Déployer Exchange 2010: Préparation des serveurs et de l’AD

Cet article est le premier d’une longue série consacrée au déploiement d’une architecture Exchange 2010 à haute disponibilité: déploiement de deux serveurs Mailbox avec DAG et configuration de deux serveurs HUB/CAS avec NLB.

Schéma de l’architecture cible Exchange 2010 :

L’ensemble des serveurs reposent sur Windows Server 2008 R2.

Installation des pré-requis Serveurs

Afin de simplifier au maximum l’installation des pré-requis système j’utilise un script qui, en fonction des rôles Exchange 2010 à déployer, va automatiser tout le processus. Ce script est issu de la communauté Exchange, notamment de Patricio Anderson. Il est disponible en téléchargement sur mon espace de stockage.

Par défaut Windows 2008 R2 n’autorise pas l’exécution de scripts non signés, donc avant d’utiliser le script d’installation je dois modifier la politique par défaut à l’aide de la commande : Set-ExecutionPolicy Unrestricted

Ensuite j’exécute le script d’installation des pré-requis. Je commence par les rôles HUB/CAS, car le rôle CAS est toujours le premier rôle à déployer.

Choisir l’option 7, des avertissements en jaune s’affichent indiquant qu’il faut redémarrer le serveur.

Redémarrer le serveur.

Effectuer la même opération sur le deuxième serveur HUB/CAS, puis sur les serveurs MBX en choisissant l’option n°3 :

L’installation des pré-requis systèmes est terminée, nous pouvons passer à la préparation de l’Active Directory.

Préparation de l’Active Directory

La première étape, consiste à préparer les permissions. Cette étape est nécessaire uniquement si Exchange est déjà déployé dans le domaine (par exemple Exchange 2003).

Depuis le media d’installation de Exchange 2010, exécuter :
setup.com /pl :<NomduDomaine> où <NomduDomaine> est le nom FQDN du domaine à préparer.

Si l’étape de préparation des permissions s’est déroulée correctement, et si les informations sont répliquées sur l’ensemble des contrôleurs de domaine, vous pouvez passer à l’étape de préparation du schéma.

Avant d’effectuer la mise à jour du schéma il faut désactiver les réplications sortantes sur le Schéma Master. La désactivation des réplications est effectuée avec l’utilitaire Repadmin.

Repadmin /options <LeNomduSchemaMaster> +DISABLE_OUTBOUND_REPL
où <LeNomduSchemaMaster> est le nom FQDN du serveur hébergeant le rôle de Schéma Master

Le résultat de la commande doit être IS_GC DISABLE_OUTBOUND_REPL.

Une fois les réplications sortantes désactivées, vous pouvez lancer la préparation du schéma :

Setup.com /ps

La commande setup.com /ps effectue les opérations suivantes :

• Connecte le contrôleur de schéma et importe des fichiers LDIF (LDAP Data Interchange Format) pour mettre à jour le schéma avec des attributs Exchange 2010 spécifiques. Les fichiers LDIF sont copiés dans le répertoire temporaire puis sont supprimés après une fois importés dans le schéma.

Si l’opération s’est déroulée correctement il faut réactiver les réplications sortantes.

Repadmin /options <LeNomduSchemaMaster> -DISABLE_OUTBOUND_REPL

Une fois les réplications sortantes réactivées il faut vérifier la bonne propagation des modifications du schéma. La vérification à lieu sur le schéma master, puis sur un contrôleur de domaine d’un site distant, puis sur un contrôleur de domaine d’un domaine différent.

La vérification de la bonne réplication se fait en vérifiant la valeur rangeUpper de l’attribut ms-Exch-Schema-Version-Pt. Après préparation du schéma par Exchange 2010 cette valeur doit être de 14622.

Ensuite nous passons à la mise à jour de l’Active Directory.

La mise à jour du domaine s’opère grâce à la commande suivant exécutée depuis le media d’installation d’Exchange 2010 :

Setup.com /p /on :<NomOrganisationExchange>
où <NomOrganisationExchange> est le nom de l’organisation Exchange.

Un message d’avertissement indique que maintenant il n’est plus possible d’insérer des versions précédentes de Exchange dans le domaine.

La dernière étape consiste à préparer le domaine. La préparation du domaine s’effectue avec la commande :

Setup.com /pd:<NomduDomaine>
où <NomduDomaine> est le nom FQDN du domaine à préparer.

Vérifiez que la préparation du domaine à correctement mise à jour la valeur objectVersion à 12639 du conteneur Microsoft Exchange System Objects.

Et voilà ! maintenant vous savez faire une préparation correcte de l’AD pour Exchange !! L’étape de préparation de l’AD étant terminé il est maintenant possible de configurer les serveurs CAS…à suivre dans un prochain article

Tout ce que vous avez toujours voulu savoir sur Exchange 2010…

…sans oser me le demander, et sans dépenser un centime, oui c’est possible !

En effet je suis speaker sur Exchange 2010 durant les Microsoft Techdays 2010. Au programme deux sessions (la même en double portion), la première le mardi 9 février 16h-17h et la seconde couche le mercredi 10 février 11h-12h. Je serai aussi disponible sur le stand de ma société pour répondre à toutes vos questions concernant Exchange / Active Directory et Hyper-V.

Pour rappel l’inscription au Techdays est entièrement gratuite, alors profitez-en

Titre de la session : Exchange Server 2010:  Retour d’expérience de migration

Détail : Nous vous présenterons les pièges à éviter et trucs et astuces tirés de notre expérience, que ce soit pour des migrations depuis Microsoft ou non Microsoft. Une partie importante de la session sera réservée pour un échange de questions et réponses avec les participants.

L’objectif est vraiment de partager avec vous mes petits trucs pour migrer sans soucis et évitez les erreurs les plus fréquentes.

PS : Suite à un soucis technique la session n’est pas encore affichée sur le site, mais ce problème sera vite corrigé.

Exchange 2007 SP2 : « Vous n’avez pas les autorisations pour lire le descripteur de sécurité… »

Lors de l’étape de préparation de l’organisation, ou à défaut lors de l’installation graphique si vous ne faites pas cette étape, le message d’erreur suivant s’affiche : « Vous n’avez pas les autorisations pour lire le descripteur de sécurité sur CN=Deleted Objects, CN=Configuration »

En regardant dans les logs d’installation:

Et bien inutile de jouer avec les ACLs dans ADSIEDIT ou avec les réplications AD !! Remarquez que je lance l’installation depuis un dossier situé dans E:\

Et bien la solution passe par l’exécution du setup depuis la racine de E:\…Cela marche aussi en mappant E: depuis un partage réseau…bref Exchange 2007 SP2 ne veut que du E:

Terrible, non ?

Et merci à tous ceux qui ont déjà rencontrés ce bug

Exchange 2010 : Le premier Rollup est disponible !!

Le premier Rollup pour Exchange 2010 est disponible !!…la preuve de la réactivité de l’équipe produit Exchange

Détails et téléchargement ici : http://support.microsoft.com/kb/976573

Gros apport de ce patch : la support de BlackBerry 5.0.1 MR1

Exchange 2010: Fichier d’aide

Comme pour Exchange 2007, le fichier d’aide (helpfile) est disponible pour Exchange 2010.

Ce document regroupe dans un seul fichier (.chm) l’ensemble de la documentation Technet relative à Exchange 2010, autant dire que c’est un document indispensable.

http://www.microsoft.com/downloads/details.aspx?familyid=8071C31F-45BE-48DC-BFCA-E1FB51F544D2&displaylang=en

Je vous conseille de vérifier régulièrement les mises à jour de ce document, car les différentes sections de la documentation sont en permanence revues et améliorés .

Certifié sur Exchange 2010 !

Yes, j’ai passé avec succès la certification Exchange Server 2010, seulement 3 jours après la sortie du produit !! Il faut dire que je bosse dessus depuis le début de l’année…

Pour ceux qui veulent tenter l’examen, il s’agit du 70-662 qui mesure les compétences suivantes :

Installing and Configuring Exchange Servers (15 percent)

• Prepare the infrastructure for Exchange.
  • This objective may include but is not limited to: prepare schema; prepare domain; prepare Active Directory; ensure the domain functionality level is correct; domain controller service packs; Exchange readiness check; coexistence; migration from 2003 or 2007; disable LinkState; Exchange Server Service Pack level; remove unsupported legacy components; configuring DNS to support the Exchange deployment
• Install Exchange prerequisites.
  • This objective may include but is not limited to: install MMC 3.0, Windows PowerShell 2.0; Microsoft .NET 3.5, WinRM 2.0, IIS, Windows roles and features, use ServerManagerCMD, use Exchange prerequisite scripts
• Install Exchange roles.
  • This objective may include but is not limited to: from the command line and the GUI; adding and modifying roles; add server roles to existing Exchange 2003 or 2007 organizations; verify Exchange installation; Security Configuration wizard (SCW); Windows Firewall, including port requirements; installing Exchange Server using standard and custom installation; installing Exchange Server using the command line; provisioning an Exchange Server and delegating server installation; troubleshooting a failed installation; adding Exchange Server roles after an initial installation
• Create and configure databases.
  • This objective may include but is not limited to: set database limits; set retention limits; set role-based access control (RBAC) permissions for database creation; naming conventions; create and use GUI and Windows PowerShell; create and manage public folder databases; set default public folder database; maintenance; mount and dismount databases; create new mailbox databases; configure mailbox database settings; move the mailbox database and transaction log locations; configure public folder database settings; mount and dismount databases
• Create and configure address lists.
  • This objective may include but is not limited to: update legacy address lists; configure offline address lists; publish address lists; filterable properties; creating and configuring e-mail address policies; creating and configuring address lists; creating and configuring offline address books

Configuring Exchange Recipients and Public Folders (14 percent)

• Create and configure mailboxes.
  • This objective may include but is not limited to: deleted items; deleted mailbox; mailbox quota; message size; warning thresholds; move from and to previous Exchange versions; online and offline moves; intra-orgs and cross-orgs; create proxy addresses; create mailboxes; configure client access protocols; configure spam confidence level (SCL) and phishing confidence level (PCL); send as permissions; delegation; forwarding; mailbox permissions; create and configure linked mailboxes
• Configure RBAC.
  • This objective may include but is not limited to: create and assign RBAC roles; define RBAC scopes; configure RBAC for specific roles, such as help desk and address list administrator
• Create and configure resource mailboxes and shared mailboxes.
  • This objective may include but is not limited to: equipment; room; permissions; set mailbox calendaring options; autoaccept; custom resource types
• Create and configure recipients and distribution groups.
  • This objective may include but is not limited to: create and modify; security enabled; configure moderation, including Exchange Control Panel (ECP) options; dynamic distribution groups; create proxy addresses; configure mail-enabled users; contacts; send as permissions; forwarding
• Create and configure public folders.
  • This objective may include but is not limited to: mail-enabled public folders; configure public folder permissions; deleted items; message size; item age; public folder size; create public folders in Enterprise Content Management (EMC) and Microsoft Outlook, and OWA; configure public folder permissions; configure public folder limits

Configuring Client Access (15 percent)

• Configure POP, IMAP, and Microsoft ActiveSync.
  • This objective may include but is not limited to: enable, configure, and secure POP and IMAP; manage certificates; configure mobile device policies; autodiscover; authentication; configure the Exchange ActiveSync virtual directory; configure the external name for Exchange ActiveSync; configure client access settings for Exchange ActiveSync, including Windows SharePoint Services and Windows File Share integration; Direct Push; configure Exchange ActiveSync mailbox policies; configure autodiscover for Exchange ActiveSync
• Configure Outlook Anywhere and RPC Client Access.
  • This objective may include but is not limited to: autodiscover; MAPI; create client access arrays; certificates; subject alternative name (SAN); configure virtual directories; enable and configure Outlook Anywhere on the CAS; troubleshoot Outlook Anywhere connectivity
• Configure federated sharing.
  • This objective may include but is not limited to: certificates; enrollment; DNS; calendar and free/busy; subject alternative name (SAN); assign policies; create and configure a federated trust; create and configure a federated organization identifier; create and configure a sharing relationship; create and configure a sharing policy; assign sharing policies to user accounts
• Configure Outlook Web Access (OWA).
  • This objective may include but is not limited to: customize the OWA interface; certificates; file share and SharePoint access; public folders; verify multi-browser support; ECP; SAN; configure virtual directories; coexistence scenarios; authentication; configure the external name for OWA; configure client access settings for OWA, including Windows SharePoint Services and Windows File Share integration; segmentation settings; configure OWA mailbox policies

Configuring Message Transport (15 percent)

• Create and configure transport rules.
  • This objective may include but is not limited to: enable and configure; disclaimers; moderated transport; install the Windows Rights Management Services (RMS) pre-licensing agent; configure rights protection by using transport rules
• Configure hub transport.
  • This objective may include but is not limited to: configure transport dumpster; accepted domains; remote domains; authoritative domains; e-mail address policies
• Configure Edge transport.
  • This objective may include but is not limited to: create, configure, and test Edge Sync; configure Edge Transport server cloning; install the Edge Transport server role; configure Edge Transport server settings; configure Edge synchronization
• Configure message routing.
  • This objective may include but is not limited to: internal and external DNS; configure routing based on sites and costs; enable, configure, and secure send and receive connectors; certificates; relay connectors; authentication; message size limits; MTLS; routing group connector for coexistence; configure accepted and remote domains; configure SMTP send and receive connectors; configure message delivery limits; configure TLS security for message delivery

Monitoring and Reporting (13 percent)

• Monitor databases.
  • This objective may include but is not limited to: public folder statistics; mailbox databases statistics; database status; DAG replication
• Monitor mail flow.
  • This objective may include but is not limited to: perform message tracking; DNS; manage message queues; view, retry, and delete; backpressure thresholds; resolve NDRs
• Monitor connectivity.
  • This objective may include but is not limited to: SMTP client to server; SMTP server to server; Outlook RPC/MAPI; Outlook Anywhere; Outlook Exchange Web Services (EWS); POP; IMAP; ActiveSync
• Generate reports.
  • This objective may include but is not limited to: mailbox folder statistics; mailbox statistics; mailflow statistics; formatted list and formatted table; ExBPA
• Configure logging.
  • This objective may include but is not limited to: protocol logging; store logging; configure logging levels; agent logs; message tracking logs; event logs; analysis of logging results

Implementing High Availability and Recovery (15 percent)

• Create and configure the Database Availability Group (DAG).
  • This objective may include but is not limited to: create and configure DAG; file share witness (FSW); replication latency; configure lag; add or remove database copies; configure failover priority; add or remove server members; configure mailbox database copies; manage continuous replication
• Perform backup and restore of data.
  • This objective may include but is not limited to: recovery database; dialtone restores; deleted mailbox retention; deleted item retention; mailbox merge; disconnected mailbox; backing up Exchange servers; creating a backup schedule
• Configure public folders for high availability.
  • This objective may include but is not limited to: add or remove replicas; schedules; message tracking; back up and restore public folder database and data
• Configure high availability for non-mailbox servers.
  • This objective may include but is not limited to: affinity; DNS round robin; MX records; NLB; configuring high availability for Client Access servers; configuring high availability for Hub Transport servers; configuring high availability for Edge Transport servers
• Back up and recover server roles.
  • This objective may include but is not limited to: hub; CAS IIS; Edge; Edge server clone configuration; setup /recoverserver; setup /recoverCMS; mailbox server; restoring Exchange Servers after server failure; configuring messaging services during a server failure; back up Server roles

Configuring Message Compliance and Security (13 percent)

• Configure records management.
  • This objective may include but is not limited to: custom and default managed folders; retention policy; configure and apply retention policies and retention policy tags; configure managed folders, including default and custom managed folders; configure content settings; configure managed folder mailbox policies
• Configure compliance.
  • This objective may include but is not limited to: configure RMS; configure alternate mailboxes; configure journaling; enable message classification; configure mail tips; auditing; transport rules
• Configure message integrity.
  • This objective may include but is not limited to: S/MIME; MTLS; certificates; RMS federation; transport rules
• Configure anti-virus and anti-spam.
  • This objective may include but is not limited to: file and process exclusions; transport rules; SCL; PCL; sender ID; safe sender/block sender; Realtime Block List (RBL); Sender Policy Framework (SPF) records; sender reputation list (SRL); configuring anti-spam agents; managing the quarantine mailbox; managing updates for content filters

Bonne certification et bon courage !

Exchange 2007 sur Windows Server 2008 R2 : c’est pour bientôt ! :)

L’équipe Exchange vient d’annoncer qu’il va être très bientôt possible d’installer Exchange 2007 sur Windows Server 2008  R2 !

En effet jusqu’à présent la seule version d’Exchange qui peut s’installer sur Windows Server 2008 R2 est Exchange 2010. Vivement la sortie du patch !

J’en connais un qui va devoir modifier sa matrice de compatibilité

Update du 02/12/09 : C’est officiel le support de Exchange 2007 sur un OS Windows 2008 R2 sera apporté avec Exchange 2007 SP3 (prévu mi 2010)

Exchange 2010 vs Exchange 2007 : les licences

Exchange 2010 est disponible en deux éditions et en deux types de licence d’accès client (CAL).

Plusieurs éléments sont à noter :

• Exchange 2010 permet de déployer une architecture à haute-disponibilité (DAG) dès la version Standard ! C’est un tournant par rapport aux éditions précédentes d’Exchange qui nécessitent la version Entreprise pour pouvoir bénéficier de la haute-disponibilité. Petite subtilité: si le DAG est accessible dès Exchange 2010 Standard, il est par contre toujours nécessaire d’installer Exchange sur du Windows Server Entreprise. Cela reste un apport important pour les petites sociétés qui feront l’économie d’une licence Exchange Entreprise.
• Exchange 2010 Entreprise supporte jusqu’à 100 bases actives (versus 50 sur Exchange 2007 Entreprise),
• L’archivage nécessite une CAL Entreprise mais fonctionne très bien sur du Exchange Standard.

Notez qu’il n’existe plus de groupe de stockage. On parle ici de bases actives (jusqu’à 15 réplicas par bases). Il est conseillé de ne pas faire « exploser » la taille des bases au delà de 2 Tera.

Bref Exchange Server 2010 offre toujours plus de services et démocratise la haute-dispo !

Teched EMEA 2009…ca va être énorme !

Cette année le Teched quitte Barcelone pour venir s’installer à Berlin du 9 novembre au 13 novembre. Cette édition va être énorme ! Exchange 2010, Windows 2008 R2, Hyper-V R2, SCVMM R2, Windows 7, DPM, etc…ça va être la folie !!!!

Histoire d’avoir l’eau à la bouche allez jeter un coup d’œil à la liste des sessions : https://www.msteched.com/europe/public/sessionlist.aspx

Concernant Exchange ne surtout pas rater les sessions de Scott Schnoll, Ilse Van Criekinge, Andrew Ehrensing et de notre champion national Damien Caro !! Damien va notamment présenter une session sur l’interconnexion entre Office Communications Server 2007 R2 et Microsoft Exchange 2010. De la folie je vous dis !!

A titre personnel il y a aussi un changement, puisque cette année j’ai l’honneur de faire partie du staff et à ce titre je vais être présent sur les stands pour répondre aux questions autour d’Exchange. Donc pour ceux qui sont inscrits n’hésitez pas à venir me voir

See you in Berlin !

Dimensionner Exchange 2010 VS Exchange 2007

J’ai créé récemment une présentation powerpoint pour expliquer les différences de sizing entre Exchange 2007 et Exchange 2010. Aujourd’hui je partage avec vous quelques slides.

Par rapport à une architecture Exchange 2007, le point à prendre en considération est la partie sizing des serveurs CAS: changement en terme de puissance CPU, et changement en terme de ratio par rapport aux serveurs mailbox. Le deuxième point important est  la partie stockage: avec des IOPS disques réduit de 70% il est possible d’installer Exchange 2010 en production sur des disques SATA.

Par rapport à Exchange 2007, les besoins en RAM et CPU de Exchange 2010 sont plus importants pour les rôles CAS et MBX. Logique puisque maintenant le rôle CAS gère l’ensemble des protocoles d’accès (MAPI compris) et le rôle Mailbox gère le DAG avec une gestion plus poussée des bases Exchange (compression des bases ESE et cryptage du seeding par exemple).

J’ai surligné en bleu ce qui représentera sans doute la majorité de configuration: 4Go de RAM + 6Mo par BAL. Toujours prendre le pré-requis le plus élevé (par exemple 10Mo si la BAL doit être énorme malgré un profil léger).

C’est l’énorme changement de Exchange 2010: les IOPS disques ont fortement diminués, et surtout la typologie des IOPS est différente: les IOPS sont surtout séquentiels et non plus aléatoire. Du coup il est possible d’installer Exchange 2010 dans une configuration à disques SATA avec de grosses boites aux lettres sans soucis de perfs ! J’insiste sur ce point: L’équipe produit à conçu Exchange 2010 pour tourner sur des disques SATA !

La preuve avec ces recommandations pour le stockage : à partir de 3 copies les configurations sans RAID sur des disques SATA sont possibles !