Outil D'administration Exchange 2010 PDF
Outil D'administration Exchange 2010 PDF
Outil D'administration Exchange 2010 PDF
com
http://sebihiy.blogspot.com/2014/02/presentation-des-outils-dadministration.html
Il est noter que la connexion via le protocole HTTPS est obligatoire par dfaut pour garantir la scurit des
informations dauthentification. lusage, il sera ncessaire de personnaliser la configuration des certificats pour
quelle soit transparente pour les administrateurs.
Seuls les administrateurs habilits seront en mesure de sy connecter. Les utilisateurs seront redirigs le cas
chant sur la console de gestion des options de bote aux lettres que nous aborderons un peu plus loin dans ce
chapitre.
La console bnficie de limplmentation du SSL pour en scuriser lauthentification mais aussi pour garantir la
confidentialit des oprations qui seront ralises par les administrateurs. Par dfaut, le certificat utilis est autosign et il sera intressant de le remplacer par un certificat issu dune autorit de certification publique ou prive.
Les manipulations ncessaires seront abordes dans le chapitre sur limplmentation de la scurit.
Exchange 2013 se positionne comme le premier serveur de messagerie orient cloud de Microsoft. En
loccurrence, il bnficie dune intgration pousse avec son homologue hberg, Office 365 et offre des
passerelles permettant la mise en place dun environnement mixte sur site / dans le nuage. Ce point justifie
dautant plus le choix dune interface web pour ladministration qui offre ainsi une meilleure exprience utilisateur
pour les administrateurs.
La console Centre dadministration Exchange a pour objectif de grer les principaux composants
dinfrastructure et dadministration dExchange Server 2013.
Rappelons que la configuration de lorganisation Exchange se trouve historiquement dans la partition de
configuration Active Directory.
partir de lenvironnement de lancement Windows ou du menu Dmarrer, tapez ADSI, puis lancez loutil
Modification ADSI.
Dans la console Modification ADSI, cliquez sur le nud Modification ADSI partir de larborescence de
gauche puis sur Connexion.
Dans la fentre Paramtres de connexion, slectionnez Configuration dans le champ Slectionnez un
contexte dattribution de noms connu, puis cliquez sur OK.
Dans larborescence de gauche, naviguez jusquau conteneur CN=Configuration, DC=, DC= \ CN=Services \
Microsoft Exchange \ .
Observez et naviguez dans les diffrents conteneurs qui hbergent les paramtres de linfrastructure Exchange.
Quel que soit le serveur partir duquel la console va tre lance, la majeure partie des modifications des
paramtres seront enregistres dans la base de donnes Active Directory, dans la section rserve Exchange
dans la partition Configuration.
La console EAC est en ralit un frontal graphique qui sappuie sur les interfaces de programmation (API Application Programming Interface) des commandes PowerShell. Toutes les options de configuration dExchange
2013 nont pas t implmentes, et pour avoir accs lensemble des paramtres il faudra passer
obligatoirement par lenvironnement Exchange Management Shell.
La console est automatiquement disponible en plusieurs langues. Le choix de la langue sera fait par chaque
utilisateur lors de la premire connexion et pourra tre modifi ultrieurement partir des paramtres de
configuration de chaque utilisateur.
Au premier niveau de la console, en haut gauche, on notera la possibilit de basculer facilement entre la
configuration de linfrastructure hberge sur site ENTREPRISE et linfrastructure hberge dans le nuage Office
365.
Un menu gauche, prsent en permanence, va permettre de basculer entre les diffrentes thmatiques de
linfrastructure.
Voici la liste des thmes du menu :
Destinataires : permet de grer les objets destinataires comme les botes aux lettres, les groupes, les
botes aux lettres de ressources, les contacts, les botes aux lettres partages et les travaux de migration
de botes aux lettres.
Autorisations : permet de grer la dlgation dadministration avec les rles administrateur et utilisateur
ainsi que les stratgies lies Outlook Web App.
