Un nouveau système de monitoring a été introduit depuis Exchange 2013. Ce monitoring est actif et essaye différentes actions correctrices pour rétablir le service aux utilisateurs le plus rapidement possible.

Ce monitoring peut redémarrer des services et forcer un crash pour rebooter le serveur et basculer les ressources automatiquement sur un autre serveur Exchange.

Si vous avez capturé le crash dans un fichier memory.dmp :
--------------------------------------------------------------------------------------

 Vous verrez en l'analysant qu'il s’agit généralement de stop F4 sur wininit ou stop EF sur wininit :

kd> !analyze –v
…
MODULE_NAME: wininit
PROCESS_NAME:  msexchangerepl
BUGCHECK_STR:  0xEF_msexchangerepl
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT


Pour vérifier si un bluescreen/reboot sur un serveur Exchange 2013 a été déclenché par Exchange :
---------------------------------------------------------------------------------------------------------------------------------------------

La méthode la plus simple pour vérifier si un crash a été généré par Exchange à l’heure qui vous intéresse tient en une seule commande powershell à lancer sur la machine :

(get-winevent -LogName Microsoft-Exchange-ManagedAvailability/RemoteActionLogs | % {[XML]$_.toXml()}).event.userData.eventXml| ? {$_.ActionId -eq "ForceReboot"}  |fl TimeStamp,ReportingServer,RequesterName,ActionId;(get-winevent -LogName Microsoft-Exchange-ManagedAvailability/RecoveryActionResults| % {[XML]$_.toXml()}).event.userData.eventXml| ? {$_.Id -eq "ForceReboot"}  |fl StartTime,ResourceName , RequestorName, Id , Result , ExceptionName,ExceptionMessage

Voici un exemple de résultat:

TimeStamp       : 2014-11-11T23:20:47.8451131Z
ReportingServer : server01
RequesterName   : ActiveDirectoryConnectivityServerReboot
ActionId        : ForceReboot

StartTime        : 2014-11-13T10:31:07.2217142Z
ResourceName     : server00
RequestorName    : ActiveDirectoryConnectivityServerReboot
Id               : ForceReboot
Result           : Succeeded
ExceptionName    : [null]
ExceptionMessage : [null]

Ce type de demande peut faire suite à des accords signés entre les partenaires sociaux et la direction.

Comment alors la mettre en œuvre dans un environnement mutualisé comme Office365 ?

Voici les 3 solutions testées dans Office365 :

1 - Mise en attente des messages soumis en dehors des heures légales de travail

Cette solution s’appuie sur la mise en quarantaine des messages sur des critères choisis. Puis de libérer ensuite ces messages.

Exemple de commande Powershell qui crée une règle Transport avec comme nom AccordSyndical avec les critères suivants :

- s’applique à tous les messages envoyés par le domaine philphan.onmicrosoft.com (interne)

- est activée tous les jours entre 11h20 et 11h25 (prendre en compte le temps UTC)

- met en quarantaine ces messages

New-TransportRule -name AccordSyndical -SenderDomainIs philphan.onmicrosoft.com -quarantine:$true -ActivationDate '09:20:00' -ExpiryDate '09:25:00'

Les messages dont les expéditeurs ne font pas partie du domaine philphan.onmicrosoft.com sont bien remis dans les BAL.

Les messages envoyés tous les jours entre 11h20 et 11h25 ont été mis en quarantaine que ce soit pour des destinataires internes ou externes au domaine philphan.onmocrosoft.com.

Pour lister les messages mis en quarantaine :

Get-QuarantineMessage

On voit qu’il y a une date d’expiration qui est de 7 jours par défaut.

Maintenant pour relâcher tous les messages du domaine philphan.onmocrosoft.com actuellement en quarantaine :

Get-QuarantineMessage -domain philphan.onmicrosoft.com | Release-QuarantineMessage –ReleaseToAll -verbose:$true -confirm:$false

Et les messages sont alors délivrés aux destinataires aussi bien internes qu’externes.

2 - Génération d’un NDR (avis de non-remise), avec commentaire explicite lors de l’envoi d’un message en dehors des heures légales de travail

Le message envoyé est bien dans le dossier Eléments envoyés de l’expéditeur mais n’est jamais remis, un NDR est généré.

Au bout d’un certain nombre de NDR (avis de non-remise), on peut imaginer que l’expéditeur devrait comprendre qu’il est inutile d’envoyer des mails le WE.

Exemple de commande Powershell qui crée une règle Transport avec comme nom AccordSyndical avec les critères suivants :

- s’applique à tous les messages envoyés par le domaine philphan.onmicrosoft.com (interne)

- est activée tous les jours entre 15h45 et 15h50 (prendre en compte le temps UTC)

- rejette ces messages avec génération d’un NDR avec un code statut 7.1.100 et un commentaire personnalisé

New-TransportRule -name AccordSyndical -SenderDomainIs philphan.onmicrosoft.com –ActivationDate '13:45:00' -ExpiryDate '13:50:00' -RejectMessageEnhancedStatusCode 5.7.100 -RejectMessageReasonText "Les accords syndicaux en vigueur empêchent l'envoi de mails en dehors des heures légales de travail."

L’expéditeur reçoit alors le NDR avec le commentaire personnalisé.

3 - Impossibilité d’accéder à sa boîte aux lettres en dehors des heures légales de travail

Une solution « radicale » consiste à ne plus permettre aucun accès à la BAL quel que soit le client utilisé (Outlook, OWA, terminal mobile, application) : Il suffit de désactiver tous les protocoles d’accès à la boîte aux lettres.

Ceci est illustré en mettant à False tous les « protocolesEnabled » surlignés en jaune ci-dessous.

Exemple de commande Powershell qui désactive le protocole OWA pour l’utilisateur user3 :

Set-CASMailbox -identity user3 -OWAEnabled:$false

2 points techniques à prendre en compte :

1. Il n’y a pas moyen de spécifier une périodicité par jour dans les règles Transport, tous les lundis par exemple.
2. Le nombre maximal de règles Transport est de 100 actuellement.

Donc pour assurer que les commandes soient exécutées aux heures dites :

1. Soit on planifie une tâche depuis un serveur on premise ou une station de travail qui se connecte en EXO PowerShell et active les règles puis les désactive aux moments souhaités (périodes récurrentes).
2. Soit on crée autant de règles Transport que nécessaire dans la limite de 100, une pour les jours de la semaine et une par weekend.

Pour résumer ces différentes propositions :

• Elles sont simples à mettre en œuvre.

• Elles peuvent être démontrées rapidement.

• Il est possible grâce à des options/exceptions d’obtenir une relative souplesse dans les règles mais nous ne pouvons pas garantir de répondre à l’ensemble de la diversité des différentes demandes de nos clients.

D’autres pistes ont été évoquées et/ou testées mais elles étaient soit impossibles à réaliser, soit elles nécessitaient un développement spécifique et étaient donc difficiles à mettre en œuvre.

De plus chaque accord d’entreprise contient des spécificités (par exemple : envoi possible mais pas de réception avant le lendemain matin ou le lundi matin, pas d’accès aux mails du tout, alertes à émettre,  gérer des exceptions pour certaines catégories de personnel, etc…). Il n’est donc pas possible de répondre de manière unique à toutes les demandes.

L'autodiscover est le processus qui va vous permettre de paramétrer votre poste utilisateur ou votre terminal mobile.
Il est donc fondamental que celui-ci fonctionne.
Dans la vidéo suivante, vous allez voir comment valider depuis un poste client, le bon fonctionnement de l'autodiscover:

Voici les commandes utilisées:

get-mailbox shared | fl *recipientt*
get-mailbox user1 | fl *recipientt*
Add-MailboxPermission -Identity shared -User user1 -AccessRights fullaccess
Get-MailboxPermission -Identity shared -User user1 | ft -AutoSize
Add-RecipientPermission -Identity shared -Trustee user1 -AccessRights sendas

#Créer et ajouter des licenses pour de multiples utilisateurs

#1. Créer 10 bulk users, il faut modifier le nom de tenant O365.

