Configurer le flux de messagerie pour un déploiement hybride Exchange 2010
S’applique à : Exchange Server 2010 SP1
Dernière rubrique modifiée : 2016-11-28
Durée d’exécution estimée : 20 minutes
Vous avez choisi d’acheminer tous les messages électroniques envoyés entre Internet et les boîtes aux lettres de votre organisation en nuage via le serveur hybride Exchange 2010 local. En acheminant les messages par le biais du serveur hybride local, vous pouvez appliquer des règles de transport, des stratégies antivirus et des règles de blocage du courrier indésirable aux messages.
Les procédures décrites dans cette étape de votre liste de contrôle permettent de configurer le flux de messagerie suivant dans votre organisation :
Les messages envoyés entre une boîte aux lettres de votre organisation en nuage et Internet sont transmis via le serveur hybride local.
Les messages échangés entre les boîtes aux lettres de l’organisation en nuage sont conservés au sein de cette organisation. Ils ne sont pas envoyés via le serveur hybride local.
Les messages envoyés entre une boîte aux lettres Exchange locale et une boîte aux lettres de votre organisation en nuage passent par le serveur hybride local.
Outre les paramètres que vous devez configurer dans votre organisation locale et dans votre organisation en nuage, vous devez également configurer des paramètres dans Forefront Online Protection for Exchange (FOPE). FOPE, situé entre votre organisation en nuage et Internet, fournit une protection antivirus et bloque le courrier indésirable pour vos boîtes aux lettres en nuage. FOPE contrôle également la destination des messages provenant de votre organisation en nuage ainsi que les expéditeurs autorisés à envoyer des messages à votre organisation en nuage.
Pour plus d’informations, voir : Comprendre les options de transport d’un déploiement hybride Exchange 2010
Attention : |
---|
Cette rubrique est censée être lue comme faisant partie de la liste de contrôle de déploiement hybride Microsoft Exchange Server 2010 et Office 365. Les informations ou les procédures contenues dans cette rubrique dépendent des conditions préalables configurées dans les rubriques préalablement dans la liste de contrôle. Pour afficher la liste de contrôle, voir Liste de contrôle - Déploiement hybride Exchange 2010 et Office 365 |
Comment configurer les paramètres de transport dans mon organisation locale ?
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez les entrées « Domaines distants », « Connecteurs d’envoi » et « Connecteurs de réception » dans la rubrique Autorisations de transport.
Pour cette procédure, vous allez utiliser l’environnement de ligne de commande Exchange Management pour configurer les éléments suivants :
Le protocole TLS pour tous les messages envoyés entre votre organisation locale et votre organisation en nuage.
Les messages entrants et sortants envoyés entre votre organisation locale et votre organisation en nuage sont approuvés. Ainsi, les règles de blocage du courrier indésirable ne seront pas appliquées à ces messages.
Tous les messages envoyés à votre organisation en nuage sont acheminés par l’intermédiaire d’un hôte actif FOPE.
Sur votre serveur hybride local, créez un domaine distant pour les messages entrants provenant de l’organisation en nuage.
New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com
Sur votre serveur hybride local, créez un domaine distant pour les messages sortants envoyés à l’organisation en nuage.
New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com
Sur votre serveur hybride local, configurez le domaine distant entrant pour qu’il approuve les messages envoyés depuis l’organisation en nuage.
Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True
Sur votre serveur hybride local, configurez le domaine distant sortant pour qu’il active la remise approuvée des messages envoyés à l’organisation en nuage.
Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True
Sur votre serveur hybride local, modifiez le connecteur d’envoi « Vers le nuage » pour activer le transport TLS et acheminer tous les messages envoyés à votre organisation en nuage via un hôte actif FOPE.
Set-SendConnector "To cloud" -RequireTLS $True -TlsAuthLevel DomainValidation -TlsDomain mail.messaging.microsoft.com -Fqdn mail.contoso.com -ErrorPolicies DowngradeAuthFailures
Accédez à : Centre d’administration FOPE
Si c’est la première fois que vous accédez à FOPE, procédez comme suit :
Cliquez sur Vous avez oublié votre mot de passe ?.
Entrez l’adresse de messagerie du compte de service informatique en nuage dans le champ Nom d’utilisateur. Il s’agit de l’adresse de messagerie que vous avez indiquée lors de la création du compte dans le service informatique en nuage. Par exemple, admin@contoso.onmicrosoft.com.
Connectez-vous au compte de messagerie admin du service informatique en nuage à l’adresse https://www.outlook.com/contoso.com. Ouvrez le message envoyé par FOPE à ce compte et notez le mot de passe indiqué.
Revenez à : Centre d’administration FOPE
Entrez l’adresse de messagerie du compte de service informatique en nuage dans le champ Nom d’utilisateur.
Entrez votre mot de passe FOPE dans le champ de Mot de passe.
Cliquez sur l’onglet Informations, puis sur Configuration.
Notez les adresses IP répertoriées sous Adresses IP à configurer sur votre pare-feu.
Sur votre serveur hybride local, créez un connecteur de réception pour accepter les messages provenant de FOPE. Le connecteur de réception est configuré pour accepter uniquement les connexions à partir des adresses IP FOPE obtenues à l’étape précédente et pour traiter les messages envoyés par l’organisation en nuage comme messages internes. Le nom de domaine complet (FQDN) configuré sur le connecteur doit correspondre au nom commun du certificat SSL que vous souhaitez utiliser pour sécuriser la messagerie.
New-ReceiveConnector -Name "From Cloud" -Usage Internet -RemoteIPRanges <FOPE Outbound IP Addresses> -Bindings 0.0.0.0:25 -FQDN mail2.contoso.com -TlsDomainCapabilities mail.messaging.microsoft.com:AcceptOorgProtocol
Remarque : FOPE utilise une combinaison de notation IP CIDR (Classless Inter-Domain Routing) et d’adresses IP uniques. Séparez chaque adresse IP par une virgule lors de la configuration du paramètre RemoteIPRanges. Par exemple, -RemoteIPRanges 172.0.0.0/24, 192.168.1.1, 10.23.21.64/26.
Comment configurer les paramètres de transport dans mon organisation en nuage ?
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez les entrées « Domaines distants » et « Domaines acceptés » dans la rubrique Autorisations de transport.
Pour cette procédure, vous allez utiliser l’environnement de ligne de commande Exchange Management Shell pour configurer les éléments suivants :
Configurez le domaine SMTP partagé en tant que domaine de relais interne et sortant uniquement.
Les messages entrants et sortants envoyés entre votre organisation locale et votre organisation en nuage sont approuvés. Ainsi, les règles de blocage du courrier indésirable ne seront pas appliquées à ces messages.
Dans l’organisation en nuage, créez un domaine distant pour les messages entrants provenant de l’organisation locale. Le nom de domaine doit contenir le nom du certificat publié sur le serveur hybride.
Remarque : Ce domaine doit correspondre au nom de domaine complet spécifié dans le domaine correspondant au certificat TLS lorsque vous créez ultérieurement le connecteur FOPE entrant. New-RemoteDomain "Inbound Remote Domain" -DomainName mail.contoso.com
Dans l’organisation en nuage, créez un domaine distant pour les messages sortants envoyés aux destinataires de l’organisation locale. Ce domaine doit correspondre à la partie de domaine de l’adresse des destinataires locaux.
New-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -DomainName contoso.com
Dans l’organisation en nuage, configurez le domaine distant entrant pour qu’il approuve les messages provenant de l’organisation locale.
Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True
Dans l’organisation en nuage, configurez le domaine distant sortant des destinataires locaux afin d’activer la remise approuvée de messages à l’organisation locale et d’activer les fonctions étendues du client de messagerie.
Set-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -TrustedMailOutboundEnabled $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True
Dans l’organisation en nuage, configurez le domaine distant sortant des destinataires Internet afin d’activer la remise approuvée des messages à l’organisation locale.
Set-RemoteDomain Default -TrustedMailOutboundEnabled $True
Dans l’organisation en nuage, définissez le domaine accepté pour le domaine SMTP partagé en tant que domaine de relais interne et sortant uniquement à l’aide de la commande suivante.
Set-AcceptedDomain "contoso.com" -DomainType InternalRelay -OutboundOnly $True
Comment configurer FOPE pour le routage des messages vers/depuis mon organisation locale ?
Les autorisations requises pour exécuter cette procédure sont automatiquement accordées au compte administrateur du service en nuage lorsque vous vous connectez à FOPE pour la première fois.
Avec cette procédure, vous allez configurer les éléments suivants :
Le connecteur FOPE entrant accepte les messages envoyés à votre organisation en nuage par le serveur hybride local uniquement. Le connecteur est également configuré pour n’accepter que les messages envoyés par protocole TLS.
Le connecteur FOPE sortant envoie tous les messages transmis depuis votre organisation en nuage à Internet via le serveur hybride local. Le connecteur est également configuré pour envoyer des messages à l’aide du protocole TLS.
Remarque : |
---|
Lorsque vous vous connectez au centre d’administration FOPE, vous remarquerez une entrée sur l’onglet Domaines qui commence par DuplicateDomain-GUID et qui se termine par votre domaine partagé. Par exemple, DuplicateDomain-GUIDcontoso.com. Cette entrée est prévue si vous avez configuré le domaine accepté pour votre domaine partagé dans l’organisation en nuage en tant que domaine en sortie seulement. Si vous n’avez pas configuré le domaine accepté en tant que domaine sortant uniquement et que vous voyez toujours une entrée DuplicateDomain dans la liste des domaines du centre d’administration FOPE, contactez le support technique FOPE. |
Accédez à : Centre d’administration FOPE
Si c’est la première fois que vous accédez à FOPE, procédez comme suit :
Cliquez sur Vous avez oublié votre mot de passe ?.
Entrez l’adresse de messagerie du compte de service informatique en nuage dans le champ Nom d’utilisateur. Il s’agit de l’adresse de messagerie que vous avez indiquée lors de la création du compte dans le service informatique en nuage. Par exemple, admin@contoso.onmicrosoft.com.
Connectez-vous au compte de messagerie admin du service informatique en nuage à l’adresse https://www.outlook.com/contoso.com. Ouvrez le message envoyé par FOPE à ce compte et notez le mot de passe indiqué.
Revenez à : Centre d’administration FOPE
Entrez l’adresse de messagerie du compte de service informatique en nuage dans le champ Nom d’utilisateur.
Entrez votre mot de passe FOPE dans le champ de Mot de passe.
Cliquez sur l’onglet Administration, puis sur Société.
Cliquez sur Ajouter en regard de Connecteurs entrants sous Connecteurs.
Dans la boîte de dialogue Ajouter un connecteur entrant, configurez les éléments suivants :
Nom Entrez un nom pour le connecteur entrant.
Description Entrez la description du connecteur entrant.
Sous Portée de connecteur, spécifiez *.* dans la zone de texte Domaines d’expéditeurs.
Sous Portée de connecteur, spécifiez dans la zone de texte Adresses IP des expéditeurs l’adresse IP source que votre pare-feu présente aux hôtes sur Internet. Suivant la configuration de votre pare-feu, il peut s’agir de l’adresse IP externe du serveur hybride ou de l’adresse IP WAN du pare-feu. Si vous souhaitez spécifier une plage d’adresses IP, utilisez la notation CIDR. Vous pouvez également préciser plusieurs adresses IP en les séparant avec une virgule.
Sélectionnez Ajouter ces adresses IP à la liste fiable et accepter uniquement du courrier de ces adresses IP pour les domaines spécifiés plus haut.
Sous Paramètres du connecteur, sélectionnez l’option Forcer TLS dans Paramètres TLS (Transport Layer Security).
Activez la case à cocher Correspondance du certificat de l’expéditeur et, dans le champ de texte associé, indiquez le nom du sujet du certificat que vous avez configuré sur le serveur hybride local. Par exemple, mail.contoso.com.
Remarque : Le nom de domaine complet que vous indiquez ici doit correspondre au domaine spécifié lors de la création du « domaine distant entrant » dans l’organisation en nuage. Vérifiez que toutes les cases à cocher sont désactivées dans la zone Filtrage des Paramètres du connecteur
Cliquez sur Enregistrer.
Cliquez sur Appliquer à côté du connecteur entrant que vous venez de créer. Cliquez sur OK dans la boîte de dialogue Appliquer le connecteur entrant.
Cliquez sur Ajouter en regard de Connecteurs sortants sous les paramètres Connecteurs.
Dans la boîte de dialogue Ajouter un connecteur sortant, configurez les éléments suivants :
Nom Entrez un nom pour le connecteur sortant.
Description Entrez une description pour le connecteur sortant.
Sous Portée de connecteur, spécifiez *.* dans la zone de texte Domaines de destinataires.
Sous Paramètres de remise des messages, activez la case à cocher Remettre tous les messages à la destination suivante.
Sélectionnez l’option Nom de domaine complet et spécifiez le FQDN externe du serveur hybride local. Par exemple, mail.contoso.com.
Sous Paramètres TLS (Transport Layer Security), sélectionnez Le certificat du destinataire correspond et, dans le champ de texte associé, spécifiez le nom du sujet du certificat que vous avez configuré sur le serveur hybride local. Par exemple, mail.contoso.com.
Cliquez sur Enregistrer.
Cliquez sur Appliquer à côté du connecteur sortant que vous venez de créer. Cliquez sur OK dans la boîte de dialogue Appliquer le connecteur sortant.
Comment configurer mon enregistrement MX ?
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Gérer les domaines » dans la rubrique Affectation des rôles d’administrateur.
Avant de pouvoir envoyer des messages électroniques à des destinataires du service informatique en nuage possédant une adresse SMTP service.contoso.com, vous devez ajouter un enregistrement de serveur de messagerie (MX) pour le domaine service.contoso.com. L’enregistrement MX doit faire référence au nom de domaine complet créé pour votre organisation en nuage.
Pour trouver le nom de domaine complet à utiliser pour créer l’enregistrement MX, procédez comme suit :
Ouvrez une session sur : Portail d’administration du service informatique en nuage.
Cliquez sur Admin, puis sur Domaines.
Cliquez sur l’espace de noms SMTP de votre organisation en nuage. Par exemple, service.contoso.com.
Dans la page Propriétés du domaine, vérifiez que l’option Oui est indiquée pour le service Exchange Online. Si Non est indiqué, vous devez sélectionner Modifier l’intention du domaine pour attribuer les services Exchange au domaine de routage du service. Dans la boîte de dialogue Modifier l’intention du domaine, activez la case à cocher Exchange Online de la zone Sélectionnez les services que vous utiliserez avec ce domaine et cliquez sur Enregistrer.
Cliquez sur Paramètres DNS.
Dans la table des enregistrements DNS Exchange Online, trouvez la ligne où Type est égal à MX. Utilisez la valeur du champ Pointe vers l’adresse. Par exemple, <valeur>.mail.eo.outlook.com.
Après avoir trouvé le nom de domaine complet à utiliser avec l’enregistrement MX, créez l’enregistrement MX dans la zone DNS.
Par exemple, l’enregistrement MX de service.contoso.com se présente comme suit :
Domaine de remise | Type d’enregistrement DNS | Priorité MX | Domaine de l’organisation en nuage |
---|---|---|---|
service.contoso.com |
MX |
0 |
<valeur>.mail.eo.outlook.com |
Reportez-vous à l’aide de l’hôte DNS pour plus d’informations sur l’ajout d’un enregistrement MX à la zone DNS.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement configuré les paramètres de transport, envoyez des messages de test entre Internet et votre organisation en nuage d’une part, et entre les boîtes aux lettres Exchange locales et les boîtes aux lettres de votre organisation en nuage d’autre part. Procédez de la manière suivante pour vérifier que vos paramètres sont corrects :
Pour exécuter les tests suivants, vous devez disposer d’une boîte aux lettres de test dans votre organisation en nuage.
Vérifiez que les destinataires reçoivent chaque message de test.
Dans les en-têtes SMTP d’un message envoyé depuis Internet à une boîte aux lettres en nuage, vérifiez que (TLS) est présent dans le tronçon entre le serveur hybride local et l’hôte actif FOPE.
Dans les en-têtes SMTP d’un message envoyé à un destinataire Internet depuis une boîte aux lettres en nuage, vérifiez que le message est correctement acheminé via le serveur hybride local. Vérifiez également que (TLS) est présent dans le tronçon entre le serveur hybride local et le serveur FOPE.
Dans les en-têtes SMTP des messages envoyés entre des boîtes aux lettres locales et celles en nuage, vérifiez que l’en-tête X-MS-Exchange-Organization-AuthAs est défini sur Interne.
Si vous rencontrez des problèmes au niveau de la configuration du transport, vous pouvez activer la journalisation du protocole afin d’obtenir des informations supplémentaires. La journalisation du protocole vous permet d’enregistrer les conversations qui ont lieu entre le serveur hybride et les autres hôtes de messagerie. Ces informations vous servent à déterminer si vous vous connectez aux hôtes de messagerie appropriés, si les certificats SSL sont échangés, etc.
Pour plus d’informations, voir : Présentation de l'enregistrement dans le journal de protocole, Configurer l’enregistrement dans le journal de protocole
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Office 365. Pour accéder à ces forums, vous devez vous connecter en utilisant un compte disposant de l’accès administrateur au service informatique en nuage. Visitez le forum à l’adresse : Forums Office 365
© 2010 Microsoft Corporation. Tous droits réservés.