Mise en place d’Exchange Hybride 2016

Slide_n2_Exchange

Introduction

Depuis le lancement d’Office 365, Microsoft nous propose trois scénarios pour l’infrastructure Exchange. Le mode classique « On-Premises », le mode Office 365 et le mode Hybride. Nous allons nous intéresser à ce dernier, qui est un mode intermédiaire entre les deux autres. Il vous permet de conserver une certaine souplesse dans votre projet de migration. En effet, avec un mode Hybride, vous avez la possibilité d’avoir des boites aux lettres aussi bien sur votre infrastructure « historique » que sur le cloud de Microsoft, le tout avec une administration unifiée.

Prérequis

  • Exchange Hybride 2016 prend en charge :
    • Exchange Server 2010 SP3 avec correctif cumulatif 11
    • Exchange Server 2013 avec correctif cumulatif 10
    • Exchange Server 2016
  • Les dernières mises à jours cumulatives
  • Windows Management Framework 4.0
  • Transport Edge à jour et avec les derniers correctifs de sécurité
  • Au moins un serveur avec le rôle de boîte aux lettres
  • Un outil de synchronisation d’annuaire avec Azure Active directory (ADConnect)
  • Le niveau fonctionnel de la forêt doit être au minimum Windows Server 2008
  • Configuration des enregistrements DNS pour la découverte automatique des domaines SMTP
    • Aucun périphérique de filtrage traitant ou modifiant le trafic SMTP ne doit être placé entre les serveurs Exchange locaux et Office 365
    • Enregistrements MX pointant vers l’organisation on-premise si celle-ci contient plus de comptes que Office 365 ou si une stratégie de conformité est en place
    • Enregistrements MX pointant vers Office 365 si celui-ci contient plus de comptes que l’organisation on-premise
    • Le FQDN doit être partagé entre les serveurs on-premise et Office 365
  • Certificats des services Exchange validés par une autorité de certification publique approuvée
  • Les clients Windows doivent exécuter Outlook 2013 ou ultérieur
  • Les clients Mac doivent exécuter Outlook 2011 ou ultérieur
  • Si EdgeSync est déployé, il doit être configuré en premier

Au niveau des ports et protocoles réseau :

Protocole de transport Protocole du niveau supérieur Fonctionnalité/composant Point de terminaison local Chemin local Fournisseur d’authentification Méthode d’autorisation Authentification préalable prise en charge ?
TCP 25 (SMTP) SMTP/TLS Flux de messagerie entre Office 365 et l’installation locale Boîte aux lettres Exchange 2016/Edge N/A N/A Basée sur les certificats Non
TCP 443 (HTTPS) Découverte automatique Découverte automatique Boîte aux lettres Exchange 2016 /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc Système d’authentification Azure AD Authentification WS-Security Non
TCP 443 (HTTPS) EWS Disponibilité, infos-courrier, suivi des messages Boîte aux lettres Exchange 2016 /ews/exchange.asmx/wssecurity Système d’authentification Azure AD Authentification WS-Security Non
TCP 443 (HTTPS) EWS Recherche dans plusieurs boîtes aux lettres Boîte aux lettres Exchange 2016 /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc Serveur d’authentification Authentification WS-Security Non
TCP 443 (HTTPS) EWS Migrations de boîtes aux lettres Boîte aux lettres Exchange 2016 /ews/mrsproxy.svc Basique Basique Non
TCP 443 (HTTPS) Découverte automatique EWS OAuth Boîte aux lettres Exchange 2016 /ews/exchange.asmx/wssecurity /autodiscover/autodiscover.svc/wssecurity /autodiscover/autodiscover.svc Serveur d’authentification Authentification WS-Security Non
TCP 443 (HTTPS) N/A AD FS (inclus avec Windows) Windows 2008/2012 Server /adfs/* Système d’authentification Azure AD Varie en fonction de la configuration 2 facteurs
TCP 443 (HTTPS) N/A Azure Active Directory Connect avec AD FS Windows 2012 R2 Server /adfs/* Système d’authentification Azure AD Varie en fonction de la configuration 2 facteurs

Installation

La première étape consiste à télécharger l’assistant de configuration hybride de Office 365. Pour cela rendez-vous dans l’ECP de votre compte Office 365 -> Hybride :

EXC2016-03

On débute maintenant à proprement parler l’installation via l’assistant :

EXC2016-00

On sélectionne le serveur on-prem pour la synchronisation avec Office 365. On sélectionne aussi dans le même temps l’organisation O365 :

EXC2016-04

On complète les informations d’identification nécessaires avec un compte Administrateur de l’organisation Active directory on-premise, et un compte Administrateur sur le tenant Office 365 :

EXC2016-05

L’assistant vérifie la connectivité des deux côtés avec les comptes précédemment fournis :

EXC2016-06

Une fois la vérification terminée, nous avons le choix entre une installation Minimale ou Full Hybride. L’installation minimale permet une transition rapide vers Exchange Online, ou de gérer manuellement le déplacement des boîtes. cette installation peut aussi être conseillée dans le cadre de petites organisations ( < 20 BAL ). L’installation Complète est une installation classique d’Exchange Hybride 2016 :

EXC2016-07b

Dans notre exemple nous sommes partis sur l’installation Full Hybride, prenant en charge toutes les fonctionnalités. Dans notre cas, après le choix du mode, l’assistant va vérifier l’appartenance de votre domaine DNS. Pour cela vous devrez copier l’enregistrement TXT et l’incorporer à votre domaine via votre registar.

Une fois cette opération faite et la mise à jour DNS déployée sur internet (cette étape peut prendre un temps variable, en fonction de votre registar), cochez la case « I have a TXT record for each token DNS » et cliquez sur “Verify domain ownership” :

Choisissez ensuite la stratégie de transport sécurisée des mails entre l’infrastructure on-premise et O365 :

Sélectionnez ensuite le serveur on-premise de réception depuis O365 :

Puis sélectionnez le serveur on premise d’émission vers O365 :

Maintenant, sélectionnez un certificat de transport. Il doit émaner d’une autorité de certification reconnue, tout certificat auto-signé sera refusé :

Saisissez à présent le FQDN de liaison de l’infrastructure on-premise. Le serveur de réception doit être joignable par celui-ci :

Toutes les étapes ont étés remplies, la configuration va pouvoir débuter :

Une fois la configuration achevée par l’assistant, si l’installation de la liaison Hybride est installée et est en place, vous devriez avoir ceci :

Si tel est le cas, la configuration est terminée et votre organisation Exchange est passée en mode Hybride.

Erreurs possibles pendant ou après l’installation

Si vous avez ceci juste après la sélection du mode Hybride :

EXC2016-08 ERREUR

-> L’organisation on-premise n’est pas joignable par le FQDN, ou celui-ci est absent ou mal configuré sur O365 ou l’infra on premise. Si vous avez ceci ou toute autre erreur s’en approchant :

-> Votre configuration réseau n’est pas bonne et ne laisse pas passer correctement tous les protocoles, ou le point de terminaison MRS n’est tout simplement pas activé. Vous pouvez l’activer via l’ECP -> Destinataires > Serveurs > Répertoires virtuels.