Exchange 2013 – RPC c’est fini !

Bonjour à tous, avec l’arrivé du SP1 d’Exchange 2013, une nouvelle virtual directory fait son apparition dans IIS sur les serveurs d’accès client (CAS) :

MAPI

 
 

Ce changement prépare l’arrivée d’un nouveau mécanisme de communication à savoir MAPI/HTTP (MAPI over HTTP).

Prépare car il vous faudra aussi le SP1 d’Outlook 2013 pour que cela fonctionne.

 
 

Ce nouveau mécanisme vient remplacer (à long terme) celui actuellement en place : RPC/HTTP

 
 

 
 

Pourquoi un tel choix ?

Un question intéressante que l’on entend de temps en temps dans les moments de perturbations sur le service de messagerie est : « Pourquoi je continu à accéder à ma messagerie à travers mon browser et mon téléphone (OWA et ActiveSync) et pas Outlook ?! »

 
 

Le but est de :

Réduire la complexité du Protocol

Changement de réseau sans effets de bords (passage du LAN au WIFI ou encore WAN (pour les PC portable par exemple))

Ajouter le support de plus de type d’authentification

 
 

 
 

 
 

RPC se fait vieux, il est difficile d’introduire des changements …

 
 

RPC/TCP

Outlook <-> RPC <-> Réseau <-> RPC <-> Exchange

RPC/HTTP (/TCP)

Outlook <-> RPC/HTTP <-> Internet/Réseau <-> IIS <-> RPC <-> Exchange

MAPI/HTTP (/TCP)

Outlook <-> HTTP <-> Internet/Réseau <-> IIS <-> HTTP <-> Exchange

Plus de composants intermédiaires, Outlook et Exchange communiquent directement de façon sécurisée au travers d’HTTPS

Les commandes d’accès et de modification des objets de boite aux lettres (Remote Operations (ROPs)) se font directement sans RPC

 
 

La mise en place de ce nouveau mécanisme entre le client et le serveur se fera au moment de l’autodiscover :

Le client Outlook enverra HTTP Header (X-MapiHttpCapability) pour dire à Exchange qu’il supporte MAPI/HTTP

Exchange validera le support si lui-même le supporte et est bien activé

 
 

Attention : si le client utilisait jusqu’à maintenant RPC/HTTP et qu’il valide qu’il peut utiliser MAPI/HTTP, une boite de dialogue bien connue « Votre administrateur a fait des modifications qui demande le redémarrage d’Outlook » sera de retour ! Pour mettre à jour le profil de l’utilisateur (sans avoir besoin d’en créer un nouveau).

 
 

Au niveau d’Exchange les changements visibles :

Org Configuration

Get-OrganizationConfig | fl *mapi*

 
 

 
 

Set-OrganizationConfig -MapiHttpEnabled $true (par défaut sur le SP1, la fonctionnalité est désactivée)

CAS

 
 

MBX

 
 

Au niveau d’Outlook certain changements seront visibles :

Au niveau de l’AutoDiscover

Au niveau des connexions

emsmdb

nspi

Au niveau de l’onglet connexion du compte de messagerie dans les paramètres avancés, l’onglet « Connexion disparaitra lorsque le MAPI/HTTP aura été négocié

 
 

Détails sur MAPI/HTTP disponible ici : http://msdn.microsoft.com/en-us/library/dn530952(v=exchg.80).aspx

Et dans ces 3 vidéos :

http://channel9.msdn.com/Events/Open-Specifications-Plugfests/Redmond-Interoperability-Protocols-Plugfest-2013/Exchange-2013-and-MapiHttp

http://channel9.msdn.com/Events/Open-Specifications-Plugfests/Redmond-Interoperability-Protocols-Plugfest-2013/Outlook-2013-Client-Protocols

http://channel9.msdn.com/Events/Open-Specifications-Plugfests/Redmond-Interoperability-Protocols-Plugfest-2013/Exchange-2013-Protocols

 
 

Pour toutes questions n’hésitez pas.

Anthony Costeseque

Installer Exchange 2013 SP1

Maintenant que le SP1 est disponible, voyons comment l’installer.

 
 

Tout d’abord il faut vérifier que tout va bien dans votre infrastructure :

Get-Service -DisplayName *Exch* | ft -AutoSize

Get-ExchangeServer | ft -AutoSize -Wrap

Test-ServiceHealth

 
 

Ensuite avoir une sauvegarde de toutes les personnalisations que vous auriez pu faire sur Exchange.

Que toutes les personnalisations soient documentées pour pouvoir les réappliquer en cas de besoin.

 
 

En règle général on applique les CU / SP dans cette ordre :

internet-facing site en premier / puis les autres sites

0 – Les MultiRoles

1 – Les MBX

2 – Les CAS

 
 

Notre install ici est 2 CAS (EX15-CAS1.unifiedit.local & EX15-CAS2.unifiedit.local) avec un HLB et 2 MBX en DAG (EX15-MBX1.unifiedit.local & EX15-MBX2.unifiedit.local)

 
 

En premier lieu nous devons faire la mise à jour du schéma AD :

setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms

(setup.exe /prepareDomain /IAcceptExchangeServerLicenseTerms)

 
 

 
 

Puis nous pouvons passer aux MBX : EX15-MBX1.unifiedit.local & EX15-MBX2.unifiedit.local

 
 

# Etat du serveur EX15-MBX1.unifiedit.local

Get-ServerComponentState $env:COMPUTERNAME | Format-Table Component,State -Autosize

Get-MailboxServer $env:COMPUTERNAME | Format-Table DatabaseCopy* -Autosize

Get-ClusterNode $env:COMPUTERNAME | Format-List

 
 

# Si vous avez juste un MBX

Set-ServerComponentState $env:COMPUTERNAME -Component HubTransport -State Draining -Requester Maintenance

Redirect-Message -Server $env:COMPUTERNAME -Target EX15-MBX2.unifiedit.local

Set-ServerComponentState $env:COMPUTERNAME -Component ServerWideOffline -State Inactive -Requester Maintenance

 
 

# Si vous avez des MBX en DAG (mon cas)

Set-ServerComponentState $env:COMPUTERNAME -Component HubTransport -State Draining -Requester Maintenance

Redirect-Message -Server $env:COMPUTERNAME -Target EX15-MBX2.unifiedit.local

Suspend-ClusterNode $env:COMPUTERNAME

Set-MailboxServer $env:COMPUTERNAME -DatabaseCopyActivationDisabledAndMoveNow $True

Set-MailboxServer $env:COMPUTERNAME -DatabaseCopyAutoActivationPolicy Blocked

Set-ServerComponentState $env:COMPUTERNAME -Component ServerWideOffline -State Inactive -Requester Maintenance

 
 

 
 

 
 

Get-ServerComponentState $env:COMPUTERNAME | Format-Table Component,State -Autosize

Get-MailboxServer $env:COMPUTERNAME | Format-Table DatabaseCopy* -Autosize

Get-ClusterNode $env:COMPUTERNAME | Format-List

 
 

En ligne de commande en tant qu’administrateur :

Setup.exe /m:Upgrade /IAcceptExchangeServerLicenseTerms

 
 

 
 

Avec la GUI :

 
 

 
 

# Reboot

Restart-Computer

 
 

# Sortir le serveur du mode Maintenance

Set-ServerComponentState $env:COMPUTERNAME -Component ServerWideOffline -State Active -Requester Maintenance

Resume-ClusterNode $env:COMPUTERNAME

Set-MailboxServer $env:COMPUTERNAME -DatabaseCopyActivationDisabledAndMoveNow $False

Set-MailboxServer $env:COMPUTERNAME -DatabaseCopyAutoActivationPolicy Unrestricted

Set-ServerComponentState $env:COMPUTERNAME -Component HubTransport -State Active -Requester Maintenance

 
 

 
 

Get-ServerComponentState $env:COMPUTERNAME | Format-Table Component,State -Autosize

Get-MailboxServer $env:COMPUTERNAME | Format-Table DatabaseCopy* -Autosize

Get-ClusterNode $env:COMPUTERNAME | Format-List

 
 

 
 

# On vérifie que tout est revenu à la normal

Get-Service -DisplayName *Exch* | ft -AutoSize

Get-ExchangeServer | ft -AutoSize -Wrap

Test-ServiceHealth

 
 

# On fait la même opération avec EX15-MBX2.unifiedit.local

 
 

Une fois les MBX fait on passe au CAS : EX15-CAS1.unifiedit.local

Ici tout dépend de votre solution de répartition de charge (load balancer), le but étant d’isoler le serveur à mettre à jour au niveau de l’équipement.

Il ne reste plus qu’à faire l’installation et passer un reboot.

 
 

# On vérifie que tout est revenu à la normal

Get-Service -DisplayName *Exch* | ft -AutoSize

Get-ExchangeServer | ft -AutoSize -Wrap

Test-ServiceHealth

 
 

# On fait la même opération avec EX15-CAS2.unifiedit.local

 
 

Attention de bien réappliquer toutes les personnalisations que vous avez documentées au début.

 
 

Pour toutes questions n’hésitez pas.

Bonne installation.

Anthony Costeseque

Exchange 2013 – SP1 me voilà

1 an après sa sortie Exchange dans sa version 15 (2013) reçoit son premier Service Pack.

Même s’il s’agit finalement d’un gros CU4 :p d’ailleurs après le SP1 on aura le CU5.

 
 

 
 

Disponible ici : http://www.microsoft.com/download/details.aspx?id=41994

Et sa note de sortie ici : http://technet.microsoft.com/en-us/library/jj150489(v=exchg.150).aspx

What’s New note : http://technet.microsoft.com/en-us/library/jj907309(v=exchg.150).aspx

 
 

Au menu un certain nombre de nouveautés que ce soit du côté Architecture, Administration, Expérience Utilisateurs mais aussi du côté Sécurité / Compliance !

 
 

Du coté Architecture et Administration on a :

- L’ajout du support pour Windows Server 2012 R2 ainsi qu’un environnement AD 2012 R2.

- Le retour du rôle Edge Transport

- L’arrivé d’un nouveau protocole de communication pour Outlook (client lourd), j’ai nommé MAPI-HTTP (viendra remplacer RPC/HTTP (un poste sur ce point dans les jours qui arrivent))

- La liste des dernières commandes (cmdlets) PowerShell exécutées par l’utilisateur connecté à l’EAC (Admin Center) est maintenant disponible dans un menu prévu à cet effet.

 
 

 
 

- SSL Offloading est de retour, les Load Balancer pourront à nouveau s’occuper de cet tâche.

- Le DAG supporte le nouveau type de Cluster 2012 R2 qui permet de ne pas avoir de point d’acces administratif (pas de nom de cluster (CNO) ni d’IP de management)

 
 

Du coté Experience Utilisateurs on retrouve :

- Support d’ADFS (Federation Service) pour Outlook Web App (OWA)

- Support de S/MIME dans OWA (supporté à partie d’IE 9 (mmm XP c’est vraiment la fin …))

- Editeur de texte avancé (Rich) disponible dans OWA

- App Office (Mail Apps) dynamique pendant la composition dans nouvel élément

 
 

Pour finir Sécurité / Compliance :

- Politique de Tips pour DLP disponible dans OWA

- Politique et Classification DLP pour de nouvelles régions disponible

 
 

La mise à jour n’a rien de spéciale (un article pour bientôt sur le détail de la procédure) :

Préparation de l’AD

setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms

Mise à jour des serveurs avec la GUI ou en ligne de commande

 
 

setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms

 
 

La build de ce SP1 est : 15.0.847.32

 
 

Cela va faire un moment que cette version est testée par les TAP / MVP / Clients early adopter, pour permettre le déploiement d’une version de qualité ! :)

Bonne installation / mise à jour à tous,

Pour toutes questions n’hésitez pas.

Anthony Costeseque

Renouveler un certificat SSL Exchange

Bonjour à tous,

Pour des raisons de sécurité vos certificats SSL (web) expirent régulièrement, et proche du renouvèlement c’est souvent la panique, car c’est un sujet souvent mis de côté et qui finit par devenir obscur !

NOTE : Vous pouvez renouveler vos certificats à tous moment.

 

Voici une procédure pas à pas pour le renouvellement de vos certificats dans Exchange 2010 (marche aussi pour Exchange 2013).

Vérifier l’état de vos certificats

Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services

 

 

Ici on constate que le certificat que nous utilisons pour les web services va expirer.

Nous allons le renouveler.

 

Get-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4 | New-ExchangeCertificate -GenerateRequest:$True -PrivateKeyExportable:$True

 

 

Maintenant une request est en cours pour son renouvellement, le CSR est visible ici :

Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,CertificateRequest

 

 

Attention les balises :

—–BEGIN NEW CERTIFICATE REQUEST—–

—–END NEW CERTIFICATE REQUEST—–

Sont importantes !

 

Nous allons générer le certificat sur la PKI qui les émet dans votre organisation :

http://NomDeVotreServeurPKI/certsrv

 

Ici le web enrolement

 

Advanced certificate request

 

Submit a certificate request

 

Ne pas oublier les balises de début et de fin

Certificat de type Web Server (template par defaut)

 

 

Nous utiliserons le format DER

 

La différence est au niveau de l’encodage

 

Nous allons importer le nouveau certificat sur le serveur Exchange

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path « C:\Users\costeseque\Documents\certnewDER.cer » -Encoding Byte -ReadCount 0))

 

Mon nouveau certificat porte le Thumprint : 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A

 

Nous allons maintenant activer les services dessus.

Enable-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -Services SMTP,IIS,POP,IMAP

 

 

Nous pouvons maintenant supprimer l’ancien certificat

Remove-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4

 

 

Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,CertificateRequest

Pour vérifier que tout est OK

 

S’il ne s’agit pas du certificat local de votre serveur (utilisé pour les connecteurs SMTP de réception en général) il vous faudra exporter ce nouveau certificat pour l’importer sur tous vos serveurs fronteaux (CAS/HUB).

 

 

 

 

$Datas = Export-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -BinaryEncoded:$true -Password:(Get-Credential).password

Set-Content -path « C:\Users\costeseque\Documents\ExchangeCert2015.pfx » -Value $Datas.FileData -Encoding Byte

 

 

Nous allons maintenant l’importer sur les serveurs cibles

 

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path « C:\temp\ExchangeCert2015.pfx » -Encoding Byte -ReadCount 0)) -Password:(Get-Credential).Password

 

Le certificat porte la thumprint : 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A (la même que sur le serveur source)

 

Nous pouvons maintenant activer les services dessus :

Enable-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -Services SMTP,IIS,POP,IMAP

 

Puis supprimer l’ancien certificat :

Remove-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4

 

Cette opération sera à réaliser sur chaque serveur cible.

 

Bonne lecture

Pour toutes questions n’hésitez pas.

Bonnes fêtes de fin d’année à tous.

Anthony Costeseque

Exchange 2013 Liens utiles

Bonjour à tous,

Voici la liste des liens qui vous seront utiles pour votre déploiement Exchange 2013 :)

Exchange Team Blog : http://aka.ms/EHLO

Exchange 2013 IT Pro Forums : http://aka.ms/E15Forums

Exchange 2013 Developper Forums : http://aka.ms/E15DevForum

Exchange 2013 KB RSS Feed : http://aka.ms/Ex2013KB

Exchange Documentation : http://aka.ms/E15CHM

DLP Policy Templates : http://aka.ms/ExDLPUpd

Office Visio Stencils : http://aka.ms/O15Shapes

UM Language Packs : http://aka.ms/E15UMLP

EWS Managed API : http://aka.ms/EWSMAPI2

Server Role Requirements Calculator : http://aka.ms/Ex2013SRCalc

Server Role Requirements Calculator Read Me : http://aka.ms/Ex2013CalcRM

Exchange Server Jetstress 2013 : http://aka.ms/Jetstress2013

Exchange Deployment Assistant : http://aka.ms/ExDeploy

Microsoft Remote Connectivity Analyzer : http://www.ExRCA.com

Outlook Connectivity to Office 365 : http://aka.ms/outlookconnectivity

Exchange 2013 Management Pack : http://aka.ms/Ex2013MP

Office Configuration Analyser Tool : http://aka.ms/OffCAT

Office 365 Best Practices Analyzer for Exchange Server 2013 (BPA) : http://community.office365.com/en-us/wikis/deploy/office-365-best-practices-analyzer-for-exchange-server-2013.aspx

Exchange Server Profile Analyzer (EPA) : pour l’instant pas de support

 

Cette lise est tirée de la session de Scott Schnoll données TechED 2013 : Microsoft Exchange Server 2013 Tips & Tricks (OUC-B318) que je vous recommande !

Anthony Costeseque

Exchange 2013 CU2 et DAG Witness VM dans Azure

Bonjour à tous,

Pour ceux qui auraient suivi les annonces (TechEd 2013) il était question d’une possibilité qui était en cours d’étude du côté du File Share Witness (FSW) pour le DAG d’Exchange.

Dans le cas d’un scenario à 2 sites pour permettre la bascule automatique des services il est nécessaire d’avoir la majorité (des votants dans le cluster (DAG)) disponible.

Et pour cela il faut avoir un 3eme site pour héberger ce composant.

C’est là que la plateforme Azure intervient :) S’il était possible de poser une VM dans Azure (mode IaaS) pour héberger le FSW cela simplifierai le design !!

Mais malheureusement la réponse est tombée et Scott a traité ce point dans un billet.

Pour l’instant ce n’est pas possible et la limitation se trouve du côté de la gestion du réseau dans Azure.

Pour que la solution soit possible il faut que les 2 sites (dans le schéma Redmond et Portland) puisse accéder au Witness et dans Azure il est possible de se connecter aux VMs (hébergées) de 2 façons :

• 1 site-to-site VPN : une connexion point à point classique
  
• 1 ou plus point-to-site VPNs : une connexion à partir d’un client VPN
  

Pour que cela fonctionne il faudrait 2 site-to-site VPN connexion (une dans chaque datacenter) -> ce n’est pas supporté pour l’instant dans Azure (pour l’instant 1 seul connexion possible)

La connexion point-to-site se fait avec un client VPN sur chaque serveur, il y a des timeout sur la connexion et la reconnexion n’est pas automatique et n’est donc pas supporté.

Bonne lecture.

Anthony Costeseque

Exchange 2013 et le Stockage – Partie 4 (Rappel des nouveautés)

Bonjour à tous,

Cela fait maintenant 1 an qu’Exchange 2013 est disponible, faisons un point sur les nouveautés introduites du côté du stockage.

1 – Optimisation des IO

Plus de sequentiel moins de random ! Réduction de 50% des IO par rapport à Exchange 2010

Ici le constat a été vérifié et cela permet l’utilisation, dans un scenario JBOD RAID-Less, de disques de 3To SAS 7200 Tr/m (et supportera les disques de 8To) en mode multiple database sur le même disque.

Les scenarios baie de stockage intelligente en profite aussi et voit la charge nécessaire diminuée.

2 – Réécriture complète du « Store service » en code managé (C#)

Ici l’amélioration se trouve du côté de la disponibilité et de la résilience des bases de données, chaque base à maintenant son process dédié (Worker Process).

Failover plus rapide, grâce aussi à l’utilisation d’une profondeur de checkpoint plus grade (100Mo contre 5Mo dans Exchange 2010).

Si une base plante elle n’affecte plus les autres (même cela n’arrive jamais).

Au passage il a été introduit le moteur « Fast Search » de SharePoint pour la partie Indexing et recherche.

3 – Support multiple database par disque JBOD (dans les scenarios HA >= 3 Copies par DB)

Ici le plus gros problème se trouve du côté du reseed d’une base de données de 2To, il faut compter 20 heures, ce qui veut dire que sur des disques de 3To et plus (8to) il faut compter avec des temps extrêmement long (pour 8To – 90 heures).

On reste sur 2To pour une base mais on en met plus, du fait de la réduction des IO ce scenario devient possible.

Sur 1 disque (de 8To) du serveur 1 on trouve 1 DB active et 3 DBs passives

Ici le reseed est beaucoup plus rapide (40 heures pour 8To de données)

4 – Auto-Reseed

Exchange est capable en fonction de la panne rencontrée sur un disque d’utiliser automatiquement un disque de spare (si présent) et de relancer les reseed des bases automatiquement, pour un retour à la normal sans intervention manuelle.

Le tout ce fait en fonction d’un workflow utilisé par Exchange pour prendre les bonnes décisions. Vous pouvez regarder la présentation faite au TechEd Europe 2013 de Scott Schnoll OUC-B314

http://aka.ms/autoreseed

Dans un prochain billet je détaillerai la procédure de mise en place de cette fonctionnalité.

5 – Automatique restauration et Managed Availability

Le système a aussi la possibilité en fonction des disfonctionnement qu’il rencontre (temps de réponses excessif, etc) d’initier un failover pour basculer la ou les bases sur un autre serveur / redémarrer les services / de redémarrer le serveur / etc.

Plus généralement Managed Availability a été introduit pour agir sur un plus vaste ensemble de composants et prendre les bonnes décisions en fonction.

Best Copy et Server Slection (BCSS) sont maintenant gérés par ce composant.

6 – Amélioration des Lagged Copy

Cette version spéciale des Database (qui permet d’avoir une profondeur d’attente pour rejouer les logs dans les database) apparue avec Exchange 2010 a toujours été assez contraignante à mettre en place et a activer en cas de besoin.

Ajout de la possibilité pour les logs d’être joué automatiquement en cas de besoin, suite à un probleme de place sur le disque par exemple.

Integration à Safety Net, remplaçant du Dumpster (au niveau du transport)

 

Rappel des autres articles sur le stockage

 

Bonne lecture

Anthony Costeseque

Exchange 2013 et le Stockage – Partie 3 (Best Practices)

Voici le tableau récapitulatif des best practise (bonnes pratiques) qu’il faut suivre lors du design et installation d’Exchange 2013 (stockage)

Les nouveautés concernent le support de windows 2012 ainsi que de la nouvelle possibilité d’heberger plusieurs bases de données dans un scenario JBOD/RAID-Less

Pour toutes questions n’hésitez pas.

Anthony Costeseque

Lync 2013 Protocol Workload Poster

Bonjour,

Le Protocol Workloads Poster de Lync dont la réputation n’est plus à faire :) est maintenant disponible pour Lync 2013 !

Vous pouvez le télécharger ici : http://www.microsoft.com/en-us/download/details.aspx?id=39968

Bonne journée,

Anthony COSTESEQUE

Exchange 2013 et le Stockage – Partie 2 (Calculator)

Bonjour,

Une semaine après la mise à disposition des formules de calculs pour le sizing d’Exchange 2013, l’équipe d’Exchange fournie maintenant la feuille de calcul (Excel).

Reprenant toutes les nouveautés.

Il faut aussi noter que ce calculateur permet maintenant de calculer tous les rôles MBX et CAS (ainsi que la partie transport).

En ouvrant la feuille vous la trouverez complétée avec les informations de l’exemple de sizing fournie (100000 utilisateurs).

La façon de la remplir reste la même idée que celle pour Exchange 2010.

Microsoft recommande toujours la colocalisation des rôles (MBX + CAS) et propose la séparation que dans des cas bien spécifiques.

Bon calculs,

Anthony COSTESEQUE