Configurer le flux de messagerie Internet via des serveurs de transport Edge sans utiliser EdgeSync
Nous vous recommandons d’utiliser le processus d’abonnement Edge pour établir un flux de messagerie entre votre organisation Exchange et un serveur de transport Edge, comme décrit dans Abonnements Edge. Toutefois, certaines situations peuvent vous empêcher d'abonner le serveur de transport Edge à votre organisation Exchange. Pour établir manuellement le flux de messagerie entre votre organisation Exchange et un serveur de transport Edge non abonné, vous devez créer et/ou modifier manuellement les connecteurs d’envoi et de réception suivants :
Sur le serveur de transport Edge :
Créez un connecteur d’envoi dédié pour envoyer uniquement des messages à Internet.
Créez un connecteur d’envoi dédié pour envoyer uniquement des messages aux serveurs de boîtes aux lettres dans l’organisation Exchange. 1
Créer un connecteur de réception dédié pour recevoir uniquement les messages des serveurs de boîtes aux lettres dans l’organisationExchange 2
Modifiez le connecteur de réception par défaut pour accepter uniquement les messages provenant d’Internet.
Sur un serveur de boîtes aux lettres :
- Créer un connecteur d’envoi dédié pour relayer les messages sortants vers le serveur de transport Edge
1 Le connecteur d’envoi créé par un abonnement EdgeSync pour la remise d’e-mails dans l’organisation Exchange est configuré pour utiliser l’authentification Exchange Server (GSSAPI). L’abonnement EdgeSync identifie le serveur de transport Edge en tant que serveur Exchange dans la forêt Active Directory interne, ce qui permet également l’authentification Exchange Server. Par définition, il n’y a pas d’abonnement EdgeSync dans ce scénario. Vous devez donc improviser :
Vous pouvez configurer l’authentification de base sur TLS pour fournir l’authentification et le chiffrement du trafic de courrier électronique entre le serveur de transport Edge et l’organisation Exchange interne. Cette méthode présente les problèmes suivants :
Vous devez configurer un compte Active Directory qui appartient au groupe de sécurité universel Serveurs Exchange pour l’authentification sur le connecteur d’envoi qui transmet les messages du serveur de transport Edge à l’organisation Exchange interne. Veillez à protéger les informations d’identification du compte et vous pouvez configurer le compte pour autoriser l’ouverture de session uniquement sur des ordinateurs spécifiques. Vous avez également besoin d’un compte local sur le serveur de transport Edge pour l’authentification sur le connecteur Envoyer qui relaie les messages de l’organisation Exchange interne au serveur de transport Edge.
Les messages provenant de ces connecteurs d’envoi sont considérés comme smtp authentifiés par le serveur de boîtes aux lettres de destination. Cela signifie que le connecteur de réception par défaut nommé Client Frontend <ServerName> dans le service de transport frontal accepte les messages sur le port 587, et que les messages sont acceptés dans le service de transport principal à l’aide du connecteur de réception par défaut nommé Client Proxy <ServerName> sur le port 465.
Pour fournir le chiffrement, vous devez utiliser un certificat. Le certificat auto-signé sur le serveur de transport Edge ne sera pas reconnu par l’organisation Exchange interne (là encore, l’abonnement EdgeSync s’en charge généralement). Vous devez importer manuellement le certificat auto-signé sur chaque boîte aux lettres ou utiliser un certificat d’une autorité de certification tierce approuvée.
Si vous ne souhaitez pas que les messages provenant du serveur de transport Edge soient identifiés comme étant authentifiés SMTP et que, par conséquent, à l’aide des connecteurs de réception du client correspondants, vous pouvez utiliser externally Secured comme méthode d’authentification, ce qui signifie que le trafic de courrier électronique entre le serveur de transport Edge et l’organisation Exchange interne n’est pas authentifié ou chiffré par Exchange. Si vous utilisez cette méthode, vous devez configurer et utiliser une méthode de chiffrement externe (par exemple, IPsec ou un VPN).
