PowerShell :Configuration des rôles Hub Transport, Cas et MailBox
Tags : ADFS / BI / Messagerie / PowerShell / Exchange
Par Grégory Schiro . Mise en ligne : 06 Janvier 2010, Publication : Janvier 2009
Rôle Client Access Server
Rôle Client Access Server (Suite)
Rôle Hub Transport
Rôle Mailbox
Après la gestion de notre annuaire Active Directory, le déploiement de nos serveurs Exchange 2007 ainsi que la manipulation des dossiers publics, que pouvons- nous demander à notre ligne de commande PowerShell ? Pourquoi ne pas lui demander de configurer nos serveurs Exchange 2007 ?
Nous allons donc nous intéresser de très près à leur configuration et cela, rôle par rôle ! Dans cet article nous utiliserons notre ligne de commande PowerShell afin de configurer le rôle CAS et Hub Transport et Mailbox.
Rôle Client Access Server
Le rôle serveur d’accès client fournit un certain nombre de services tels que :
-
Outlook Web Access (OWA) : donne accès à sa boîte aux lettres via un navigateur Web.
-
Exchange ActiveSync (EAS) : permet de faire du Push Mail sur son mobile.
-
Outlook Anywhere : pour accéder avec son client Outlook à sa boîte aux lettres en utilisant le protocole http (RPC over HTTPS).
-
Autodiscover : configure automatiquement les profils Outlook 2007 des utilisateurs en renseignant simplement leur adresse e-mail.
-
Availability Service : fournit les informations sur la disponibilité des utilisateurs ainsi que sur leurs calendriers.
-
Exchange Web Services (EWS) : interface pour les applications souhaitant interagir avec Exchange 2007.
Bien évidemment, ce rôle serveur s’assure que les données des utilisateurs sont protégées durant la communication client-serveur. C’est pourquoi des certificats sont utilisés. Notre ligne de commande PowerShell va tout simplement être capable de configurer l’ensemble de ces services très simplement mais aussi de gérer la sécurité à l’aide des certificats !
La théorie c’est très bien, mais si nous passions à la pratique ?! Pour configurer les accès clients nous avons bien sûr des Cmdlets. Nous allons nous attarder un peu sur la Cmdlet « Get- CASMailbox » qui permet de récupérer des informations sur les moyens d’accès d’un utilisateur à sa boîte aux lettres. Il y a bien évidemment la Cmdlet « Set-CASMailbox » pour modifier ces mêmes informations !
Cette dernière Cmdlet possède un grand nombre de paramètres permettant de personnaliser les accès d’un ou de plusieurs utilisateurs. Ainsi, pour interdire les accès non- MAPI aux boîtes aux lettres on pourra par exemple utiliser la commande suivante :
Get-Mailbox | Set-CASMailbox –imapEnabled $false
Dans ce cas, plus aucun utilisateur ayant une boîte aux lettres dans notre organisation Exchange 2007 ne pourra utiliser un client non-MAPI comme Outlook Express par exemple ! Obliger l’utilisation d’un client MAPI peut être intéressant mais nous pouvons aller plus loin en obligeant par exemple l’utilisation d’une version particulière d’Outlook !
Get-Mailbox | Set-CASMailbox –MAPIBlockOutlookVersions ‘- 12.6024.5000’` -MAPIBlockOutlookNonCachedMode $true
Avec cette dernière commande, nous interdisons toutes les versions antérieures à Outlook 2007 pour la consultation des e-mails dans notre organisation puis nous obligeons l’utilisation du mode de mise en cache !
A l’installation d’Exchange 2007, les protocoles POP3 et IMAP4 sont désactivés : ils permettent par exemple aux clients non-Windows de recevoir des e-mails. Dans un environnement hétérogène, il peut donc être intéressant d’activer ces protocoles. La première chose à faire est de forcer le démarrage automatique puis de démarrer les services…
Set-Service MSExchangeImap4 –StartupType Automatic Start-Service MSExchangeImap4 Set-Service MSExchangePop3 –StartupType Automatic Start-Service MSExchangePop3 …
Rôle Client Access Server (Suite)
Et ensuite d’utiliser les Cmdlets « Set-PopSettings » et « Set-IMAPSettings » pour la configuration des accès POP3 et IMAP4 ! Ainsi, nous pouvons par exemple définir le nombre maximum de connexions et le nombre maximum de connexions à partir d’une même adresse IP pour le protocole IMAP4 :
Set-IMAPSettings –Server EXCAS01 –MaxConnections 5000` -MaxConnectionsFromSingleIP 1000
Par défaut, le nombre maximum de connexions est de 2000 et 20 à partir d’une même adresse IP. Rien de très compliqué jusqu’à maintenant… Cela va-t-il changer en abordant la sécurité ? Nous allons voir ça tout de suite ! Mais avant, on plante le décor… Toutes les communications depuis et vers l’extérieur de l’organisation doivent être sécurisées en utilisant SSL (Secure Sockets Layer). SSL demande l’utilisation d’un certificat. Là où cela peut devenir plus compliqué est que ce certificat doit être reconnu comme fiable : il doit être issu d’une autorité de certification de confiance.
Exchange ActiveSync, OWA, Outlook Anywhere, POP3 et IMAP4 peuvent tous être sécurisés avec SSL. C’est tout ce processus que nous allons voir maintenant en cinq étapes, avec PowerShell ! La première chose à faire est de générer notre demande de certificat à l’aide de la Cmdlet « New-Exchange Certificate ».
Cette Cmdlet demande un certain nombre d’informations que nous allons découvrir. L’une de ces informations est le « Subject Name » qui doit correspondre au non DNS de notre URL ! Il est composé ainsi : voir tableau 1. Notre Cmdlet, pour générer notre certificat, devient alors la suivante :
New-ExchangeCertificate –GenerateRequest $true –FriendlyName GregDomCert` -PrivateKeyExportable $true –Path C:\temp\Cert.req` -SubjectName ‘C=FR,S=Ile de France,O=Greg- Dom,OU=Informatique,CN=webmail.greg-dom.fr’` -DomainName webmail.greg-dom.fr,autodiscover.greg-dom.fr,pop.gregdom. fr,imap.greg-dom.fr
Le fichier « Cert.req » est notre demande de création de certificat ! Pour avoir notre certificat c’est ce fichier qu’il faut fournir à l’autorité de certification (VeriSign par exemple si vous voulez un certificat commercial). Une fois le certificat obtenu, il nous reste à l’importer dans notre organisation Exchange depuis la même machine où nous avons généré notre certificat :
Import-ExchangeCertificate –Path ‘C:\temp\Cert.req’
La Cmdlet « Get-ExchangeCertificate » nous permet de récupérer les certificats installés et leur « Thumbprint » : identifiant unique d’un certificat. La prochaine étape est d’activer notre certificat avec la Cmdlet « Enable-ExchangeCertificat » en lui précisant comme paramètre la « Thumbprint » de notre certificat ainsi que les services qui l’utiliseront. Sachez que vous devez importer votre certificat sur tous vos serveurs ayant le rôle CAS.
Nous avons donc sécurisé notre organisation en 3 ou 4 commandes PowerShell ! Nous pourrons ainsi utiliser nos services l’esprit tranquille…après les avoir configurés eux aussi ! Par exemple, Outlook Anywhere s’active et se configure avec la Cmdlet « Enable-OutlookAnywhere » et OWA avec « Set-OWAVirtualDirectory ». Il est bien sûr possible de configurer OWA pour ne donner accès qu’à certaines parties du site pour tout le monde ou bien une seule personne : Voir Figure 1.
Set-OWAVirtualDirectory –Identity ‘OWA (Default Web Site)’ ` –OWAWSSAccessOnPublicComputersEnabled $false` -OWAUNCAccessOnPublicComputersEnabled $false Set-CASMailbox –Identity ‘Alyssia Schiro’` –OWAWSSAccessOnPublicComputersEnabled $false` -OWAUNCAccessOnPublicComputersEnabled $false
Le menu « Documents » sera donc caché (Figure 1).
1
2
Suite
Note : les figures, codes sources et fichiers auquels fait référence l'article sont visualisables au sein de la rubrique Club Abonnés. Une fois authentifié dans le club, il vous suffit de rechercher le dossier concerné dans l'édition de Exchange Magazine publié en Janvier 2009 du Club Abonnés !
| 
Dossiers
Exchange 
