must en matière de messagerie. Microsoft continue de mettre à jour le logiciel avec l'assurance que toute amélioration apportée à sa pile basée sur le cloud finira par se répercuter. De plus en plus, ces fonctionnalités ajoutent des couches de complexité à la tâche déjà ardue d'exécuter un système de messagerie de niveau entreprise. Il est facile de se perdre lors de la planification de la capacité matérielle, de la configuration des DAG (groupes de disponibilité de base de données) et de la résilience du site, de la configuration du routage du courrier et de la garantie que vos utilisateurs peuvent réellement se connecter au système.

Dans cet esprit, voici quelques détails que vous devez absolument comprendre avant d'ouvrir les portes de votre nouvel environnement de messagerie.

Capacité

Avant même de télécharger Exchange Server, vous devez avoir une bonne idée du nombre d'utilisateurs que votre système devra prendre en charge, des accords de niveau de service que vous pourriez avoir en place et de la durée d'une fenêtre de récupération d'urgence dont votre organisation aura besoin. Ce sont des sujets très approfondis qui dépassent de loin la portée de cet article, mais Microsoft fournit certains outils pour vous aider à planifier cela.

Tout d'abord, l'article sur les recommandations de dimensionnement et de configuration d'Exchange 2013 sur TechNet. Il vous guidera à travers les principes de base tels que les ratios du cœur du processeur Active Directory par rapport au cœur du processeur du serveur de boîtes aux lettres, la configuration du réseau, les correctifs Windows Server requis et la configuration du fichier d'échange. Si vous êtes familiarisé avec Exchange Server 2010, vous remarquerez quelques modifications mises en évidence dans cet article pour la configuration d'Exchange 2013, telles que ne plus recommander un réseau distinct pour la réplication.

Une fois que vous vous êtes familiarisé avec les principales recommandations, il est temps de vous lancer dans la planification des capacités. Le blog de l'équipe Exchange est une excellente source d'informations à ce sujet, et le groupe a publié un aperçu complet sur la façon de dimensionner correctement votre environnement. Ne vous laissez pas décourager par les formules mathématiques - un calculateur de dimensionnement est disponible en téléchargement pour vous aider à faciliter le processus.

Quelques conseils TL; DR:

  • Ne vous embêtez pas avec les configurations RAID pour vos volumes de base de données. C'est la vieille école et n'est plus nécessaire en raison des améliorations des performances dans Exchange. JBOD est très bien, particulièrement lors de l'utilisation de DAG pour une haute disponibilité.
  • Utilisez un cœur de processeur Active Directory pour huit cœurs de processeur de boîte aux lettres.
  • N'utilisez pas d'hyperthreading sur les serveurs de boîtes aux lettres physiques.
  • Configurez des moniteurs de performances pour les mesures critiques telles que la durée des requêtes AD, les IOPS sur vos disques de base de données et la vérification de la capacité de la base de données AD dans la RAM.

Routage du courrier

Vous avez tout installé. Vos bases de données se répliquent. Vos charges sont équilibrées. La performance est surveillée. Il est maintenant temps de passer à l'entrée et à la sortie du courrier de votre système.

Domaines acceptés et politiques d'adresse e-mail

Assurez-vous que tous vos domaines sont répertoriés avec le type de domaine approprié sous Flux de messagerie> Domaines acceptés et que votre domaine par défaut est correct. Si vous avez l'intention d'utiliser des politiques d'adresse e-mail, le moment est venu de les examiner pour vous assurer que vous avez sélectionné les bons domaines et le bon format de nom d'utilisateur. Vous pouvez le faire sous Flux de messagerie> Stratégies d'adresse e-mail.

DNS

Comme avec Office 365, vous devez configurer correctement vos entrées DNS avant que le courrier ne puisse être acheminé vers votre système ou que les clients puissent découvrir automatiquement leurs paramètres. C'est un peu plus difficile pour les solutions sur site car vous devrez configurer des règles de pare-feu pour autoriser le port 25 entrant vers vos serveurs de transport frontaux ou périphériques en fonction de votre configuration spécifique.

Vous devrez d'abord créer un enregistrement A pour l'adresse IP de votre MTA (Message Transfer Agent). Par exemple, nous utilisons mail.exampleagency.com dans notre laboratoire. Une fois l'enregistrement A en place, créez un enregistrement MX qui pointe vers lui. Votre fournisseur d'hébergement DNS doit disposer d'une documentation adéquate pour couvrir la création de ces enregistrements.

Pour la découverte automatique, vous devrez créer soit un enregistrement A à l'adresse IP de votre serveur d'accès client ou, s'il s'agit du même que votre MTA, un enregistrement CNAME pointant vers lui. Encore une fois, pour notre laboratoire, nous utilisons un enregistrement CNAME d' un utodiscover.exampleagency.com pointant vers mail.exampleagency.com car ils utilisent tous les deux la même adresse IP. Il est nécessaire que cet enregistrement soit autodiscover.yourdomain.tld car c'est ainsi que Outlook Autodiscover le recherchera.

Connecteurs

Contrairement à Office 365, que nous avons abordé dans un article précédent, Exchange local ne crée pas automatiquement un connecteur d'envoi pour vous. Pour ce faire, ouvrez le Centre d'administration Exchange (Centre d'administration Exchange) et accédez à Flux de messagerie> Connecteurs d'envoi. Un connecteur de base enverra simplement à Internet via la résolution DNS.

Si vous utilisez une passerelle de messagerie tierce telle que Mimecast, vous la configurerez en tant que connecteur personnalisé. C'est également là que vous configurerez toutes les connexions TLS appliquées à d'autres MTA. Par exemple, Bank of America exige des connexions TLS appliquées pour ses fournisseurs. Pour cela, vous devrez utiliser un connecteur partenaire.

C'est également une bonne occasion de revoir vos connecteurs de réception. Ici, vous pouvez définir la taille maximale des messages entrants (la valeur par défaut est de 35 Mo - n'oubliez pas de prendre en compte la surcharge d'encodage MIME d'environ 33%), si vous souhaitez activer la journalisation des connexions, les paramètres de sécurité tels que TLS appliqué et les restrictions IP.

Accès client

Vous avez configuré le routage de base du courrier et vous pouvez envoyer et recevoir des courriers électroniques. Vous devez maintenant connecter les clients à votre système afin qu'ils puissent réellement l'utiliser.

Certificats

Avec Office 365, Microsoft utilise son propre espace de noms pour la découverte automatique d'Outlook, Outlook Web App et la connectivité SMTP sur TLS. En tant que tel, Microsoft utilise ses propres certificats. Pour Exchange sur site, vous devrez acheter de nouveaux certificats auprès d'une autorité de certification approuvée pour permettre une connectivité sécurisée approuvée à vos systèmes.

Heureusement, Microsoft a rendu le processus facile à terminer. Pour démarrer, ouvrez le CAE et accédez à Serveurs> Certificats. Ajoutez un nouveau certificat et choisissez de générer une demande. Un assistant s'ouvre et vous guide tout au long du processus. Vous aurez la possibilité de choisir votre domaine pour chaque type d'accès. Dans cet exemple, j'ai principalement utilisé webmail.exampleagency.com pour tout.

Une fois que vous avez terminé l'assistant, prenez votre fichier de demande de certificat et téléchargez-le auprès de votre autorité de certification préférée (nous avons utilisé GoDaddy). Vous recevrez ensuite le certificat sous la forme d'un fichier CER. Cliquez simplement sur Terminer et importez le fichier CER pour que le certificat soit importé et activé pour une utilisation dans votre environnement.

Répertoires virtuels

Maintenant que votre certificat est installé, il est temps d'indiquer à Exchange quels domaines utiliser pour quels services. Accédez à Serveurs> Répertoires virtuels. De là, vous devez configurer l'accès externe pour chacun. Dans cet exemple, nous avons configuré le répertoire virtuel OWA pour utiliser webmail.exampleagency.com.

Il existe des sujets plus complexes à discuter, tels que les tableaux d'accès client et l'équilibrage de charge, mais il vaut mieux les laisser pour une exploration plus approfondie que cet article. Pour plus d'informations, consultez la documentation Microsoft Exchange Server sur TechNet.

Sécurité et conformité

Même si vos données ne sont pas dans un cloud public, vous devez tout de même tenir compte de la sécurité. Pour commencer, assurez-vous d'appliquer des mises à jour régulières à Windows Server et Exchange Server. Le même conseil s'applique également aux comptes administrateur; utilisez toujours des comptes administrateur séparés des comptes réguliers.

Vous devez absolument limiter l'accès aux tâches administratives aux réseaux internes ou aux VPN, sauf si vous avez l'intention d'activer une forme d'authentification multifactorielle via des produits tiers tels que RSA SecurID.

