Exchange 2010 : Mono-forêt ou Multi-forêts ?

La mise en place d’un environnement Exchange 2010 va nécessiter un certain nombre d’opérations et bien évidement l’installation des services d’annuaire Active Directory.

Dans le cas d’une installation toute nouvelle, comme les projets de migration depuis un autre système de messagerie, la question que l’on peut se poser est :

Quel emplacement pour les ressources Microsoft Exchange 2010 ?

 

Il existe effectivement plusieurs scénarios possibles. Le plus courant est l’inclusion des services Exchange dans l’environnement Active Directory de production comprenant les utilisateurs, les ordinateurs etc..(ADUC). Cependant, même si cela représente le moyen le plus simple, nous verrons qu’au fils du temps ce scenario peut être un frein à l’évolution des systèmes. L’alternative consiste alors à volontairement séparer l’environnement Active Directory (Active Directory Users and Computer) de l’environnement Active Directory utilisé de facto uniquement pour Microsoft Exchange (Active Directory For Exchange). Alors me direz-vous quels intérêts ?

 

Même si d’un premier abord cela parait superflu, la mise en place d’un service d’annuaire dédié et exclusivement réservé aux systèmes de messagerie à des avantages non négligeables.

Le premier est de n’avoir aucun impact sur l’environnement Active Directory de production. C’est effectivement un avantage de taille.

 

Dans la plupart des grandes entreprises, il reste relativement compliqué de procéder à une extension de schéma, quand celle-ci, tout simplement est possible.

Dans le meilleur des cas, la mise à jour des services d’annuaire s’avéra possible mais aura un impact global sur la forêt de production. De ce fait elle devra faire l’objet d’une demande de changement (Request For Change). De par son importance, elle sera attentivement examinée par les services gérants les modifications (CAB). Il vous sera demandé naturellement des précisions quant aux changements apportés, des garanties de retour arrière, un plan qualité, des procédures permettant de s’assurer que ces modifications se sont propagées correctement et quelles ont été convenablement pris en compte par les différents contrôleurs de domaine. Bref en deux mots, un petit projet Active Directory dans votre projet Messagerie.

Dans le pire des cas ces modifications seront retardées car la totalité des serveurs contrôleur de domaine ne permettent pas de supporter cette extension. Présence de DC Windows 2000 voir NT4. Si cela existe encore ? Oui je vous l’assure de moins en moins mais cela existe encore. On ne peut pas demander à une entreprise internationale de plusieurs milliers d’utilisateur comprenant plusieurs dizaines voir plusieurs centaines de site d’avoir des DC de dernière version.

 

L’autre problématique que vous aurez à gérer est également liée à l’évolution des services Exchange. Si vous regardez un tantinet en arrière, vous vous apercevrez que bon nombre de service pack ont nécessité la mise à jour du schéma et que par conséquent vous devrez effectuer ses modifications à chaque reprise. Si votre forêt comporte 3 dc pas de souci, si elle en compte plus d’une centaine dans un environnement international cela s’avèrera un tout petit peu plus compliqué…..

 

Le second avantage de la mise en place d’une forêt Exchange, est la dissociation complète des responsabilités de gestion. A chaque compétence, son domaine prédilection. L’intérêt est qu’une modification d’une GPO serveur dans l’environnement de production (ADUC) n’aura, par exemple aucun d’impact sur les serveurs de messagerie et inversement sur l’Active Directory de production. Une défaillance des services d’annuaire ou une modification importante de structure ne viendra pas gêner les services Exchange. En dissociant les responsabilités, et parce que l’erreur est principalement humaine, vous répartissez naturellement les risques technologiques et facilitez leurs discernements. Il sera également plus simple de s’engager sur des niveaux de services.

 

Le troisième avantage réside dans la sécurisation de l’environnement concerné. Le fait de mettre en place une forêt Active Directory dédiée à Microsoft Exchange vous permet de mieux gérer les flux de communication et vous ouvre la possibilité de mettre en place votre solution de messagerie dans un environnement sécurisé de type DMZ applicative. C’est ce que l’on retrouve dans des entreprises à fortes contraintes sécuritaires. Le fait de faire cela, permet par conséquence l’isolation des services Exchange et un contrôle précis des flux qui lui sont adressé. La fermeture des flux Active Directory de l’environnement Exchange à tout le réseau de l’entreprise ou presque, diminue par conséquent la surface d’attaque. Cette configuration sera notamment très intéressante si votre entreprise a pour velléité, d’offrir des services de messagerie à des partenaires tiers sans pour cela, leurs ouvrir à bras le corps, l’annuaire de production (Aduc).

 

Le quatrième avantage est la réduction des problèmes de sécurité qui pourrait se poser lors de la mise en place de services tiers. Je pense notamment aux serveurs BlackBerry, hantise des RSSI…, qui ont une fâcheuse manie d’avoir des prérogatives importantes sur l’environnement de production Exchange. , Même si celle-ci n’est jamais parfaite, leur enclavement dans cette zone protégée facilitera de fait leur sécurisation et leurs implantations.

 

Des inconvénients ?

Il y en a bien sûr ! Vous connaissez des systèmes qui n’en ont pas ?

Le premier est financier. Il vous en coutera a minima deux serveurs Windows 2008 /R2 64 pour l’hébergement Active Directory de Microsoft Exchange ainsi que deux serveurs « pizza »

Le second est que par conception cette architecture est dédiée à un déploiement fortement centralisé. Dans le cas contraire, on aura du mal en tout état de cause à réduire les risques de sécurité. L’intérêt principal de cette solution résidant dans un déploiement fermé au sein d’une zone protégée unique.

Le troisième inconvénient est l’introduction d’un point de rupture que va constituer la relation d’approbation. Sans cette dernière, point de salut. Mais des relations d’approbations qui s’arrêtent d’elle-même vous en avez-vous souvent ?

Le troisième inconvénient, marginal malgré tout, est qu’il complexifiera quelque peu votre environnement. Deux forêts au lieu d’une, c’est indéniable.

 

 

Conclusion

Plus indépendante, plus sécurisée, la mise en place d’une forêt Active Directory pour Microsoft Exchange possède des avantages sérieux. Plus agile (pour reprendre un vocabulaire tout à fait Microsoft ;-), elle permettra de faire évoluer rapidement les services de messagerie sans se soucier des versions de DC, de niveau fonctionnel de forêt de domaine de nombre de GC par site etc. Difficilement compatible avec un déploiement décentralisé, la solution mérite pour le moins d’être étudiée. Alors ……

 

Cordialement

Laurent Teruin

Questions / Réactions : unifiedit@hotmail.fr