Configurer le flux de messagerie Internet via un serveur de transport Edge sans utiliser EdgeSync

  • Article

S’applique à : Exchange Server 2013

Nous vous recommandons d’utiliser le processus d’abonnement Edge pour établir un flux de messagerie entre votre organisation Exchange et un serveur de transport Edge. Toutefois, certaines situations peuvent vous empêcher d’abonner le serveur de transport Edge à votre organisation Exchange à l’aide du processus d’abonnement Edge. Pour établir manuellement le flux de courrier entre votre organisation Exchange et un serveur de transport Edge, vous devez créer et configurer les connecteurs d’envoi et de réception sur le serveur de transport Edge et sur les serveurs de boîtes aux lettres de votre organisation Exchange.

Avant de commencer

  • Durée d'exécution estimée de cette tâche : 30 minutes.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Envoyer les connecteurs », l’entrée « Envoyer les connecteurs - Transport Edge » et l’entrée « Connecteurs de réception - Transport Edge » dans la rubrique Autorisations de flux de courrier .

  • Cette procédure utilise l’authentification de base sur TLS (Transport Layer Security) pour fournir le chiffrement et l’authentification. Lorsque vous utilisez l’authentification de base sur TLS, un certificat de serveur SSL (Secure Sockets Layer) X.509 doit être installé sur le serveur de réception. La valeur de nom de domaine complet (FQDN) configurée sur le connecteur de réception doit correspondre au nom de domaine complet dans le certificat de serveur SSL. Par défaut, la valeur du nom de domaine complet sur le connecteur de réception est le nom de domaine complet du serveur qui contient le connecteur de réception.

  • Vous pouvez également utiliser la méthode d’authentification sécurisée en externe. Toutefois, si vous le faites, la communication entre le serveur de transport Edge et le serveur de boîtes aux lettres n’est pas authentifiée ou chiffrée par Exchange. Nous vous recommandons d’utiliser la méthode d’authentification externally Secured uniquement lorsqu’une méthode de chiffrement supplémentaire est également utilisée. La méthode de chiffrement peut être une association IPsec (Internet Protocol Security) ou un réseau privé virtuel (VPN).

  • Un serveur de transport Edge est généralement multirésenteur. Cela signifie que le serveur de transport Edge dispose de cartes réseau connectées à plusieurs segments réseau. Chacune de ces cartes réseau a une configuration IP unique. La carte réseau connectée au segment réseau externe ou public doit être configurée pour utiliser un serveur DNS (Domain Name System) public pour la résolution de noms. Cela permet au serveur de résoudre les noms de domaine SMTP sur des enregistrements de ressources MX et de router les messages vers Internet. La carte réseau connectée au segment réseau interne ou privé doit être configurée pour utiliser un serveur DNS dans le réseau de périmètre ou disposer d’un fichier Hosts.

  • Vous devez créer un compte d’utilisateur dans Active Directory et ajouter le compte au groupe de sécurité universel sur l’ordinateur Exchange Server. Ce compte est utilisé par le connecteur d’envoi sur le serveur de transport Edge pour s’authentifier auprès du serveur de boîtes aux lettres de destination dans l’organisation Exchange.

    Importante

    Ce compte dispose des autorisations associées aux ordinateurs exécutant Exchange Server. Veillez à protéger les informations d'identification du compte afin d'éviter toute utilisation abusive de ce dernier. Vous pouvez configurer le compte pour ne permettre une ouverture de session que sur des ordinateurs spécifiques.

Procédures relatives au serveur de transport Edge

Les connecteurs suivants sont requis sur le serveur de transport Edge :

  • Un connecteur d’envoi configuré pour envoyer des messages à Internet

  • Un connecteur d’envoi configuré pour envoyer des messages aux serveurs de boîtes aux lettres dans l’organisation Exchange

  • Un connecteur de réception configuré pour recevoir des messages uniquement à partir de serveurs de boîtes aux lettres dans l’organisation Exchange

  • Un connecteur de réception configuré pour accepter des messages provenant uniquement d’Internet

