• Article

Questions et réponses sur la file d'attente ExchangeRôles de transport Hub et Edge, machines virtuelles, et plus encore

KC Lemson and Nino Bilic

Dans l’article de mai 2007 de Questions et réponses sur la file d'attente Exchange, nous avons parlé des problèmes de stockage de fichiers .pst sur les partages réseau. L’équipe de performance de Windows Server a récemment lancé un blog et ils ont abordé

ce sujet avec de multiples détails techniques, c’est pourquoi nous souhaitons vous transmettre le lien. Passons maintenant aux questions.

Q : Dois-je nécessairement déployer le rôle de serveur Edge si je souhaite déployer Microsoft Exchange Server 2007 ?

R : Non, vous n’avez pas à déployer Edge afin de déployer Exchange Server 2007. Vous pouvez disposer d’une seule machine exécutant les rôles de serveur de base (tels que la boîte aux lettres, l’accès client et le transport Hub) acceptant les messages électroniques d’Internet pour votre domaine et exécutant des programmes anti-spam et antivirus.

Q : Quelles sont les différences entre les rôles de serveur de transport Edge et Hub ? Que va-t-il me manquer si je ne déploie pas Edge ?

R : Le principal objectif du rôle Hub est de transférer les messages au sein de l’organisation et d’appliquer des stratégies d’entreprise à ces messages. Avec le rôle Hub, les règles de transport sont basées sur les objets Active Directory® (les utilisateurs, les listes de distribution et ainsi de suite). Le rôle Hub vous permet également d’ajouter des exclusions aux messages ou d’effectuer une journalisation des messages envoyée aux groupes d’utilisateurs, étant donné que vous souhaitez probablement baser ces règles sur l’appartenance à Active Directory. Par exemple, vous souhaitez peut-être effectuer une journalisation de tous les messages envoyés à DLOfUsersOnLitigationHold ou ajouter des exclusions aux messages sortants envoyés par DLOfMembersOfLegalTeam. Bien qu’il soit possible d’exécuter des agents anti-spam sur le serveur Hub, ils ne sont pas activés par défaut. Par conséquent, vous devez les installer manuellement en exécutant le script install-antispamagents disponible dans le répertoire \scripts sur le serveur.

Le principal objectif du rôle Edge consiste à transmettre les messages de et vers l’organisation ainsi que d’exécuter l’hygiène de message (anti-spam, antivirus, filtrage de contenu ou de pièce jointe et ainsi de suite) sur ces messages. La fonctionnalité anti-spam est activée dès l’installation lorsque vous installez un serveur Edge. Une des fonctionnalité uniques du rôle Edge : il n’est pas nécessaire de l’ajouter à un domaine Windows®. Il peut être exécuté sur une installation Windows Server® autonome ne faisant pas partie d’un domaine Windows, mais Edge peut toujours être géré en tant que partie de l’organisation Exchange 2007 dans votre forêt d’entreprise.

Ceci est particulièrement avantageux dans un réseau de périmètre où vous pouvez souhaiter que le serveur fasse partie d’un groupe de travail. Vous pouvez également disposer d’une forêt séparée de manière explicite pour les machines dans le réseau de périmètre. Pour davantage de commodité, les serveurs Edge déployés dans cette situation peuvent exécuter toute hygiène de message et le routage pour les messages entre le réseau d’entreprise et Internet, tout en restant gérés conformément au reste de l’administration des systèmes Exchange 2007.

Sur un serveur Edge, les règles de transport sont basées sur des adresses SMTP, pas sur les objets Active Directory. Bien sûr, vous pouvez utiliser les adresses SMTP de listes de distributions ou d’utilisateurs dans votre Active Directory. Pour l’essentiel, les règles de transport Edge sont un sous-ensemble des règles de transport Hub, l’exception étant l’action de mise en quarantaine, qui est uniquement disponible sur les serveurs Edge.

Les serveurs Edge disposent également de certaines fonctionnalités exposées par les agents qui ne sont pas disponibles sur le serveur de transport Hub : suppression de pièces jointes et réécriture d’adressage. La suppression de pièces jointes permet de supprimer de manière sélective les pièces jointes potentiellement dangereuses avec des extensions telles que .exe et .com. L’agent de réécriture d’adressage vous permet de réécrire les en-têtes de message électronique pour que, bien que votre domaine et les adresses de proxy SMTP par défaut sur les comptes utilisateur soient @contoso.com, par exemple, les messages sortants vers Internet apparaîtront comme provenant de @northwindtraders com. De même, les serveurs Edge exécutent uniquement le routage basé sur le domaine ou l’espace d’adressage, donc si vous partagez le même espace d’adressage SMTP entre Exchange et un autre système de messagerie, vous devrez soit exécuter ce routage sur le serveur Hub, soit le faire en collaboration avec l’agent de réécriture d’adressage sur le serveur Edge.

Autre considération importante : le serveur Exchange 2007 est-il directement confronté à Internet (que ce soit par le rôle de serveur Hub ou Edge). En d’autres termes, les connexions au port 25 sur l’enregistrement MX de votre domaine sont-elles connectées à Exchange 2007 de quelque manière que ce soit ? Vous disposez peut-être déjà d’une passerelle SMTP, d’un mur de virus ou de tout autre solution sur Internet qui accepte le courrier pour votre domaine et le transmet à Exchange au sein du réseau de l’entreprise. Si vous déployez les serveurs Edge ou Hub pour qu’ils soient confrontés à Internet, vous pouvez alors profiter d’une des fonctionnalités les plus utiles d’Exchange 2007 : Agrégation de listes fiables. Avec l’agrégation de listes fiables, les utilisateurs qui ajoutent des expéditeurs à leurs listes fiables dans Microsoft Outlook® (ce qu’ils font généralement pour les bulletins Internet ou les messages électroniques de détaillants) propageront ces listes de manière sécurisée aux rôles Edge et Hub pour que les messages de ces expéditeurs contournent le filtre de contenu. Bien sûr, le spam d’un utilisateur est le précieux bulletin d’un autre utilisateur, par conséquent, l’agrégation de listes fiables s’effectue pour chaque utilisateur. Vous pouvez en apprendre davantage sur le fonctionnement de cette fonctionnalité dans la documentation d’Exchange 2007.

Si vous vous retrouvez avec un déploiement dans lequel un serveur s’exécutant avec le rôle Hub accepte les messages électroniques d’Internet pour votre domaine, gardez plusieurs choses à l’esprit. Bien sûr, vous devez d’abord vous assurer d’avoir un pare-feu correct ou une solution de filtrage de port pour que votre serveur ne reçoive que des connexions sur les ports nécessaires, tels que le port 25. De même, n’oubliez pas d’installer les agents anti-spam parce qu’ils ne sont ni installés ni activés par défaut. Étant donné que le scénario de déploiement le plus courant du serveur Hub est au sein du réseau d’entreprise, il n’autorise pas les connexions anonymes à l’installation. Vous devrez vérifier le groupe d’autorisation AnonymousUsers sur le connecteur de réception du port 25. Vous devrez également vous assurer d’activer l’agrégation de listes fiables et planifier son exécution périodique. Ainsi, à mesure que les utilisateurs mettent à jour les listes fiables dans leurs boîtes aux lettres, le courrier envoyé à ces utilisateurs à partir de leurs listes d’expéditeurs fiables contourne le filtrage du contenu. Vous trouverez plus de détails sur notre blog.

Le code suivant affiche une commande À qui met à jour toutes les boîtes aux lettres quotidiennement à 23H00 sur tous les serveurs à l’aide d’un fichier de commandes appelé SafeList.bat :

at 23:00 /every:M,T,W,Th,F,S,Su cmd /c 
“D:\SafeList.bat”

Ce code affiche les contenus du fichier SafeList.bat :

“d:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe” 
-psconsolefile “d:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1” -command 
“get-mailbox | where {$_.RecipientType 
-eq [Microsoft.Exchange.Data.Directory.Recipient.RecipientType]::UserMailbox } | update-safelist”

Si vous devez vérifier le fonctionnement correct des paramètres, vous trouverez plus d’informations dans la documentation d’Exchange 2007.

Q : Après avoir redémarré mon image Virtual PC avec Exchange, je continue à avoir des problèmes relatifs au répertoire ou au serveur LDAP. L’utilitaire Telnet vers 389 fonctionne et tous les services s’exécutent. Pourquoi ?

R : J’ai moi-même rencontré ce problème l’année dernière au Tech•Ed. J’avais une copie d’un Virtual PC sur mon ordinateur portable que j’avais copiée d’un ordinateur au bureau. J’envisageais de l’utiliser pour faire des démonstrations aux membres de la presse qui devaient publier des articles pour le lancement de la version bêta 2 d’Exchange 2007 le mois suivant.

J’ai fait des milliers de démonstrations du produit et je savais que la version était solide. Je ne me suis donc pas préparé outre mesure pour cette démonstration. Vous pouvez imaginer mon stress lorsque j’ai démarré Virtual PC le lundi matin, quelques heures avant la première réunion, et que chaque partie de ma version m’indiquait qu’elle ne pouvait pas contacter un contrôleur de domaine. Grâce au grand nombre de personnes brillantes sous la tente, nous avons pu résoudre rapidement ce problème.

