====== Exchange 2013 ======
===== 1- Installation =====
2 serveurs minimum : 1 frontal (cas), 1 boîte aux lettres (mbx)
Calculette de configuration exchange : {{:eni:e2013calcv6.3.zip|}}
{{ :eni:server_cas.png |}}
<note tip>Bonne pratique : au dessus de 100 Go, Pensez à découper les banques de boîte aux lettres, afin de réduire les temps de restauration, que une panne n'impactera 100% des utilisateurs (utilisateurs VIP)</note>
Enregistrer le schéma AD dans mmc
<code=schell>regsvr32 schmmgmt.dll</code>
<note important>La préparation de l'AD, implique une réplication de la préparation sur tous les contrôleurs de domaine de la fôret </note>
** Photo ad catalogue **
Exchange utilise des enregistrement DNS
* SRV
* MX
* hôte
==== Préparation ====
* Installation des fonctionnalités AD DS : outils d'administration distantes
* Prépare les objects Exchange globaux :
<code=schell>D:\>setup.exe /prepareAD /IAcceptExchangeServerLicenseTerms /OrganizationName:%nom-organisation%</code>
{{:eni:ad_prepar.png|}}
* Lancer de Wizard de l'ISO exchange 2013
Sélectionner les rôle cas + banque ou les deux
{{:eni:exchange_role.png?400|}}
<note>Mise à jour service pack : Exchange Team blog</note>
==== Déploiement ====
Versions :
* Standard : 5 banques de bases de données
* Entreprise : 50 banques
Scénarios :
* serveur unique : banque vulnérable depuis l'extérieur
* plusieurs serveurs : cas + mbx
<note tip>licence premium pour de l'archivage en interne de l'entreprise</note>
* hybride : répliqua des archives et de certains utilisateurs sur office 365 (cloud)
<note warning>Ne pas utiliser de captures instantanées avec exchange</note>
<note tip>Aide déploiement : Assistant de déploiement Exchange Server (technet)</note>
Accès panneau de configuration
https://%serveur_cas%/ecp
Accès OWA
https://%serveur_cas%/owa
==== Commandes ====
* Vérification Exchange server <code=shell>Get-ExchangeServer</code>
* Ajouter un utilisateur : <code=shell>Enable-Mailbox -Identity adatum\%utilisateur%</code>
* Rechercher boîte aux lettres supprimée : <code=shell>Get-MailboxDatabase | Get-MailboxStatistics | where {$_.DisconnetReason -eq "Disabled"</code>
===== 2- Configuration et planification =====
==== Banque ====
* Base de données de boîtes aux lettres (fichier .edb)
* Journau de transaction (*.log)
<note important>Mettre en place une gestion des fichiers de logs, ces fichiers ne sont pas supprimés</note>
Configuration des autorisations de création de comptes, import, export, ....
{{:eni:autho.png|}}
Montage et création nouvelle database
{{:eni:base.png|}}
Limites et quotas
* Par base :
{{:eni:base3.png?500|}}
* par destinataires :
{{:eni:base_2.png?500|}}
==== Commandes ====
Afficher les bases de données : <code=shell> Get-MailboxDatabase</code>
Déplacer de base : <code=shell> Move-Databasepath -identity "%Nom de la base%" -EdbFilePath %chemin edb% -LogFolderPath %chemin dossier de logs%</code>
Définition des propriétés d'une base : <code=shell>Set-MailbosDatabase -identity %base% -DeletedItemRetention 20.00:00:00 -CircularLoggingEnabled $true -ProhibitSend Quota "2GB"</code>
Donner les droits d'import,export à un utilisateur : <code=shell>New-managementRoleAssignement -Role "Mailbox Import Export" -User Administrateur</code>
Exporter une boîte aux lettres
<code=shell>New-MailboxExportRequest -Mailbox %user% -FilePath %chemin unc de destination%</code>
===== 3- Gestion Destinataires =====
==== Groupes ====
=== Distribution ===
Exchange 2013 apporte la notion de groupe ouvert, les utilisateurs peuvent s'intégrer au groupe
<note warning>Le groupe de distribution est ouvert par défaut</note>
{{:eni:group1.png?500|}}
=== Sécurité ===
le groupe de sécurité nécessite des autorisations spécifiques pour envoyés des mails à l'extérieur
{{:eni:group3.png?500|}}
=== Dynamique ===
Lié à une OU, chaque utilisateurs rajoutés dans l'OU, peut accéder au groupe
{{:eni:group4.png?500|}}
==== Utilisateur ====
=== Utilisateur de messagerie ===
Permet de créer un compte pour s'authentifier, sans boîte géré par exchange
{{:eni:util.png?500|}}
=== Contact de messagerie ===
Permet de créer un contact qui sera visible dans les carnets d'adresse et peut être injectés dans une boîte de distribution
{{:eni:util1.png?500|}}
=== Boîte partagé ===
Permet de mettre en place des boîtes communes
<note tip>Peuvent être directement mappées sur le client lourd</note>
{{:eni:util2.png?500|}}
==== Listes d'adresse ====
Permet de créer des liste, afin de retrouver les utilisateurs, à la différence de la liste de distribution qui envoi
<note important>Il faut renseigner l'attribut de liste sur l'utilisateur</note>
{{:eni:adress1.png?500|}}
=== Création groupes de distribution Full ===
Avec option de filtre dans les carnets d' adresses
{{:eni:adress2.png?500|}}
==== Flux de messagerie ====
Création de domaines, pour routage des messages entrantes
{{:eni:domaine.png?500|}}
===== 4- Serveurs d’accès client =====
==== Certificats ====
Auto-signé un certificat
{{:eni:cert.png?500|}}
Ouvrir le certificat généré
{{:eni:cert.png?500|}}
Se connecter sur l'autorité de certification interne
<code=shell>http://%serveur de certification/certsrv</code>
{{:eni:cert1.png|}}
Copier coller le certificat créer
{{:eni:cert2.png?500|}}
Importer le certificat
{{:eni:cert3.png?500|}}
Attribuer le certificat au service IIS
{{:eni:cert4.png?500|}}
==== POP + Anywhere ====
Configuration de l'adresse sortantes
{{:eni:anywhere.png?500|}}
Limitation des clients POP
{{:eni:pop.png?500|}}
==== OWA ====
La console de connexion peut être modifié
{{:eni:auth1.png?500|}}
Le service IIS doit être redémarré
<code=shell>iisreset /noforce</code>
Seul le nom d'utilisateur apparaît sur le client
{{:eni:auth2.png|}}
===== 5- Clients messagerie =====
Il est possible de définir des stratégies de modulation pour les clients owa
{{:eni:owa1.png?500|}}
Enregistrer la stratégie puis l'attribuer aux destinataires
Powershell :
<code=shell>Set-CASMailbox -identity %utilisateur@domain% -OwaMailBoxpolicy "%nom de la stratégie%"</code>
Un attribut peut être positionné (//ex:externe//), et grâce à la commande ce-dessous, la stratégie peut être appliqué
<code=shell> get-mailbox -filter {CustomAttribute1 -eq "%externe"} | set-CASMailbox-OwaMailboxPolicy:"%nom de la stratégie%"</code>
{{:eni:owa2.png?500|}}
Un stratégie avec un mot de passe complexe peut être mit en place
{{:eni:mobile.png?500|}}
Tous périphériques peut être mis en quarantaine
{{:eni:quarantaine.png?500|}}
===== 6- Haute disponibilité =====
==== DAG - Banque de boîte aux lettres ====
Un DAG permet la copie et la sauvegarde des banque de boîtes aux lettres
Création d'un membre DAG dans l'AD
<note warning>Attention désactivé ce compte</note>
Donner le contrôle total au différentes options exchange et indiqué les serveurs mbx
{{:eni:dag.png?500|}}
Créer le dag dans la console exchange
{{:eni:dag1.png?500|}}
Importer et activer la copie de base de données de boîte aux lettres
{{:eni:dag2.png?500|}}
Vérifier le Status
<code=shell>Get-MailDatabaseCopyStatus | ft -AutoSize</code>
==== Cluster - Serveur d’accès client ====
Créer un champ DNS, afin d'attribuer une adresse IP au cluster
