Es wurden neue Updates für alle Exchange Server Versionen veröffentlicht. Auch Exchange 2010 befindet sich darunter. Hier geht es direkt zum Download:

• Exchange Server 2016 CU8
• Exchange Server 2013 CU19
• Exchange Server 2010 UR 19 

Hier geht es zu den Details der Änderungen:

• Exchange Server 2016 CU8
• Exchange Server 2013 CU19
• Exchange Server 2010 UR 19

Artikel zu den Updates auf dem Exchange Team Blog:

• Exchange Team Blog

Für mich persönlich sind dies die wichtigsten Neuerungen für Exchange 2016:

• NET Framework 4.7.1 wird nun von Exchange 2013 und Exchange 2016 unterstützt. Zuerst sollte das aktuelle CU installiert werden, danach die NET Version.
• TLS Einstellungen werden nicht mehr von CUs zurückgesetzt, sondern beibehalten.

Hier findet sich ein Artikel über Punkte die bei der Installation von CUs für Exchange 2016 beachtet werden müssen:

Exchange 2016: Kumulative Updates (CU) installieren

Insbesondere der Windows Defender und andere Virenscanner sollten für die Dauer der Installation deaktiviert werden, diese verursachen gern mal Probleme während der Aktualisierung. Der Windows Defender sorgt insbesondere dafür, das Exchange CUs mehrere Stunden für die Installation benötigen.

Auch die Server Component States sollten nach der Installation eines Updates kontrolliert werden, hier finden sich entsprechende Informationen:

Exchange 2016: Server Component States

Der Beitrag Exchange Server: Neue Updates (Dezember 2017) erschien zuerst auf Frankys Web.

Nach der Installation von Windows Updates auf einem Exchange 2016 Server, funktionierte OWA auf einem meiner Testserver nicht mehr. Im Browser wurde die Fehlermeldung “Serverfehler in der Anwendung /owa” angezeigt:

Im Ereignisprotokoll des betreffenden Servers war der Event mit der Ereignis-ID 2001 zu sehen:

[Owa] Failed to load SSL certificate.

Auch das Event mit der Ereignis-ID 1309 wurde beim Versuch auf OWA zuzugreifen ausgelöst:

Scheinbar hat mein IIS nach den Update sein Zertifikat “vergessen”. In den Sitebindungen der “Default Web Site” im IIS Manager war für beide https-Bindungen kein Zertifikat mehr ausgewählt:

Ich habe das korrekte Zertifikat wieder zugewiesen. Schon klappt der Zugriff wieder. hat jemand ähnliches nach den letzten Windows Updates beobachtet? Ich werde jetzt erst einmal das aktuelle Exchange CU 8 installieren, mal sehen ob es da auch Überraschungen gibt.

Der Beitrag Exchange 2016: Serverfehler in der Anwendung /owa erschien zuerst auf Frankys Web.

Es wurde das Update 3 für Veeam Backup & Replication 9.5 veröffentlicht. Damit setzt Veeam seinen Weg fort nicht mehr jährlich neue Major-Versionen einzuführen, sondern in Updates nicht nur Fehlerbehebungen, sondern auch neue Features einzufügen. Eines der großen neuen Features, auf das viele sicher seit erscheinen des Veeam Agent für Windows / Linux (vormals Veeam Endpoint Backup) gewartet haben, ist das Deployment und Management der Agents durch die Backup & Replication Konsole.

Die kompletten Release Notes und den Download findet ihr wie immer in der Knowledge Base auf veeam.com

Neue Ansicht

Neben der Auffrischung der Konsole durch neue Symbole, die jetzt noch deutlicher den Unterschied zwischen einem Backup (Copy) Job und einem Veeam Agent Job kennzeichnen, wurde auch ein Menüpunkt geändert und heißt jetzt „Inventory“:

Im Punkt Inventory finden wir jetzt die Aufstellung unserer virtuellen Umgebung, wie früher auch schon, neu hinzugekommen ist der Punkt „Physical & Cloud Infrastructure.
Hierüber können Protection Groups, Jobs und Policies sowie Wiederherstellungen verwaltet werden.

Die Protection Groups

Protection Groups umfassen eine Zusammenstellung von Geräten entweder basierend auf statischen Daten wie IP-Adressen und DNS Namen, Active Directory Objekten (z.B. OUs oder Sicherheitsgruppen), oder einer freigegebenen CSV Dateien, die eine Liste von Geräten enthält.

Der typischste Fall dürfte wohl eine Erstellung auf Basis einer Active Directory Umgebung sein. Hier gilt es eine oder mehrere OUs, oder Gruppen auszuwählen, deren Mitglieder verwaltet werden sollen.
Das Definieren von Ausnahmen ist ebenfalls möglich. Standardmäßig werden übrigens virtuelle Maschinen sowie alle Computer die sich seit 30 Tagen nicht angemeldet haben ausgeschlossen.

Festzulegen sind natürlich noch, wie bei Veeam gewohnt, die Anmeldedaten. Diese lassen global für alle gewählten Geräte einmal auswählen, für einzelne Geräte / OUs / Gruppen können aber auch eigene Anmeldedaten vergeben werden.

Unter den Optionen lässt sich einstellen in welchen Abständen die unter Active Directory festgelegten Objekte auf Änderungen hin untersucht werden sollen. Hier bietet es sich natürlich an einen Zeitpunkt, oder Intervall, zu wählen in denen die Geräte auch erreichbar sind, so dass dann auch Updates der Agents durchgeführt werden können. Ebenfalls lässt sich ein Distribution Server festlegen. Dies ist sicher sinnvoll wenn man in größeren, verteilten Umgebungen arbeitet um die WAN Strecken zu entlasten. Interessant ist auch das automatische Installieren des Backup Agents sowie dessen automatische Aktualisierung:

Im Anschluss an die Erstellung der Protection Group findet ein Scan der Mitglieder der Gruppe statt. Jedes Mitglied wird auf Aktualität / vorhanden sein des Agents hin geprüft und erhält diesen automatisch.

Jobs über Veeam erstellen und verwalten:

Um einen Backup Job zu erstellen gelangt man nach dem Klick auf „Create Job or Policy“ in die Startansicht der Konsole und kann hier via Backup Job -> Windows Computer einen neuen Job erstellen. Unterscheiden lässt sich in der Art des Jobs zwischen Workstation, Server, oder Failover Cluster.

Empfohlen für Clients ist der Workstation Modus in Verbindung mit dem Modus „Managed by Agent“. Dann lässt sich, wie zuvor am Agenten selbst, festlegen das bei bestimmten Ereignissen, bspw. dem Sperren des Bildschirms, ein Backup erstellt werden soll. Auch die Auswahl des Backupziels ist einstellbar (lokaler Speicher, Netzwerkfreigabe, Veeam Server).
Zu den übrigen Modi gibt es feine Unterschiede: So kann bei Auswahl des Typs Workstation nur die Steuerung des Backups durch den Agenten ausgewählt werden. Bei Typ Server ist auch die Auswahl „Managed by backup server“ möglich, dann kann als Storage nur ein Veeam Repository ausgewählt werden, jedoch steht dann auch die Angabe von Daten für das application-aware processing zur Verfügung.

Lizenz erforderlich!

Für alle zu sichernden Geräte ist allerdings eine Lizenz erforderlich. Entweder eine Workstation, oder Server Lizenz. Diese hat nichts mit Veeam Backup & Replication selbst zu tun, dies ist separat zu lizenzieren.

Fazit

Mit Update 3 für Veeam Backup & Replication ist Veeam ein großer Sprung nach vorne gelungen. Die zentrale Verwaltung von Client Backups ist aus meiner Sicht der entscheidende Punkt gewesen, der Unternehmen daran hinderte den Veeam Agent für Windows in Umgebungen einzusetzen, in denen die Turnschuhadministration nicht mehr praktikabel ist. Sobald erste Erfahrungswerte aus der täglichen Arbeit mit Protection Groups vorliegen werde ich den Artikel aktualisieren – ich gehe aber davon aus, dass sich nicht all zu viel ändern wird, denn unter der Haube werkelt am Client ja nach wie vor der Veeam Agent für Windows.

Der Beitrag Veeam Backup & Replication 9.5 Update 3 veröffentlicht erschien zuerst auf Frankys Web.

Ich wünsche allen Lesern, Freunden und Unterstützern ein fröhliche und besinnliche Weihnachten. Ich möchte auch mal –Danke- sagen, für die vielen netten Mails und Kommentare, die hier hinterlassen wurden.

Leider habe ich es dieses Jahr nicht geschafft auf jede E-Mail oder Kommentar zu antworten, dass hatte ich mir eigentlich als Ziel gesetzt…

Ich werde mir im neuen Jahr aber wieder mehr Zeit nehmen um Fragen und Kommentare zu beantworten.Jetzt ist aber erst einmal Weihnachten und daher auch etwas Ruhe angesagt. Ich hoffe ihr könnt das lange Wochenende genießen und euch ein paar schöne Tage machen.

Ein frohes und besinnliches Weihnachtsfest euch allen!

Im neuen Jahr wird es wieder einen etwas detaillierteren Rückblick auf das Jahr 2017 geben.

Der Beitrag Fröhliche Weihnachten! erschien zuerst auf Frankys Web.

Schon wieder ist ein Jahr rum und ich möchte daher alles Besuchern und Lesern von FrankysWeb ein frohes und vor allem gesundes neues Jahr wünschen.

Gefühlt ziehen die Jahre immer schneller ins Land, da bietet sich ja mal ein kleiner Rückblick an. Auch 2017 sind die Besucherzahlen wieder gestiegen, ich habe eigentlich nicht damit gerechnet, dass es noch einmal deutlich mehr wurden. Über 1,5 Millionen Besucher haben sich im Jahr 2017 hierher verirrt, eine gute halbe Million mehr als 2016.

Der am meisten aufgerufene Artikel stammt aus dem Jahr 2015 und war auch 2017 wieder auf Platz 1:

• Exchange 2010 und Outlook 2016 – Autodiscover

Dicht gefolgt von Platz 2:

• HowTo: Installation Exchange 2016 auf Windows Server 2016

Für den Artikel gibt es in Kürze eine aktualisierte Fassung, der sich um die Installation der aktuellen Exchange Version kümmert. Platz 3 geht an die Migrationsartikel:

Migration von Exchange 2010 zu Exchange 2016 (Teil 1)

Der teilt sich auf die restlichen Artikel auf. Auf dieser Seite gibt es mittlerweile 733 Beiträge. Auch die Downloadzahlen finde ich nicht schlecht. Das Autodiscover Whitepaper wurde über 15000 mal runtergeladen.

Für das Jahr 2018 habe ich auch schon ein paar Ideen und Vorstellungen. Ein großer Punkt ist das Whitepaper zu Exchange und Zertifikaten, welches ich eigentlich schon letztes Jahr fertig haben wollte. Auch die Zusammenarbeit mit anderen Leuten möchte ich weiter ausbauen. 2017 hatte ich dazu einen kleinen Aufruf gestartet, wer Interesse hat hier eigene Artikel zu veröffentlichen. Bisher sind hier 7 Artikel veröffentlicht worden, die nicht an meiner Tastatur entstanden sind. Allen Beteiligten dafür ein großes Dankeschön! Wer Lust hat an dieser Seite mitzuwirken, kann sich gerne melden.

Ich habe mir ebenfalls vorgenommen, 2018 wieder mehr auf Kommentare und Fragen zu antworten. Aus Zeitmangel hat dies im letzten Jahr leider nicht immer gut geklappt.

Verbesserungsvorschläge, Anregungen und Themenwünsche können gerne über das Kontaktformular gesendet werden.

In diesem Sinne: Allen ein frohes neues Jahr!

Der Beitrag Frohes Neues! erschien zuerst auf Frankys Web.

In einem früheren Artikel hatte ich bereits darauf hingewiesen, dass es wichtig ist, die NET Abhängigkeiten von Exchange zu berücksichtigen. In der Theorie sind alle Exchange Updates kumulativ, sprich das aktuelle CU enthält die kompletten Installationsdateien sowie alle vorangegangen Patches. Mit dem CU lässt sich also eine Neuinstallation durchführen, sowie eine vorhandene Installation aktualisieren. In der Theorie lässt sich somit auch beispielsweise eine Exchange 2013 RTM Installation direkt auf das aktuelle CU aktualisieren. Dies ist aber eben nur in der Theorie der Fall, denn es gibt die Abhängigkeiten zur eingesetzten und unterstützen NET Framework Version.

Michel de Rooij hat dazu eine schöne Grafik für die Abhängigkeiten der NET Framework Versionen zur Exchange Version erstellt, in der deutlich wird, dass beim der Aktualisierung einer alten Exchange 2013 Installation mitunter Zwischenschritte nötig sind:

Quelle: Michel de Rooij – Upgrade Paths for CU’s & .NET

In der Grafik wird das Problem schon deutlich: Eine Exchange 2013 Installation mit CU4, kann nicht direkt zu CU19 aktualisiert werden, denn CU4 unterstützt kein NET Framework 4.6.2. NET 4.6.2 ist aber wiederum Voraussetzung für CU19.

Die Installation muss also zunächst auf CU15 aktualisiert werden, danach kann die NET Framework auf NET 4.6.2 aktualisiert werden und erst jetzt kann Exchange 2013 CU19 installiert werden. Der nächste Zwischenschritt steht dann auch schon wieder in den Startlöchern, denn für zukünftige CUs wird NET Framework 4.7.1 Voraussetzung sein (Diese Abhängigkeiten gibt es auch bei Exchange 2016).

Soweit erst einmal zur Problematik, es muss halt aktuell der Zwischenschritt über CU15 gegangen werden, um eine alte Exchange 2013 Installation auf den aktuellen Stand zu bringen. Der Stolperstein liegt eher an einer ganz anderen Stelle:

Woher das CU15 nehmen?

Microsoft bietet das CU15 für Exchange 2013 nicht mehr direkt als Download an, der Link zum alten CU15 Download führt ins Leere und die Update Seite enthält lediglich den Hinweis, dass es bereits ein neueres Update gibt. Im Technet gibt es dazu bereits einen ernüchternden Thread:

• Installing Exchange 2013 CU19 on Exchange 2013 CU13

Die Antwort ist allerdings erst einmal wenig hilfreich: Contact Microsoft…

Wer das CU15 noch irgendwo auf der Platte hat, sollte es aktuell lieber nicht löschen. Man könnte es ja noch einmal gebrauchen…

Ich habe mir erlaubt eine Anfrage an MS zu stellen, um zu erfahren ob es wirklich nötig ist den Support zu kontaktieren um einen Downloadlink zum CU15 zu erhalten. Sobald ich eine Antwort habe, werde ich den Artikel aktualisieren.

Der Beitrag Exchange 2013: Stolperstein beim Update einer alten Version auf das aktuelle CU erschien zuerst auf Frankys Web.

Der vorige Artikel ist mittlerweile etwas älter, daher gibt es an dieser Stelle ein aktualisiertes HowTo zur Installation von Exchange 2016 ab CU8 auf Windows Server 2016. Bei diesem HowTo handelt es sich nicht um das Update einer vorhanden Installation, sondern um eine Neu-/Erstinstallation auf Windows Server 2016. Ein HowTo zur Aktualisierung von Exchange Installationen findet sich hier.

Exchange 2016 kann nur auf Windows Server 2016 mit GUI (Desktop Experience) installiert werden. Server 2016 Core und Nano Server werden nicht unterstützt. Das Active Directory Gesamtstrukturfunktionslevel muss mindestens Windows Server 2008 R2 entsprechen. Ältere Funktionslevel werden nicht mehr unterstützt.

Exchange 2016 CU8 unterstützt .NET Framework in der Version 4.7.1. Neuere NET Framework Versionen können Probleme verursachen und sollten daher nicht installiert werden. Hier gilt es die Exchange Support Matrix zu prüfen.

Windows Server 2016 vorbereiten

Vor der Exchange Server Installation sollte temporär Windows Defender abgeschaltet werden. Es kann sonst zu einer längeren Installationszeit und anderen Problemen kommen:

Nach der Exchange Installation kann Windows Defender entsprechend konfiguriert und wieder eingeschaltet werden (siehe unten).

Page File fest einstellen

Die Größe der Auslagerungsdatei sollte fest auf die Größe des Arbeitsspeichers plus 10 MB eingestellt werden. Bei 10 GB RAM (10240 MB + 10 MB) macht das eine feste Größe der Auslagerungsdatei von 10250 MB:

Wenn der Exchange Server über 32 GB oder mehr RAM verfügt, gilt als maximale Größe 32778 MB für die Auslagerungsdatei. Bei 64 GB RAM bleibt es also bei 32778 MB für das Page File.

Hinweis: Exchange Server sollten nicht mehr als 196 GB RAM haben, wird Exchange auf physischen Servern betrieben, sollte HyperThreading deaktiviert werden.

Je nach Umgebung und Storage kann es Sinn machen das Page File auf eine separate Disk zu legen. Wenn das Page File wie oben zu sehen auf Laufwerk C: liegt, sollte C: entsprechend groß dimensioniert sein.

Für die Installation von Exchange empfehle ich eine separate Disk zu verwenden. ob es sich dabei nun um eine separate virtuelle Festplatte oder um ein eigenes Array/JBOD handelt, hängt dabei von der Umgebung ab.

Für virtuelle Exchange Server wäre zum Beispiel ein typisches Setup

• C: VMDK oder VHDX an Controller 1 für das Betriebssystem (~70GB + Page File GB)
• D: VMDK oder VHDX an Controller 1 für Exchange Installation (150 GB)
• E: VMDK oder VHDX an Controller 2 für Datenbanken / Logs

Exchange Voraussetzungen installieren

Exchange benötigt einige Windows Features als Voraussetzung für die Installation, diese können bequem per PowerShell installiert werden:

Install-WindowsFeature NET-WCF-HTTP-Activation45, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

Nach der Installation der Windows Features, muss noch die UCMA Runtime 4 installiert werden:

Unified Communications Managed API 4.0 Runtime

Exchange 2016 CU8 unterstützt .NET Framework 4.7.1, welches noch nicht Bestandsteil der Windows Server GUI Installation ist. NET Framework 4.7.1 kann entweder über Windows Update installiert werden, oder per Offline Installer. Der entsprechende Download findet sich hier:

• Microsoft .NET Framework 4.7.1 (Offlineinstaller)

Jetzt sollte noch ein Neustart des Servers erfolgen, dann kann mit der Exchange Installation begonnen werden.

Active Directory Schema Update

Bei größeren Active Directory Umgebungen mit mehreren Standorten und AD-Domänen muss das Schema Update für Exchange manuell ausgeführt werden und die vollständige Replikation abgewartet werden.

In kleinen Umgebungen, mit nur einer Domain und am gleichen Standort, kann in der Regel das Schema Update auch durch das Exchange Setup durchgeführt werden.

Um das Active Directory Schema zu aktualisieren und alle Domänen in der Gesamtstruktur vorzubereiten können die folgenden Befehle verwendet werden:

Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
Setup.exe /PrepareAD /OrganizationName:"ExchangeOrganisationName" /IAcceptExchangeServerLicenseTerms
Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms

Nähere Informationen zum Schema Update finden sich hier:

• Prepare Active Directory and domains

Exchange 2016 installieren

Die Installation ist nach der Vorbereitung einfach, daher gibt es an dieser Stelle nur die Screenshots und wenn nötig einen kurzen Kommentar.

Nach Updates muss in der Regel nicht gesucht werden, wenn bereits das aktuelle CU zur Installation benutzt wird:

Ich wähle an dieser Stelle immer “Empfohlene Einstellungen nicht verwenden”, denn so lässt sich der Pfad der Installation und der Name der Organisation festlegen:

Da Exchange 2016 nur noch über die Postfachrolle verfügt (Ausnahme Edge Rolle), muss hier nur die Postfachrolle ausgewählt werden:

Die Installation von Exchange führe ich auf dem Laufwerk D: durch. Somit liegen auch keine Logs, Performance Daten, Queues, etc auf Laufwerk C:

Hier lässt sich nun der Name der Organisation festlegen:

Mit dem eingebauten Schadsoftwarefilter von Exchange habe ich bisher keine guten Erfahrungen gemacht. Ich deaktiviere das Feature daher. Welche Einstellung hier verwendet wird, bleibt jedem selbst überlassen:

In kleinen Umgebungen mit beispielsweise nur einer Active Directory Domain und einem Standort kann Exchange Setup das AD-Schema erweitern. In größeren Umgebungen mit mehren Standorten und/oder mehreren Domänen sollte das Schema Update vor der Installation manuell durchgeführt und die komplette Replikation abgewartet werden:

Das Exchange Setup benötigt dann etwas Geduld, die Installation eines Servers in meiner Testumgebung dauert immer gut eine Stunde.

Nach der Exchange Installation

Nach der Installation muss die Grundkonfiguration von Exchange zeitnah erfolgen. Grund hierfür ist, dass Autodiscover bereits per Active Directory SCP angeboten wird. Da Exchange 2016 nach der Installation noch ein selbst signiertes Zertifikat verwendet, kommt es hier unter Umständen zu Zertifikatsfehlern in Outlook.

Exchange Konfiguration abschließen

Die Grundkonfiguration für eine neue Exchange Installation findet sich hier:

• Exchange 2016: Die Basiskonfiguration
• Die HowTos zur Migration von Exchange 2016 finden sich hier:
• Howto: Migration von Exchange 2010 zu Exchange 2016

HowTo: Migration von Exchange 2013 zu Exchange 2016

Windows Defender konfigurieren

Windows Defender ist auf Windows Server 2016 per Default aktiviert. Da Exchange Server einige Ausschlüsse vom Virenscanner benötigt, müssen diese entsprechend auch in Windows Defender hinterlegt werden. Gleiches gilt für Virenscanner anderer Hersteller.

Auf dem Exchange Team Blog findet sich dazu folgender Hinweis:

Windows Defender is on by default in Windows Server 2016. Attention to malware settings is particularly important with Exchange to avoid long processing times during installation and upgrade, as well as unexpected performance issues. The Exchange team recommends the Exchange installation and setup log folders be excluded from scanning in Windows Defender and other Anti-Virus software. Exchange noderunner processes should also be excluded from Windows Defender.

Quelle: Exchange Team Blog

Im Technet sind die Ausschlüsse für Exchange 2016 hier dokumentiert:

• Running Windows antivirus software on Exchange 2016 servers

Die Liste ist allerdings lang, daher hat Exchange MVP Paul Cunningham ein Script veröffentlicht, welches die Ordner, Prozesse und Dateitypen übersichtlich in 3 Dateien einsortiert. Das Script gibt es hier zum Download:

• Generate Antivirus Exclusions for Exchange 2013 and 2016 Servers

Damit nicht alle Ausschlüsse manuell in Windows Defender eintragen werden müssen, habe ich hier ein entsprechendes Script erstellt, welches die Dateien von Paul’s Script benutzt und die Ausschlüsse per PowerShell zu Windows Defender hinzufügt:

• Exchange 2016: Virenscanner Ausschlüsse (Script für Windows Defender)

Nachdem die Ausnahmen eingetragen wurden, kann Windows Defender wieder aktiviert werden.

Leider hat sich der Windows Defender in der Vergangenheit nicht unbedingt mit Ruhm bekleckert. Ich rate daher dazu den Windows Defender zu deinstallieren, wenn ein anderer Virenscanner installiert wird:

• Server 2016: Windows Defender deinstallieren / anpassen

Und bei Fehlern während der Installation?

Während der Installation legt das Exchange Setup sehr detailierte Logs im Verzeichnis “C:\ExchangeSetupLogs” ab. Besonders die Datei “‪C:\ExchangeSetupLogs\ExchangeSetup.log” liefert wertvolle Informationen, wenn die Installation mal schief läuft.

Das Log sollte im Fehlerfall in Ruhe durchgegangen werden. Meistens steht im Log sehr genau, warum das Setup fehlgeschlagen ist. Nach der Behebung des Problems kann das Setup neu gestartet werden. Die Installation wird dann an der Stelle weitergeführt, an der es unterbrochen wurde (sofern das Problem behoben wurde).

Hinweis: Bei virtuellen Servern neigt Mancher gerne dazu im Fehlerfall einfach die VM zu löschen und “noch einmal von vorne zu beginnen”. Dies ist im Falle einer abgebrochenen Exchange Installation eher kontraproduktiv, da Setup in den meisten Fällen bereits Einstellungen im Active Directory vorgenommen hat. Hier müsste man dann erst wieder “Leichen” bereinigen. Es ist also sinnvoller, dass oben angegebene Log zu analysieren und das ursprüngliche Problem zu beheben. In der Regel läuft dann auch das neu gestartete Setup durch.

Der Beitrag HowTo: Installation Exchange 2016 CU8 auf Server 2016 erschien zuerst auf Frankys Web.

Auf der Ignite 2017 hat Microsoft die neue Exchange Version angekündigt. Exchange Server 2019 soll Mitte 2018 als Preview veröffentlicht werden und in der zweiten Jahreshälfte als RTM verfügbar sein. Ich freue mich daher schon darauf, dieses Jahr neue Beiträge zu Exchange 2019 schreiben zu können. Das Jahr dürfte also durchaus spannend werden, denn auch eine neue Outlook bzw. Office Version steht an.

Öffentlich verfügbar ist allerdings nicht viel mehr als die Ankündigung, dass es dieses Jahr eine neue Exchange und Outlook Version geben wird. Microsoft hält sich hier also an den üblichen Zeitplan alle 3 Jahre eine neue Version zu veröffentlichen. Wenn es also so wie bisher weitergeht, dann können wir die RTM Version von Exchange 2019 Ende des Jahres erwarten.

Exchange 2016 lag in der Preview am 22.07.2015 vor, die RTM Version wurde am 01.10.2015 veröffentlicht. Ich denke mit einem ähnlichen Fahrplan können wir auch für die neue Version rechnen.

Der folgende Artikel enthält nur Vermutungen und meine persönlichen Hoffnungen, die nicht als belegbare Fakten dienen können.

Ganz interessant könnten die Voraussetzungen für Exchange 2019 werden, gerade im Hinblick auf Active Directory und Betriebssystem welches Exchange 2019 unterstützen wird. Windows Server 2012 R2 wechselt schließlich dieses Jahr in den “Erweiterten Support”:

Quelle: Microsoft Lifecycle Richtlinie

Ich nehme an, dass Exchange 2019 noch Windows Server 2012 R2 als Active Directory Funktionslevel unterstützen wird, ob aber die Installation auf Windows Server 2012 R2 unterstützt wird, bleibt eher fraglich. Ich denke als Betriebssystem für Exchange 2019 wird Server 2016 Voraussetzung sein.

Mit Windows Server 2016 wurde die Lizensierung geändert, hier müssen jetzt wie bei diversen anderen Produkten CPU-Cores im Gegensatz zu CPU-Sockeln lizensiert werden. Dieses Lizenz Modell gibt es auch schon bei SQL Server, ob es auch in Exchange Server 2019 Einzug erhält? Ich hoffe nicht…

Etwas sicherer dürfte sein, dass es kein RPCoverHTTP mehr geben wird, seit Exchange 2016 ist MAPIoverHTTP das Standardprotokoll. RPCoverHTTPS (auch bekannt als Outlook Anywhere) wird schon jetzt von Office 365 nicht mehr unterstützt. Daher kann man wohl davon ausgehen, dass RPCoverHTTP nicht mehr in Exchange 2019 enthalten sein wird. Der Verzicht auf RPCoverHTTP sollte allerdings auch kein Problem sein, denn selbst Outlook 2010 kann mit entsprechendem Update MAPIoverHTTP sprechen.

Es ist allerdings ziemlich wahrscheinlich das Outlook 2010 nicht mehr als Client für Exchange Server 2019 unterstützt wird, ob es trotzdem funktioniert bleibt abzuwarten. Bisher wurden immer die aktuelle Outlook Version und die beiden vorherigen Outlook Versionen von Exchange unterstützt. Exchange 2016 unterstützt somit Outlook 2016 als aktuelle Version und Outlook 2010/2013 als vorherige Versionen. Bei Exchange 2019 dürfte es also mindestens Outlook 2013 vorausgesetzt werden.

Das Exchange Rollenmodell dürfte dieses Mal unverändert bleiben. Es wird also höchstwahrscheinlich nur noch die Mailbox Rolle geben, welche zusammengefasst die einzelnen Dienste enthält. Ich denke da wird sich im Vergleich zu Exchange 2016 nicht viel ändern. Die Zukunft der Edge Transport Rolle ist, meiner Meinung nach, allerdings mehr als fraglich. Ich vermute die Edge Rolle wird es nicht mehr geben, zumindest nicht mehr in der bekannten Form.

Neue Features werden wahrscheinlich nur im Detail erkennbar sein, ich vermute es wird sich hauptsächlich um Verbesserungen hinsichtlich der Skalierbarkeit und diversen Limits handeln. Denkbar wäre allerdings eine Art Storage Tiering für die Exchange Datenbanken mittels SSDs. Die erste Preview wird hier wahrscheinlich mehr Aufschluss geben. Die meisten Verbesserungen wird es wahrscheinlich im Zusammenhang mit Hybrid-Deployments geben. Gerade im Zusammenhang mit Berechtigungen und Vertretern in Hybrid-Szenarien muss sich hier einfach manches verbessern.

Die Migration vorhandener Exchange Organisationen wird ähnlich ablaufen wie die Migration von Exchange 2013 zu Exchange 2016. Eine direkte Migration von Exchange 2010 zu Exchange 2019 wird nicht unterstützt werden. Dies war in der Vergangenheit ebenfalls der Fall, denn Exchange 2007 konnte nicht direkt zu Exchange 2016 migriert werden (Unterstützung für aktuelle Version minus zwei Versionen). Das übliche Migrationsszenario dürfte also beibehalten werden: Neuen Exchange Server installieren, konfigurieren und Postfächer migrieren. Genauso dürfte es sich auch in größeren Umgebungen verhalten: Neue Exchange Server installieren, DAG und Loadbalancer konfigurieren, Postfächer verschieben.

Wir werden sehen, welche dieser Vermutungen sich erfüllen.

Der Beitrag Exchange 2019: Vermutungen zur neuen Version erschien zuerst auf Frankys Web.

Auf Exchange 2016 Servern wird mitunter das folgende Ereignis alle 30 Minuten in das Anwendungsprotokoll geschrieben:

Quelle: MSExchangeDiagnostics

Ereignis-ID: 1006

The performance counter ‚\\EXCHANGE\MSExchange Assistants – Per Database(msexchangemailboxassistants-fwdb)\Event Dispatchers Catching Up‘ sustained a value of ‚2.730,00‘, for the ’30‘ minute(s) interval starting at ‚10.01.2018 19:39:00‘. Threshold breached since ‚25.12.2017 21:09‘. None Trigger Name:EventDispatchersCatchupQueueTrigger. Instance:msexchangemailboxassistants-fwdb

Diesen Bug gab gab es auch schon in Exchange 2013. Der Workaround um die lästigen Einträge im Protokoll zu unterbinden funktioniert noch immer einwandfrei.

Im Exchange BIN Verzeichnis unter $exinstall\bin findet sich eine Datei mit folgenden Namen:

• Microsoft.Exchange.Diagnostics.Service.exe.config

In dieser Datei muss die Zeile mit folgenden Eintrag geändert werden:

<add Name=“Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.Triggers.EventDispatchersCatchupQueueTrigger“ Assembly=“Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.dll“ Enabled=“True“ Role=“Mailbox“/>

Die Zeile wird wie folgt abgeändert (Enabled=”false”):

<add Name=“Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.Triggers.EventDispatchersCatchupQueueTrigger“ Assembly=“Microsoft.Exchange.Diagnostics.Service.ExchangeJobs.dll“ Enabled=“false“ Role=“Mailbox“/>

In meinem Fall ist es die Zeile 1440:

Nachdem die Zeile geändert wurde, muss der Dienst “Microsoft Exchange-Diagnose” einmal neu gestartet werden.

Der Fehler wird nun nicht mehr in das Protokoll geschrieben.

Der Beitrag Exchange 2016: EventID 1006 – Event Dispatchers Catching Up erschien zuerst auf Frankys Web.

Die Exchange Message Tracking Logs sind nicht nur hilfreich um MailFlow Probleme zu analysieren, sondern eignen sich auch wunderbar um Statistiken zu erzeugen. Mein Script “Exchange Reporter” nutzt die Message Tracking Logs um einige Statistiken zu Empfangenen/Gesendeten Mails zu erzeugen. Ebenso baut die Message Tracking GUI auf den Message Tracking Logs auf. Der Exchange Reporter erzeugt allerdings nur sehr statische Statistiken und arbeitet zugegebenermaßen nicht gerade effizient. In kleinen Umgebungen funktioniert es noch recht gut die Message Tracking Logs mit der PowerShell zu durchsuchen, sobald die Umgebung aber etwas größer wird, klappt das nicht mehr wirklich gut.

Eher zufällig bin ich über eine sehr elegante Möglichkeit im Technet gestoßen. Bernhard Chouinard hat eine Vorlage für PowerBI veröffentlicht, welche es ermöglicht auch die Tracking Logs aus großen Umgebungen schnell und effizient zu visualisieren:

• Exchange 2010 and later – use PowerBI to visualize Message Tracking log stats and use as an User Profile Analyzer

Microsoft PowerBI kann kostenlos runtergeladen und genutzt werden und ist darauf ausgelegt große Datenmengen zu verarbeiten. Der Trick dabei ist, die Message Tracking Logs zunächst von den Exchange Servern auf den lokalen Rechner zu kopieren und dann mit PowerBI zu verarbeiten und darzustellen.

Alles was dazu benötigt wird gibt es hier zum Download:

• Microsoft PowerBI Desktop
• GetTrackingLog (Script zum Kopieren der MessageTrackingLogs)
• Ex_Trackinglog (PowerBI Vorlage)

Ich habe zum Test nur die Tracking Logs eines einzelnen Exchange Servers auf meinen Rechner kopiert. Dafür habe ich einen Ordner mit dem Servernamen (in diesem Fall heißt der Server einfach “Exchange”) im Ordner F:\TrackingLogs angelegt und die Exchange Message Tracking Logs in das Verzeichnis kopiert:

Bei mehreren Exchange Servern, werden einfach mehrere Verzeichnisse mit den entsprechenden Servernamen erzeugt (Bsp. F:\TrackingLogs\Exchange1; F:\Trackingslogs\Exchange2; etc). Der Pfad der Exchange Server Message Tracking Logs lässt sich einfach via PowerShell rausfinden:

Get-TransportService | ft name,MessageTrackingLogEnabled,MessageTrackingLogPath

Sobald die TrackingLogs auf den lokalen Rechner mit installiertem PoiwerBI kopiert wurden, kann die Vorlage von Bernhard Chouinard geladen werden (Ex_Trackinglog.pbix). Noch werden keine Daten angezeigt, da die Daten in einem anderen Verzeichnis erwartet werden. Es muss aber nur der Pfad zu den Message Tracking Logs angegeben werden, dies geschieht mit einem Klick auf “Abfragen bearbeiten”:

Der Pfad lässt sich dann unter der Variable “Var_LogFolder” anpassen:

In meinem Fall muss ich also nur den Pfad zum übergeordneten Ordner angeben. Die PowerBi Vorlage analysiert dann alle untergeordneten Verzeichnisse:

Nachdem der Pfad geändert wurde, können die Änderungen bestätigt werden:

Das Laden der Daten aus den Message Tracking Logs funktioniert dabei sehr schnell, im Vergleich zum CMDlet Get-MessageTrackingLog um Lichtjahre schneller:

Sobald die Daten geladen wurden, kann über das “Date”-Feld der Zeitraum ausgewählt werden, die Graphen werden dabei direkt aktualisiert. Hier lassen sich nun verschiedene Statistiken abrufen.Die Vorlage ist in 4 Seiten mit unterschiedlichen Statistiken unterteilt:

Bernhard hat dazu auch noch ein YouTube Video veröffentlicht in dem er beschreibt wie die Vorlage genutzt werden kann:

Da die Tracking Logs noch mehr Informationen liefern, lassen sich auch noch weitere Daten visualisieren. Ein bisschen Ausprobieren lohnt sich hier!

Der Beitrag Exchange Message Tracking Logs mit PowerBI visualisieren erschien zuerst auf Frankys Web.

Microsoft hat einen Artikel zu Exchange Server und Spectre (speculative execution side-channel) veröffentlicht. Da es sich hier um eine Schwachstelle in den Prozessoren handelt, sind auch Exchange Server betroffen. Es gibt ein paar Dinge zu beachten. Microsoft schreibt folgendes:

As these are hardware level attacks targeting x64-based and x86-based processor systems, all supported versions of Microsoft Exchange Server are impacted by this issue.

Quelle: Exchange Server guidance to protect against speculative execution side-channel vulnerabilities

Im Prinzip läuft es darauf hinaus die bereits veröffentlichten Updates für das Betriebssystem zu installieren, einen direktes Update für Exchange Server gibt es nicht:

• Windows Server guidance to protect against speculative execution side-channel vulnerabilities

Es gibt allerdings zu beachten, dass es nach der Installation des Updates zu Leistungseinbußen kommen kann (siehe Q4 im verlinkten Artikel). Außerdem kann es zu Problemen mit manchen Virenscannern kommen, Hier sollte vorher geprüft werden, ob der eingesetzte Virenscanner kompatibel ist. Ausführliche Tests sind also nötig.

Ebenso sollte in Verbindung mit AMD-Prozessoren das Update nicht installiert werden, da es zu Problemen beim Start kommen kann:

• Blockierung bei Sicherheitsupdates für das Windows-Betriebssystem für manche AMD-basierte Geräte

Mir wurde das Update nicht via Windows Update zum Download angeboten, ich habe es daher aus dem Windows Update Katalog runtergeladen und installiert:

Windows Update Katalog KB4056890

Ebenfalls wichtig: Da die Schwachstelle den Prozessor betrifft, muss auch der Hypervisor (Hyper-V, ESXi, etc) mit entsprechenden Updates versorgt werden, wenn die Server als VM betrieben werden. Es reicht nicht, nur die VM oder nur den Hypervisor zu aktualisieren. Auch hier kann es dann wieder zu Leistungseinbußen kommen.

Der Beitrag Exchange Server und Spectre erschien zuerst auf Frankys Web.

Das erste Treffen der Exchange User Group OWL (EUGO) im Jahr 2018 findet am 02.03.2018 wie gewohnt im Restaurant Allegro Habichtshöhe in Bielefeld statt.

Alle die Interesse haben in lockerer Atmosphäre über aktuelle Microsoft Technologien und Themen fachsimpeln, sind herzlich eingeladen. Eine feste Agenda haben wir nicht auf dem Program, wie gehabt möchten wir keinen starren Rahmen vorgeben, sondern die Diskussion und den Austausch untereinander fördern. Ganz gleich ob es dabei um Exchange Server oder andere Themen geht, der Austausch unter Gleichgesinnten steht im Vordergrund.

Die Anmeldung erfolgt wie gehabt über die separate EUGO Webseite:

Exchange User Group OWL (EUGO) Anmeldung

• Hier noch einmal Termin und Location:

Freitag den 02.03.2018 19:30 Uhr

Allegro Habichtshöhe in Bielefeld

Bodelschwinghstr. 79
33604 Bielefeld

Link: Google Maps

Link: Website Allegro Habichtshöhe

Also schnell Anmeldung und Termin blocken!

Der Beitrag EUGO: Erstes Treffen im neuen Jahr erschien zuerst auf Frankys Web.

Gerade habe ich eine aktualisierte Version des “Exchange Autodiscover Whitepaper” hochgeladen. Da sich im November 2017 das Verhalten von Outlook 2016 in Zusammenhang mit Autodiscover etwas geändert hat, habe ich das Whitepaper dahingehen angepasst.

Outlook bevorzugt nun Autodiscover in Verbindung mit Office 365, welches zu Problemen führt, wenn der Benutzer über ein Office 365 Konto verfügt. In diesem Fall kommt es zur Abfrage der Anmeldeinformationen. Das Setzen eines Registry Keys behebt das Problem.

Die aktualisierte Version kann hier kostenlos runtergeladen werden:

Exchange 2016: Umfangreiches Whitepaper zu Autodiscover

Für Anregungen, Kritik oder Fragen, kann das Kontaktformular verwendet werden.

Der Beitrag Exchange Autodiscover Whitepaper – Aktualisierte Version erschien zuerst auf Frankys Web.

Die Firma Proxmox aus Österreich hat hat den Spam-Filter “Mail Gateway” als Open Source unter der GNU AGPL v3 Lizenz veröffentlicht. Damit kann der Spam-Filter kostenlos eingesetzt werden. Ich suche schon etwas länger nach einem SPAM-Filter für Testumgebungen, daher schaue ich mir die Proxmox Lösung etwas genauer an.

Hier gibt es einen Überblick über die Funktionen:

Proxmox Mail Gateway Datasheet (PDF)

Die Community Lizenz kostet 99 EUR pro Jahr, man kann die Appliance allerdings auch ohne Subscription nutzen, muss dann allerdings auf Support und “getestete Updates”:

Proxmox Proxmox Mail Gateway is open-source software distributed under the GNU Afero GPL, v3 and
you have the freedom to download, use and modify the software for private or business use. So yes, you
can use Proxmox products without a subscription. Just be aware that if you choose to run Proxmox Mail
Gateway without the Enterprise Repository, you may have packages that are not always heavily tested and
validated.
Proxmox does not recommend using the no-subscription repository on a production server.

Quelle: Subscription Agreement

Mit dieser Einschränkung kann ich privat ganz gut leben. Ich habe es daher mal runtergeladen und werde es testen. Die Installation lief schon einmal reibungslos in meiner Testumgebung. Die Umgebung sieht dabei leicht anders aus, als Proxmox sich die Umgebung vorstellt:

Quelle: Proxmox

Das Mail Gateway steht bei mir nicht im Intranet, sondern in einer DMZ. Bezogen auf das Bild oben, steht also zwischen Mail Gateway und Mail Server (natürlich Exchange Server 2016), eine weitere Firewall Instanz.

Soweit zur Umgebung, die Installation lief auf Hyper-V in der Testumgebung problemlos, hier einmal ein paar Screenshots der Installation:

Nach der Installation konnte ich auch direkt via Browser auf das Gateway zugreifen:

Ich habe mich mal etwas umgeschaut, das WebGUI sieht auf den ersten Blick ganz aufgeräumt aus. Ich wollte dann eigentlich direkt das Zertifikat austauschen (Ich hasse Zertifikatsfehlermeldungen), dies ist jedoch nicht über das WebGUI möglich. Ein kurzer Blick in die Doku liefert aber die nötigen Shell Befehle. Bisher ist der erste Eindruck also ganz positiv.

Die Grenzen sind hier allerdings auch auf den ersten Blick erkennbar: Es handelt sich um einen klassischen SPAM-Filter, AntiSPAM, Virenscan, RBL, SPF etc. Eben die klassischen Filtertechniken. Andere Lösungen am Markt gehen da viel weiter: Data Loss Prevention, Sandboxing, Sanitization, Verschlüsseln/Entschlüsseln, Content Conversion, usw. Zwar gibt es dafür auch Open Source Lösungen, allerdings nicht vereint unter einem Hut, hier heißt es also “Selber machen” oder eben entsprechende fertige Lösungen kaufen (kostet allerdings auch meist “etwas” mehr).

Ich mache mich nun aber erst einmal die die Konfiguration und werde in den nächsten Tagen ein paar Tests durchführen, danach gibt es auch einen entsprechenden Artikel dazu.

Der Beitrag Open Source AntiSPAM Appliance: Proxmox Mail Gateway erschien zuerst auf Frankys Web.

Wenn Outlook das Offline Adressbuch (OAB) nicht von einem Exchange 2016 Server runterladen kann, wird die folgende Fehlermeldung angezeigt:

Fehler (0x8004010F) beim Ausführen der Aufgabe: Fehler beim Vorgang. Ein Objekt kann nicht gefunden werden.

Leider ist diese Fehlermeldung ziemlich allgemein gehalten und kann durch verschiedene Probleme hervorgerufen werden.

Die Ursache des Fehlers lag in diesem Fall bei der fehlenden Angabe des virtuellen Verzeichnisses für das Offline Adressbuch:

Get-OfflineAddressBook | fl name,VirtualDirectories

Wie in der Ausgabe zu sehen ist, ist für das OAB kein virtuelles Verzeichnis angegeben. Die virtuellen Verzeichnisse für das OAB lassen sich mit dem folgenden Befehl anzeigen:

Get-OabVirtualDirectory

Aus den Angaben lässt sich nun die Angabe des Verzeichnisses erstellen “Server\Name”, in diesem Fall also “Exchange\OAB (Default Web Site):

Get-OfflineAddressBook | Set-OfflineAddressBook -VirtualDirectories "Exchange\OAB (Default Web Site)"

Nachdem der Befehl ausgeführt wurde, liefert die Abfrage des OABs das gewünschte Ergebnis:

Damit die Änderungen wirksam werden, sind noch ein paar kleine Nacharbeiten nötig. Der Dienst “Microsoft Exchange-Postfach-Assistenten” muss neu gestartet werden:

Im IS-Manager wird dann noch der Anwendungspool “MSExchangeAutodiscoverAppPool” neu gestartet (wiederverwendet):

Zu guter Letzt muss jetzt noch das OAB aktualisiert werden. Dazu kann der folgende Befehl verwendet werden:

Get-OfflineAddressBook | Update-OfflineAddressBook

Nachdem das Offlineadressbuch aktualisiert wurde, funktioniert der Download durch Outlook auch wieder problemlos.

Wie schon eingangs erwähnt, ist dies nur eine von vielen möglichen Ursachen für den Fehler. Vielleicht hilft es ja trotzdem jemanden weiter.

Der Beitrag Exchange 2016: Offline Adressbuch (OAB) kann nicht runtergeladen werden (0x8004010F) erschien zuerst auf Frankys Web.

DKIM oder auch DomainKeys genannt, ist ein Verfahren um die Authentizität von E-Mails festzustellen. Die grundlegende Funktionsweise ist dabei recht einfach erklärt:

Der sendende Mailserver berechnet einen Hashwert für jede von ihm gesendete Mail und hängt diesen Hash an jede Mail im E-Mail Header an. Der empfangene Mailserver kann die Signatur auswerten und ebenfalls den Hash berechnen. Stimmt der im Mail Header angegebene Hash mit dem berechnetem Hash überein, ist sichergestellt, dass die Mail vom E-Mail Servers des Absenders stammt und nicht verändert wurde.

Damit der Hash nicht einfach während der Übertragung der Mail verändert werden kann, wird der Hash vom sendenden Mailserver verschlüsselt und vom empfangenden Mailserver entschlüsselt. Die Verschlüsslung basiert auf asymmetrischer Verschlüsselung und die erforderlichen Schlüssel können einfach selbst erstellt werden. Eine Zertifizierungsstelle wie bei SSL-Zertifikaten benötigt es dazu nicht.

RSA Schlüssel erstellen

Um DKIM nutzen zu können, wird ein privater Schlüssel und ein öffentlicher Schlüssel benötigt. Der öffentliche Schlüssel wird im DNS als TXT-Record veröffentlicht, der private Schlüssel dient zum signieren der Mail. Die entsprechenden Schlüssel können einfach selbst erzeugt werden. Mit dem Programm OpenSSL lässt sich unter Windows (und Linux) die entsprechenden Schlüssel für DKIM ziemlich einfach erstellen.

Für Windows Betriebssysteme wird zunächst OpenSSL benötigt, welches hier runtergeladen werden kann:

• https://wiki.openssl.org/index.php/Binaries

OpenSSL kann auf einem beliebigen Rechner installiert werden. In der Standardinstallation wird es unter “C:\Program Files (x86)\OpenSSL” installiert:

Nach der Installation, kann eine Eingabeaufforderung (cmd) mit Administrator Rechten gestartet werden. Mit dem folgenden Befehl muss dann zunächst in das Programverzeichnis von OpenSSL gewechselt werden:

cd "C:\Program Files (x86)\OpenSSL\bin"

Mit dem folgenden Befehl kann jetzt der private Schlüssel erstellt werden:

openssl.exe genrsa -out DKIM_Private_Key.key 2048

Der öffentliche Schlüssel wird dann mit dem folgenden Befehl erzeugt:

openssl.exe rsa -in DKIM_Private_Key.key -out DKIM_Public_Key.public -pubout -outform PEM

Im Verzeichnis liegen nun 2 Dateien, der Öffentliche Schlüssel “DKIM_Public_Key.public” und der private Schlüssel mit dem Namen “DKIM_Private_Key.key”:

Der öffentliche Schlüssel muss nun etwas bearbeitet werden, damit dieser später im DNS veröffentlicht werden kann. Aktuell enthält der Public Key (DKIM_Public_Key.public) mehrere Zeilen:

Die Zeilen mit “—–BEGIN PUBLIC KEY—–“ und “—–END PUBLIC KEY—–“ werden entfernt:

Danach werden die Zeilenumbrüche entfernt, der komplette Schlüssel steht nun in einer Zeile:

Hinweis: Unbedingt darauf achten, dass keine Zeichen des Schlüssels entfernt werden, der Schlüssel ist sonst ungültig.

DNS Eintrag erstellen

Damit DKIM funktioniert, muss ein entsprechender DNS-Eintrag erstellt werden. Es handelt es sich um einen TXT-Eintrag, ähnlich des TXT-Eintrags für SPF.

Der TXT-Record für DKIM wird hier beispielhaft bei dem Hoster Strato gesetzt. Die DNS Einstellungen finden sich im Kundencenter unter dem Punkt “Domainverwaltung”:

Hier können für die jeweilige Domain neue TXT-Records angelegt werden:

DKIM TXT-Records sind nach dem folgenden Schema aufgebaut:

keyselector._domainkey.domain.tld

Der “Keyselector” ist ein frei wählbarer Name um den DKIM Eintrag zu identifizieren. Es können also mehrere DKIM-Einträge existieren. Der Key Selector wird an eine DKIM signierte Mail im Header angegeben, sodass ein empfangender Mailserver daraus den entsprechenden DNS-Record zusammensetzen und abrufen kann.

Für den Wert werden die folgenden Optionen angegeben:

• v=DKIM1 (Die genutzte DKIM Version)
• k=rsa (Angabe des Schlüsseltyps, in diesem Fall “rsa”)
• p=Öffentlicher Schlüssel (Hier wird der zuvor generierte Öffentliche Schlüssel angegeben.

Bei Strato sieht es dann so aus:

Ich habe “dkim1” als Selector gewählt, bei Bedarf kann ich so einfach die Selektoren erhöhen, falls dies nötig sein sollte.

Nachdem der TXT-Eintrag gesetzt wurde, lassen sich die Einstellungen auch direkt überprüfen:

• http://dkimcore.org/tools/keycheck.html

Auf der Webseite kann der Keyselector und die Domain angegeben und geprüft werden:

Die Webseite liefert dann den DNS-Eintrag und das Ergebnis. Hier sieht man, dass aus Selector und Domain der entsprechende DNS Eintrag zusammengesetzt wurde:

Wenn die Prüfung erfolgreich war, kann die Konfiguration der Sophos UTM beginnen.

Konfiguration Sophos UTM

Die Konfiguration der UTM ist schnell erledigt. Die DKIM-Einstellungen finden sich unter dem Punkt “Email Protection” auf dem Reiter “Erweitert”:

Unter dem Punkt “DomainKeys Identified Mail (DKIM)”, wird nun der private Schlüssel (DKIM_Private_Key.key) eingetragen. Der Schlüssel kann komplett übernommen werden. Es ist nicht nötig Passagen zu entfernen.

Im Feld “Schlüsselselektor” wird nun der zuvor vergebene Selector aus dem DNS Eintrag eingetragen, in diesem Fall also “dkim1”. Es handelt sich hier nicht um die Version (v-Option im DNS-Eintrag“), sondern um den frei wählbaren Namen (Selector).

Im Feld DKIM-Domänen werden die Domänen angegeben, für die der DKIM-Header angefügt werden soll. Gibt es mehrere E-Mail Domänen, können hier auch mehrere Domänen angegeben werden. Bei mehreren Domänen muss der DKIM-DNS Eintrag auch für die weiteren Domänen angelegt werden:

Nachdem die Einstellungen übernommen wurden, kann getestet werden.

Test

Ob die DKIM Konfiguration funktioniert, lässt sich einfach testen indem eine E-Mail an die folgende Adresse verschickt wird:

Der Dienst prüft die SPF und DKIM Einstellungen und informiert über das Resultat.

In diesem Fall wird die Mail über einen Exchange Server versendet, Exchange muss die ausgehenden Mails über die Sophos UTM ins Internet leiten, da die DKIM Signatur erst durch die Sophos UTM angehangen wird.

Hinweis: Exchange Server bietet kein Bordmittel für das Hinzufügen der DKIM Signatur.

Nach kurzer Zeit wird ein Authentication Report zurück gesendet. Der Report enthält dann die Ergebnisse:

Wenn in der Antwortmail “DKIM check pass” angezeigt wird, funktionieren die DKIM Einstellungen.

Etwas weiter unten in der Antwortmail findet sich auch der DKIM Header der Original Mail. Hier sieht man die Signatur, welche durch die UTM angehangen wurde:

Die Antwortmail enthält ebenfalls eine DKIM Signatur, welche im Header sichtbar ist:

Der Beitrag Sophos UTM und DKIM erschien zuerst auf Frankys Web.

Wer Exchange 2016 in Verbindung mit einem Wildcard Zertifikat benutzt, sollte auch die Empfangs- und Sendeconnectoren entsprechend konfigurieren. Auch bei SAN-Zertifikaten kann dies nötig sein.

Enthält das SAN-Zertifikat als “Common Name (Ausgestellt für)” den Domain Namen und nicht den entsprechenden Servernamen des Exchange Servers, kommt es zum Beispiel bei der Verschlüsslung der SMTP-Verbindung mittels STARTTLS zu Problemen. Hier einmal ein Beispiel des Mailclients Thunderbird der eine SMTP-Verbidnung via STARTTLS zu einem Exchange Server aufbauen möchte:

In diesem Fall wurde ein SAN-Zertifikat genutzt, welches als Common Name den Domain Namen (Bspw. frankysweb.de) eingetragen hat und nicht den Hostnamen (Bspw. mail.frankysweb.de). Die zusätzlichen Hostnamen wurden wie üblich als SAN-Attribute angegeben.

Bei Wildcard Zertifikaten stellt es sich ähnlich dar, hier ist normalerweise als Common Name und SAN-Attribut der entsprechende Wildcard Eintrag gesetzt (Bspw. *.frankysweb.de)

Um das Problem zu beheben, muss aber nicht das Zertifikat ausgetauscht werden, es genügt Sende- und Empfangsconnectcoren entsprechend zu konfigurieren.

Empfangs- und Sendeconnector konfigurieren

Zunächst muss der Thumbprint des Zertifikats ermittelt werden, dazu kann der folgende Befehl verwendet werden:

Get-ExchangeCertificate | where {$_.services -match "IIS"}

In diesem Fall wird das Zertifikat mit dem Thumbprint “2B7B52B5BB8A3F53E048F4D875A41DCDC71C3910” verwendet. Der Thumbprint wird verwendet um den TLS Zertifikatsnamen zu bilden. Dies geschieht über die folgenden Befehle:

$Cert = Get-ExchangeCertificate -Thumbprint 2B7B52B5BB8A3F53E048F4D875A41DCDC71C3910
$TLSCertificateName = "<i>$($Cert.Issuer)<s>$($Cert.Subject)"
$TLSCertificateName

Jetzt kann das Zertifikat den entsprechenden SMTP Frontend Connectoren zugewiesen werden, dazu müssen zunächst die Namen der Connectoren ermittelt werden:

Get-ReceiveConnector

Ausgewählt werden Connectoren, die den Port 25 und 587 enthalten. In diesem Fall also “Exchange\Default Frontend Exchange” und “Exchange\Client Frontend Exchange”. An diese beiden Connectoren kann nun das Zertifikat gebunden werden:

Set-ReceiveConnector "EXCHANGE\Default Frontend EXCHANGE" -TlsCertificateName $TLSCertificateName
set-ReceiveConnector "EXCHANGE\Client Frontend EXCHANGE" -TlsCertificateName $TLSCertificateName

Damit auch für ausgehende SMTP Verbindungen das Zertifikat genutzt wird, kann es auf dem gleichen Weg auch an den Sendeconnector gebunden werden:

Get-SendConnector
Get-SendConnector | Set-SendConnector -TlsCertificateName $TLSCertificateName

Ob STARTTLS funktioniert, lässt sich mittels der folgenden Webseite testen:

https://www.checktls.com/

Das Ergebnis wird dann entsprechend angezeigt:

Auch im E-Mail Header lässt sich prüfen ob TLS genutzt wurde, hier ein Beispiel für einen Received Header (version=TLS1_2)

Received: from EXCHANGE.frankysweb.de () by EXCHANGE.frankysweb.de
() with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id 15.1.1415.2; Sun, 11 Feb
2018 20:49:12 +0100

Der Beitrag Exchange 2016: SMTP Connector und Wildcard- / SAN-Zertifikate erschien zuerst auf Frankys Web.

Für Outlook 2013 und Outlook 2016 wurden Updates veröffentlicht die zwei kritische Sicherheitslücke schließen sollen. Bei beiden Schwachstellen ist es möglich Schadcode auf dem Rechner auszuführen. Bei einer der Lücken reicht es eine Mail mit schadhaften Anhang zu erhalten. Der Anhang muss dazu nicht einmal geöffnet werden.

Hier finden sich die entsprechenden CVEs:

• CVE-2018-0852 | Microsoft Outlook Memory Corruption Vulnerability
• CVE-2018-0850 | Microsoft Outlook Elevation of Privilege Vulnerability

Da zu erwarten ist, dass derartige Lücken schnell ausgenutzt werden, sollten möglichst zeitnah die Updates eingespielt werden.

Die aktuelle Outlook 2016 Click-to-Run Version ist 1801 (Build 9001.2171, Monthly Channel) bzw. 1708 (Build 8431.2215 Semi-Annual). Die Updates für die “normalen” Outlook Versionen können über den Update Katalog runtergeladen oder über Windows Update installiert werden.

• Version and build numbers of update channel releases

Der Beitrag Kritische Sicherheitslücke in Outlook erschien zuerst auf Frankys Web.

Ich habe nun schon häufiger Anfragen bekommen, in denen die Frage gestellt wurde, wie sich mehrere Firmen ein Active Directory teilen können. In der letzten Anfrage ging es um eine Firma die eine andere Firma aufgekauft hatte. Die Firmen sollten sich nun die Infrastruktur teilen. In der Standardeinstellung eines Active Directory haben allerdings alle Benutzer Leserechte, dies war nun nicht mehr gewünscht, die Firmen sollten nur die jeweils eigenen Benutzer sehen, trotzdem aber im gleichen AD verwaltet werden.

Ich habe dazu einmal die Umgebung aus der Anfrage nachgebaut um es etwas deutlicher zu machen. Es gibt ein Active Directory mit dem Namen “cloud.frankysweb.de” (War eigentlich dazu gedacht ein bisschen mit Azure zu spielen..). Für die aufgekauften Firmen (FirmaA und FirmaB) gibt es jeweils separate Organisationseinheiten in denen die jeweiligen Objekte der Firmen verwaltet werden:

Das Ziel ist, dass Benutzer der FirmaA auch nur ihre Objekte sehen und ggf. verwalten können, aber nicht die Objekte der FirmaB. Gleiches gilt auch für FirmaB.

Wie im Screenshot zu erkennen ist, habe ich eine OU “Firmen” erstellt, darin befindet sich jeweils eine OU für FirmaA und FirmaB. Zusätzlich habe ich eine OU “Shadow Groups” erstellt. Dazu aber später mehr.

Hinweis: Die Umsetzung ist nicht ganz trivial und sollte daher unbedingt vorher getestet werden. Dieser Artikel geht auch nicht auf alle Details ein, um die man sich noch Gedanken machen muss. Ich möchte an dieser Stelle nur einen möglichen Weg zur Umsetzung aufzeigen. Es geht hier nicht darum eine Hosting-Umgebung aufzubauen.

Vorbereitung

Damit der hier beschriebene Weg funktioniert, muss sich zunächst einer “Altlast” entledigt werden. Im Active Directory findet sich in der OU “Builtin” eine Gruppe mit dem Namen “Prä-Windows 2000 kompatibler Zugriff”, diese Gruppe enthält als Mitglieder “Authentifizierte Benutzer”. Wie der Name schon sagt: Prä-Windows 2000 war die NT4 Zeit (Klick, Reboot, Klick, Reboot). Um die Umsetzung etwas einfacher zu gestalten, habe ich “Authentifizierte Benutzer” aus der Gruppe entfernt, die Gruppe ist also leer:

Das eigentliche Active Directory Feature, welches es ermöglicht die Lese-Rechte für Benutzer einzuschränken, nennt sich “dSHeuristics”. Dieses Feature muss zunächst eingeschaltet werden. Die aktivierte dSHeuristics-Funktion bewirkt, dass die Rechte “Objekt auflisten” und “Inhalt auflisten” auf jeder OU ausgewertet werden. Mittels dSHeuristics ist es also möglich bestimmte OUs und Objekte für Benutzer auszublenden, wenn sie keine Rechte auf der entsprechenden OU haben.

Via ADSIEdit kann dSHeuristics in der Active Directory Konfigurationspartition aktiviert werden (Deaktiviert = Nicht festgelegt, Aktiviert = 001):

Im Active Diretcory habe ich zusätzlich eine OU mit dem Namen “Shadow Groups” angelegt. In der OU gibt es jeweils eine Gruppe für FirmaA und eine Gruppe für FirmaB. Die Gruppe SG-FirmaA enthält alle Benutzerkonten von FirmaA. SG-FirmaB enthält alle Benutzerkonten der FirmaB. Diese Gruppen werden später für die Berechtigungen der OUs verwendet. Hier muss sichergestellt werden, dass die Gruppen immer alle Benutzerkonten der jeweiligen Firmen enthalten. Mit einem kleinen Script ist dies aber einfach zu machen.

Damit sind auch schon die Voraussetzungen erfüllt. Dies war der einfache Teil.

Hinweis: Alle Änderungen am Active Directory sollten genau dokumentiert werden, im weiteren Verlauf wird dies umso wichtiger.

Für die bestehenden OUs

Damit Benutzer nur noch ihre jeweils eigene OU sehen, müssen die Berechtigungen der OUs verändert werden. Damit dies in der Konsole Active Directory Computer und Benutzer möglich ist, müssen die “Erweiterten Features” angezeigt werden:

Auf der OU “Firmen” wird nun zunächst die Vererbung unterbrochen:

Die vererbten Berechtigungen werden dabei in explizite Berechtigungen konvertiert und können dann verändert werden:

Für die OU Firmen kann nun die Berechtigung für die Gruppe “Authentifizierte Benutzer” geändert werden:

Der Gruppe “Authentifizierte Benutzer” wird das Recht “Inhalt auflisten” auf der OU “Firmen” entzogen:

Weiter geht es mit der OU “FirmaA”. Auch hier werden die Rechte der Gruppe “Authentifizierte Benutzer” verändert:

In diesem Fall werden die Rechte “Inhalt auflisten” und “Objekt auflisten” entfernt:

Für die OU FirmaA kommt nun die Schattengruppe “SG-FirmaA” zum Einsatz. Für die OU FirmaA wird eine Berechtigung hinzugefügt:

Die Gruppe “SG-FirmaA” erhält nun die Rechte “Inhalt auflisten” und “Objekt auflisten”:

Die Benutzer der FirmaA werden nun der Gruppe “SG-FirmaA” hinzugefügt:

Wichtig ist, dass immer alle Benutzer der jeweiligen Firmen, Mitglieder ihrer Schattengruppe sind. Alle Benutzer von FirmaA müssen Mitglieder der Gruppe “SG-FirmaA” sein:

Für FirmaA ist die Konfiguration nun abgeschlossen. Die jeweiligen Schritte müssen nun für FirmaB wiederholt werden. Es bietet sich hier an entsprechende Scripte vorzubereiten.

Für spezielle OUs

Der Inhalt der OU Shadow Groups kann ebenfalls vor den Augen der Benutzer verborgen werden, auf die gleiche WEise wie hier beschrieben funktioniert dies auch mit anderen OUs. Die Rechte auf Domain Level anzupassen wird nicht empfohlen. Um den Inhalt der OU “Shadow Groups” zu vergeben, werden wieder die Berechtigungen angepasst:

Der Gruppe “Authentifizierte Benutzer” werden hier die Rechte “Inhalt auflisten” und “Objekt auflisten” entzogen:

Für neue / zukünftige OUs

Damit neue Organisationseinheiten nicht direkt für alle Benutzer sichtbar sind, können die Berechtigungen im Active Directory Schema angepasst werden. Dazu muss zunächst die DLL der Konsole “Active Directory-Schema” registriert werden:

regsvr32 schmmgmt.dll

Die DLL der Schema Konsole wurde erfolgreich geladen:

Im MMC SnapIn “Active Directory-Schema” lassen sich nun die Standardberechtigungen für neu erstellte OUs anpassen. Dazu muss die Klasse “organizationalUnit” ausgewählt werden:

Hier wird der Gruppe “Authentifizierte Benutzer” ebenfalls das Recht “Inhalt auflisten” entzogen:

Neue OUs werden somit ohne Leseberechtigung für alle Benutzer angelegt.

Optional: UPN anpassen

Das Anpassen des UPNs ist optional, aber für die Benutzer meistens einfacher und leichter nachvollziehbar. Ein Benutzer der Firma A muss sich nicht mit username@cloud.frankysweb.de anmelden, sondern beispielweise mit username@firmaa.de. Idealerweise entspricht der Benutzername dadurch der E-Mail Adresse des Benutzers. Die Anmeldung mit “E-Mail Adresse und Passwort” ist für Benutzer meistens intuitiver als “Windows Benutzername und Passwort”.

Alternative UPNs lassen sich in der Konsole “Active Directory-Domänen und Vertrauensstellungen” hinzufügen. In diesem Fall wird “firmaa.de” und “firmab.de” hinzugefügt:

Die Benutzer von FirmaA bekommen nun den Suffix “firmaa.de” zugewiesen. Benutzer von FirmaB bekommen “firmab.de” als Suffix zugewiesen:

Der Anmeldename für den Benutzer Frank ist in diesem Fall “frank@firmaa.de”.

Optional: Administration delegieren

Einfache administrative Aufgaben lassen sich an andere Personen delegieren. Gibt es zum Beispiel einen First Level Support in den jeweiligen Firmen, kann dieser Person (oder Gruppe) das Recht eingeräumt werden, bestimmte Aufgaben im Active Directory zu übernehmen. Dazu kann das Feature “Objektverwaltung zuweisen” verwendet werden:

Hier wird die Gruppe “FirmaA-Admins” ausgewählt:

Im nächsten Schritt wird festgelegt, was die Mitglieder der Gruppe “FirmaA-Admins” dürfen:

Nachdem der Assistent abgeschlossen wurde, darf ein Mitglied der Gruppe “FirmaA-Admins” einfache Aufgaben im Active Directory erledigen:

Für spätere Tests habe ich das Konto “AdminFirmaA” der Gruppe “FirmaA-Admins” zugeordnet.

Auch diese Aufgaben lassen sich wunderbar per PowerShell Script automatisieren.

Tests

Interessant wird es aus Benutzersicht. Hier einmal die Anmeldung mit dem Benutzer “Frank aus FirmaA” mit alternativen UPN. Frank meldet sich mit seinem Benutzernamen “frank@firmaa.de” an einem Rechner an:

Wenn Frank nun Das Active Directory durchsucht, sieht er die OU Firmen und FirmaA. Die OU FirmaB wird nicht angezeigt:

Frank kann nun auch keine Benutzer aus FirmaB auflösen. Eine Suche nach “Hans aus FirmaB” im Active Directory liefert keine Ergebnisse.

Ähnlich sieht es in der Konsole “Active Directory-Benutzer und Computer” aus. Der “Administrator der FirmaA” (AdminFirmaA) sieht nur seine jeweilige Firma und kann dort einfache Aufgaben übernehmen. Benutzer aus FirmaB werden nicht angezeigt. Der Admin kann nun zwar Gruppenmitgliedschaften anpassen, bewegt sich dabei aber in “seiner Firma”, er kann also keine Konten aus FirmaB zu Gruppen in FirmaA zuordnen:

Hinweise

Diese Vorgehensweise für das Trennen von Firmen oder Abteilungen ist, wie man aus dem Artikel entnehmen kann, kein triviales Setup. Eine ordentliche Dokumentation über die Berechtigungen, Schattengruppen, Vererbung etc. ist hier ein MUSS. Damit Berechtigungen und Gruppen einheitliche Namen haben, empfiehlt es sich direkt entsprechende Scripte zu erstellen, die neue Firmen, OUs, Gruppen und Berechtigungen automatisiert nach Standard anlegen. Ein Identity Manager wäre hier sicherlich von Vorteil.

Die globalen Administratoren sollten immer im Hinterkopf behalten, dass die Vererbung an den “Firmen OUs” unterbrochen wurde. Dienste und Anwendungen, die entsprechende Berechtigungen auf Domain Level vergeben, können diese Berechtigungen nicht mehr an die “Firmen OUs” vererben. Ein nachträglich installierter Exchange Server, kann also seine nötigen Berechtigungen nicht auf die “Firmen-OUs” vererben, hier muss es dann manuell angepasst werden.

Es gibt hier auch noch weitere Punkte zu beachten, die dieser Artikel nicht behandelt. Zum Beispiel:

• Wie und in welcher OU werden Computer Konten angelegt?
• Wie wird mit Gruppenrichtlinien verfahren?
• Wie stellt sich der Zugriff auf weitere gemeinsam benutzte Dienste dar?
• …

Der hier beschriebene Weg wäre ggf. ein Ansatz wie sich derartige Anforderungen umsetzen lassen.

Der Beitrag Active Directory: Mehrere Firmen teilen sich ein Active Directory erschien zuerst auf Frankys Web.

Ich habe angefangen den “Exchange Certificate Assistant” zu überarbeiten. Die bisherige Version ist nicht mehr kompatibel zum aktuellen ACMESharp Modul und erfordert daher eine alte Version des Moduls. Da sich aber mittlerweile einige relevante Teile des ACMESharp Moduls geändert haben, ist es Zeit für eine neue Version des “Exchange Certificate Assistant”.

Ich habe den “Certificate Assistant” daher grundlegend überarbeitet und dabei auch paar Verbesserungen eingeführt:

• Es wird ein Logfile erzeugt
• Das Logfile kann per Mail versendet werden
• Das Logfile liegt im CSV-Format vor und lässt sich daher weiter verarbeiten und leichter analysieren
• Die Fehlerbehandlung ist im Script nun nahezu durchgängig
• Das Script ist zur aktuellen ACMESharp Modul Version kompatibel (derzeit Version 0.9.1.326)

Es gibt aber auch einige Stellen an denen ich noch schrauben muss:

• Derzeit ist das Script nur mit Exchange 2016 auf Server 2016 getestet worden
• Support für Server 2012 R2 und Exchange 2013 muss getestet, bzw. hinzugefügt werden
• Aufräumen der alten / abgelaufenen Zertifikate
• Das Anlegen einer geplanten Aufgabe für die Erneuerung ist entfallen

Let’s Encrypt Zertifikate sind bekanntlich 3 Monate lang gültig. In der alten Version des Scripts, wurde ein geplanter Task angelegt, der das Zertifikat erneuert. Dies soll auch weiterhin so sein, jedoch soll der Task bestimmen, wann das Zertifikat erneuert wird. Dazu ist nur noch ein erneuter Aufruf des Scripts nötig.

Ich stelle mir das in etwa so vor:

• Erster Aufruf des Scripts durch Admininistrator
• Script installiert nötige Voraussetzungen
• Script konfiguriert das Zertifikat
• Administrator legt geplante Aufgabe an, die das Script beispielsweise alle 60 Tage startet
• Script erneuert Zertifikat automatisch, ohne Benutzerinteraktion

Für die Exchange 2013 und Exchange 2010 erstelle ich eigene Versionen des Scripts, so müssen weniger “Versionsabhängigkeiten” innerhalb eines Script berücksichtigt werden. Ich denke dadurch wird es etwas einfacher.

Es gibt natürlich trotzdem ein paar Voraussetzungen:

• Exchange 2016 auf Server 2016 (Support für weitere Exchange und OS Versionen folgt)
• Exchange 2016 muss auf Port 80 (http) und Port 443 (https) aus dem Internet erreichbar sein
• Exchange 2016 muss mit gültigen FQDNs konfiguriert sein, auf .local und .intern (usw) endende FQDNs werden nicht unterstützt
• Alle konfigurierten Exchange 2016 FQDNs müssen aus dem Internet erreichbar sein (interne, sowie externe FQDNs)

Nach aktuellen Best Practises sollten interne und externe FQDNs eh gleich sein, daher sollten die Voraussetzungen im Normalfall kein Problem darstellen. Der interne Servername spielt dabei keine Rolle, lediglich die konfigurierten URLs der Exchange Dienste sind für das Script relevant. Die entsprechenden Hostnamen werden durch das Script automatisch ermittelt, können im Bedarfsfall aber auch fest im Script hinterlegt werden.

Ich habe hier einmal ein Video eines ersten Durchlaufs auf einem frisch konfigurierten Exchange 2016 Server erstellt:

Den Download für die alte Version lasse ich zunächst online. Ich würde mich freuen, wenn sich jemand bereit erklärt die aktuelle Version zu testen. Falls es Probleme gibt, dann schickt bitte das Logfile und ggf. Screenshots von der Fehlermeldung per Mail an mich. Bitte zunächst aber nur in Verbindung mit Exchange 2016 testen, andere Exchange Versionen teste ich zunächst in meiner Testumgebung.

Hier nun der Download, der noch ein bisschen Beta Charakter hat:

Exchange Certificate Assistant 5.19 KB

Download

Die übrigen Punkte auf meiner ToDo Liste versuche ich so schnell wie möglich abzuarbeiten. Ich würde mich aber freuen, wenn ich möglichst viele Logfiles aus anderen Umgebungen erhalten würde. Auch Logfiles in denen das Script fehlerfrei durchgelaufen ist, können bei der Verbesserung helfen. Verbesserungsvorschläge und Kritik wie immer auch gerne per Mail über das Kontaktformular.

Update 27.02.18

In meiner Testumgebung wird das Zertifikat auch automatisch erneuert, ich habe dazu eine geplante Aufgabe angelegt. Wie oben beschrieben, erstellt das Script die Aufgabe nicht automatisch. Die folgende Aufgabe hat bei mir problemlos funktioniert:

Der ausführende Benutzer muss lokale Admin Rechte auf dem Server haben, aber natürlich auch entsprechende Exchange Berechtigungen. Ich habe hier zum Testen den Domain Administrator verwendet, welche Rechte genau erforderlich sind, muss ich noch testen. Die Einstellungen, die ich verändert habe sind in den Screenshots zu sehen.

Ich habe für meinen Test einen Trigger auf den heutigen Tag gesetzt, es funktioniert hier aber auch ein entsprechend anderer Trigger. Let’s Encrypt Zertifikate sind 3 Monate lang gültig, man könnte also alle 2 Monate das Zertifikat tauschen und hat dann noch genug Zeit zu reagieren, falls etwas schief geht.

Als Aktion wird dann einfach das Script ausgelöst. Pfad zur Powershell:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Als Argument wird der Pfad zum Script angegeben, in meinem Fall „C:\CertificateAssistant\CertificateAssistant.ps1“

Ich werde nun noch etwas weiter am Script basteln und Testumgebungen für Exchange 2010 und Exchange 2013 installieren.

Der Beitrag Exchange Certificate Assistant: Neue Version erschien zuerst auf Frankys Web.