2 Au lieu d’un connecteur de réception dédié, vous pouvez configurer et utiliser le connecteur de réception par défaut sur le serveur de transport Edge pour les messages Internet entrants et les messages entrants provenant de serveurs de boîtes aux lettres internes (un abonnement EdgeSync utilise ce connecteur de réception pour les deux connexions).
Pour plus d'informations sur les connecteurs d'envoi, consultez la rubrique Connecteurs d'envoi. Pour plus d'informations sur les connecteurs de réception, consultez la rubrique Connecteurs de réception.
Avant de commencer
Durée d'exécution estimée de cette tâche : 30 minutes.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez les entrées « Connecteurs d'envoi », « Connecteurs d'envoi - Transport Edge » et « Connecteurs de réception - Transport Edge » dans la rubrique Autorisations de flux de messagerie.
Sur les serveurs de transport Edge, vous pouvez uniquement utiliser Environnement de ligne de commande Exchange Management Shell pour créer des connecteurs d'envoi et des connecteurs de réception. Sur les serveurs de boîte aux lettres, vous pouvez utiliser le Centre d'administration Exchange (CAE) ou l'Environnement de ligne de commande Exchange Management Shell pour créer des connecteurs d'envoi.
Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.
Pour plus d’informations sur l’ouverture et l’utilisation du Centre d’administration Exchange, consultez Centre d’administration Exchange dans Exchange Server.
La configuration de base d’un serveur de transport Edge dans le réseau de périmètre doit permettre de résoudre les domaines publics pour la messagerie Internet et les noms d’hôte internes pour la messagerie interne. Il existe différentes façons de procéder, mais vous pouvez configurer la carte réseau connectée au segment de réseau externe (public) pour utiliser un serveur DNS public, et configurer la carte réseau connectée au segment réseau interne (privé) pour utiliser un serveur DNS dans le réseau de périmètre.
Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums sur : Exchange Server.
Procédures relatives au serveur de transport Edge
Étape 1 : Créer un connecteur d’envoi dédié pour envoyer uniquement des messages à Internet
Ce connecteur d'envoi requiert la configuration suivante :
Nom : Vers Internet (ou n’importe quel nom descriptif)
Type d’utilisation : Internet
Espaces d’adressage : « * » (tous les domaines)
Paramètres réseau : utilisez des enregistrements DNS MX pour acheminer automatiquement le courrier. En fonction de la configuration de votre réseau, vous pouvez également router les messages via un hôte actif. L’hôte intelligent achemine ensuite le courrier vers Internet.
Pour créer un connecteur d’envoi configuré pour envoyer des messages à Internet, exécutez la commande suivante :
New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-SendConnector.
Étape 2 : Créer un connecteur d’envoi dédié pour envoyer uniquement des messages à l’organisation Exchange
Ce connecteur d'envoi requiert la configuration suivante :
Nom : Vers l’organisation interne (ou tout nom descriptif)
Type d’utilisation : Interne
Espaces d’adressage :
--(indique tous les domaines acceptés pour l’organisation Exchange)Routage DNS désactivé (routage d'hôte actif activé)
Hôtes intelligents : nom de domaine complet d’un ou plusieurs serveurs de boîtes aux lettres en tant qu’hôtes intelligents. Par exemple, mbxserver01.contoso.com et mbxserver02.contoso.com.
Méthodes d’authentification de l’hôte intelligent : Authentification de base sur TLS
Informations d’identification d’authentification de l’hôte intelligent : informations d’identification du compte d’utilisateur dans le domaine interne membre du groupe de sécurité universel serveurs Exchange. Vous devez utiliser la cmdlet Get-Credential pour stocker les informations d'identification. Utilisez le format <Nom d’utilisateur du domaine>\ <ou nom d’utilisateur principal (UPN, par exemple, ) pour entrer le nom d’utilisateur>. chris@contoso.com
Pour créer un connecteur d'envoi configuré pour envoyer des messages à l'organisation Exchange, remplacez les valeurs de l'hôte actif par les serveurs de boîte aux lettres de votre organisation et exécutez cette commande :
New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-SendConnector.
Étape 3 : Modifier le connecteur de réception par défaut pour accepter uniquement les messages en provenance d’Internet
Apportez les modifications de configuration suivantes au connecteur de réception par défaut :
Modifiez le nom pour indiquer que le connecteur sera utilisé uniquement pour recevoir des e-mails à partir d’Internet (le nom par défaut est ServerName> du connecteur< de réception interne par défaut).
Modifiez les liaisons réseau pour accepter les messages uniquement à partir de la carte réseau accessible à partir d’Internet (par exemple, 10.1.1.1 et la valeur de port TCP SMTP standard de 25).
Pour modifier le connecteur de réception par défaut afin d’accepter uniquement les messages provenant d’Internet, remplacez <ServerName> et les liaisons ith le nom de votre serveur de transport Edge et de la configuration de votre carte réseau externe, puis exécutez la commande suivante :
Set-ReceiveConnector -Identity "Default internal Receive connector ServerName>" -Name "From Internet" -Bindings 10.1.1.1:25
Pour plus d'informations sur la syntaxe et les paramètres, consultez la rubrique Set-ReceiveConnector.
Étape 4 : Créer un connecteur de réception dédié pour accepter uniquement les messages de l’organisation Exchange
Ce connecteur de réception requiert la configuration suivante :
Nom : à partir de l’organisation interne (ou n’importe quel nom descriptif)
Type d’utilisation : Interne
Liaisons de réseau local : carte réseau interne côté réseau (par exemple, 10.1.1.2 et la valeur de port TCP SMTP standard de 25).
Paramètres réseau distants : adresse IP d’un ou plusieurs serveurs de boîtes aux lettres dans l’organisation Exchange. Par exemple, 192.168.5.10 et 192.168.5.20.
Méthodes d’authentification : TLS, Authentification de base, Authentification de base sur TLS et authentification Exchange Server.
Pour créer un connecteur de réception configuré pour uniquement accepter les messages provenant de l'organisation Exchange, remplacez les liaisons et les plages IP distantes par vos valeurs et exécutez cette commande.
New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20
Pour plus d'informations sur la syntaxe et les paramètres, consultez la rubrique New-ReceiveConnector.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement configuré les connecteurs d’envoi et de réception requis sur le serveur de transport Edge, exécutez cette commande sur le serveur de transport Edge et vérifiez les valeurs de propriété :
Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism; Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges
Procédures de serveur de boîtes aux lettres
Vous n'avez pas besoin de modifier les connecteurs de réception par défaut sur les serveurs de boîte aux lettres. Pour plus d'informations sur ces connecteurs de réception par défaut sur des serveurs de boîte aux lettres, consultez la rubrique Connecteurs de réception par défaut créés lors de l'installation.
Étape 5 : Créer un connecteur d’envoi dédié pour envoyer des messages sortants au serveur de transport Edge
Ce connecteur d'envoi requiert la configuration suivante :
Nom : Vers Edge (ou n’importe quel nom descriptif)
Type d’utilisation : Interne
Espaces d’adressage : « * » (tous les domaines externes)
Routage DNS désactivé (routage d'hôte actif activé)
Hôtes intelligents : adresse IP ou nom de domaine complet du serveur de transport Edge. Par exemple, edge01.contoso.net
Serveurs sources : nom de domaine complet d’un ou plusieurs serveurs de boîtes aux lettres. Par exemple, mbxserver01.contoso.com et mbxserver02.contoso.com.
Méthodes d’authentification de l’hôte intelligent : Authentification de base sur TLS.
Informations d’identification d’authentification de l’hôte intelligent : informations d’identification du compte d’utilisateur sur le serveur de transport Edge.
Utiliser le CAE pour créer un connecteur d’envoi pour envoyer des messages sortants au serveur de transport Edge
Dans le CENTRE d’administration Exchange, accédez à Flux> de courrierEnvoyer des connecteurs, puis cliquez sur Ajouter une
L'Assistant Nouveau connecteur d'envoi démarre.Sur la première page, configurez les paramètres suivants :
Nom : entrez Dans Edge.
Type : sélectionnez Interne.
Cliquez sur Suivant.
Dans la page suivante, sélectionnez Acheminer le courrier via des hôtes intelligents, puis cliquez sur Ajouter
Dans la boîte de dialogue Ajouter un hôte intelligent qui s’affiche, identifiez le serveur de transport Edge à l’aide de l’une des valeurs suivantes :Adresse IP : par exemple, 10.1.1.2.
Nom de domaine complet (FQDN) : par exemple, edge01.contoso.net. Notez que les serveurs de boîte aux lettres source pour le connecteur d'envoi doivent pouvoir résoudre le serveur de transport Edge dans DNS à l'aide de ce FQDN. En cas d'impossibilité, utilisez l'adresse IP.
Cliquez sur Enregistrer.
Sur la page suivante, dans la section Authentification de l'hôte actif, sélectionnez Authentification de base, puis configurez les paramètres supplémentaires suivants :
Sélectionner Authentification de base uniquement après le démarrage de TLS
Dans les champs Nom d'utilisateur et Mot de passe, entrez les informations d'identification du compte d'utilisateur local sur le serveur de transport Edge.
Cliquez sur Suivant.
Dans la page suivante, dans la section Espace d’adressage, cliquez sur Ajouter l’icône
Dans la boîte de dialogue Ajouter un domaine qui s'affiche, entrez les informations suivantes :Type : vérifiez que SMTP est sélectionné.
Nom de domaine complet (FQDN) : entrez un astérisque (*) pour indiquer que le connecteur d’envoi est utilisé pour tous les domaines externes.
Coût : vérifiez que 1 est entré. Une valeur inférieure indique un itinéraire préféré.
Cliquez sur Enregistrer.
De retour à la page précédente, le paramètre Connecteur d'envoi délimité est important si votre organisation a des serveurs Exchange installés dans plusieurs sites Active Directory :
Si vous ne sélectionnez pas Connecteur d’envoi délimité, le connecteur est utilisable par tous les serveurs de transport (serveurs de boîtes aux lettres Exchange 2019, serveurs de boîtes aux lettres Exchange 2016, serveurs de boîtes aux lettres Exchange 2013 et serveurs de transport Hub Exchange 2010) dans toute la forêt Active Directory. Il s’agit de la valeur par défaut.
Si vous sélectionnez Connecteur d'envoi délimité, seuls les autres serveurs de transport du même site Active Directory peuvent utiliser le connecteur.
Cliquez sur Suivant.
Dans la page suivante, dans la section Serveur source, cliquez sur Ajouter une
Dans la boîte de dialogue Sélectionner un serveur qui s'affiche, sélectionnez un ou plusieurs serveurs de boîte aux lettres à utiliser pour envoyer le courrier sortant via le serveur de transport Edge. Sélectionnez un serveur de boîte aux lettres et cliquez sur Ajouter -> (répétez l'opération autant de fois que nécessaire), cliquez sur OK, puis cliquez sur Terminer.
Utiliser le Environnement de ligne de commande Exchange Management Shell pour créer un connecteur d'envoi pour envoyer des messages sortants au serveur de transport Edge
Pour créer un connecteur d'envoi pour envoyer des messages sortants vers le serveur de transport Edge, remplacez les hôtes actifs et les serveurs de boîte aux lettres source par vos valeurs et exécutez la commande suivante :
New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential (Get-Credential)
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-SendConnector.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement créé un connecteur d’envoi pour envoyer des messages sortants vers le serveur de transport Edge, effectuez l’une des opérations suivantes :
Dans le CENTRE d’administration Exchange, accédez à Flux> de courrierConnecteurs d’envoi, sélectionnez l’icône Envoyer le connecteur nommé À Edge>, cliquez sur Modifier
, puis vérifiez les valeurs de propriété.Dans l'Environnement de ligne de commande Exchange Management Shell, exécutez cette commande sur le serveur de boîte aux lettres afin de vérifier les valeurs de propriétés :
Get-SendConnector -Identity "To Edge" | Format-List Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism