Meilleur auteur de réponses
etude de migration

Question
-
Bonjour
dans le cadre d'un potentiel rapatriement de notre messagerie externalisée, nous réfléchissons a la mise en place d'une solution Exchange interne.
ayant une experience basique du système sous sa version 2013, il me vient plusieurs questions au sujet desquelles je n'ai pas réussi à trouver de réponse:
- Sous exchange 2013, toute l'interface d'administration est passée sur une solution web. je souhaite faire en sorte que l'administrateur de la solution puisse accéder à cette interface uniquement depuis notre réseau interne et qu'elle soit innacessible de l'extérieur. la problématique est que les options des utilisateurs webmail étaient à ce moment la hébergés sur le même sous-site. le blocage que j'avais mis en place empechait l'accès à l'ECP pour tous les cas de figures, et non seulement les administrateurs. cette problématique est-elle résolvable d'une manière ou d'une autre?
- notre infrastructure actuelle se décompose en 3 forets distinctes A, B et C. A approuve B, C approuve B, B approuve A et C, A et C ne s'approuvent pas. pour des raisons de cloisonnement et de sécurité, nous souhaiterions éviter de repenser toute notre architecture AD. les utilisateurs de la messagerie sont répartis sur les 3 domaines AD mais utilisent le même domaine mail. Idéalement, nous ne souhaitons utiliser qu'une seule instance Exchange. les scénarios de déploiements Exchange sont-il compatible avec notre besoin et si oui, sous quelles conditions?
Cordialement
Réponses
-
Bonjour,
Pour information , La console d'administration sous Exchange est intégrée avec le rôle CAS de l'exchange.
Il est possible de désactiver la console d'administration sur un CAS via la commande ci-dessous:
Set-ECPVirtualDirectory -Identity "CAS_Server_name\ecp (default web site)" -AdminEnabled $false
La commande ci-dessus désactive l’accès à la console depuis l'extérieur et aussi en interne .
Pour laisser la console active qu'en interne , il faut installer au moins deux CAS , sur le CAS ou la console est activée pour l'administration en interne ,on bloque la publication du services Web et l'accès web depuis l'extérieur ( paramétrage firewall). Et sur le CAS qui est accessible depuis l'extérieur , on désactive la console via la commande ci-dessus.
Pour plus d'information je vous invite à consulter les liens ci-dessous:
Turn off access to the Exchange admin centerExchange admin center in Exchange 2013
Pour votre deuxième question, vous pouvez installer et utiliser votre environnement Exchange dans une seule forêt (forêt de ressource) , et utiliser l'option Linked Mailbox qui vous permet d'associer une boite aux lettres à un utilisateur Externe. La forêt de ressource (ou l'orgabisation Exchange sera installée), doit avoir une relation d'approbation avec la forêt de l'utilisateur.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Proposé comme réponse Bruce JDCModerator mercredi 22 mars 2017 15:16
- Modifié Thameur BOURBITAMVP, Moderator mercredi 22 mars 2017 21:26
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16
-
Bonjour,
Pour la restriction d'accès à l'ECP (en exchange 2016) depuis l'extérieur il faut en effet désactiver sur l'internal et l'external network et y compris l'OWA. Deux solutions :
- un second serveur Exchange
- Un nouveau site IIS OWA/ECP sur le serveur existant.
Plus d'information ici : Turn off access to the Exchange admin center (2016)
Pour les topologies multi-foret, deux solutions :
- Cross-forest
- Resource forest
Plus d'information ici :Understanding multiple-forest permissions
Dans votre cas, je pense qu'il s'agit d'une Resource Forest, https://technet.microsoft.com/en-us/library/aa998031(v=exchg.150).aspx
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16
-
Bonjour
Concernant l'ECP, vous pouvez sur un même serveur CAS configurer un 2ème site web (qui écoutera sur une autre IP) et sur lequel l'accès à l'ECP sera désactivé. Au niveau de votre firewall externe, vous ferez le NAT vers 2ème site web.
Concernant la consolidations des environnements de messagerie, Quest propose des outils de migrations tels "migration manager for Exchange" ou "On Demand Migration for Email" qui vous permette de consolider vos différents environnements de messagerie (avec ou sans relation d'approbation)
https://www.quest.com/fr-fr/products/migration-manager-for-exchange/
https://www.quest.com/fr-fr/products/on-demand-migration-for-email/
- Modifié Sébastien Cullerier mercredi 22 mars 2017 14:30
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16
-
ok pour le point des forets multiples.
concernant l'interface ECP, installation d'un second CAS veux dire nécessité d'une seconde licence si j'ai bien compris la documentation licence (que je trouve au passage absolument pas claire)?
https://products.office.com/fr-fr/exchange/microsoft-exchange-server-licensing-licensing-overview
un CAS ne faisant que permettre l'accès aux ressources du serveur lui même, je suis pas du tout sur de ce que j'affirme pour le coupLe CAS permet de gérer toutes les demandes d'authentification client HTTP, POP,IMAP, SMTP. et les rediriger vers le serveur Mailbox. Je vous invite à consulter ce lien pour avoir plus des détails :
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16
Toutes les réponses
-
Bonjour,
Pour la restriction d'accès à l'ECP (en exchange 2016) depuis l'extérieur il faut en effet désactiver sur l'internal et l'external network et y compris l'OWA. Deux solutions :
- un second serveur Exchange
- Un nouveau site IIS OWA/ECP sur le serveur existant.
Plus d'information ici : Turn off access to the Exchange admin center (2016)
Pour les topologies multi-foret, deux solutions :
- Cross-forest
- Resource forest
Plus d'information ici :Understanding multiple-forest permissions
Dans votre cas, je pense qu'il s'agit d'une Resource Forest, https://technet.microsoft.com/en-us/library/aa998031(v=exchg.150).aspx
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16
-
Bonjour,
Pour information , La console d'administration sous Exchange est intégrée avec le rôle CAS de l'exchange.
Il est possible de désactiver la console d'administration sur un CAS via la commande ci-dessous:
Set-ECPVirtualDirectory -Identity "CAS_Server_name\ecp (default web site)" -AdminEnabled $false
La commande ci-dessus désactive l’accès à la console depuis l'extérieur et aussi en interne .
Pour laisser la console active qu'en interne , il faut installer au moins deux CAS , sur le CAS ou la console est activée pour l'administration en interne ,on bloque la publication du services Web et l'accès web depuis l'extérieur ( paramétrage firewall). Et sur le CAS qui est accessible depuis l'extérieur , on désactive la console via la commande ci-dessus.
Pour plus d'information je vous invite à consulter les liens ci-dessous:
Turn off access to the Exchange admin centerExchange admin center in Exchange 2013
Pour votre deuxième question, vous pouvez installer et utiliser votre environnement Exchange dans une seule forêt (forêt de ressource) , et utiliser l'option Linked Mailbox qui vous permet d'associer une boite aux lettres à un utilisateur Externe. La forêt de ressource (ou l'orgabisation Exchange sera installée), doit avoir une relation d'approbation avec la forêt de l'utilisateur.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Proposé comme réponse Bruce JDCModerator mercredi 22 mars 2017 15:16
- Modifié Thameur BOURBITAMVP, Moderator mercredi 22 mars 2017 21:26
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16
-
ok pour le point des forets multiples.
concernant l'interface ECP, installation d'un second CAS veux dire nécessité d'une seconde licence si j'ai bien compris la documentation licence (que je trouve au passage absolument pas claire)?
https://products.office.com/fr-fr/exchange/microsoft-exchange-server-licensing-licensing-overview
un CAS ne faisant que permettre l'accès aux ressources du serveur lui même, je suis pas du tout sur de ce que j'affirme pour le coup -
Bonjour
Concernant l'ECP, vous pouvez sur un même serveur CAS configurer un 2ème site web (qui écoutera sur une autre IP) et sur lequel l'accès à l'ECP sera désactivé. Au niveau de votre firewall externe, vous ferez le NAT vers 2ème site web.
Concernant la consolidations des environnements de messagerie, Quest propose des outils de migrations tels "migration manager for Exchange" ou "On Demand Migration for Email" qui vous permette de consolider vos différents environnements de messagerie (avec ou sans relation d'approbation)
https://www.quest.com/fr-fr/products/migration-manager-for-exchange/
https://www.quest.com/fr-fr/products/on-demand-migration-for-email/
- Modifié Sébastien Cullerier mercredi 22 mars 2017 14:30
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16
-
ok pour le point des forets multiples.
concernant l'interface ECP, installation d'un second CAS veux dire nécessité d'une seconde licence si j'ai bien compris la documentation licence (que je trouve au passage absolument pas claire)?
https://products.office.com/fr-fr/exchange/microsoft-exchange-server-licensing-licensing-overview
un CAS ne faisant que permettre l'accès aux ressources du serveur lui même, je suis pas du tout sur de ce que j'affirme pour le coupLe CAS permet de gérer toutes les demandes d'authentification client HTTP, POP,IMAP, SMTP. et les rediriger vers le serveur Mailbox. Je vous invite à consulter ce lien pour avoir plus des détails :
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
- Marqué comme réponse Teodora Sharkova mercredi 29 mars 2017 16:16