Routage des messages entre les sites Active Directory
S’applique à : Exchange Server 2013
Un site Active Directory est un composant de configuration logique basé sur les aspects physiques du réseau. La création d'un site Active Directory permet essentiellement de définir les sous-réseaux connectés de façon à optimiser le contrôle du trafic de réplication Active Directory. Microsoft Exchange Server 2013 reconnaît les groupes de disponibilité de base de données (DAG) et les sites Active Directory comme limites de routage, et les serveurs Exchange 2013 prennent des décisions en matière de routage d'après la topologie de site Active Directory.
Par défaut, une forêt Active Directory contient un seul site Active Directory. Le nom par défaut de ce site Active Directory est Default-First-Site-Name
. Si aucun autre site Active Directory n’est créé, tous les ordinateurs membres de domaine dans la forêt sont membres de Default-First-Site-Name
. Vous n'avez pas besoin de configurer d'association de sous-réseau au site. Si d'autres sites Active Directory sont créés, vous devez spécifier les sous-réseaux associés à ce site Active Directory.
Identification de l'appartenance au site
Chaque site Active Directory est associé à un ou plusieurs sous-réseaux IP. Un administrateur attribue l'appartenance à un site Active Directory aux ordinateurs configurés en tant que contrôleurs de domaine et serveurs de catalogue global. L'appartenance au site Active Directory est octroyée automatiquement aux autres ordinateurs membres du domaine, tels que des serveurs Exchange, lorsque ceux-ci sont configurés pour utiliser une adresse IP se trouvant dans un sous-réseau IP associé à un site Active Directory. Les ordinateurs avec la même appartenance au site Active Directory sont supposés avoir une bonne connectivité réseau. Un serveur est toujours membre d'un site Active Directory unique.
Les applications sensibles au site peuvent déterminer l'appartenance au site Active Directory de l'ordinateur sur lequel elles sont installées ainsi que celle d'autres ordinateurs de la forêt, puis utiliser ces informations pour contrôler le flux de communication. Quand les applications sensibles au site doivent utiliser les services d'un autre serveur, tel qu'un contrôleur de domaine ou un serveur de catalogue global, la priorité est donnée aux serveurs qui ont la même appartenance au site Active Directory que celle de l'ordinateur demandant ces services.
Exchange 2013 est une application sensible au site et utilise la topologie Active Directory pour acheminer les messages et pour communiquer avec les services exécutés sur d'autres ordinateurs Exchange 2013. Le site Active Directory n'est pas seulement une limite de routage. Il s'agit également de la limite de détection du service.
L'identification de l'appartenance au site pour un ordinateur membre d'un domaine dépend d'une série de requêtes DNS visant à comparer l'adresse IP locale aux sous-réseaux définis, puis de déterminer l'association d'appartenance au site appropriée. Pour réduire la charge associée aux requêtes DNS, les ajouts au schéma Active Directory Exchange 2013 incluent l'attribut msExchServerSite pour l'objet serveur Exchange. La valeur de cet attribut constitue le nom unique du site Active Directory d'un serveur Exchange. Cet attribut est une propriété de chaque objet serveur Exchange. Lorsque l'affinité d'appartenance au site est stockée en tant qu'attribut de l'objet serveur, la topologie actuelle peut être lue directement à partir d'Active Directory plutôt que d'utiliser des requêtes DNS et une association d'appartenance au site est activée pour un ordinateur ne faisant pas partie du domaine, tel qu'un serveur de transport Edge abonné.
La valeur de l'attribut msExchServerSite est renseignée et mise à jour par le service de topologie Active Directory de Microsoft Exchange. Au démarrage d'un ordinateur Windows, le service Net Logon détermine l'appartenance au site pour l'ordinateur. Le service Net Logon utilise ces informations pour rechercher les contrôleurs de domaine se trouvant dans le même site Active Directory que l'ordinateur local, puis dirige les demandes d'autorisation et d'authentification vers ces serveurs. Le service de topologie Active Directory de Microsoft Exchange utilise l'appel d'API DsGetSiteName pour récupérer la valeur de l'appartenance au site à partir du service Net Logon et écrit le nom unique du site Active Directory sur l'attribut msExchServerSite pour l'objet serveur Exchange dans Active Directory.
Le tableau suivant montre la manière dont une organisation peut définir les sites Active Directory. Dans cet exemple, trois sites Active Directory sont définis et chaque site Active Directory est associé à plusieurs sous-réseaux IP.
Nom du site Active Directory | Sous-réseaux IP associés |
---|---|
Site A | 192.168.1.0/24 192.168.2.0/24 |
Site B | 192.168.3.0/24 192.168.4.0/24 |
Site C | 192.168.5.0/24 192.168.6.0/24 |
Si un serveur nommé Mailbox01 a l’adresse IP 192.168.1.1, il est membre du site A. En modifiant l’adresse IP d’un serveur, vous pouvez modifier son appartenance au site. Si vous remplacez l’adresse IP de Mailbox01 par 192.168.2.1, l’appartenance au site Active Directory du serveur n’est pas modifiée, car ce sous-réseau est également associé au site A. Toutefois, si vous déplacez le serveur et que l’adresse IP passe à 192.168.3.1, le serveur est considéré comme membre du site B.
Une modification de l’appartenance au site peut également se produire si vous modifiez l’association de sous-réseaux à des sites Active Directory. Par exemple, si vous supprimez le sous-réseau 192.168.3.0 de l’association au site B et que vous l’associez au site A, l’appartenance au site d’un serveur dont l’adresse IP est 192.168.3.1 devient également site A. Chaque fois qu’une modification de l’appartenance au site se produit, Exchange doit mettre à jour ses données de configuration afin que la modification soit prise en compte lorsque Exchange prend des décisions de routage. Une certaine latence se produit entre le moment où une modification de l’appartenance à un site Active Directory se produit et que la modification de la topologie est entièrement propagée.
Liens de site IP
Les liens de sites sont des chemins d'accès logiques entre des sites Active Directory. Un objet de lien de sites représente un ensemble de sites qui peuvent communiquer à un coût uniforme. Les liens de sites ne correspondent pas au chemin d'accès utilisé par les paquets réseau sur le réseau physique. Toutefois, le coût affecté au lien de sites par l'administrateur se base généralement sur la fiabilité, la vitesse et la bande passante disponible du réseau sous-jacent. Par exemple, l'administrateur Active Directory affecte un coût inférieur à une connexion réseau dont la vitesse est 100 Mbits/s qu'à une connexion réseau dont la vitesse est 10 Mbits/s.
Par défaut, tous les liens de site sont transitifs. Cela signifie que si le site A a un lien vers le site B et que le site B a un lien vers le site C, le site A est lié de manière transitive au site C. Le lien transitif entre le site A et le site C est également appelé pont de liaison de site.
Exchange utilise uniquement des liens de sites IP pour déterminer sa topologie de routage du site Active Directory. Lors du calcul d'une table de routage, le composant de routage d'Exchange tient compte du coût affecté au lien de sites IP. Ces coûts entrent dans le calcul du chemin de routage le moins coûteux vers la destination finale d'un message.
Chaque site Active Directory doit être associé à un lien de sites IP au minimum. Il existe un seul lien de site IP par défaut nommé DEFAULTIPSITELINK
. Quand vous créez un site Active Directory, vous devez l'associer à un lien de sites IP. Vous pouvez créer des liens de site IP supplémentaires pour implémenter la topologie souhaitée, ou vous pouvez associer chaque site Active Directory au DEFAULTIPSITELINK
. Chaque site Active Directory faisant partie d'un lien de sites IP peut communiquer directement avec les autres sites de ce lien à un coût uniforme.
Dans la figure suivante, quatre sites Active Directory sont configurés dans la forêt. Chaque site a été associé à .DEFAULTIPSITELINK
Par conséquent, chaque site Active Directory communique directement avec tous les autres sites en utilisant la même mesure de coût. Plusieurs chemins d'accès de communication sont indiqués, mais un seul lien de sites IP est défini.
Dans la figure suivante, quatre sites Active Directory sont configurés dans la forêt. Dans cette topologie, l’administrateur a configuré des liens de site IP pour créer une topologie hub-and-spoke de sites Active Directory. Chaque site spoke peut communiquer directement avec le site central, et les sites spoke peuvent communiquer les uns avec les autres à l’aide des liens de site IP transitifs.
Il est important de noter qu’Exchange utilise des liens de site pour déterminer le chemin d’accès le moins coûteux, mais essaie toujours de remettre les messages directement au serveur Exchange de destination. Par exemple, si un utilisateur du site B dans la topologie illustrée dans la figure précédente envoie un message à un autre utilisateur dans le site C, le serveur de boîtes aux lettres du site B se connecte directement au serveur de boîtes aux lettres du site C. Si vous souhaitez forcer les messages à passer par le site A, vous devez activer ce site en tant que site hub. Pour plus d’informations sur les sites hub, consultez « Implémentation de sites hub » plus loin dans cette rubrique.
Un administrateur Active Directory met en œuvre la topologie qui représente le mieux les exigences de connectivité et de communication de la forêt. Comme la même topologie est utilisée par Exchange, vous devez vérifier que la topologie actuelle prend en charge une communication de messagerie efficace.
Le coût par défaut pour un lien de sites est 100. Un coût de lien de sites valide est un chiffre compris entre 1 et 99 999. Si vous spécifiez des liens redondants, le lien présentant l'affectation de coût la plus faible est toujours préféré. Un administrateur d'organisation Exchange peut affecter un coût spécifique d'Exchange à un lien de sites IP. Si un coût Exchange est affecté à un lien de sites IP, ce dernier sera utilisé par Exchange. Autrement, le coût Active Directory est utilisé. Pour plus d'informations sur la définition d'un coût Exchange sur un lien de sites IP, consultez la section « Contrôle des coûts des liens de sites IP » plus loin dans cette rubrique. Un administrateur doté de l'appartenance au groupe Administrateurs de l'entreprise peut créer d'autres liens de sites IP.
Pour plus d'informations sur la configuration du site Active Directory, consultez la rubrique Conception de la topologie de site.
Contrôle des coûts des liens de sites IP
Les coûts des liaisons de site IP Active Directory sont basés sur la vitesse relative du réseau par rapport à toutes les connexions réseau dans le WAN et sont conçus pour produire une topologie de réplication fiable et efficace. Par conséquent, dans la plupart des cas, les coûts de liaison de site IP existants doivent fonctionner correctement pour le routage des messages Exchange. Toutefois, si, après avoir documenté la topologie de lien de site Active Directory et de site IP existante, vous vérifiez que les modèles de flux de trafic et les coûts de liaison de site IP Active Directory ne sont pas optimaux pour Exchange, vous pouvez apporter des ajustements aux coûts évalués par Exchange. La modification du coût affecté au lien de site IP à l’aide des outils Active Directory aurait un impact sur l’ensemble de l’environnement. Utilisez plutôt l’applet de commande Set-AdSiteLink dans Exchange Management Shell pour affecter un coût spécifique à Exchange au lien de site IP. Par exemple, pour configurer la valeur de coût spécifique à Exchange de 25 sur le lien de site IP nommé SITELINKAB, exécutez la commande suivante dans l’interpréteur de commandes : Set-AdSiteLink SITELINKAB -ExchangeCost 25
.
Quand un coût spécifique d'Exchange est affecté à un lien de sites IP, celui-ci remplace le coût Active Directory à des fins de routage des messages. Par ailleurs, le routage ne tient compte du coût Exchange que lorsqu'il détermine le chemin de routage le moins coûteux.
L'ajustement des coûts de lien de sites IP peut être utile lorsque la topologie de routage des messages doit être différente de la topologie de réplication Active Directory. Les coûts Exchange peuvent être utilisés pour forcer tous les itinéraires de messages à utiliser un site hub. Les coûts Exchange permettent également de contrôler l'emplacement de mise en file d'attente des messages lorsque la communication vers un site Active Directory échoue. La figure suivante illustre une topologie Active Directory à quatre sites.
Dans la figure précédente, la connexion réseau entre le site C et le site D est une connexion à faible bande passante qui est utilisée uniquement pour la réplication Active Directory et ne doit pas être utilisée pour le routage des messages. Toutefois, les coûts de liaison de site IP Active Directory entraînent l’inclusion de ce lien dans le chemin de routage le moins coûteux de tout autre site Active Directory vers le site D. Par conséquent, les messages sont remis à la file d’attente site D dans le site C. L’administrateur Exchange préfère que le chemin de routage le moins coûteux inclue le site B à la place, afin que si le site D n’est pas disponible, les messages soient mis en file d’attente sur le site B. La configuration d’un coût Exchange élevé sur la liaison de site IP entre le site C et le site D empêche que ce lien de site IP ne soit inclus dans le chemin de routage le moins coûteux vers le site D.
Exchange prend en charge la configuration d'une limite de taille de message maximale sur un lien de sites IP Active Directory. Par défaut, Exchange n'impose pas de limite de taille de message maximale pour les messages relayés entre des serveurs Exchange dans différents sites Active Directory. Si vous utilisez la cmdlet Set-AdSiteLink pour configurer une taille de message maximale sur un lien de sites IP Active Directory, le routage génère une notification d'échec de remise pour tout message dont la taille est supérieure à la taille de message maximale configurée sur tout lien de sites Active Directory dans le chemin de routage le moins coûteux. Cette configuration est utile pour restreindre la taille des messages envoyés à des sites Active Directory distants qui doivent communiquer via des connexions à bande passante faible. Pour plus d'informations, consultez la rubrique Tailles limites des messages.
Implémentation de sites hub
Dans votre organisation Exchange, vous pouvez forcer la remise de tous les messages via un site Active Directory spécifique. Vous pouvez utiliser l’interpréteur de commandes pour désigner un site Active Directory en tant que site hub. Dans ce cas, vous entraînez une surcharge globale supplémentaire, car davantage de serveurs sont impliqués dans la remise des messages. Prenons l’exemple d’un message envoyé du site A au site E. Si le chemin de routage le moins coûteux est Site A-Site B-Site C-Site D-Site E et que vous désignez Site C comme site hub, le message est relayé du site A au site C, puis relayé du site C au site E.
La cmdlet Set-AdSite vous permet de spécifier un site Active Directory comme site hub. Lorsqu'un site hub est présent sur le chemin de routage le moins coûteux pour la remise des messages, les messages sont placés en file d'attente et traités par le service de transport sur des serveurs de boîtes aux lettres dans le site hub avant d'être relayés vers leur destination finale.
Après avoir choisi le chemin de routage le moins coûteux, le routage détermine s'il existe un site hub dans le chemin parcouru. Si un site hub est configuré, les messages s'arrêtent sur un serveur de boîtes aux lettres dans le site hub avant d'être relayés vers leur destination finale. S'il existe plusieurs sites hub sur le chemin de routage le moins coûteux, les messages s'arrêtent à chaque site hub jalonnant le chemin de routage.
Cette variante au routage de relais direct uniquement prend effet lorsque le site hub est situé sur le chemin de routage le moins coûteux. La figure suivante illustre l'utilisation correcte d'un site hub. Dans ce schéma, le site B est configuré comme site hub. Les messages relayés du site A au site D sont relayés via le site B avant d'être remis au site D.
La figure suivante montre comment les coûts de liaison de site IP affectent le routage vers un site hub. Dans ce scénario, le site B a été désigné comme site hub. Toutefois, le site B n’existe pas le long du chemin de routage le moins coûteux entre d’autres sites. Par conséquent, les messages qui sont relayés du site A au site D ne sont jamais relayés via le site B. Un site Active Directory n’est jamais utilisé comme site hub s’il ne se trouve pas sur le chemin de routage le moins coûteux entre deux autres sites.
Vous pouvez configurer un site Active Directory comme site hub. Cependant, pour que cette configuration fonctionne correctement, vous devez disposer d'au moins un serveur de boîtes aux lettres dans le site hub.
Découverte de la topologie
Exchange peut accéder à la topologie Active Directory via les éléments obligatoires suivants :
- Service de topologie Active Directory de Microsoft Exchange
- Module de découverte de topologie au sein du service de transport Microsoft Exchange
Le service de topologie Active Directory de Microsoft Exchange est exécuté sur tous les serveurs d'accès au client Exchange 2013 et sur tous les serveurs de boîtes aux lettres. Ces serveurs utilisent le service de topologie Active Directory de Microsoft Exchange pour découvrir les contrôleurs de domaine et les serveurs de catalogue global qui peuvent être utilisés par les serveurs Exchange de manière à lire et écrire des données Active Directory. Exchange 2013 est lié aux serveurs d'annuaire identifiés quand Exchange doit lire à partir d'Active Directory ou écrire vers Active Directory.
Le module de découverte de topologie est inclus dans le service de transport Microsoft Exchange et fournit des informations concernant la topologie Active Directory aux serveurs Exchange. Cette API détecte les serveurs et rôles Exchange dans l'organisation et identifie leur relation avec les objets de configuration Active Directory. Les données de configuration sont extraites d'Active Directory, puis elles sont mises en cache de sorte que les services Exchange en cours d'exécution sur l'ordinateur puissent y accéder.
Le module de découverte de topologie procède comme suit pour générer une topologie de routage Exchange :
Les données sont lues à partir d'Active Directory. Tous les objets suivants sont récupérés :
- Sites Active Directory
- Liens de sites IP
- Tous les serveurs Exchange
Les données récupérées lors de l'étape 1 sont utilisées pour créer la topologie initiale et démarrer la liaison et le mappage des objets de configuration concernés.
Les serveurs Exchange sont mis en correspondance avec des sites Active Directory en récupérant la valeur d'attribut de site à partir de l'objet serveur Exchange stocké dans Active Directory.
Les tables de routage sont mises à jour avec l'ensemble des informations récupérées.
Ce processus permet de révéler l'existence de chaque serveur Exchange 2013 aux autres serveurs Exchange dans l'organisation ainsi que le degré de proximité entre tous les serveurs Exchange.