Restauration d’un environnement d’échange hybride

[ad_1]

Prolog

Récemment, j’ai reçu des demandes de renseignements de clients qui ont le scénario suivant:

L’environnement était à l’origine une infrastructure sur site. Ensuite, les clients ont décidé de passer à Office 365 et ont mis en œuvre cette étape comme suit:

L’AAD a été configuré pour synchroniser les comptes d’utilisateurs avec le cloud, mais sans les attributs Exchange. Les comptes d’utilisateurs ont été synchronisés avec le cloud où une licence Office 365 E3 (ou E5) leur a ensuite été attribuée.

Cependant, étant donné qu’Azure AD n’a vu aucun attribut Exchange, des boîtes aux lettres en ligne ont été créées pour l’utilisateur Exchange.

Cela signifie que tous les utilisateurs ont désormais une nouvelle boîte aux lettres vide, qu’ils utilisent après le basculement.

Ensuite, le contenu du courrier a été migré avec un outil tiers de la «vieille» boîte aux lettres sur site vers la «nouvelle» boîte aux lettres en ligne Exchange.

Le relais de messagerie pour les applications ou le matériel sur site a été effectué avec un service IIS SMTP ou Exchange en ligne a été directement connecté.

Problème

Ces configurations fonctionnent fondamentalement bien, des modifications telles que les autorisations de boîte aux lettres sur les boîtes aux lettres peuvent être effectuées directement sur Exchange en ligne. Toutefois, si vous devez apporter une modification à l’adresse SMTP, vous devez le faire dans l’Active Directory local, puis synchroniser la modification via l’AAD.

Cela peut entraîner des problèmes lors de la saisie d’adresses smtp dans Active Directory, cela ne peut pas être facilement suivi s’il est déjà utilisé.

Un autre inconvénient est qu’il n’y a plus de serveur d’échange local qui peut faire le relais pour les applications sur site qui ne peuvent pas communiquer directement avec le cloud.

Par conséquent, des outils tiers sont utilisés pour cette fonction standard, qui doivent être gérés séparément.

Solution – le long chemin

Les clients, qui m’ont approché, veulent maintenant avoir à nouveau un état standardisé et supporté par Microsoft. Notamment parce que Microsoft ne facture aucun frais de licence Exchange pour un serveur Exchange 2016 s’il est utilisé comme serveur hybride uniquement. (Cela ne fonctionne qu’avec Exchange 2016, Exchange 2019 n’a pas cette option de licence. Ce qui doit être pris en compte, c’est que la licence Windows Server doit être présente)

Pour restaurer cet état, les points suivants doivent être effectués:

– Le type d’affichage du destinataire Exchange doit être ajusté par boîte aux lettres

– Les détails du type de destinataire Exchange par boîte aux lettres doivent être ajustés

– Le type de boîte aux lettres Exchange doit être ajusté

– Le GUID Exchange doit être fusionné

– L’adresse de routage par boîte aux lettres doit être ajustée

– (Recommandé) Ajuster l’UPN à firstname.surname

– L’échange HCW doit être exécuté

Ensuite, la connexion AAD doit être reconfigurée, puis l’infrastructure est à nouveau dans un état normalisé.

Solution – la manière simple

Pour que cela se fasse plus rapidement et de manière standardisée, j’ai écrit un script qui fait ces tâches pour moi. Le script peut être téléchargé dans la galerie Technet et est disponible gratuitement.

Je parlerai de la gestion des scripts plus loin dans cet article.

Mais avant de l’utiliser, je vous recommande de lire le chapitre suivant.

Pré tâches

Avant de commencer la transformation et l’unification des boîtes aux lettres, il convient de noter que nous effectuons une ou deux préparations dans notre Active Directory sur site.

Si votre entreprise utilise Outlook à partir du package Office 365, les paramètres suivants ne sont pas obligatoires, mais recommandés:

Modifier l’enregistrement DNS interne pour la découverte automatique

En mode hybride, votre domaine SMTP «appartient» bien sûr au serveur local et, par conséquent, la découverte automatique doit être définie localement.

Dans la direction opposée, Microsoft a facilité les choses. La découverte automatique d’un serveur Exchange local vers Exchange Online se produit uniquement pour le domaine SMTP «% tenantname% .mail.onmicrosoft.com», qui est entré en tant qu’adresse de transfert pour les utilisateurs locaux.

Le moyen le plus simple consiste à pointer l’entrée DNS interne de la découverte automatique vers Exchange Online. Pour ce faire, l’entrée suivante doit être effectuée: https://outlook.office365.com/autodiscover/autodiscover.xml

Alternativement, il est également possible de définir une clé via le Registre, que le client ne devrait plus utiliser la découverte automatique. En effet, la découverte automatique n’est plus vraiment importante pour Outlook. Le paramètre de registre ressemble à ceci:

Modifier l’enregistrement de découverte automatique externe

Ce point doit être ajusté depuis le début. Je le décris uniquement pour la raison que cet article est complet.

Cependant, l’entrée DNS publique du domaine de messagerie doit être définie sur la découverte automatique publique d’Office 365. Ici, c’est la même entrée que le DNS interne: https://outlook.office365.com/autodiscover/autodiscover.xml

Modifier un refus SCP pour les clients

La découverte automatique était la priorité la plus basse de la hiérarchie concernant la connexion Outlook. Plus important est le point de connexion de service pour Exchange (SCP)

Conseil: Les paramètres SCP actuels peuvent être consultés dans les sites et services Active Directory. Pour ce faire, vous devez utiliser le chemin suivant:

développez Services à partir de la racine de la console> Microsoft Exchange > nom de l’organisation > Groupes administratifs > Groupe administratif Exchange > Les serveurs > sélectionnez le serveur CAS et développez> Protocoles > Découverte automatique > Cliquez avec le bouton droit sur le nom du serveur dans le panneau de droite et cliquez sur Propriétés comme indiqué ci-dessous.

Cependant, comme nous l’avons vu dans l’exemple d’image, le SCP pointe vers l’infrastructure Exchange locale.

Dans l’étape suivante, je vais vous montrer comment désactiver SCP via le registre. Similaire à la découverte automatique, cela dépend de la version d’Office (Outlook). Voici un bref aperçu du versionnement:

Nom de la version Numéro de version
Office 2007 12,0
Office 2010 14,0
Office 2013 15,0
Office 2016 16,0

Comme déjà mentionné au début, cela ne doit pas être fait pour la version Office 365, car il s’agit par défaut de la première direction connectée à Office 365.

Dans l’Éditeur du Registre, nous devons parcourir le chemin suivant:

puis nous créons un nouveau « Valeur DWord« Entrée avec le nom »ExcludeScpLookup« .

Dans l’étape suivante, nous ouvrons l’entrée nouvellement créée et définissons la valeur « 1”Comme base hexadécimale et confirmez avec D’accord

Astuce un:

Vous pouvez également copier le code ci-dessous dans un fichier texte, le renommer avec l’extension .reg et double-cliquer pour fusionner avec votre registre. Assurez-vous de remplacer le numéro de version X.0 en vous référant au tableau ci-dessus.

Astuce deux:

Cette entrée de registre peut être très bien distribuée via GPO. Personnellement, je préfère cette façon.

Informer les utilisateurs (paramètres de l’appareil mobile)

Cette étape est toujours facultative et uniquement nécessaire en fonction de l’environnement.

Étant donné que le scénario initial est tel que tous les utilisateurs travaillent déjà avec la boîte aux lettres en ligne Exchange, les appareils mobiles devraient également pointer vers le cloud.

Cependant, selon les circonstances, il peut également arriver que certains périphériques ne soient pas configurés correctement. Celles-ci devraient ensuite être adaptées afin qu’elles pointent également vers la boîte aux lettres en ligne Exchange.

Le scénario

Voyons maintenant le script lui-même, comme je l’ai mentionné plus haut dans cet article, le script peut être téléchargé gratuitement à partir de la galerie Microsoft Technet.

Cependant, lorsque nous avons terminé toutes les tâches préalables, nous pouvons démarrer le script à partir d’Exchange Management Shell. Le script n’a pas besoin d’être modifié avant utilisation! Tous les détails individuels seront demandés après le départ.

Une fois le script démarré, il nous est demandé de spécifier le domaine de messagerie principal.

Après cela, il nous est demandé d’entrer l’adresse de routage en ligne Exchange comme deuxième entrée. Cela ressemble généralement à ceci: « % tenantname% .mail.onmicrosoft.com ».

Une fois ces deux entrées effectuées, il nous sera demandé de saisir nos informations d’identification Office 365 (Exchange en ligne). Ces informations d’identification sont nécessaires pour que le script puisse établir une session PowerShell distante pour le client Office 365 et lire ultérieurement le GUID Exchange des boîtes aux lettres en ligne. Aucune entrée n’est modifiée en ligne sur Exchange pendant toute l’exécution du script.

Il convient donc de noter les points suivants:

– Le compte spécifié nécessite les autorisations appropriées pour lire les informations requises à partir d’Exchange en ligne.

– Le script ne fonctionne pas actuellement avec MFA. par conséquent, il doit s’agir d’un compte qui n’est pas activé pour l’authentification multifacteur.

Maintenant, toutes les entrées nécessaires sont terminées. Désormais, le script collecte toutes les boîtes aux lettres utilisateur, disponibles sur l’infrastructure Exchange sur site, et les répertorie dans Management Shell.

Dans cette étape, le homeMDB actuel, les homeMTA, etc. sont réinitialisés.

Une fois que toutes les boîtes aux lettres des utilisateurs sur site ont été lues, elles sont désormais converties en boîtes aux lettres distantes.

Dans cette étape, nous définissons l’adresse de routage individuelle pour chaque boîte aux lettres d’utilisateur (ou nouvelle boîte aux lettres distante).

Maintenant, le script établit une connexion à Exchange en ligne. Ici, il est extrêmement important que les informations d’identification que nous définissons au début soient correctes et correspondent aux spécifications.

Une fois la connexion à Exchange en ligne réussie, le GUID Exchange est lu à partir de la boîte aux lettres en ligne Exchange et écrit dans la boîte aux lettres sur site.

Comme vous pouvez le voir sur la capture d’écran, toutes les fusions réussies sont affichées en vert et en cas de problème, le message correspondant s’affiche en jaune.

Cela aide au post-traitement du processus automatisé.

À la fin, le script se réfère automatiquement à l’étape suivante, qui doit maintenant être exécutée.

Dernières étapes

Maintenant que tout sur la page de la boîte aux lettres a été nettoyé, il est temps d’ajuster le processus de synchronisation et d’exécuter l’assistant de configuration hybride.

Échangez HCW et reconfigurez AAD

Il est important à ce stade que la version d’Exchange Server sur site soit mise à jour vers la dernière version. Cela maintient un état pris en charge par Microsoft et simplifie le dépannage.

Après avoir démarré l’assistant de configuration hybride (HCW), nous sélectionnons l’option «Configuration hybride minimale».

Sur le Provisionnement des utilisateurs page, sélectionnez Synchroniser mes utilisateurs et mots de passe une fois.

À ce stade, vous êtes invité à télécharger et à installer le Assistant Azure AD Connect pour synchroniser vos utilisateurs sur site vers Office 365.

Ici, nous pouvons l’exécuter et nous pouvons choisir les options par défaut pour le Paramètres express.

En configurant l’AAD, nous devons avoir un œil sur l’option « Déploiement hybride Exchange » cette doit être sélectionné dans notre cas.

Conclusion

Comme nous avons pu le voir dans cet article, il y a beaucoup à faire dans une telle tâche. Il peut y avoir plusieurs raisons pour lesquelles une telle position de départ a été créée à l’origine. J’en ai décrit un dans cet article.

D’autres raisons peuvent également être des attaques contre sa propre infrastructure ou des catastrophes comme un incendie qui rend impossible une infrastructure sur site.

Il est important de savoir qu’il est possible de reconstruire un environnement hybride intact, également du point de vue Exchange en ligne.

Une bonne planification est donc très importante.

Mon script, qui est utilisé ici devrait être une simplification et un soulagement pour tous ceux qui font face à un tel défi.

Je vous souhaite du succès

😊

Photo de Dominik Scythe sur Unsplash



[ad_2]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *