Déploiements hybrides à forêts Active Directory multiples

 

Sapplique à :Exchange Online, Exchange Server, Exchange Server 2013

Dernière rubrique modifiée :2016-12-09

Les déploiements hybrides Exchange 2010, Exchange 2013 et versions ultérieures sont pris en charge pour les organisations à forêts Active Directory locales multiples et à un seul client Office 365. Pour les fonctionnalités et les considérations de déploiement hybride, les organisations à forêts multiples sont définies comme des organisations ayant des serveurs Exchange déployés dans plusieurs forêts Active Directory. Les organisations qui utilisent une forêt de ressources pour les comptes d’utilisateurs, mais qui conservent tous les serveurs Exchange dans une forêt unique, ne sont pas classées comme des organisations à forêts multiples dans les scénarios de déploiement hybride. Ces types d’organisations doivent être considérés comme des organisations à forêt unique lors de la planification et la configuration d’un déploiement hybride.

La migration des dossiers publics à partir d’un environnement local vers Office 365 est uniquement prise en charge à partir d’une forêt Active Directory unique. De même, l’accès aux dossiers publics hybrides est uniquement pris en charge lorsque les dossiers publics locaux sont hébergés dans une forêt Active Directory unique.

ImportantImportant :
Les déploiements hybrides nécessitent la dernière mise à jour cumulative disponible pour la version d’Exchange que vous avez installée dans votre organisation locale. Si vous ne pouvez pas installer la dernière mise à jour cumulative, la version antérieure la plus récente est également prise en charge. Les mises à jour cumulatives antérieures ne sont pas prises en charge. Pour plus d’informations, voir Configuration requise pour un déploiement hybride.

Pour plus d’informations sur les déploiements hybrides, voir Déploiements hybrides Exchange Server.

Les conditions préalables au déploiement hybride à forêts multiples sont pratiquement identiques aux conditions préalables au déploiement hybride pour une organisation à forêt unique, à l’exception des éléments suivants :

  • Découverte automatique   Chaque forêt Exchange doit faire autorité pour au moins un espace de noms SMTP et pour l’espace de noms de découverte automatique correspondant. S’il existe des domaines partagés entre plusieurs forêts Exchange, des points de terminaison de découverte automatique et de routage du courrier doivent être configurés et fonctionner correctement entre les forêts Exchange avant de configurer votre déploiement hybride à forêts multiples. Le service Office 365 doit pouvoir interroger le service de découverte automatique dans chaque forêt Exchange.

  • Certificats   Tous les déploiements hybrides nécessitent un certificat numérique émis par l’autorité de certification (CA) tierce approuvée. Dans le cadre d’un déploiement hybride à-forêts multiples, un certificat numérique unique ne peut pas être utilisé pour plusieurs forêts Active Directory. Chaque forêt doit utiliser un certificat dédié émis par une autorité de certification pour que le transport de messagerie sécurisé fonctionne correctement dans un déploiement hybride. Le certificat utilisé pour les fonctionnalités de déploiement hybride pour chaque forêt dans une organisation à forêts multiples doit être différent dans au moins l’une des propriétés suivantes :

    1. Nom commun   Le nom commun (CN) du certificat numérique fait partie de l’objet du certificat. Il doit correspondre à l’hôte en cours d’authentification et est généralement le nom d’hôte externe pour le serveur d’accès au client dans la forêt Active Directory. Par exemple, mail.contoso.com. Nous vous recommandons d’utiliser le CN comme propriété de différenciation entre les certificats Active Directory utilisés dans les déploiements hybrides à forêts multiples.

    2. Émetteur   Autorité de certification tierce qui a vérifié les informations de l’organisation et qui a émis le certificat. Par exemple, VeriSign ou Go Daddy. Par exemple, une forêt aurait un certificat émis par VeriSign et l’autre forêt un certificat émis par Go Daddy.

    ImportantImportant :
    Le certificat installé sur les serveurs de boîtes aux lettres et d’accès au client (et de transport Edge s’ils sont déployés) dans chaque forêt Active Directory et utilisés pour le transport de courrier au sein du déploiement hybride doit être émis par la même autorité de certification approuvée et comporter le même nom commun.
  • Serveurs Exchange   Au moins un serveur Exchange 2010 ou Exchange 2013 doté du rôle serveur d’accès au client, ou un serveur Exchange 2016 ou version ultérieure doté du rôle de boîte aux lettres, doit être installé dans chaque forêt Active Directory configurée pour le déploiement hybride.

    Dans Exchange 2010 et Exchange 2013, le serveur d’accès au client est le point de terminaison de transport du courrier sécurisé entrant pour le service Exchange Online Protection (EOP) inclus avec le service client Office 365, et permet l’exécution de l’Assistant de configuration hybride dans la forêt Active Directory. En outre, au moins un serveur Exchange doté du rôle serveur de boîte aux lettres doit être installé dans chaque forêt Active Directory configurée pour le déploiement hybride. Le serveur de boîtes aux lettres Exchange 2010 et Exchange 2013 est le point de terminaison de transport du courrier sécurisé sortant pour les messages envoyés au service EOP et à l’organisation Exchange Online.

    Dans Exchange 2016 et versions ultérieures, le rôle de serveur de boîte aux lettres gère l’ensemble du transport sécurisé entrant et sortant entre votre organisation locale et Exchange Online.

  • Planification de l’espace de noms Chaque forêt dans laquelle vous installez Exchange doit avoir son propre espace de noms unique détectable de façon externe. Vous devrez indiquer l’espace de noms unique de la forêt dans l’Assistant de configuration hybride lorsque vous l’exécuterez dans chaque forêt.

  • Synchronisation Active Directory   Tous les déploiements hybrides nécessitent la synchronisation Active Directory avec Office 365. Si votre société a déjà configuré la synchronisation Active Directory entre votre organisation locale à forêts multiples et Office 365 à l’aide de Forefront Identity Manager, vous pouvez utiliser Azure Active Directory Connect.

  • Authentification unique   Bien qu’il ne s’agisse pas d’une condition requise pour les déploiements hybrides avec des forêts Active Directory uniques, les administrateurs peuvent décider de configurer un serveur SSO dans chaque forêt Active Directory, ou de configurer un serveur SSO unique si une approbation de forêt bidirectionnelle est configurée entre les forêts locales. Pour une expérience d’authentification utilisateur transparente, utilisez soit AD FS, soit la synchronisation de mot de passe.

    Pour plus d’informations, consultez la rubrique Authentification unique avec les déploiements hybrides.

Pour obtenir la liste complète des conditions préalables au déploiement hybride, voir Configuration requise pour un déploiement hybride

Étudiez le scénario suivant. Il s’agit d’un exemple de topologie qui présente un déploiement Exchange 2013 standard. Contoso, Ltd est une organisation à forêts et à domaines multiples, avec deux forêts Active Directory. La forêt A contient le domaine contoso.com et la forêt B contient le domaine sale.contoso.com. Chacune des forêts contient des contrôleurs de domaine, un serveur Exchange 2013 doté du rôle d’accès au client et un serveur Exchange 2013 doté du rôle serveur de boîte aux lettres. Les utilisateurs Contoso distants se servent d’Outlook Web App pour se connecter à Exchange 2013 via Internet afin de vérifier leurs boîtes aux lettres et d’accéder à leur calendrier Outlook.

Avant le déploiement hybride à forêts multiples

Disons que vous êtes l’administrateur réseau de Contoso et que vous envisagez de configurer un déploiement hybride. Vous déployez et configurez un serveur de synchronisation Active Directory requis dans la forêt A et vous décidez également de déployer un serveur Active Directory Federation Services (AD FS) pour minimiser le nombre d’invites d’identification de compte pour les administrateurs et utilisateurs Contoso ayant accès aux services Office 365 dans la forêt A. Après avoir satisfait les conditions préalables au déploiement hybride et utilisé l’Assistant de configuration hybride pour sélectionner les options du déploiement hybride, votre nouvelle topologie présente la configuration suivante :

  • Les utilisateurs se serviront de leurs informations d’identification de compte réseau pour se connecter à l’organisation locale et à l’organisation Exchange Online (« authentification unique »).

  • Les boîtes aux lettres utilisateur situées dans l’organisation locale et l’organisation Exchange Online utiliseront plusieurs domaines d’adresse de messagerie. Par exemple, les boîtes aux lettres situées dans la forêt A en local et certaines boîtes aux lettres situées dans l’organisation Exchange Online utiliseront @contoso.com dans les adresses électroniques de l’utilisateur, tandis que les boîtes aux lettres de la forêt B et certaines boîtes aux lettres situées dans l’organisation Exchange Online utiliseront @sales.contoso.com.

  • Tous les messages sont remis à Internet par l’organisation locale. L’organisation locale contrôle le transport de tous les messages et sert de relais à l’organisation Exchange Online (« transport de courrier centralisé »).

  • Les utilisateurs de l'organisation locale et de l'organisation Exchange Online peuvent partager leurs informations de disponibilité du calendrier les uns avec les autres. Les relations des organisations configurées pour les deux organisations autorisent également le suivi des messages, les info-courriers et la recherche de messages intersite.

  • Les utilisateurs de l’organisation locale et de l’organisation Exchange Online utilisent la même URL pour se connecter à leurs boîtes aux lettres via Internet.

Après le déploiement hybride à forêts multiples

Si vous comparez la configuration de l’organisation existante de Contoso avec celle d’un déploiement hybride, vous constaterez que la configuration d’un déploiement hybride a permis d’ajouter des serveurs et des services qui prennent en charge des fonctions et des échanges supplémentaires partagés entre l’organisation locale et l’organisation Exchange Online. Voici un aperçu des modifications qu’un déploiement hybride apporte à l’organisation Exchange locale initiale.

 

Configuration Avant de déploiement hybride Après le déploiement hybride

Emplacement des boîtes aux lettres

Boîtes aux lettres locales uniquement.

Boîtes aux lettres situées dans l'organisation locale et l'organisation Exchange Online.

Transport des messages

Les serveurs d'accès au client locaux gèrent le routage de tous les messages entrants et sortants.

Le serveur d'accès au client local gère le routage des messages internes entre l'organisation locale et l'organisation Exchange Online.

Outlook Web App

Le serveur d’accès au client local reçoit toutes les demandes Outlook Web App et affiche les informations de boîte aux lettres.

Le serveur d’accès au client local redirige les demandes Outlook Web App vers le serveur de boîtes aux lettres Exchange 2013 local ou fournit un lien permettant d’établir une connexion à l’organisation Exchange Online.

Liste d'adresses globale unifiée pour les deux organisations

Non applicable ; une seule organisation uniquement.

Le serveur de synchronisation Active Directory local réplique les informations Active Directory des objets à extension messagerie dans l’organisation Exchange Online.

Authentification unique utilisée pour les deux organisations

Non applicable ; une seule organisation uniquement.

Le serveur AD FS (Active Directory Federation Services) local prend en charge les informations d’identification de l’authentification unique pour les boîtes aux lettres situées soit dans l’organisation locale, soit dans l’organisation Office 365.

Relation organisationnelle établie et approbation de fédération avec système d'authentification Azure AD

Il est possible de configurer une relation d’approbation avec le système d'authentification Azure AD et des relations organisationnelles avec d'autres organisations Exchange fédérées.

Une relation d’approbation avec le système d’authentification Azure AD est nécessaire. Les relations des organisations sont établies entre l'organisation locale et l'organisation Exchange Online.

Partage de disponibilité

Partage de disponibilité entre utilisateurs locaux uniquement.

Partage des informations de disponibilité entre utilisateurs locaux et Exchange Online.

Pour configurer un déploiement hybride pour une organisation à forêts multiples, vous devez réaliser les étapes de base ci-dessous :

  1. Vérifiez que toutes les conditions préalables au déploiement hybride sont satisfaites. Consultez les conditions préalables énumérées précédemment dans cette rubrique, ainsi que la rubrique Configuration requise pour un déploiement hybride. En règle générale, il n’est nécessaire d’installer un serveur de synchronisation Active Directory que sur une seule forêt. Un serveur Azure Active Directory Connect avec les services ADFS (Active Directory Federation Services) doit être installé dans chaque forêt pour permettre l’authentification unique si une approbation de forêt bidirectionnelle n’est pas configurée entre les forêts.

  2. Obtenez un certificat d’une autorité de certification tierce pour chaque forêt Active Directory qui répond aux exigences énumérées précédemment dans cette rubrique.

  3. Installez le certificat sur tous les serveurs de boîte aux lettres et d’accès au client Exchange 2013, ou sur tous les serveurs de boîte aux lettres Exchange 2016, dans chaque forêt.

  4. Suivez les étapes décrites dans la rubrique Création d'un déploiement hybride avec l’assistant Configuration hybride pour la forêt principale.

    ImportantImportant :
    Veillez à sélectionner le certificat indiqué pour la forêt principale dans l’Assistant de configuration hybride, ainsi que le domaine SMTP principal de la forêt.
  5. Suivez les étapes décrites dans la rubrique Création d'un déploiement hybride avec l’assistant Configuration hybride pour la forêt secondaire.

    ImportantImportant :
    Veillez à sélectionner le certificat indiqué pour la forêt secondaire dans l’Assistant de configuration hybride, ainsi que le domaine SMTP principal de la forêt.
 
Afficher: