none
Exchange déporté RRS feed

  • Question

  • Bonjour à tous.

    Nous voudrions déporter notre serveur Exchange sur un serveur à l'extérieur de notre Infra (hébergeur OVH ou Online par exemple) et passer en Exchange 2013. Nous avons actuellement un serveur Exch 2010 Intra muros sur notre domaine local maboite.dom avec un serveur Contrôleur de domaine + un supplémentaire et des serveurs membres.

    Question 1, Dans ce cas, faut il préparer le serveur qui accueillera l'Exchange 2013 en contrôleur de domaine supplémentaire et le "lier" à notre réseau en interne avant de déployer l'Exchange puis migrer les boites ?

    Faut il abandonner l'idée et créer un domaine à part ?

    Notre 2010 actuel est une VM, si je la transfert telle quelle sur une machine hôte à l'extérieur, il faut bien qu'elle soit reliée à notre AD, comment faire dans ce cas Là ?

    J'ai besoin d'avoir des indications pour et des retours d'expériences pour bien comprendre et pouvoir faire les bons choix.

    Merci de m'aiguiller dans mes recherches.

    Amicalement.



    Dominique Martineau SSII Axe informatique Pessac 33 France.

    lundi 17 mars 2014 15:24

Réponses

  • Un serveur Exchange est fortement lié à son domaine. Lorsque vous parlez de déporter, il ne s'agit donc que d'héberger le serveur actuel 2010 dans une autre infrastructure, puis de le migrer vers 2013?

    Il serait plus simple dans ce cas de créer une nouvelle infrastructure 2013, concernant la gestion du domaine, c'est à vous de voir sur quel modèle vous souhaitez partir, voici deux propositions : 

    - Foret de ressource, dans ce cas vous montez un domaine + infra 2013 vierge avec une relation d'approbation vers votre domaine, et vous migrez les BAL sur cette nouvelle infrastructure.

    - Site déporté : vous ajoutez des DC sur ce nouveau site, et vous liez votre infra à celle-ci via un VPN pour la réplication de l'Active Directory.

    Dans tous les cas, il ne faut pas cumuler le rôle Domain Controller et Exchange sur le même serveur.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse Florin Ciuca mardi 18 mars 2014 14:16
    lundi 17 mars 2014 16:52
    Modérateur
  • La forêt de ressource permettait historiquement de clairement séparer la gestion des droits de la forêt de ressources et de la forêt des utilisateurs, cela étant particulièrement vrai si l'infrastructure de messagerie est gérée par un prestataire. Cela est moins pertinent avec RBAC qui permet de clairement dissocier les droits Exchange des droits AD.

    Elle apporte cependant une (légère) complexité pour fonctionner (vous pouvez faire une recherche sur les LinkedMailbox pour mieux appréhender le fonctionnement), pour donner un exemple Office365 est une forêt de ressources. Elle nécessite aussi une forme de liaison entre les DC des deux forêts pour créer une relation d'approbation. http://technet.microsoft.com/fr-fr/library/aa998031(v=exchg.150).aspx

    Le modèle site AD déporté avec un DC colocalisé est plus simple à mettre en place une fois la liaison VPN site à site crée, de plus même si le VPN tombe, vous pouvez continuer à utiliser Exchange car les DC colocalisés peuvent continuer à authentifier les utilisateurs. Si vous ne placez pas de DC sur le site, vous devez faire attention à la latence et si le VPN tombe, vous ne pouvez plus utiliser Exchange.

    De mon point de vue : le site AD déporté est plus simple à mettre en oeuvre, il présente cependant inconvénient de placer au minimum un DC contenant toute la base Active Directory à l'extérieur de vos locaux.

     


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse Florin Ciuca mardi 18 mars 2014 14:16
    lundi 17 mars 2014 17:55
    Modérateur

Toutes les réponses

  • Un serveur Exchange est fortement lié à son domaine. Lorsque vous parlez de déporter, il ne s'agit donc que d'héberger le serveur actuel 2010 dans une autre infrastructure, puis de le migrer vers 2013?

    Il serait plus simple dans ce cas de créer une nouvelle infrastructure 2013, concernant la gestion du domaine, c'est à vous de voir sur quel modèle vous souhaitez partir, voici deux propositions : 

    - Foret de ressource, dans ce cas vous montez un domaine + infra 2013 vierge avec une relation d'approbation vers votre domaine, et vous migrez les BAL sur cette nouvelle infrastructure.

    - Site déporté : vous ajoutez des DC sur ce nouveau site, et vous liez votre infra à celle-ci via un VPN pour la réplication de l'Active Directory.

    Dans tous les cas, il ne faut pas cumuler le rôle Domain Controller et Exchange sur le même serveur.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse Florin Ciuca mardi 18 mars 2014 14:16
    lundi 17 mars 2014 16:52
    Modérateur
  • Merci pour ta réponse très claire et qui confirme bien ce que je pensais.

    Oui c'est bien ça héberger le serveur chez un prestataire extérieur.

    Maintenant j'en ai le cœur net je vais donc pouvoir prendre une décision.

    Voyez vous un avantage particulier à l'une ou l'autre des deux méthodes ? La forêt de ressources peut elle avoir des effets bénéfiques que je ne soupçonne pas encore ?

    Amicalement.


    Dominique Martineau SSII Axe informatique Pessac 33 France.

    lundi 17 mars 2014 17:00
  • La forêt de ressource permettait historiquement de clairement séparer la gestion des droits de la forêt de ressources et de la forêt des utilisateurs, cela étant particulièrement vrai si l'infrastructure de messagerie est gérée par un prestataire. Cela est moins pertinent avec RBAC qui permet de clairement dissocier les droits Exchange des droits AD.

    Elle apporte cependant une (légère) complexité pour fonctionner (vous pouvez faire une recherche sur les LinkedMailbox pour mieux appréhender le fonctionnement), pour donner un exemple Office365 est une forêt de ressources. Elle nécessite aussi une forme de liaison entre les DC des deux forêts pour créer une relation d'approbation. http://technet.microsoft.com/fr-fr/library/aa998031(v=exchg.150).aspx

    Le modèle site AD déporté avec un DC colocalisé est plus simple à mettre en place une fois la liaison VPN site à site crée, de plus même si le VPN tombe, vous pouvez continuer à utiliser Exchange car les DC colocalisés peuvent continuer à authentifier les utilisateurs. Si vous ne placez pas de DC sur le site, vous devez faire attention à la latence et si le VPN tombe, vous ne pouvez plus utiliser Exchange.

    De mon point de vue : le site AD déporté est plus simple à mettre en oeuvre, il présente cependant inconvénient de placer au minimum un DC contenant toute la base Active Directory à l'extérieur de vos locaux.

     


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse Florin Ciuca mardi 18 mars 2014 14:16
    lundi 17 mars 2014 17:55
    Modérateur
  • Bruce, merci beaucoup pour votre aide.

    Je vais pouvoir maintenant travailler en partant d'un point de vue plus clair. Vous venez de me donner le recul qui me manquait.

    Merci.

    Cordialement.


    Dominique Martineau SSII Axe informatique Pessac 33 France.

    mardi 18 mars 2014 09:40