Lantranet [dot] com

bloggin' like a Professional

  • Navigator

    open all | close all
  • Kategorien

  • Neueste Beiträge

Exchange

Exchange 2007 SP1 Installation & Konfiguration
(70-236)

 

 

~ 50% der konfigurierbaren Exchange Daten stehen im AD

Versionen:

Exchange 5, 2000, 2003, 2007 (Version 12)

 

Bestandteile:

  • Ø EdgeTransport Server: Sprungbrett von „Außen“ nach „Innen““, Virenscan+Spamfilter
  • Ø Mailbox Server: auch über FailOverCluster kombinierbar
    => Active/Passive clustered Mailbox Funktion
  • Ø Hub Transport Server: quasi SMTP Server, Verteiler, Mail Hygiene
  • Ø ClientAccess Server: Outlook Web Access,…
  • Ø Unified Messaging Server: vergleichbar mit MRS, FaxtoMail, VoiceMail, … usw.

 

Hardware – Voraussetzungen „ Postfachserver“

  • – 64bit kompatible Hardware
  • – mind. 2GB RAM (empfohlen 4GB) => plus 2-5MB pro User (beim Postfachserver)
  • – 3 Disksubsysteme:
    1x OS
    1x Datenbanken mit Raid 5 oder 6
    1x Logfiles

ExchangeRAID

Hardware – Voraussetzungen „Client Access“

  • – 64bit kompatible Hardware

 

Hardware – Voraussetzungen „ HUB-Transport“

  • – 64bit kompatible Hardware

 

Reihenfolge der Installation

  • 1.) Hub-Transport
  • 2.) Postfachserver
  • 3.) Clientaccess Server

Volumeshadowcopy Sicherung für AD, damit es wieder online genommen werden kann

  • Ø Ntdsutil
  • Ø Snapshot
  • Ø Create

werden im System Volume Information gespeichert

Systemvorraussetzungen & Installation

  • – .NET Framework (wenn nicht auf 2008)
  • – Powershell

 

  • 1. Windows Server 2008 64bit installieren (Enterprise)
  • 2. ServerManagerCmd -i RSAT-ADDS
  • 3. ServerManagerCmd -i PowerShell
  • 4. ServerManagerCmd -i Web-Server
  • 5. ServerManagerCmd -i Web-ISAPI-Ext
  • 6. ServerManagerCmd -i Web-Metabase
  • 7. ServerManagerCmd -i Web-Lgcy-Mgmt-Console
  • 8. ServerManagerCmd -i Web-Basic-Auth
  • 9. ServerManagerCmd -i Web-Digest-Auth
  • 10. ServerManagerCmd -i Web-Windows-Auth
  • 11. ServerManagerCmd -i Web-Dyn-Compression
  • 12. ServerManagerCmd -I RPC-over-http-proxy

  

Zur reinen Verwaltung, ohne dass Exchange installiert ist benötigt man nur:

Feature:              – RSAT Tools (Remoteserver Verwaltungs Tools „ADDS“)
   entweder über „GUI“ oder „CLI“ installieren

– PowerShell

 

  • 1. servermanagercmd -i RSAT-ADDS
  • 2. servermanagercmd -i Web-Metabase
  • 3. servermanagercmd -i Web-Lgcy-Mgmt-Console

und die „Management Tools“ bei benutzerdefinierter Exchange-CD Installation

 

Verwaltungs Werkzeuge

  • – Exchange Verwaltungskonsole
  • – Exchange verwaltungsShell
  • – AD Benutzer und Computer

 

  • – Domänpartition
  • – Config Partition (Forest weit)
  • – Schema Partition (Forest weit)
  • – Forest DNS Zone Partition
  • – DNS Domain Partition Zone (jene Zonen die in den Eigenschaften drinnen stehen haben, dass sie in der DNS Domain Partition gespeichert werden)

 

Msdcs = delegierung

 

Zusätzliche Installations Optionen

Bei setup.com kann man mit dem Schalter /NewProvisionedServer und dem /ServerAdmin schalter zB.: einen User VorOrt NUR für die Installation Adminrechte geben, dass die Isntallation problemlos klappt. => keine Rechte für Adminstration und Konfiguration!!!

