My-PowerShell

Vous souhaitez administrer vos serveurs Exchange 2010 à distance depuis un ordinateur ou un serveur sur lequel ne sont pas installés les outils d’administration Exchange 2010.
Voici la méthode pour le faire avec Windows Management Framework.

Créez un session avec New-PSSession:

$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://exch-server01/PowerShell/ -Authentication Kerberos

Pour créer une session avec New-PSSession en utilisant un autre compte, utilisez:

$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://exch-server01/PowerShell/ -Authentication Kerberos  -Credential (Get-Credential)

Importez la session.

Import-PSSession $session

Vous pouvez maintenant lancer les commandes PowerShell Exchange 2010 sur votre système.

Pensez à quitter proprement la session avec :

Remove-PSSession $session

Pour les systèmes plus anciens que Windows Seven et Windows Server 2008 R2, il est tout de même nécessaire d’avoir installé PowerShell 2.0 et WinRM 2.0.
Les sources se trouvent ici.

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Tableau des versions de Outlook supportées par Exchange 2007/2010/2013.

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

L’ajout du Snap-In permet de lancer des commandes Exchange dans un console PowerShell ouverte en exécutant la powershell.exe.
C’est utile pour l’exécution de scripts par taches planifiées
Exchange 2007:

Add-PSSnapin "Microsoft.Exchange.Management.PowerShell.Admin"

Exchange 2010:

Add-PSSnapin "Microsoft.Exchange.Management.PowerShell.E2010"

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Voici un petit script VBS très simple qui permet d’envoyer un message SMTP depuis un système Windows.
Ce script est compatible avec toutes les versions de Windows.
Il peut servir pour tester un relais SMTP ou la capacité d’un ordinateur à envoyer des messages en SMTP sans utiliser Outlook.

Il suffit de copier ce code dans un fichier texte et renommer l’extension du fichier en « .vbs ».

'Envoie d'un e-mail via un serveur SMTP'
With CreateObject("CDO.Message")
.From="adress@domainfrom.com"
.To="adress@domainto.com"
.Subject="-Test Message-"
.HTMLBody="Test Message"
.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "my-relay.com"
.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
.Configuration.Fields.Update
On Error Resume Next
.Send
If Err Then MsgBox "Le message n'a pas pu être expédié."
On Error GoTo 0
End With

Il ne reste plus qu’à changer l’adresse de l’émetteur, du destinataire et du relais SMTP.

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Depuis Exchange 2010 SP1, le montage des boites aux lettres où un utilisateur a l’accès complet est automatique dans Outlook.
Ce mappage automatique peut être désactivé en changeant la valeur de la propiété AutoMapping des permissions de l’utilisateur sur la boite aux lettre mappé.
Par défaut le mappage automatique est activé.
Cette modification ne peut être effectuée que par PowerShell.
On ne peut modifier une permission existante, il faut supprimer la permission accès total et la recréer avec le bon paramètre.

Voici quelque méthodes.

Donner l’accès à une boite sans le mappage automatique:

Add-MailboxPermission -Identity "Boite partagée" -User "j.doe" -AccessRight FullAccess -InheritanceType All -Automapping $false

Désactiver le mappage automatique pour un utilisateur:

Remove-MailboxPermission -Identity "Boite partagée" -User "j.doe" -AccessRights FullAccess -InheritanceType All -Confirm:$false
Add-MailboxPermission -Identity "Boite partagée" -User "j.doe" -AccessRight FullAccess -InheritanceType All -Automapping $false

Supprimer le mappage automatique pour tous les utilisateurs d’une boite aux lettres.

$DisAutoMapping = Get-MailboxPermission "Boite partagée" | where {$_AccessRights -eq "FullAccess" -and $_IsInherited -eq $false}
$DisAutoMapping | Remove-MailboxPermission
$DisAutoMapping | ForEach {Add-MailboxPermission -Identity $_.Identity -User $_.User -AccessRights:FullAccess -AutoMapping $false}

Source Technet

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Par défaut avec Exchange 2010, il n’est pas possible de changer un mot de passe expiré dans OWA.
Pour activer cette fonctionnalité, il suffit d’ajouter une clé de registre sur vos serveurs CAS.

- Naviguez dans le registre jusqu’à la clé HKLM\SYSTEM\CurrentControlSet\Services\MSExchange OWA
- Ajoutez une valeur DWord (32-bit) avec comme nom ChangeExpiredPasswordEnabled et comme valeur 1.
- Pour appliquez la configuration, exécutez dans une invite de commande.

IISReset -Force

 
Les utilisateurs auront maintenant la possibilité de changer leur mot de passe même si celui-ci est déjà expiré.

Ils auront également un message dans OWA les informant de l’expiration prochaine de leur mot de passe.

Cette méthode s’applique également pour Exchange 2007 SP3.

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Exchange 2010 permet l’utilisation de Role Based Access Control (RBAC) pour la gestion des rôles d’administration.
Voici la méthode que j’ai utilisé pour mettre en place des autorisations spécifiques pour des opérateurs de comptes sur les boites aux lettres présentent dans une OU.
L’objectif est de permettre à ces opérateurs de gérer les boites aux lettres des cette OU sans qu’ils puissent modifier les droits d’accès sur ces boites aux lettres sensibles.

La première étape est de créer un rôle de management à partir du rôle « Mail Recipients ».

New-ManagementRole -Name "Gestion des destinataires Finance" -Parent "Mail Recipients"
 
Name                                                        RoleType                                                   
----                                                        --------                                                  
Gestion des destinataires Finance                           MailRecipients

Ce nouveau rôle de management a hérité des entrés de présentent dans le rôle « Mail Recipients ».
Il faut donc que les entrés de rôle que je souhaite retirées.
Pour cette demande, il faut que je retire les entrés « Add-MailboxPermission », « Remove-MailboxPermission », « Add-MailboxFolderPermission » et « Remove-MailboxFolderPermission ».
Je contrôle la présence des ces entrés avec la commande suivante:

Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
 
Name                           Role                      Parameters                                                    
----                           ----                      ----------                                                   
Add-MailboxFolderPermission    Gestion des destinatai... {AccessRights, Confirm, Debug, DomainController,ErrorActio...
Add-MailboxPermission          Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...
 
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}
 
Name                           Role                      Parameters                                                   
----                           ----                      ----------                                                   
Remove-MailboxFolderPermission Gestion des destinatai... {Confirm, Debug, DomainController, ErrorAction,ErrorVariab...
Remove-MailboxPermission       Gestion des destinatai... {AccessRights, Confirm, Debug, Deny, DomainController,Erro...

Je supprime ces entrés avec la commande suivante:

Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"} | Remove-ManagementRoleEntry -Confirm:$false

Je contrôle la suppression:

Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Add-Mailbox*"}
Get-ManagementRoleEntry "Gestion des destinataires Finance\*" | Where-Object { $_.name -like "Remove-Mailbox*"}

Je crée un nouveau scope de management qui inclut tous les destinataires de l’OU que je souhaite.

New-ManagementScope -Name "Destinataires Finance" -RecipientRoot "domain.local/Finance" -RecipientRestrictionFilter {(RecipientType -eq "*")}
 
Name                ScopeRestrictionType Exclusive           RecipientRoot       RecipientFilter     ServerFilter      
----                -------------------- ---------           -------------       ---------------     ------------     
Destinataires Fi... RecipientScope       False               domain.local/Dir... RecipientType -l...

Je crée pour finir un groupe de rôle avec les paramètres de scope, de rôle et en y ajoutant un utilisateur.

New-RoleGroup -Name "Support Utilisateurs Finance" -CustomRecipientWriteScope "Destinataires Finance" -Roles "Gestion des destinataires Finance" -Members b.simpson
 
Name                          AssignedRoles                 RoleAssignments               ManagedBy                   
----                          -------------                 ---------------               ---------                   
Support Utilisateurs Fina ... {Gestion des destinataires... {Gestion des destinataire ... {domain.local/Micro...

Je pourrai par la suite ajouter des membres ou des groupes avec la commande:

 Add-RoleGroupMember -Identity "Support Utilisateurs Finance" -Member gg_adminsfin

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Liste des services installés pour le fonctionnement de Exchange 2010.

La commande suivant pour vérifier que tous les services nécessaires sont démarrés sur votre serveur.

Test-ServiceHealth

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Voici la procédure à appliqué lorsque le message « Ce certificat est valide pour une utilisation avec Exchange – Raison: la clé privée manquant » apparaît lors de l’activation d’un certificat via la commande Enable-ExchangeCertificate dans Exchange 2007 ou 2010.

Ce message signifie que Windows n’arrive pas à trouver la clé privée associée à votre certificat SSL.

Vous pouvez essayer la procédure suivante pour récupérer votre clé privée:
- Noter le numéro de série du certificat
Avec PorwerShell

Get-ExchangeCertificate | ft Thumbprint,Subject,SerialNumber

Ou dans l’onglet détail en ouvrant le fichier certificat SSL.
- Lancer dans un commande CMD

Certutil –repairstore my <Numéro de série>

Enlever au préalable les espaces dans le numéro de série.

Si la commande se termine correctement, relancer Enable-ExchangeCertificate.

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :

Il existe sur Internet des sites vendeurs de Certificat SSL qui propose de vous aider à générer le Certificate Signing Request (CSR).
DigiCert offre un petit utilitaire qui une fois tous les champs renseignés génère la commande PowerShell qui vous permettra par un simple copier/coller de générer la demande de certificat sur votre serveur Exchange.

Il y a également un page d’explication notamment sur les Subject Alternate Names (SAN) qu’il ne faut pas oublier lors de la création d’une demande de certificat pour Exchange.

Choosing SAN Names for your Exchange SSL Certificate

Cet article vous a aidé ou intéressé? Alors partagez-le en cliquant sur les boutons ci-dessous :