Gestion de la conformit : permet de grer la dcouverte de mots spcifiques dans les messages et dy
appliquer des rgles de traitement, de raliser des rapports daudits, de mettre en place les stratgies de
protection de perte des donnes et de configurer des rgles de journalisation.
Organisation : permet la mise en place de la fdration, lajout et lapprobation dapplication ainsi que la
gestion des listes dadresse.
Protection : permet de grer les filtres de protection des messages (antivirus).
Flux de messagerie : permet de grer les rgles de transport et de remise des messages au sein de
linfrastructure et avec lextrieur, dadministrer les connecteurs denvoi et de rception.
Mobile : permet de grer les flottes mobiles associes au serveur Exchange par lintermdiaire
dActiveSync et de dployer des stratgies de scurit dessus.
Dossiers publics : permet de grer les dossiers publics ainsi que les botes aux lettres de dossier public.
Messagerie unifie : permet de configurer linterconnexion avec le systme de tlphonie afin
dimplmenter les fonctions de messagerie unifie (bote vocale, fax).
Serveurs : permet de grer les proprits spcifiques de chaque serveur Exchange, dadministrer les
bases de donnes et leur haute disponibilit, les rpertoires virtuels IIS des services Exchange et les
certificats.
Hybride : permet lintgration de linfrastructure Exchange 2013 Office 365.
Pour chaque thmatique, on trouvera une srie donglets reprsentant les sections de paramtrage suivi dune
barre doutils reprsente par des icnes et une liste des diffrents objets et paramtres que lon peut administrer.
Une srie dinformations et dactions utiles sera affiche contextuellement dans le panneau de droite selon le ou
les objets slectionns.
Un menu de notification apparat en haut droite de la console pour prvenir ladministrateur de lavance des
oprations lances en tches de fond.
Limite quelques fonctions ncessitant un client lourd ou nayant pas t port sur la console web, elle propose
les outils suivants :
Afficheur des files dattente : permet dafficher la file dattente SMTP et danalyser lorigine des
erreurs de remise des e-mails domaine par domaine. Ce module est trs souvent utilis pour dpanner les
services de transport.
Analyseur de connectivit distance : lance le site web du mme nom qui permet de valider la
connectivit extrieure du serveur Exchange mais aussi Lync, Office 365
(https://www.testexchangeconnectivity.com/).
Dans la mesure o il a t conu pour tre utilis par des administrateurs, il sarticule autour dun concept simple
qui rgit la plupart des tches dadministrations savoir :
Lister les objets/lments/composants voulus (ex : lister toutes les botes aux lettres dune organisation).
Appliquer un filtre dessus (ex : ne garder que les botes aux lettres hberges sur un serveur spcifique).
Appliquer une opration dessus (ex : modifier le quota des botes aux lettres).
Dans ce contexte, PowerShell est trs efficace dans le traitement de masse et simple dapplication car les trois
oprations seront ralises en une seule ligne l o dautres systmes de scripting en demandent parfois des
dizaines.
Il est aussi possible de crer ses propres cmdlets afin de rendre facilement scriptable des applications qui ne sont
pas nativement ou officiellement prises en charges. Les bibliothques de commandes peuvent tre disponibles
sous forme de SnapIn (composants enfichables) ou de Modules. On retrouve beaucoup de bibliothques sur le
site Codeplex - http://www.codeplex.com
Lenvironnement PowerShell est aussi capable dexcuter des commandes classiques (ping, ipconfig, netsh),
de dialoguer avec des scripts batch, vbs ou autres et dutiliser nativement les assemblies .NET et les objets COM
pour tendre ses capacits.
Ces diffrentes extensions permettent de bnficier dans un mme script de la richesse et de la simplicit des
commandes natives PowerShell mais aussi de la puissance du Framework .NET et COM ainsi que de la
compatibilit des scripts utilisant des technologies plus anciennes.
