A la découverte d'Exchange Server 2007
4 Considérations sur l'architecture d'une infrastructure Exchange 2007
La notion de "rôles" introduite avec Exchange 2007 influe fortement sur le placement des serveurs lors de la création d'infrastructures de messagerie complexes. Il est en effet possible d'éclater les rôles sur plusieurs serveurs physiques, voire de doubler les rôles critiques. Il faut aussi tenir compte des problématiques de performance, de sécurité et de tolérance aux pannes.
Le schéma ci-dessous présente une infrastructure Exchange Server 2007 tout à fait classique
-
Le site principal est de grande envergure et il possède une DMZ. Le rôle messagerie est ici mis en cluster pour assurer une tolérance aux pannes (il s'agit d'un cluster MSCS à deux n&oeliguds tout à fait classique et nommé SCC pour Single Copy Cluster). Les rôles serveur d'accès client (CAS), serveur de transport Hub et serveur de messagerie unifiée (UM) sont installés sur des machines distinctes. On remarque bien que le serveur UM interagit avec le PABX de l'entreprise (si le PABX ne supporte pas la voix sur IP, il faudra investir dans boitier intermédiaire). Enfin le serveur de transport Edge est placé en DMZ de manière à filtrer de manière sécurisée tous les mails entrant et sortant de l'organisation. Seul le serveur Edge et le serveur CAS doivent être accessibles depuis Internet (pour sécuriser la publication de ces serveurs il est recommandé de faire appel à une solution de filtrage applicatif comme ISA Server ou Microsoft Intelligent Application Gateway).
-
Le site secondaire correspond à une structure plus modeste et il est composé de deux serveurs l'un exécutant le rôle "messaging" et l'autre les rôles HUB et CAS. Il est à noter que les trois rôles aurait pu être placé sur le même serveur physique.
Voici une liste de points à prendre en compte pour créer une architecture Exchange 2007 fonctionnelle, performante et sécurisée
- Un contrôleur de domaine (DC) ainsi qu'un serveur de catalogue global (GC) doivent impérativement être présents dans chaque site où est déployé un serveur Exchange (prévoir deux DC/GC pour assurer une tolérance aux pannes).
- Lorsque vous mettez en place un cluster SCC ou CCR, il ne peut exécuter que le rôle "serveur de boîtes aux lettres". Cela signifie que vous devrez posséder une machine supplémentaire pour exécuter les autres rôles "critiques" (c'est-à-dire les rôles "Hub" et "Cas").
- Les quatre rôles Messaging, Hub, Cas et Unified Messaging peuvent être combinés sur un seul et même serveur physique, même si cela n'est pas recommandé du point de vue des performances.
- Un serveur de transport Edge doit impérativement être placé en DMZ pour assurer la sécurité du flot de mails.
- Un serveur Hub doit obligatoirement être placé dans tous les sites Active Directory possédant un serveur exécutant le rôle messagerie (sinon le routage des messages entre ce site et les autres sites Active Directory ne sera pas assuré).
- Un serveur Cas doit obligatoirement être placé dans tous les sites Active Directory possédant un serveur exécutant le rôle messagerie (sinon les boîtes aux lettres de ce site ne seront pas accessibles via des protocoles non-MAPI).
- Microsoft préconise de placer un antivirus dédié à Exchange sur tous les serveurs exécutant les rôles "Hub" et "Edge" (c'est-à-dire sur tous les rôles gérant le routage et la remise des messages).
- Si le PABX de votre entreprise n'est pas compatible IP (id est ne supporte pas la VoIP), vous devrez investir dans un boîtier qui réalisera l'interfaçage entre le serveur Exchange UM et le PABX.
- Lorsqu'un cluster à réplication continue (CCR) est déployé, il est recommandé de lui affecter un maximum de n&oeliguds pour éviter des problèmes de convergence sur le quorum à majorité (ou quorum MNS).
- Etc.
Bien entendu de nombreux autres aspects doivent être étudiés. C'est notamment le cas du choix du matériel qui s'avère délicat avec cette nouvelle mouture du produit (confère partie2 de ce même article).