Firewall – Palo Alto P-500

Die Palo Altp PA-500 kann noch viel mehr als eine „normale“ Firewall so kann:

  • Firewall
  • Web-Proxy mit Anti-Virus & Malware Scanner und URL-Kategorisierung
  • Secure Gateway
  • VPN
  • Application ID
  • Switch/Router

Die Firewall-Regeln werden dabei beispielsweise nicht nach Ports und Trust to Untrust konfiguriert, sondern es werden Anwendungen festgelegt, die zugelassen oder verboten werden. Da mittlerweile so gut wie alles über HTTPS getunnelt wird und somit das erkennen der Anwendung nicht möglich ist, geht der Hersteller hier einen anderen Weg. So ist es z.B. möglich, die Anwendung Facebook-Basic zuzulassen, aber Facebook-Games zu verbieten. Es stehen fast 2000 Anwendunge zur Konfiguration zur Verfügung.

Im Monitoring sieht man also nicht das HTTPS-Traffic auftaucht, sondern es werden Anwendungen wie Facebook, Teamviewer, Youtube, Skype, Active Direcotry und fast 2000 weitere Anwendungen sichtbar, die ständig geupdatet werden.

Ethernet-Ports

Die Ethernet-Ports der Palo Alto können in verschiedenen Betriebsmodi geschaltet werden:

  • Virtual Wire: Virtuelle Verbindung zwischen zwei Ports
  • Layer 2: Virtueller Switch
  • Layer 3: Router/Nat

Layer 2

Im Layer 2 kann der Port als virtueller Switch verwendet werden. Somit ist es beispielsweise möglich ein DMZ-Netzwerk einzurichten.

Layer 3

Der Layer 3 Modus setzt vorraus, dass die jeweiligen Ethernet-Ports in diesem Modus eine IP-Adresse zugeordnet bekommen. Diese IP-Adresse kann dann beispielsweise als Default-Gateway eingesetzt werden. Außerdem können zwei Ethernet-Ports im Layer 3 Modus in einem virtuellen Router kombiniert werden. Das eignet sich z.B. für das Routing zwischen Internet und internen Netzwerken, bei dem auch NAT möglich ist. Somit könnte man eine Art Proxy-Server aufsetzen und mit Policies verfeinern.

Virtueller Router

Wenn Ethernet-Ports im Layer 3 Modus konfiguriert wurden, können diese mit einem virtuellen Router verbunden werden. Damit dies in der Praxis funktioniert, müssen statische Routen konfiguriert werden.

Beispiel – Internet/Intern

Die statische Route muss mit folgender Netzwerk-Konfiguration erstellt werden:

Netzwerk: 0.0.0.0/0
Next Hop: Default-Gateway vom Provider

Exchange Server 2013 – Malware Scanner & Anti Spam Agents #1

Exchange Server 2013 integriert neben den bereits bekannten Anti Spam Agents, nun auch einen Malware Scanner. Der Malware Scanner ist auf der Postfach Rolle aktiv und überprüft E-Mails, die auf diesem gesendet/empfangen werden. Einen Schutz für Daten die bereits in den Postfächern der User vorhanden sind, existiert nicht. Hier muss ein 3 Hersteller verwendet werden.

Exchange Server 2013 – Malware Scanner Installieren/deinstallieren

Während der Grundinstallation von Exchange Server 2013 wird die Option geboten, den Malware Scanner zu installieren. Standardmäßig ist diese Option aktiviert. Wenn der Malware Scanner installiert wurde, werden auch automatisch die Anti Spam Agents installiert.

Exchange Server 2013 – Malware Scanner installieren

Wer bei der Installation von Exchange Server 2013 den Malware Scanner deaktiviert hat, kann diesen auch noch nachträglich aktivieren.

Enable-AntimalwareScanning.ps1

Exchange Server 2013 – Malware Scanner deinstallieren

Wer bei der Installation von Exchange Server 2013 den Malware Scanner aktiviert hat, kann diesen auch noch nachträglich deaktivieren.

Disable-AntimalwareScanning.ps1

Exchange Server 2013 – Malware Scanner Konfigurieren

Die Konfiguration des Malware Scanner erfolgt webbasiert in der Exchange Administration Central. Nur das Aktivieren/Deaktivieren erfolgt über die Powershell. Sonderlich viel gibt es nicht zu konfigurieren, aber immerhin ein wenig.

Malware Scanner Optionen

  • Antwort zur Schafsoftwareerkennung: Gesamte Nachricht löschen, Alle Anlagen löschen
  • Benachrichtigungen: Interne Absender, Externe Absender
  • Benachrichtigungen: An Administratoren nicht zugestellte Nachrichten von internen/externen Absendern

Exchange Server 2013 – Malware Scanner – Automatische Updates

Damit der Malware Scanner Updates für die Anti Virus Pattern erhält, muss auf dem jeweiligen Postfachserver eine Internetverbindung vorhanden und Port 80 freigegeben sein. Die Aktualisierung der Pattern-Files wird einmal die Stunde durchgeführt.

Die Aktualisierung kann auch manuell durchgeführt werden. Theoretisch ist es hierdurch auch möglich die Pattern-Files von einem anderen Computer zu updaten.

& $env:ExchangeInstallPath\Scripts\Update-MalwareFilteringServer.ps1 -Identity $env:COMPUTERNAME

Exchange Server 2013 – E-Mails erneut scannen

Wenn beispielsweise ein gehosteter Dienst für die Prüfung der Nachrichten verwendet wird, kann eine erneute Prüfung durch den Malware Scanner konfiguriert werden. Hierdurch wird eine weitere Schutzebene hinzugefügt und erhöht die Erkennungsqualität.

Set-MalwareFilteringServer -ForceRescan $true

Exchange Server 2012 – Anti Spam Agents

Wenn bei der Exchange Server 2013 Installation der Malware Scanner aktiviert wurde, werden die Anti Spam Agents auch installier/aktiviert.

Welche Anti Spam Agents gibt es?

  • Inhaltsfilter-Agent

    • Der Inhaltsfilter-Agent prüft den Inhalt von E-Mails.

  • Sender ID-Agent

    • Der Sender ID-Agent prüft die IP und die „Purported Responsible Address“ des Absenders und kontrolliert diese Informationen auf Fälschungen.

  • Absenderfilter-Agent

    • Der Absenderfilter prüft den „MAIL FROM“ Eintrag mit einer konfigurierbaren Liste von Absendern oder Absenderdomänen und lässt diese zu oder weißt diese ab.

  • Empfängerfilter-Agent

    • Der Empfängerfilter prüft den „RCPT TO“ Eintrag mit einer konfigurierbaren Liste von Empfängern. Außerdem werden E-Mails die an Empfänger gehen, die nicht in der globalen Adressliste stehen, abgewiesen.

  • Protokollanalyse-Agent für die Absenderzuverlässigkeit

    • Der Protokollanalyse-Agent prüft die Absenderzuverlässigkeit. Es werden Daten wie IP des sendenden Servers eingelesen und die Absenderzuerverlässigkeit zu bestimmen.

Exchange Server 2013 – Anti Spam Agents installieren

Wenn bei der Exchange Installation nicht eh schon der Malware Scanner aktiviert wurde (dann wird die Installation der Anti Spam Agents automatisch durchgeführt), können die Anti Spam Agents mit folgendem Befehl später installiert werden.

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

Exchange Server 2013 – Anti Spam Agents – Interne SMTP-Server konfigurieren

Interne SMTP-Server sollten im Anti Spam Agent ausgeschlossen werden. Mindestens ein Server muss sogar angegeben werden, damit die Agents ausgeführt werden.

In diesem Beispielt wird der interne SMTP-Server mit der IP 80.50.80.50 hinzugefügt:

Set-TransportConfig -InternalSMTPServers @{Add="80.50.80.50"}

Mit folgendem Befehl kann die Konfiguration überprüft werden:

Get-TransportConfig | Format-List InternalSMTPServers

Exchange Server 2013 – Transportdienst restarten

Nachdem die Konfigurationen getätigt wurden, muss der Transportdienst neugestartet werden:

Restart-Service MSExchangeTransport

Exchange Server 2013 – Anti Spam Agents pro Postfach

Es ist auch möglich, die Anti Spam Agents für einzelne Postfächer zu konfigurieren, um einzelnen Benutzern, spezielle Konfigurationen zuzuweisen.

Set-Mailbox <MailboxIdentity> -AntispamBypassEnabled <$true | $false> -RequireSenderAuthenticationEnabled <$true | $false> -SCLDeleteEnabled <$true | $false | $null> -SCLDeleteThreshold <0-9 | $null> -SCLJunkEnabled <$true | $false | $null > -SCLJunkThreshold <0-9 | $null> -SCLQuarantineEnabled <$true | $false | $null > -SCLQuarantineThreshold <0-9 | $null> -SCLRejectEnabled <$true | $false | $null > -SCLRejectThreshold <0-9 | $null>

Exchange Server 2013 – Anti Spam Agents für ein Postfach deaktivieren

Wenn man beispielsweise ein Catch All Postfach oder ähnliches benutzt, bietet sich hier die Abschaltung der Anti Spam Agents an.

Set-Mailbox <MailboxIdentity> -AntispamBypassEnabled $true -SCLJunkEnabled $true -SCLJunkThreshold 4

Exchange Server 2013 – SCL-Schwellwerte

Durch SCL-Schwellwerte können Aktionen für bestimmte SCL-Bewertungen durchgeführt werden. Eine Kombination an unterschiedlichen Filtern und Agents bestimmt den entgültigen SCL-Wert eine E-Mail.

Weitere Informationen zur SCL-Konfiguration

Aktionen durch SCL-Bewertungen

  • SCL-Schwellenwert zum Löschen

    • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail gelöscht.

  • SCL-Zurückweisungsschwellenwert

    • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail zurückgewiesen.

  • SCL-Quarantäneschwellenwert

    • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail in die Quarantäne verschoben.

  • SCL-Schwellenwert des Junk-E-Mail-Ordner

    • Wenn der SCL-Schwellwert größer ist als x, dann wird die E-Mail in den Junk E-Maik Ordner verschoben.

Exchange Server 2013 – SCL für die ganze Organisation festlegen

Die SCL-Konfiguration ist essentiell wichtig für die Erkennung von Spam. Der SCLJunkThreshold in der OrganisationConfig bestimmt den SCL-Wert, der eine E-Mail in den Junk Ordner des jeweiligen Postfaches verschiebt.

Set-OrganizationConfig -SCLJunkThreshold <SCLWert>

Exchange Server 2013 – File-Level Anti-Virus Protection

Man könnte durchaus auf die Idee kommen, ein Anti-Virus Schutz auf File-Level, auf einem Exchange Server 2013 zu installieren. Dieser Schütz dann natürlich nicht die Postfächer vor E-Mail Viren und ähnlichem, aber das Betriebssystem und dessen Anwendungen.

Da File-Level Anti-Virus Software in der Regel einen Echtzeitschutz haben und Dateien die aktuell gelesen/geschrieben geprüft werden, kann dies zu Problemen im Exchange Server 2013 führen. Der Anti-Virus Scanner könnte in einem unglücklichen Moment ein Log-File, Datenbank oder ähnlichen durch Zugriff sperren und damit Fehler erzeugen. In der Regel äußern sich diese Fehler mit einem Error im EventLog mit der Nummer -1018.

Exchange Server 2013 – Mailbox Rolle

Mailbox Datenbanken

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Datenbanken, Checkpoint-Filesuznd Log-Files. Mit dem Befehl Get-MailboxDatabase „-Server | Format-List *path*“, werden die Pfade ausgegeben
  • Datenbank Index (befindet sich im gleichen Ordner wie die Datenbank)
  • Group Metric Dateien (%ExchangeInstallPath%GroupMetrics)
  • Allgemeine Log-Files wie Message Tracking, Calendar Repait Log, SMTP Log, usw. (%ExchangeInstallPath%TransportRoles\Logs und %ExchangeInstallPath%Logging) Fall vom Standard umkonfiguriert, zeigt dieser Befehl den Pfad: Get-MailboxServer | Format-List *path*
  • Offline Adressbuch Dateien (%ExchangeInstallPath%ClientAccess\OAB)
  • IIS System Dateien (%SystemRoot%\System32\Inetsrv)
  • Mailbox Datenbank Temp (%ExchangeInstallPath%Mailbox\MDBTEMP)

DAG Mitglieder

Sollte der Server mit der Mailbox Rolle Mitglied einer DAG sein, müssen folgende Dateien und Ordner ausgeschlossen werden:

  • Alle Einträge in der Mailbox Datenbank Liste und die Cluster Quorum Datenbank (%Windir%\Cluster)
  • Zeugen Verzeichnis Dateien (%SystemDrive%:\DAGFileShareWitnesses\)

Transportdienst

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Log-Files wie Message Tracking oder Connectivity Logs (%ExchangeInstallPath%TransportRoles\Logs) Falls die Pfade vom Standard abweichen, können diese wie folgt angezeigt werden: Get-TransportService | Format-List *logpath*,*tracingpath*
  • Pickup und Replay Verzeichnisse (%ExchangeInstallPath%TransportRoles). Fall umkonfiguriert wie folgt anzeigen lassen: Get-TransportService | fl *dir*path*
  • Queue Datenbanken, Checkpoints, Log-Files (%ExchangeInstallPath%TransportRoles\Data\Queue )
  • Sender Reputation Datenbank, Checkpoints und Log-Files (%ExchangeInstallPath%TransportRoles\Data\SenderReputation)
  • Temporäre Verzeichnisse wie Content Conversions und OLE Conversions(%TMP% und %ExchangeInstallPath%Working\OleConverter)
  • Content Scanner (%ExchangeInstallPath%FIP-FS)

Mailbox Transportdienst

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Log-Files wie Connectivity Logs (%ExchangeInstallPath%TransportRoles\Logs\Mailbox) Get-MailboxTransportService | Format-List *logpath*

Unified Messaging

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Grammar Dateien für verschiedene Sprachen (%ExchangeInstallPath%UnifiedMessaging\grammars)
  • Voicemail Prompts wie Greetings oder internationale Message Files (%ExchangeInstallPath%UnifiedMessaging\Prompts)
  • Voicemail Dateien ( %ExchangeInstallPath%UnifiedMessaging\voicemail)
  • Temporäre Unified Messaging Files (%ExchangeInstallPath%UnifiedMessaging\temp)

Exchange Server 2013 – Client Access Rolle

Web Komponenten

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • IIS Temporäre Compression Foles für Outlook Web App (%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files)
  • IIS System Files (%SystemRoot%\System32\Inetsrv)
  • IIS Log-Files (Inetpub\logs\logfiles\w3svc)

POP3 und IMAP4 Protokoll Logging

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • POP3 Logging (%ExchangeInstallPath%Logging\POP3)
  • IMAP4 Logging (%ExchangeInstallPath%Logging\IMAP4)

Front End Transportdienst

Folgende Dateien und Ordner sollte ausgeschlossen werden:

  • Log-Files wie Connectivity oder Protokoll Logs (%ExchangeInstallPath%TransportRoles\Logs\FrontEnd). Wenn vom Standard abweichend: Get-FrontEndTransportService | Format-List *logpath*

Exchange Server 2013 – Prozesse

Folgende Prozesse sollten im Vieren Scanner deaktiviert werden.

  • Cdb.exe
  • Microsoft.Exchange.Pop3service.exe
  • MSExchangeSubmission.exe
  • Cidaemon.exe
  • Microsoft.Exchange.ProtectedServiceHost.exe
  • MSExchangeTransport.exe
  • Clussvc.exe
  • Microsoft.Exchange.RPCClientAccess.Service.exe
  • MSExchangeTransportLogSearch.exe
  • Dsamain.exe
  • Microsoft.Exchange.Search.Service.exe
  • MSExchangeThrottling.exe
  • EdgeCredentialSvc.exe
  • Microsoft.Exchange.Servicehost.exe
  • Msftefd.exe
  • EdgeTransport.exe
  • Microsoft.Exchange.Store.Service.exe
  • Msftesql.exe
  • ExFBA.exe
  • Microsoft.Exchange.Store.Worker.exe
  • OleConverter.exe
  • Inetinfo.exe
  • Microsoft.Exchange.TransportSyncManagerSvc.exe
  • Powershell.exe
  • Microsoft.Exchange.AntispamUpdateSvc.exe
  • Microsoft.Exchange.UM.CallRouter.exe
  • ScanEngineTest.exe
  • Microsoft.Exchange.ContentFilter.Wrapper.exe
  • MSExchangeDelivery.exe
  • ScanningProcess.exe
  • Microsoft.Exchange.Diagnostics.Service.exe
  • MSExchangeFrontendTransport.exe
  • TranscodingService.exe
  • Microsoft.Exchange.Directory.TopologyService.exe
  • MSExchangeHMHost.exe
  • UmService.exe
  • Microsoft.Exchange.EdgeSyncSvc.exe
  • MSExchangeHMWorker.exe
  • UmWorkerProcess.exe
  • Microsoft.Exchange.Imap4.exe
  • MSExchangeLESearchWorker.exe
  • UpdateService.exe
  • Microsoft.Exchange.Imap4service.exe
  • MSExchangeMailboxAssistants.exe
  • W3wp.exe
  • Microsoft.Exchange.Monitoring.exe
  • MSExchangeMailboxReplication.exe
  • Microsoft.Exchange.Pop3.exe
  • MSExchangeRepl.exe

Exchange Server 2013 – Cumulative Updates

Mit Exchange Server 2013 hat Microsoft seine Update-Strategie angepasst. Zusammgenfasst gibt es folgende Anpassungen:

  • Es erscheinen 4 Cumulative Updates pro Jahr (alle 3 Monate)
  • Jedes Cumulative Update wird alle Patches der vorherigen Cumulative Updates mitbringen. Es muss also nur noch das letzte CU installiert werden
  • Cumulative Updates werden immer Vollständigen Installationen enthalten. Das CU 2 enthält also das Exchange Server 2013 Setup und die neuen Updates
  • Bei einer Deinstallation eines CU wird der Exchange Server 2013 vollständig entfernt
  • Sicherheits-Updates erscheinen schneller
  • Rollup´s wird es nicht mehr geben

Cumulative Updates History

Exchange Server 2013 CU 2

Vor der Installation muss man noch eine neue Vorraussetzung erfüllen, damit das Setup erfolgreich durchläuft:

Import-Module ServerManager
Install-WindowsFeature RSAT-Clustering-CmdInterface

Die wichtigsten Änderungen:

  • Datenbanken pro Exchange Server 2013 Enterprise werden auf 100 (vorher 50) erhöht
  • OWA-Redirection: Silent Redirection auf den richtigen CAS Server
  • High Available: Es wurde ein neuer Service eingeführt, der „DAG Management Service“. Dieser neue Dienst arbeitet mit dem Replication Service zusammen.
  • Managed Availibility: Zusammenfassung in Gruppen für das Responder Throttling Frameworkhinzugefügt. Nun können z.B. die Neustart für eine Gruppe von Servern definiert werden
  • Cmdlet Help: Das lokale Shell Help Repository kann nun auch ohne Installation des CU , mit dem Befehl „Update-ExchangeHelp“geschehen.
  • Outlook Web App Suche: Die Suche wurde verbessert, so dass es jetzt möglich ist, den Ursprung des Keywords zu sehen.
  • Malware Filter Rules: Das „MalwareFilterRule“ cmdlet wurde hinzugefügt. Mit diesem kann man nun Benutzerdefinierte Policies für spezielle User, Gruppen oder Domains festlegen.

Download
Offizielle Entwickler Releasenotes

Achtung: Mit dem CU 2 werden Schema-Änderungen, Active Directory Anpassungen und RBAC Änderungen durchgeführt.

Exchange Server 2013 CU 1

Vor der Installation muss man noch eine neue Vorraussetzung erfüllen, damit das Setup erfolgreich durchläuft:

Import-Module ServerManager
Install-WindowsFeature RSAT-Clustering-CmdInterface

Die wichtigsten Änderungen:

  • Adressbook Policies: Sind bereits seit Exchange Server 2010 SP2 enthalten, wurden aber im Exchange Server 2013 erst jetzt hinzugefügt
  • Berechtigungen von Gruppen an Gruppen können wieder deligiert werden
  • Öffentliche Ordner Favoriten sind jetzt in Outlook Web App verfügbar
  • EAX: Unified Messaging Management hinzugefügt, weitere Optionen in einige Konfigurationen

Download
Offizielle Entwickler Releasenotes

Achtung: Mit dem CU 1 werden Schema-Änderungen, Active Directory Anpassungen und RBAC Änderungen durchgeführt.

Exchange Server 2013 – Installation

Hier wird eine Installation mit einer neuen Exchange Organisation beschrieben. Wenn der neue Exchange Server in eine Umgebung mit bereits installierten Exchange Server 2010 installiert werden soll, müssen diese erstmal auf Service Pack 3 geupdatet werden. Außerdem sollte bei der Installation von Exchange Server 2013 gleich die Version mit Service Pack 1 installiert werden und das Rollup 1 gemacht werden. Da sonst eine Koexistenz beider Exchange Versionen nicht möglich ist.

Vorraussetzungen

Bevor das Exchange Server 2013 Setup ausgeführt werden kann, müssen auf einem Windows Server 2012, folgende Vorraussetzungen erfüllt werden:

Office 2010 Filter Pack x64 & Service Pack 1

Das Office 2010 Filter pack ermöglicht die Volltext-Indizierung von Office Dateien wie Word, Excel, usw. Wenn beispielsweise ein Word Dokument als Anhanh in einer E-Mail existiert, wird dieses Dokument indeziert und kann dann in der Suche gefunden werden.

Unified Communications Managed API 4.0 Runtime

Die Unified Communications Managed API 4.0 Runtime fügt Funktionen für die Microsoft Enhanced Presence-Informationen, Chatnachrichten, Telefon- und Videoanrufe sowie Audio- und Videokonferenzen hinzu. Somit wird es beispielsweise möglich, Lync Funktionen in der Outlook Web App einzubinden.

Exchange Server 2013 – Active Directory vorbereiten

Active Directory Schema erweitern

Es werden die Exchange Server LDIF-Dateien importiert und damit das Schema um Exchange Server 2013 Attribute erweitert. Außerdem wird die ms-Exch-Schema-Verision-Pt auf 15137 festgelegt.

setup /PrepareSchema /IAcceptExchangeServerLicenseTerms

Active Directory vorbereiten

Wenn noch keine Exchange Organisation vorhanden ist, muss der Parameter /OrganizationName angegeben werden. Es wird ein Container angelegt (CN=,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=) und einige Objekte erstellt. Außerdem werden Rollen und Sicherheitsgruppen angelegt. Was genau passiert kann hier nachgelesen werden: http://technet.microsoft.com/de-de/library/bb125224%28v=exchg.150%29.aspx

setup /PrepareAD /OrganizationName ExchangeOrganisation /IAcceptExchangeServerLicenseTerms

Domain vorbereiten

Es wird ein neuer Container erstellt (Microsoft Exchange-Systemobjekte). Außerdem werden Berechtigungen gesetzt.

setup /PrepareAllDomains /IAcceptExchangeServerLicenseTerms

Exchange Server 2013 – Installation

Nachdem alle Vorraussetzungen erfüllt sind und das Active Directory aktualisiert wurde, kann die Installation beginnen. Während der Installation ist nicht wirklich viel zu konfigurieren. Entscheidend ist eigentlich nur die Konfiguration, über die zu installierenden Rollen.

Exchange Server 2013 – Was hat sich geändert?

Am 11. Oktober 2012 ist der Exchange Server 2013 in der RTM Version fertiggestellt worden. Natürlich hat sich wieder viel getan und es wurden viele Verbesserungen, neue Funktionen und auch Design Changes eingeführt. Exchange Server 2010 kann erst ab Service Pack 3 mit Exchange Server 2013 Koexistieren. Exchange Server 2013 benötigt zusätzlich das CU 1.

Neuerungen im Überblick

  • Nur noch Client Access und Mailbox Rollen
  • HTTPS statt MAPI
  • Öffentliche Ordner: Vollständiger Design Change, keine extra Datenbank mehr. Zusammengefasst in Postfächer
  • Anti-Virus, Anti-Spam und Anti-Malware Scanner integriert
  • Exchange Administration Center: Neue webbasierte Administrations Oberfläche
  • Site Mailboxes: Exchange und Sharepoint Dokumente zusammengefasst
  • Transportdienst: Shadow Redundanz
  • Data Loss Prevention: Verhindert die Herausgabe von brisanten Daten
  • eDiscovery Center: Daten der Organisation aus Exchange, Sharepoint und Lync Analysieren
  • Outlook Web App neu gestaltet und für Smartphones und Tablets optimiert
  • Outlook Web App: Offline Supprt
  • Zentraler Kontaktspeicher
  • Mehrere Datenbanken pro Partition
  • Automatische DAG Netzwerk Konfiguration
  • Exchange Online und Exchange on Premise: Administrierbar in einer Oberfläche
  • +50 % weniger IOPS

Kompatible Clients

Durch die Abschaffung des MAPI-Protokolls werden nur noch Clients unterstützt, die EWS und HTTPS unterstützen. Dies sind aktuell folgende:

  • Outlook 2013
  • Outlook 2010 SP1 mit kumulativem Update aus April 2012
  • Outlook 2007 SP3 mit kumulativem Update aus Juli 2012
  • Entourage 2008 für Mac, Web Services Edition
  • Outlook für Mac 2011

Exchange Server 2013 – EAC

Die grafische Administration wird jetzt über das Exchange Administration Center getätigt. Das EAC ist vollständig webbasiert.

EAC

Exchange Server 2013 – Rollen

Die Trennung der Rollen in Exchange Server 2010 hat dazu geführt, dass sehr viele Server benötigt wurden. Vor allem die Server zu Server Kommunikation wurde deutlich erhöht und auch ein Loadbalancer, hat den Client immer zum gleich CAS geleitet.

Da die neue Client Access Rolle nur noch den richtigen Backendserver sucht und die Verbindung nicht selbst herstellt, wird die Server zu Server Kommunikation deutlich verringert. Außerdem lassen sich die Server so unabhängig voneinander betreiben und ein Ausfall eine Client Access Servers, hat kaum Auswirkungen auf den Rest der Topologie.

Client Access

In der neuen Version ist diese Rollen ein intelligenter Reverse Proxy für die Protokolle HTTPS, SMTP und SIP.. Clients werden nur noch an den richtigen Mailbox Server weitergeleitet, der die aktive Datenbank des Users bereitstellt. Außerdem kann diese Rolle direkt im Internet oder Umkreisnetzwerk bereitgestellt werden, um Outlook Web App, Active Sync, RPC over HTTPS und SMTP Versand/Empfang zu ermöglichen.

Mailbox

In der neuen Mailbox Rolle sind alle bisherigen Rollen integriert (Unified Communication, Hub Transport, Client Access, Postfach). Diese Rolle Hostet die Datenbanken, betreibt die Transportdienste und stellt auch den IIS mit all seinen Rollen bereit. Außerdem wurde der Information Store vollständig neu in Managed Code programmiert.

Exchange Server 2013 – Öffentliche Ordner

Seit Jahren hält sich das Gerücht, dass die öffentlichen Ordner aus dem Exchange Server gestrichen werden sollen. Dies ist zum Glück nicht der Fall. Microsoft hat die öffentlichen Ordner nicht nur nicht abgeschafft, sondern auch komplett überarbeitet.

In Exchange Server 2013 werden öffentliche Ordner nicht mehr in einer extra dafür erstellten öffentlichen Ordner Datenbank betrieben. Diese werden jetzt ähnlich wie Postfächer, in den gewöhnlichen Datenbanken abgelegt. Der Komplette öffentliche Ordner wird natürlich nicht nur in einem Postfach gespeichert. Einzelne Ordner oder auch ganze Ordner-Strukturen, können in verschiedenen Postfächern und damit auch Datenbanken und Servern gespeichert werden. Damit kann die Performance erhöht werden und auch geografische Begebenheiten berücksichtigt werden.

Exchange Server 2013 – Öffentliche Ordner – Hochverfügbarkeit

Öffentliche Ordner konnten bisher nur per Replikation hochverfügbar gemacht werden. Somit mussten mehrere öffentliche Ordner Datenbanken, den gleichen Inhalt bereitstellen. Die Replikation wurde über das SMTP-Protokoll durchgeführt, dass sehr hohen Traffic verursacht hat. Bei großen Umgebungen konnte der Inhalt auch über längere Zeit voneinander abweichen.

Nun wird die Hochverfügbarkeit, wie bei grwöhnlichen Postfächern, über eine DAG sichergestellt.

Sitemailbox

Um die Integration zu Sharepoint zu erhöhen, wurden Sitemailboxen geschaffen. Diese ist die Weiterentwicklung der Shared-Mailbox und verbessert das Arbeiten im Team an einem Exchange Postfach oder Sharepoint Site, an Daten wie E-mail, Kontakte, Termine und Konversationen.

Bisher wurde die Sharepoint-Replikation per SMTP-Server und Drop-Verzeichnis durchgeführt. Die Site-Mailbox benötigt keine Replikation mehr, denn Sharepoint greift nur auf die Daten der Mailbox zu. Dies geschieht per EWS.

Transportdienst – Shadow Redundanz

Der Transportdienst vom Exchange Server 2013 legt eine Kopie der E-Mail an, bevor der Empfang beim Sendenden Server bestätigt wird. Vorher musste dieser diese Funktion unterstützen, nun spielt das aber keine Rolle mehr. Wenn die Nachricht dann bei der weiteren Übermitlung verlorgen geht, kann der Transportdienst die gespeicherte Kopie versenden. Mit dieser Technologie werden somit immer zwei Kopien einer E-Mail während der Übermittlung vorgehalten.

Gruppenrichtlinien – ADMX Templates

Mit Windows Server 2008 R2 wurden ADMX-Templates eingeführt. Diese Templates erweitern die Gruppenrichtlinien um neue Einstellungen, Produkte oder Vesionen.

Offizielle Microsoft Templates

Gruppenrichtlinien – Central Store

Der Gruppenrichtlinien Central Story liegt auf den Domain Controllern im Vewrzeichnis „\FQDN\SYSVOL\FQDN\Policies“. Nach der Installation von Windows Server 2012 sind hier noch keine ADMX-Templates vorhanden. Diese müssen erstmal erstellt werden. Diese können entweder durch die oben aufgeführten ADMX-Templates installiert werden oder aus der jeweiligen Installation kompiert werden.

Die ADMX-Templates von Windows Server 2012/Windows 8 liegen beispielsweise im ordner „C:\Windows\PPolicyDefinitions\“ und können von hier aus in den Central Store kopiert werden.

Gruppenrichtlinien im Central Store aktualisieren

Neue ADMX-Template sollten immer auf dem Basisdomänencontroller installiert werden. Dieser syncronisiert diese dann an alle anderen Domänencontroller. Im Gruppenrichtlinien Central Store liegen alle GPO´s. In dieses Verzeichnis müssen die neuen Templates auch kopiert werden.

\FQDN\SYSVOL\FQDN\Policies

Gruppenrichtlinien – Client

Die Domänen Computer aktualisieren die Gruppenrichtlinien alle 90 Minuten. Dies kann auch manuell durchgeführt werden.

Gruppenrichtlinien – Client aktualisieren

Mit folgendem Befehl kann man ein Update der Gruppenrichtlinien auf dem Client erzwingen.

gpupdate /force

Sharepoint Foundation 2013 – Installation

Beim Ausführen der Sharepoint Foundation 2013 muss zuerst die Installation der Vorraussetzungen durchgeführt werden. Erst dann kann die Installation erfolgen.

1

Vorraussetzungen:

Die Installation der Vorraussetzungen wird bei bestehender Internet-Verbindung automatisch durchgeführt. Bei mir hat dies auf einem Windows Server 2012 nicht funktioniert. Alle Komponenten lassen sich aber auch manuell Installieren. Eine Besonderheit ist der „Windows Server AppFabric Manager“. Dieser muss mit einem speziellen Parameter ausgeführt werden: /i /gac

2

Installations Arten

Standalone: Sharepoint Foundation 2013 bringt einen SQL Server 2008 R2 Express mit. Dieser kann während der Installation automatisch mit installiert werden. Die hat allerdings einige Nachteile, wie z.B. ein 10 GB Datenbank-Limit.

Complete: Alternativ kann man auch manuell einen SQL Server aufsetzen und diesen bei der Installation angeben.

6installation_med

Konfigurationsassistent für SharePoint Produkte

Nach der Installation muss der Konfigurationsassistent ausgeführt werden. Hier wird in 10 Schritten die Grundkonfiguration von Sharepoint erstellt.

SharePoint 2013 Zentraladministratrion

Nun kann die Zentraladministration ausgeführt werden. Das Ganze sieht dann wie folgt aus:

10

Lync Server 2013 – Integration in Outlook WebApp

Der Lync Server 2013 kann in die Outlook WebApp integriert werden. So ist es möglich, nach der Anmeldung in Outlook WebApp, auch Instand Messaging zu nutzen oder seine Kontakte zu verwalten. Dieser Weg funktioniert zwischen Lync 2013 und Exchange 2013 nicht mehr. Hier wurdedas Design grundlegend geändert.

Exchange Server 2010

Vorraussetzungen

Für Lync 2013 steht kein eigenständiger WebServiceProvider zur Verfügung. Daher muss der Vorgänger des OCS 2007 R2 verwendet werden. Dieser wird auch offiziell von Microsoft supportet.

Auf den Exchange CAS Servern müssen einige Pakete/Updates nachinstalliert werden, um die Integration zu unterstützen.

Lync Server 2013

Vertrauenswürdiger Applikations Pool

Damit der Exchange Server mit dem Lync Server „reden“ darf, muss ein Vertrauensverhältnis aufgebaut werden. Hier müssen alle Exchange 2010 CAS Server definiert und der externe Outlook WebApp FQDN konfiguriert werden.

New-CsTrustedApplicationPool -Identity Name.local -ThrottleAsServer $true -TreatAsAuthenticated $true -ComputerFQDN ExchangeServerCAS.local -Site Berlin -Registrar LyncPoolFQDN.local -RequiresReplication $false

Vertrauenswürdige Applikation

Jetzt wird die eigentliche Applikation in ein Vertrauensverhältnis gebracht.

New-CsTrustedApplication -ApplicationId OutlookWebApp -TrustedApplicationPoolFqdn ExchangeServerCAS.local -Port 4789

Topologie für Vertrauensverhältnisse

Nun können die eben getätigten Vertrauensverhältnisse aktiviert werden.

Enable-CsTopology

Konfiguration – Exchange Server 2010

Outlook WebApp – Virtuelles IIS Verzeichnis

Zertifikat

Damit keine erneute Authentifizierung nötig wird muss das Zertifikat, dass auf dem virtuellen OWA Verzeichnis liegt, definiert werden. Dazu muss man die ID auslesen:

Get-ExchangeCertificate | fl serial*,subject,issuer

Zertifikat festlegen

Get-OwaVirtualDirectory -server ServerName | Set-OwaVirtualDirectory -InstantMessagingCertificateThumbprint "Zertifikats ID"

Dies muss für jeden Exchange CAS Server getätigt werden.

Lync Server 2013 angeben

Jetzt muss dem Exchange Server mitgeteilt werden, welchen Pool er für die Integration von Lync benutzten soll.

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -InstantMessagingServerName LyncPoolFQDN

Instand Messaging Typ definieren

Es kann z.B. auch ein externe MSN oder Yahoo Server definiert werden. Wir integrieren natürlich unseren Lync Server 2013.

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -InstantMessagingType OCS

Instand Messanging Policy aktivieren

Set-OwaMailboxPolicy -Identity Hypoport -InstantMessagingType OCS

Pfad zur UCWeb.dll anpassen

Durch die Installation des OCS WebServiceProvider wurden alle nötigen Bibliotheken installiert. Die UCWeb.dll muss registriert werden.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchange OWA\InstantMessaging\ImplementationDllPath"="C:\\Program Files\\Microsoft\\Exchange Server\\V14\\ClientAccess\\Owa\\Bin\\Microsoft.Rtc.UCWeb.dll"

Instand Messaging aktivieren

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -InstantMessagingEnabled $true