Assurez-vous d'avoir une politique de mot de passe sensée en place. Les conseils à ce sujet ne cessent de changer, mais nous sommes partisans de l'idée plus récente d'utiliser des mots de passe plus longs plutôt que des mots de passe plus complexes. Dans notre laboratoire, nous demandons aux utilisateurs d'avoir des mots de passe de 14 caractères - moins les exigences de complexité - qui expirent tous les 90 jours.

Vous devez également déterminer si vous devez restreindre l'envoi d'informations sensibles par courrier électronique, telles que les numéros de sécurité sociale et les numéros de carte de crédit. Vous pouvez configurer ces restrictions sous Gestion de la conformité> Prévention de la perte de données. Microsoft fournit un certain nombre de modèles qui peuvent être utilisés pour vous aider à être rapidement opérationnel. Dans cet exemple, j'utilise le modèle US FTC pour restreindre l'envoi de numéros de carte de crédit.

Réflexions sur d'autres logiciels

Si vous avez suivi jusqu'à présent, vous avez, espérons-le, un système Exchange sur site fonctionnel. Vous devez maintenant le protéger, le sauvegarder et vous assurer généralement qu'il reste en ligne.

Pour les solutions antivirus, vous aurez besoin d'un package antivirus en temps réel à l'échelle du système ainsi que d'un package qui analyse les messages en transit. Microsoft fournit une liste des exclusions requises pour les contrôleurs de domaine Active Directory et les systèmes Exchange Server. Assurez-vous de suivre les recommandations de Microsoft et de ne pas compter sur votre fournisseur d'antivirus pour les implémenter automatiquement pour vous. J'ai vu trop de packages antivirus piétiner les fichiers journaux de base de données de boîtes aux lettres prêts à l'emploi pour leur faire confiance pour le faire à votre place.

Vous devez également prendre en compte le type de méthodes de sauvegarde et de restauration que vous souhaitez prendre en charge. Sauvegardez-vous sur disque ou bande? Avez-vous besoin d'une restauration granulaire (qui est beaucoup plus gourmande en ressources qu'elle n'en vaut habituellement)? Jusqu'où vos sauvegardes doivent-elles remonter? Vous devrez vous poser de nombreuses questions à vous-même, à votre équipe et à la haute direction.

Les autres considérations relatives au produit incluent la prévention des pertes de données, les logiciels antispam et l'archivage des e-mails. Dans certains cas, tout cela pourrait être inclus dans un seul package. Mais assurez-vous qu'il est certifié pour fonctionner avec Exchange Server 2013 et qu'il dispose d'un support fournisseur adéquat. Vous ne souhaitez pas acheter un produit uniquement pour découvrir qu'il a été conçu pour Exchange Server 2007 et qu'il est uniquement pris en charge par e-mail.

Dernières pensées

Enfin, assurez-vous de faire vos devoirs. Assurez-vous que votre organisation n'a pas besoin de suivre des lois spécifiques pour la conservation des données, la prévention de la perte de données ou l'accès aux données. Testez régulièrement les sauvegardes et les restaurations. Utilisez le fichier de test EICAR pour vous assurer que votre logiciel antivirus fonctionne correctement. Vérifiez régulièrement vos moniteurs de performances pour vous assurer que vous n'avez pas besoin de rééquilibrer un DAG ou d'ajouter un contrôleur de domaine. Oh, et encore une chose: apprenez à aimer PowerShell.

L'exécution d'un serveur Exchange sur site est beaucoup plus compliquée que la simple inscription à Office 365, mais vous avez beaucoup plus de contrôle et obtenez une expérience beaucoup plus enrichissante en tant que professionnel de l'informatique. Nous espérons que cet article vous a donné au moins un bon aperçu de vos options et de ce que vous devez absolument faire lors de la configuration d'Exchange Server sur site. Chaque organisation est différente et ces conseils peuvent ne pas convenir à votre scénario. Cela devrait cependant être suffisant pour la majorité des administrateurs informatiques des petites entreprises qui souhaitent se mettre en place rapidement.

Articles Liés

  • La puissance de PowerShell: une introduction pour les administrateurs Exchange
  • Téléchargement: Guide rapide: Comment passer à Office 365
  • Téléchargement: Microsoft Office 365 vs Google Apps: le guide ultime
  • 5 paramètres d'administration d'Office 365 que vous devez maîtriser
  • 10 outils tiers pour répondre à vos besoins Office 365
  • 10 problèmes majeurs de migration vers Office 365 à éviter
  • Comment migrer votre serveur Exchange vers Office 365