1..10 | % { New-MsolUser -UserPrincipalName "user$_@90schrono.onmicrosoft.com- -DisplayName -User $_- }

#2. lister les utilisateurs sans licenses

Get-MsolUser -UnlicensedUsersOnly

#3. Définir leur emplacement esy nécessaire avan de pouvoir assigner une license
t
Get-MsolUser -UnlicensedUsersOnly | Set-MsolUser -UsageLocation FR

#4. Assinger une license a tous les utilisateurs n'ayant pas de license.
Get-MsolUser -UnlicensedUsersOnly | Set-MsolUserLicense -AddLicenses (Get-MsolAccountSku).AccountSkuId

Il avait été constaté avant Exchange 2003 que de nombreux certificats étaient stockés inutilement dans l’OAB engendrant une taille conséquente de celui-ci. Ces certificats étaient soient expirés ou non utilisables pour l'encryption des e-mails.

Dans un souci de réduire la taille de l'OAB, le groupe produit a décidé de filtrer les certificats dans l'OAB à partir d'Exchange 2003.

L'algorithme de filtrage fonctionne comme suit pour toutes les versions de l'OAB :

Tout d'abord, lors de la génération de l’OAB, on tente d'ouvrir chaque certificat pour chaque destinataire en utilisant l'API Windows Crypto .

Si Windows ne reconnaît pas le certificat, ci est rejeté.

Si le certificat peut être ouvert avec succès , l'utilisation de la clef (KEY USAGE) est récupérée et vérifiée pour voir si les bits CERT_DIGITAL_SIGNATURE_KEY_USAGE ou CERT_NON_REPUDIATION_KEY_USAGE  sont positionnés.

Si l'un est défini, alors le certificat peut être utilisée pour la signature électronique .

Si les bits CERT_KEY_ENCIPHERMENT_KEY_USAGE ou CERT_KEY_AGREEMENT_KEY_USAGE sont positionnés, le certificat peut être utilisé pour le cryptage de message.

Si les deux sont vrais, alors le certificat pourrait être inclus dans l'OAB . Si le certificat ne dispose pas d'un usage spécifiquement défini, il est supposé qu’il peut être utilisé pour tout et doit donc être inclus .

Ensuite, le générateur de OAB vérifie le champ d'utilisation améliorée de la clé (Enhanced key usage) du certificat .Encore une fois, si ce champ n'est pas spécifié, il est supposé qu'il peut être utilisé pour quoi que ce soit et donc le certificat est inclus dans l'OAB . Le générateur de OAB vérifie ensuite  l' identifiant OID_PKIX_KP_EMAIL_PROTECTION afin de déterminer si le certificat peut être utilisé pour le courrier électronique . Les Certificats EFS seront supprimés , car ils n'ont que l' identifiant OID_PP_EFS  mis et pas d'autres .

Enfin après avoir vérifié les restrictions ci-dessus , le générateur de OAB lit la date de péremption indiquée sur le certificat . Si elle a expiré, le certificat est supprimé indépendamment de son type d’ utilisation.

Après avoir effectué toutes ces opérations, les certificats restants pour l'actuel destinataire sont inclus dans l'OAB .

Un événement 9323 est enregistré pour le destinataire actuel si l'enregistrement OAL est réglé sur moyen Les certificats invalides ou périmés sont rejetés . Lorsque la génération de l'OAB a terminé , un événement 9320 est généré.

Comme un mécanisme de sécurité , le comportement du filtrage des certificats OAB peut être personnalisé dans une certaine mesure . Si un logiciel de certificats tiers est utilisé  pour Outlook qui stocke les certificats dans l'attribut UserCertificate , ou un nouveau format de codage de certificat que l'OAB ne comprend pas,  une valeur de registre peut être positionnée sur le serveur de génération de l'OAB.

La valeur de Registre peut désactiver le filtrage des certificats entièrement, ou partiellement.

La valeur de Registre de type DWORD est :

HKLM\System\CurrentControlSet\Services\MSExchangeSA\Parameters\OAL Invalid Cert Behaviour

 Les valeurs sont :

•  0 : valeur par défaut si non mise

Filtre tous les certificats et rejette tous les certificats qui ne peuvent pas être

décodés (invalides), les certificats expirés, les certificats de signature

uniquement, les certificats qui ne sont pas d'usage emails.

• 1 : Inclut les certificats invalides d'usage email et rejette les certificats expirés

et de signature uniquement.

• 2 : Inclut les certificats de signature uniquement et rejette les certificats

invalides d'usage email et les certificats expirés .

• 3 : Ne filtre pas l'oab.

A noter que la modification de cette valeur de registre peut entraîner un téléchargement complet de l'OAB.

le sujet de cette vidéo est l'outil de diagnostic ExRCA qui permet de simuler toutes les activités qu'un client doit être capable d'effectuer pour se connecter. Il permet donc de mettre en évidence les problèmes connectivité entre le client et le service Office 365.

Vidéo : O365 : Analyseur de connectivité ExRCA

L'outil est disponible sur le lien suivant :

https://testconnectivity.microsoft.com/

Une version cliente peut être également installée en locale pour effectuer les tests depuis votre réseau. Les prérequis sont un poste en windows 7 ou windows 8 en 64 bits avec le .Net 4.5.

Lorsque le setup d'Exchange 2013 est lancé pour préparer l'AD dans une organisation en mode hybride, le message suivant est généré :
A hybrid deployment with Office 365 has been detected. Please ensure that you are running setup with the /TenantOrganizationConfig switch.
To use the TenantOrganizationConfig switch you must first connect to your Exchange Online tenant via PowerShell and execute the following command:

"Get-OrganizationConfig | Export-Clixml -Path MyTenantOrganizationConfig.XML"

Une fois ce fichier XML généré, la préparation de l'AD se termine correctement.

Cette vidéo vous montre comment faire un suivi de message pour un compte administrateur d'un tenant O365:

Cette vidéo vous présente la méthode pour qu'un utilisateur puisse suivre un message depuis son interface O365:

http://youtu.be/L64Cqyt2Z7w

Cette vidéo vous explique comment faire une recherche EDiscovery dans le centre d'administration Exchange :

http://youtu.be/wjOsAKGHa1A

La découverte électronique locale dans Exchange Online permet d'effectuer des recherches de découverte de contenu approprié dans les boîtes aux lettres.
Le centre d'administration Exchange (CAE) offre une interface simplifiée pour faciliter les recherches.

Il faut assigner le rôle (RBAC) Gestion de la détection pour déléguer les tâches de découverte au personnel non technique.

Les utilisateurs autorisés peuvent exécuter une découverte électronique locale et sélectionner l'une des actions suivantes :

• Estimation des résultats de recherche Activez cette option pour obtenir une estimation de la taille totale et du nombre d'éléments qui seront renvoyés par la recherche d'après les critères que vous spécifiez.

• Afficher un aperçu des résultats de la recherche Activez cette option pour afficher un aperçu des résultats. Les messages renvoyés depuis chaque boîte aux lettres faisant l'objet d'une recherche sont affichés.

• Copier les résultats de la recherche Activez cette option pour copier des messages dans une boîte aux lettres de découverte.

Voici l'article technet pour plus d'information :

http://technet.microsoft.com/fr-fr/library/dd353189(v=exchg.150).aspx

Dans cette vidéo, nous allons voir comment configurer un relais smtp avec office 365.

Voici le lien vers l'article technet correspondant:

http://technet.microsoft.com/en-us/library/dn554323.aspx 

La vidéo est disponible ici; http://youtu.be/WM2kZAwCO38

Cette vidéo décrit comment importer le powershell azure AD dans n'importe quelle fenêtre powershell.
Cette configuration vous permettra d'avoir accès en même temps aux cmdlet AD Azure, SharePoint online, Exchange Online ou Lync Online.

Microsoft Online Services Module for Windows PowerShell
http://www.microsoft.com/en-us/download/details.aspx?id=39267

Windows Azure Active Directory Module for Windows
PowerShell
32-bit version: http://go.microsoft.com/fwlink/?linkid=236345  
64-bit version: http://go.microsoft.com/fwlink/?linkid=236293

Retrouvez la video ici: http://youtu.be/nB7bsUtNnjU

Nous allons voir comment modifier le quota d'une boîte aux lettres avec powershell.

Voici les commandes utilisées:

Get-Mailbox testautod | fl *typed*, p*quota*,i*quota*

set-Mailbox testautod -ProhibitSendReceiveQuota 10GB -ProhibitSendQuota 9.75GB -IssueWarningQuota 9.5GB

Retrouvez la video ici: http://youtu.be/Q9sKzICYuVQ

Dans cette vidéo nous verrons comment créer une organisation (tenant) de test valable 30 jours pour se connecter à office 365 et tester les différentes fonctionnalités.

Voici le lien pour créer le tenant de test:
http://office.microsoft.com/fr-fr/business/microsoft-office-365-pour-les-entreprises-FX103030346.aspx

Pour voir la video sur la chaîne Office 90s Chrono dédiée à 365:
http://youtu.be/DtRJoXSY1FU

Nous allons voir comment utilisez la cmdlet Test-MigrationServerAvailability pour  tester la disponibilité du serveur cible en vue d'effectuer une migration de boîtes aux lettres locales vers Exchange Online.

Attention les indentfiants a rentrer dans le $cred=get-credential  sont ceux d'un administrateur locale situé dans votre organisaton Exchange Locale.

Voici le script utilisé:

$cred=get-credential
Test-MigrationServerAvailability -ExchangeOutlookAnywhere -RPCProxyServer mail.tgermain.msftonlinerepro.com -ExchangeServer exc2013.contoso.lab -EmailAddress admine15@tgermain.msftonlinerepro.com -Credentials $cred

ainsi que le lien technet

http://technet.microsoft.com/fr-FR/library/jj219169(v=exchg.150).aspx

La video se trouve ici: http://youtu.be/9KlzmEWb8R4

Cette video présente le processus de réinitialisation de mot de passe.

http://youtu.be/gNowBudmjSg

Cette video présente l'ajout d'un domaine de messagerie sous Office 365 avec Exchange online

http://youtu.be/wytOFSWf7ew

.

Cette vidéo montre la création d'une boîte aux lettres Office 365 dans un environnement hybrid avec Exchange 2013

http://youtu.be/IUxI0LSUxgc

Cette vidéo vous montre comment déplacer une boite aux lettres depuis O365 vers votre environnement OnPremise.

Durant cette vidéo, vous verrez un problème rencontré lors du déplacement dont le symptôme est que le processus de déplacement ne trouve pas de destinataire OnPremise.

Egalement, vous verrez comment suivre en temps réel, vos déplacement;

Le déploiement du mode Hybride offre l'apparence homogène d'une organisation Exchange unique entre une organisation Exchange Server 2013 locale et Exchange Online dans Microsoft Office 365.

L'installation de ce mode se fait via un assistant. Vous trouverez la vidéo de l'installation de ce mode via l'assistant ici:

http://youtu.be/FOj5gySkAR4

Articles sur le sujet:

http://technet.microsoft.com/fr-fr/library/hh529921(v=exchg.150).aspx

Pré requis:

http://technet.microsoft.com/fr-fr/library/jj984289(v=exchg.150).aspx

Voici le script utilisé:

Set-ExecutionPolicy RemoteSigned
$LiveCred = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic -AllowRedirection
Import-PSSession $Session

pour se déconnecter:

Get-pssession | remove-pssession

Vidéo: http://youtu.be/XX0HYyC54bEPublish

DirSync est un outil qui vous permet de synchroniser votre annuaire Exchange OnPremise avec vos boites aux lettres situées dans le Cloud.

C'est grâce à cette synchronisation d'annuaire que vous allez permettre aux personnes qui ont leur boite aux lettres hébergée dans le Cloud de continuer à voir l'ensemble des utilisateurs de l'annuaire d'entreprise.

Cette vidéo vous montre comment installer l'outil:

Découverte de l'outil powershell ISE pour se connecter à Office 365

Voici le Script utilisé:

# Section1: this will record the password encrypted

# the line bleow is to the executed each time you need the record the password
#read-host -assecurestring | convertfrom-securestring | out-file C:\securestring.txt

# Specify your administrative user credentials on the line below

$user = "admin@XXXX.OnMicrosoft.com"
$password = cat C:\securestring.txt | convertto-securestring
$cred = new-object -typename System.Management.Automation.PSCredentia­l -argumentlist $user, $password

#Section 2: This will pop-up a dialog and request your password please make sure that section 1 is in comment

#$cred = Get-Credential

#——-- Import the Local Microsoft Online PowerShell Module. AZURE Directory rights Cmdlets and Connect to O365 Online / AD RMS———--

Import-Module MSOnline
Import-Module AADRM
Connect-AadrmService -Credential $cred
Connect-MsolService -Credential $cred

#———— Establish an Remote PowerShell Session to Exchange Online ———————
$msoExchangeURL = "https://ps.outlook.com/powershell/"

$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri $msoExchangeURL -Credential $cred -Authentication Basic -AllowRedirection

Import-PSSession $session

#——————————————————————————————--

# You can now use the:

# 1] MSOL Powershell cmdlets such as Get-MsolUser

# 2] Exchange Online cmdlets such as Get-Mailbox

# ** It is good to remove your Remote Exchange Online session when you are all done.

# Remove-PsSession $session

Vidéo: http://youtu.be/dJzsL6OXCY8

Une boîte aux lettres partagée est une boîte aux lettres à laquelle plusieurs utilisateurs ont accès pour lire et envoyer des messages électroniques.

Aussi, afin d'en faire une bonne utilisation, vous trouverez ci-dessous quelques rappels et bonnes pratiques.

Point 1 : la création d'une boite partagée.

 Pour cela il faut :

•   Assigner la permission FullAccess à l'utilisateur ou à un groupe de sécurité permettant d'ouvrir la boite partagée soit en passant par l' ECP ou soit avec la commande
     Powershell suivante :

 Add-MailboxPermission "Info Services" -User InfoSG -AccessRights FullAccess

•  Assigner la permission SendAs ou SendOnBehalf pour envoyer en tant que ou de la part de la boite partagée.

• La permission SendAs peut se mettre dans l'ECP ou par powershell :

 Pour O365 :

 Add-RecipientPermission "Info Services" -Trustee InfoSG -AccessRights SendAs

 Pour Exchange 2013 :

 Add-ADPermission -Identity "Ellen Adams" -User AaronPainter -AccessRights ExtendedRight -ExtendedRights "send as"

• La permission SendOnBehalf ( En tant que) peut se mettre avec la commande : Set-Mailbox Info -GrantSendOnBehalfTo UserWhoSends

 Une fois que vous avez positionné la permission FullAccess à un utilisateur, la boite partagée va apparaître automatiquement sous Outlook grâce au mappage automatique.

 Cette fonctionnalité peut être désactivée par commande Powershell. La procédure est décrite dans cet article :

http://support.microsoft.com/kb/2646504

Point 2 : l'ouverture de la boite partagée en compte additionnel.

Si le mappage automatique est désactivé, la boite partagée peut être ouverte en compte additionnel.

 Néanmoins ce n'est pas possible dans les cas suivants :

•  Utilisation d'une boite aux lettres sous O365 sans licence ( -Shared est utilisé).

• Les utilisateurs ont le droit SendOnBehalf.

 En effet en ajoutant une boîte aux lettres partagée de cette manière, vous agissez comme le propriétaire de cette boite partagée.

Le droit SendOnBehalf agira donc comme un SendAs.

 Cet article décrit le problème :

http://support.microsoft.com/kb/2688358

 Point 3: L'ouverture en boite additionnelle.

 Lorsque la boite partagée est ouverte en boite additionnelle, pour avoir les éléments envoyés ou supprimés dans la boite partagée au lieu de la boite de l’expéditeur, il faut :

• Mettre à jour Outlook.
• Etre en mode cache.
• Pour les Eléments Envoyés, mettre la clef de registre DelegateSentItemsStyle

Voir cet article : http://support.microsoft.com/kb/2843677

• Pour les Eléments Supprimés, mettre la clef de registre DelegateWastebasketStyle

Voir cet article pour la valeur http://support.microsoft.com/kb/202517

 Point 4 : Problème de performance.

 Il peut être nécessaire dans certains cas de décocher le cache des dossiers partagés.

 Pour plus d'information, se reporter à cet article :

 2297543   Problèmes de performances lorsque vous essayez d'accéder aux dossiers dans une
boîte aux lettres secondaire dans Outlook
http://support.microsoft.com/kb/2297543