Le problème que j’ai rencontré au Tech•Ed était le résultat d’une exécution de Virtual PC sur mon portable super lent. À la racine du problème était une situation d’engorgement de DNS et Active Directory. Le serveur DNS sur l’image était configuré pour être intégré à Active Directory, mais en raison de la séquence dans laquelle les services sur l’image étaient chargés (et disons, le manque de vélocité de mon portable), les services d’annuaire nécessaires n’avaient pas démarré au moment où le serveur DNS tentait de contacter Active Directory.

Cette situation peut se produire sur n’importe quel serveur ayant DC et Exchange sur la même machine (ce n’est pas nécessairement une image virtualisée). Il est cependant beaucoup plus probable que ce souci survienne dans un environnement virtualisé où il existe un ralentissement supplémentaire (particulièrement avec un portable très lent comme le mien).

J’ai également vu un problème similaire se produire avec des images Virtual PC copiées entre deux machines, surtout lorsqu’une de ces machines est sur un réseau différent. Si vous avez fait l’expérience de ce problème, vérifiez l’adresse IP du système d’exploitation dans l’image. Il peut avoir une ancienne adresse IP de l’ancien réseau. Actualisez-le pour obtenir une adresse IP du nouveau réseau et regardez si cela résout le problème.

Pour éviter ces types de problème à l’avenir, vous pouvez vous assurer que le serveur DNS sur l’invité ne soit pas intégré à Active Directory et installer DNS sur l’hôte et l’invité. Faites en sorte que l’invité transfert à l’hôte pour les enregistrements inconnus et que l’hôte transfert à son serveur DNS approprié pour les enregistrements inconnus. Lorsque votre image démarre et tente de mettre à jour les enregistrements DNS, elle sera moins sujette aux défaillances.

Q : Il semblerait que l’installation d’Exchange 2007 soit assez différente de l’installation dans les versions précédentes d’Exchange. Comment cela fonctionne-t-il ?

R : En effet, il y a plusieurs étapes à l’installation d’Exchange 2007. Voici un aperçu général du fonctionnement du processus.

Lors de la première exécution de setup.exe, un processus démarre vous offrant des liens vers la plupart des conditions préalables que vous devrez installer avant de pouvoir commencer l’installation des rôles de serveur réels. Après avoir installé toutes ces conditions préalables, le lien Install Microsoft Exchange devient disponible et vous pouvez cliquer dessus (voir la figure 1).

Figure 1 Lien d’installation disponible une fois les conditions préalables générales satisfaites

Figure 1** Lien d’installation disponible une fois les conditions préalables générales satisfaites **

Si vous avez exécuté setup.exe à partir du réseau et que vous avez cliqué sur le lien d’installation, les fichiers d’installation de base seront copiés dans le dossier %TEMP%\ExchangeServerSetup\ sur l’ordinateur local. L’Assistant d’installation s’ouvre.

L’Assistant d’installation vous indique les divers choix possibles, tels que le contrat de licence, le signalement d’erreurs et le type d’installation (où vous pouvez choisir les rôles de serveur à installer). Les pages de l’Assistant varient en fonction de la présence et l’état de l’organisation Exchange actuelle (si tel est le cas).

Une fois ce processus terminé, l’installation exécutera une vérification de préparation. Il s’agit en fait d’une version subséquente de Microsoft Exchange Server Best Practices Analyzer (BPA), qui, par défaut, se connectera à Internet pour télécharger le dernier fichier XML des conditions préalables. Vous avez ainsi la possibilité de mettre à jour les conditions requises de manière périodique ou de résoudre tout problème porté à la connaissance de l’équipe d’Exchange depuis le lancement du produit. Une fois la vérification des conditions préalables terminée, vous pourrez consulter les résultats et poursuivre. Sinon, vous verrez tout problème à résoudre avant de poursuivre l’installation. Si votre serveur échoue la vérification de conditions préalables, l’Assistant vous permet de relancer la vérification dans la plupart des cas.

Une fois la vérification de conditions préalables réussie, le bouton Install apparaît et vous permet de démarrer l’installation à partir de n’importe quel rôle choisi précédemment. Seuls les fichiers pour les rôles sélectionnés seront copiés et installés.

À la fin de l’installation, vous pourrez lancer la console de gestion Exchange et appliquer toute mise à jour d’Exchange 2007 qui pourrait être disponible.

KC Lemson est Directeur expérience utilisateur pour Exchange Server. Son compte en banque en ligne a été temporairement interrompu.

Nino Bilic est responsable de programme de prise en charge pour Exchange Server. Il a récemment ajouté une deuxième adresse de messagerie à sa carte de crédit.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.