<note important>Les clients se connecteront sur cette adresse </note>
Ajouter les rôles de d'équilibrage de charge réseau sur les serveurs cas
{{:eni:cluster.png?500}}
Créer le cluster sur une des cas, puis connecter l'autre
{{:eni:cluster1.png?500}}
Connecter le cluster en multidiffusion
{{:eni:cluster3.png?nolink|}}
===== 7- Récupération =====
==== Archivage ====
Afin de centraliser les archives, il est préférable de créer une nouvelle base
{{:eni:archive.png?500|}}
Des quotas peuvent être adapté par utilisateurs
{{:eni:archive1.png?500|}}
Une stratégies de rétention peut être appliquée
<note tip>Déploiement grâce aux attributs</note>
{{:eni:archive2.png?500|}}
Ou par utilisateur
{{:eni:archive3.png?500|}}
{{:eni:sauvegarde.png?500}}
===== 8- Routage =====
Le routage des messages,ainsi que la connectivité active sync ou le black-listage des mails est checkable
url : https://testconnectivity.microsoft.com/
{{:eni:routage.png?500}}
Des règles de routage peuvent être positionnés : signatures, envoie automatique, modérateur
{{:eni:routage1.png?500}}
===== 9- Hygiène =====
==== Anti-programmes malveillants ====
Activer les fonctionnalités anti-programmes malveillants
<code=shell>cd "\Programmes Files\Microsoft\Exchange Server\V15\Scripts"</code>
Activer l'analyse
<code=shell>.\Enable-AntimalwareScanning.ps1</code>
Redémarrage du service Transport
<code=shell>Restart-Service MSExchangeTransport</code>
Répertorié les agents de transport
<code=shell>Get-TransportAgent</code>
Modifier la stratégie de programme anti-malwares
{{:eni:malv.png?500}}
<note>http://technet.microsoft.com/fr-fr/library/bb124413%28v=exchg.150%29.aspx</note>
==== Anti-courrier indésirables ====
Installer des paquets
<code=shell>.\Install-AntiSpamAgents.ps1</code>
Redémarrage du service Transport
<code=shell>Restart-Service MSExchangeTransport</code>
Exclusion des serveurs internes
Redémarrage du service Transport
<code=shell>Set-TransportConfig -InternalSMTPServers @{Add="IP_serveur1_mbx","IP_serveur2_mbx"}</code>
Répertorier les agents de transport
{{:eni:malv1.png?500}}
==== Filtrage de contenu ====
Vérification du filtrage de contenu
<code=shell>Get-ContentFilterConfig | Format-List Enabled</code>
Filtrer une expression
<code=shell>Add-ContentFilterPhrase -Influence BadWord -Phrase "Poker result"</code>
Configuration d'une boîte de quarantaine
<code=shell>Set-ContentFilterConfig -QuarantineMailbox quarantaine@adatum.com</code>
Configuration des seuils SCL et activation de la quarataine
<code=shell>set-ContentFilterConfig -SCLRejectEnabled $true -SCLRejectTreshold 8 -SCLQuarantineEnabled $true -SCLQuarantineThreshold 7</code>
Configuration messages de rejet
<code=shell>Set-ContentFilterConfig -RejectionResponse "Votre message a été rejeté par le filtre anti-spam, veuillez contacter votre administrateur."</code>
===== 10- Sécurité et Audit =====
==== Autorisations ====
Création d'un groupe helpdesk admin
<code=shell>New-RoleGroup -Name HelpDeskAdmins -roles "Mail Recipients"</code>
Création d'un groupe de helpdesk support
<code=shell>New-RoleGroup -Name SupportHelpDesk -role "Mail Recipients","Mail Recipient Creation","Distribution Groups"</code>
Validation des autorisations
{{:eni:droit.png?500}}
==== Audit ====
Mise en place d'un audit sur une boîte
<code=shell>Set-Mailbox -Identity "%nom de la boîte%" -AuditDelegate SendAs,SendOnBehalf -AuditEnabled $true</code>
{{:eni:audit.png?500|}}
===== Résolution des problèmes =====
==== Reconfigurer une base corrompu ====
{{:eni:prob.png?500|}}
Reconfigurer la base
{{:eni:prob1.png|}}
Monter la base
{{:eni:prob2.png?500|}}