Par défaut, un connecteur de réception unique est créé lors de l’installation du rôle serveur de transport Edge. Ce connecteur peut être utilisé pour les messages Internet entrants et les messages entrants provenant des serveurs de boîtes aux lettres. En règle générale, le processus d’abonnement Edge configure automatiquement les autorisations et l’authentification appropriées sur le connecteur de réception par défaut. Lorsque vous n’utilisez pas le processus d’abonnement Edge, nous vous recommandons de modifier le connecteur de réception par défaut sur le serveur de transport Edge pour accepter uniquement les messages provenant d’Internet. Vous devez ensuite créer un connecteur de réception sur le serveur de transport Edge configuré pour accepter uniquement les messages provenant de serveurs de boîtes aux lettres internes.

Les sections suivantes vous guident au cours du processus de configuration requis pour préparer votre serveur de transport Edge à communiquer avec votre organisation Exchange.

Remarque

Vous pouvez uniquement utiliser l’interpréteur de commandes pour effectuer ces procédures sur les serveurs de transport Edge.

Étape 1 : Créer un connecteur d’envoi configuré pour envoyer des messages à Internet

Ce connecteur d'envoi requiert la configuration suivante :

  • Nom : Vers Internet (ou n’importe quel nom descriptif)

  • Type d’utilisation : Internet

  • Espaces d’adressage : « * » (tous les domaines)

  • Paramètres réseau : utilisez des enregistrements DNS MX pour acheminer automatiquement le courrier. En fonction de la configuration de votre réseau, vous pouvez également router les messages via un hôte actif. L'hôte actif route alors les messages vers Internet.

Pour créer un connecteur d’envoi configuré pour envoyer des messages à Internet, exécutez la commande suivante.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-SendConnector.

Étape 2 : Créer un connecteur d’envoi configuré pour envoyer des messages à l’organisation Exchange

Utilisez l’applet de commande New-SendConnector pour créer un connecteur d’envoi.

Remarque

Avant de créer le connecteur d’envoi, vous devez d’abord exécuter la commande Get-Credential pour enregistrer le nom d’utilisateur et le mot de passe que vous utiliserez dans une variable temporaire. Vous devez le faire, car l’applet de commande New-SendConnector n’accepte pas les informations d’identification de l’utilisateur en texte brut.

Ce connecteur d'envoi requiert la configuration suivante :

  • Nom : Vers l’organisation interne (ou tout nom descriptif)

  • Type d’utilisation : Interne

  • Espaces d’adressage : tous les domaines acceptés pour l’organisation Exchange. Par exemple, *.contoso.com.

  • Routage DNS désactivé (routage d'hôte actif activé)

  • Hôtes intelligents : nom de domaine complet d’un ou plusieurs serveurs de boîtes aux lettres en tant qu’hôtes intelligents. Par exemple, mbxserver01.contoso.com et mbxserver02.contoso.com.

  • Méthodes d’authentification de l’hôte intelligent : Authentification de base sur TLS

  • Informations d’identification d’authentification de l’hôte intelligent : informations d’identification du compte d’utilisateur dans le domaine interne. Vous devez d’abord enregistrer le nom d’utilisateur et le mot de passe dans une variable temporaire, car l’applet de commande New-SendConnector n’accepte pas les informations d’identification de l’utilisateur en texte brut.

Pour créer un connecteur d’envoi configuré pour envoyer des messages à l’organisation Exchange, exécutez les commandes suivantes.

$MailboxCredentials = Get-Credential
New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces *.contoso.com -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $MailboxCredentials

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-SendConnector.

Étape 3 : Modifier le connecteur de réception par défaut pour accepter les messages provenant d’Internet uniquement

Vous devez apporter les modifications de configuration suivantes pour le connecteur de réception par défaut :

  • Modifiez le nom pour indiquer que le connecteur sera utilisé uniquement pour recevoir des e-mails à partir d’Internet. Le nom du connecteur de réception par défaut est « Nom du serveur> de transport Edge du connecteur <de réception interne par défaut ».

  • Modifiez les liaisons réseau pour accepter les messages uniquement à partir de la carte réseau accessible à partir d’Internet. Par exemple, 10.1.1.1 et la valeur de port TCP SMTP standard de 25.

