Procédure de configuration du service de disponibilité pour des topologies inter-forêts

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2012-09-24

Cette rubrique décrit l'utilisation de l'environnement de ligne de commande Exchange Management Shell pour configurer le service de disponibilité pour des topologies inter-forêts. Le service de disponibilité optimise les données de disponibilité des professionnels de l'information en fournissant des informations de disponibilité sécurisées, cohérentes et à jour aux ordinateurs exécutant Microsoft Office Outlook 2007. Par défaut, ce service est installé avec Microsoft Exchange Server 2007. Dans les topologies inter-forêts où tous les ordinateurs clients connectés exécutent Outlook 2007, le service de disponibilité est la seule méthode d’extraction de données de disponibilité.

Vous pouvez utiliser le service de disponibilité dans les topologies inter-forêts sur des forêts approuvées ou non. Le type des informations de disponibilité est déterminé par le fait que les données de disponibilité inter-forêts sont configurées comme un service par utilisateur ou à l'échelle de l'organisation. Les informations de disponibilité par utilisateur sont possibles uniquement dans une topologie inter-forêts approuvée. Elles permettent au service de disponibilité d’émettre des demandes inter-forêts pour le compte d’un utilisateur particulier. L’utilisateur d'une forêt distante peut ainsi accorder des informations de disponibilité détaillées à un utilisateur inter-forêts.

En revanche, les informations de disponibilité à l’échelle de l’organisation permettent au service de disponibilité d’effectuer des demandes inter-forêts pour le compte d’une organisation donnée. Dans ce cas, les informations de disponibilité par défaut d'un utilisateur sont retournées et il est impossible de contrôler le niveau des informations de disponibilité retournées aux utilisateurs de l’autre forêt.

Remarque :
Les termes Forêt source et Forêt cible sont utilisés dans cette rubrique pour identifier chaque forêt. Ces termes sont définis comme suit : La Forêt source est la forêt Exchange depuis laquelle le service de disponibilité rend la demande libre ou occupée. La Forêt cible est la forêt Exchange depuis laquelle les informations de disponibilité sont en cours de récupération.

Configuration de Windows pour des topologies inter-forêts

Selon le scénario, vous devez également prendre en compte les exigences suivantes :

• Vous devez synchroniser la liste d'adresses globale entre les forêts.

• Le service de découverte automatique doit fonctionner entre les forêts.

• Tous les serveurs d’accès au client Exchange 2007 doivent valider le certificat dans la forêt cible.

Remarque :

Microsoft Le correctif cumulatif 6 d'Exchange Server 2007 Service Pack 3 (SP3) utilise l’URL externe des services Web Exchange pour la connexion à la forêt cible. Le service de découverte automatique ne peut pas retourner l’URL externe des services Web Exchange si Outlook Anywhere n’est pas activé dans la forêt cible. Dans ce cas, la recherche inter-forêts échoue. Pour contourner ce problème, activez Anywhere dans la forêt cible, puis vérifiez que l’URL externe des services Web Exchange est correctement configurée. Activez Outlook Anywhere dans la forêt cible. Pour plus d’informations sur la façon d’activer Outlook Anywhere, visitez le site Web TechNet suivant : Assistant Activer Outlook Anywhere > page Activer Outlook Anywhere Configurez l’URL externe des services Web Exchange pour la forêt cible. Exécutez la commande suivante dans Windows PowerShell pour Exchange : Set-WebServicesVirtualDirectory -identity “server_name\EWS (Default Web Site)” -ExternalURL https://mail.contoso.com/ews/Exchange.asmx Notes Dans cette commande, contoso est un espace réservé pour le nom de domaine réel. Activez Outlook Anywhere pour les boîtes aux lettres de l’organisation qui effectueront les demandes de disponibilité distantes en réception. Notes Si un administrateur désactive Outlook Anywhere sur une boîte aux lettres individuelle, les informations cette boîte ne seront pas récupérables par une forêt distante car le service de découverte automatique ne retournera pas une valeur ExternalURL des services Web Exchange pour cette boîte aux lettres.

Pour configurer Microsoft Windows pour une topologie inter-forêts, vous devez installer et configurer la synchronisation des listes d'adresses globales (GALSync). Pour des d'informations complètes sur les procédures d'installation et de configuration de la fonctionnalité GALSync dans Microsoft MIIS 2003, consultez les ressources suivantes :

• Scénarios de Microsoft Identity Integration Server 2003

• Microsoft Identity Integration Server 2003

Cette fonctionnalité crée des contacts dotés d'une boîte aux lettres qui représentent les destinataires d'autres forêts. Elle permet aux utilisateurs d'afficher les contacts dans la liste d’adresses globale et de les ajouter comme participants aux réunions.

Dans le scénario inter-forêts Exchange 2007, la seule méthode de partage des informations de disponibilité entre les forêts est le service de disponibilité. Comme les clients ou utilisateurs Outlook hérités dotés de boîtes aux lettres hébergées dans des versions précédentes d’Exchange ne peuvent pas utiliser le service de disponibilité, ils ne peuvent pas récupérer les informations de disponibilité des utilisateurs en dehors de leur forêt, sauf si les informations enregistrées dans les dossiers publics sont répliquées entre les forêts.

Par conséquent, si vous exécutez Office Outlook 2003 ou une version antérieure, vous devez utiliser l’outil de réplication inter-organisationnelle de Microsoft Exchange pour synchroniser les données de disponibilité entre plusieurs forêts. Pour plus d'informations sur l'outil de réplication inter-organisationnelle de Microsoft Exchange, consultez la page réplication inter-organisationnelle de Microsoft Exchange Server (en anglais).

Vous devez également exécuter la cmdlet suivante dans l'environnement de ligne de commande Exchange Management Shell pour définir la disponibilité des dossiers publics :

Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder

Autorisations nécessaires pour exécuter les cmdlets

• Pour exécuter la cmdlet Get-ClientAccessServer, vous devez utiliser un compte auquel a été délégué :

  le rôle Administrateur Affichage seul d'Exchange

• Pour exécuter la cmdlet Add-ADPermission, vous devez utiliser un compte auquel a été délégué :

  le rôle Administrateur d'organisation Exchange

• Pour exécuter la cmdlet Add-AvailabilityAddressSpace, vous devez utiliser un compte auquel a été délégué :

  le rôle Administrateur d'organisation Exchange

• Pour exécuter la cmdlet Set-AvailabilityConfig, vous devez utiliser un compte auquel a été délégué :

  le rôle Administrateur d'organisation Exchange

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange Server 2007, consultez la rubrique Considérations relatives aux autorisations.

Disponibilité inter-forêts et service de découverte automatique

Le service de découverte automatique fournit des informations au service de disponibilité en localisant et en révélant les adresses URL externes et internes du client Outlook 2007 et du serveur d'accès au client Exchange 2007 pour la disponibilité inter-forêts. Les serveurs d'accès au client doivent pouvoir se connecter au service de découverte automatique dans la forêt cible pour renvoyer l'URL du service de disponibilité.

Dans un scénario de disponibilité inter-forêts, deux options permettent de configurer le service de découverte automatique.

• Exporter le point de connexion de service de la forêt cible vers la forêt source s'il existe une relation d'approbation entre les forêts.

• Utiliser le DNS pour résoudre l'adresse du site Web autodiscover.targetforest.com.

Le service de disponibilité inter-forêts est soumis à une limite de temps lorsqu'il effectue une demande de service de découverte automatique pour des utilisateurs inter-forêts dans le service d'annuaire Active Directory. Par défaut, ce délai est de 10 secondes. Si la demande de découverte automatique n'aboutit pas dans les 10 secondes, la demande de service de disponibilité pour l'utilisateur inter-forêts peut expirer. Pour plus d’informations, consultez les rubriques suivantes :

• Résolution des problèmes relatifs à des informations de disponibilité pour Outlook 2007

• Que fait le service de disponibilité d'Exchange 2007 ?

Disponibilité inter-forêts et certificats

Lorsque vous installez Exchange 2007 avec le rôle serveur d'accès au client, un certificat auto-signé est créé. Le certificat auto-signé contient deux entrées « Autre nom de l'objet » : l’une pour le nom NetBIOS du serveur d’accès au client, et l’’autre pour le nom de domaine complet (FQDN) du serveur d’accès au client. Si vous avez donc l’intention d’utiliser le certificat auto-signé par défaut installé sur le serveur d’accès au client, une seule option permet de faire fonctionner le service de découverte automatique entre les deux forêts : Vous devez exporter le point de connexion de service de la forêt cible vers la forêt source. Dans ce scénario, une relation d'approbation doit exister entre les deux forêts. Pour plus d’informations, consultez les rubriques suivantes :

• Livre blanc sur le service de découverte automatique d’Exchange 2007

• Conseils de configuration et étapes de dépannage courantes pour le déploiement du service de découverte automatique entre plusieurs forêts

S'il n'existe pas de relation d’approbation entre les forêts et si vous voulez toujours utiliser un certificat auto-signé, vous devez émettre un nouveau certificat auto-signé et inclure l’attribut « Autre nom de l'objet » pour le site Web autodiscover.targetforest.com. La cmdlet New-ExchangeCertificate permet d'émettre un nouveau certificat auto-signé. Pour plus d’informations, consultez la rubrique New-ExchangeCertificate (RTM).

Bien que le certificat auto-signé puisse être utilisé pour chiffrer les communications entre un serveur d'accès au client et les autres rôles serveur Exchange 2007, il est déconseillé de l'utiliser pour les applications et périphériques clients. En raison des restrictions liées à un certificat auto-signé, il est recommandé de remplacer le certificat auto-signé par un certificat tiers approuvé ou un certificat signé par une PKI (infrastructure à clé publique) Windows. Pour plus d'informations, consultez les rubriques suivantes de l'Aide d'Exchange :

• Description du certificat auto-signé dans Exchange 2007

• Utilisation de certificats dans un serveur Exchange 2007

Procédure

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour configurer le service de disponibilité pour des topologies inter-forêts

1. Dans un scénario de relation d’approbation Windows, exécutez les cmdlets suivantes dans les forêts source et cible :

   Forêt source :

   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true
   

   Forêt cible :

   Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User  "Sourceforest\Exchange Servers" 
   

2. S'il n'existe pas de relation d'approbation, vous devez exécuter les cmdlets suivantes dans les forêts source et cible. Dans ce scénario, un compte de service avec des autorisations réduites est requis dans le domaine cible. Par exemple, utilisez un compte normal sans autorisation d'administration.

   Forêt source :

   $a = Get-Credential (Type the credential  "TargetForest\User"  for organization-wide user)
   Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a
   

   Forêt cible :

   Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"
   

3. Dans un scénario de relation d'approbation, deux méthodes permettent de configurer le service de découverte automatique. exporter le point de connexion de service de la forêt cible ou utiliser le DNS pour interroger l’enregistrement d’hôte « autodiscover.targetforest.com ».

   • Dans un scénario de relation d'approbation, exportez le point de connexion de service de la forêt cible vers la forêt source à l'aide de la cmdlet suivante :

     $a = Get-Credential (Type "SourceForest\Administrator")
     Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true
     

     Remarque :

     Une fois le point de connexion de service importé d'un domaine distant, il se peut que le service de découverte automatique ne fonctionne pas correctement et que les clients Outlook 2007 ne puissent pas interroger les informations de disponibilité. Pour plus d’informations sur la résolution de ce problème, consultez 973404, Description du correctif logiciel Outlook 2007 (Outlook-x-none.msp) : datée du 25 août 2009

   • Dans un scénario de relation d’approbation et sans approbation, le serveur d’accès au client Exchange 2007 est configuré pour interroger le DNS et résoudre l’adresse du site Web « autodiscover.targetforest.com ». Dans ce cas, créez un enregistrement d’hôte pour « autodiscover.targetforest.com ».

     Remarque :
     La découverte automatique renvoie le paramètre InternalURL du service de disponibilité au serveur d'accès au client Exchange 2007.

4. Que votre forêt soit approuvée ou non, le serveur d'accès au client Exchange 2007 dans la forêt source doit valider le certificat installé sur chaque serveur d'accès au client Exchange 2007 dans la forêt cible. Pour vérifier que vous utilisez un certificat valide, procédez comme suit :

   1. Si un certificat auto-signé est installé sur le serveur d'accès au client Exchange 2007 dans la forêt cible, vous devez l'exporter. Le même concept s’applique dans le cas d’une autorité de certification racine interne et si un certificat privé est installé. Exchange 2007 est installé avec un certificat SSL auto-signé par défaut. Vous pouvez utiliser ce certificat lors de l'activation de SSL pour Exchange ActiveSync, Office Outlook Web Access et le service de disponibilité. Les utilisateurs recevront toutefois une invite car le certificat est considéré comme non valide par la plupart des applications clientes. Exchange ActiveSync et Office Outlook Web Access prennent en charge la transmission par proxy d'un serveur d'accès au client à un autre. Pour que la transmission par proxy fonctionne correctement lors de l'utilisation d'un certificat auto-signé, vous devez configurer les clés de Registre suivantes :

      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 
      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1
      

   2. Une fois le certificat auto-signé ou le certificat racine exporté, importez-le dans le magasin du compte d'ordinateur sur chaque serveur d'accès au client Exchange 2007.

5. Pour tester le service de découverte automatique et le service de disponibilité, utilisez l'une des méthodes suivantes :

   • Exportation du point de connexion de service : depuis le serveur d'accès au client Exchange 2007, dans la forêt source, accédez au site Web de découverte automatique, puis exécutez la cmdlet suivante dans la forêt cible :

     Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri
     Get-WebServiceVirtualDirectory | fl name, InternalUrl
     

     Répétez cette procédure sur le site Web du service de disponibilité pour la forêt cible.

   • DNS : depuis le serveur d'accès au client Exchange 2007, dans la forêt source, accédez au site Web de découverte automatique, puis exécutez la cmdlet suivante dans la forêt cible :

     Get-WebServicesVirtualDirectory | fl name, ExternalUrl
     

     Répétez cette procédure sur le site Web du service de disponibilité pour la forêt cible.

Pour plus d’informations

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez les rubriques relatives aux cmdlets suivantes :

• Get-ClientAccessServer

• Add-ADPermission

• Add-AvailabilityAddressSpace

• Set-AvailabilityConfig