I- Ce post concerne l’installation de Exchange 2010 avec les rôles CAS, HUB,MAILBOX installés sur  un serveur Windows 2008 R2

Pour les informations complètes sur les prérequis pour les autres systèmes d’exploitation, voir l’aide en ligne de Exchange 2010 à l’adresse :

http://technet.microsoft.com/en-us/library/bb691354.aspx

Nous allons nous focaliser sur la partie de l’activation des additifs de Windows 2008 R2 pour l’installation d’un serveur Exchange 2010 hébergeant les rôles CAS, HUB et MAILBOX, la partie :

1. Import-Module ServerManager

2. Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy –Restart

   ---

II- Vérifiez que les prérequis sont bien installés.

- Pour cela, nous allons créer une variable PowerShell contenant la liste de tous les services censés être installés sur le serveur, comme suit :

$WinFeat="Net-Framework","RSAT-ADDS","Web-Server","Web-Basic-Auth","Web-Windows-Auth","Web-Metabase","Web-Net-Ext","Web-Lgcy-Mgmt-Console","WAS-Process-Model","RSAT-Web-Server","Web-ISAPI-Ext","Web-Digest-Auth","Web-Dyn-Compression","NET-HTTP-Activation","RPC-Over-HTTP-Proxy"

Cette variable sera donc automatiquement typée comme “tableau” ou “array”

- Puis, pour chaque objet de la variable, nous allons lister le statut de l’installation.

Note : le module “ServerManager” doit être chargé à chaque nouvelle session PowerShell. Si vous voulez que le module “ServerManager” soit chargé à chaque démarrage de session PowerShell, ajoutez la ligne “Import-Module” au niveau de votre profil PowerShell.

Visitez la page http://msdn.microsoft.com/en-us/library/bb613488(VS.85).aspx pour plus d’informations sur les profils PowerShell

$winFeat | ForEach-Object {get-WindowsFeature -Name $_}

Display Name                                            Name

III- Deuxième Vérification : vérifier le nombre de services installés !

Pour vérifier que tous les objets sont bien listés, utilisez la propriétés de comptage des objets : (Nom de l’objet).Count

Utilisez cette propriété pour la variable “Array” $WinFeat de notre exemple, ET AUSSI pour le nombre de résultats de la commande ForEach comme suite :

($WinFeat).count

Résultat : 15

($winFeat | ForEach-Object {get-WindowsFeature -Name $_}).count

Résultat : 15

Pourquoi ? Simplement pour vérifier qu’aucune erreur de frappe n’a été commise au niveau de la liste des additions Windows de la variable $WinFeat. Si une erreur de frappe est commise (exemple j’ai fait l’erreur au niveau du dernier nom “RPC-Over-HTTP-Proxu”, la commande ForEach-Object ne m’a retourné que 14 objets …) cette astuce nous permettra donc d’éviter les erreurs bêtes au niveau de l’activation des prérequis de Windows pour Exchange 2010 !

CQFD.

Have fun !

Securing MS Exchange 2010: Role Based Access Control (RBAC) Simplified

The link has changed in 2013, here is the new location of my article :

http://blogs.technet.com/b/mspfe/archive/2010/11/23/securing_2d00_ms_2d00_exchange_2d00_2010_2d00_role_2d00_based_2d00_access_2d00_control_2d00_rbac_2d00_simplified.aspx

Sam

I – Configuration de ports statiques pour la réplication AD et le service de réplication de fichiers

• Sélectionner 2 ports entre 49152 et 65535 (dans notre exemple nous prendrons 60000 et 60001 – en Hexa:EA60 et EA61)
• Sur tous vos DCs de votre forêt, ajoutez les clés de registre suivantes :
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    • Nom de valeur : RPC TCP/IP Port Assignment
    • Type de valeur: REG_DWORD
    • Donnée de valeur : 60000 (en Hexa : EA60)
  • KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTFRS\Parameters
    • Nom de valeur: TCP/IP Port
    • Type de valeur: REG_DWORD
    • Donnée de valeur: 60001 (en Hexa : EA61)

II – Configuration des pare-feux pour vos contrôleurs de domaine via GPO

• 2 possibilités, au choix :
  • sur la stratégie “Default Domain Controller”
  • dans une nouvelle stratégie que vous lierez qu conteneur “Domain Controllers”

Pour changer ou créer une nouvelle stratégie, le moyen le plus pratique est d’utiliser la console GPO “GPMC” (pour Group Policy Management Console) disponible à l’adresse suivante : http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=en

Fig.- Console GPMC

• Avant de commencer :

Sachez que deux configurations du pare-feu Windows sont utilisées par les machines Windows :

• profil “Domain” – utilisé lorsqu’un ordinateur est joint à un domaine
• profil “Standard” – utilisé lorsqu’un ordinateur n’est pas joint à un domaine.

