Exporter (0) Imprimer
Développer tout
Développer Réduire

Dépannage du service de découverte automatique d'Exchange 2007 dans plusieurs forêts

 

Dernière rubrique modifiée : 2011-08-01

Le service de découverte automatique de Microsoft Exchange Server 2007 fournit les URL de chaque service Web Exchange aux clients Microsoft Office Outlook 2007. Il fournit également une configuration de profil automatique pour les clients Outlook 2007 dans un environnement de messagerie Microsoft Exchange.

Lorsque vous installez le rôle serveur d'accès au client sur un ordinateur exécutant Microsoft Exchange, un nouveau répertoire virtuel est créé sur le site Web par défaut des services Internet (IIS). Un objet point de connexion de service est créé dans le service d'annuaire Active Directory. Cet objet permet à tous les clients connectés à un domaine exécutant Outlook 2007 d'interroger Active Directory et de configurer automatiquement le profil Outlook.

De nombreuses organisations ont des topologies complexes dont les conditions sont les suivantes :

  • L'organisation comporte plusieurs forêts, dont une forêt de ressources dans laquelle Exchange s'exécute.

  • Les comptes d'utilisateur de l'organisation existent dans une forêt de compte ou une forêt d'utilisateurs séparée.

Dans ce type de scénario à plusieurs forêts approuvées, certaines fonctionnalités d'Microsoft Exchange dépendent du service de découverte automatique pour accéder aux comptes d'utilisateur parmi les forêts. Parmi ces fonctionnalités figurent le service de disponibilité, le carnet d'adresses en mode hors connexion, les réponses d'absence du bureau et la messagerie unifiée. Dans notre scénario, le service de découverte automatique doit être disponible pour des utilisateurs répartis entre plusieurs forêts approuvées.

Cette rubrique n'a pas pour but d'expliquer le fonctionnement du service de découverte automatique. En revanche, elle explique comment l'implémenter dans une topologie à plusieurs forêts. Elle contient également des informations de dépannage du service de découverte automatique lorsque ce dernier opère dans des environnements à plusieurs forêts classiques. Vous pouvez vous servir de cette rubrique comme d'une liste de contrôle pratique de méthodes et d'exemples courants de déploiement du service de découverte automatique. Cette liste de contrôle permet de résoudre des problèmes que vous pourriez rencontrer dans un environnement à plusieurs forêts.

Pour plus d'informations sur le fonctionnement du service de découverte automatique d'Microsoft Exchange et diverses considérations relatives à son déploiement, consultez les livres blancs suivants :

Dans Active Directory, le contrôleur de domaine, qui tient le rôle émulateur de contrôleur de domaine principal, contrôle les relations d'approbation entre domaines. C'est pourquoi vous devez vérifier que le contrôleur de domaine tenant le rôle émulateur de contrôleur de domaine principal dans chaque forêt peut communiquer avec la forêt opposée. Pour ce faire, servez-vous de l'outil Ping (Packet Internet Groper) pour tester le nom de domaine de la forêt opposée.

Organisation Exchange 2007 à plusieurs forêts

Forêt de comptes et de ressources Exchange 2007

Dans ce scénario, utilisez Ping.exe pour vérifier la communication avec les éléments suivants :

  • À partir du contrôleur de domaine principal de fourthcoffee.com, effectuez le test Ping northwindtraders.com.

  • À partir du contrôleur de domaine principal de northwindtraders.com, effectuez le test Ping fourthcoffee.com (forêts de ressources Microsoft Exchange).

  • À partir d'un client Outlook 2007 de northwindtraders.com, effectuez le test Ping fourthcoffee.com

Si l'un de ces tests Ping échoue, vous devez examiner la résolution de nom DNS dans chaque forêt. Par exemple, examinez tous les éléments suivants :

  • Configuration du client DNS

  • Zones principales, zones secondaires et zones de stub du serveur DNS

  • Options de transfert et d'indications de racine du serveur DNS

Vérifiez la relation d'approbation entre la forêt de ressources et la forêt d'utilisateurs. Une approbation sortante unilatérale est requise entre la forêt de ressources Exchange et la forêt de comptes d'utilisateur. Pour plus d'informations sur la configuration d'une approbation, consultez la rubrique Create a one-way, outgoing, forest trust for both sides of the trust (en anglais).

Pour valider l'approbation de domaine entre les domaines au sein des forêts, exécutez le composant logiciel enfichable Domain.msc sur un contrôleur de domaine dans chaque forêt. Vous pouvez également exécuter la commande Netdom.exe suivante :

netdom trust <trusted_domain_name> /domain: <trusting_domain_name> /verify

Si la validation de l'approbation réussit, vous recevez le résultat suivant :

 

L'approbation entre northwindtraders.com et fourthcoffee.com a été vérifiée avec succès.

Si vous devez recréer la relation d'approbation entre le domaine de la forêt de comptes (forêt d'utilisateurs) et le domaine de la forêt de ressources (forêt Exchange), procédez comme suit.

noteRemarque :
Aux fins de cette procédure, northwindtraders.com figure dans la forêt de comptes et Fourthcoffee.com dans la forêt de ressources.
  1. Connectez-vous à un contrôleur de domaine situé dans la forêt de comptes. Ensuite, démarrez le composant logiciel enfichable MMC Domaines et approbations Active Directory.

  2. Sous Domaines et approbations Active Directory, cliquez avec le bouton droit sur la forêt de comptes northwindtraders.com, puis cliquez sur Propriétés.

  3. Cliquez sur l'onglet Approbations, puis sur Nouvelle approbation.

  4. Dans l'Assistant Nouvelle approbation, cliquez sur Suivant.

  5. Dans le champ Nom, tapez le nom de la forêt de ressources. Dans cet exemple, tapez fourthcoffee.com, puis cliquez sur Suivant.

  6. Cliquez sur Unilatérale entrante, puis sur Suivant.

  7. Dans la page Sens de l'approbation, cliquez sur Ce domaine et le domaine spécifié, puis sur Suivant.

  8. Dans la page Nom d’utilisateur et mot de passe, tapez les informations d'identification d'un compte disposant de droits d'administration dans le domaine des comptes. Par exemple, tapez les informations d'identification d'un compte Administrateur du domaine fourthcoffee.com. Ensuite, cliquez sur Suivant.

  9. Cliquez sur Authentification à l’échelle du domaine, puis sur Suivant.

  10. Dans la page Fin de la sélection des approbations, examinez les paramètres d'approbation, puis cliquez sur Suivant.

  11. Dans la page Fin de la création de l'approbation, cliquez sur Suivant.

  12. Dans la page Confirmer l'approbation entrante, cliquez sur Oui, confirmez l'approbation entrante, cliquez sur Suivant, puis sur Terminer.

  13. Dans la boîte de dialogue Propriétés de northwindtraders.com, vérifiez que la nouvelle approbation fourthcoffee.com figure sous Domaines qui approuvent ce domaine (approbations entrantes).

Une boîte aux lettres liée pour chaque utilisateur figurant dans la forêt de comptes (northwindtraders.com) doit être créée dans la forêt de ressources (forthcoffee.com). Vérifiez que le compte principal dispose d'un accès illimité à la boîte aux lettres liée et à l'adresse SMTP. Pour ce faire, utilisez les cmdlets Get-Mailbox et Get-MailboxPermission.

Pour plus d'informations, consultez la rubrique Procédure de création d'une boîte aux lettres liée.

Après avoir exécuté les cmdlets, vous devriez recevoir des résultats similaires à ceux ci-dessous :

Get-Mailbox <mailbox_user> | fl

 

PrimarySmtpAddress:

Vandy@fourthcoffee.com

RecipientType:

UserMailbox

RecipientTypeDetails:

LinkedMailbox

IsLinked:

True

LinkedMasterAccount:

NORTHWINDTRADERS\Vandy

Get-MailboxPermission <mailbox_user> | fl

 

AccessRights:

{FullAccess, ExternalAccount}

InheritanceType:

All

User:

NORHTWINDTRADERS\Vandy

Identity:

Fourthcoffee.com/Users/Vandy

Pour utiliser la console de gestion Exchange afin de créer une boîte aux lettres liée dans la forêt de ressources, procédez comme suit :

  1. Dans la console de gestion Exchange, sous Configuration du destinataire, cliquez sur Boîte aux lettres, puis, dans le volet Actions, cliquez sur Nouvelle boîte aux lettres.

  2. Dans la boîte de dialogue Nouvelle boîte aux lettres, cliquez sur Boîte aux lettres liée, puis sur Suivant.

  3. Cliquez sur Nouvel utilisateur, puis sur Suivant.

  4. Dans la page Informations utilisateur, tapez les informations utilisateur du domaine de ressources (fourthcoffee.com). Par exemple, spécifiez les informations utilisateur suivantes :

     

    1. Champ

    1. Valeur

    1. Unité d'organisation

    1. Fourthcoffee.com/Users

    1. Prénom

    1. Vandy

    1. Nom

    1. Vandy@fourthcoffee.com

    1. Nom de connexion utilisateur

    1. Vandy

    1. Mot de passe

    1. <mot de passe>

    1. Confirmer le mot de passe

    1. <mot de passe>

    Ensuite, cliquez sur Suivant.

  5. Dans le champ Alias, tapez un alias d'utilisateur. Par exemple, entrez vandy. Ensuite, cliquez sur Suivant.

  6. Dans la page Compte principal, tapez les informations de compte pour la forêt de comptes. Par exemple, spécifiez les informations utilisateur suivantes :

     

    1. Champ

    1. Valeur

    1. Forêt ou domaine approuvé

    1. Northwindtraders.com

    1. Nom d'utilisateur

    1. Northwindtraders\administrator

    1. Mot de passe

    1. <mot de passe>

    1. Contrôleur de domaine lié

    1. dc-1.northwindtraders.com

    1. Compte principal lié

    1. Northwindtraders\vandy

  7. Cliquez sur Suivant.

  8. Sous Résumé de la configuration, vérifiez que la configuration de la boîte aux lettres liée est correcte, cliquez sur Suivant, puis sur Terminer.

La nouvelle boîte aux lettres liée apparaît dans le volet Détails Boîte aux lettres - Fourthcoffee.com.

Lorsque vous exécutez la cmdlet Export-AutoDiscoverConfig, un nouvel objet point de connexion de service est créé dans la forêt de comptes. Cet objet point de connexion de service pointe sur l'URL du service de découverte automatique dans la forêt de ressources. Pour permettre à un client Outlook 2007 de localiser un point de connexion de service afin de répondre à la demande de découverte automatique, les deux attributs suivants sont requis :

  • Keywords

  • ServiceBindingInformationService

Dans la forêt de ressources, ces attributs ont les fonctions suivantes :

  • L'attribut Keywords contient le nom du site dans lequel réside le serveur d'accès au client. L'attribut Keywords contrôle l'affinité de site pour aider un client Outlook 2007 à trouver le meilleur serveur d'accès au client pour répondre à des demandes Outlook.

  • L'attribut ServiceBindingInformation contient l'URL de la découverte automatique. Par exemple, https://<cas_server>.example.fourthcoffee.com/autodiscover/autodiscover.xml.

Dans la forêt de comptes, ces attributs ont les fonctions suivantes :

  • L'attribut Keywords contient tous les domaines SMTP acceptés faisant autorité. Dans la console de gestion Exchange, ces informations apparaissent sous Configuration de l'organisation\Transport Hub\Domaines acceptés.

  • L'attribut ServiceBindingInformation contient une URL LDAP (par exemple, ldap://fourthcoffee.com) pour la forêt de ressources Microsoft Exchange.

Pour consulter les attributs Keywords et ServiceBindingInformationService dans l'objet point de connexion de service pour chaque serveur d'accès au client Microsoft Exchange, vous pouvez utiliser la commande ldifde.exe, Adsiedit.msc ou la cmdlet Get-ClientAccessServer. Par exemple, vous pouvez utiliser les commandes suivantes :

Ldifde -f scp_account.txt -d "CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Nwtraders,DC=com"

 

dn:

CN=Fourthcoffee.com,CN=MicrosoftExchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com

distinguishedName:

CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com

keywords:

Domain=Example.com

keywords:

Domain=Fourthcoffee.com

keywords:

67661D7F-8FC4-4fa7-BFAC-E1D7794C1F68

serviceBindingInformation:

LDAP://Fourthcoffee.com

Get-ClientAccessServer | fl *Auto*

 

AutoDiscoverServiceCN:

CAS_SERVER

AutoDiscoverServiceClassName:

ms-Exchange-AutoDiscover-Service

AutoDiscoverServiceInternalUri:

https://cas_server.fourthcoffee.com/Autodiscover/Autodiscover.xml

AutoDiscoverServiceGuid:

77378f46-2c66-4aa9-a6a6-3e7a48b19596

AutoDiscoverSiteScope:

{Default-First-Site-Name}

Si les objets Keywords et ServiceBindingInformationService de point de connexion de service existent et sont correctement configurés, vérifiez qu'un client Outlook 2007 peut les localiser. Pour ce faire, procédez comme suit :

  1. Modifiez l'objet de stratégie de groupe des contrôleurs de domaine par défaut dans la forêt de ressources pour activer l'audit.

  2. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis Stratégie d'audit.

  3. Dans le volet Détails, double-cliquez sur Auditer l'accès au service d'annuaire, activez la case à cocher Réussite, puis cliquez sur OK.

  4. Activez l'audit Réussite pour les stratégies suivantes :

    • Auditer les événements de connexion aux comptes

    • Auditer la gestion des comptes

    • Auditer l'accès au service d'annuaire

    • Auditer les événements de connexion

    • Auditer les modifications de stratégie

    • Auditer les événements système

  5. Démarrez le composant logiciel enfichable ADSIEdit.msc sur un contrôleur de domaine figurant dans la forêt de comptes pour activer l'audit de l'objet point de connexion de service fourthcoffee.com.

  6. Dans l'Éditeur ADSI, développez le conteneur Configuration, puis le chemin suivant :

    CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com

  7. Cliquez avec le bouton droit sur l'objet Découverte automatique de Microsoft Exchange, puis cliquez sur Propriétés.

  8. Cliquez sur l'onglet Sécurité, sur Avancé, puis sur l'onglet Audit tab.

  9. Dans la liste Entrées d'audit, ajoutez le groupe Tout le monde.

  10. Dans la liste Accès, activez la case à cocher Lire toutes les propriétés dans la colonne Réussi.

  11. Cliquez trois fois sur OK pour enregistrer les modifications apportées à l'objet.

  12. Créez un profil Outlook 2007 ou utilisez la fonctionnalité Tester la configuration automatique de la messagerie pour générer les événements d'audit. Chaque méthode génère les événements suivants dans le journal système et dans le journal de sécurité.

L'ID d'événement 540 est consigné dans le journal système pour chaque ouverture de session réussie.

 

  1. Source de l'événement : sécurité

  2. Catégorie : ouverture/Fermeture de session

  3. ID d'événement : 540

  4. Utilisateur : NORTHWINDTRADERS\<NomUtilisateur>

  5. Description :

  6. Ouverture de session réseau réussie :

  7. Nom d'utilisateur : <NomUtilisateur>

  8. Domaine : NORTHWINDTRADERS

  9. ID de connexion : <ID>

  10. Type d'ouverture de session : 3

  11. Processus d'ouverture de session : Kerberos

  12. Package d'authentification : Kerberos

  13. Nom de la station de travail :

  14. GUID d’ouv. de session : <GUID>

L'événement suivant est journalisé dans le journal de sécurité si l'utilisateur a pu interroger l'objet point de connexion de service. Dans la description de l'événement, le nom d'objet est le point de connexion de service dans la forêt de comptes.

