Planification d'une organisation Exchange complexe

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2009-09-15

Comme son nom l'indique, une organisation Exchange complexe représente la topologie la plus complexe dans laquelle Microsoft Exchange Server 2007 puisse être déployé. Sur quatre modèles d'organisation définis pour Exchange 2007, l'organisation Exchange complexe est le seul incluant plusieurs forêts de service d'annuaire Active Directory ou l'utilisation d'une technologie de synchronisation.

Le déploiement de plusieurs forêts Active Directory hébergeant des serveurs Exchange et des comptes dotés d'une boîte aux lettres devient un scénario courant. Un motif majeur de ces déploiements est la nécessité de séparer l'administration des environnements d'utilisateur des contextes de sécurité approuvés. Comme la forêt représente la limite de sécurité d'Active Directory dans des déploiements où la sécurité et le contrôle de l'accès aux ressources sont essentiels, il n'est pas rare de trouver plusieurs forêts Active Directory déployées parallèlement.

Notes

Toutes les topologies reposant sur plusieurs forêts nécessitent des serveurs d'annuaire dans chaque forêt exécutant Windows Server 2003 avec Service Pack 1 ou une version ultérieure.

Exemples d'organisations Exchange complexes

Il existe diverses raisons d'implémenter plusieurs forêts Active Directory. Certaines de ces raisons sont répertoriées ci-dessous :

  • vous disposez de plusieurs divisions qui nécessitent une séparation des données et services ;

  • vous disposez de plusieurs divisions qui ont des spécifications de schéma distinctes ;

  • vous êtes confronté à une fusion, un rachat ou une scission.

Topologie de forêt de ressources Exchange

Le seul moyen d'établir des limites strictes entre les divisions consiste à créer une forêt Active Directory distincte pour chaque division. Si telle est votre configuration Active Directory, il est recommandé d'utiliser une forêt de ressources Exchange.

La figure 1 présente un exemple d'organisation Exchange complexe contenant une forêt de ressources Exchange.

Figure 1   Exemple d'organisation Exchange complexe avec une forêt de ressources Exchange

Organisation Exchange complexe avec forêt de ressources

Dans la figure 1, la forêt B contient des serveurs Exchange et la forêt A les comptes d'utilisateurs. La forêt B contient également des comptes d'utilisateurs identiques, mais ils sont désactivés et les utilisateurs dotés d'une boîte aux lettres se connectent à Active Directory à l'aide de leur compte dans la forêt A.

Si vous déployez Exchange 2007 dans une forêt de ressources, par défaut, l'administrateur dans la forêt qui ne contient que les comptes d'utilisateurs n'est pas autorisé à créer des boîtes aux lettres dans la forêt Exchange. Bien que l'administrateur dans la forêt contenant les comptes d'utilisateurs puisse créer des comptes d'utilisateurs, dans une topologie de forêt de ressources, cet administrateur ne peut pas exécuter de tâches de gestion de boîte aux lettres sans déléguer des autorisations spéciales à l'administrateur de comptes. Un administrateur dans la forêt Exchange doit créer manuellement des boîtes aux lettres séparées des comptes d'utilisateurs et les lier à des comptes d'utilisateurs existants. En outre, vous devez ajouter des informations supplémentaires (telles que numéro de téléphone ou emplacement de bureau) à la forêt Exchange séparément, même si ces informations existent déjà pour le compte d'utilisateur associé.

Topologie Exchange reposant sur plusieurs forêts

En cas de fusions et de rachats, il n'est pas recommandé d'avoir plusieurs forêts Active Directory et plusieurs organisations Exchange. En cas d'exécution d'Exchange dans un environnement à plusieurs forêts, les architectes système et les administrateurs Exchange sont généralement confrontés aux mêmes problèmes de conception que ceux qu'ils rencontrent dans des modèles d'organisation Exchange simple, standard et de grande taille. En revanche, ce qui est propre à une organisation Exchange complexe, c'est la nécessité de synchroniser des objets d'annuaire dans des forêts disparates et de répliquer les données de disponibilité. Microsoft offre deux solutions pour la synchronisation d'annuaire :

  • Identity Integration Feature Pack pour Microsoft Windows Server Active Directory (IIFP) avec Service Pack 2 (SP2)

  • Microsoft Identity Integration Server (MIIS)

Les deux solutions sont basées sur MIIS. IIFP est une version simplifiée de MIIS disponible gratuitement. MIIS est une solution riche en fonctionnalités, bien que plus onéreuse.

Notes

Pour plus d'informations sur IIFP, consultez la page sur Identity Integration Feature Pack 1a pour Microsoft Windows Server Active Directory avec Service Pack 2 (SP2). Pour plus d'informations sur MIIS, consultez la page Microsoft Identity Integration Server 2003 TechCenter.

Outre la synchronisation de l'annuaire, une exigence fréquente est que les données de disponibilité ou les dossiers publics soient à la disposition des organisations Exchange hébergées dans chaque forêt. Dans les versions précédentes d'Exchange Server, cela nécessitait l'utilisation de l'outil de réplication inter-organisationnelle (IORepl) Microsoft Exchange Server, qui permettait la coordination des informations de réunion, de rendez-vous, de contacts et de dossier public entre des organisations Exchange séparées. Pour partager des informations de disponibilité et de calendrier entre des organisations Exchange 2007 hébergées dans des forêts séparées, vous avez les possibilités suivantes :

  • Si les deux organisations utilisent Microsoft Office Outlook 2007, le service de disponibilité dans Exchange 2007 permet de partager les informations de disponibilité et de calendrier entre les organisations. Toutefois, cette solution ne partage pas de données de dossier public entre les organisations.

  • Si vous utilisez des versions précédentes d'Outlook, vous pouvez utiliser IORepl pour partager des informations de disponibilité et de calendrier entre les organisations. Il est possible d'installer IORepl sur un ordinateur sur lequel les outils de gestion d'Exchange 2007 sont installés sans autres rôles serveur Exchange 2007 ou sur un serveur exécutant Exchange Server 2003 ou Exchange 2000 Server. Cette solution permettrait également de partager des données de dossier public entre les organisations. Si vous installez l'outil sur un ordinateur sur lequel les outils de gestion d'Exchange 2007 sont installés, vous devez également installer les bibliothèques clients MAPI d'Exchange. Pour plus d'informations sur l'outil de réplication inter-organisationnelle, consultez la page relative à la réplication inter-organisationnelle de Microsoft Exchange Server. Pour plus d'informations sur le téléchargement des bibliothèques client MAPI Exchange, consultez la page sur Microsoft Exchange Server MAPI Client et Collaboration Data Objects 1.2.1.

Notes

Il se peut que la fonctionnalité requise par IORepl soit manquante. Par défaut, Exchange Server 2007, ainsi que les versions ultérieures, n'incluent pas les bibliothèques client Messaging API (MAPI) ou CDO (Collaboration Data Objects), version 1.2.1, dans le cadre de l'installation de base du produit. Vous devez installer Microsoft Exchange MAPI et CDO 1.2.1 afin d'accéder au contenu des banques MAPI. Si Office Outlook est installé sur le serveur, vous devez désinstaller Outlook avant d'installer Exchange MAPI et CDO 1.2.1.

Pour plus d'informations sur l'utilisation de l'outil IORepl avec Exchange 2007, consultez la rubrique Outil de réplication interorganisationnelle de l'Aide Exchange.

La figure 2 présente un exemple d'organisation Exchange complexe contenant plusieurs forêts Exchange.

Figure 2   Exemple d'organisation Exchange complexe avec plusieurs forêts Exchange

Organisation Exchange complexe avec plusieurs forêts

Topologie inter-forêts Exchange

Dans un environnement inter-forêts, Exchange Server s'exécute dans des forêts Active Directory séparées, mais la fonctionnalité de messagerie est disponible pour toutes les forêts. Le déploiement d'Exchange 2007 dans un environnement inter-forêts avec une synchronisation d'annuaire présente les limites suivantes :

  • impossibilité d'afficher l'appartenance aux listes de distribution si des membres ont des boîtes aux lettres dans une autre forêt ;

  • impossibilité d'ajouter des utilisateurs opérant dans une autre forêt à une liste de distribution ;

  • impossibilité d'imbriquer des listes de distribution dans plusieurs forêts ;

  • absence d'outil pour déplacer des listes de distribution vers une autre forêt ;

  • impossibilité de conserver des propriétés de délégation si vous déplacez une boîte aux lettres entre des forêts ;

  • absence d'outil pour déplacer des dossiers publics vers une autre forêt ;

  • impossibilité d'envoyer des messages signés ou chiffrés dans des forêts si vous utilisez un certificat autosigné d'infrastructure à clé publique (PKI) Microsoft Windows.

Considérations sur la planification d'une organisation Exchange complexe

Lors de la phase de planification de votre déploiement et avant de déployer des serveurs Exchange 2007 dans une organisation Exchange complexe, il est recommandé de prendre en considération les points suivants :

  • Le fait que plusieurs organisations Exchange partagent une liste d'adresses globale (GAL) commune entraîne un besoin de synchronisation de GAL et la nécessité de réplication de ressources de calendrier entre les forêts.

  • Les organisations Exchange complexes disposent souvent de plusieurs points de sortie et d'entrée sur Internet. À mesure que le nombre de types de services exposés à Internet augmente, les systèmes de pare-feu déployés deviennent plus sophistiqués. Microsoft Internet Security and Acceleration (ISA) Server est un pare-feu au niveau application permettant de publier des services Exchange tels que Outlook Web Access, POP3 (Post Office Protocol 3), IMAP4 (Internet Message Access Protocol 4), ActiveSync et Outlook Anywhere. Il est recommandé de déployer ISA Server ou un ensemble de serveurs exécutant ISA Server à la limite entre le réseau de périmètre et le réseau d'entreprise privé.

  • Lors du déploiement d'une organisation Exchange complexe, il est souvent nécessaire d'offrir une haute disponibilité. Dans Exchange 2007, de nombreuses solutions peuvent être utilisées pour fournir une grande disponibilité pour chaque rôle serveur. Pour plus d'informations sur les stratégies et les fonctions de haute disponibilité pour Exchange 2007, consultez la rubrique Disponibilité élevée.

  • L'utilisation de plusieurs forêts Active Directory signifie également que plusieurs espaces de noms sont utilisés. Dans Exchange 2007, le serveur d'accès au client requiert l'utilisation d'un espace de noms d'URL unique à l'intérieur de chaque forêt dans un environnement inter-forêts.

Transition d'une organisation Exchange complexe

Si vous passez d'une organisation Exchange Server 2003 ou Exchange 2000 Server existante à une organisation Exchange 2007, sachez que vous ne pouvez pas effectuer de mise à niveau sur place de vos serveurs. Vous devez ajouter un ou plusieurs serveurs Exchange 2007 à votre organisation existante, déplacer les boîtes aux lettres et autres données vers Exchange 2007, puis supprimer le serveur Exchange 2003 ou Exchange 2000 de l'organisation.

Pour plus d'informations sur le déploiement et la transition vers une organisation Exchange 2007 complexe, consultez la rubrique Déploiement d'une organisation Exchange complexe.