Spécificité des DCs : Un DC Windows 2003 utilisera le profil “Domain” après sa promotion, puis le profil “Standard” après sa première réplication et un redémarrage ultérieur (référence : http://support.microsoft.com/kb/555381/en-us)

Pour configurer les paramètres du pare-feu de vos contrôleurs de domaines, utilisez donc les MEMES réglages pour les profils “Domain” et “Standard” qui se trouvent au niveau du conteneur suivant dans l’éditeur de stratégies GPO :

Computer Configuration\

Administrative Templates\

Network\

Network Connections\

Windows Firewall\

Domain Profile OR Standard Profile

(référence : http://technet.microsoft.com/en-us/library/cc785865(WS.10).aspx)

Illustrations:

Fig.- Console GPMC – un clic droit sur la stratégie “Default Domain Controllers Policy” ouvrira la fenêtre d’édition de la stratégie (Group Policy Object Editor)

Fig.- Fenêtre d’édition de GPO – focus sur les profils du pare-feux Windows (Domain et Standard)

III – Configuration des stratégies pour le pare-feux Windows “Domain” et “Standard”

a. Windows Firewall: Protect all network connections – Enabled

b. Windows Firewall: Allow remote administration exception – Enabled

ce point active les ports 135 (RPC) et 445 (SMB)

b. Windows Firewall: Allow file and printer sharing exception: – Enabled

c. Windows Firewall: Define port exceptions: – Enabled

liste des ports à renseigner dans la liste d’exception de ports (rentrer chaque ligne telle quelle):

123:udp:*:enabled:NTP
3268:tcp:*:enabled:Global Catalog LDAP
389:tcp:*:enabled:LDAP
389:udp:*:enabled:LDAP
53:tcp:*:enabled:DNS
53:udp:*:enabled:DNS
60000:tcp:*:enabled:AD Replication (Note: port choisi au préalable c.f. paragraphe II-)
60001:tcp:*:enabled:File Replication Service (Note: port choisi au préalable c.f. paragraphe II-)
88:tcp:*:enabled:Kerberos
88:udp:*:enabled:Kerberos

Fig.- Liste des ports telle qu’elle doit apparaître dans la liste d’exception de ports

IV – Références

How to configure Windows Server 2003 SP1 firewall for a Domain Controller
http://support.microsoft.com/kb/555381/en-us

Help: Administering Windows Firewall with Group Policy
http://technet.microsoft.com/en-us/library/cc785865(WS.10).aspx

Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx

Restricting Active Directory replication traffic and client RPC traffic to a specific port
http://support.microsoft.com/kb/224196/en-us

Pour référence, un extrait de la documentation BlackBerry contenant la formule permettant le calcul des l’impact en nombre de transferts disque par seconde (IOPS) pour une infrastructure comportant des utilisateurs BlackBerry :

The performance benchmarking tests revealed that the IOPS (disk throughput) requirement of a BlackBerry® device user is similar to the IOPS requirement of a Microsoft® Outlook® 2007 online-mode user. You can use the following formula to estimate the impact that BlackBerry device users might have on the Microsoft® Exchange 2010 messaging server:

(number of non-device users x base IOPS/user)

+ (number of BlackBerry device users x BlackBerry IOPS/user)

+ [number of BlackBerry device users and Microsoft Outlook users x (base IOPS/user + device IOPS/user)]

For example, Microsoft estimates a peak value of 0.12 IOPS per user with an average workload of 100 email messages per day. If you have 800 BlackBerry device users, 800 Microsoft Outlook users, and 400 BlackBerry device users and Microsoft Outlook users (a total of 2000 users), you can use the following calculation:

(800 x 0.12) + (800 x 0.12) + [400 x (0.12 + 0.12)] = 288 IOPS (overall average of 0.14 IOPS per user)

Référence :

Documentation BlackBerry :

http://docs.blackberry.com/en/admin/deliverables/16010/BlackBerry_Enterprise_Server_for_Microsoft_Exchange-Performance_Benchmarking_Guide--1141931-0513042327-001-5.0.1-US.pdf

Vous ne les avez peut-être pas remarqués, mais les exécutables suivants dans le répertoire \WINDOWS\System32 vous permettent de gérer les machines virtuelles sous Windows 7 :

VPCWizard.exe

VMWindow.exe

VPCSettings.exe

• Créer de nouvelles machines virtuelles
  • VPCWizard.exe
• Régler les paramètres de disques durs virtuels
  • VPCWizard.exe /type evhd /filepath <vhdfile>
• Créer une nouvelle image VHD
  • VPCWizard.exe /type vhd

• Ouvrir la fenêtre des machines virtuelles
  • VMWindow.exe
• Lancer une machine virtuelle
  • VMWindow.exe –file <vpcfile>

• Configurer vos machines virtuelles
  • VPCSettings.exe

Pour une meilleure lisibilité en attendant que je trouve le moyen de formatter correctement ce post sur ce blog, vous pouvez consulter l’article précédent sur le lien suivant :

http://samdrey.wordpress.com/2010/11/11/tip-powershell-exchange-2010-setup%e2%80%93windows-2008-r2-prerequisites%e2%80%93check-all-required-windows-features-are-installed/

Mes excuses pour ce problème temporaire,

Sam.