Pour modifier le connecteur de réception par défaut afin d’accepter uniquement les messages provenant d’Internet, exécutez la commande suivante.

Set-ReceiveConnector "Default internal Receive connector Edge01" -Name "From Internet" -Bindings 10.1.1.1:25

Pour plus d'informations sur la syntaxe et les paramètres, consultez la rubrique Set-ReceiveConnector.

Étape 4 : Créer un connecteur de réception configuré pour accepter uniquement les messages provenant de l'organisation Exchange

Ce connecteur de réception requiert la configuration suivante :

  • Nom : à partir de l’organisation interne (ou n’importe quel nom descriptif)

  • Type d’utilisation : Interne

  • Liaisons de réseau local : carte réseau interne côté réseau. Par exemple, 10.1.1.2 et la valeur de port TCP SMTP standard de 25.

  • Paramètres réseau distants : adresse IP d’un ou plusieurs serveurs de boîtes aux lettres dans l’organisation Exchange. Par exemple, 192.168.5.10 et 192.168.5.20.

  • Méthodes d’authentification : TLS, Authentification de base, Authentification de base sur TLS et authentification Exchange Server.

Pour créer un connecteur de réception configuré pour accepter uniquement les messages de l’organisation Exchange, exécutez la commande suivante.

New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ReceiveConnector.

Comment savez-vous que ces étapes ont fonctionné ?

Pour vérifier que vous avez correctement configuré les connecteurs d’envoi et de réception requis, exécutez les commandes suivantes sur le serveur de transport Edge et vérifiez que les valeurs affichées sont celles que vous avez configurées.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism
Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges

Procédures de serveur de boîtes aux lettres

Les serveurs de boîtes aux lettres de votre organisation nécessitent un connecteur d’envoi configuré pour envoyer des messages au serveur de transport Edge à des fins de relais vers Internet.

Par défaut, deux connecteurs de réception sont créés lors de l’installation du rôle serveur de boîtes aux lettres. Le connecteur nommé Client ServerName est configuré pour accepter les messages de tous les clients de messagerie POP3 et IMAP. Le connecteur nommé Default ServerName est configuré pour accepter les messages d’un serveur de transport Edge. Aucune modification de ces connecteurs n’est requise.

Étape 5 : Créer un connecteur d’envoi configuré pour envoyer des messages sortants au serveur de transport Edge

Ce connecteur d'envoi requiert la configuration suivante :

  • Nom : Vers Edge (ou n’importe quel nom descriptif)

  • Type d’utilisation : Interne

  • Espaces d’adressage : « * » (tous les domaines)

  • Routage DNS désactivé (routage d'hôte actif activé)

  • Hôtes intelligents : adresse IP ou nom de domaine complet du serveur de transport Edge. Par exemple, edge01.contoso.net

  • Serveurs de boîtes aux lettres sources : nom de domaine complet d’un ou plusieurs serveurs de boîtes aux lettres. Par exemple, mbxserver01.contoso.com et mbxserver02.contoso.com.

  • Méthode d’authentification de l’hôte intelligent : Authentification de base sur TLS.

  • Informations d’identification d’authentification de l’hôte intelligent : informations d’identification du compte d’utilisateur sur le serveur de transport Edge. Vous devez d’abord enregistrer le nom d’utilisateur et le mot de passe dans une variable temporaire, car l’applet de commande New-SendConnector n’accepte pas les informations d’identification de l’utilisateur en texte brut.

Pour créer un connecteur d’envoi configuré pour envoyer des messages sortants au serveur de transport Edge, exécutez les commandes suivantes.

$EdgeCredentials = Get-Credential
New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $EdgeCredentials

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-SendConnector.

Comment savoir si cette étape a fonctionné ?

Pour vérifier que vous avez correctement créé un connecteur d’envoi configuré pour envoyer des messages sortants au serveur de transport Edge, exécutez la commande suivante sur un serveur de boîtes aux lettres et vérifiez que les valeurs affichées sont celles que vous avez configurées.

Get-SendConnector | Format-List Name,Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism