Archiv der Kategorie: Exchange Server 2013

Exchange Server 2013 – Malware Scanner & Anti Spam Agents #2

Im zweiten Teil der Exchange 2013 Malware & Anti-Spam Agents Konfiguration werden die einzelnen Anti-Spam Agents konfiguriert. (Zum ersten Teil)

Anti-Spam Agents – IP Block List

Mit diesem Agent lassen sich IP-Adressen blockieren. Es können manuell einzelne IP-Adressen hinterlegt werden oder auch ganze dynamisch generierten Listen von kostenlosen Anbietern wie „spamcop.net“.

IP Block List Provider

IP Block List Provider sind kostenlose Anbieter solcher IP-Blacklists. Beim Eintreffen einer E-Mail wird die IP-Adresse des Absenders an den jeweiligen Anbieter geschickt und wenn dieser keine Rückantwort liefert, steht die IP nicht auf seiner Liste.

In diesem Beispiel wird der IP Block List Provider „zen.spamhaus.org“ hinzugefügt:

Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org

Diese IP Block List Provider haben sich in meiner Exchange Server 2013 Umgebung bewährt und filtern schon sehr viele IP Adressen und haben dabei ein sehr gutes false/positive Verhältnis.

Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net
Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org
Add-IPBlockListProvider -name dnsbl.sorbs.net -lookupdomain dnsbl.sorbs.net
Add-IPBlockListProvider -name ix.dnsbl.manitu.net -lookupdomain ix.dnsbl.manitu.net
Add-IPBlockListProvider -name cbl.abuseat.org -lookupdomain cbl.abuseat.org
Add-IPBlockListProvider -name spam.dnsbl.sorbs.net -lookupdomain spam.dnsbl.sorbs.net
Add-IPBlockListProvider -name b.barracudacentral.org -lookupdomain b.barracudacentral.org
Add-IPBlockListProvider -name sbl-xbl.spamhaus.org -lookupdomain sbl-xbl.spamhaus.org
Add-IPBlockListProvider -name psbl.surriel.com -lookupdomain psbl.surriel.com

Anti-Spam Agents – Content Filter

Der Content Filter Agents analysiert die E-Mail auf Inhalt und gibt dieser einen SCL-Wert. Nun muss nur noch konfiguriert werden, was bei welchem SCL passieren soll. Es gibt hier 3 Möglichkeiten:

  • E-Mail in Quarantäne verschieben
  • E-Mail ablehnen und Nachricht an Absender
  • E-Mail ohne Nachricht an Absender löschen

Content Filter – Quarantäne-Postfach

Für den Content Filter kann ein Quarantäne-Postfach konfiguriert werden. In dieses werden dann E-Mails mit einem definierbaren SCL-Wert verschoben. In diesem Quarantäne-Postfach können dann ggf. gefilterte E-Mail entlassen oder gelöscht werden. Es empfiehlt sich auf jeden Fall ein gesondertes Postfach für diesem Zweck anzulegen, wann dann bei Bedarf eingebunden werden kann.

In diesem Beispiel werden alle E-Mails mit einem SCL-Wert größer 6 in das Quarantäne-Postfach „spam@test.local“ verschoben:

Set-ContentFilterConfig -SCLRejectEnabled $true -SCLQuarantineThreshold 6 -SCLDeleteEnabled $false -SCLRejectEnabled $false -QuarantineMailbox spam@test.local

Anti-Spam Agents – Sender ID

Der Sender ID Filter überprüft den SPF-Record der jeweiligen Domain und reagiert dann mit einer der folgenden Aktionen:

  • E-Mail mit Status kennzeichnen
  • E-Mail ablehnen und Nachricht an Absender
  • E-Mail ohne Nachricht an Absender löschen

E-Mails bei denen der SPF-Record nicht korrekt ist, sollten bei externen Servern abgelehnt werden. Der Absender bekommt dann eine Unzustellbarkeitsmeldung und kann ggf. reagieren. Man kann die E-Mail natürlich auch ohne Meldung sofort löschen, dann bekommt der Absender aber keine Benachrichtigung.

Set-SenderIdConfig -Enabled $true -ExternalMailEnabled $true -SpoofedDomainAction Reject -TempErrorAction StampStatus

Sender ID Filter – Ausnahme

Ich habe oft erlebt, dass grade kleiner Firmen den SPF-Record falsch setzen und damit E-Mail abgelehnt werden. Für solche Fälle kann die jeweilige Absender-Domain ausgeschlossen werden:

Set-SenderIdConfig -BypassedSenderDomains test.de

Exchange Server 2013 – Malware Scanner & Anti Spam Agents #1

Exchange Server 2013 integriert neben den bereits bekannten Anti Spam Agents, nun auch einen Malware Scanner. Der Malware Scanner ist auf der Postfach Rolle aktiv und überprüft E-Mails, die auf diesem gesendet/empfangen werden. Einen Schutz für Daten die bereits in den Postfächern der User vorhanden sind, existiert nicht. Hier muss ein 3 Hersteller verwendet werden.

Exchange Server 2013 – Malware Scanner Installieren/deinstallieren

Während der Grundinstallation von Exchange Server 2013 wird die Option geboten, den Malware Scanner zu installieren. Standardmäßig ist diese Option aktiviert. Wenn der Malware Scanner installiert wurde, werden auch automatisch die Anti Spam Agents installiert.

Exchange Server 2013 – Malware Scanner installieren

Wer bei der Installation von Exchange Server 2013 den Malware Scanner deaktiviert hat, kann diesen auch noch nachträglich aktivieren.

Enable-AntimalwareScanning.ps1

Exchange Server 2013 – Malware Scanner deinstallieren

Wer bei der Installation von Exchange Server 2013 den Malware Scanner aktiviert hat, kann diesen auch noch nachträglich deaktivieren.

Disable-AntimalwareScanning.ps1

Exchange Server 2013 – Malware Scanner Konfigurieren

Die Konfiguration des Malware Scanner erfolgt webbasiert in der Exchange Administration Central. Nur das Aktivieren/Deaktivieren erfolgt über die Powershell. Sonderlich viel gibt es nicht zu konfigurieren, aber immerhin ein wenig.

Malware Scanner Optionen

  • Antwort zur Schafsoftwareerkennung: Gesamte Nachricht löschen, Alle Anlagen löschen
  • Benachrichtigungen: Interne Absender, Externe Absender
  • Benachrichtigungen: An Administratoren nicht zugestellte Nachrichten von internen/externen Absendern

Exchange Server 2013 – Malware Scanner – Automatische Updates

Damit der Malware Scanner Updates für die Anti Virus Pattern erhält, muss auf dem jeweiligen Postfachserver eine Internetverbindung vorhanden und Port 80 freigegeben sein. Die Aktualisierung der Pattern-Files wird einmal die Stunde durchgeführt.

Die Aktualisierung kann auch manuell durchgeführt werden. Theoretisch ist es hierdurch auch möglich die Pattern-Files von einem anderen Computer zu updaten.

& $env:ExchangeInstallPath\Scripts\Update-MalwareFilteringServer.ps1 -Identity $env:COMPUTERNAME

Exchange Server 2013 – E-Mails erneut scannen

Wenn beispielsweise ein gehosteter Dienst für die Prüfung der Nachrichten verwendet wird, kann eine erneute Prüfung durch den Malware Scanner konfiguriert werden. Hierdurch wird eine weitere Schutzebene hinzugefügt und erhöht die Erkennungsqualität.

Set-MalwareFilteringServer -ForceRescan $true

Exchange Server 2012 – Anti Spam Agents

Wenn bei der Exchange Server 2013 Installation der Malware Scanner aktiviert wurde, werden die Anti Spam Agents auch installier/aktiviert.

Welche Anti Spam Agents gibt es?

  • Inhaltsfilter-Agent
  • Der Inhaltsfilter-Agent prüft den Inhalt von E-Mails.

  • Sender ID-Agent
  • Der Sender ID-Agent prüft die IP und die „Purported Responsible Address“ des Absenders und kontrolliert diese Informationen auf Fälschungen.

  • Absenderfilter-Agent
  • Der Absenderfilter prüft den „MAIL FROM“ Eintrag mit einer konfigurierbaren Liste von Absendern oder Absenderdomänen und lässt diese zu oder weißt diese ab.

  • Empfängerfilter-Agent
  • Der Empfängerfilter prüft den „RCPT TO“ Eintrag mit einer konfigurierbaren Liste von Empfängern. Außerdem werden E-Mails die an Empfänger gehen, die nicht in der globalen Adressliste stehen, abgewiesen.

  • Protokollanalyse-Agent für die Absenderzuverlässigkeit
  • Der Protokollanalyse-Agent prüft die Absenderzuverlässigkeit. Es werden Daten wie IP des sendenden Servers eingelesen und die Absenderzuerverlässigkeit zu bestimmen.

Exchange Server 2013 – Anti Spam Agents installieren

Wenn bei der Exchange Installation nicht eh schon der Malware Scanner aktiviert wurde (dann wird die Installation der Anti Spam Agents automatisch durchgeführt), können die Anti Spam Agents mit folgendem Befehl später installiert werden.

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

Exchange Server 2013 – Anti Spam Agents – Interne SMTP-Server konfigurieren

Interne SMTP-Server sollten im Anti Spam Agent ausgeschlossen werden. Mindestens ein Server muss sogar angegeben werden, damit die Agents ausgeführt werden.

In diesem Beispielt wird der interne SMTP-Server mit der IP 80.50.80.50 hinzugefügt:

Set-TransportConfig -InternalSMTPServers @{Add="80.50.80.50"}

Mit folgendem Befehl kann die Konfiguration überprüft werden:

Get-TransportConfig | Format-List InternalSMTPServers

Exchange Server 2013 – Transportdienst restarten

Nachdem die Konfigurationen getätigt wurden, muss der Transportdienst neugestartet werden:

Restart-Service MSExchangeTransport

Exchange Server 2013 – Anti Spam Agents pro Postfach

Es ist auch möglich, die Anti Spam Agents für einzelne Postfächer zu konfigurieren, um einzelnen Benutzern, spezielle Konfigurationen zuzuweisen.

Set-Mailbox <MailboxIdentity> -AntispamBypassEnabled <$true | $false> -RequireSenderAuthenticationEnabled <$true | $false> -SCLDeleteEnabled <$true | $false | $null> -SCLDeleteThreshold <0-9 | $null> -SCLJunkEnabled <$true | $false | $null > -SCLJunkThreshold <0-9 | $null> -SCLQuarantineEnabled <$true | $false | $null > -SCLQuarantineThreshold <0-9 | $null> -SCLRejectEnabled <$true | $false | $null > -SCLRejectThreshold <0-9 | $null>

Exchange Server 2013 – Anti Spam Agents für ein Postfach deaktivieren

Wenn man beispielsweise ein Catch All Postfach oder ähnliches benutzt, bietet sich hier die Abschaltung der Anti Spam Agents an.

Set-Mailbox <MailboxIdentity> -AntispamBypassEnabled $true -SCLJunkEnabled $true -SCLJunkThreshold 4

Exchange Server 2013 – SCL-Schwellwerte

Durch SCL-Schwellwerte können Aktionen für bestimmte SCL-Bewertungen durchgeführt werden. Eine Kombination an unterschiedlichen Filtern und Agents bestimmt den entgültigen SCL-Wert eine E-Mail.

Weitere Informationen zur SCL-Konfiguration

Aktionen durch SCL-Bewertungen

  • SCL-Schwellenwert zum Löschen
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail gelöscht.

  • SCL-Zurückweisungsschwellenwert
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail zurückgewiesen.

  • SCL-Quarantäneschwellenwert
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail in die Quarantäne verschoben.

  • SCL-Schwellenwert des Junk-E-Mail-Ordner
  • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail in den Junk E-Maik Ordner verschoben.

Exchange Server 2013 – SCL für die ganze Organisation festlegen

Die SCL-Konfiguration ist essentiell wichtig für die Erkennung von Spam. Der SCLJunkThreshold in der OrganisationConfig bestimmt den SCL-Wert, der eine E-Mail in den Junk Ordner des jeweiligen Postfaches verschiebt.

Set-OrganizationConfig -SCLJunkThreshold <SCLWert>

Exchange Server 2013 – File-Level Anti-Virus Protection

Man könnte durchaus auf die Idee kommen, ein Anti-Virus Schutz auf File-Level, auf einem Exchange Server 2013 zu installieren. Dieser Schütz dann natürlich nicht die Postfächer vor E-Mail Viren und ähnlichem, aber das Betriebssystem und dessen Anwendungen.

Da File-Level Anti-Virus Software in der Regel einen Echtzeitschutz haben und Dateien die aktuell gelesen/geschrieben geprüft werden, kann dies zu Problemen im Exchange Server 2013 führen. Der Anti-Virus Scanner könnte in einem unglücklichen Moment ein Log-File, Datenbank oder ähnlichen durch Zugriff sperren und damit Fehler erzeugen. In der Regel äußern sich diese Fehler mit einem Error im EventLog mit der Nummer -1018.

Exchange Server 2013 – Mailbox Rolle

Mailbox Datenbanken

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Datenbanken, Checkpoint-Filesuznd Log-Files. Mit dem Befehl Get-MailboxDatabase „-Server | Format-List *path*“, werden die Pfade ausgegeben
  • Datenbank Index (befindet sich im gleichen Ordner wie die Datenbank)
  • Group Metric Dateien (%ExchangeInstallPath%GroupMetrics)
  • Allgemeine Log-Files wie Message Tracking, Calendar Repait Log, SMTP Log, usw. (%ExchangeInstallPath%TransportRoles\Logs und %ExchangeInstallPath%Logging) Fall vom Standard umkonfiguriert, zeigt dieser Befehl den Pfad: Get-MailboxServer | Format-List *path*
  • Offline Adressbuch Dateien (%ExchangeInstallPath%ClientAccess\OAB)
  • IIS System Dateien (%SystemRoot%\System32\Inetsrv)
  • Mailbox Datenbank Temp (%ExchangeInstallPath%Mailbox\MDBTEMP)

DAG Mitglieder

Sollte der Server mit der Mailbox Rolle Mitglied einer DAG sein, müssen folgende Dateien und Ordner ausgeschlossen werden:

  • Alle Einträge in der Mailbox Datenbank Liste und die Cluster Quorum Datenbank (%Windir%\Cluster)
  • Zeugen Verzeichnis Dateien (%SystemDrive%:\DAGFileShareWitnesses\)

Transportdienst

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Log-Files wie Message Tracking oder Connectivity Logs (%ExchangeInstallPath%TransportRoles\Logs) Falls die Pfade vom Standard abweichen, können diese wie folgt angezeigt werden: Get-TransportService | Format-List *logpath*,*tracingpath*
  • Pickup und Replay Verzeichnisse (%ExchangeInstallPath%TransportRoles). Fall umkonfiguriert wie folgt anzeigen lassen: Get-TransportService | fl *dir*path*
  • Queue Datenbanken, Checkpoints, Log-Files (%ExchangeInstallPath%TransportRoles\Data\Queue )
  • Sender Reputation Datenbank, Checkpoints und Log-Files (%ExchangeInstallPath%TransportRoles\Data\SenderReputation)
  • Temporäre Verzeichnisse wie Content Conversions und OLE Conversions(%TMP% und %ExchangeInstallPath%Working\OleConverter)
  • Content Scanner (%ExchangeInstallPath%FIP-FS)

Mailbox Transportdienst

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Log-Files wie Connectivity Logs (%ExchangeInstallPath%TransportRoles\Logs\Mailbox) Get-MailboxTransportService | Format-List *logpath*

Unified Messaging

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Grammar Dateien für verschiedene Sprachen (%ExchangeInstallPath%UnifiedMessaging\grammars)
  • Voicemail Prompts wie Greetings oder internationale Message Files (%ExchangeInstallPath%UnifiedMessaging\Prompts)
  • Voicemail Dateien ( %ExchangeInstallPath%UnifiedMessaging\voicemail)
  • Temporäre Unified Messaging Files (%ExchangeInstallPath%UnifiedMessaging\temp)

Exchange Server 2013 – Client Access Rolle

Web Komponenten

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • IIS Temporäre Compression Foles für Outlook Web App (%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files)
  • IIS System Files (%SystemRoot%\System32\Inetsrv)
  • IIS Log-Files (Inetpub\logs\logfiles\w3svc)

POP3 und IMAP4 Protokoll Logging

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • POP3 Logging (%ExchangeInstallPath%Logging\POP3)
  • IMAP4 Logging (%ExchangeInstallPath%Logging\IMAP4)

Front End Transportdienst

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Log-Files wie Connectivity oder Protokoll Logs (%ExchangeInstallPath%TransportRoles\Logs\FrontEnd). Wenn vom Standard abweichend: Get-FrontEndTransportService | Format-List *logpath*

Exchange Server 2013 – Prozesse

Folgende Prozesse sollten im Vieren Scanner deaktiviert werden.

  • Cdb.exe
  • Microsoft.Exchange.Pop3service.exe
  • MSExchangeSubmission.exe
  • Cidaemon.exe
  • Microsoft.Exchange.ProtectedServiceHost.exe
  • MSExchangeTransport.exe
  • Clussvc.exe
  • Microsoft.Exchange.RPCClientAccess.Service.exe
  • MSExchangeTransportLogSearch.exe
  • Dsamain.exe
  • Microsoft.Exchange.Search.Service.exe
  • MSExchangeThrottling.exe
  • EdgeCredentialSvc.exe
  • Microsoft.Exchange.Servicehost.exe
  • Msftefd.exe
  • EdgeTransport.exe
  • Microsoft.Exchange.Store.Service.exe
  • Msftesql.exe
  • ExFBA.exe
  • Microsoft.Exchange.Store.Worker.exe
  • OleConverter.exe
  • Inetinfo.exe
  • Microsoft.Exchange.TransportSyncManagerSvc.exe
  • Powershell.exe
  • Microsoft.Exchange.AntispamUpdateSvc.exe
  • Microsoft.Exchange.UM.CallRouter.exe
  • ScanEngineTest.exe
  • Microsoft.Exchange.ContentFilter.Wrapper.exe
  • MSExchangeDelivery.exe
  • ScanningProcess.exe
  • Microsoft.Exchange.Diagnostics.Service.exe
  • MSExchangeFrontendTransport.exe
  • TranscodingService.exe
  • Microsoft.Exchange.Directory.TopologyService.exe
  • MSExchangeHMHost.exe
  • UmService.exe
  • Microsoft.Exchange.EdgeSyncSvc.exe
  • MSExchangeHMWorker.exe
  • UmWorkerProcess.exe
  • Microsoft.Exchange.Imap4.exe
  • MSExchangeLESearchWorker.exe
  • UpdateService.exe
  • Microsoft.Exchange.Imap4service.exe
  • MSExchangeMailboxAssistants.exe
  • W3wp.exe
  • Microsoft.Exchange.Monitoring.exe
  • MSExchangeMailboxReplication.exe
  • Microsoft.Exchange.Pop3.exe
  • MSExchangeRepl.exe

Exchange Server 2013 – Cumulative Updates

Mit Exchange Server 2013 hat Microsoft seine Update-Strategie angepasst. Zusammgenfasst gibt es folgende Anpassungen:

  • Es erscheinen 4 Cumulative Updates pro Jahr (alle 3 Monate)
  • Jedes Cumulative Update wird alle Patches der vorherigen Cumulative Updates mitbringen. Es muss also nur noch das letzte CU installiert werden
  • Cumulative Updates werden immer Vollständigen Installationen enthalten. Das CU 2 enthält also das Exchange Server 2013 Setup und die neuen Updates
  • Bei einer Deinstallation eines CU wird der Exchange Server 2013 vollständig entfernt
  • Sicherheits-Updates erscheinen schneller
  • Rollup´s wird es nicht mehr geben

Cumulative Updates History

Exchange Server 2013 CU 2

Vor der Installation muss man noch eine neue Vorraussetzung erfüllen, damit das Setup erfolgreich durchläuft:

Import-Module ServerManager
Install-WindowsFeature RSAT-Clustering-CmdInterface

Die wichtigsten Änderungen:

  • Datenbanken pro Exchange Server 2013 Enterprise werden auf 100 (vorher 50) erhöht
  • OWA-Redirection: Silent Redirection auf den richtigen CAS Server
  • High Available: Es wurde ein neuer Service eingeführt, der „DAG Management Service“. Dieser neue Dienst arbeitet mit dem Replication Service zusammen.
  • Managed Availibility: Zusammenfassung in Gruppen für das Responder Throttling Frameworkhinzugefügt. Nun können z.B. die Neustart für eine Gruppe von Servern definiert werden
  • Cmdlet Help: Das lokale Shell Help Repository kann nun auch ohne Installation des CU , mit dem Befehl „Update-ExchangeHelp“geschehen.
  • Outlook Web App Suche: Die Suche wurde verbessert, so dass es jetzt möglich ist, den Ursprung des Keywords zu sehen.
  • Malware Filter Rules: Das „MalwareFilterRule“ cmdlet wurde hinzugefügt. Mit diesem kann man nun Benutzerdefinierte Policies für spezielle User, Gruppen oder Domains festlegen.

Download
Offizielle Entwickler Releasenotes

Achtung: Mit dem CU 2 werden Schema-Änderungen, Active Directory Anpassungen und RBAC Änderungen durchgeführt.

Exchange Server 2013 CU 1

Vor der Installation muss man noch eine neue Vorraussetzung erfüllen, damit das Setup erfolgreich durchläuft:

Import-Module ServerManager
Install-WindowsFeature RSAT-Clustering-CmdInterface

Die wichtigsten Änderungen:

  • Adressbook Policies: Sind bereits seit Exchange Server 2010 SP2 enthalten, wurden aber im Exchange Server 2013 erst jetzt hinzugefügt
  • Berechtigungen von Gruppen an Gruppen können wieder deligiert werden
  • Öffentliche Ordner Favoriten sind jetzt in Outlook Web App verfügbar
  • EAX: Unified Messaging Management hinzugefügt, weitere Optionen in einige Konfigurationen

Download
Offizielle Entwickler Releasenotes

Achtung: Mit dem CU 1 werden Schema-Änderungen, Active Directory Anpassungen und RBAC Änderungen durchgeführt.

Exchange Server 2013 – Installation

Hier wird eine Installation mit einer neuen Exchange Organisation beschrieben. Wenn der neue Exchange Server in eine Umgebung mit bereits installierten Exchange Server 2010 installiert werden soll, müssen diese erstmal auf Service Pack 3 geupdatet werden. Außerdem sollte bei der Installation von Exchange Server 2013 gleich die Version mit Service Pack 1 installiert werden und das Rollup 1 gemacht werden. Da sonst eine Koexistenz beider Exchange Versionen nicht möglich ist.

Vorraussetzungen

Bevor das Exchange Server 2013 Setup ausgeführt werden kann, müssen auf einem Windows Server 2012, folgende Vorraussetzungen erfüllt werden:

Office 2010 Filter Pack x64 & Service Pack 1

Das Office 2010 Filter pack ermöglicht die Volltext-Indizierung von Office Dateien wie Word, Excel, usw. Wenn beispielsweise ein Word Dokument als Anhanh in einer E-Mail existiert, wird dieses Dokument indeziert und kann dann in der Suche gefunden werden.

Unified Communications Managed API 4.0 Runtime

Die Unified Communications Managed API 4.0 Runtime fügt Funktionen für die Microsoft Enhanced Presence-Informationen, Chatnachrichten, Telefon- und Videoanrufe sowie Audio- und Videokonferenzen hinzu. Somit wird es beispielsweise möglich, Lync Funktionen in der Outlook Web App einzubinden.

Exchange Server 2013 – Active Directory vorbereiten

Active Directory Schema erweitern

Es werden die Exchange Server LDIF-Dateien importiert und damit das Schema um Exchange Server 2013 Attribute erweitert. Außerdem wird die ms-Exch-Schema-Verision-Pt auf 15137 festgelegt.

setup /PrepareSchema /IAcceptExchangeServerLicenseTerms

Active Directory vorbereiten

Wenn noch keine Exchange Organisation vorhanden ist, muss der Parameter /OrganizationName angegeben werden. Es wird ein Container angelegt (CN=,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=) und einige Objekte erstellt. Außerdem werden Rollen und Sicherheitsgruppen angelegt. Was genau passiert kann hier nachgelesen werden: http://technet.microsoft.com/de-de/library/bb125224%28v=exchg.150%29.aspx

setup /PrepareAD /OrganizationName ExchangeOrganisation /IAcceptExchangeServerLicenseTerms

Domain vorbereiten

Es wird ein neuer Container erstellt (Microsoft Exchange-Systemobjekte). Außerdem werden Berechtigungen gesetzt.

setup /PrepareAllDomains /IAcceptExchangeServerLicenseTerms

Exchange Server 2013 – Installation

Nachdem alle Vorraussetzungen erfüllt sind und das Active Directory aktualisiert wurde, kann die Installation beginnen. Während der Installation ist nicht wirklich viel zu konfigurieren. Entscheidend ist eigentlich nur die Konfiguration, über die zu installierenden Rollen.

Exchange Server 2013 – Was hat sich geändert?

Am 11. Oktober 2012 ist der Exchange Server 2013 in der RTM Version fertiggestellt worden. Natürlich hat sich wieder viel getan und es wurden viele Verbesserungen, neue Funktionen und auch Design Changes eingeführt. Exchange Server 2010 kann erst ab Service Pack 3 mit Exchange Server 2013 Koexistieren. Exchange Server 2013 benötigt zusätzlich das CU 1.

Neuerungen im Überblick

  • Nur noch Client Access und Mailbox Rollen
  • HTTPS statt MAPI
  • Öffentliche Ordner: Vollständiger Design Change, keine extra Datenbank mehr. Zusammengefasst in Postfächer
  • Anti-Virus, Anti-Spam und Anti-Malware Scanner integriert
  • Exchange Administration Center: Neue webbasierte Administrations Oberfläche
  • Site Mailboxes: Exchange und Sharepoint Dokumente zusammengefasst
  • Transportdienst: Shadow Redundanz
  • Data Loss Prevention: Verhindert die Herausgabe von brisanten Daten
  • eDiscovery Center: Daten der Organisation aus Exchange, Sharepoint und Lync Analysieren
  • Outlook Web App neu gestaltet und für Smartphones und Tablets optimiert
  • Outlook Web App: Offline Supprt
  • Zentraler Kontaktspeicher
  • Mehrere Datenbanken pro Partition
  • Automatische DAG Netzwerk Konfiguration
  • Exchange Online und Exchange on Premise: Administrierbar in einer Oberfläche
  • +50 % weniger IOPS

Kompatible Clients

Durch die Abschaffung des MAPI-Protokolls werden nur noch Clients unterstützt, die EWS und HTTPS unterstützen. Dies sind aktuell folgende:

  • Outlook 2013
  • Outlook 2010 SP1 mit kumulativem Update aus April 2012
  • Outlook 2007 SP3 mit kumulativem Update aus Juli 2012
  • Entourage 2008 für Mac, Web Services Edition
  • Outlook für Mac 2011

Exchange Server 2013 – EAC

Die grafische Administration wird jetzt über das Exchange Administration Center getätigt. Das EAC ist vollständig webbasiert.

EAC

Exchange Server 2013 – Rollen

Die Trennung der Rollen in Exchange Server 2010 hat dazu geführt, dass sehr viele Server benötigt wurden. Vor allem die Server zu Server Kommunikation wurde deutlich erhöht und auch ein Loadbalancer, hat den Client immer zum gleich CAS geleitet.

Da die neue Client Access Rolle nur noch den richtigen Backendserver sucht und die Verbindung nicht selbst herstellt, wird die Server zu Server Kommunikation deutlich verringert. Außerdem lassen sich die Server so unabhängig voneinander betreiben und ein Ausfall eine Client Access Servers, hat kaum Auswirkungen auf den Rest der Topologie.

Client Access

In der neuen Version ist diese Rollen ein intelligenter Reverse Proxy für die Protokolle HTTPS, SMTP und SIP.. Clients werden nur noch an den richtigen Mailbox Server weitergeleitet, der die aktive Datenbank des Users bereitstellt. Außerdem kann diese Rolle direkt im Internet oder Umkreisnetzwerk bereitgestellt werden, um Outlook Web App, Active Sync, RPC over HTTPS und SMTP Versand/Empfang zu ermöglichen.

Mailbox

In der neuen Mailbox Rolle sind alle bisherigen Rollen integriert (Unified Communication, Hub Transport, Client Access, Postfach). Diese Rolle Hostet die Datenbanken, betreibt die Transportdienste und stellt auch den IIS mit all seinen Rollen bereit. Außerdem wurde der Information Store vollständig neu in Managed Code programmiert.

Exchange Server 2013 – Öffentliche Ordner

Seit Jahren hält sich das Gerücht, dass die öffentlichen Ordner aus dem Exchange Server gestrichen werden sollen. Dies ist zum Glück nicht der Fall. Microsoft hat die öffentlichen Ordner nicht nur nicht abgeschafft, sondern auch komplett überarbeitet.

In Exchange Server 2013 werden öffentliche Ordner nicht mehr in einer extra dafür erstellten öffentlichen Ordner Datenbank betrieben. Diese werden jetzt ähnlich wie Postfächer, in den gewöhnlichen Datenbanken abgelegt. Der Komplette öffentliche Ordner wird natürlich nicht nur in einem Postfach gespeichert. Einzelne Ordner oder auch ganze Ordner-Strukturen, können in verschiedenen Postfächern und damit auch Datenbanken und Servern gespeichert werden. Damit kann die Performance erhöht werden und auch geografische Begebenheiten berücksichtigt werden.

Exchange Server 2013 – Öffentliche Ordner – Hochverfügbarkeit

Öffentliche Ordner konnten bisher nur per Replikation hochverfügbar gemacht werden. Somit mussten mehrere öffentliche Ordner Datenbanken, den gleichen Inhalt bereitstellen. Die Replikation wurde über das SMTP-Protokoll durchgeführt, dass sehr hohen Traffic verursacht hat. Bei großen Umgebungen konnte der Inhalt auch über längere Zeit voneinander abweichen.

Nun wird die Hochverfügbarkeit, wie bei grwöhnlichen Postfächern, über eine DAG sichergestellt.

Sitemailbox

Um die Integration zu Sharepoint zu erhöhen, wurden Sitemailboxen geschaffen. Diese ist die Weiterentwicklung der Shared-Mailbox und verbessert das Arbeiten im Team an einem Exchange Postfach oder Sharepoint Site, an Daten wie E-mail, Kontakte, Termine und Konversationen.