Dans les diffrents environnements ddition, les commandes, les paramtres ainsi que certains attributs
bnficient de la compltion automatique laide de la touche de tabulation et un historique est disponible par la
touche [F7].
Une interface graphique appele PowerShell ISE (PowerShell Integrated Scripting Environment) permet la mise
au point de scripts plus complexes en offrant des fonctions IntelliSense ([Ctrl][Espace] menus contextuels de
compltion en cours dcriture), des Snipets par le raccourci [Ctrl] J (structure de code toute faite), un panneau
contenant toutes les commandes disponibles intgrant un assistant dcritures, et des fonctions de dbogage
([F9]) et de pas pas ([F10], [F11], [Shift][F11]).
ModuleName
---------exch-srv1.eni.lan
Function
Function
<...>
Function
Function
Function
Get-DatabaseAvailabilityGroup
exch-srv1.eni.lan
Get-DatabaseAvailabilityGroupConfiguration exch-srv1.eni.lan
Set-DatabaseAvailabilityGroupNetwork
Start-DatabaseAvailabilityGroup
Stop-DatabaseAvailabilityGroup
exch-srv1.eni.lan
exch-srv1.eni.lan
exch-srv1.eni.lan
Pour avoir plus de dtail sur une commande, il est possible dutiliser la cmdlet Get-Help que lon peut comparer
la commande man du monde unix/linux.
PS > Get-Help <cmdlet>
Plusieurs niveaux de dtail peuvent tre sollicits via la commande Get-Help en ajoutant les paramtres suivants
:
PS > Get-Help <cmdlet> -Detailed
Le paramtre -Detailed affiche en dtail toutes les informations concernant les proprits de la cmdlet.
PS > Get-Help <cmdlet> -Full
Le paramtre -Full affiche toutes les rubriques daide de la cmdlet.
PS > Get-Help <cmdlet> -Examples
Le paramtre -Examples affiche des exemples dutilisation de la cmdlet.
PS > Get-Help Get-Command -Parameter <paramtre>
Le paramtre -Parameter affiche toutes les informations concernant le paramtre voulu de la cmdlet.
La cmdlet Format-List est trs utile pour personnaliser le format de rendu des commandes Get de PowerShell.
Par exemple en affichant les proprits en liste.
PS > Get-Service schedule | Format-List -Property *
Voici quelques autres formats de sorties utilisables que vous pouvez tester :
PS > Get-Service | Format-List
PS > Get-Service | Format-Custom
PS > Get-Service | Format-Table
PS > Get-Service | Format-Wide
PS > Get-Service | Format-Table Name, Servicetype, Canshutdown
La console Exchange Management Shell permet de raliser des tches rptitives (sous forme de script par
exemple) pour gagner du temps et rduire les erreurs. Ainsi il est possible dautomatiser des tches, pour la
maintenance des serveurs Exchange ou pour la cration de botes aux lettres utilisateurs en masse.
Lors de linstallation dExchange 2013, des cmdlets spcifiques sont mises disposition pour administrer
lenvironnement Exchange. Il est important de noter que, par dfaut, PowerShell ne possde quun nombre limit
de commandes et que la console Exchange Management Shell est le rsultat de lexcution de la commande
suivante :
C:\Windows\System32\WindowsPowerShell\1.0\powershell.exe -noexit
-command ". C:\Program Files\Microsoft\Exchange
Server\V15\bin\RemoteExchange.ps1; Connect-ExchangeServer -auto
-ClientApplication:ManagementShell "
Cette ligne ralise automatiquement trois oprations :
Charger lenvironnement PowerShell.
Charger la bibliothque RemoteExchange.ps1 qui contient les cmdlets Exchange.
Se connecter lorganisation Exchange laide de la commande Connect-ExchangeServer.