 

Source de l'événement : sécurité

Catégorie : DSAccess (Directory Service Access)

ID d'événement : 566

Utilisateur : NORTHWINDTRADERS\<NomUtilisateur>

Description :

opération d'objet

Objet serveur : DS

Type d'opération : accès à l'objet

Type d'objet : serviceConnectionPoint

Nom d'objet : CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com

ID du handle : -

Nom d'utilisateur primaire : <NomUtilisateur>

Domaine principal : NORTHWINDTRADERS

Par défaut, lorsque vous installez le rôle serveur d'accès au client, un certificat auto-signé est installé. Ce certificat possède un nom commun qui mappe vers le nom NetBIOS du serveur. Le certificat auto-signé comprend également le nom de domaine complet interne du serveur en tant que nom DNS supplémentaire enregistré dans le champ « Autre nom de l’objet » du certificat. Cela permet aux clients connectés au domaine de se connecter au service de découverte automatique sans recevoir d'avertissements de certificat si le certificat n’a pas expiré. Pour plus d'informations, consultez la section Découverte automatique et certificats du livre blanc White Paper: Exchange 2007 Autodiscover Service.

noteRemarque :
Généralement, le certificat auto-signé est remplacé par un autre généré à l'aide des services de certificats Windows ou obtenu auprès d'une autorité de certifications tierce. Le nouveau certificat inclut généralement des noms DNS différents ou en plus de ceux inclus dans le certificat auto-signé d'origine. Les exemples présentés dans cette section sont basés sur un certificat généré à partir d'une autorité de certification interne.

La cmdlet Get-ExchangeCertificate permet de consulter le certificat Exchange sur le serveur d'accès au client. Lorsque vous exécutez cette cmdlet, vérifiez les attributs suivants :

  • CertificateDomains

  • Services

  • Status

  • IsSelfSigned

  • Issuer

  • Subject

Get-ExchangeCertificates | fl

 

CertificateDomains : {mail.fourthcoffee.com, TX136711-MS1, TX136711-MS1.fourthcoffee.com, Fourthcoffee.com, autodiscover.Fourthcoffee.com }

HasPrivateKey : True

IsSelfSigned : False

Issuer : CN=Fourthcoffee, DC=Fourthcoffee, DC=com

Services : IMAP, POP, IIS

Status : Valid

Subject : CN=mail.fourthcoffee.com

Chaque fois que vous créez un domaine accepté faisant autorisé sous Configuration de l'organisation\Transport Hub\Domaines acceptés dans la console de gestion Exchange, vous devez exécuter la cmdlet Export-AutodiscoverConfig. Cette action met à jour l'attribut keyword dans la forêt de comptes.

noteRemarque :
L'attribut keyword n'est pas automatiquement mis à jour dans la forêt de comptes lorsque vous créez un domaine accepté faisant autorité.

Avant d'exécuter la cmdlet Export-AutodiscoverConfig, les informations de l'attribut keywords ressemblent à ceci :

 

dn:

CN=Fourthcoffee.com,CN=MicrosoftExchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com

distinguishedName:

CN=Fourthcoffee.com,CN=Microsoft Exchange Autodiscover,CN=Services,CN=Configuration,DC=Northwindtraders,DC=com

keywords:

Domain=dallas.com

keywords:

Domain=Fourthcoffee.com

keywords:

67661D7F-8FC4-4fa7-BFAC-E1D7794C1F68

serviceBindingInformation:

LDAP://Fourthcoffee.com

Sur un serveur d'accès au client Exchange dans la forêt source, exécutez la commande suivante pour récupérer les informations d'identification requises pour exécuter la cmdlet Export-AutodiscoverConfig :

$a = Get-Credential

Ensuite, exécutez la cmdlet Export-AutodiscoverConfig suivante :

Export-AutoDiscoverConfig -DomainController <FQDN> -TargetForestDomainController <String> -TargetForestCredentials $a -MultipleExchangeDeployments $true

L'Assistant Dépannage de Microsoft Exchange (Extra.exe) permet de suivre le service de découverte automatique.

  1. Cliquez sur Démarrer, puis sur Exécuter, entrez extra.exe, puis cliquez sur OK.

  2. Cliquez sur Aller à l'écran de bienvenue, puis cliquez sur Sélectionner une tâche.

  3. Si un message s'affiche, indiquant qu'Exchange ne dispose pas de module pour l'interprétation des suivis, cliquez sur Contrôle de suivi, puis sur OK.

  4. Cliquez sur Définir des balises de suivi manuelles, puis cliquez pour activer les cases à cocher de type de suivi suivantes :

    • PFD

    • Irrécupérable

    • Erreur

    • Avertissement

    • Info

    • Performances

    • Fonction

  5. Dans la liste Composants à suivre, activez les cases à cocher suivantes :

    • ADProvider

    • MSExchangeAutodiscover

  6. Cliquez sur Lancer le suivi

Les résultats de suivi ci-dessous présentent un profil Outlook 2007 créé avec succès. Pour contrôler les résultats de suivi, déterminez le compte d'utilisateur à dépanner à l'aide du UserID correspondant. Dans cet exemple, le compte d'utilisateur est Tim@dallas.com.

 

577502E94268MSExchangeAutodiscoverFramework[Provider.base()] Timestamp="16:53:55.5388560";CompterNameHash="1359685320";EmailAddress="Tim@dallas.com";LegacyDN="";UserSID="S-1-5-21-1704072791-1889598559-3047533862-1110";

57870ADProviderLdapFilterBuilderLdapFilterBuilder::LdapFilterFromQueryFilter - forming LDAP Filter for (&((&((|((Sid Equal S-1-5-21-1704072791-1889598559-3047533862-1110)(MasterAccountSid Equal S-1-5-21-1704072791-1889598559-3047533862-1110)))(ObjectClass NotEqual foreignSecurityPrincipal)))(|((ObjectCategory Equal person)(ObjectCategory Equal msExchDynamicDistributionList)(ObjectCategory Equal group)(ObjectCategory Equal publicFolder)(ObjectCategory Equal msExchPublicMDB)(ObjectCategory Equal msExchSystemMailbox)(ObjectCategory Equal msExchExchangeServerRecipient)(ObjectCategory Equal exchangeAdminService)))(!((&((ExchangeVersion GreaterThanOrEqual 1.0 (0.0.0.0))(Exists(ExchangeVersion)))))))).

57880ADProviderLdapFilterBuilderLdapFilterBuilder::LdapFilterFromQueryFilter - Ldap filter = (&(|(objectSid=S-1-5-21-1704072791-1889598559-3047533862-1110)(msExchMasterAccountSid=S-1-5-21-1704072791-1889598559-3047533862-1110))(!(objectClass=foreignSecurityPrincipal))(|(objectCategory=person)(objectCategory=msExchDynamicDistributionList)(objectCategory=group)(objectCategory=publicFolder)(objectCategory=msExchPublicMDB)(objectCategory=msExchSystemMailbox)(objectCategory=msExchExchangeServerRecipient)(objectCategory=exchangeAdminService))(!(&(msExchVersion>=1125899906842624)(msExchVersion=*)))).

5799013965FAADProviderADFindADSession::Find using vandyr139404c.nwtraders.com:3268 - LDAP search from , scope 2, filter (&(|(objectSid=S-1-5-21-1704072791-1889598559-3047533862-1110)(msExchMasterAccountSid=S-1-5-21-1704072791-1889598559-3047533862-1110))(!(objectClass=foreignSecurityPrincipal))(|(objectCategory=person)(objectCategory=msExchDynamicDistributionList)(objectCategory=group)(objectCategory=publicFolder)(objectCategory=msExchPublicMDB)(objectCategory=msExchSystemMailbox)(objectCategory=msExchExchangeServerRecipient)(objectCategory=exchangeAdminService))(!(&(msExchVersion>=1125899906842624)(msExchVersion=*)))), sizeLimit 2, timeout 00:00:30

66130MSExchangeAutodiscoverFramework[LoadProvider()] 'provider "Microsoft.Exchange.Autodiscover.Providers.Outlook.OutlookAutoDiscoverProvider, Microsoft.Exchange.Autodiscover, Version=8.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" is loaded'

661702E94268MSExchangeAutodiscoverFramework[base.GenerateResponseXml()] 'redirectOrError=false; 'Calling provider's WriteConfigXml()'

668003B97E22MSExchangeAutodiscoverFramework[OnLoad()] 'Request is successfully processed'

 
Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft