Wir sind unabhängig, neutral und finanzieren uns teilweise über Werbung und Partnerprovisionen.
Danke wenn du uns unterstützt. Weitere Infos zum Bedanken findest Du hier.
Diese Seite verwendet hierzu Cookies & Tracking-Cookies, weitere Informationen findest du hier. Wenn du diese Seite weiterhin besuchst, erklärst du dich damit einverstanden.
Wir sind unabhängig, neutral und finanzieren uns teilweise über Werbung und Partnerprovisionen. Danke wenn du uns unterstützt. Weitere Infos zum Bedanken findest Du hier.
Diese Seite verwendet hierzu Cookies & Tracking-Cookies, weitere Informationen findest du hier. Wenn du diese Seite weiterhin besuchst, erklärst du dich damit einverstanden.
Microsoft Exchange Server 2010 Standard
einfache Schritt für Schritt Installation
2020-11-12 ©
ctaas.de, A. Schröder §
Impressum
Kurzübersicht:
Das Setup erfolgt als reine lokale Einzelplatzinstallation, direkt auf dem Domänenkontroller selbst, in einer virtuellen Umgebung, also ohne 'Unified Messaging' Funktionen.
Der Abruf der E-Mails für Exchange erfolgt über POP3, der Server hat also keine externe Mail-Exchange (MX) Anbindung.
Der Server ist somit nur aus dem lokalen Netz bzw. über ein VPN ins interne Netzwerk erreichbar.
Der Exchange Server sendet E-Mails über SMTP heraus.
Kurze Farberklärung und Dokumentationshinweise:
grau hebt Variablen, Menüeinträge und ähnliche unveränderliche Werte hervor.
grün markiert wichtige Eingaben. Eingaben die man der eigenen Umgebung anpassen kann sind grün/rot dargestellt.
gelb markiert optionale Eingaben. Eingaben die man optional ändern kann sind gelb/rot dargestellt.
rot! markiert Einträge die man löschen muss, zeigt mögliche Fehler bei Fehlkonfigurationen und kennzeichnet sonstige wichtige Hinweise.
Beachten Sie beim Druck der Anleitung, dass sie die Hintergrundfarben und Hintergrundbilder mitdrucken sollten.
Die Bildschirmscreenshots sind in Originalgröße, diese werden aber standardmäßig verkleinert dargestellt.
Die Anzeige im Webbrowser kann man in der Regel mit der Tastatur über [STRG] und [+] vergrößern & mittels, [STRG] und [-] wieder verkleinern.
Systemanforderungen meine Empfehlungen (für circa 25 User):
Hardwarevoraussetzungen:
Festplatte: mind. 64 GB besser 128 GB Wichtig: Virtuelle Festplatten sollte man unbedingt so anlegen, dass man diese später vergrößern kann.
Arbeitsspeicher: mind. 4 GB RAM oder mehr
CPU: mind. 2 Cores oder besser
Softwarevoraussetzungen:
Für die Installation ist eine 'Windows 2008 R2 Server' x64 (64-Bit) DVD nötig.
Sollten Sie nur eine Windows 2008 Server CD besitzen müssen sie mehrere extra Schritte ausführen (unter anderem wäre hier zwingend das SP2, .Net 3.5 und PowerShell v2 nötig), worauf ich hier nicht weiter eingehe.
Eine Exchange Server 2010 Setup DVD benötigen wir nicht, wir können uns das aktuelle Setup auch einfach (legal) herunterladen. Hierzu später mehr.
A Server-Basis-Setup:
Windows Server Setup, ich habe eine Windows 2008 R2 DVD verwendet.
Los geht's...
Die TechNet Subscriptions Windows 2008 R2 SP1 x64 DVD hat folgenden SHA1:
2A4BE360A4DD3C7BD2446CF50616B952C27BB7D4 de_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1_x64_dvd_617380.iso
Klickt auf [Weiter].
Hier [Windows Server 2008 R2 Standard] auswählen und [Weiter].
Bei [Ich akzeptiere die Lizenzbedingungen] den Haken setzen und [Weiter].
Hier 'Benutzerdefiniert (erweitert)] auswählen (unten den Block anklicken).
Das Setup läuft jetzt erst mal eine Weile. Kaffeepause ☕ ...
Klickt [OK] und vergebt ein Passwort.
Beachtet dabei, das Passwort muss den Komplexitätsanforderungen von Windows 2008 Server entsprechen.
Also z. B. [!Admin12345]. Das
Passwort solltet man sich am besten irgendwo aufschreiben.
Die [Aufgaben der Erstkonfiguration] kann man einfach so [Schließen].
Ebenso den [Server-Manager] einfach schließen.
Wechselt als nächstes in die [Systemsteuerung].
Wählt unter [Anzeige:] den Eintrag [Große Symbole] aus, damit alle Symbole angezeigt werden.
Öffnet hier [Windows Update] und ...
... klickt auf [Automatische Updates aktivieren].
Um die Updates schneller zu installieren empfehle ich parallel dazu die Energiesparoptionen zu deaktivieren.
Stellt diese daher auf [Höchstleistung].
Zunächst muss nun die Windows-Update-Software selbst aktualisiert werden. Klickt daher auf [Jetzt installieren].
Klickt dann im Anschluss auf [Updates installieren].
Hinweise:
Neben zahlreichen Sicherheitsupdates wird auch der neue Internet Explorer 9 bzw. 11 (Systemabhängig) installiert.
Beachtet dabei, dass man das Setup vom Internet Explorer manchmal extra bestätigen muss.
Die Frage/Aufforderung zur Installation kann dabei auch im Hintergrund erscheinen.
Beachtet daher die Taskleiste und bestätigt den Vorgang ggf. mittels [Installieren].
Die [Windows Update] Vorgänge sollte man so lange wiederholen bis Windows 2008 R2 Server mit Service Pack 1 (SP1) mit allen nachfolgenden Updates installiert ist.
Solltet ihr Windows Server 2008 'ohne R2' verwenden, so muss für Exchange zwingend das Service Pack 2 (SP2) installiert sein.
Das Windows Update muss man also mehrfach wiederholen, da die Updates aufeinander aufbauen.
Die Updateinstallation dauert auch auf schnellen PCs meist 1 Stunde und länger.
Daher erst mal Pause ☕ ...
So sollte es bei euch aussehen, wenn alle wichtigen Updates installiert sind.
Jetzt solltet Ihr zuerst eine Sicherung machen. z. B. einen Snapshot.
B Windows Domäne einrichten:
Als nächstes richten wir die Domäne ein.
Los geht's...
Zuerst öffnen man das [Netzwerk- und Freigabecenter].
Dort klickt man dann links auf [Adaptereinstellungen ändern].
Von der im System verknüpften/verbauten bzw. aktiven/verwendeten Netzwerkkarte öffnet man die [Eigenschaften].
Hier muss man zwingend eine [feste IP-Adresse eingeben].
Passt die Daten euerem Netz entsprechend an.
Als nächstes öffnet man in der [Systemsteuerung] den Eintrag [System].
Hier unten rechts auf [Einstellungen ändern] klicken.
Wer will kann die Computerbeschreibung ändern.
Wie Ihr seht hat unser Computer einen sehr wilden Namen.
Diesen sollte man ändern, klickt also auf [Ändern...].
Gebt hier euren [Computername:] an. Also z. B. [ctaas-ex] ein.
Mein Tipp euer Firmenname bei mir [ctaas] dann ein Bindestrich [-] und [ex] wie Exchange.
Die Fenster alle mit [OK] schließen.
Die Änderungen werden erst nach dem Neustart übernommen.
Wichtig: Man sollte daher jetzt gleich einen Neustart machen!
Den Befehl [dcpromo] über [Windows-Taste] + [R]-Taste (run) starten.
Da dies nur eine einfache Einzelplatzinstallation werden soll klickt man hier nur auf [Weiter >].
Die Informationen zur Kryptografie einfach mit [Weiter >] bestätigen.
Da dies eine neue Einzelplatzinstallation werden soll,
klickt man zuerst [* Neue Domäne in neuer Gesamtstruktur erstellen] an und dann auf [Weiter >].
Hier muss man einen vollqualifizierten Domänennamen eingeben.
Wichtig: Gemäß der Spezifikation
RFC6762 siehe auch Appendix G. Private DNS Namespaces,
empfehle ich hier an den Computernamen das Kürzel [.local] an zu hängen um DNS-Kollisionen zu vermeiden.
Also z. B. [ctaas-ex.local] eingeben und weiter.
Als nächstes schlägt der Assistent vor den NetBios-Domänennamen in [ctaas-ex0] zu ändern.
Diesen würde ich so ändern ...
... das statt der Ziffer [0] ein [D] wie Domäne steht.
Der NetBIOS-Domänenname wäre dann 'CTAAS-EXD',
also Firmenname-EXchange-Domäne was mir persönlich besser gefällt.
Die Gesamtstrukturebene lassen wir vorerst auf [Windows Server 2003] eingestellt.
Dies ermöglicht uns ggf. auch ältere Clients einzubinden.
Auch kann man diese Gesamtstrukturebene jederzeit nachträglich 'hochstufen'.
Achtung: Ein Herunterstufen der Gesamtstrukturebene geht nachträglich nicht mehr.
Daher sollte man den Eintrag vorerst einfach auf [Windows Server 2003] lassen.
Klickt also einfach auf [Weiter >].
Bei der Domänenfunktionsebene gilt das gleiche wie eben bei der Gesamtstruktur,
also einfach die Vorgabe [Windows Server 2003] einfach unverändert lassen und auf [Weiter >] klicken.
Ein Domänencontroller benötigt zwingend einen DNS-Server.
Sofern man keinen eigenen/anderen DNS-Server betreibt, sollte man diese Einstellung daher unbedingt so belassen (also angehakt lassen).
Klickt also einfach auf [Weiter >].
Hier wird darauf hingewiesen, dass kein DNS-Server verfügbar ist. Dieser wird aber gleich installiert.
Dies also einfach mit [Ja] bestätigen.
Ich würde empfehlen, die voreingestellten Speicherorte für den Datenbankordner, die Protokolldateien und SYSVOL nicht zu verändern,
da dies ggf. Sicherungsprogramme und Fremdtools im Fehlerfall dort vermutlich zuerst suchen.
Also einfach auf [Weiter >] klicken.
Gebt hier das Passwort für den 'Wiederherstellungsmodus für Verzeichnisdienste' ein.
Mein Tipp - verwendet das gleiche Passwort wie zuvor.
Klickt dann auf [Weiter >].
Hier sehen wir noch mal die Zusammenfassung.
Wenn alles OK ist dann klickt auf [Weiter >].
Unten den [✓] Haken für den automatischen Neustart setzen und abwarten.
Zeitdauer circa 5-15 Minuten. Also kurze Pause ☕ ...
Wenn alles geklappt hat begrüßt uns der Anmeldebildschirm (login screen) mit unserem gewählten NetBIOS-Domänennamen.
Anmeldungen an der Domäne erfolgen ab sofort immer nach dem Schema [NetBIOS-Name\USERNAME] & [Passwort].
Spätestens jetzt sollte man nochmals eine Sicherung des Systems anlegen (Snapshot).
C Remote Desktop aktivieren und Internet Explorer für Admin freischalten (optional):
Diese Schritte sind nicht zwingend erforderlich, erleichtern uns aber jetzt und später im Supportfall die Zugriffsmöglichkeiten.
Je nach eurem Sicherheitsanspruch kann man diese Einstellung entsprechend anpassen oder auch Original belassen.
Ich empfehle aber erst mal alles wie folgt ein zu stellen (etwas niedrigere Sicherheit) und später wenn alles Funktioniert kann man die Sicherheit stückweise wieder erhöhen.
Im [Server-Manager] rechts auf den Eintrag 'Remotedesktop konfigurieren' klicken.
Um den Zugriff von überall zuzulassen klickt man
[Verbindung von Computern zulassen, auf denen eine beliebige Version von Remotedesktop ausgeführt wird (weniger Sicherheit)] an und bestätigt alles mit [OK].
Hinweis: So lange der Administrator ein sicheres Passwort hat ist Remotedesktop kein Problem, da der Server ja nur im lokalen Netz erreichbar ist.
Weiterhin ist für normale Anwender der Remotedesktop standardmäßig immer erst mal gesperrt. So das sich nur der Admin remote anmelden könnte.
Klickt im Anschluss im [Server-Manager] auf [Verstärkte Sicherheitskonfiguration für IE konfigurieren].
Hier kann man die verstärkte Sicherheitskonfiguration nur für den Administrator auf [Aus] stellen.
D Autologon einschalten (optional):
Ob ihr einen automatischen Login verwendet ist abhängig von eurem Sicherheitsanspruch. Dieser Schritt kann daher auch komplett übersprungen werden.
Ich stelle in der Regel immer einen Autologin ein, da das Passwort verschlüsselt und praktisch nicht auslesbar gespeichert wird.
Der Server steht bei uns in einem verschlossen Raum und wer physischen Zugriff zum Server hat, kommt auch so rein wenn er will.
Da wir den Server jetzt in der nächsten Zeit öfter neu starten müssen ist dies eine echte Erleichterung.
Los geht's...
Wir laden das Autologon-Programm am besten von microsoft.com herunter.
Hier noch die SHA1 Codes zum überprüfen des Downloads (Version 3.1.0.0 vom 27.08.2016 - Stand 2018):
SHA1: eea24ba8e82b7357972b4a5a55b9a424b56f62d3 *AutoLogon.zip (original Archiv)
SHA1: 923409be6c1b183c74da221dd23a42b4b981ba19 *Autologon.exe (entpackte Datei)
Hier auf [Autologon herunterladen (77 KB)] klicken und im Anschluss den download [Ordner öffnen].
Nach dem man das Archiv heruntergeladen hat muss man dieses entpacken.
Hierzu klickt man das Archiv mit der rechten Maustaste an und wählt [Alle extrahieren...] aus.
Dann das [Autologon] Programm durch Doppelklick starten.
Hier kann man nochmals den Herausgeber prüfen, es sollte hier [Microsoft Corporation] stehen.
Falls ja, dann auf [Ausführen] klicken.
Beim ersten Start muss man den Lizenzbestimmungen zustimmen.
Diese bestätigt man mit [Agree].
Der [Username: Administrator] und die [Domain: CTAAS-EXD] sollten schon passend voreingestellt sein.
Gebt hier das dazu passende (das oben vergebene) [Password: ************] ein und klickt auf [Enable].
Da man das Passwort ab jetzt schnell vergessen kann (man benötigt es ja so gut wie nicht mehr),
sollte man es sich unbedingt irgendwo aufschreiben.
Hinweis: Man kann das 'Autologon' hier über [Disable] auch jederzeit wieder ausschalten kann.
Hier sieht man die Erfolgsmeldung [... successfully configured] und den Hinweis [... password is encrypted].
Diese Meldung einfach mit [OK] bestätigen.
Wer mag kann zur Probe gleich einmal neu starten.
E Domänen Kennwortrichtlinie anpassen und den Server-Manager Autostart ausschalten (optional):
Als nächstes passen wir die Gruppenrichtlinien an.
Zum einen wollen sich unsere User sicher nicht mit einem komplexen Passwort am Exchange Server anmelden, so dass man hier die 'Kennwortrichtlinie anpassen' anpassen sollte.
Weiterhin wird noch der nervige 'System-Manager' Autostart deaktiviert.
Der System-Manager liegt ja in der Schnellstartleiste und wenn man diesen wirklich benötigt ist er nur einen Klick weit entfernt.
Los geht's...
Startet über [Start], [Verwaltung] die [Gruppenrichtlinienverwaltung].
Hier hangelt man sich über die eigene Domäne zur [Default Domain Policy].
Diese klickt man mit der rechten Maustaste an und wählt [Bearbeiten...] aus.
Hinweis: Man sollte an der 'Default Domain Policy' eigentlich keine Änderungen vornehmen, sondern sich selbst passende Richtlinien erstellen.
Ich selbst ändere hier in der Regel nur die zwei oben genannten Punkte.
Für alles andere erstelle ich später je nach Bedarf eigene Richtlinien.
In dem neu geöffneten [Gruppenrichtlinenverwaltungs-Editor] wechselt man unter
[Computerkonfiguration], [Richtlinien], [Windows-Einstellungen],
[Sicherheitseinstellungen], [Kontorichtlinien].
Hier kann man die Sicherheitseinstellungen anpassen. Ich empfehle ....
.... hier erst mal alles zu deaktivieren (siehe Screenshot).
Hinweis:
Für die User könnt später eine eigene Organisationseinheit (OU) anlegen und für diese OU dann eine eigene Sicherheitsrichtlinie festlegen.
Das deaktivieren der Kennwortrichtlinie sorgt vor allem dafür, dass man das Administratorpasswort nicht alle 42 Tage ändern muss.
Deaktiviert man die Sicherheit hier nicht, so klappt nach 42 Tagen das Autologin nicht mehr! Da dann nämlich das Kennwort geändert werden muss.
Jetzt wollen wir noch den [Server-Manager]-Autostart deaktivieren.
Hangelt euch hierzu unter [Computerkonfiguration], [Richtlinien], [Administrative Vorlagen: Vom lokalen Computer ...], [System], [Server-Manager].
Hier klickt man auf den Eintrag [Server-Manager bei Anmeldung nicht automatisch anzeigen] und [Aktiviert] diese Einstellungen.
Ab jetzt sollte der Server immer ohne Anmeldung durchstarten. Ohne nervende Fenster beim Login.
F Vorbereitungen für Exchange: Net.Tcp-Portfreigabedienst, IIS und Microsoft Office 2010 Filter Packs:
Als nächstes installieren wir die Zusatzprogramme, welche zwingend für Exchange erforderlich sind.
Hinweis:
Wer eine 'Windows 2008 Server' Version verwendet muss hier noch die
Power Shell v2 und mindestens .NET 3.5 installieren.
Wer eine 'Windows 2008 R2 Server' Version verwendet benötigt diese nicht - hier ist die Power Shell v2 und .NET 3.5 bereits auf DVD vorhanden und bereits installiert.
Exchange läuft bei mir auch mit .NET Framework 4.7 ohne Fehler (diese Version wurde über das Windows Update eingespielt).
Los geht's...
Zuerst klicken wir auf [Start], [Verwaltung] und [Dienste].
Hier den [Net.Tcp-Portfreigabedienst] englisch [Net.Tcp Port Sharing Service] mit der rechten Maustaste anklicken und die [Eigenschaften] aufrufen.
Hier den [Starttyp] auf [Automatisch] stellen, ...
... [Übernehmen] die Einstellungen und [Starten] den Dienst gleich einmal. Anschließend schließt man das Fenster wieder mit [OK].
Als nächstes muss man den IIS (Microsoft Internet Information Service - Webserver) mit seinen dazu nötigen erweiterten Diensten/Rollen/Funktionen installieren.
Diese sind später nötig damit sich die Clients über OWA (Outlook Web App) verbinden können.
Man öffnet also erst mal eine [Windows PowerShell].
Macht zunächst ein paar Leerzeilen.
Importiert dann die 'ServerManager' Module durch die Eingabe: [Import-Module ServerManager]
Macht noch ein paar extra Zeilen und übernehmt dann folgenden Befehl ohne die Klammern in einer Zeile:
[Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart]
Hinweis: Der Parameter [-Restart] am Ende bedeutet das der Server nach Abschluss des Befehls selbstständig neu startet. Also ggf. noch andere offene Anwendungen beenden.
Die extra Zeilen dienen dazu, dass man während das Setup läuft die Eingabe noch mal überprüfen kann.
Wenn man den Befehl gleich am Anfang der PowerShell (PS) eingibt wird dieser nämlich sofort durch die Statuszeile überschrieben (siehe Screenshot).
Daher besser den Befehl etwas weiter unten eingeben.
Als nächstes lädt man die 'Microsoft Office 2010 Filter Packs' die 'FilterPack64bit.exe' herunter.
Hinweis: Das 'Microsoft Filter Pack 1.0' (die 'Microsoft Office 2007 Filter Packs'-Version) ist nicht mehr nötig.
Hier sind noch die SHA1 und MD5 Codes zum überprüfen des Downloads:
SHA1: f83bffcdecfa6ba88fffe7ef0b9943cf120b3932 *FilterPack64bit.exe
MD5: 1851eb634a0644a5da46b59c4596c7fc *FilterPack64bit.exe
Das [Microsoft Filter Pack 2.0] wie gewohnt installieren. Hier ist nichts weiter groß zu beachten.
Hinweis: Nach dem man die vorbereitenden Arbeiten abgeschlossen hat, sollte man zwingend nochmals nach neuen 'Windows Updates' suchen und diese installieren.
Weiterhin würde ich vor der Installation von Exchange nochmals eine neue Sicherung/Snapshot anlegen.
G Exchange Server 2010 Setup herunterladen und installieren:
Los geht's...
Für das Exchange Setup benötigt man nur das Microsoft Exchange Server 2010 Service Pack 3 (SP3) von der Microsoft Webseite.
Ein anderes Setup benötigt man nicht. Warum?
Auf der Microsoft Webseite steht beim Download unter dem Menüpunkt 'Zusätzliche Informationen' folgendes (Zitat):
Diese Exchange Server 2010 SP2-Software eignet sich für die Neuinstallation oder für das Update einer vorhandenen Exchange Server 2010-Installation auf Service Pack 2 (SP2).
Im Fall einer Neuinstallation können Sie die Software ab dem Zeitpunkt der Erstinstallation ohne Eingabe eines Product Keys für 120 Tage verwenden, z. B. als Demo- oder Testversion.
Sie können durch Eingabe des Product Keys jederzeit ein Upgrade der installierten Testversion auf die Exchange Server 2010 SP2 Standard oder Enterprise Edition ausführen. ...
Man kann ein 'Microsoft Exchange Server 2010 Service Pack' also auch zur Neuinstallation verwenden.
Somit spart man sich später eine Update-Orgie von einer alten Version. Ich kann auch bestätigen das dies so 100 % Funktioniert.
Die 'Exchange2010-SP3-x64.exe' Setupdatei speichern & wenn der Download abgeschlossen ist in den Download-Ordner wechseln.
Hier noch die SHA1 und MD5 Codes zum überprüfen des Downloads:
SHA1: bb8acbbea695a9579b0b4bca1629cd8a45dbec23 *Exchange2010-SP2-x64.exe
MD5: cd9728e5e8c52e4af0f7ac8db9e5d3e1 *Exchange2010-SP2-x64.exe
Das Heruntergeladen Setup starten - z. B. durch Doppelklick, bzw. [Öffnen].
Hier überprüft man am besten noch mal den [Herausgeber:] dieser sollte [Microsoft Corporation] sein.
Wenn das stimmt, dann auf [Ausführen] klicken.
Die herunter geladene Setup-Datei ist nur ein selbst entpackendes Archiv.
Ich habe dies nach:
[C:\Setups\Exchange]
entpackt. In diesem Ordner befindet sich dann der komplette Inhalt der für das Setup benötigt wird.
Wer will kann sich diesen Ordner auch auf DVD sichern.
Als nächstes öffnet man eine neue [Eingabeaufforderung].
Hier dann in das Setup-Verzeichnis wechseln:
[cd \Setups\Exchange]
Und das Schema wie folgt vorbereiten:
[Setup /PrepareSchema]
Hinweis: Beachtet dabei, das man nach dem Start keine Taste drücken darf (siehe auch Pfeil beim Screenshot).
Sonst bricht das Setup ab. Also kurz warten.
Als nächstes muss man das Active Directory vorbereiten:
[Setup /PrepareAD /OrganizationName:ctaas]
Wichtig: Den 'OrganizationName' entsprechend anpassen.
Beachtet hier auch das Organization mit 'z' und nicht mit 's' geschrieben wird.
Das Setup startet wie eben erst nach einer kurzen Verzögerung. Also kurz warten.
Wenn die Vorbereitung des Active Directory 'erfolgreich abgeschlossen' wurde kann man mittels:
[Setup]
das grafische Setup starten.
Hier klickt man einfach [Schritt 4: Installieren Sie Microsoft Exchange] an.
Hinweis: .NET Framework 3.5 oder höher und die PowerShell v2 sollten bereits installiert sein.
Wenn die Anzeige wie hier im Screenshot grau ist, ist alles korrekt vorbereitet.
Einfach [Weiter >] anklicken.
Den Lizenzbestimmungen zustimmen [*] und [Weiter >] anklicken.
Fehlerberichterstattung habe ich auf [Nein] gelassen und [Weiter >].
Wählen Sie [Typische Installation von Exchange Server] aus.
Unten setzen wir noch den Haken [* Für Exchange erforderliche Windows Server-Rollen und -Funktionen automatisch installieren]
Wobei es auch ohne dem Haken geht - denn wir haben alles soweit korrekt vorbereitet.
Dann wieder auf [Weiter >] klicken.
Die Frage: [Befinden sich in Ihrer Organisation Clientcomputer mit Outlook 2003?] habe ich mit [Ja] beantwortet.
Schließlich will ich alten Clients die Möglichkeit geben sich zu verbinden - und [Weiter >] gehts.
Externer Domäne für Clientzugriff konfigurieren.
Da der Server nur lokal, also nicht über das Internet zu erreichen ist muss hier nichts eingetragen werden.
Externe User verbinden sich bei uns über ein VPN und sind dann somit wieder im lokalen Netz.
Am Programm zur Verbesserung der Benutzerfreundlichkeit habe ich nicht teilgenommen - also einfach [Weiter >].
Abschließend startet eine Überprüfung. Hier wird nur dreimal die Warnung (eher ein Hinweis) ausgegeben das ich Exchange direkt auf dem Server der auch die Domäne enthält installiere.
Da ich aber keinen weiteren Server aufsetzen will kann ich damit leben.
Nachteil ist das die User der Exchange-Sicherheitsgruppe 'Vertrauenswürdiges Teilsystem' etwas höhere Domänenrechte erhält.
Auch damit kann ich leben.
Da soweit alles Ok ist klicken wir also auf [Installieren].
Das nun folgende Setup dauert auch mit SSD auf schnellen PCs ca. 15 - 20 Minuten.
Daher erst einmal Pause ...
Wie man an nur grünen Haken erkennen kann ist das Setup komplett ohne Fehler durchgelaufen. ⭐️⭐️⭐️⭐️⭐️ Juhu! 😎
Klickt auf [Fertig stellen].
Die Meldung mit [OK] Bestätigen.
Man erhält auch einen Hinweis und zwar soll man vor dem produktiven Betrieb alle neuen Updates installieren.
Wichtig: Updates ruft man nicht über den Punkt [Schritt 5: Rufen Sie wichtige Updates für Microsoft Exchange ab] sondern ganz normal über das Windows Update.
Daher alle Fenster erst einmal [Schließen] und das System neu starten.
Startet nun das normale [Windows Update] welches jetzt neben Windowsupdates auch nach Exchange Updates Ausschau hält.
Alle noch offene Programme schließen und wie gewohnt [Updates installieren] anklicken.
Je nach dem welche Version installiert wurde werden ggf. neben den 'Windows Updates' auch 'Filterpack', 'AntiSpam', 'rollup' Updates für Exchange installiert.
Die Updates vor allem die Rollup-Setup's (nur bei älteren Versionen) dauern eine ganze Zeit.
Also erst mal Pause ...
Nach einem Neustart und wieder Windows Update ausführen bis alle Updates installiert wurden.
Bis irgendwann da steht 'Keine wichtigen Updates verfügbar'.
Jetzt sollte man bevor man anfängt Exchange zu konfigurieren erst mal eine Sicherung durchführen.
H SMTP-Sendeconnector für den Server konfigurieren:
Als nächstes konfigurieren wir den SMTP-Sendeconnector, das ist der Connector über welchen der Exchange Server E-Mails nach außen hin (ins Internet) weiter leitet.
Los geht's...
Öffnen Sie hierzu die 'Exchange Management Console' (EMC) die auch 'Exchange-Verwaltungskonsole' genannt wird (siehe Titelleiste).
Die Meldung '... nicht lizenziert.' klicken wir mittels 'OK' erst mal weg.
Wir haben noch ~119 Tage und ein paar Stunden Zeit zum Aktivieren (insgesamt genau 120 Tage).
Wechseln Sie auf 'Organisationskonfiguration', 'Hub-Transport' und klicken Sie dort den Karteireiter 'Sendeconnector' an.
Hier klicken wir im rechten Fenster dann auf 'Neuer Sendeconnector...'.
Geben Sie hier einen eindeutigen Namen an z. B. 'SMTP-Sendeconnector E-Mail ins Internet' ein und klicken Sie auf 'Weiter >'.
Bei 'Adressraum' klicken Sie auf 'Hinzufügen...'.
Bei Adressraum geben sie das Malzeichen '*' ein, dies ist ein Joker der bestimmt das wir an alle Adressen senden können.
Den Rest so lassen und mit 'OK' bestätigen.
Hier klicken wir nur auf 'Weiter >'.
Als nächstes müssen wir einen E-Mailsmarthost festlegen, da praktisch alle E-Mail-Anbieter E-Mails nur noch nach einer vorherigen Authentifizierung entgegen nehmen.
Hier wählen wir also 'E-Mail über folgende Smarthosts leiten:' aus und klicken auf 'Hinzufügen...'.
Hier gebt Ihr eueren SMTP-Server von eurem E-Mailanbieter an. Bei 1und1.de (1&1) ist dies der FQDN:
smtp.1und1.de
Den Eintrag wieder einfach mit 'Weiter >' bestätigen.
Hier eine gültige 'E-Mail@Adresse.de' und das dazugehörige 'Passwort' eingeben.
Anmerkung: Diese E-Mailadresse wird nicht zum Versand genutzt, sondern dient einzig zur Authentifizierung/Anmeldung beim Hoster selbst.
In unserem Beispiel ist dies unser Mail-/Webhoster 1und1.de (1&1).
Dies dient also dazu, dass uns 1&1 erkennen kann.
Hoster wie 1&1 nehmen keine E-Mails mehr ohne diese Erkennung an, da diese sonst für Spam-Relay missbraucht würden.
Dies dient also dazu SPAM ab zu wehren.
Hinweis: Keine Weiterleitungsadressen verwenden. Ein einloggen mit der E-Mailadresse muss beim Hoster möglich sein.
Update 2019:
Mit der Umstellung auf 1&1 Ionos funtionierte bei uns der E-Mailversand über SMPT nicht mehr.
Beim Versand der E-Mails trat unter anderem folgender Fehler auf: [#550 4.4.7 QUEUE.Expired; message expired ##].
Das Bild oben (wurde entsprechend korrigiert) zeigt nun die korrekte Einstellung an.
Damit es wieder klappte wurde der Haken bei '[ ] Standardauthentifizierung über TLS' entfernt.
Weiterhin wurde wie folgt der Port für den SMTP-Versand auf den alternativen Port 587 geändert:
1. Die 'Exchange Manegement Shell' starten.
2. Mit folgendem PowerShell Befehl kann man den derzeitig verwendeten Port sich anzeigen lassen:
Get-SendConnector | fl port
3. Mit folgendem Befehl ändert man dann den Port auf 587 ab (dieser wird meistens alternativ verwendet):
Get-SendConnector | Set-SendConnector -Port 587
Damit die Änderungen aktiv werden, den Server neustarten, oder den Dienst: [Microsoft Exchange-Transport] neustarten.
Im Bild sieht man hier noch einmal die wichtigsten Schritte zum Port ändern (die Serverkennung wurde hier verpixelt).
Hier einfach wieder auf 'Weiter >' klicken.
Wir erhalten nochmals eine Übersicht über alle Eingaben. Diese Anzeige bestätigen wir mit 'Neu'.
Hier sieht man dann den Befehl der an die 'Exchange-Verwaltungshell' übergeben wird.
Diesen Befehl könnte man sich sichern in dem man ihn mittels 'STRC+C' in die Zwischenablage kopiert und in einer Skriptdatei sichert.
Bei einer neuen Installation könnte man dann dieses Befehl dann mit einem Aufruf über die 'Exchange-Verwaltungsshell' ausführen und so zahlreiche Klicks sparen.
Da wir aber nur einen Connector brauchen sparen wir uns das und klicken auf 'Fertig stellen'.
Hier sehen wir noch mal den aktivierten neuen 'SMTP-Sendeconnector'.
Als nächstes klicken wir auf den Karteireiter 'Akzeptierte Domänen'.
Dort wählen wir rechts 'Neue akzeptierte Domäne...' aus.
Gebt bei 'Name:' am besten euren Firmennamen ein 'ctaas'
und bei 'Akzeptierte Domäne:' gebt Ihr den hinteren Teil Ihrer E-Mailadresse
(alles was nach dem '@' Zeichen kommt) ein - in unserem Beispiel ist das also 'ctaas.de'.
Anschließend klicken Sie auf 'Neu'.
Hier noch mal die Übersicht des Shell-Befehls. Diesen bestätigen wir einfach mit 'Fertig stellen'.
Hier sieht man noch mal die 'Akzeptierte Domäne'.
Das der Standard auf 'Falsch' steht ist ok.
Klickt auf den Karteikarten-Reiter 'E-Mail-Adressrichtlinie' dann rechts auf 'Neue E-Mail-Adressrichtlinie...'.
Gebt hier euren Firmennamen 'ctaas' ein und klickt auf 'Weiter >'.
Bei 'Bedingungen' wählen wir nichts aus, unsere E-Mailadressrichtlinie soll immer gelten. Also 'Weiter >'.
Klicken Sie bei 'E-Mail-Adressen' auf 'Hinzufügen'.
Hier legen Sie fest, wie standardmäßig die E-Mailadressen Ihrer Firma aufgebaut sind.
Dies bezieht sich auf den Teil vor dem '@' Zeichen.
'Initiale des Vornamens und Nachnamen (jsmith)' bedeutet z. B., dass unser Beispiel Anwender 'Arno Muster' automatisch die E-Mailadresse 'AMuster@Firmenname.de'
erhalten würde. Wir können aber auch später manuell für jeden Anwender benutzerdefinierte E-Mailadressen festlegen.
Wichtig ist noch das wir hier unsere zuvor 'Akzeptierte Domäne für E-Mailadressen auswählen:'. Das ist der Part nach dem '@' Zeichen.
Klickt hier also auf 'Durchsuchen' und ....
.... wählt die zuvor erstellte Akzeptierte Domäne 'ctaas' 'ctaas.de' aus. Das Ganze dann mit 'OK' bestätigen, so dass es so ....
.... aussieht. Dieses Fenster dann mit 'OK' schließen.
Hier sieht man noch die 'Schlüssel' der E-Mailadress-Richtlinie.
Diese kann man jetzt auch bei Bedarf anklicken und Manuell noch verändern.
Folgenden Schlüssel sind hierbei möglich:
%g - Vorname
%i - Mittelinitial
%s - Nachname
%d - Anzeigename
%m - Exchange-Alias
%xs - Verwendet die ersten x Buchstaben des Nachnamens. Wenn z. B. x=2 ist, werden die ersten zwei Buchstaben des Nachnamens verwendet.
%xg - Verwendet die ersten x Buchstaben des Vornamens. Wenn z. B. x=2 ist, werden die ersten zwei Buchstaben des Vornamens verwendet.
Weitere Infos siehe Technet/Microsoft.
Die Einstellungen wollen wir 'Sofort' übernehmen - und 'Weiter >' geht's.
Hier erhalten wir nochmals eine 'Konfigurationszusammenfassung' welche wir mit 'Neu' bestätigen.
Hier sehen wir die Shell-Befehle welche erfolgreich übernommen wurden.
Klickt auf 'Fertigstellen'.
Hier sieht man den fertigen 'E-Mailadressrichtlinen'-Eintrag.
Im Prinzip ist Exchange jetzt für
das Senden ins Internet vorbereitet.
Bevor wir jedoch einen Sende-Test absolvieren passen wir noch die 'lokale Sicherheitsrichtlinie' an und legen uns zuvor noch einen neuen User zum e-mailen an. Weiter geht's...
I Lokale Sicherheitsrichtlinie anpassen (optional):
Bevor wir Benutzer anlegen sollten wir noch die 'Lokale Sicherheitsrichtlinie' anpassen. Denn wenn wir dies nicht tun würden könnten sich die Benutzer nur mit komplexen Passworten anmelden.
Da man das von den meisten Usern nicht erwarten kann und unserer E-Mail Server auch nur im Hause und im VPN Netz erreichbar ist schalten wir die Sicherheit hier erst mal komplett aus.
Ihr könnt euch später auch leicht auf der OU im Active Direktory via Gruppenrichtlinie eine neue eigene Sicherheitsrichtlinie definieren.
Los geht's...
Sucht im Startmenü den Eintrag 'Lokale Sicherheitsrichtlinie' und klickt diesen Eintrag an.
Wechselt hier über 'Kontorichtlinien' zu den 'Kennwortrichtlinien'.
Hier würde ich wie gesagt die Sicherheitseinstellungen komplett deaktivieren und später auf der OU im Active Directory eine neue Sicherheits-Gruppenrichtlinie definieren.
J Organisationseinheit (OU) im AD anlegen, Benutzer Postfach anlegen, Absender E-Mailadresse definieren, Administrator Adresse ausblenden:
Zusammenfassung/Kurzanleitung neue User anlegen:
- in EMC anlegen
- OU auswählen!
- Namen anpassen
- Externe Adresse anpassen
- POP3 deaktivieren
- Admin Vollzugriff aktivieren
- Admin Senden als Zugriff aktivieren
- Kennwortablauf im AD anpassen
- OWA Testen!
Jetzt wollen wir eine neue Organisationseinheit (OU) anlegen, in welcher unsere Benutzer gespeichert werden.
Dann wollen wir einen neuen Benutzer und das dazugehörige Postfach im Exchange anlegen. Von diesem User passen wir noch die Absender-E-Mailadresse an.
Weiterhin wollen wir noch den Domänen Administrator aus dem globalen/zentralen Adressbuch ausblenden.
Los geht's...
Zuerst öffnen wir über das Startmenü 'Active Directory-Benutzer und -Computer'.
Hier sehen wir eine vordefinierte OU mit dem Namen 'Users' in dieser ist auch der Administrator abgelegt der ein komplexes Passwort haben sollte (auch wenn es sich nicht ändert).
In dieser OU (Ordner) wollen wir nicht noch unsere User hinzufügen.
Da wir hier schlecht eigene Gruppenrichtlinien durchdrücken könnten.
Also legen wir uns hier ....
.... auf unserer Domäne 'ctaas-ex.local' mittels rechter Maustaste 'Neu' und 'Organisationseinheit'. Eine ....
.... neue Organisationseinheit an. Gebt hier z. B. einfach euren Firmennamen 'ctaas' oder 'ctaas_users' ein und bestätigt das Ganze mit 'OK'.
Hier sehen wir unsere neu angelegte 'OU' 'ctaas'.
Wechseln wir nun zur 'Exchange Management Console'/'Exchange-Verwaltungskonsole'.
Hier klicken wir auf 'Empfängerkonfiguration', 'Postfach' und dort auf der rechten Seite auf 'Neues Postfach ...'.
Es startet der Postfach 'Assistent', wir wollen zuerst ein 'Benutzerpostfach'
für den Admin erstellen.
Also klicken wir auf 'Weiter >'.
Wir wollen einen 'Neuen Benutzer' anlegen - klicken also auf 'Weiter >'
Achtung: Hier ist es wichtig, dass wir den Haken [*] setzen bei 'Geben Sie die Organisationseinheit an,
statt eine Standardorganisationseinheit zu verwenden:' und wählen unsere zuvor im Active Directory erstellte OU aus.
In unserem Beispiel 'ctaas'. Diese also anklicken und mit 'OK' bestätigen.
Hier sieht man oben, dass die OU übernommen wurde.
Nun füllen wir die restlichen Felder aus und klicken auf 'Weiter >'.
Den
vorgegebenen Alias habe ich so gelassen - einfach 'Weiter'.
'Kein Archiv auswählen' - dies belassen wir so, da wir sonst eine extra 'Microsoft Exchange Server 2010 Enterprise CAL' Lizenz für den Client benötigen.
Das Archiv realisieren wir nachher einfach über geschickte Transportregeln selbst.
Hinweis: Solltet Ihr euch später doch für das Archiv entscheiden, so kann dies jederzeit noch aktiviert werden.
Hier sehen wir nochmals die Zusammenfassung von unserem ersten Benutzer. Diese bestätigen wir einfach mit 'Neu'.
Worauf hin die Shell-Befehle ausgeführt werden - 'Fertig stellen' anklicken.
Hinweis: Wer jetzt viele User anlegen muss könnte sich hier das Shell Script kopieren und entsprechend für alle User anpassen. Dies erspart dann viel klickerei.
Ich habe dies jedoch nicht weiter verfolgt/genutzt und alle User über die EMC wie eben gezeigt angelegt.
Hier sehen wir unseren ersten Benutzer, auch sehen wir hier schön wie die 'E-Mailadressrichtlinie' von oben wirkt.
Unser neuer Benutzer erhält automatisch die Adresse 'Muster.Arno@ctaas.de'.
Da diese Adresse nicht korrekt ist wollen wir diesem User jetzt eine andere E-Mailadresse (Antwortadresse) zuweisen.
Hierzu klickt ihr den soeben erstellten Benutzer mit der rechten Maustaste an und klickt auf 'Eigenschaften'.
Hier wechseln wir auf den Karteireiter 'E-Mail-Adressen' und entfernen unten den Haken '[ ] E-Mailadressen automatisch basierend auf der E-Mail-Adressrichtlinie aktualisieren'.
Somit können wir auch andere E-Mail-Adressen dem User zuweisen.
Klickt dann einfach auf 'Hinzufügen' und ....
.... gebt in dem darauf folgenden Fenster die korrekte E-Mailadresse des Users z. B. 'arno_muster@ctaas.de' ein.
Das Fenster mit 'OK' bestätigen.
Hier sehen wir dann die zwei E-Mail-Adressen. Die eine basierend auf der E-Mail-Adressrichtline und
die andere von uns eingegebene E-Mailadresse.
Wählt dir richtige Adresse mit der Maus aus und klickt diese dann mit der rechten Maustaste an und wählt hier 'Als Antwortadresse verwenden' aus.
Hinweis: Zuvor muss unten noch der Haken entfernt werden '[ ] E-Mailadressen automatisch basierend auf der E-Mail-Adressrichtlinie aktualisieren'!
Die Default-Adresse erkennt Ihr an der fetten Schrift.
Wer mag kann die andere E-Mailadressen löschen, ich habe dies jedoch nicht getan.
Klickt 'OK'.
Hier sieht man
dann, dass jetzt die richtige E-Mailadresse als Primäre SMTP-Adresse eingestellt ist.
Wer ganz nervös ist kann jetzt schon mal eine Testmail via OWA Senden. Das sollte ab jetzt klappen.
WICHTIG: E-Mails zum Testen nicht an die eigene Domäne senden! Das verursacht noch einen 550er Fehler!
Sendet die E-Mail an Google, Web.de oder einen anderen beliebigen Webdienst.
https://192.168.x.x/owa
Wo wir gerade schon mal da sind würde ich den Domänen-Administrator aus dem 'Öffentlichen globalen Adressbuch' ausblenden. Da an diesen keiner E-Mails senden soll.
Ruft hierzu die 'Eigenschaften' vom 'Administrator'-Postfach auf.
Und setzt unten den Haken '[*] In Exchange-Adresslisten ausblenden'.
Tipp: Bei neuen anderen Usern, solltet Ihr ggf. auch gleich
die 'Berechtigungen 'Senden als' verwalten...' sowie,
die 'Berechtigung 'Vollzugriff' verwalten...' setzen.
Also über die 'rechte Maustaste' den Admin-Benutzer 'Domäne\Admin' hinzufügen, sofern dies nötig ist.
Dann kann der Administrator die E-Mailpostfächer mit einsehen.
Zuletzt schauen wir noch mal ins Active Directory in unsere zuvor angelegte OU.
Wenn wir die Anzeige hier aktualisieren, sollte unser erster Anwender in dieser OU erscheinen.
K Outlook Web App - Login und erster Sendetest:
Jetzt wollen wir uns im 'Outlook Web App' (OWA) anmelden und eine erste Testmail versenden.
Los geht's...
Starten Sie den Internet Explorer geben Sie 'https://EureServerIP-Adresse/owa' ein.
Achtet auf das 's' wie secure und gebt Eure eigene IP-Adresse ein.
Es kommt zunächst eine Zertifikatswarnung. Dies ist normal da wir noch kein eigenes Zertifikat installiert haben.
Klicken Sie trotzdem auf 'Laden dieser Webseite fortsetzen (nicht empfohlen)'.
Es erscheint die Anmeldemaske von 'Outlook Web App'.
Man sieht hier aber auch das nur 'Outlook Web App Light verwenden' angeboten wird.
Dies würde ich erst abschalten.
Blendet hierzu zunächst die Menüzeile für den Browser ein:
Klickt dann auf 'Einstellungen der Kompatiblitätsansicht'.
Unter 'Folgende Webseite hinzufügen' sollte bereits die IP-Adresse des Exchange Servers stehen.
Klickt einfach auf 'Hinzufügen' und im Anschluss auf 'Schließen'.
Es erscheint nun wieder die 'normale' Anmeldemaske.
Beachtet aber, das der Haken bei 'Outlook Web App Light verwenden' jetzt nicht mehr vorhanden ist.
Hier geben wir die Anmeldedaten von unserem oben angelegten Postfach ein
und klicken auf 'Anmelden'.
Stellen Sie die Sprache und Zeitzone ein und klicken Sie auf 'OK'.
Über den Punkt 'Neu' können wir eine neue E-Mail schreiben.
Geben Sie bei 'An...' eine 'externe@E-Mailadresse.de' an.
Wichtig: Diese darf nicht aus derselben Domäne stammen.
Verwenden Sie also am besten eine externe Google, Web.de, GMX o.ä. andere Adresse zum Test.
Ich habe zum Test an ein Google E-Mailkonto gesendet.
Wie man sieht ist die Testmail angekommen.
Auch im 'Outlook Web App' könnt Ihr den überprüfen ob die E-Mail korrekt übergeben wurde.
Klickt hierzu auf 'Gesendete Elemente'.
Dort klickt Ihr die eben gesendete E-Mail mit der rechten Maustaste an und wählt 'Übermittlungsbericht öffnen' aus.
Gestattet dem Browser Pop-Up-Fenster zu öffnen und Ihr erhaltet ein neues Fenster.
Wenn hier dann exakt folgender Text erscheint:
'Die Nachricht wurde erfolgreich an ein anderes E-Mail-System übergeben. Eine weitere Verfolgung ist nicht möglich.',
dann hat das Senden geklappt.
Steht hier ein anderer Text stimmt wahrscheinlich etwas nicht.
Lokale E-Mails also an User die schon im Exchange angelegt sind können natürlich auch versendet werden.
Hier ist eine Test-E-Mail an mich selbst problemlos angekommen.
Beachten sollte man das lokale E-Mails nicht über das Internet versand werden.
Diese werden also nicht erst über den Smarthost an den Provider versand und von dort wieder zugestellt, sondern direkt im Exchange Server zugestellt.
Daher klappt der Versand nur an Adressen welche man zuvor in der Exchange Management Console angelegt hat (siehe Punkt J).
L Vorbereitende Arbeiten für den Empfang von E-Mails auf dem Server: Nachrichtengröße erhöhen, Anonyme Empfänger erlauben:
Zunächst müssen wir die Nachrichtengröße für eingehende E-Mails erhöhen.
Weiterhin müssen wir den Anonymen Zugang einstellen, so dass uns jeder mailen kann.
Los geht's...
Gehen Sie unter 'Serverkonfiguration', 'Hub-Transport' unten auf den 'Default ....'-Connector.
Klicken Sie diesen mit der rechten Maustaste an und rufen Sie die 'Eigenschaften' auf.
Auf dem ersten Karteireiter ändern wir zunächst die 'Maximale Nachrichtengröße (KB):' von '10240' (10 MB) auf '102400' also auf 100 MB.
Wichtig: Unter 'Netzwerk' (2. Karteireiter) könnt Ihr oben wo 'Port' '25' steht, nur die Server angeben, die E-Mails an den Exchange-Server übergeben dürfen.
Hier kommt in der Regel nur die 'IP-Adresse' des PCs wo Ihr euren POP3-Sammler laufen habt rein - der Port bleibt bei 25.
Meist also der Server selbst, weil hier meist auch der POP3-Sammler installiert ist.
Wenn wir beim Beispiel bleiben müsste hier also nur die eine IP-Adresse '192.168.0.7' und Port '25' rein.
Wenn ihr hier nur die IP-Adresse des POP3-Sammlers angebt erhöht Ihr die Sicherheit.
So das euer Server nicht aus dem LAN als SPAM-Relay missbraucht werden kann.
Ihr könnt die Einstellung also erst mal so lassen,
solltet dies aber im Hinterkopf behalten und ggf. später umstellen.
Wichtig ist das wir auf dem letzten Karteireiter 'Berechtigungsgruppen' bei '[*] Anonyme Benutzer' den Haken setzen.
Denn somit erlauben wir die Anlieferung von Anonymen-E-Mails über den POP3-Sammler.
M MX/POP3-Connector über POP3-Sammler POPcon realisieren:
Der Exchange Server kann von Haus aus nur über SMTP E-Mails empfangen (wie die großen Mailanbieter). Siehe hierzu nochmals den vorherigen Schritt. Dies könnte man dann nur Realisieren in dem man beim Hoster den MX-Eintrag (Mail-Exchange) auf den eigenen
lokalen Exchange Server umlenkt. Da dieser dann direkt aus dem Internet erreichbar ist und somit auch leicht angreifbar ist habe ich mich strikt gegen diese Lösung entschieden.
Das Microsoft keinen POP3-Sammler selbst anbietet/mitliefert finde ich übrigens schwach.
Fremdanbieter bergen auch Gefahren wenn die Implementierung nicht sauber realisiert wurde.
Besonders problematisch ist hier, dass dieser in der Regel nicht automatisch aktualisiert wird.
Eine Schwachstelle im POP3 Sammler, bzw. dessen Modulen könnte hier größere Probleme nach sich ziehen.
Weiterhin könnte der POP3-Sammler der ja eure Kennworte wissen muss diese sogar missbrauchen in dem er sie z. B. an den Anbieter sendet.
Ein gewisses Vertrauen zu dem Anbieter sollte man also haben.
Daher sollte man hier gut abwägen und eine aktuelle Software verwenden die ständig weiter entwickelt und gepflegt und getestet wird.
Es musste also ein POP3-Sammler her!
Ich hatte zuerst P2S eine freie Version getestet, diese bereitete aber Probleme bei zu großen E-Mails.
Unter anderem erhielten Absender mit zu großen E-Mail-Anhängen keine Unzustellbarkeitsmeldung wegen der Größe.
Probleme machte: 'P2S Version 0.63_20 - setup.exe' von skittel (der Vertrieb wurde ende 2017 eingestellt). Der Author antwortete auch nicht auf meine Anfrage, so dass ich mich weiter auf die Suche begab.
Die Liste bei: www.msxfaq.de/internet/pop3helper.htm brachte mich auch nicht weiter
Viele Versionen waren mir nicht aktuell genug.
So, dass ich mich letztendlich für die Lösung von Servolutions.de entschieden habe.
Hier vorab der Hinweis: Ich kenne den Anbieter auch nicht genauer. Ich erreichte den Hersteller aber im Online Chat und er war sehr entgegenkommend und Hilfsbereit. So das man bei Problemen hier einen Ansprechpartner hat. Ob dieser Anbieter jetzt für euch der 'Optimale' ist müsst Ihr selbst herausfinden.
Da der Betrag nur einmalig fällig ist, ist dieser sicher mehr als angemessen.
Hier nutze ich 'POPcon Pro'. Wichtig waren mir vor allem die folgenden Features:
-
AntiSpam Erkennung (eine Vorfilterung erhöht deutlich die Trefferate), vor allem reine Outlook Web App Nutzer ohne extra Junk/SPAM-Filter werden hier geschützt.
- ArchivFunktion (aller eingehenden E-Mails) zur Nachweispflicht.
- AntiVirus Engine (extra schadet nie!)
- Gute Konfiguration.
- POPcon funktioniert auch mit dem gerade erschienen Exchange 2013, für mich ein Zeichen von Aktualität, die eine ggf. spätere Weiterverwendung sichert.
Das reine 'POPcon' hat keine AntiSpam und Archiv Funktion. Dinge auf die ich dann doch nicht verzichten würde.
Der allgemeine Ablauf ist dann so: POPcon (der POP3-Sammler) holt die E-Mails wie gewohnt über POP3 beim Anbieter ab und übergibt diese via SMTP Protokoll an den Exchange Server.
Los geht's...
POPcon laden wir hier 'http://www.servolutions.de' herunter.
Klicken Sie auf 'Download (HTTP)' speichern Sie das Setup in einem Verzeichnis und führen es dann aus.
Hinweis:
Wer will kann um die Sicherheit zu erhöhen den POP3-Sammler auch auf einem extra Computer installieren.
Dieser muss also nicht zwingend auf dem Exchange Server installiert werden.
Hintergrund:
Wäre z. B. eine Lücke in einem POPcon-Modul z. B. im AntiSPAM-Modul, bzw. AntiViren-Modul welche ja auch Inhalte der E-Mails prüfen.
So könnte ein Angreifer durch eine geschickt fehlerhaft konstruierte E-Mail's das System möglicherweise Kompromittieren und unter Kontrolle bringen.
Würde der POPcon-Dienst jetzt auf einem extra Server laufen würde der Angreifer nur den Server übernehmen auf dem der POPcon Dienst laufen würde.
Der Exchange Server wäre ja eigenständig und somit noch nicht angegriffen.
Die Serverpassworte vom POPcon-Server und Exchange-Server sollten sich natürlich deutlich unterscheiden.
Ein weiterer Vorteil einer separaten POPcon Installation ist, das Ihr dort einen extra Virenscanner vorschalten könntet.
Hier könnt Ihr dann auch einfache Desktop-Virenscanner verwenden, welche deutlich preiswerter und einfacher zu handhaben sind.
Ob Ihr also POPcon auf einer extra Maschine oder auf demselben Server installiert, hängt von eurem Sicherheitsanspruch und verfügbaren Möglichkeiten ab.
Das Setup ist nahezu selbsterklärend 'Weiter >'.
Die 'Lizenzvereinbarungen' akzeptieren und 'Weiter >'.
Den Pfad habe ich nicht verändert.
Einfach 'Weiter >'.
Hier auf 'Installieren' klicken.
Das '[*] Programm starten' können wir angehakt lassen und klicken auf 'Fertigstellen'.
Zuerst klicken wir auf 'Server Konfigurieren'.
Unter 'Postmaster:' geben wir unsere 'PseudoAdmin@E-Mailadresse.de' vom vorhin angelegten Postfach an.
Wichtig:
Also bloß nicht direkt die Domänen-'Administrator' Adresse verwenden. Diese sollte man nur für Notfälle verwenden!
Man sollte sich immer einen zweiten Administrator Account anlegen. Unser oben angelegter User braucht hierbei nicht zwingend 'Administrative' rechte im AD.
Er ist eigentlich auch nur ein normaler 'User'. Dieser soll später aber erweiterte 'Postfach'-Funktionen erfüllen, wie z. B. E-Mails aus dem Archiv herstellen.
Hierzu aber erst später mehr. Tragt also hier die E-Mail-Adresse von einen User der euren 'Admin' 'darstellen' soll ein.
Unter 'POP3/IMAP' klicken wir auf 'Hinzufügen' und geben ....
Hier gibt man die Kontodaten vom Postfach ein:
'POP3SSL/TLS' auswählen.
'Server (Name oder IP)' bei mir 'pop.1und1.de',
bei 1und1.de (1&1) - Wichtig: Hier müsst ihr natürlich euren Provider angeben!
'Benutzername:' z. B. 'arno_muster@ctaas.de' - in der Regel eure E-Mailadresse von eurem Provider.
'Passwort:' - also das zur E-Mailadresse dazugehörige 'Passwort'. Also die Daten womit Ihr euch bei eurem Provider auch Authentifizieren müsstet (Zum Beispiel im Webmail).
'IP Portnummer:' - habe ich so gelassen.
'Timeout:' - habe ich so gelassen.
'Anzeigename für Konto:' - habe ich so gelassen.
Wichtig ist eher das ihr 'Sammelpostfach' deaktiviert. Wir wollen ja nicht alle E-Mails in einem zentralen Postfach sondern diese den entsprechenden Usern im Exchange Server zuweisen.
Klickt also auf 'Einzelpostfach'
und gebt dort die 'User@E-Mailadresse.de' an, an welche die eingehenden Mails entsprechend innerhalb eurer Exchange Umgebung weiter geleitet werden sollen. In der Regel ist das immer 1:1 dieselbe E-Mail-Adresse wie bei Benutzername.
Die Eingabe mit 'OK' schließen.
In der Übersicht seht ihr die Angelegten E-Mailkonten.
Diese müssen dann hier für alle Mitarbeiter eingetragen werden.
Klickt auf den Reiter 'Exchange' und gebt dort bei 'Exchange Server:' die IP-Adresse des Exchange Servers an. Mehr müssen wir hier nicht vornehmen - 'OK'.
Jetzt können wir die 'Abfrage der Mail jetzt starten'.
Die angezeigten Warnung kann man ignorieren, hier werden beim ersten Start nur noch nicht vorhandene temporäre Dateien angelegt.
Hier wurde schon die 1. E-Mail mit abgerufen. :)
Schicken wir einfach mal eine Test-E-Mail. Hierzu können wir z. B. am einfachsten auf unserer vorhin gesendete E-Mail antworten.
Nun nochmals die 'Abfrage der Mail jetzt starten'.
Hier sehen wir wie die E-Mail abgeholt und auf SPAM geprüft wird und weiter an Exchange Server übergeben wird.
Und siehe da... die erste externe E-Mail ist via POP3 über POPcon in Exchange angekommen.
Beim ersten Lauf wurde noch die Begrüßungs-E-Mail von 1&1 vom neu erstellten E-Mailkonto mit abgerufen.
Unter der POPcon Serverkonfiguration sollte man jetzt noch die 'Zeitplanung' je nach Umgebung anpassen.
Also '[*] Komplexe Zeitplanung' aktivieren und auf 'Mulit-Hinzuf.' klicken.
Ich hole die Mails z. B. alle '7' Minuten von '05:00' - '20:00' Uhr, nur zu Zeiten wo gearbeitet wird ab.
In den Zeiten von 20:00 - 05:00 Uhr - wo nicht gearbeitet wird - kann dann der Spam-Filter beim Hoster 1und1 Trainiert werden.
Hierzu verwende ich eine extra Lösung die hier jetzt nicht weiter erwähnt werden soll.
So kommen bei uns jeden falls so gut wie keine Spam Mails durch.
Hier noch kurz die Auflistung der Zeiten. Man kann diese über 'Hinzufügen' noch beliebig erweitern.
Das E-Mail Archiv habe ich '... nach Monaten getrennt ...' eingestellt.
E-Mails landen in dem unter 'Archivordner' angegebenen Ordner.
Wichtig: Diesen Archiv-Ordner sollte man regelmäßig sichern und ggf. bereinigen, sonst läuft irgendwann der Server voll.
Natürlich habe ich auch das 'Integrierte Antivirus Subsystem...' aktiviert.
Allerdings habe ich hier nur '1 x tägliche Signaturupdates prüfen' eingestellt.
Wie ihr erkannte E-Mails dann behandelt ist euch überlassen.
Die Virensignaturen werden beim der nächsten Abfrage auf neue E-Mails automatisch mit herunter geladen.
Man sollte hier am besten kurz abwarten bis alle Signaturen fertig geladen wurden.
Soweit ist die Basiskonfiguration von Exchange Server 2010 abgeschlossen.
Wir können E-Mails senden und empfangen.
Jetzt geht es an den Feinschliff.
N Dateitypen für den Download freigeben oder sperren (.exe):
Der Exchange Server sperrt um die Sicherheit zu erhöhen für Anwender verschiedene Dateitypen von Haus aus.
Wer zum Beispiel eine E-Mail mit einem Anhang z. B. einer .exe, .bat, .cmd, .vbs, .scr oder ähnliches empfangen hat, kann diese weder öffnen noch speichern.
Ebenso könntet Ihr solche Dateitypen auch nicht versenden.
Hier soll gezeigt werden wie man diese Einstellungen an passt.
Als Beispiel wollen wir das herunterladen eines '.exe'-Dateianhangs über OWA zulassen.
Hier finden Sie noch weitere Informationen: technet.microsoft.com/de-de/library/bb124232(v=exchg.141).aspx
- Konfigurieren des Zugriffs von öffentlichen und privaten Computern auf Dateien.
Los geht's...
Klickt hierzu in der 'Exchange-Verwaltungskonsole' auf 'Serverkonfiguration' und dort auf 'Clientzugriff'.
Dort ruft Ihr unten von dem Eintrag 'owa (Default Web Site)' mittels rechter Maustaste die 'Eigenschaften' auf.
Hier klickt ihr auf den Karteireiter 'Dateizugriff für öffentliche Computer' und dort auf 'Anpassen'.
Allgemeine Hinweise: Hier könnt Ihr die 'Einstellungen für den direkten Dateizugriff' entsprechend anpassen.
Beachtet unten die Einstellungen für 'Unbekannte Dateien' - standardmäßig ist hier 'Speichern erzwingen' eingestellt.
Dieses könntet Ihr hier aber auch so konfigurieren:
Alles 'Blockieren' würde bedeuten, dass man nur von euch festgelegte Dateitypen öffnen kann.
Alles
'Zulassen', würde jeden beliebigen Dateityp erlauben. Hiervon würde ich dringend abraten.
Bleiben wir aber bei unserem Beispiel. Um jetzt z. B. das Speichern für den '.exe'-Dateityp zu zulassen entfernen wir die 'Blockade' für diesen Dateityp.
So, dass dieser Dateityp dann nicht mehr 'blockiert' wird.
Danach kann diese '.exe'-Datei aus Outlook immer noch nicht direkt ausgeführt werden, sondern muss immer noch erst lokal gespeichert werden.
Das erhöht jedoch die Sicherheit, da der Client-Virenscanner die Datei zuerst noch einmal überprüft.
Wer diese Anhänge direkt ausführbar machen möchte müsste 'Speichern erzwingen' analog noch entsprechend anpassen.
Wichtig: Man sollte immer die Sicherheit im Hinterkopf haben. Also nicht alles frei schalten was geht.
Klickt hier also erst mal auf 'Blockieren'.
Hier sehen wir die 'Sperrliste'. Sucht hier die Erweiterung oder Typ den ihr zulassen wollt z. B. '.exe' aus und klickt auf das rote Kreuz.
Entfernt also den ausgewählten Typ aus der Liste. Danach ist dieser nicht mehr blockiert und kann gespeichert werden.
Die Änderung ist beim Client erst nach einem erneuten Login bemerkbar.
Nutzer von 'Outlook Web App' bzw. 'Outlook' müssen sich also noch einmal ab- und anmelden. Danach sollte der Download von '.exe'-Dateien klappen.
O Größenbeschränkungen für Anhänge erhöhen:
Exchange erlaubt standardmäßig nur Anhänge bis zu einer Größe von 10 MB.
Da dies nicht mehr ganz zeitgemäß ist wollen wir diese etwas erhöhen.
Im unserem Beispiel wird die Größe nur minimal auf 15 MB erhöht.
Vorab schon der Hinweis das 'Outlook Web App' bei E-Mails bis 20 MB Größe keine Probleme macht.
E-Mails die 25 MB und größer werden können aber Probleme machen.
Diese lassen sich nämlich über den Webbrowser/die 'Outlook Web App' nicht korrekt hoch bzw. herunter laden.
Bei mir kam dann immer eine Fehlermeldung im Webbrowser.
Ich hatte dies mit verschiedenen Browsern, Systemen und komplett aktualisierter Exchange Software getestet.
Daher mein Tipp: Wenn sie nicht zwingend größere Anhänge benötigen, sollten Sie maximal 20 MB als maximal erlaubte Größe für Anhänge einstellen.
Wenn sie eine Größe über 25 MB einstellen (auch 100 MB und mehr sind für Exchange an sich kein Problem),
dann können Sie diese Dateien aber nur über ein lokales 'Outlook' oder andere lokale E-Mailclients abrufen.
Der Zugriff auf derart große Anhänge/E-Mails via 'Outlook Web App' scheint zurzeit nicht zu funktionieren.
Wichtig: Zu beachten wäre auch noch, dass man die eingestellte Größe nur noch schlecht (eigentlich fast gar nicht) wieder verkleinern kann.
Sind nämlich schon größere E-Mails eingegangen und man verkleinert danach die Größe wieder, so kann man diese E-Mails dann weder löschen, öffnen, weiter versenden, usw. - hier kommt dann nämlich immer eine Warnung das die Größe überschritten wurde.
Verkleinern ist also nahezu unmöglich!
Man sollte daher lieber mit kleinen Werten anfangen. Eine Erhöhung ist nämlich jederzeit problemlos möglich.
Los geht's...
Klicken Sie auf 'Organisationskonfiguration', 'Hub-Transport' dann rechts auf den Karteireiter 'Globale Einstellungen'.
Hier rufen wir mittels rechter Maustaste von den 'Transporteinstellungen' die 'Eigenschaften' auf.
Hier ändern wir die Werte 'Maximale Empfangsgröße (KB)' und 'Maximale Sendegröße (KB)' von 10240 (10 MB) auf '15360' (15 MB). Die Eingabemaske können wir mit 'OK' schließen.
Die gleiche Anpassung müssen wir noch für unseren Sendeconnector vornehmen.
Denn würden wir dies nicht tun, so könnten wir zwar große E-Mails erhalten, aber nie auf diese Antworten, da der Sendeconnector bei 10 MB blockieren würde.
Auch könnte man solche großen E-Mails nicht weiterleiten ... daher passen wir lieber den Sendeconnector auf die gleiche Größe an.
Hierzu wechseln wir zunächst unter 'Organisationskonfiguration', 'Hub-Transport' und klicken rechts den Karteireiter 'Sendeconnectors' an.
Von unserem oben angelegten Sendeconnector rufen wir wieder die 'Eigenschaften' auf.
Hier ändern wir wieder wie oben die 'Maximale Nachrichtengröße (KB)' von 10240
(10 MB) auf '15360' (15 MB).
P 'sys_out' - Archiv für ausgehende E-Mails anlegen:
Warum wir zwingend ein Archiv brauchen:
- Wie oft hört man von Usern: 'Ich habe die E-Mail XYZ an ... geschickt, bräuchte Sie aber noch einmal weil Sie dort angeblich nicht angekommen ist. Ich kann sie aber nicht wieder finden. Kann sein das ich Sie schon gelöscht habe.'
- Auch müssen wir manchmal nachweisen können wann eine E-Mail und vor allem von wem diese versandt wurde.
- Weiterhin können wir auch so leichter prüfen ob unser Server als SPAM-Relay missbraucht wird. Sollten wir intern eine Sicherheitslücke haben und von innen heraus SPAM versenden werden, so würde man dies ebenso im Archiv sehen.
- Weiteres Problem ist. Die User haben nur 2 GB Speicherplatz. Diesen wollen wir auch nicht erhöhen da dies sonst irgendwann unsere Sicherungsmöglichkeiten übersteigen würde.
Wir brauchen also dringend ein Archiv! In welchem alle ein- und ausgehenden E-Mails Archiviert werden.
Anfangen wollen wir mit den ausgehenden E-Mails.
Hierzu wollen wir nicht die Archivfunktionen von Exchange nutzen, da diese uns wieder extra 'Enterprise' Lizenzgebühren kostet.
Sondern wir werden mit einer Transportregel alle E-Mails die das Haus verlassen als Kopie in ein 'Archiv'-E-Mailkonto/Postfach fließen lassen.
Hieraus können wir dann bei Bedarf E-Mails wieder herstellen, bzw. den externen Versand überwachen.
Los geht's...
Hierzu erstellen wir uns wie oben schon beschrieben
unter 'Empfängerkonfiguration', 'Postfach' ein 'Neues Postfach' wo alle ausgehenden E-Mails gespeichert werden sollen.
Hier auch kein Archiv anhanken.
Ich habe dieses
'sys' (wie System) und 'out' wie (ausgehend) getauft.
Ihr könnt diese Namen beliebig ändern.
Hinweis: Legt dieses 'Archiv Postfach' ggf. in einer anderen OU ab wenn Ihr später ständig ändernde Passworte verwenden wollt.
Da wir dieses Archiv später mittels POP3 abholen wollen.
Da niemand Hausintern an diese E-Mail Adresse mailen soll wird diese im Adressbuch ausgeblendet.
Hier also '[*] In Exchange-Adresslisten ausblenden' anhaken.
Ändert wieder die Absender E-Mailadresse.
Wichtig: Diese Adresse sollte NICHT beim Hoster existieren. Diese ist nur lokal und auch von außen her nicht erreichbar.
Diese Adresse soll also auch nicht per POPcon-POP-Sammler abgerufen werden. Denn dann würde man ja nur unnötig SPAM ins Archiv mit aufnehmen der gar nicht dazu gehört.
Mittels 'Berechtigung 'Vollzugriff' verwalten...' geben wir unserem Admin das recht in das Archiv zu schauen.
Klickt hier auf 'Hinzufügen' und ....
.... wählt euren 'Administrator' aus (nicht den 'Administrator' direkt, sondern einen anderen normalen User der als eine Art Admin später ins Archiv schauen darf).
Hier sieht man den hinzugefügten 'Admin'-Account - klickt einfach auf 'Verwalten'.
Ab jetzt kann sich der 'Admin' ins Archiv einloggen.
Und ... 'Fertig stellen'.
Genau wie eben vergeben wir noch die 'Berechtigung 'Senden als' verwalten...' ...
... über 'Hinzufügen' an unseren 'Admin', so dass dieser dann E-Mails aus dem Archiv weiter senden kann.
Als nächstes öffnen wir unter 'Organisationskonfiguration' den Zweig 'Hub-Transport' und klicken
dort auf den Karteireiter 'Transportregeln'. Hier klicken wir dann noch rechts 'Neue Transportregel...' an.
Gebt hier dann einen 'Name:' und ggf. ein 'Kommentar:' ein.
Ich habe hier 'sys_out' (wie System ausgehend) und 'Archiv ausgehend'
eingegeben.
Klickt dann auf 'Weiter >'.
Bei 'Bedingungen' wählen wir '[*] an Benutzer innerhalb oder außerhalb der Organisation gesendet' aus.
Klickt dann unten auf den blauen Text 'Innerhalb der Organisation' und ....
.... ändert den Eintrag hier auf 'Außerhalb der Organisation', wir wollen ja nur nach außen gehende E-Mails erfassen.
So das das ganze erst mal so aussieht. Klickt auf 'Weiter >'.
Bei 'Aktionen' wählen wir folgendes aus: '[*] Die Nachricht als Bcc-Kopie an Adressen' (senden).
Klickt hier dann auf den blauen Text 'Adressen' und wählt ....
Hier klickt ihr auf 'Hinzufügen' und ....
.... wählt die zuvor erstellte 'sys_out' - Postfachadresse aus.
So das das ganze dann so aussieht, klickt auf 'Weiter >'.
Bei 'Ausnahmen' wählen wir nichts aus, da wir alles protokollieren wollen was raus geht. Also klicken wir 'Weiter >' an.
Die 'Konfigurationszusammenfassung:' einfach mit 'Neu' bestätigen.
Hier sieht man wieder den Shell Befehl:
Einfach 'Fertig stellen'.
Hier sehen wir dann die fertige Regel.
Ab sofort werden alle E-Mails die nicht an eine interne (eigene) Adresse gesendet werden als versteckte Blind-Copy-Copie im Posteingang von 'sys_out'
gespeichert.
Wichtig: Damit dieses 'sys_out'-Postfach nicht überläuft muss man dieses mit einem externen Programm von Zeit zu Zeit bereinigen.
Hierzu lädt man am einfachsten die Mails von einem anderen Server via POP3 von dem Konto 'sys_out' herunter.
Anbieten würde sich hier z. B. Thunderbird. Thunderbird kann E-Mails per POP3 herunterladen und die Nachrichten trotzdem noch auf dem Server belassen und z. B. erst nach 90 Tage dort löschen.
So können wir die letzten 90 Tage bequem im 'Outlook Web App' wieder herstellen.
Erst wenn noch ältere E-Mails benötigt werden holen wir diese aus Thunderbird.
Die Anzahl der Tage ist hier nicht begrenzt. 90 Tage sind nur eine Idee.
Thunderbird speichert die Daten in sogenannten MBox Files. Die Größenbegrenzung für die MBox-Dateien liegt wohl bei 4 GB, also das Doppelte von Exchange.
Da dies auch nicht ausreichen wird könnt ihr in Thunderbird aber einfach neue Ordner anlegen.
Denn jeder Ordner den Ihr anlegt erhält ein extra 4 GB MBox File.
Ihr braucht euch hier also keine Gedanken zu machen das Thunderbird irgendwann vollläuft.
Sondern Ihr legt z. B. für jedes Jahr, Quartal oder Monat einen neuen Ordner an und verschiebt diese regelmäßig entsprechend.
Vielleicht kann man dies sogar 'Automatisieren' über ähnliche Regeln im Thunderbird (z. B. mit Jahresangabe).
Q 'sys_in' - Archiv für eingehende E-Mails anlegen:
Wie oft kommt es vor ein Mitarbeiter löschte eine eingehende E-Mail und benötigt diese nochmals.
Oder Ihr müsst nachweisen das, dann und dann eine E-Mail wirklich eingegangen ist.
Dies lässt sich nur über ein Archiv realisieren.
Die Archivierung soll sich nur auf externe E-Mails beziehen. Interne E-Mails schließe ich hierbei aus.
Um das Archiv so klein wie möglich zu handhaben wollen wir den eingehenden SPAM aus dem Archiv gleich ausschließen.
Los geht's...
Hierzu legen wir uns nochmals unter 'Empfängerkonfiguration', 'Postfach' wieder ein 'Neues Postfach' fürs Archiv an.
Wir brauchen hierzu ein ganz normales 'Benutzerpostfach' also 'Weiter >'.
Wieder Eure 'OU' auswählen und einen passenden Namen vergeben.
Ich habe hier 'sys_in' wie System hereinkommend ausgewählt.
Klickt auf 'Weiter >'.
Alle weiteren Masken durchklicken, auch hier wieder kein Archiv auswählen, also '[*] Kein Archiv erstellen' unverändert lassen.
Tipp: Solltet Ihr eine Kennwortrichtlinie für eure User-'OU' anlegen wollen, z. B. das sich regelmäßig die Kennworte ändern,
so solltet ihr für die Archivkonten 'sys_in' und 'sys_out' einfach eine eigene OU erstellen, die davon ausgenommen sind.
Denn hier wäre ein ständiger Kennwortwechsel wahrscheinlich eher unproduktiv.
Von dem eben angelegten 'sys_in'-Archiv-Postfach rufen wir die 'Eigenschaften' auf ....
.... und blenden dies in den Adresslisten aus.
Hier soll niemand etwas hin mailen. Dieses Archiv wird wieder nur durch 'Transportregeln' automatisch gefüllt.
Klickt auf 'Übernehmen' und wechselt zum Karteireiter 'E-Mail-Adressen'.
Diese ändert ihr am besten Vorsichtshalber in 'sys_in@EuereDomain.de' passend ab.
Diese E-Mailadresse die Ihr dort eingebt ist nur intern.
Diese E-Mailadresse sollte es bei Eurem E-Mailanbieter also nicht geben.
Auch darf diese E-Mailadresse keinesfalls in POPcon bzw. dem POP3-Sammler hinterlegt sein.
Denn dann würde eingehender SPAM der für diese Archiv-Adresse ankommen würde das Archiv unnötig aufblähen und verfälschen. Da dann mehr E-Mails im Archiv liegen würden als wirklich herein gekommen sind.
Wir vergeben wieder die 'Berechtigung 'Vollzugriff' verwalten...' für unseren Admin.
So das sich dieser im Archiv 'sys_in' einloggen kann.
Also oben über 'Hinzufügen' anklicken und dort Euren User auswählen der 'Admin' sein soll. Dies sollte nicht der Domänenadmin sein. Sondern eher jemand anderes mit eingeschränkten Rechten. Hierzu reicht ein normaler User, der aber eben die Archiv Funktionen nutzen kann. Also unser 'pseudo-Admin' von oben.
Damit der Admin aus dem 'sys_in'-Archiv E-Mails wieder herstellen kann vergeben wir die Berechtigung 'Berechtigung 'Senden als' verwalten...'. Jetzt kann der pseudo-Admin sich ins Archiv einloggen und E-Mails von dort heraus an Mitarbeiter oder sich selbst senden. So das diese wieder verfügbar sind.
Hier wieder den Admin Benutzer hinzufügen.
Alle eingehenden E-Mails ins Archiv übertragen:
Hier erstellen wir als nächstes wieder eine 'Neue Transportregel...'.
Gebt dieser Regel einen 'Name:' ich habe hier 'sys_in' (wie System eingehend) verwendet.
Gebt weiterhin einen 'Kommentar:' wie z. B. 'Archiv eingehend' ein.
Wählt hier wieder die 'Bedingung' '[*] von Benutzern innerhalb oder außerhalb der Organisation' und
klickt danach unten auf den blauen Text 'Innerhalb der Organisation'.
Dieses stellt ihr auf 'Außerhalb der Organisation' um.
Es sollen nur E-Mails welche von Außen kommen von der Transferregel berücksichtigt werden.
Alle Internen E-Mails werden nicht weiter berücksichtigt.
Wichtig: Bevor ihr auf 'Weiter >' klickt wählt ihr hier noch
die zweite Bedingung '[*] an Benutzer innerhalb oder außerhalb der Organisation gesendet' aus.
Bei 'Aktionen' wählen wir '[*] Die Nachricht als Bcc-Kopie an Adressen' aus.
Klickt unten wieder auf den blauen Eintrag 'Adressen' und ....
.... wählt hier unser eben angelegtes 'sys_in' Postfach aus.
Hier sehen wir noch mal die komplette Regel.
Ab sofort werden also alle E-Mails die 'von außen' her 'an Benutzer/Mitarbeiter'
kommen als 'versteckte Blind-Copy-Copie (Bcc)' in unserem Archiv-Postfach 'sys_in' abgelegt.
Aus diesem können wir E-Mails dann jederzeit ja wieder herstellen.
Ausnahmen habe ich leer gelassen also 'Weiter >' und den Rest fertig stellen.
Hier sieht man noch den Shell Befehl.
Wichtig ist man muss die Größe des Postfachs beachten.
Dieses ist hier auch nur auf 2 GB festgelegt.
Man muss diese Archiv Konto 'sys_in' also ebenso von Zeit zu Zeit bereinigen.
Da wir hier nichts löschen wollen, holen wir per POP3 z. B. via Thunderbird regelmäßig ab.
Im Thunderbird stellen wir z. B. ein das erst E-Mails die älter als 90 Tage sind gelöscht werden.
So können wir auf die letzten E-Mails bequem über das 'sys_in' Postfach zugreifen.
Ältere E-Mails stellen wir bei Bedarf dann aus Thunderbird wieder her.
Thunderbird installieren wir sicherheitshalber am besten auf einem anderen System/PC der nur Archivzwecken dient.
R IMAP und POP3 für Client PCs aktivieren:
Damit die lokalen Client-PCs der Mitarbeiter E-Mails per IMAP, bzw. POP3 abholen können müssen wir auf dem Server die entsprechenden Exchange-Dienste aktivieren.
Los geht's...
Wir klicken also auf 'Verwaltung' -> 'Dienste' ....
.... und suchen uns den Dienst 'Microsoft Exchange IMAP4' heraus.
Von diesem rufen wir über die rechte Maustaste wieder die 'Eigenschaften' auf.
Hier stellen wir den 'Starttyp:' auf 'Automatisch' um und klicken auf 'Starten' und dann einfach 'OK'.
Achtung: Genau so gehen wir jetzt beim Dienst 'Microsoft Exchange POP3' vor.
POP3 benötigen wir vor allem um unsere Archiv-Konten 'sys_in' und 'sys_out' zu bereinigen.
Da unsere Mitarbeiter Ihre Konten aber nicht über POP3 abholen sollen (denn dann wären die E-Mails nur auf einem PC verfügbar) deaktivieren wir jetzt bei all diesen Mitarbeitern diese Berechtigung.
Hier könnt und solltet ihr auch den Administrator mit einschließen.
Die Berechtigung E-Mails per POP3 ab zu holen benötigt eigentlich nur 'sys_in' und 'sys_out'.
Empfehlung: Also bei allen selbst angelegten Benutzer-Postfächern POP3 deaktivieren!
Wichtig: Das bereits vorhandene 'Discoverypostfach' lassen wir so wie es ist!
Ruft also bei jedem Benutzerpostfach die 'Eigenschaften' auf,
wechselt auf den Karteireiter 'Postfachfunktion',
markiert hier den Eintrag 'POP3' und,
klickt oben auf 'Deaktivieren',
so, dass sich der Status von 'Aktiviert' auf 'Deaktiviert' ändert.
Das Ganze mit 'OK' bestätigen.
Diese Schritte müsst Ihr nun für alle User ausgenommen unsere Archiv-Postfächer durchführen.
Wer sich jetzt im Outlook Web App einloggt wird feststellen, dass dort trotzdem für die User keinerlei Serverdaten hinterlegt sind.
Da dies nur reine 'Anzeige-Textfelder' sind, die der Admin füllen kann habe ich dies nicht weiter verfolgt.
Wir sind nur eine kleine Organisation und wer hier etwas eingerichtet haben will der fragt den Admin.
Solltet Ihr trotzdem ein Interesse haben schaut hier mal rein: technet.microsoft.com/de-de/library/gg298947%28v=exchg.141%29.aspx.
S [SPAM] Filter Transportregel:
Der SPAM Filter von POPcon markiert erkannte Werbung in dem er den Betreff der entsprechenden Mail um den Anfang '[SPAM]' ergänzt.
Trotzdem landet dieser beim User noch im normalen Posteingang.
Damit diese Werbung sofort im Junk Ordner (SPAM-Ordner von Outlook) landet müssen wir eine Transportregel anlegen.
Mit dieser erhalten auch User die nur 'Outlook Web App' verwenden Ihre E-Mails gleich vorsortiert im Junk Ordner (SPAM).
Los geht's...
Gehen Sie auf 'Organisationskonfiguration', 'Hub-Transport' und dort auf 'Transportregeln'.
Hier legen wir eine 'Neue Transportregel...' an.
Dieser geben wir einen 'Name:' z. B. 'SPAM' und
einen geeigneten 'Kommentar:' - 'Eingehende [SPAM] Mails automatisch in den Ordner Junk verschieben' und
klicken auf 'Weiter >'.
Bei 'Bedingungen' wählt ihr '[*] wenn das Betreff-Feld bestimmte Wörter enthält'.
Klickt den 'blauen Text unten an' und ändert diesen in '[SPAM]'.
Klickt dann einfach auf 'Weiter >'.
Bei 'Aktionen' wählt ihr '[*] Die SCL-Bewertung (Spam Confidence Level) auf Wert festlegen'.
Klickt dann auf den blauen Text und ändert den Wert auf '5'.
Klickt dann auf 'Weiter >'.
Bei 'Ausnahmen' habe ich nichts ausgewählt also 'Weiter >' und alles andere entsprechend durchklicken.
Hier ist noch der dazugehörige Shell Befehl:
Ab sofort werden eingehende E-Mails die von POPcon als Werbung erkannt werden, beim Anwender in die vorhandenen 'Junk' Ordner verschoben.
Wichtig: Der Vorteil ist das hier eingehende Scripte, Bilder usw. automatisch deaktiviert werden.
Man sollte diese Regel also auf jeden Fall aktivieren.
Achtung: E-Mails die fälschlicherweise als 'Junk' markiert werden, werden auch nicht mit ins Thunderbird Archiv übernommen.
Es sei denn man markiert sie auch im 'sys_in' Archiv als 'kein Junk'.
T Die automatische Lesebestätigung (Empfangsbestätigung) für externe E-Mails deaktivieren:
Standardmäßig sendet Exchange für externe Mitarbeiter immer eine Lesebestätigung.
Dies tritt vor allem auf wenn man sich über 'Outlook Web App' anmeldet.
Dies hat zwei entscheidende Nachteile:
1. SPAM Versender erhalten ebenso eine Antwort, wissen also das die E-Mail Adresse gültig ist. Wir erhalten so also Zukünftig noch mehr Werbemüll.
2. Weiterhin sendet unser 'Archiv eingehend' 'sys_in' auch nach außen hin 'Lesebestätigungsantworten'.
Der Absender der E-Mail, der eine Lesebestätigung angefordert hat, erhält somit ggf. zwei 'Lesebestätigungsantworten'
und zwar....
eine von unserem Archiv 'sys_in' und eine vom eigentlichen 'User unserer Organisation'. Dies kann irgendwann die externen User verwirren und Fragen aufwerfen.
Das größere Problem dabei ist wenn jemand vor dem 'User unserer Organisation' ins Archiv 'sys_in' schaut.
Denn dann erhält der Absender schon mal eine 'Lesebestätigung' von 'sys_in' und denkt möglicherweise das sein eigentlicher Adressat 'der User in unserer Organisation' diese E-Mail schon gelesen hat. Was ja in diesem Fall nicht stimmt. Bei wichtigen Terminen o. ä. könnte es da schon Ärger geben.
Daher wollen wir die automatische 'Lesebestätigung' erst mal komplett deaktivieren.
Hinweis: Später kann man diese Regel so erweitern,
das z. B. nur bestimmte User wie z. B. unser Archiv 'sys_in' keine automatische Lesebestätigung senden.
Los geht's...
Erstellt wieder unter 'Organisationskonfiguration', 'Hub-Transport' eine 'Neue Transportregel...'.
Gebt bei dieser einen passenden 'Name:' wie 'Lesebestätigung' und einen passenden 'Kommentar:' wie 'Automatische Lesebestätigung deaktivieren.' ein.
Klickt danach auf 'Weiter >'.
Hier wählt Ihr bei 'Bedingungen' zuerst '[*] von Benutzern innerhalb oder außerhalb der Organisation' aus und ändert dann
unten den blauen Text 'Innerhalb der Organisation' auf 'Außerhalb der Organisation' um.
Die Regel wirkt also nur auf externe E-Mails. Intern gesendete 'Lesebestätigungsanfragen' werden nach wie vor versendet.
Danach klickt ihr auf 'Weiter >'.
Anmerkung:
Wer die 'automatische Lesebestätigung' nur fürs Archiv 'sys_in' deaktivieren will. Der muss hier den Eintrag ergänzen und zwar um....
- an Personen
- nur 'sys_in' auswählen.
(noch nicht getestet!)
Bei 'Aktionen' wählt Ihr '[*] Kopfzeile entfernen' aus. Klickt dann unten auf den blauen Text 'Kopfzeile' und
gebt hier 'Disposition-Notification-To' ein. Klickt 'OK' an.
Erklärung:
Im Quelltext der originalen E-Mail steht wenn eine 'automatische Lesebestätigung' gesendet werden soll - in der Zeile 'Disposition-Notification-To' - am Ende eine E-Mailadresse.
Durch das Löschen der kompletten Kopfzeile wird die E-Mail in eine normale E-Mail verwandelt, welche keine ja keine 'automatische Lesebestätigungen' mehr versendet. Problematisch bleibt dann aber: Man kann nicht mehr sagen, ob ein externer Absender eine 'automatische Lesebestätigung' angefordert hat oder nicht. Müsst ihr also auch externen E-Mailsendern eine 'automatische Lesebestätigung' senden, so solltet ihr die Regel wie oben nur aufs Archiv eingehend 'sys_in' anwenden.
Nachteil der Lösung wäre aber, das SPAMer dann nach wie vor fleißig eure E-Mailadressen sammeln können.
Es gilt hier also den optimalen Kompromiss zwischen Komfort und Sicherheit zu finden. Wie ihr es einstellt hängt also von eurer Organisation ab.
Hier nur noch zur Info: So muss fertige die Regel aussehen,
wenn für alle extern eingehende E-Mails die 'automatische Lesebestätigung' ausgeschaltet werden soll.
Also einfach 'Weiter >'.
Hier könnt Ihr noch 'Ausnahmen' festlegen. Ich habe dies jedoch leer gelassen, also 'Weiter >'.
Hier sieht man noch den Verwaltungsshellbefehl. Klickt einfach auf 'Fertig stellen'.
Die Regel war bei mir danach sofort aktiv.
U Server Sicherung:
Sehr Wichtig!: Hier nur die kurze Warnung. Sichern Sie Ihren Server regelmäßig.
Exchange schreibt regelmäßig Transaktionslogfiles die erst gelöscht werden wenn ein Sicherungsprogramm eine erfolgreiche Sicherung durchgeführt hat.
Ein herunterfahren und manuelles wegsichern der kompletten Virtuellen Maschine erkennt Exchange übrigens nicht.
Hierbei bleiben die Transaktionslogfiles erhalten. Ihr müsst also ein auf Exchange spezialisiertes Sicherungsprogramm verwenden und dieses sollte auch regelmäßig laufen.
Sichern Sie nicht regelmäßig läuft der Serverspeicherplatz schnell über.
Auch wenn nicht so viele E-Mails eingehen!
Ich hatte versucht vor dem Backup alle Exchange Dienste zu beenden und danach wieder zu starten.
Dies glückte mir zwar, ich erhielt trotzdem in der Ereignisanzeige merkwürdige Warnungen, so dass ich derzeit Exchange via 'Volumes per Schattenkopie' (VSS) sichere ohne die Dienste vorher zu beenden.
Für die Sicherung kann man z. B. 'Drivesnapshot' oder die in Windows eingebaute
'Windows Server-Sicherungsfeatures' (als Feature hinzufügen!) verwenden.
technet.microsoft.com/de-de/library/dd876874%28v=exchg.141%29.aspx
msxfaq.de/exchange/admin/backupwinbackup.htm
Empfehlung:
Sichere Sie die Server mit Drivesnapshot (hauptsächlich zum Löschen der Transaktionslogs) und sicheren Sie separat die VM's. So haben Sie zwei komplette Sicherungen.
Drivesnapshot bietet sich insbesondere als Sicherungsmöglichkeit an, da Drivesnapshot sehr schnell sichert und die Daten dabei wirklich sehr gut packt (in der Regel ca. auf die Hälfte).
Für Drivesnapshot können Sie folgendes AutoIt-Script verwenden:
Update 2017-12-14:
Für Drivesnapshot habe ich ein neues überarbeitetes Skript geschrieben.
Dieses ist über diesen Link zu finden.
AutoIt_Script_to_Backup_Exchange_2010_Server.au3
#cs
----------------------------------------------------------------------------
AutoIt Version: 3.2.2.0
Author: Sicherungsscript © 2007-2014 Arno Schröder
Script Function:
- Komplette PC/Server Image-Sicherung mit Hilfe der VSS (Volume Shadow Copy Services),
- mit dem Programm [snapshot.exe] von www.drivesnapshot.de.
-
Automatische Sicherung (Task's/Aufgabenplanung) auf ein freigegebenes Netzlaufwerk Laufwerk
(bei uns ein Tandberg RDX-Laufwerk).
- Das RDX-Laufwerk ist ein Wechselaufwerk.
-
Sichert nur die Festplatten Laufwerke C:, D: und E: - Andere Laufwerke wie
DVD-Laufwerke werden ausgelassen.
- Die
Sicherung wird Protokolliert.
- Die
Sicherungsdauer wird Protokolliert.
-
Anlegen von extra Verzeichnissen zur besseren Übersicht wann welche Sicherung
erstellt wurde.
-
Die letzte Sicherung wird Automatisch gelöscht!
Es muss also jeden Tag das Medium gewechselt werden!
- Enthält noch zahlreiche auskommentierte Debuginformationen.
- Gesichert werden die PC's/Server in Unterordnern die wie folgt aufgebaut sind:
Freigabe, Computername, Datum (für jeden getrennt, so das man auf einer
Freigabe verschiedenste Computer parallel sichern kann).
- Das Script wird
erfolgreich Produktiv genutzt und kann leicht eigenen Bedürfnissen angepasst
werden.
changelog:
- Letzte Änderung 12.03.2013 - UseVSS: '--ALLWriters'
Parameter hinzugefügt.
Der Parameter ist zwingend notwendig, damit die
Exchange die Transaktionslogfiles löscht.
- Letzte Änderung 01.07.2014 - Dokumentation verbessert.
#ce ----------------------------------------------------------------------------
;Benötigt für Datumsfunktionen.
#include <Date.au3>
;Startzeit Speichern, um die Dauer der Sicherung zu ermitteln.
$varStartzeit
= _NowCalc
()
$varAktuellesDatum
= @YEAR
&@MON
&@MDAY
;MsgBox(0, "Info:", "varAktuellesDatum="&$varAktuellesDatum)
;Hinweis zum Start der Datensicherung.
;SplashTextOn("Automatische Datensicherung Arbeitsplatz PC", "Im Hintergrund läuft die Automatische Datensicherung. Während der Sicherung kann es zu leichten Verzögerungen kommen. Es kann aber weiter gearbeitet werden. Die Meldung verschwindet wenn die Datensicherung abgeschlossen ist. Den PC nicht ausschalten. Danke für das Verständnis. A. Schröder", 450, 100, -1, -1, 22, "Tahoma", 10)
;Netzlaufwerke abmelden falls irgend ein anderes bereits gemappt ist.
DriveMapDel("y:")
;Snapshot Imagelaufwerk anmelden.
;Achtung: Die IP-Adresse & Freigabe (rdx) sowie der Benutzername und das Passwort muss entsprechend angepasst werden!
DriveMapAdd("y:",
"\\192.168.0.4\Freigabe", 0,
"Benutzername", "Passwort")
;Computername auslesen.
$varComputername
= EnvGet("COMPUTERNAME")
;Wenn eine alte Sicherung vorhanden ist, dann diese löschen, so das dann eine neue Sicherung angelegt werden kann.
;Prüfen ob Verzeichnis mit Computername für Images vorhanden ist.
If FileExists("y:\Drivesnapshot-Images\"&$varComputername
)
Then
;Wenn ja altes Verzeichnis (mit alter Sicherung) löschen ...
DirRemove("y:\Drivesnapshot-Images\"
&$varComputername,
1)
EndIf
If Not FileExists("y:\Drivesnapshot-Images\"&$varComputername
)
Then
;... und neues leeres Verzeichnis mit Computernamen anlegen.
DirCreate("y:\Drivesnapshot-Images\"&$varComputername
)
EndIf
;Logfile öffnen - wenn noch keins vorhanden ist, wird eins angelegt.
$file
= FileOpen("y:\Drivesnapshot-Images\"&$varComputername
&"\_Logfile_"&$varComputername
&".txt",
1
)
; Check if file opened for writing OK
If $file
= -1
Then
MsgBox(0,
"Fehler:",
"Sicherungs-NAS nicht erreichbar. Automatische Datensicherung fehlgeschlagen. Bitte verständigen sie Ihren Administrator.")
Exit
EndIf
;Startzeit Protokollieren.
FileWriteLine($file
, "---[ "&$varComputername
&": Letzte Ausführung siehe Ende Protokoll ]---")
FileWriteLine($file
, "Sicherungsstart: "
&_Now
() )
;#
;##
;###Starte Sicherung###
;Verzeichnis mit Datum zur Sicherung anlegen.
DirCreate("y:\Drivesnapshot-Images\"&$varComputername
&"\"&$varAktuellesDatum
)
;\20$date\ wird zum Beispiel zu \20081014\ also die Sicherung vom 14.10.2008
;Sicherung Festplatte C: durchführen & Errorlevel der Variable übergeben.
$valHDDc
= RunWait("c:\_Sicherung\snapshot.exe
c: y:\Drivesnapshot-Images\$computername\20$date\$computername-$disk-$date-drivesnapshot-$type.sna
--ALLWriters -Gx --LogFile:y:\Drivesnapshot-Images\$computername\20$date\_logfile.txt")
;Errorlevel in Logfile speichern.
FileWriteLine($file
,
"Sicherungsergebnis Festplatte C 0=ok alles andere Fehler: " &$valHDDc
)
;Laufwerkstyp von Laufwerk D: abfragen.
$varDriveTypeD
= DriveGetType( "d:\"
)
;Ist Laufwerk D: eine Festplatte? Wenn ja (Fixed) dann auch sichern.
If $varDriveTypeD
= "Fixed"
Then
;Start Sicherung Festplatte D:
$valHDDd =
RunWait("c:\_Sicherung\snapshot.exe
d: y:\Drivesnapshot-Images\$computername\20$date\$computername-$disk-$date-drivesnapshot-$type.sna
--ALLWriters -Gx --LogFile:y:\Drivesnapshot-Images\$computername\20$date\_logfile.txt")
;Errorlevel in Logfile speichern.
FileWriteLine($file
,
"Sicherungsergebnis Festplatte D 0=ok alles andere Fehler:
" &$valHDDd
)
EndIf
;Laufwerkstyp von Laufwerk E: abfragen.
$varDriveTypeE =
DriveGetType(
"e:\" )
;MsgBox(4096, "Drive Type:", $varDriveTypeD)
;Ist Laufwerk E eine Festplatte? Wenn ja (Fixed) dann auch sichern.
If $varDriveTypeE
= "Fixed"
Then
;Start Sicherung Festplatte E:
$valHDDe =
RunWait("c:\_Sicherung\snapshot.exe
e: y:\Drivesnapshot-Images\$computername\20$date\$computername-$disk-$date-drivesnapshot-$type.sna
--ALLWriters -Gx --LogFile:y:\Drivesnapshot-Images\$computername\20$date\_logfile.txt")
;Errorlevel in Logfile speichern.
FileWriteLine($file,
"Sicherungsergebnis Festplatte E 0=ok alles andere Fehler:
" &$valHDDe
)
EndIf
;###Ende Sicherung###
;##
;#
;Uhrzeit Sicherungsende im Logfile speichern.
FileWriteLine($file
, "Sicherungsende: "
&_Now
() )
;$iDateCalc = _DateDiff( 's',$varStartzeit,_NowCalc())
;MsgBox( 4096, "", "Differenz" & $iDateCalc )
;Sicherungsdauer errechnen und im Logfile speichern.
FileWriteLine($file
, "Sicherungsdauer in Minuten: "
&_DateDiff
( 'n',$varStartzeit,_NowCalc
()) )
;Logfile schließen.
FileClose($file
)
;Netzlaufwerke abmelden
DriveMapDel("y:")
;Meldungstext ausblenden (falls oben aktiviert).
;SplashOff()
Das AutoIt Script muss nach Anpassung, mit der AutoIt Funktion 'Compile Script to .exe (x86)' (siehe Startmenü), in eine ausführbare '.exe-Datei' kompiliert werden.
Danach trägt man die Sicherung nur noch als geplante Aufgabe (geplanter Task), in der Windows 'Aufgabenplanung' ein.
Hier noch ein paar Beispiel-Logfiles:
Zuerst betrachten wir das eigens erstellte kompakte Logfile.
Dieses ermöglicht uns einen schnellen Überblick ob die Sicherung geklappt hat und wie lange die Sicherung gedauert hat.
_Logfile_CTAAS-EX.txt
---[ CTAAS-EX: Letzte Ausführung siehe Ende Protokoll ]---
Sicherungsstart: 02.07.2014 02:00:02
Sicherungsergebnis Festplatte C 0=ok alles andere Fehler:
0
Sicherungsende: 02.07.2014 02:29:04
Sicherungsdauer in Minuten: 29
Ein Errorlevel von '0' bedeutet also: alles ok/kein Fehler.
Steht hier z. B. eine 6 ist das Sicherungsmedium voll.
Für ein ausführliches Logfile kann man auch das Drivesnapshot eigene Logfile ansehen.
Das Logfile findet man im Unterverzeichnis bei den jeweiligen Sicherungsdateien.
_logfile.txt
02:00:03 Start of Snapshot 1.42 [
Jan 4 2013] at 02.07.2014
02:00:04 Running on Windows Server 2008 R2 Standard 64-bit Service Pack 1 (7601)
02:00:04 Memory Info: Total: 4095Mb, Free: 231Mb, Pagefile total: 8189Mb, Pagefile free: 1246Mb
02:00:04 Command line:
c:\_Sicherung\snapshot.exe c: y:\Drivesnapshot-Images\$computername\20$date\$computername-$disk-$date-drivesnapshot-$type.sna --ALLWriters -Gx --LogFile:y:\Drivesnapshot-Images\$computername\20$date\_logfile.txt
02:00:06 Disks in backup:
02:00:06 c: -> y:\Drivesnapshot-Images\CTAAS-EX\20140702\CTAAS-EX-C-140702-drivesnapshot-ful.sna
02:00:06 Preparing for backup
02:00:18
Including all available VSS writers
02:00:19 Starting Snapshot creation
02:00:19 Creating shadow set {e1d81825-70c7-40a0-b82b-796bdedfaad7}
02:00:23 Register shadow copy {0f100bbe-099d-42bd-922c-931c9a3b589a}
02:00:23 The Volume Snapshot was created successfully
02:00:24 Start VSS backup of c: -> y:\Drivesnapshot-Images\CTAAS-EX\20140702\CTAAS-EX-C-140702-drivesnapshot-ful.sna
02:00:25 free space info: total 130.969MB, 73.191MB free,
50.682MB must be saved
02:28:57 c: 57.778MB in use -
stored in 27.259MB -
28:34 minutes
02:28:58
Success
02:29:02 Deleting previously generated shadow copy
02:29:02 Unregister shadow copy {0f100bbe-099d-42bd-922c-931c9a3b589a}
02:29:03 End of Snapshot 1.42 [Jan 4 2013] at 02.07.2014
welcher VSS verwendet wird, Start und Ende der Sicherung (Datum & Uhrzeit),
die Menge der gesicherten Daten (original) und auf welche Größe sie komprimiert wurden,
die Sicherungsdauer, den Sicherungserfolg und natürlich auch ggf. Fehler.
Die Auswertung der Logfiles kann nun manuell erfolgen, oder man erweitert die Scripte entsprechend, das je nach ERRORLEVEL verschiedenste Benachrichtigungen ausgeführt werden.
Man sollte zum mindestens folgende zwei häufiger auftretende Szenarien auf jeden Fall testen:
1. NAS/Sicherungsfreigabe voll (Speicherplatz nicht ausreichend) (ERRORLEVEL = 6).
2. NAS/Sicherungsfreigabe nicht erreichbar (Netzwerkfehler, Band nicht korrekt eingelegt/fehlt/defekt).
V Raumpostfächer:
Zunächst sollte man für die Raumpostfächer eine separate 'Organisationseinheit' im Active Directory anlegen:
Ich würde die OU z. B. wie folgt benennen (Firmenname + Anhang): 'ctaas_Raumpostfach' oder 'ctaas_rooms' oder 'ctaas_places'.
Die Angelegte OU Ordnet sich entsprechend ein.
Die Raumpostfächer werden an der gleichen Stelle wie normale User Postfächer angelegt.
Nur das man beim Start hier [* Raumpostfach] auswählen muss.
Hier wählen wir [Neuer Benutzer] und [Weiter >].
Für den Raum wird im Active Directory ebenso ein Postfach angelegt, allerdings wird das Benutzerkonto deaktiviert.
Wählt hier über Durchsuchen die zuvor angelegte OU für die Raumpostfächer aus.
Tragt einen eindeutigen Namen und einen Anmeldename ein:
Die Postfacheinstellungen habe ich nicht verändert, klickt auf [Weiter >].
Hier noch einmal der Verwaltungsshellbefehl:
Rufen wir zunächst die Eigenschaften des soeben angelegten Raumpostfaches auf:
Hier kann man festlegen welche Informationen im Kalender angezeigt werden.
Resourcenbuchungsautomatik:
Eingabe der Kapazität z. B. in Sitzplätzen (hier 250).
Ressourcenrichtlinie:
Hier kann man einen Stellvertreter für diesen einen Raum festlegen. Der Stellvertreter kann z. B. Konflikte lösen oder Termine absagen.
Ist der Haken [* Besprechungsanfragen an Stellvertreter weiterleiten] gesetzt, dann wird dieser bei jeder Buchung des Raumes informiert.
Der Raum sollte nun für alle zur Verfügung stehen.
Die Rechte werden ggf. erst nach einer erneuten Ab- und Anmeldung übernommen.
Optional kann man dem 'Admin' noch den Vollzugriff gewähren:
Standardmäßig kann nur der Exchangserver selbst und das System komplett auf das Raumpostfach zugreifen.
Will man einem eigenen Pseudo 'Admin' den Vollzugriff ermöglichen, so fügt man diesen hier extra hinzu.
Die Vollzugriffsrechte werden debei nur für dieses eine spezielle Postfach gesetzt.
Die Zugriffsrechte für andere Anwender weist man am einfachsten mit Outlook zu.
Klickt dazu das angelegte Raumpostfach (hier Beispielsweise den "Fahrzeugkalender") mit der rechten Maustaste an und ruft die [Eigenschaften] auf.
Auf dem Karteireiter [Berechtigungen] kann man dann die Zugriffsrechte für alle Anwender entsprechend anpassen (fügt hier ggf. die benötigten Mitarbeiter hinzu).
Ergänzender Hinweis:
Im Outlook Web App klappte bei mir keine Rechtezuweisung.
Verwendet daher für die Anwender Rechtezuweisung eine richtige installierte Office/Outlook Installation.
Tipp:
Verwendet man die Berechtigungsstufe [Autor], dann können Anwender nur eigene Termine (Reservierungen) anlegen, bearbeiten und löschen (meist Empfohlen).
Termine (Reservierungen) von anderen Mitarbeitern können die Anwender dann nur eingesehen und nicht ändern oder löschen (es ist keine Manipulation untereinander möglich).
Hat man mehrere Mitarbeiter die alle dieselben Rechte benötigen - wie Beispielsweise hier beim "Fahrzeugkalender", dann sollte man direkt die vordefinierte [Standard]-Berechtigungsstufe anpassen. Hier im Beispiel wurde diese z. B. auf [Autor] geändert.
Alternativ kann man natürlich hier auch einzelne Mitarbeiter oder Gruppen separat hinzufügen.
Links:
freigabe eines Kalenders
W Verteilergruppen:
Verteilergruppen dienen dazu um einzelne E-Mails an mehrere User gleichzeitig zu versenden.
Also z. B. der Versand von einem Newsletter an alle Kunden,
oder der Versand einer E-Mail an alle Mitarbeiter einer bestimmten Abteilung,
oder ein Versand einer E-Mail an alle Mitarbeiter - Abteilungsübergreifend.
Die Verteilerguppen werden im Active Directory abgelegt, wer mag kann hier eine extra Organisationseinheit anlegen.
Nun müssen noch die entsprechenden User der Abteilungen usw. hinzugefügt werden.
Hierzu rufen wir die Eigenschaften auf.
Hier klickt man auf den Karteireiter [Mitglieder] und dort auf [+ Hinzufügen].
Fügt dort alle Mitglieder der entsprechenden Abteilung hinzu.
Die Verteilergruppe ist ab sofort für alle Nutzer verfügbar.
X Exchange 2010 Zertifikat verlängern:
Standardmäßig wird vom Exchange-Server ein selbst signiertes Zertifikat installiert, welches 5 Jahre Gültigkeit besitzt.
Zu finden ist dies hier:
Klickt man das Zertifikat an und wählt dann rechts [Öffnen], dann kann man die Gültigkeitsdauer des Zertifikates einsehen.
Läuft ein Zertifikat bald ab, so sollte man dieses erneuern. Makiert das noch nicht abgelaufene Zertifikat an und klickt dann rechts auf [Exchange-Zertifikat erneuern].
Alle zuvor verwendeten Dienste werden in der Regel 1:1 übernommen. Hier also nichts verändern und unten auf [Erneuern] klicken.
Die Frage ob das vorhandene SMTP-Standardzertifikat überschrieben werden soll empfehle ich mit [Ja, alle] zu beantworten.
Hier sieht man, das das Zertifikat ohne Fehler erneuert wurde.
Lassen sie sich übrigens nicht durch das rote Kreuz irritieren - es ist alles ok.
- In Schritt 1 wurde ein neues Zertifikat erzeugt.
- In Schritt 2 wurden dem neuen Zertifikat alle notwendigen Services (Dienste) zugewiesen.
- Und in Schritt 3 wird dann das alte Zertikat gelöscht.
Der Assistent in der 'Exchange-Verwaltungskonsole' (siehe Screenshot) fürhrt diese Schritte alle automatisch aus.
Natürlich kann diese Schritte auch über die 'Exchange Management-Shell' (Exchange-Verwaltungsshell) durchführen.
Bei kleinen Installationen empfiehlt sich der Weg über die Konsole wie oben beschrieben, da unter anderem ein Abtippen der Thumbprint-IDs entfällt.
Y Autodiscover Microsoft Outlook & Weblinks & Sonstige Tipps:
Wenn man mit Microsoft Outlook am Client folgenden Fehler erhält (AutoErmittlungsdienst nicht gefunden/konfiguriert):
Konfigurieren von ... - Servereinstellungen für diese
Webseite zulassen?
https://autodiscover ... /Autodiscover/Autodiscover.xml
Das Konto wurde für die Einstellungen auf diese Webseite umgeleitet.
Sie sollten nur Einstellungen aus Quellen zulassen, die Sie kennen
und denen Sie vertrauen.
[ ] Zukünftig nicht mehr zu dieser Webseite fragen
[Zulassen] [Abbrechen]
Hier den Fehler nochmal als Bild:
Dann können ggf. die folgenden Registry Einträge helfen (Downloadlink):
Windows Registry Editor Version 5.00
;Office 2013
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\AutoDiscover]
"ExcludeScpLookup"=dword:00000001
"ExcludeHttpRedirect"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001
"ExcludeHttpsRootDomain"=dword:00000001
"PreferLocalXML"=dword:00000001
"ExcludeSrvRecord"=dword:00000001
;Office2010
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\AutoDiscover]
"ExcludeScpLookup"=dword:00000001
"ExcludeHttpRedirect"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001
"ExcludeHttpsRootDomain"=dword:00000001
"PreferLocalXML"=dword:00000001
"ExcludeSrvRecord"=dword:00000001
;Office2007
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\AutoDiscover]
"ExcludeScpLookup"=dword:00000001
"ExcludeHttpRedirect"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001
"ExcludeHttpsRootDomain"=dword:00000001
"PreferLocalXML"=dword:00000001
"ExcludeSrvRecord"=dword:00000001
Hinweis: Dieser hier beschriebene "Fix" klappt wahrscheinlich nur bei alten Exchange/Outlook Versionen.
In dem hier beschriebenen Tutorial (Exchange Server 2010 - mitlerweile veraltet) erfüllen diese Einträge die gewünschten Zwecke.
Ab Exchange Server 2016/Outlook 2016 und neuer kommt man um eine Konfiguration vom AutoErmittlungsdienst/Autodiscover/DNS nicht mehr herum.
❑ Weblinks und abschließende Hinweise:
Hier noch eine Auflistung von POP3-Sammlern (ohne Wertung):
jam-software.de/smartpop2exchange/index.shtml
roth-web.com/index.html
servolutions.de/popcon.htm
Probleme die beim POP3 Sammeln auftreten können:
http://www.msxfaq.de/internet/pop3probleme.htm
http://www.msxfaq.de/internet/pop3sammler.htm
externe Links zu Foren und Dokumentationen:
msxforum.de - MS-Exchange-Forum.
technet.microsoft.com/de-de/library/bb124558%28v=exchg.141%29.aspx - Die TechNet Dokumentation für Exchange bei Microsoft direkt.
servolutions.de/support.htm - Sammlung von Fragen.
frankysweb.de - Exchange Blog unter anderem Raumpostfächer.
Die Nutzung der Anleitung erfolgt auf eigene Gefahr, für jegliche Schäden wird keine Garantie/Haftung übernommen.
IP-Adressen, E-Mailadressen, Namen u. ä. wurden für die Dokumentation geändert, hacken ist also zwecklos.
Die Dokumentation entstand aus verschiedenen Tests, sowie produktiven Installationen. Diese Anleitung stellt somit eine Zusammenfassung wichtiger und empfohlener Schritte dar.
Bevor Sie eventuell Fragen stellen bitte ich sie die Dokumentation komplett zu lesen. Hinweise auf Fehler, Anregungen, Danksagungen oder ähnliches sind immer willkommen.
Design:
© ctaas.de, A. Schröder, Kahla [Impressum]