Exchange 2007 Service Pack 2: Mise à jour (très) importante

Exchange 2007 SP2 est disponible !

Ce Service Pack 2 est une mise à jour majeur. En effet non seulement le SP2 contient l’ensemble des correctifs (Rollup) sortis depuis Exchange 2007 SP1, mais il apporte aussi des nouveautés, citons entre autres :

• Coexistence avec Exchange 2010

Le Service Pack 2 pour Exchange 2007 est indispensable pour pouvoir migrer les boites aux lettres d’un serveur Exchange 2007 vers Exchange 2010 .

• Sauvegarde avec Windows Server Backup 2008

Un ajout réclamé depuis longtemps, il est enfn possible de sauvegarder Exchange 2007 avec la logiciel de backup intégré dans Windows 2008. Il existe cependant quelques limitations.

• Intégration dans la console Exchange d’une interface de gestion du niveau de logging

Exchange 2007 SP2 intègre l’équivalent l’outil Diagnostic Logging Tool directement dans la console, à l’image de Exchange 2010.

• Améliorations de l’audit

Il est possible d’auditer très finement les modifications apportées à l’environnement de messagerie, voir l’excellent White Paper à ce sujet.

Cependant :

• Exchange 2007 SP2 modifie la schéma Active Directory, donc prenez les précautions d’usage avant de l’installer !
• Exchange 2007 SP2 nécessite Windows Installer 4.5, donc prévoir son installation et un reboot avant l’installation du SP2. Bonne nouvelle Windows Server 2008 SP2 contient déjà Windows Installer 4.5.
• Exchange 2007 SP2 n’apporte pas le support de Windows Server 2008 R2. Le seul Exchange supporté sur Windows Server 2008 R2 est Exchange 2010.
• Lisez le fichier Release Note avant de l’installer.

Exchange 2010: Audit des tâches d’administration

Introduction

Exchange Server 2010 permet d’auditer les actions des comptes ayant des privilèges Exchange, que ceux-ci utilisent le Shell Exchange, la Console Exchange, ou l’interface d’administration Web Exchange.

L’activation et le paramétrage de l’audit s’effectue à l’aide une nouvelle Cmdlet du Shell Exchange nommée Set-AdminAuditLogConfig.

Activation de l’audit

Par défaut l’audit des tâches d’administration n’est pas activé. La vérification de la configuration initiale se fait  en utilisant la Cmdlet Get-AdminAuditLogConfig.

L’activation de l’audit à lieu en mettant le paramètre AdminAuditLogEnabled à True :

Vérification de l’activation de l’audit :

Configuration de la boite à lettres pour la réception des alertes

Après activation de l’audit il est nécessaire de spécifier la boite aux lettres qui sera utilisée pour recevoir les notifications de l’audit.

Vérification :

A ce stade l’audit est opérationnel et chaque création ou modification d’un objet Exchange entrainera l’envoi d’un email dans la boite aux lettres dédiée à l’audit.

NB : Il est conseillé d’activer l’audit et spécifier la boite aux lettres dans la même Cmdlet :

Ici les deux étapes sont séparées pour mieux comprendre le processus.

Tests et consultation des alertes

Ici un administrateur change les propriétés d’un utilisateur.

Immédiatement une notification est envoyée dans la boite aux lettres de l’audit :

Quelque soit l’outil utilisé, la console Exchange, le Shell Exchange ou l’interface Web Exchange, le sujet de l’email indique l’action effectuée sous forme de Cmdlet Exchange. Dans cet exemple le champ Code Postal est modifié via la console Exchange, mais c’est l’équivalent Cmdlet qui apparait (Set-User).

En prenant d’autres exemples comme la désactivation d’un compte et le déplacement d’une boite aux lettres d’une base à une autre :

NB : L’audit supervise uniquement les modifications donc les commandes de lecture ne sont pas prises en compte (Get-).

Modification du champ d’application de l’audit

L’activation de l’audit sans paramètres supplémentaires permet de superviser l’ensemble de tâches effectuées sur Exchange Server ce qui peut vite générer énormément d’alertes.

Il est possible de limiter l’audit uniquement à certains paramètres ou certaines cmdlet Exchange.

Tableau des paramètres de la cmdlet Set-AdminAuditLogConfig :

Limiter l’audit à certaines cmdlet

Exemple pour limiter l’audit à la seule modification des boites aux lettres :
Set-AdminAuditLogConfig -AdminAuditLogCmdlets Set-Mailbox

Une alerte sera envoyée uniquement en cas de modification d’une boite aux lettres existante, quelque soit le paramètre modifié.

Limiter l’audit à certains paramètres

Example pour limiter l’audit à la seule modification du champ Alias :
Set-AdminAuditLogConfig -AdminAuditLogParameters Alias

Une alerte sera envoyée uniquement en cas de modification du champ Alias.

Application en une seule fois des modifications :

Vérification:

Le changement d’alias d’une boite aux lettres à pour conséquence la génération d’une alerte.

Exchange 2010: Installation des pré-requis

Exchange 2010 Release Candidate est disponible en libre téléchargement. Pour rappel la version finale de Exchange 2010 est prévue d’ici très peu de temps (oui c’est vague mais je n’ai pas le droit de vous en dire plus..)

J’en profite pour souligner le fait que Exchange 2010 ne s’installe que sur Windows Server 2008 SP2 ou sur Windows Server 2008 R2 le tout en 64 bits uniquement.

Pré-requis Windows Server 2008

1.       Installer Windows Server 2008 x64 (Standard ou Enterprise  – Exchange ne s’installe pas sur la version Core ou Web Server) et joindre le serveur dans le domaine

2.       Installer le  Service Pack 2

3.       Installer le .NET Framework 3.5 Service Pack 1

4.       Installer le .NET Framework 3.5 SP1 Update

5.       Installer le package PowerShell V2/Windows Remote

6.       Installer Office Filter Pack pour les rôles HUB et Mailbox

7.       Se positionner dans le sous-dossier\Scripts du dossier d’installation de Exchange afin d’installer les pré-requis propres aux rôles Exchange (exactement comme pour Exchange 2007 sauf que maintenant il n’est plus nécessaire de télécharger les scripts) :

Pour une installation des rôles CAS, Hub, et Mailbox :

• ServerManagerCmd –ip <media>\Scripts\Exchange-Typical.xml

Pour une installation du rôle CAS uniquement :

• ServerManagerCmd –ip <media>\Scripts\Exchange-CAS.xml

Pour une installation du rôle HUB uniquement :

• ServerManagerCmd –ip <media>\Scripts\Exchange-Hub.xml

Pour une installation du rôle Mailbox uniquement :

• ServerManagerCmd –ip <media>\Scripts\Exchange-MBX.xml

Pour une installation du rôle UM uniquement :

• ServerManagerCmd –ip <media>\Scripts\Exchange-UM.xml

Pour une installation du rôle Edge uniquement :

• ServerManagerCmd –ip <media>\Scripts\Exchange-Edge.xml

8.       Pour le rôle CAS exécuter:  “sc config NetTcpPortSharing start= auto”

9.     Reboot et le serveur est prêt pour recevoir Exchange 2010.

Pré-requis Windows Server 2008 R2

1.       Installer Windows Server 2008 R2 (Standard ou Enterprise  – Exchange ne s’installe pas sur la version Core ou Web Server) et joindre le serveur dans le domaine

2.       Installer Office Filter Pack pour les rôles HUB et Mailbox

3.       Ouvrir la console Windows PowerShell

4.       Taper “Import-Module ServerManager”  et valider

5.       Installer les pré-requis selon les rôles à installer (ici la procédure change par rapport à Windows 2008 SP2)

Pour une installation des rôles CAS, Hub, et Mailbox :

• Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy
• Set-Service NetTcpPortSharing -StartupType Automatic

Pour une installation du rôle CAS uniquement :

• Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy
• Set-Service NetTcpPortSharing -StartupType Automatic

Pour une installation du rôle HUB ou Mailbox :

• Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server

Pour une installation du rôle UM :

• Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Desktop-Experience

Pour une installation du rôle Edge :

• Add-WindowsFeature NET-Framework,RSAT-ADDS,ADLDS

6.       Reboot et le serveur est prêt pour recevoir Exchange 2010.

Pré-requis Active Directory

a.       Le schéma master doit être au minimum en Windows Server 2003 Service Pack 1 Service Pack 2

b.      La forêt doit être au minimum en mode Windows Server 2003

c.       Les serveurs Exchange 2010 doivent communiquer avec les catalogues globaux qui doivent être au minimum en Windows Server 2003 Service Pack 1 Service Pack 2

d.      Read-only domain controllers (RODC) ne sont pas supportés (comme pour Exchange 2007)

Voir : http://technet.microsoft.com/en-us/library/aa996719%28EXCHG.140%29.aspx

Pré-requis Exchange 2003/2007

Les serveurs Exchange 2003 et Exchange 2007 doivent possèder le Service Pack 2 :

• L’ensemble des serveurs Exchange 2007 d’un site Active Directory concerné par la migration doivent être en SP2. De plus dans une architecture multi-sites il est nécessaire de mettre à jour l’ensemble des serveurs CAS de l’organisation vers Exchange 2007 SP2.

• L’ensemble des serveurs Exchange 2003 de l’organisation doivent posséder le Service Pack 2.