Bisher wurde die Sharepoint-Replikation per SMTP-Server und Drop-Verzeichnis durchgeführt. Die Site-Mailbox benötigt keine Replikation mehr, denn Sharepoint greift nur auf die Daten der Mailbox zu. Dies geschieht per EWS.

Transportdienst – Shadow Redundanz

Der Transportdienst vom Exchange Server 2013 legt eine Kopie der E-Mail an, bevor der Empfang beim Sendenden Server bestätigt wird. Vorher musste dieser diese Funktion unterstützen, nun spielt das aber keine Rolle mehr. Wenn die Nachricht dann bei der weiteren Übermitlung verlorgen geht, kann der Transportdienst die gespeicherte Kopie versenden. Mit dieser Technologie werden somit immer zwei Kopien einer E-Mail während der Übermittlung vorgehalten.

Exchange Server 2013 – Getrennte Postfächer anzeigen & löschen

Die getrennten Postfächer werden nur einmal täglich, je nach Konfiguration meistens in der Nacht, aktualisiert. Wenn man also ausversehen einen Benutzer gelöscht hat, muss man dadurch unter Umstäden einen Tag warten. Um dies zu beschleunigen um das Postfach schnell wieder verbinden zu können oder das Postfach zu löschen, kann die Powershell benutzt werden.

Möglicher Status

Gelöschte Postfächer können verschiedenen Status haben.

Disbabled

Wenn ein Postfach den Status Disabled hat, wurde der User oder auch nur das Postfach gelöscht.

SoftDeleted

Wenn ein Postfach in eine andere Datenbank verschoeben wurde, bleibt es in der alten Datenbank mit dem Status SoftDeleted erhalten. Die Dauer ist konfiguriertbar.

Getrennte Postfächer aktualisieren

Hiermit werden Postfächer die grade gelöscht wurden, für alle Datenbanken sofort als getrennt angezeigt:

Get-MailboxDatabase | Clean-MailboxDatabase

Nun kann man diese in der Exchange Verwaltungskonsole anzeigen lassen und ggf. schnell wiederverbinden.

Getrennte Postfächer löschen

Wenn man die Postfächer sofort löschen und die Aufbewahrungszeit außerkraft zu setzen will, kann dies folgendermaßen geschehen. Erst müssen die gelöschten Postfächer ausgelesen werden, um die Identity zu bekommen. Diese kann dann genutzt werden, um das Postfach zu löschen:

Get-MailboxDatabase | Get-MailboxStatistics | Where{ $_.DisconnectDate -ne $null } | fl DisplayName, Database, Identity, DisconnectReason

Disabled Postfächer löschen

Diese Identity kann nun verwendet werden, um das Postfach mit dem Status „Disabled“ in der Datenbank „Datenbank“ zu löschen:

Remove-StoreMailbox -Database “Datenbank” -Identity “3242341-3d35-34f8-4324-asdkasdj34jfs” -MailboxState “Disabled”

SoftDeleted Postfächer löschen

Diese Identity kann nun verwendet werden, um das Postfach mit dem Status „SoftDeleted“ in der Datenbank „Datenbank“ zu löschen:

Remove-StoreMailbox -Database “Datenbank” -Identity “3242341-3d35-34f8-4324-asdkasdj34jfs” -MailboxState “Softdeleted”

Exchange Server 2010 – Outlook WebApp – Web Beacons blockieren

Was sind Web Beacons?

Web Beacons sind Grafiken die meist transparent und nur 1×1 Pixel groß sind. Diese kann man z.B. an eine E-Mail hängen. Versender von Spam können (sofern der Mail-Client des Empfängers eine entsprechende Sicherheitslücke aufweist) durch Einbau eines Zählpixels in die E-Mail ermitteln:

  • ob eine E-Mail-Adresse gültig ist,
  • ob und wann die E-Mail geöffnet wurde,
  • welchen Browser und welches Betriebssystem der Empfänger verwendet
  • welche IP-Adresse der Empfänger hat; damit seinen Internetdienstanbieter und mithilfe von Geotargeting möglicherweise sogar seinen Wohnort.

Web Beacons deaktivieren

Es gibt eine Schutzfunktion die diese Art von Grafiken blockiert. Diese ist per default aber nicht aktiviert und das kann man wie folgt ändern:

Get-OWAVirtualDirectory | Set-OWAVirtualDirectory –FilterWebBeaconsAndHtmlForms ForceFilter