1. Introduction à Microsoft Exchange Server 2007

1.1 Historique d'Exchange Server

Microsoft commercialise des produits liés à la messagerie électronique depuis bientôt 15 ans. Voici un bref historique de logiciel serveur d'abord nommé MS-Mail, puis renommé Exchange Server en 1996

1.2 Les nouveautés d'Exchange Server 2007

Exchange 2007 représente est une évolution importante pour Microsoft

• Le produit est intégralement redéveloppé en 64 bits avec la plateforme .net (une version 32 bits existe mais elle n'est pas commercialisée)
• Exchange 2007 est adapté au matériel actuel (optimisation pour les processeurs multi-core, support de grandes quantités de mémoire...)
• L'intégration à Active Directory est conservée et renforcée
• Les différentes fonctions d'Exchange sont éclatées en rôles pouvant être déployés de manière indépendante
• De nouveaux outils d'administration apparaissent (Exchange Management Console et Exchange Management Shell)
• Intégration d'un système de messagerie vocale basée sur la Voix sur IP (VoIP)
• Exchange 2007 apporte de nouveaux outils anti-spam ainsi qu'une nouvelle API antivirus
• Ajout de deux nouvelles fonctionnalités permettant d'assurer la haute disponibilité du service de messagerie (LCR et CCR)
• Intégration d'un système de règles de transport permettant de compartimenter facilement le système de messagerie
• Nouvelle interface Outlook Web Access (accès direct aux partages...)
• Etc. 

1.3 Introduction à la notion de rôles

Dans un système de messagerie basé sur Exchange Server 2003, on distingue deux types de serveurs

• les serveur dorsaux ou principaux

• les serveurs frontaux

Un serveur dorsal héberge les boîtes aux lettres des utilisateurs, les dossiers publics et fournit l'accès aux clients MAPI. Un serveur frontal, quant à lui, n'héberge aucune boîte aux lettres et prend en charge tous les accès non MAPI (POP3, IMAP4, Webmail, RPC sur HTTPs...). Le serveur frontal est bien entendu amené à contacter l'annuaire ainsi que le ou les serveurs dorsaux pour trouver les informations contenues dans les boîtes aux lettres. Ce type d'architecture est appelée frontal/dorsal et permet de scinder la partie stockage de l'information (serveur dorsal) de l'accès aux données (serveur frontal). Cela permet d'équilibrer la charge de travail entre les machines et de fournir une meilleure sécurité (seul le serveur frontal sera publié sur Internet).

De nombreuses entreprises ne font pas appel à ce type d'architecture et se contentent d'implémenter un ou plusieurs serveurs dorsaux (par défaut un serveur est considéré comme étant dorsal puisqu'il héberge des boîtes aux lettres et des dossiers publics). Dans ce cas, c'est le serveur dorsal qui gère les accès non MAPI. 

Avec Exchange Server 2007, la notion de rôle devient incontournable. Il n'y a plus deux, mais cinq rôles Certains doivent impérativement être implémentés pour obtenir un service de messagerie fonctionnel et d'autres sont optionnels (ils ajoutent des fonctionnalités supplémentaires ou bien permettent d'augmenter la sécurité). Voici une liste de ces cinq rôles accompagnés d'un petit descriptif

• Le rôle serveur de boîtes aux lettres (Mailbox Server) est l'équivalent du serveur dorsal dans une topologie Exchange 2003. Cette machine héberge les boîtes aux lettres des utilisateurs ainsi que les dossiers publics sous la forme de bases de données (ou banques). C'est aussi elle qui gère les accès des clients MAPI (en revanche le routage des message n'est pas assuré par ce serveur). Ce rôle est le seul pouvant être mis en cluster (sous-entendu avec les services de clustering Microsoft ou MSCS).

• Le rôle serveur d'accès client (Client Access Server) est l'équivalent du serveur frontal dans une topologie Exchange 2003. Cela inclut la gestion de tous les accès non-MAPI (OWA, AciveSync, POP3, IMAP4, Outlook Anywhere...) mais aussi support de nombreuses nouveautés comme la fonction d'accès au partages d'OWA/ActiveSync (encore appelée Direct File Access), le service de détection automatique (fonction autoconnect d'Outlook 2007), le système de planification des réunions (Concierge Calendar)...

• Le rôle serveur de transport Hub (Hub transport) est responsable du routage des messages pour son site Active Directory (équivalent serveur de tête de pont dans un groupe de routage Exchange 2003). Ce serveur est conçu pour rediriger les mails externes vers un serveur de transport Edge ou vers une passerelle SMTP (il peut éventuellement être configuré pour envoyer les mails externes lui-même). Il est recommandé de placer un antivirus sur le serveur "hub" car c'est par lui que transitent les mails (des fonctions anti-spam peuvent être activées sur ce rôle). Le serveur "hub" exécute aussi une fonction nommée transport dumpster qui est utilisée seulement si un cluster à réplication continue (ou CCR) est mis en place dans son site.

• Le rôle serveur de transport Edge (Edge Transport) fait office de passerelle SMTP. Ce serveur doit être accessible depuis Internet (port 25) et est typiquement situé dans une DMZ. Il traite tous les messages entrant et sortant de l'organisation et leur applique une stratégie anti-spam (Microsoft recommande aussi de déployer une solution antivirale sur le "Edge" comme ForeFront Security for Exchange). Pour plus de sécurité le serveur "Edge" n'appartient pas à la forêt Active Directory mais à un groupe de travail. Il exécute aussi une instance ADAM qui stocke la liste des destinataires de l'organisation. Cette instance est utilisée pour filtrer les mails et est mise à jour grâce à un serveur "Hub" qui pousse les informations depuis Active Directory vers ADAM (réplication mono-directionnelle). Enfin, ce rôle est optionnel et doit impérativement être installé sur un serveur séparé (le serveur "Hub" peut en effet se charger de l'envoi/réception des messages externes même si ça n'est pas son comportement par défaut).

• Le rôle serveur de messagerie unifiée (Unified Messaging) joue le rôle d'intermédiaire entre l'infrastructure téléphonique de l'entreprise et l'organisation Exchange. Ce rôle permet la consultation des boîtes aux lettres via une messagerie vocale (à partir d'un téléphone fixe ou mobile) et gère l'envoi des messages vocaux dans les boîtes aux lettres (les messages vocaux sont envoyés sous la forme de pièces jointes). Ce rôle inclut aussi la gestion des télécopies (fax) et est optionnel.

Les rôles du serveur sont choisi lors de l'installation. Il est possible de rajouter des rôles supplémentaires ultérieurement dans une certaine mesure. En effet certains rôles s'avère incompatible (sur un cluster seul le rôle "serveur de boîtes aux lettres" peut être déployé, le rôle "transport edge" doit lui aussi être installé séparément).

1.4 Considérations sur l'architecture d'une infrastructure Exchange 2007

La notion de "rôles" introduite avec Exchange 2007 influe fortement sur le placement des serveurs lors de la création d'infrastructures de messagerie complexes. Il est en effet possible d'éclater les rôles sur plusieurs serveurs physiques, voire de doubler les rôles critiques. Il faut aussi tenir compte des problématiques de performance, de sécurité et de tolérance aux pannes.

Le schéma ci-dessous présente une infrastructure Exchange Server 2007 tout à fait classique

• Le site principal est de grande envergure et il possède une DMZ. Le rôle messagerie est ici mis en cluster pour assurer une tolérance aux pannes (il s'agit d'un cluster MSCS à deux n&oeliguds tout à fait classique et nommé SCC pour Single Copy Cluster). Les rôles serveur d'accès client (CAS), serveur de transport Hub et serveur de messagerie unifiée (UM) sont installés sur des machines distinctes. On remarque bien que le serveur UM interagit avec le PABX de l'entreprise (si le PABX ne supporte pas la voix sur IP, il faudra investir dans boitier intermédiaire). Enfin le serveur de transport Edge est placé en DMZ de manière à filtrer de manière sécurisée tous les mails entrant et sortant de l'organisation. Seul le serveur Edge et le serveur CAS doivent être accessibles depuis Internet (pour sécuriser la publication de ces serveurs il est recommandé de faire appel à une solution de filtrage applicatif comme ISA Server ou Microsoft Intelligent Application Gateway).

• Le site secondaire correspond à une structure plus modeste et il est composé de deux serveurs l'un exécutant le rôle "messaging" et l'autre les rôles HUB et CAS. Il est à noter que les trois rôles aurait pu être placé sur le même serveur physique.

Voici une liste de points à prendre en compte pour créer une architecture Exchange 2007 fonctionnelle, performante et sécurisée

• Un contrôleur de domaine (DC) ainsi qu'un serveur de catalogue global (GC) doivent impérativement être présents dans chaque site où est déployé un serveur Exchange (prévoir deux DC/GC pour assurer une tolérance aux pannes).
• Lorsque vous mettez en place un cluster SCC ou CCR, il ne peut exécuter que le rôle "serveur de boîtes aux lettres". Cela signifie que vous devrez posséder une machine supplémentaire pour exécuter les autres rôles "critiques" (c'est-à-dire les rôles "Hub" et "Cas").
• Les quatre rôles Messaging, Hub, Cas et Unified Messaging peuvent être combinés sur un seul et même serveur physique, même si cela n'est pas recommandé du point de vue des performances.
• Un serveur de transport Edge doit impérativement être placé en DMZ pour assurer la sécurité du flot de mails.
• Un serveur Hub doit obligatoirement être placé dans tous les sites Active Directory possédant un serveur exécutant le rôle messagerie (sinon le routage des messages entre ce site et les autres sites Active Directory ne sera pas assuré).
• Un serveur Cas doit obligatoirement être placé dans tous les sites Active Directory possédant un serveur exécutant le rôle messagerie (sinon les boîtes aux lettres de ce site ne seront pas accessibles via des protocoles non-MAPI).
• Microsoft préconise de placer un antivirus dédié à Exchange sur tous les serveurs exécutant les rôles "Hub" et "Edge" (c'est-à-dire sur tous les rôles gérant le routage et la remise des messages).
• Si le PABX de votre entreprise n'est pas compatible IP (id est ne supporte pas la VoIP), vous devrez investir dans un boîtier qui réalisera l'interfaçage entre le serveur Exchange UM et le PABX.
• Lorsqu'un cluster à réplication continue (CCR) est déployé, il est recommandé de lui affecter un maximum de n&oeliguds pour éviter des problèmes de convergence sur le quorum à majorité (ou quorum MNS).
• Etc.

Bien entendu de nombreux autres aspects doivent être étudiés. C'est notamment le cas du choix du matériel qui s'avère délicat avec cette nouvelle mouture du produit (confère partie2 de ce même article).

1.5 Les différentes éditions d'Exchange Server 2007

A l'instar des précédentes versions, Exchange Server 2007 est disponible en édition standard et en édition entreprise.

L'édition standard est limitée au niveau du nombre des bases de données (5 bases au maximum). En revanche la taille de ces bases n'est pas plafonnée (avec Exchange 2003 édition standard la taille maximale des fichiers est de 16Go en RTM et de 75Go si le SP2 est déployé ). Cela signifie que les bases de données peuvent "grossir" indéfiniment à partir du moment où il y a suffisamment d'espace disque.  Les bases de données peuvent être placées dans le même groupe de stockage ou bien dans cinq groupes de stockages distinct (en effet, l'édition standard d'Exchange 2007 supporte la création de cinq groupes de stockage au maximum).

L'édition entreprise d'Exchange 2007 supporte quant à elle, jusqu'à 50 groupes de stockage pour un maximum de 50 bases de données. De plus seule l'édition entreprise supporte la mise en place d'un cluster à basculement (cluster SCC ou cluster CCR).

Il est possible de passer d'une version à l'autre sans réinstaller. En effet il suffit de modifier la clé de produit via la console de management (cela est rendu possible car les mêmes sources sont utilisées pour les deux éditions). Par contre seuls les upgrades sont pris en compte (id est il est impossible de "downgrader" sauf en désinstallant le produit). Voici une liste des changements de licence supportés

• Passer d'une licence TRIAL vers une licence standard
• Passer d'une licence TRIAL vers une licence entreprise
• Passer d'une licence standard vers une licence entreprise

Le système de licences d'accès client (ou CAL pour Client Access License) est toujours en place même si, cette fois-ci, Microsoft a décidé de scinder son offre en deux. On retrouve les CAL suivante

• CAL standard accès à la messagerie pour un utilisateur / ordinateur
• CAL entreprise ajoute le support de la messagerie unifiée (UM), d'Exchange Hosted Services et de la journalisation avancée

Le tableau ci-dessous récapitule la politique tarifaire de Microsoft au sujet des licences d'accès client et des licences serveur

1.6 Exchange Server 2007 et virtualisation

Seules les versions 64 bits d'Exchange 2007 sont commercialisées (une version 32 bits existe mais elle n'est pas vendue par Microsoft et a été crée uniquement pour les environnements de test). De leur côté, les deux logiciels de virtualisation actuellement commercialisés par Microsoft (Virtual PC 2007 et Virtual Server 2005 R2) sont uniquement capables de gérer des machines virtuelles en 32 bits (même si le système hôte est en 64 bits).

Il est donc possible d'installer une version de test 32 bits d'Exchange 2007 dans une machine virtuelle mais en aucun cas cette version ne pourra être licenciée (puisque Microsoft ne vend que des licences pour la version 64 bits du produit). Cela est dommage car la virtualisation permet de réduire les coûts liés au matériel (par exemple dans le cas d'un cluster, il pourrait être intéressant de créer un n&oeligud passif sous la forme d'une machine virtuelle tout en conservant un n&oeligud actif dédié).

L'arrivée de Longhorn Server changera la donne en matière de virtualisation En effet l'architecture du prochain OS serveur de Microsoft a été conçue de manière à généraliser la création et la mise en production de machines virtuelles (le système lui-même sera d'ailleurs considéré comme une machine virtuelle). Le sous-composant utilisé par Longhorn se nomme Hypervisor et il apportera, entre autre, le support du 64 bits dans les machines virtuelles. Par conséquent, il sera possible mettre en production Exchange 2007 sous la forme d'une machine virtuelle à partir du moment où Longhorn sera installé

1.7 Evaluer gratuitement Microsoft Exchange Server 2007

Microsoft met à disposition de nombreux moyens pour évaluer de manière totalement gratuite Microsoft Exchange 2007. Voici une liste des ressources les plus intéressantes

• Version d'essai du produit utilisable 120 jours (lien)
• Machine virtuelle préconfigurée avec Exchange Server 2007 utilisable 30 jours (lien)
• Virtual Labs sur Mirosoft Technet (lien)