none
etude de migration RRS feed

  • Question

  • Bonjour

    dans le cadre d'un potentiel rapatriement de notre messagerie externalisée, nous réfléchissons a la mise en place d'une solution Exchange interne.

    ayant une experience basique du système sous sa version 2013, il me vient plusieurs questions au sujet desquelles je n'ai pas réussi à trouver de réponse:

    • Sous exchange 2013, toute l'interface d'administration est passée sur une solution web. je souhaite faire en sorte que l'administrateur de la solution puisse accéder à cette interface uniquement depuis notre réseau interne et qu'elle soit innacessible de l'extérieur. la problématique est que les options des utilisateurs webmail étaient à ce moment la hébergés sur le même sous-site. le blocage que j'avais mis en place empechait l'accès à l'ECP pour tous les cas de figures, et non seulement les administrateurs. cette problématique est-elle résolvable d'une manière ou d'une autre?
    • notre infrastructure actuelle se décompose en 3 forets distinctes A, B et C. A approuve B, C approuve B, B approuve A et C, A et C ne s'approuvent pas. pour des raisons de cloisonnement et de sécurité, nous souhaiterions éviter de repenser toute notre architecture AD. les utilisateurs de la messagerie sont répartis sur les 3 domaines AD mais utilisent le même domaine mail. Idéalement, nous ne souhaitons utiliser qu'une seule instance Exchange. les scénarios de déploiements Exchange sont-il compatible avec notre besoin et si oui, sous quelles conditions?

    Cordialement

    mercredi 22 mars 2017 10:49

Réponses

  • Bonjour,

    Pour information , La console d'administration sous Exchange est intégrée avec le rôle CAS de l'exchange.

    Il est possible de désactiver la console d'administration sur un CAS via la commande ci-dessous: 

    Set-ECPVirtualDirectory -Identity "CAS_Server_name\ecp (default web site)" -AdminEnabled $false

    La commande ci-dessus désactive l’accès à la console depuis l'extérieur et aussi en interne .

    Pour laisser la console active qu'en interne , il faut installer au moins deux CAS , sur le CAS ou la console est activée pour l'administration en interne ,on bloque la publication du services Web et l'accès web depuis l'extérieur ( paramétrage firewall). Et sur le CAS qui est accessible depuis l'extérieur , on désactive la console via la commande ci-dessus.

    Pour plus d'information je vous invite à consulter les liens ci-dessous:

    Turn off access to the Exchange admin center

    Exchange admin center in Exchange 2013

    Pour votre deuxième question, vous pouvez installer et utiliser votre environnement Exchange dans une seule forêt  (forêt de ressource) , et utiliser l'option Linked Mailbox qui vous permet d'associer une boite aux lettres à un utilisateur Externe. La forêt de ressource (ou l'orgabisation Exchange sera installée), doit avoir une relation d'approbation avec la forêt de l'utilisateur.

    Manage linked mailboxes

    Create a Linked Mailbox


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/



    mercredi 22 mars 2017 11:46
    Modérateur
  • Bonjour,

    Pour la restriction d'accès à l'ECP (en exchange 2016) depuis l'extérieur il faut en effet désactiver sur l'internal et l'external network et y compris l'OWA. Deux solutions :

    • un second serveur Exchange
    • Un nouveau site IIS OWA/ECP sur le serveur existant.

    Plus d'information ici : Turn off access to the Exchange admin center (2016)

    Pour les topologies multi-foret, deux solutions :

    • Cross-forest 
    • Resource forest

    Plus d'information ici :Understanding multiple-forest permissions

    Dans votre cas, je pense qu'il s'agit d'une Resource Forest, https://technet.microsoft.com/en-us/library/aa998031(v=exchg.150).aspx

    mercredi 22 mars 2017 11:23
  • Bonjour

    Concernant l'ECP, vous pouvez sur un même serveur CAS configurer un 2ème site web (qui écoutera sur une autre IP) et sur lequel l'accès à l'ECP sera désactivé. Au niveau de votre firewall externe, vous ferez le NAT vers 2ème site web. 

    Concernant la consolidations des environnements de messagerie, Quest propose des outils de migrations tels "migration manager for Exchange" ou "On Demand Migration for Email" qui vous permette de consolider vos différents environnements de messagerie (avec ou sans relation d'approbation)

    https://www.quest.com/fr-fr/products/migration-manager-for-exchange/

    https://www.quest.com/fr-fr/products/on-demand-migration-for-email/

     



    mercredi 22 mars 2017 14:29
  • ok pour le point des forets multiples.

    concernant l'interface ECP, installation d'un second CAS veux dire nécessité d'une seconde licence si j'ai bien compris la documentation licence (que je trouve au passage absolument pas claire)?
    https://products.office.com/fr-fr/exchange/microsoft-exchange-server-licensing-licensing-overview

    un CAS ne faisant que permettre l'accès aux ressources du serveur lui même, je suis pas du tout sur de ce que j'affirme pour le coup

    Le CAS permet de gérer toutes les demandes d'authentification client HTTP, POP,IMAP, SMTP. et les rediriger vers le serveur Mailbox. Je vous invite à consulter ce lien pour avoir plus des détails :

    Client Access server


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 22 mars 2017 16:10
    Modérateur

Toutes les réponses

  • Bonjour,

    Pour la restriction d'accès à l'ECP (en exchange 2016) depuis l'extérieur il faut en effet désactiver sur l'internal et l'external network et y compris l'OWA. Deux solutions :

    • un second serveur Exchange
    • Un nouveau site IIS OWA/ECP sur le serveur existant.

    Plus d'information ici : Turn off access to the Exchange admin center (2016)

    Pour les topologies multi-foret, deux solutions :

    • Cross-forest 
    • Resource forest

    Plus d'information ici :Understanding multiple-forest permissions

    Dans votre cas, je pense qu'il s'agit d'une Resource Forest, https://technet.microsoft.com/en-us/library/aa998031(v=exchg.150).aspx

    mercredi 22 mars 2017 11:23
  • Bonjour,

    Pour information , La console d'administration sous Exchange est intégrée avec le rôle CAS de l'exchange.

    Il est possible de désactiver la console d'administration sur un CAS via la commande ci-dessous: 

    Set-ECPVirtualDirectory -Identity "CAS_Server_name\ecp (default web site)" -AdminEnabled $false

    La commande ci-dessus désactive l’accès à la console depuis l'extérieur et aussi en interne .

    Pour laisser la console active qu'en interne , il faut installer au moins deux CAS , sur le CAS ou la console est activée pour l'administration en interne ,on bloque la publication du services Web et l'accès web depuis l'extérieur ( paramétrage firewall). Et sur le CAS qui est accessible depuis l'extérieur , on désactive la console via la commande ci-dessus.

    Pour plus d'information je vous invite à consulter les liens ci-dessous:

    Turn off access to the Exchange admin center

    Exchange admin center in Exchange 2013

    Pour votre deuxième question, vous pouvez installer et utiliser votre environnement Exchange dans une seule forêt  (forêt de ressource) , et utiliser l'option Linked Mailbox qui vous permet d'associer une boite aux lettres à un utilisateur Externe. La forêt de ressource (ou l'orgabisation Exchange sera installée), doit avoir une relation d'approbation avec la forêt de l'utilisateur.

    Manage linked mailboxes

    Create a Linked Mailbox


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/



    mercredi 22 mars 2017 11:46
    Modérateur
  • ok pour le point des forets multiples.

    concernant l'interface ECP, installation d'un second CAS veux dire nécessité d'une seconde licence si j'ai bien compris la documentation licence (que je trouve au passage absolument pas claire)?
    https://products.office.com/fr-fr/exchange/microsoft-exchange-server-licensing-licensing-overview

    un CAS ne faisant que permettre l'accès aux ressources du serveur lui même, je suis pas du tout sur de ce que j'affirme pour le coup

    mercredi 22 mars 2017 13:58
  • Bonjour

    Concernant l'ECP, vous pouvez sur un même serveur CAS configurer un 2ème site web (qui écoutera sur une autre IP) et sur lequel l'accès à l'ECP sera désactivé. Au niveau de votre firewall externe, vous ferez le NAT vers 2ème site web. 

    Concernant la consolidations des environnements de messagerie, Quest propose des outils de migrations tels "migration manager for Exchange" ou "On Demand Migration for Email" qui vous permette de consolider vos différents environnements de messagerie (avec ou sans relation d'approbation)

    https://www.quest.com/fr-fr/products/migration-manager-for-exchange/

    https://www.quest.com/fr-fr/products/on-demand-migration-for-email/

     



    mercredi 22 mars 2017 14:29
  • ok pour le point des forets multiples.

    concernant l'interface ECP, installation d'un second CAS veux dire nécessité d'une seconde licence si j'ai bien compris la documentation licence (que je trouve au passage absolument pas claire)?
    https://products.office.com/fr-fr/exchange/microsoft-exchange-server-licensing-licensing-overview

    un CAS ne faisant que permettre l'accès aux ressources du serveur lui même, je suis pas du tout sur de ce que j'affirme pour le coup

    Le CAS permet de gérer toutes les demandes d'authentification client HTTP, POP,IMAP, SMTP. et les rediriger vers le serveur Mailbox. Je vous invite à consulter ce lien pour avoir plus des détails :

    Client Access server


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 22 mars 2017 16:10
    Modérateur