Migrer vers des stratégies de carnet d’adresses Exchange 2010 à partir de la répartition de la liste d’adresses Exchange 2007
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Les instructions décrites dans cette rubrique vous guideront tout au long des étapes nécessaires à la migration de la segmentation de la liste d’adresses globale ACL Exchange 2007 (également appelée ségrégation LAG) vers les stratégies de carnet d’adresses (ABP) Exchange 2010 Service Pack 2 (SP2).
Important : |
---|
Plusieurs procédures contenues dans cette rubrique auront une incidence sur les utilisateurs. Par conséquent, un temps d’arrêt planifié est souvent indispensable. |
Conditions préalables
Bien que cela ne soit pas une condition requise spécifique, il est vivement recommandé de lire les considérations et les meilleures pratiques au chapitre Présentation des stratégies de carnet d’adresses avant d’exécuter les procédures de cette rubrique.
Les procédures décrites dans cette rubrique supposent que vous ayez suivi les étapes du livre blanc intitulé Configuration des organisations virtuelles et de la ségrégation des listes d’adresses dans Exchange 2007 pour configurer votre organisation Exchange 2007.
Si vous avez suivi les étapes du livre blanc indiquées ci-dessus pour mettre en œuvre la segmentation LAG dans votre organisation Exchange, vous n’êtes officiellement pas pris en charge. Pour exécuter correctement les procédures de cette rubrique, vous devez d’abord rétablir votre organisation à un état pris en charge.
La plupart des exemples de code et de l’environnement de ligne de commande Exchange Management Shell contenus dans ce document utilisent Contoso comme nom de domaine Active Directory et nom d’organisation Exchange, ainsi que Fabrikam et Tailspin Toys comme noms de sous-organisation. Assurez-vous de modifier le nom de l’organisation Exchange, du domaine et des sous-organisations afin qu’il corresponde à votre configuration.
Vous aurez besoin des scripts que vous avez utilisés pour segmenter les organisations virtuelles dans Exchange 2007.
Configuration du scénario
Dans ce scénario, Tailspin Toys et Fabrikam sont des filiales de la société mère Contoso.
Étape : Préparer l’installation d’Exchange 2010 SP2 dans une organisation Exchange 2007 existante dont la segmentation LAG est configurée (temps d’arrêt nécessaire)
Si votre organisation utilise la segmentation GAL Exchange 2007, l’installation d’Exchange 2010 échouera car pour utiliser la segmentation GAL, vous devez d’abord supprimer tous les paramètres et autorisations par défaut de la liste d’adresses globale par défaut.
Sur un contrôleur de domaine de l’organisation Exchange 2007, exécutez la commande suivante à l’invite de commande afin d’autoriser l’accès à la liste d’adresses globale par défaut.
DSACLS "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com" /N /G contoso\administrator:RP
Sur un contrôleur de domaine sur lequel est installé Windows PowerShell ou sur un serveur Exchange utilisant l’environnement de ligne de commande Exchange Management Shell, exécutez les commandes ci-dessous pour reconfigurer les paramètres par défaut sur la liste d’adresses globale.
Remarque : Une fois cette étape terminée, les utilisateurs d’Outlook 2007 pourront consulter la liste d’adresses globale par défaut. Cependant, les utilisateurs d’Outlook Web App ne pourront pas consulter la liste d’adresses globale par défaut car Outlook Web App utilise l’attribut QueryBaseDN
pour interroger cette dernière.$container = "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=contoso,DC=com"Add-ADPermission $container -User "Authenticated Users" -AccessRights GenericRead, ListChildren -ExtendedRights Open-Address-Book
L’avertissement et la sortie suivants s’affichent :
WARNING: Appropriate ACE is already present on object "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=CONTOSO,DC=COM" for account "NT AUTHORITY\Authenticated Users" Identity User Deny Inherited Rights -------- ---- ---- --------- ------ \Default Global A... NT AUTHORITY\Auth... False False Open-Address-Book \Default Global A... NT AUTHORITY\Auth... False False ReadProperty \Default Global A... NT AUTHORITY\Auth... False False ListObject, Generi... \Default Global A... NT AUTHORITY\Auth... False False ListChildren
Étape 2 : Installer le premier serveur Exchange 2010
Pour des instructions détaillées, consultez l’article Mise à niveau de l’accès au client Exchange 2007
Étape 3 : Sécuriser la liste d’adresses globale par défaut
Après avoir installé Exchange 2010 SP2, vous pouvez supprimer les listes d’adresses qui sont créées au cours de l’installation, puis sécuriser à nouveau la liste d’adresses globale par défaut. Une fois cette étape terminée, vous pouvez poursuivre l’installation de serveurs Exchange 2010 SP2 supplémentaires dans votre organisation. Pour de plus amples informations, consultez l’article Présentation de la mise à niveau d’Exchange 2007 vers Exchange 2010
(Facultatif) Sur un serveur Exchange 2010, utilisez l’environnement de ligne de commande Exchange Management Shell pour supprimer les listes d’adresses récemment créées.
