Planification de l'accès à Active Directory

Article
03/02/2017

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2016-11-28

Microsoft Exchange Server 2010 stocke toutes les informations sur la configuration et les destinataires dans la base de données du service d’annuaire Active Directory. Quand un ordinateur exécutant Exchange 2010 demande des informations sur les destinataires et des informations sur la configuration de l’organisation Exchange, il doit interroger Active Directory pour avoir accès aux informations. Des serveurs Active Directory doivent être disponibles pour qu’Exchange 2010 fonctionne correctement.

Cette rubrique explique comment Exchange 2010 stocke et extrait des informations dans Active Directory, afin que vous puissiez planifier l’accès à Active Directory. Elle aborde également les problèmes dont vous devez avoir connaissance si vous essayez de récupérer des objets Exchange 2010 Active Directory supprimés.

Informations sur Exchange stockées dans Active Directory

La base de données Active Directory stocke les informations dans trois types de partitions logiques décrites dans les sections suivantes :

Partition de Schéma
Partition de configuration
Partition de domaine

Partition de Schéma

La partition de schéma stocke deux types d’informations : les classes de schéma et les attributs de schéma. Les classes de schéma définissent tous les types d’objets qui peuvent être créés et stockés dans Active Directory. Les attributs de schéma définissent toutes les propriétés qui peuvent être utilisées pour décrire les objets stockés dans Active Directory.

Quand vous installez le premier rôle serveur Exchange 2010 dans la forêt ou exécutez le processus de préparation Active Directory, ce processus Active Directory ajoute un grand nombre de classes et attributs au schéma Active Directory. Les classes ajoutées au schéma sont utilisées pour créer des objets Exchange spécifiques, tels que des agents et des connecteurs. Les attributs ajoutés au schéma sont utilisés pour configurer les objets spécifiques à Exchange et les utilisateurs et groupes à extension messagerie. Ces attributs incluent des propriétés telles que des paramètres Microsoft Office Outlook Web Access et des paramètres de messagerie unifiée Microsoft Exchange. Chaque contrôleur de domaine et serveur de catalogue global dans la forêt contient un réplica complet de la partition de schéma.

Pour plus d’informations sur les modifications de schéma dans Exchange 2010, consultez la rubrique Modifications du schéma Active Directory Exchange 2010.

Partition de configuration

La partition de configuration stocke des informations sur la configuration de la forêt entière. Ces informations de configuration incluent la configuration de sites Active Directory, des paramètres globaux d’Exchange, des paramètres de transport, des stratégies de boîte aux lettres et des plans de numérotation de messagerie unifiée Chaque type d’informations de configuration est stocké dans un conteneur dans la partition de configuration. Les informations de configuration d’Exchange sont stockées dans un sous-dossier du conteneur Services de la partition de configuration. Les informations stockées dans ce conteneur sont les suivantes :

Listes d’adresses
Adresse et modèles d’affichage
Groupes d’administration
Paramètres d’accès au client
Connexions
Stratégies de gestion d’enregistrements de messagerie, de périphériques mobiles et de boîte aux lettres de messagerie unifiée
Paramètres globaux
Stratégies d’adresse de messagerie
Stratégies système
Paramètres de transport

Chaque contrôleur de domaine et serveur de catalogue global dans la forêt contient un réplica de la partition de configuration.

Partition de domaine

La partition de domaine stocke les informations dans les conteneurs par défaut et dans les unités d’organisation créées par l’administrateur Active Directory. Ces conteneurs détiennent des objets spécifiques au domaine. Ces données incluent des objets Exchange du système et des informations sur les ordinateurs, les utilisateurs et les groupes dans ce domaine. Quand Exchange 2010 est installé, Exchange met à jour les objets dans cette partition pour prendre en charge la fonctionnalité Exchange. Cette fonctionnalité affecte la manière dont les informations de destinataire sont stockées et accédées.

Chaque contrôleur de domaine contient une réplication complète de la partition de domaine pour le domaine pour lequel elle fait autorité. Chaque serveur de catalogue global dans la forêt contient un sous-ensemble d’informations dans chaque partition de domaine dans la forêt.

Comment Exchange 2010 accède aux informations dans Active Directory

Exchange 2010 utilise une API Active Directory pour accéder aux informations stockées dans Active Directory. Le service de topologie Active Directory s’exécute sur tous les rôles serveur Exchange 2010. Ce service lit les informations à partir de toutes les partitions Active Directory. Les données extraites sont mises en cache et utilisées par les serveurs Exchange 2010 pour découvrir l’emplacement du site Active Directory pour tous les services Exchange de l’organisation. Pour plus d’informations sur la topologie et la découverte de service, consultez la rubrique Planification de l'utilisation de sites Active Directory pour le routage de messages.

