Déploiement hybrides à forêts multiples
Les déploiements hybrides Exchange 2013 et ultérieurs sont pris en charge pour les organisations disposant de plusieurs forêts Exchange locales et d’un seul Microsoft 365 ou Office 365 organization. Pour les fonctionnalités de déploiement hybride et les considérations à prendre en compte, les organisations à forêts multiples sont définies comme des organisations disposant de serveurs Exchange déployés dans plusieurs forêts. Les organisations qui utilisent une forêt de ressources pour les comptes d'utilisateurs, mais qui conservent tous les serveurs Exchange dans une forêt unique, ne sont pas classées comme des organisations à forêts multiples dans les scénarios de déploiement hybride. Ces types d'organisations doivent être considérés comme des organisations à forêt unique lors de la planification et la configuration d'un déploiement hybride.
La migration de dossiers publics d’un environnement local vers Microsoft 365 ou Office 365 n’est prise en charge qu’à partir d’une seule forêt Active Directory. De même, l'accès aux dossiers publics hybrides est uniquement pris en charge lorsque les dossiers publics locaux sont hébergés dans une forêt Active Directory unique.
Pour plus d’informations sur les déploiements hybrides, consultez Exchange Server déploiements hybrides.
Importante
Pour Exchange 2013 et versions ultérieures, les déploiements hybrides nécessitent la dernière mise à jour cumulative (CU) disponible pour la version d’Exchange que vous avez installée dans votre organization locale.
Si vous ne pouvez pas installer la dernière mise à jour, la version immédiatement précédente est également prise en charge. Les unités de requête et les unités de requête précédentes ne sont pas prises en charge. Pour plus d’informations, consultez la page Configuration requise pour un déploiement hybride.
Conditions préalables au déploiement hybride à forêts multiples
Les prérequis de déploiement hybride multi-forêts sont presque identiques aux prérequis de déploiement hybride pour un organization à forêt unique, avec les exceptions suivantes :
Découverte automatique : chaque forêt Exchange doit faire autorité pour au moins un espace de noms SMTP et l’espace de noms Autodiscover correspondant. S'il existe des domaines partagés entre plusieurs forêts Exchange, des points de terminaison de découverte automatique et de routage du courrier doivent être configurés et fonctionner correctement entre les forêts Exchange avant de configurer votre déploiement hybride à forêts multiples. Le service Office 365 doit pouvoir interroger le service de découverte automatique dans chaque forêt Exchange.
Certificats : tous les déploiements hybrides nécessitent un certificat numérique émis par une autorité de certification tierce approuvée. Dans le cadre d'un déploiement hybride à-forêts multiples, un certificat numérique unique ne peut pas être utilisé pour plusieurs forêts Active Directory. Chaque forêt doit utiliser un certificat dédié émis par une autorité de certification pour que le transport de messagerie sécurisé fonctionne correctement dans un déploiement hybride. Le certificat utilisé pour les fonctionnalités de déploiement hybride pour chaque forêt dans une organisation à forêts multiples doit être différent dans au moins l'une des propriétés suivantes :
Nom commun : le nom commun (CN) du certificat numérique fait partie de l’objet du certificat. Il doit correspondre à l'hôte en cours d'authentification et est généralement le nom d'hôte externe pour le serveur d'accès au client dans la forêt Active Directory. Par exemple, mail.contoso.com. Nous vous recommandons d'utiliser le CN comme propriété de différenciation entre les certificats Active Directory utilisés dans les déploiements hybrides à forêts multiples.
Émetteur : l’autorité de certification tierce qui a vérifié les informations organization et émis le certificat. Par exemple, VeriSign ou Go Daddy. À titre d’exemple dans un déploiement hybride multi-forêts, une forêt aurait un certificat émis par VeriSign et une forêt aurait un certificat émis par Go Daddy.
Importante
Le certificat installé sur les serveurs de boîte aux lettres et d’accès au client (et le transport Edge, s’il est déployé) dans chaque forêt Active Directory utilisée pour le transport de courrier dans le déploiement hybride doit tous être émis par la même autorité de certification et avoir le même nom commun.
Sur un serveur de transport Edge, si le nom commun du certificat et le nom de l’émetteur ne correspondent pas, vous pouvez les définir manuellement dans le connecteur de réception à l’aide des commandes suivantes :
$cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate" $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)" Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatenameServeurs Exchange : au moins un serveur Exchange 2013 avec le rôle serveur d’accès au client ou un serveur Exchange 2016 ou version ultérieure avec le rôle Boîte aux lettres doit être installé dans chaque forêt Active Directory configurée pour le déploiement hybride.
Dans Exchange 2013, le serveur d’accès au client est le point de terminaison de transport de courrier sécurisé entrant pour le service Exchange Online Protection (EOP) inclus avec le service Microsoft 365 ou Office 365 organization et permet à l’Assistant Configuration hybride de s’exécuter dans la forêt Active Directory. En outre, au moins un serveur Exchange doté du rôle serveur de boîte aux lettres doit être installé dans chaque forêt Active Directory configurée pour le déploiement hybride. Le serveur de boîtes aux lettres Exchange 2013 est le point de terminaison de transport de courrier sécurisé sortant pour les messages envoyés au service EOP et au Exchange Online organization.
Dans Exchange 2016 et versions ultérieures, le rôle de serveur de boîte aux lettres gère l'ensemble du transport sécurisé entrant et sortant entre votre organisation locale et Exchange Online.
Planification de l’espace de noms : chaque forêt dans laquelle vous installez Exchange nécessite son propre espace de noms unique détectable en externe. Vous spécifierez l’espace de noms unique d’une forêt dans l’Assistant Configuration hybride lorsque vous l’exécuterez dans chaque forêt.
Synchronisation Active Directory : tous les déploiements hybrides nécessitent une synchronisation Active Directory avec Microsoft 365 ou Office 365. Si votre entreprise a déjà configuré la synchronisation Active Directory entre votre organization local à forêts multiples et Microsoft 365 ou Office 365 à l’aide de Forefront Identity Manager, vous pouvez utiliser Microsoft Entra Connect.
Authentification unique : bien que cela ne soit pas obligatoire pour les déploiements hybrides avec des forêts Active Directory uniques, les administrateurs peuvent choisir de configurer un serveur d’authentification unique dans chaque forêt Active Directory ou de configurer un seul serveur d’authentification unique s’il existe une approbation de forêt bidirectionnelle configurée entre les forêts locales. Pour une expérience d'authentification utilisateur transparente, utilisez soit AD FS, soit la synchronisation de mot de passe.
Pour plus d'informations, consultez la rubrique Authentification unique avec les déploiements hybrides.
Pour obtenir la liste complète des conditions préalables au déploiement hybride, voir Configuration requise pour un déploiement hybride
Scénario de déploiement hybride à forêts multiples
Étudiez le scénario suivant. Il s'agit d'un exemple de topologie qui présente un déploiement Exchange 2013 standard. Contoso, Ltd est une organisation à forêts et à domaines multiples, avec deux forêts Active Directory. La forêt A contient le domaine contoso.com et la forêt B contient le domaine sale.contoso.com. Chacune des forêts contient des contrôleurs de domaine, un serveur Exchange 2013 doté du rôle d'accès au client et un serveur Exchange 2013 doté du rôle serveur de boîte aux lettres. Les utilisateurs Contoso distants se servent d'Outlook Web App pour se connecter à Exchange 2013 via Internet afin de vérifier leurs boîtes aux lettres et d'accéder à leur calendrier Outlook.
Supposons que vous êtes l’administrateur réseau de Contoso et que vous souhaitez configurer un déploiement hybride. Vous déployez et configurez un serveur de synchronisation Active Directory requis dans la forêt A, et vous décidez également de déployer un serveur Services ADFS (AD FS) comme option pour réduire le nombre d’invites d’informations d’identification de compte pour les utilisateurs et administrateurs contoso accédant à Microsoft 365 ou Office 365 services dans la forêt A. Une fois que vous avez terminé les conditions préalables au déploiement hybride et que vous avez utilisé l’Assistant Configuration hybride pour sélectionner les options pour le déploiement hybride, votre nouvelle topologie a la configuration suivante :
Les utilisateurs se serviront de leurs informations d'identification de compte réseau pour se connecter à l'organisation locale et à l'organisation Exchange Online (« authentification unique »).
Les boîtes aux lettres utilisateur situées dans l'organisation locale et l'organisation Exchange Online utiliseront plusieurs domaines d'adresse de messagerie. Par exemple, les boîtes aux lettres situées dans la forêt A localement et certaines boîtes aux lettres situées dans le Exchange Online organization utilisent @contoso.com dans les adresses de messagerie et les boîtes aux lettres des utilisateurs dans la forêt B, et certaines boîtes aux lettres situées dans le Exchange Online organization utilisent @sales.contoso.com.
Tous les messages sont remis à Internet par l'organisation locale. L'organisation locale contrôle le transport de tous les messages et sert de relais à l'organisation Exchange Online (« transport de courrier centralisé »).
Les utilisateurs de l'organisation locale et de l'organisation Exchange Online peuvent partager leurs informations de disponibilité du calendrier les uns avec les autres. Les relations des organisations configurées pour les deux organisations autorisent également le suivi des messages, les info-courriers et la recherche de messages intersite.
Les utilisateurs de l'organisation locale et de l'organisation Exchange Online utilisent la même URL pour se connecter à leurs boîtes aux lettres via Internet.
Si vous comparez la configuration de l'organisation existante de Contoso avec celle d'un déploiement hybride, vous constaterez que la configuration d'un déploiement hybride a permis d'ajouter des serveurs et des services qui prennent en charge des fonctions et des échanges supplémentaires partagés entre l'organisation locale et l'organisation Exchange Online. Voici un aperçu des modifications qu'un déploiement hybride apporte à l'organisation Exchange locale initiale.
| Configuration | Avant de déploiement hybride | Après le déploiement hybride |
|---|---|---|
| Emplacement des boîtes aux lettres | Boîtes aux lettres locales uniquement. | Boîtes aux lettres situées dans l'organisation locale et l'organisation Exchange Online. |
| Transport des messages | Les serveurs d'accès au client locaux gèrent le routage de tous les messages entrants et sortants. | Le serveur d'accès au client local gère le routage des messages internes entre l'organisation locale et l'organisation Exchange Online. |
| Outlook Web App | Le serveur d'accès au client local reçoit toutes les demandes Outlook Web App et affiche les informations de boîte aux lettres. | Le serveur d'accès au client local redirige les demandes Outlook Web App vers le serveur de boîtes aux lettres Exchange 2013 local ou fournit un lien permettant d'établir une connexion à l'organisation Exchange Online. |
| Liste d'adresses globale unifiée pour les deux organisations | Non applicable ; une seule organisation uniquement. | Le serveur de synchronisation Active Directory local réplique les informations Active Directory des objets à extension messagerie dans l'organisation Exchange Online. |
| Authentification unique utilisée pour les deux organisations | Non applicable ; une seule organisation uniquement. | Le serveur Services ADFS local (AD FS) prend en charge l’utilisation des informations d’identification d’authentification unique pour les boîtes aux lettres situées localement ou dans Microsoft 365 ou Office 365 organization. |
| Relation d’organisation établie et approbation de fédération avec Microsoft Entra système d’authentification | La relation d’approbation avec le système d’authentification Microsoft Entra et les relations organization avec d’autres organisations Exchange fédérées peuvent être configurées. | Une relation d’approbation avec le système d’authentification Microsoft Entra est requise. Les relations des organisations sont établies entre l'organisation locale et l'organisation Exchange Online. |
| Partage de disponibilité | Partage de disponibilité entre utilisateurs locaux uniquement. | Partage des informations de disponibilité entre utilisateurs locaux et Exchange Online. |
Configuration de déploiements hybrides dans les organisations à forêts multiples
Pour configurer un déploiement hybride pour une organisation à forêts multiples, vous devez réaliser les étapes de base ci-dessous :
Vérifiez que toutes les conditions préalables au déploiement hybride sont satisfaites. Consultez les conditions préalables énumérées précédemment dans cette rubrique, ainsi que la rubrique Configuration requise pour un déploiement hybride. En règle générale, il n'est nécessaire d'installer un serveur de synchronisation Active Directory que sur une seule forêt. Pour plus d’informations, consultez Topologies pour Microsoft Entra Connect.
Obtenez un certificat d'une autorité de certification tierce pour chaque forêt Active Directory qui répond aux exigences énumérées précédemment dans cette rubrique.
Installez le certificat sur tous les serveurs de boîte aux lettres et d'accès au client Exchange 2013, ou sur tous les serveurs de boîte aux lettres Exchange 2016, dans chaque forêt.
Suivez les étapes décrites dans la rubrique Création d'un déploiement hybride avec l'assistant Configuration hybride pour la forêt principale.
Importante
Veillez à sélectionner le certificat indiqué pour la forêt principale dans l'Assistant de configuration hybride, ainsi que le domaine SMTP principal de la forêt.
Suivez les étapes décrites dans la rubrique Création d'un déploiement hybride avec l'assistant Configuration hybride pour la forêt secondaire.
Importante
Veillez à sélectionner le certificat indiqué pour la forêt secondaire dans l'Assistant de configuration hybride, ainsi que le domaine SMTP principal de la forêt.