Pour afficher lensemble des cmdlets lies lenvironnement Exchange (944 commandes), ce qui inclut des
commandes gnriques des modules Microsoft.PowerShell.Management et Microsoft.PowerShell.Utility, il
suffit de taper la commande suivante :
PS > Get-ExCommand
Pour afficher lensemble des commandes spcifiques lenvironnement Exchange (770 commandes), il suffit de
taper la commande suivante :
PS > Get-Command -Module <fqdn du serveur>
Pour afficher lensemble des commandes disponibles dans lenvironnement (2284 commandes), il suffit de taper
la commande suivante :
PS > Get-Command
b. Exemples de commandes
Cet exemple nous renvoie la liste des botes aux lettres.
PS > Get-MailBox
Cet exemple configure ladresse mail externe de lutilisateur lthobois.
Suppression de lensemble des messages envoys par Brahim dans les files dattente :
PS > Get-Message | Where From -like "*brahim*" | Remove-Message
Ouvrez le fichier transcript indiqu en retour de la commande Stop-Transcript. Le fichier devrait se trouver dans le
rpertoire C:\Users\Administrateurs.ENI\Documents\PowerShell_transcript..txt.
[EXCH] Gestion des alias
Dans lenvironnement Exchange Management Shell, excutez les commandes suivantes :
Affiche le dtail de lalias ps :
PS > Get-Alias ps
Liste les alias qui excutent la cmdlet Set-Location :
PS > Get-Alias | where-object {$_.definition -eq "set-location"}
Cre et teste un nouvel alias pour la cmdlet Get-Help :
PS > Set-Alias gh Get-Help
PS > gh
Cre et teste un nouvel alias pour le lancement du bloc-notes :
PS > Set-Alias np c:\windows\system32\notepad.exe
PS > np
Supprime lalias de la commande ls :
PS > Remove-Item alias:ls
3. Gestion des variables et des boucles avec PowerShell
[DC] Formatage des informations dune cmdlet
Lancez lenvironnement Windows PowerShell partir de la barre des tches, puis excutez les commandes
suivantes :
Stocke le contenu de la commande ipconfig dans la variable result :
PS > $result = ipconfig
Affiche le contenu de la variable result :
PS > $result
[DC] Cration dune fonction
Crez un fichier dont le nom sera c:\Start-Function.ps1 et copiez le contenu suivant :
for ($i=0 ; $i -lt $result.length; $i++ )
{
"{0} {1}" -f $i, $result[$i]
}
Excutez le contenu de ce script partir de PowerShell (c:\Start-Function.ps1).
Crez un second fichier appel C:\Start-Function2.ps1 et copiez le contenu suivant :
$i = 1;
foreach($singleLine in $result)
{
$i++
"{0} {1}" -f $i, $singleLine
}
Excutez le contenu de ce second script partir de PowerShell (C:\Start-Function2.ps1).
4. Navigation dans les ressources tierces
[DC] Lancer un appel WMI (Windows Management Instrumentation)
Lancez lenvironnement Windows PowerShell partir de la barre des tches, puis excutez les commandes
suivantes :
Rcupre les informations du BIOS de lordinateur local :
PS > Get-WmiObject win32_bios
Rcupre les informations du systme dexploitation du serveur Exchange 2013 distance :
PS > Get-WmiObject -Class Win32_OperatingSystem -ComputerName 172.16.1.21
[DC] Naviguer dans le systme de fichiers et dans la base de registre
Lancez lenvironnement Windows PowerShell partir de la barre des tches, puis excutez les commandes
suivantes :
Liste les environnements de navigation disponibles :
PS > Get-PSDrive
Pointe la navigation vers la ruche de base de registre HKEY_LOCAL_MACHINE :
cd HKLM:
Navigue dans la base de registre :
dir
cd SYSTEM\CurrentControlSet\Control
5. Import dune liste dutilisateurs avec bote aux lettres partir dun fichier CSV
Cration dun fichier CSV contenant les utilisateurs crer
laide de lexplorateur de fichiers, crez le fichier texte C:\utilisateurs.csv.
Ajoutez la liste des utilisateurs dans le contenu du fichier C:\utilisateurs.csv en respectant le format suivant (CSV
- Comma-Separated Values) :
Name,Alias,UserPrincipalName,Database,OrganizationalUnit,Password
Loc THOBOIS,lthobois,[email protected],Database1,Users,P@ssw0rd
Brahim NEDJIMI,bnedjimi,[email protected],Database2,Users,P@ssw0rd
Cration dun script dimport des utilisateurs
laide de lexplorateur de fichier, crez le fichier texte C:\Import-User.ps1.
Ajoutez le script dimport au contenu du fichier C:\Import-User.ps1 en copiant le script suivant :
#Importe le jeu de commande Exchange dans PowerShell et se
connecte lorganisation
La commande prcdente autorise lexcution dun script qui nest pas sign dans un environnement PowerShell
Dans lenvironnement Exchange Management Shell, lancez la commande suivante :
PS > C:\Import-User.ps1
Tout comme la console Centre dadministration Exchange, laccs est protg laide du protocole HTTPS et
va ncessiter une configuration des certificats adapte pour quelle soit transparente pour les utilisateurs.
Cette console, accessible potentiellement par tous les utilisateurs, va aussi permettre de faciliter la
dlgation dadministration sur des fonctions comme la gestion des botes aux lettres existantes, la gestion des
listes de distribution, faire le suivi des messages et la gestion des synchronisations des priphriques mobiles
Elle va donc permettre de rendre accessibles facilement ces options lensemble des utilisateurs sans la
complexit du dploiement dun client lourd sur les postes.
Dlgation dadministration
1. Prsentation du modle de dlgation RBAC
Depuis Exchange Server 2010, la dlgation dadministration a t entirement revue afin dtre plus souple et
utilisable par des groupes dutilisateurs autres que les administrateurs de messagerie.
Elle repose dornavant sur le principe RBAC (Role-Based Access Control) dont lobjectif est dutiliser des
modles prdfinis mais personnalisables de dlgation. Chaque modle correspond un rle dadministration
dExchange et sera affect une population dutilisateur. Il nest donc maintenant plus ncessaire de modifier
directement les listes de contrle daccs (ACL) comme ctait le cas dans les versions prcdentes.
La mise en place dune dlgation RBAC, aussi appele groupe de rles, passe par la configuration de trois
lments : le primtre dapplication, les rles et les membres.
Primtre dapplication : il sagit dune OU, dun
groupe dutilisateurs ou tout simplement dun
conteneur de configuration. Tous les rles ont par
dfaut un primtre dapplication. Lorsque vous
crez un nouveau rle RBAC, il est enfant dun
rle dj existant et hrite du primtre de son
parent. Il est toutefois possible de spcifier un
primtre spcifique lors de sa cration ou de le
modifier par la suite.
Rles : Exchange 2013 possde autour de 85
rles prdfinis (environ 68 ct administrateurs
et 17 ct utilisateurs). Vous pouvez crer des
rles personnaliss enfants de rles existants
mais ayant moins de droits. Lattribution des
droits se fait par slection des cmdlets
PowerShell que le rle pourra excuter au final.
Les rles sont en fait des autorisations sur les
cmdlets PowerShell qui pourront tre excutes.
Membres : vous pouvez assigner le rle aussi bien un utilisateur unique qu un groupe entier mais il est
recommand dutiliser les groupes pour une administration simplifie.
Il est important de garder en tte ce fameux triangle du pouvoir afin de visionner les diffrents composants pour
vous y retrouver.
Default Role Assignment Policy : cette stratgie permet de personnaliser les accs des utilisateurs
lorsquils se connectent aux options Outlook Web App.
Cliquez avec le bouton droit sur le groupe de scurit reprsentant le groupe de rles auquel vous souhaitez
ajouter lutilisateur ou le groupe, puis cliquez sur Proprits.