Exchange 2010 est une application sensible au site Active Directory qui préfère communiquer avec les serveurs d’annuaire localisés dans le même site que le serveur Exchange pour optimiser le trafic réseau. Chaque rôle serveur organisationnel Exchange 2010 doit communiquer avec Active Directory pour récupérer les informations sur les destinataires et les informations sur les autres rôles serveur Exchange 2010. Les données que chaque rôle de serveur obtient sont décrites dans les sections suivantes.

Par défaut, lorsqu’un serveur Exchange 2010 démarre, il est lié à un contrôleur de domaine et un serveur de catalogue global sélectionnés de manière aléatoire dans son propre site. Vous pouvez consulter les serveurs d’annuaire sélectionnés dans les propriétés du serveur Exchange 2010 de la console de gestion Exchange ou à l’aide de la cmdlet Get-ExchangeServer de l’environnement de ligne de commande Exchange Management Shell. Vous pouvez également utiliser la cmdlet Set-ExchangeServer pour configurer une liste statique de contrôleurs de domaine auxquels un serveur Exchange 2010 doit être lié ou une liste de contrôleurs de domaine à exclure.

Important :
Il est possible de configurer un contrôleur de domaine Windows Server 2008 en tant que serveur d’annuaire en lecture seule. Cette configuration est utile pour le déploiement d’un contrôleur de domaine ou d’un serveur de catalogue global dans un site distant à des fins d’authentification et d’autorisation, sans que les administrateurs de ce site ne soient autorisés à apporter des modifications à Active Directory. Toutefois, vous ne pouvez pas déployer un serveur Exchange 2010 dans un site ne contenant que des serveurs d’annuaire en lecture seule.

Il est possible de configurer un contrôleur de domaine Windows Server 2008 en tant que serveur d’annuaire en lecture seule. Cette configuration est utile pour le déploiement d’un contrôleur de domaine ou d’un serveur de catalogue global dans un site distant à des fins d’authentification et d’autorisation, sans que les administrateurs de ce site ne soient autorisés à apporter des modifications à Active Directory. Toutefois, vous ne pouvez pas déployer un serveur Exchange 2010 dans un site ne contenant que des serveurs d’annuaire en lecture seule.

Rôle de serveur de transport Hub

Le rôle de serveur de transport Hub contacte Active Directory lorsqu’il exécute la catégorisation du message. Le catégoriseur doit faire la requête Active Directory pour exécuter la recherche du destinataire et la résolution du routage. Les informations que le catégoriseur récupère pendant la recherche du destinataire comprennent la localisation de la boîte aux lettres du destinataire et toute restriction et autorisation qui peut s’appliquer au destinataire. Le catégoriseur doit aussi faire la requête Active Directory pour développer l’adhésion de listes de distribution et exécuter le traitement de la requête de Lightweight Directory Access Protocol (LDAP) qui est requis quand le courrier est envoyé à une liste de distribution dynamique.

Pendant la résolution de routage, le catégoriseur utilise les informations topologiques mises en mémoire cache par le service de topologie Active Directory pour découvrir le chemin de routage pour un message. Le serveur de transport Hub utilise les informations de configuration de site Active Directory pour déterminer la localisation d’autres serveurs et connecteurs dans la topologie.

Quand le serveur de transport Hub a résolu la localisation de la boîte aux lettres du destinataire, il utilise les informations du site Active Directory pour localiser la banque de boîtes aux lettres. Si la banque de boîtes aux lettres se trouve dans le même site Active Directory que le serveur de transport Hub, le serveur transport Hub délivre le message directement à la boîte aux lettres de l’utilisateur. Si la banque de boîtes aux lettres est dans un site Active Directory différent de celui du serveur transport Hub, le transport Hub délivre le message à un transport Hub dans un site Active Directory distant.

Le serveur de transport Hub stocke toutes les informations de configuration dans Active Directory et accède à Active Directory pour repérer ces informations. Les informations de configuration comprennent les détails de toutes les règles de transport, règles de journal, et de connecteurs.

Rôle de serveur d’accès au client

Le rôle serveur d’accès au client reçoit des connexions d’Internet pour les utilisateurs qui accèdent à leur boîte aux lettres à l’aide d’Outlook Web App (POP3, IMAP4 ou Microsoft Exchange ActiveSync). Quand une connexion d’utilisateur est reçue, le serveur d’accès au client contacte Active Directory pour authentifier l’utilisateur et déterminer la localisation du serveur de la boîte aux lettres de l’utilisateur. Si la boîte aux lettres de l’utilisateur est dans le même site Active Directory que le serveur d’accès au client, l’utilisateur est connecté directement à leur boîte aux lettres. Si la boîte aux lettres de l’utilisateur est dans un site Active Directory différent que le serveur de d’accès au client qui a reçu la connexion initiale, la connexion est redirigée vers un serveur d’accès au client dans un site Active Directory distant.

Rôle de serveur de messagerie unifiée

Le rôle du serveur de messagerie unifiée accède à Active Directory pour récupérer les informations de configuration globales, comme les plans de numérotation, les passerelles d’IP, et les nouveaux groupes. Quand un message est reçu par le serveur de messagerie unifiée, il cherche les destinataires Active Directory pour faire correspondre le numéro de téléphone avec l’adresse du destinataire. Quand il a trouvé ces informations, le serveur de messagerie unifiée peut déterminer la localisation de la banque de boîtes aux lettres du destinataire et soumettre ensuite le message à un serveur de transport Hub pour le routage à la boîte aux lettres.

Rôle de serveur de boîtes aux lettres

Le rôle du serveur de la boîte aux lettres stocke les informations de configuration sur les utilisateurs de la boîte aux lettres et les stocke dans Active Directory. En outre, la configuration pour les agents, pour les listes d’adresses et pour les stratégies, est stockée dans Active Directory. Le serveur de boîtes aux lettres récupère ces informations pour mettre en application les stratégies de boîte aux lettres et les paramètres globaux.

Rôle de serveur de transport Edge

Le rôle de serveur de transport Edge est déployé dans le réseau de périmètre et n’est pas membre du domaine. Le serveur de transport Edge n’a pas accès à Active Directory et utilise AD LDS (Active Directory Lightweight Directory Services), anciennement appelé ADAM (Active Directory Application Mode), pour stocker des informations de configuration et de schéma. Vous pouvez créer un abonnement Edge pour abonner le serveur de transport Edge à un site Active Directory. Les serveurs de transport Hub du site Active Directory utilisent le service Microsoft Exchange EdgeSync pour synchroniser les données Active Directory avec AD LDS.

Il est recommandé de créer un fichier d’abonnement Edge pour chaque serveur de transport Edge. Ce processus approvisionne automatiquement les connecteurs d’Envoi requis pour le flux de messages de bout en bout. Vous devez créer un abonnement Edge si vous projetez d’utiliser les fonctionnalités de recherche des destinataires ou d’agrégation de listes fiables.

Récupération d’objets Exchange supprimés

La Corbeille Active Directory permet de réduire le temps d’arrêt du service d’annuaire en facilitant la conservation et la récupération des objets Active Directory accidentellement supprimés sans restaurer les données Active Directory à partir de sauvegardes, redémarrer AD DS (Active Directory Domain Services) ou redémarrer les contrôleurs de domaine.

Ce qu’il est important de comprendre à propos de la récupération des objets Active Directory liés à Exchange, c’est que les objets Exchange ne sont pas isolés. Par exemple, lorsque vous activez la messagerie d’un utilisateur, plusieurs stratégies et liens sont calculés pour cet utilisateur en fonction de votre configuration Exchange actuelle. Les deux problèmes suivants sont susceptibles de survenir lorsque vous restaurez un objet configuration ou destinataire Exchange supprimé :

Conflits Certains attributs Exchange doivent être uniques dans une forêt. Par exemple, les adresses (de messagerie) proxy de deux utilisateurs différents ne doivent pas être identiques. Active Directory n’applique pas de caractère unique aux adresses proxy alors que les outils d’administration d’Exchange vérifient le caractère unique. Les stratégies d’adresse de messagerie Exchange résolvent automatiquement les éventuels conflits d’attribution d’adresses proxy en fonction de règles déterministes. Ainsi, il est possible de restaurer un objet utilisateur Exchange et, par conséquent, de créer un conflit entre les adresses proxy ou autres attributs qui doivent être uniques.
Configurations incorrectes Exchange comporte des règles automatiques qui attribuent plusieurs stratégies ou paramètres. Si vous supprimez un destinataire et que vous modifiez ensuite les règles ou stratégies, la restauration d’un objet utilisateur Exchange risque d’entraîner l’affectation de l’utilisateur à une stratégie non appropriée (ou même à une stratégie qui n’existe plus).

Les instructions suivantes vous permettent de minimiser les problèmes lorsque vous récupérez les objets liés à Exchange supprimés :

Si vous avez supprimé un objet de configuration Exchange à l’aide des outils de gestion Exchange, ne restaurez pas l’objet. Recréez plutôt l’objet à l’aide des outils de gestion Exchange (console de gestion Exchange ou environnement de ligne de commande Exchange Management Shell).
Si vous avez supprimé un objet de configuration Exchange sans utiliser les outils de gestion Exchange, récupérez-les le plus rapidement possible. Plus il y aura de changements administratifs et de configuration dans le système suite à la suppression, plus la restauration des objets entraînera des problèmes de configuration.
Si vous récupérez des destinataires Exchange supprimés (contacts, utilisateurs ou groupes de distribution), contrôlez attentivement les conflits et erreurs relatifs aux objets récupérés. Si les stratégies ou autre configuration Exchange relatives aux destinataires ont été modifiées depuis la suppression, appliquez de nouveau les stratégies actuelles aux destinataires récupérés pour vous assurer qu’ils sont configurés correctement.

Pour plus d’informations sur l’utilisation de la Corbeille Active Directory, consultez la page Guide pas à pas de la Corbeille Active Directory.