Remove-AddressList "All Contacts" Remove-AddressList "All Groups" Remove-AddressList "All Users" Remove-AddressList "Public Folders"
Pour de plus amples informations, consultez l’article Supprimer une liste d’adresses.
Sur un serveur Exchange 2010, utilisez l’environnement de ligne de commande Exchange Management Shell pour sécuriser la liste d’adresses globale en fonction des instructions contenues dans le livre blanc intitulé Configuration des organisations virtuelles et de la ségrégation des listes d’adresses dans Exchange 2007.
Get-GlobalAddressList "Default Global Address List" | Add-ADPermission -User "Authenticated Users" -AccessRights GenericRead -ExtendedRights Open-Address-Book -Deny:$True
Pour vérifier la réussite des commandes, exécutez les commandes ci-dessous.
$galContainer = "CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com" Get-ADPermission $galContainer -user "authenticated users"
La sortie de cette commande se présente comme suit :
Identity User Deny Inherited Rights -------- ---- ---- --------- ------ All Global Addres... NT AUTHORITY\Auth... False False GenericRead All Global Addres... NT AUTHORITY\Auth... False False Open-Address-Book All Global Addres... NT AUTHORITY\Auth... False True ListChildren All Global Addres... NT AUTHORITY\Auth... True True ReadProperty
Étape 4 : Basculement vers des serveurs Exchange 2010 (temps d’arrêt nécessaire)
Avant de déplacer des boîtes aux lettres vers les serveurs Exchange 2010 SP2, vous devez basculer les noms d’URL externes. Pour cela, vous devez configurer Outlook Anywhere, Outlook Web App, le service Web Exchange (EWS), le panneau de configuration Exchange (ECP), le service de découverte automatique et les carnets d’adresses en mode hors connexion (OAB) afin qu’ils utilisent les serveurs Exchange 2010 plutôt que les serveurs Exchange 2007. Ce processus peut comporter plusieurs étapes, et vous devez vous reporter aux informations contenues dans l'article Exchange 2007 - Planification de la feuille de route de mise à niveau et de coexistence pour obtenir de plus amples informations.
Remarque : |
---|
Les étapes suivantes décrivent uniquement les principales procédures du processus global et expliquent en détail chacune d’elles. Vous devez exécuter quelques-unes de ces commandes sur chaque serveur de votre organisation (une fois seulement pour certaines d’entre elles) et la plupart entraînent une période d’arrêt. Par conséquent, il est vivement recommandé de passer du temps à tester votre processus de basculement intégral pour minimiser l’impact sur vos clients. |
Utilisez l’environnement de ligne de commande Exchange Management Shell pour déplacer l’ensemble de la génération de carnet d’adresses en mode hors connexion vers un serveur de boîtes aux lettres Exchange 2010. Le déplacement de la génération de carnet d’adresses en mode hors connexion vers des serveurs Exchange 2010 SP2 permet aux carnets d’adresses en mode hors connexion d’utiliser les listes d’adresses globales et pas seulement les listes d’adresses comme sources du contenu OAB.
Get-OfflineAddressBook | Move-OfflineAddressBook -Server "MBX01_Ex2010SP2"
Pour de plus amples informations, consultez l’article Déplacer la génération du carnet d’adresses en mode hors connexion vers un autre serveur.
Configurez le répertoire virtuel du carnet d’adresses en mode hors connexion afin qu’il inclue une organisation virtuelle Exchange 2010. De cette manière, des copies des carnets d’adresses en mode hors connexion seront distribuées vers les serveurs Exchange 2010.
Cet exemple veille à ce que les serveurs Exchange 2007 et Exchange 2010 disposent de copies de tous les carnets d’adresses en mode hors connexion.
Get-OfflineAddressBook | Set-OfflineAddressBook -virtualdirectories "CAS1_Ex2007\OAB (Default Web Site)","CAS1_Ex2010SP2\OAB (Default Web Site)"
Pour plus de détails, consultez l’article Configurer les propriétés de distribution des carnets d’adresses en mode hors connexion.
Avant que des boîtes aux lettres ne puissent être déplacées vers Exchange 2010, vous devez acheminer l’ensemble du trafic Outlook Anywhere entrant via Exchange 2010.
Dans cet exemple, Outlook Anywhere est activé sur un serveur Exchange 2010 et désactivé sur un serveur Exchange 2007.
Enable-OutlookAnywhere -Server:CAS1_Ex2010SP2 -ExternalHostname:mail.contoso.com -ClientAuthenticationMethod:Basic Disable-OutlookAnywhere -Server:CAS1_Ex2007
Pour plus d’informations, consultez les rubriques suivantes :
Pour permettre au service de découverte automatique de renvoyer correctement les URL des serveurs Exchange 2010, vous devez configurer Outlook Web App, Exchange ActiveSync, EWS et ECP sur tous les serveurs Exchange 2010 afin qu’ils aient des propriétés d’URL externe valides pour les répertoires virtuels.
Les exemples suivants supposent que mail.contoso.com est le nom externe utilisé pour accéder aux serveurs Exchange 2010.
Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2010SP2\Microsoft-Server-ActiveSync*' -ExternalURL https://mail.contoso.com/Microsoft-Server-ActiveSync Set-WebServicesVirtualDirectory -Identity 'CAS1_Ex2010SP2\EWS*' -ExternalUrl https://mail.contoso.com/EWS/exchange.asmx Set-OWAVirtualDirectory -Identity 'CAS1_Ex2010SP2\OWA*' -ExternalURL https://mail.contoso.com/OWA Set-EcpVirtualDirectory -Identity 'CAS1_Ex2010SP2\ECP*' -ExternalURL https://mail.contoso.com/ECP
Pour plus d’informations sur la configuration des paramètres ci-dessus, consultez les rubriques suivantes :
Pour permettre à Exchange 2010 de rediriger les demandes Outlook Web App et EWS vers Exchange 2007 pour les utilisateurs dont les boîtes aux lettres sont situées sur des serveurs Exchange 2007, vous devez configurer l’URL externe d’Outlook Web App et d’EWS pour 2007 afin d’utiliser legacy.contoso.com. Cet espace de noms est le nom externe utilisé pour accéder aux serveurs Exchange 2007.
Set-WebServicesVirtualDirectory -Identity 'CAS1_Ex2007\EWS*' -ExternalUrl https://legacy.contoso.com/EWS/exchange.asmx Set-OWAVirtualDirectory -Identity 'CAS1_Ex2007\OWA*' -ExternalURL https://legacy.contoso.com/OWA
Pour permettre à Exchange 2010 de transférer toutes les connexions Exchange ActiveSync entrantes par proxy à Exchange 2007, supprimez l’URL externe 2007 pour Exchange ActiveSync.
Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2007\Microsoft-Server-ActiveSync*' -ExternalURL:$null
L’étape finale du processus consiste à modifier le DNS public de façon à résoudre mail.contoso.com (dans l’exemple que nous avons fourni) et autodiscover.contoso.com sur Exchange 2010, et à résoudre l’enregistrement DNS de legacy.contoso.com sur Exchange 2007. Toutes les connexions clientes passent par Exchange 2010. Ensuite, Exchange 2010 redirige (dans le cas d’Outlook Web App), transfère par proxy (dans le cas d’Exchange ActiveSync) ou fournit des URL spécifiques à une version (dans le cas d’EWS) aux clients via la découverte automatique.
Étape 5 : Créer des stratégies de carnet d’adresses (ABP) qui reflètent les listes de contrôle d’accès de segmentation de listes d’adresses Exchange 2007
L’étape suivante consiste à déterminer les listes d’adresses, les listes d’adresses globales et les carnets d’adresses en mode hors connexion auxquels les organisations virtuelles ont accès via la segmentation de la liste d’adresses globale, puis à créer une stratégie de carnet d’adresses pour chaque organisation virtuelle les reflétant.
Si vous avez suivi les étapes de la rubrique Configuration des organisations virtuelles et de la ségrégation des listes d’adresses dans Exchange 2007 pour configurer votre organisation Exchange 2007, vous avez créé des scripts ayant segmenté vos organisations virtuelles. Consultez les scripts que vous avez utilisés pour créer les organisations virtuelles dans Exchange 2007 afin de déterminer la liste d’adresses globale, les listes d’adresses et le carnet d’adresses en mode hors connexion pour chaque organisation virtuelle. Pour chaque organisation, vous devriez identifier une liste d’adresses globale, au moins une liste d’adresses et un carnet d’adresses en mode hors connexion.
Remarque : Les stratégies de carnet d’adresses doivent avoir une liste de salles. Si vous n’utilisez pas de listes de salles dans votre organisation, créez une liste d’adresses de salles vide, puis utilisez cette liste pour configurer la stratégie de carnet d’adresses ou configurez la propriété de liste de salle de la stratégie afin qu’elle utilise la même liste d’adresses que celle spécifiée pour la liste d’adresses globale. Par exemple, lors de l’affichage du script utilisé pour segmenter la société mère Tailspin Toys, les informations suivantes sont recherchées :
Les utilisateurs de Tailspin Toys sont tous contenus dans un groupe de sécurité nommé Tailspin_SG.
Le groupe de sécurité Tailspin_SG accorde aux utilisateurs un accès en lecture/ouverture aux éléments suivants :
Listes d’adresses
LAG
OAB
AL_TailspinUsers
AL_TailspinGroups
AL_TailspingContacts
GAL_Tailspin
OAB_Tailspin
Tailspin Toys ne dispose pas d’une liste d’adresses de salle.
Créez une stratégie de carnet d’adresses correspondant à l’organisation Tailspin Toys.
Par exemple, si vous utilisez la console de gestion Exchange pour créer la stratégie de carnet d’adresses, entrez les informations suivantes dans l’Assistant Nouvelle stratégie de carnet d’adresses :
Si vous utilisez l’environnement de ligne de commande Exchange Management Shell, exécutez la commande suivante :
New-AddressBookPolicy -Name 'ABP_Tailspin' -GlobalAddressList '\GAL_Tailspin' -OfflineAddressBook '\OAB_Tailspin' -AllRoomList '\RAL_BLANKROOMS' -AddressLists '\AL_TailspinContacts','\AL_TailspinGroups','\AL_TailspinUsers'
Pour plus d’informations, consultez la rubrique Créer une stratégie de carnet d’adresses.
Suivez les instructions ci-dessus pour chacune de vos organisations virtuelles. Par exemple, Fabrikam.
Étape 6 : Déplacer des boîtes aux lettres des serveurs Exchange 2007 vers les serveurs Exchange 2010 (temps d’arrêt nécessaire)
Lors du déplacement de boîtes aux lettres vers les serveurs Exchange 2010, vous n’utilisez pas des listes de contrôle d’accès, mais des stratégies de carnet d’adresses.
Remarque : |
---|
Il est recommandé de créer un script qui exécute cette procédure en une étape. |
Déplacez les boîtes aux lettres à l’aide des cmdlets MoveRequest. Pour plus d’informations, consultez l’article Créer une demande de déplacement locale.
Affectez la stratégie de carnet d’adresse aux boîtes aux lettres déplacées. Pour de plus amples informations, consultez l’article Affecter une stratégie de carnet d’adresses à un utilisateur de boîte aux lettres (EPW).
Supprimez QueryBaseDN de l’objet utilisateur. Cette opération peut être effectuée directement via la console Adsiedit.msc ou via un processus en plusieurs étapes, à partir de l’environnement de ligne de commande Exchange Management Shell. Cet exemple illustre comment supprimer QueryBaseDN via l’environnement de ligne de commande Exchange Management Shell.
$user = ([ADSI]"LDAP://CN=Bob,CN=Users,DC=Contoso,DC=com").psbase $user.Properties["msExchQueryBaseDN"].Value=$null $user.CommitChanges()
Supprimez le paramètre Carnet d’adresses en mode hors connexion de la boîte aux lettres.
Cet exemple illustre comment supprimer le carnet d’adresses en mode hors connexion de la boîte aux lettres de John :
Set-Mailbox -Identity John -OfflineAddressBook $null
Une fois les boîtes aux lettres déplacées et tous les autres paramètres configurés, les utilisateurs d’Outlook obtiennent l’erreur suivante et sont invités à fermer et à redémarrer Outlook : « L’administrateur Microsoft Exchange a apporté une modification qui vous oblige à quitter et à redémarrer Outlook. »
Étape 7 : Étape suivante
Ainsi, une fois toutes les boîtes aux lettres déplacées vers Exchange 2010 SP2 et exécutées sur des stratégies de carnet d’adresses avec vos listes de contrôle d’accès désactivées, vous pouvez suivre la recommandation Exchange standard suivante pour supprimer l’organisation Exchange 2007.
Suppression et modification d’Exchange 2007
Comment supprimer une organisation Exchange 2007
Si vous rencontrez des problèmes, l’article suivant de la base de connaissances Microsoft peut vous aider :
Comment supprimer Exchange 2007 d’un ordinateur
© 2010 Microsoft Corporation. Tous droits réservés.