    Setup.com /NewProvisionedServer:<ServerName> [/ServerAdmin:<Server Admin Group Name>]

 

Tools für AD Domänendienste = ADSI Editor: ADSI Edit

Organisationskonfiguration => Config  Partition
Serverkonfiguration => direkt am Server
Empfängerkonfiguration => Domain Partition

 

Outlook Client schaut am lokalen Verzeichnis Dienst (srv12) nach und bekommt die info, dass sich das Postfach von „einberger“ auf dem srv10 befindet.

 Outlook Verbindungsstatus

STRG + rechtsklick, auf Outlook Symbol in Taskleiste => Verbindungsstatus

Szenario:  Postfach von Standort A zu Standort B verschieben

  • – Quellpostfach wird geöffnet, Zielpostfach wird geöffnet
  • – Mails werden nach einander per smtp transferiert
  • – Exchange „A“ teilt dem DC „A“ (besser gesagt dem AD) mit dass sich die Datenbank jetzt auf Standort „B“ befindet.
  • – Falls die Replikation nur 1x am Tag passieren sollten, dann MUSS die Replikation von Hand angestoßen werden, sonst hat der Exchange am Standort „B“ keine Info über seinen Standort DC „B“, dass sich die Datenbank bereits bei ihm befindet

 

 

Public Store => Öffentliche Ordner, Favoriten (Public Folder Database.edb)
=> First Storage Group (deutsch: Speichergruppenpfad)

Private Store (Mailbox Database.edb)
=> Second Storage Group

 

Ausfallssicherheit der Logfiles, Datenbanken in sehr großen Umgebungen

Betriebssystem mit Exchange => Raid 1 (2 HDD’s)
Logfiles (Transactions Files) => Raid 1 (2 HDD’s)
Mailbox Database.edb auf SAN mit => Raid 5 (3 HDD’s)

 

 

 

Speichergruppen (5910 ; 3-17)

In 2007 Enterprise 5 DB’s pro Speichergruppe d.h. max. 50

 

Postfachdatenbanken

  • – Allgemeine Einstellungen
  • – Wartungszeitraum
  • – Grenzwerte
  • – Log Shipping Server (ColdStandby)
  • – Kopiestatus => Local Continous Replication (nur auf Storagegroups einrichtbar, darf nur 1 DB enthalten)

 

Postfachservereinstellungen

  • – Öffentliche Ordner
    wurde missbräuchlich als Mail Ablage, für Kontakte, Kalender benutzt, quasi als Mini sharepoint. *)repliziert, indiziert, Rechte vergeben,…

Große Datenmengen  > Sharepoint, kleine Datenmengen > Öffentliche Ordner

Get- / add- / set- PublicFolderXXX

Bei Öffentlichen Ordnern muss man die Berechtigungen pro Ordner setzen (wie alte NTFS Berechtigungen)
Bei Unterordnern werden die Berechtigungen vom Überordner übernommen (ist aber keine Vererbung)!

 

 

 

 

 

Hub Transport Server
(quasi SMTP Server, Verteiler, Mail Hygiene)

 

 SMTP Explorer zur Analyse von Fehlern
RFC821 / RFC821 (Request for Comment)

 

Sitzungsaufbau:

2 Pakete –  DNS Paket
3 Pakete – TCP Aufbau 3-way Handshake (SYN, ACK, FINACK)
Datenpakete….

SMTP Sitzungsaufbau Log 

 

Sendeconnector

…ist (sind) nötig um den Versendevorgang für Mails nach Außen aber auch in andere Exchange Orgas zu konfigurieren

SMTP-SendeConnector

 

Akzeptierte Domänen konfigurieren

jeder SMTP Namespace

 

Aufgabe: vorname@zuname.wifi + @huber.at

Gemeinsame Adressen mit den Adressrichtlinien

 

Transportregeln

Sowie die Outlook Regeln, werden hier die Regeln „zentral“ definiert.
Idee:  zB.: Chef bekommt immer eine Mail, wenn Sekretärin eine wegschickt

wird am Transportweg 2x zugeordnet, nicht 2x geschickt

 

Powershell-Befehle

Detailiert infos zur mailbox:
Get-Mailbox einberger | format list (fl)
Get-Mailbox einberger | fl

Hilfe zum set-mailbox cmdlet:
get-help set-mailbox -detailed|more

MaxReceiveSize der Mailbox „einberger“ auf unlimited setzen
set-mailbox „einberger“ -MaxReceiveSize „unlimited“

Service Dienste überprüfen
test-servicehealth => zeigt aktuell gestartete und gestoppte Dienste an
(muss lokal am Exchange ausgeführt werden)

test-servicehealth -server srv10 => remote Abfrage von einem NICHT-Exchange Server

test-systemhealth => testet so ziemlich alle Systemkomponenten vom Exchange (Treiber, Synchronisation,…)

 

 

Raum, Objektmailbox

Räume und Ressourcen verwalten als Postfächer
Berechtigung „Vollzugriff verwalten“ => jemanden eintragen zur Verwaltung

Verwalten von Postfächern

Exchange Empfänger = ganz normale Postfachbenutzer,

  • – Email Aktivierter Benutzer bzw.Email Aktivierter Kontakt
  • – Raum, Objekte und Ressourcen werden per Berechtigung „Vollzugriff verwalten“ => von jemanden verwaltet

Office Box anlegen

  • – Postfach in der Exchange Verwaltungskonsole anlegen (zB..office@huber.at)
  • – Per vollzugriff verwalten Berechtigungen setzen
  • – Im Office unter Extras > Konteneinstellungen > Postfach ändern > weitere Einstellungen > erweitert > Postfach hinzufügen

Postfach löschen (Empfängerkonfiguration > Postfach)

  • – Deaktivieren: User wird von der Mailbox getrennt bzw. abgehängt
    Mailbox ist dann in getrennte Postfächer wieder sichtbar
  •  – Löschen: User im AD und Mailbox im Exchange verschwindet

 

set-newMailbox

disable-mailbox
enable-Mailbox
connect-Mailbox

remove-mailbox „name“

 Connect-Mailbox -Identity ‚5722efb7-39fa-4c2d-90cc-bdf3eefc7c66′ -Database ’srv10.huber.intern\First Storage Group\Mailbox Database‘ -User ‚huber\ls111‘ -Alias ‚ls111‘ -Room

 

 

Benutzerobjekt  / Kontaktobjekt im AD in Bezug auf E-Mail aktivierte Kontakte

 Kontaktobjekt im AD besitzt kein „Security Principal“ (Sicherheitsgruppen, Benutzer, Computer)
(keine Security Principals sind Verteiler, Kontakte)

 

 

Verteilergruppe (wird in Domainpartition gespeichert)

neue, oder vorhandene Gruppen erstellen
bei vorhandene Gruppen kann man => Universelle Gruppen vom Ad auswählen
(werden im GC übernommen)

new-DynamicDistributionGroup -Name ‚dynuser‘ -IncludedRecipients ‚AllRecipients‘ -ConditionalCustomAttribute1 ‚gf‘ -OrganizationalUnit ‚huber.intern/Users‘ -Alias ‚dynuser‘ -RecipientContainer ‚huber.intern/Users‘

 

Get-DynamicDistributionGroup „name“|fl

Einschränkung für die Nachrichtenübermittlung: Authentifizierung von Vorteil!

 

Postfacheigenschaften

Postfacheinstellunge:
 Speicherkontingente überschreiben globale Datenbank Eigenschaften
zB. Global 100MB Eingestellt, aber für „Username“ speziell 200MB

Postfachfeatures:
IMAP, POP3, OWA (Outlook Web Access), Active Sync abdrehen zB

 

Öffentliche Ordner

Am Besten bei der Exchange2007- Installation „mit 2003- Clients“ wählen, ansonsten gibt’s keine Frei-Gebucht Zeit, weder bei den Clients noch im OWA

 

4-30
5-17

 

 

 

ClientAccessServer (ClientzugriffServer)(6-3)

  • Jeder Email Client kann sich connecten
  • OWA (OutlookWebAccess)
  • Active Sync
  • Auch „Frei-gebucht“ Zeit

Über https, imap4, pop3

CAS Eigenschaften

„Welcher Client was darf“, ist in den Postfachfeatures ersichtlich

 

POP3 und IMAP4

 

Der Unterschied zwischen POP3 und IMAP Protokoll

 

POP3
Das POP3 Protokoll bietet die Basisfunktionalität wie das Abholen und Löschen von Mails auf dem Mailserverver. Die Mails werden in der Regel vom Server in Ihr Mailprogramm übertragen und dann vom Server gelöscht. Wenn Sie nur von einem Mailprogramm aus Ihre Mails herunterladen möchten, ist POP3 die richtige Wahl.IMAP
Das IMAP Protokoll bietet erweiterte Funktionen. Der grundsätzliche Unterschied zu POP3 ist, dass die Mails auf dem Mailserver verbleiben. Dies gilt für empfangene Mails, wie auch für Mails, die Sie gesendet haben und/oder Ihre Entwürfe. Der wesentliche Vorteil von IMAP ist, der Zugriff von mehreren Computern oder Mailprogrammen auf die gleiche Mailbox.

 

 

OAB (Offline Adress Nook)

Webserver Stellt OAB zur Verfügung

 

OWA (Outlook Web Access)

  • man kann über OWA auf Sharepoint Server zugreifen
  • reparieren: remove-OwaVirtualDirectory – identity ‚owa (Default Web Site)‘

(Seite 90 Exchange 2007 Administration)

  • Unterschied: öffentlicher / privater Computer beim OWA => die Cache Zeit für angemeldete User
 

 

Exchange mit Zertifikaten

Get-ExchangeCertificate
Beim starten von Outlook holt es sich „free-busy – Time“ und „OAB“ vom Exchange ab

 

  • 1.) Zertifizierungsstelle (Rolle ADCS) auf srv12.huber.intern
  • 2.) Altes Zertifikat von den Exchange Servern entfernen srv09.huber.intern und srv10.huber.intern
  • 3.) Im „Cert-Snap-in“(MMC) Computerzert. beziehen(serverauth.) srv09.huber.intern und srv10.huber.intern
  • 4.) Schlüsselverschlüsselungszert. Für srv12.huber.intern, srv09.huber.intern und srv10.huber.intern 
  • 5.) Zertifizierungssstellen Zertifikat
    => muss auf allen PC’s installiert sein (Gruppenrichtline für Stammzertifizierungsstelle), gpudate /force => gpresult /R

 

Mit einem Standard SSL Zertifikat (selbst signiert) kann man nur auf einen DNS Namen binden.
Mit einem SAN Zertifikat kann man mehrere DNS Namen auf zB.: einen 443er Port binden.

Flag für „CertUtil“muss dazu im CMD auf der Zertifizierungsstelle erweitert werden mit

Certutil -setreg policy\EditFlags +EDITF_AttributeSubjectAltName2

Danach Zertifizierungsdienst stoppen & starten mit

net stop certsvc
net start certsvc

=> bei der Zertifikatsanforderung auf der „CertSrv“ Seite, Feld Attribut Eintrag:

 (Webserver Zertifikat)

San:dns=owa1.huber.intern&dns=owa1.huber.at&dns=owa1&dns=srv10.huber.intern&dns=srv10.huber.at&dns=srv10

 

„Scripting“(Standard integrierte Scripts) mit Powershell

 

Powershell Scripts Pfad (local am Exchange)

‚C:\Programme\Microsoft\Exchange Server\Scripts\‘

MoveAllReplicas.ps1

 

 

Deinstallation eines (Master) Exchange Servers aus der Struktur => verschieben auf den zweiten

– Postfächer
– Sendconnectoren
– OAB
– Öffentliche Ordner

 

 

 

<< EDGE Server – Sichere Nachrichtenübermittlung >>

  • ð Muss auf einer eigenen Maschine installiert werden, nicht Mitglied einer Domäne

 

  • – ServerManagerCMD -i ADLDS per PowerShell nachinstallieren, oder
  • – ADLDS – Rolle per ServerManager GUI
  • – „Exchange CD“ => Edge Transport Server nachinstallieren

 

Siehe Edge Server Dokument

Migration Exchange 2003 auf 2008
(Schemaerweiterung 2003 auf 2008)

 

1.) 2008er-CD\sources\adprep

2.) adprep /forestprep

(Gesamtstrukturfunktionsebene heben) 2003=>2008
                Rechte: OrganisationsAdmin (DomainAdmin wäre zu wenig, wenn es sich um eine Subdomain handeln würde)

3.) adprep /domainprep

(Domänenfunktionsebene heben) 2000=>2003

4.) adprep /domainprep gpprep

(Gruppenrichlinien funktionalität auf 2008 erweitern)

 

Die 5 Betriebsmaster rollen verschieben
DNS, GC

 

5.) IM AD auf Domäne, rechtsklick, Eigenschaften, Betriebsmaster ändern
> Server aussuchen, fertig (RID, PDC, Infrasstrukturmaster)

6.) MMC- AD Schema auf Domäne, rechtsklick, Eigenschaften, Betriebsmaster ändern
> Server aussuchen, fertig (schema)

 

7.)

 

Syntax
ntbackup backup [systemstate] „@Dateiname.bks“ /J
{„Auftragsname“} [/P {„Poolname“}]
[/G {„GUID-Name“}] [/T { „Bandname“}]
[/N {„Medienname“}] [/F {„Dateiname“}]
[/D {„Beschreibung“}] [/DS {„Servername“}]
[/IS {„Servername“}] [/A] [/V:{yes | no}]
[/R:{yes | no}] [/L:{f | s | n}] [/M {Sicherungsart}]
[/RS:{yes | no}] [/HC:{on | off}] [/SNAP:{on | off}]

oder wbadmin auf 2008 als backup

 

am DC ausführen, um das schema für die Exchange struktur vorzubereiten:

setup.com /prepareSchema

am aktuellen Exchange von Mischmodus auf einheitlichen Modus wechseln

System Manager

 

setup.com /prepareAD

<< ANTISPAM >>

 

Antispam wird auf dem Edge, oder Organisations Exchange
per Powershell mit „Install-AntiSpamAgent.ps1“ (im Script Pfad) eingeschalten
oder per „uninstall-AntiSpamAgent.ps1″wieder deaktiviert

Dienst Microsoft Exchange Transport Service muss neu gestartet werden!

 

<<<< Inhaltsfilterung >>>>

SCL (Spam Confidential Level)  -1 bis 9
PCL (Phising confidential Level) -1 bis 9

-1 internes Mail
 0 kein Spam/Phising
 9 zu 99,9% Spam/Phising

löschen / ablehnen / isolieren möglich mit Zahlenlevels der SCL’s / PCL’s

isolieren => werden in ein Quarantäne Postfach verschoben

 

ÜBUNG:
SCLJunkThreshold => auf 3 umstellen
SCLJunkEnabled => auf 3 umstellen

get-mailbox |-set-mailbox -SCLJunkThreshold 5
get-mailbox |ft *sclj*, name

 

<<<< Absenderfilterung >>>>

RCPT To – blocking

– Spam Listen kann man hinzufügen
– Blacklist / Whiteliste
– Zuverlässigkeitsprüfung (fällt dann in 24Stunden Sperre)

 

„Sender denied“ als Fehler

 

 

 

 

<<<< Empfängerfilterung >>>>

MAIL From – blocking
Option für „Wenn Empfänger nicht bekannt ist, dann wird Mail garnicht ansgenommen)

– Blacklist / Whiteliste
– Zuverlässigkeitsprüfung (fällt dann in 24Stunden Sperre)

„User unknown“ als Fehler

 

 

<<<< Sender – ID >>>>

SPF DNS-Eintrag
(Sender Policy Framework: Mailadressen dürfen nur von bestimmten IP-Adressen bzw. Netzen weggeschickt werden)

Empfänger macht ein lookup auf den DNS des Absenders, sofern konfiguriert

 

 

 

Links: http://old.openspf.org/wizard.html

Links: http://www.openspf.org/Tools (Beveridge DNS lookup )

 

 

 

<< BACKUP / RESTORE >>

 

LCR (Local Conitous Replication) einrichten
CCR (Cluster Conitnous Replication)

get-StorageGroupCopy