Dans longlet Membres, cliquez sur le bouton Ajouter et slectionnez le compte utilisateur ou le groupe de
votre choix.
Slectionnez le groupe de rles auquel vous souhaitez ajouter lutilisateur ou le groupe de votre choix puis
cliquez sur licne reprsentant un crayon.
Dans la section Rles, cliquez sur licne reprsentant un + et slectionnez le compte utilisateur ou le groupe de
votre choix.
Dans la section Membres, cliquez sur licne reprsentant un + et slectionnez le compte utilisateur ou le groupe
de votre choix.
4. Dlgation laide de la console Exchange Management Shell
[EXCH] Cration dun rle et dun groupe de rles laide de la console Exchange Management Shell
Lancez la console Exchange Management Shell partir de lenvironnement de lancement de Windows ou du
menu Dmarrer.
Importez le module dadministration PowerShell pour Active Directory laide de la commande suivante :
Import-Module ActiveDirectory
laide de la commande suivante, lancez la cration dune unit dorganisation contenant les objets sur lesquels
les administrateurs membres du groupe de rles pourront agir :
New-ADOrganizationalUnit -Name "ENI Stagiaires"
laide de la commande suivante, lancez la cration dun groupe de scurit reprsentant les objets lesquels les
administrateurs membre du groupe de rles pourront agir :
New-ADGroup -Name "ENI Stagiaires" -SamAccountName enistagiaires
-GroupCategory Security -GroupScope Global -DisplayName "ENI Stagiaires"
-Path "OU=ENI Stagiaires,DC=eni,DC=lan"
laide de la commande suivante, lancez la cration dun nouveau primtre dapplication qui couvrira les objets
prsents la fois dans lunit dorganisation et dans le groupe prcdemment cr :
New-ManagementScope "ENI Stagiaires" -RecipientRestrictionFilter
{MemberOfGroup -eq "CN=ENI Stagiaires,OU=ENI Stagiaires,DC=eni,DC=lan"}
-RecipientRoot "OU=ENI Stagiaires,DC=eni,DC=lan"
laide de la commande suivante, lancez la cration dun nouveau rle en copiant le rle "Mail Recipients" :
New-ManagementRole -Name "Mailbox List" -Parent "Mail Recipients"
Affichez les commandes autorises par le nouveau rle laide de la commande suivante :
Get-ManagementRoleEntry -Identity "Mailbox List\*"
laide de la commande suivante, retirez lensemble des cmdlets accessible hormis Get-User ( lorigine il y
avait prs de 110 cmdlets utilisables). Validez la confirmation de suppression des commandes en tapant la touche
T.
Get-ManagementRoleEntry -Identity "Mailbox List\*" | Where{$_.Name
-ne "Get-User"} | Remove-ManagementRoleEntry
Lancez la cration du groupe de rles, laide de la commande suivante, qui reprend le rle et le
primtre prcdemment crs.
New-RoleGroup -name "ENI Stagiaires Mailbox List" -Role "Mailbox List"
-CustomRecipientWriteScope "ENI Stagiaires"
Dans la console Utilisateurs et ordinateurs Active Directory, dans lunit dorganisation Microsoft Exchange
Security Groups, vrifiez la prsence du groupe de scurit ayant pour nom celui du groupe de rles que vous
venez de crer.
Cliquez avec le bouton droit sur le nouveau groupe de scurit auquel vous souhaitez ajouter lutilisateur ou le
groupe, puis cliquez sur Proprits.
Dans longlet Membres, cliquez sur le bouton Ajouter et slectionnez le compte utilisateur ou le groupe de
votre choix.
Ouvrez une session avec le compte membre du nouveau groupe de scurit, puis tapez la commande suivante
dans la console Exchange Management Shell pour vrifier que seul un nombre limit de cmdlets sont
disponibles :
(Get-Command -Module <fqdn du serveur exchange>).Count