docÜbersicht über die wichtigstenPowerShell
download 
Plainte Transcription
Übersicht über die wichtigstenPowerShell
Übersicht über die wichtigstenPowerShell-Befehle und Grundlagen für Exchange Server 2010 Florian Essigkrug essigkrug.net IT | Consulting & Training Vorwort Zur Vorbereitung auf die Prometric-Prüfung 70-662 Microsoft Exchange Server 2010, Konfiguration habe ich Ihnen hier die wichtigsten PowerShell-Befehle und Grundlagen zusammengestellt. Diese Liste ist nicht vollständig und möchte dies auch nicht sein. Sollten Sie weitere Fragen zu einzelnen Befehlen haben, empfehle ich Ihnen folgenden Link: http://technet.microsoft.com/en-us/library/bb124413(v=exchg.141).aspx. Hilfe zu jedem Cmdlet finden Sie auch mit get-help <Cmdlet>. Sollten Sie nicht wissen, wie ein Cmdlet heißt, können Sie sich mit get-command –noun <Nomen> alle entsprechenden Cmdlets und Funktionen anzeigen lassen, z. B. get-command –noun „Database“. Viel Spaß und viel Erfolg mit Exchange Server Florian Essigkrug essigkrug.net IT | Consulting & Training www.essigkrug.net Seite 1 von 59 Inhalt Datenbankverwaltung ...................................................................................................... 7 Neue Postfachdatenbank anlegen ................................................................................. 7 Datenbank einbinden ................................................................................................... 7 Datenbankeinbindung aufheben................................................................................... 7 Datenbank entfernen .................................................................................................... 7 Eigenschaften einer Datenbank abfragen ..................................................................... 7 Datenbankpfad verschieben ......................................................................................... 7 Eigenschaften von Postfachdatenbanken bearbeiten .................................................... 8 Neue Öffentliche Ordner-Datenbank ............................................................................ 9 Inhalt einer Öffentlichen Ordner-Datenbank abfragen.................................................. 9 Löschen einer Öffentlichen Ordner-Datenbank............................................................. 9 Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten ................................ 9 Skripte für Öffentliche Ordner ...................................................................................... 9 Akzeptierte Domäne konfigurieren .................................................................................10 Neue akzeptierte Domäne konfigurieren .....................................................................10 Verwaltung von Email-Adressen mit Email-Adressrichtlinien..........................................10 Neue E-Mail-Adressrichtlinie anlegen .........................................................................10 Aktualisieren einer E-Mail-Adressrichtlinie .................................................................10 Empfängerverwaltung .....................................................................................................12 Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) ........12 Postfach für vorhandenen Benutzer aktivieren .............................................................12 Benutzerpostfach konfigurieren ...................................................................................12 Verschieben von Postfächern ......................................................................................12 Benutzerzugriff auf das Postfach steuern ......................................................................14 Ressourcenpostfächer anlegen ....................................................................................14 Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs ..................14 Benutzerdefinierte Ressourceneigenschaften anlegen .................................................14 Ressourceneigenschaften anzeigen lassen...................................................................14 Konfigurieren von Eigenschaften, die die Kalenderfunktion betreffen .........................15 Zeitzone für Postfächer festlegen .................................................................................15 Raumlisten erstellen zur leichteren Planung in Outlook ...............................................15 Freigegebenes Postfach erstellen ................................................................................15 Archivpostfach für Benutzer aktivieren ........................................................................15 Exchange-Funktionalität für Benutzer deaktivieren ......................................................15 Getrenntes Postfach wieder verbinden ........................................................................17 Konvertieren eines Postfaches in einen anderen Typ ...................................................17 Exportieren eines Postfachs .........................................................................................17 Seite 2 von 59 Einrichten von E-Mail-Kontakten ..................................................................................17 Einrichten von E-Mail-Benutzern ..................................................................................18 Verteilergruppen ............................................................................................................18 Neue statische Verteilergruppe anlegen .....................................................................18 Benutzer zu einer statischen Verteilergruppe hinzufügen ............................................18 Eigenschaften einer statischen Verteilergruppe bearbeiten ........................................18 Dynamische Verteilergruppen anlegen .......................................................................20 Adresslisten verwalten ....................................................................................................20 Neue Adressliste anlegen ............................................................................................20 Adresslisten aktualisieren ............................................................................................20 Adressliste verschieben ..............................................................................................21 Globale Adressliste aktualisieren ................................................................................21 Offline-Adressbücher ......................................................................................................21 Neues Offline-Adressbuch anlegen .............................................................................21 Adresslisten zu OAB hinzufügen / entfernen ................................................................21 Offline-Adressbuch Benutzern zuweisen ......................................................................21 Verschieben des Servers für die Generierung des OABs .............................................21 Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB .........................22 Verwaltung von Öffentlichen Ordnern ............................................................................22 Neuen Öffentlichen Ordner erstellen ...........................................................................22 Replikat eines Öffentlichen Ordners konfigurieren ......................................................22 Berechtigungen für Öffentliche Ordner konfigurieren .................................................22 Administrative Berechtigungen anzeigen ....................................................................22 Administrative Berechtigung hinzufügen .....................................................................22 Benutzerberechtigung hinzufügen. ..............................................................................22 E-Mail-aktivierung öffentlicher Ordner ........................................................................24 Festlegen von Grenzwerten für öffentliche Ordner ......................................................24 Öffentlichen Ordner löschen ........................................................................................24 E-Mail-Aktivierung öffentlicher Ordner aufheben ........................................................24 Konfigurieren des Clientzugriffs ......................................................................................25 Virtuelles Verzeichnis für Outlook Web App konfigurieren .........................................25 Outlook Web App-Postfachrichtlinie anlegen ..............................................................25 Outlook Web App-Postfachrichtlinie konfigurieren .....................................................25 Outlook Web App-Postfachrichtlinie auf Postfach anwenden .......................................25 Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren ....................................25 Neue ActiveSync-Postfachrichtlinie anlegen ................................................................25 Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden ..................................26 Seite 3 von 59 IMAP4 und POP3 konfigurieren....................................................................................27 Outlook Anywhere aktivieren ......................................................................................27 Virtuelles Verzeichnis zurücksetzen.............................................................................27 Clienteinschränkungsrichtlinien ..................................................................................27 Konfigurieren des RPC-Clientzugriffs...........................................................................27 Verwalten von Transportservern .....................................................................................28 Remotedomäne anlegen ..............................................................................................28 Transportregelbedingungen anzeigen ........................................................................28 Transportregelaktionen anzeigen ................................................................................28 Transportregeln anzeigen ............................................................................................28 Neue Transportregel anlegen ......................................................................................28 Transportregel mit regulären Ausdrücken konfigurieren ............................................28 Status des Transportagenten anzeigen .........................................................................30 Benutzerdefinierte Systemnachricht (DSN) anlegen .....................................................30 Ethische Absperrung konfigurieren .............................................................................30 Festlegen der Exchange-Kosten einer Standortverknüpfung .......................................30 Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen ..............30 Einen Standort als Hub-Standort konfigurieren ............................................................30 Konfigurieren des Transportdumpsters .......................................................................31 Verwenden von Sende- und Empfangsconnectoren ........................................................31 Neuen Sendeconnector erstellen .................................................................................31 Neuen Empfangsconnector erstellen ...........................................................................32 Verwenden von Edge-Transport-Servern in der Exchange-Organisation ........................32 Konfigurieren der Voraussetzungen ............................................................................32 Konfigurieren der Edge-Transport-Server-Synchronisation .........................................34 Manuelles Ausführen der Edge-Synchronisierung .......................................................34 Einen weiteren Hub-Transport-Server zum Standort hinzufügen ..................................34 Einen weiteren Edge-Transport-Server zum Standort hinzufügen ................................34 Klonen der Edge-Konfiguration....................................................................................34 Umschreiben von Adressen .........................................................................................35 Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server .................................35 Verbindungsfilter ........................................................................................................35 IP-Zulassungsliste .....................................................................................................35 Anbieter für zugelassene IP-Adressen ......................................................................35 IP-Sperrliste .............................................................................................................37 IP-Sperrlistenanbieter ..............................................................................................37 Inhaltsfilterung.............................................................................................................37 Seite 4 von 59 Empfängerfilterung......................................................................................................38 Blockierte Empfänger entfernen / hinzufügen ..........................................................38 Absenderfilterung .......................................................................................................38 Überprüfen von Sender-ID ...........................................................................................39 Absenderzuverlässigkeit .............................................................................................39 Anlagenfilterung ..........................................................................................................41 Sicherstellen der Nachrichtenintegrität ...........................................................................41 S/MIME verwenden .....................................................................................................41 Konfigurieren der Domänensicherheit .........................................................................42 Information Rights Management (IRM) ............................................................................43 Vorbereiten der Exchange-Organisation zur Verwendung von IRM ............................43 Messaging Records Management (MRM) ........................................................................45 Neue Aufbewahrungstags erstellen .............................................................................45 Neue Aufbewahrungsrichtlinie anlegen .......................................................................45 Konfigurieren des Assistenten für verwaltete Ordner ..................................................46 Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren ......................................46 Neue Journalregel erstellen .........................................................................................46 Reserve-Journalpostfach konfigurieren ........................................................................46 Verwenden von E-Mail-Infos ........................................................................................46 Organisationseinstellungen für E-Mail-Infos ................................................................48 Verwenden von Klassifikationen ..................................................................................48 Implementieren einer Ermittlungssuche ......................................................................48 Rollenbasierte Zugriffsteuerung (RBAC)..........................................................................49 Neuer Verwaltungsbereich anlegen ............................................................................49 Neue Verwaltungsgruppe anlegen ..............................................................................50 Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen ......................................50 Neue Verwaltungsrolle erstellen..................................................................................50 Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen ......................................50 Verwaltungsrolleneinträge entfernen ..........................................................................50 Verwaltungsrolleneintrag hinzufügen ..........................................................................51 Rollenzuweisungsrichtlinien ........................................................................................51 Hochverfügbarkeit in Exchange Server 2010 ..................................................................51 Hub-Transport-Server ..................................................................................................51 Edge-Transport-Server ................................................................................................51 Client-Access-Server ...................................................................................................51 Postfach-Server ............................................................................................................53 Einrichten einer Postfachdatenbankkopie ................................................................54 Seite 5 von 59 Postfachdatenbankkopie aktivieren..........................................................................54 Postfachdatenbankkopie anhalten ............................................................................54 Postfachdatenbankkopie fortsetzen ..........................................................................54 Erneutes Seeding einer Postfachdatenbankkopie .....................................................55 Überwachen von Exchange Server 2010 .........................................................................56 Überwachen von Informationen und Statistiken über Datenbanken .............................56 Abrufen von Informationen von Postfachdatenbanken ..............................................56 Abrufen von statistischen Informationen von Postfächern .........................................56 Abfragen des Ressourcenverbrauchs .......................................................................56 Abfragen von statistischen Informationen von Öffentlichen Ordnern ........................56 Abfragen des Status der Kopien einer Postfachdatenbank ........................................56 Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln ..........56 Abrufen von Switch- und Failover-Statistiken............................................................56 Überwachen von Replikationsmessdaten .................................................................57 Erfassen von Postfachordnerstatistiken.....................................................................57 Erfassen von Anmeldestatistiken ..............................................................................57 Erfassen der Anzahl von Nutzer eines bestimmten Protokolls ...................................57 Exchange ActiveSync-Berichte abrufen ....................................................................57 Überwachen der Nachrichtenübermittlung ..................................................................57 Protokollkonfiguration der Postfach- und Transportserver .......................................57 Warteschlangenanzeige ...........................................................................................58 Nachverfolgung von Nachrichten .............................................................................58 Testen der Nachrichtenübermittlung ........................................................................58 Testen der SMTP-Kommunikation mit Telnet ................................................................58 Anlegen eines Testusers zur Überprüfung von Verbindungen .....................................59 Überprüfen von POP3-Verbindungen ..........................................................................59 Überprüfen von IMAP4-Verbindungen ........................................................................59 Überprüfen von MAPI-Verbindungen ..........................................................................59 Überprüfen des Autoermittlungsdienstes.....................................................................59 Seite 6 von 59 Datenbankverwaltung Grundlage der Funktionalität von Microsoft Exchange sind Datenbanken. Wir unterscheiden dabei zwei Arten von Datenbanken: Postfachdatenbanken zur Speicherung der Postfächer der Benutzer sowie Öffentliche Ordner-Datenbanken. In der Standard-Edition von Exchange Server 2010 können lediglich 5 Postfachdatenbanken pro Postfachserver gehostet werden. In der Enterprise-Edition sind dagegen bis zu 100 Postfachdatenbanken möglich. Zusätzlich sind pro Server eine Datenbank für Öffentliche Ordner sowie eine Wiederherstellungsdatenbank möglich. Der Informationsspeicher von Exchange Server 2010 besteht aus den jeweiligen Datenbanken (*.edb) sowie den zugehörigen Transaktionsprotokollen (*.log). Alle Aktionen werden erst in einem Transaktionsprotokoll gespeichert und anschließend in die Datenbank eingespielt. Sollte die Datenbank ausfallen, ist es auf diese Weise möglich, ein Backup auf den letzten Stand vor dem Ausfall zu bringen. Die Datenbank wird aus einem Backup wiederhergestellt und anschließend werden alle Transaktionsprotokolle, die nach dem Backup angelegt worden sind, wieder in die Datenbank eingespielt. Jedes Transaktionsprotokoll ist genau 1 MB groß. Zusätzlich werden 10 x 1 MB durch Pufferdateien (*.jrs) belegt, die gewährleisten sollen, dass eine maximal 10 MB große Nachricht auch dann noch empfangen werden kann, wenn der Festplattenplatz verbraucht ist. Die Datenbank wird in diesem Fall offline geschaltet und die Nachricht wird in den reservierten Bereich geschrieben. Neue Postfachdatenbank anlegen New-MailboxDatabase -Name <Name> -Server <Server> -EdbFilePath <Pfad\DBName.edb> -LogFolderPath <Pfad> Datenbank einbinden Mount-Database -Identity <Name> Datenbankeinbindung aufheben Dismount-Database -Identity <Name> Datenbank entfernen Bevor Sie eine Datenbank löschen können, muss diese erst leer sein. Hierzu müssen Sie alle Postfächer aus der Datenbank entweder löschen oder in eine andere Postfachdatenbank verschieben. Systempostfächer befinden sich standardmäßig in der ersten Postfachdatenbank des ersten Postfachservers der Exchange-Organisation. Diese können Sie wie folgt verschieben: Get-Mailbox –Arbitration | New-MoveRequest Anschließend können Sie die Datenbank mit folgendem Befehl löschen: Remove-MailboxDatabase -Identity <Name> Eigenschaften einer Datenbank abfragen Get-MailboxDatabase -Identity <Server\Datenbank> Datenbankpfad verschieben Move-DatabasePath -identity <Name> -EdbFilePath <Pfad> -LogFolderPath <Pfad> Seite 7 von 59 Eigenschaften von Postfachdatenbanken bearbeiten Set-MailboxDatabase –Identity <Name> -Name Ändert den Namen der DB -JournalRecipient <User> Aktiviert den Journal-Empfänger -MaintenanceSchedule <Wert> Legt den Wartungszeitplan fest -BackgroundDatabaseMaintenance <$true|$false> Aktiviert die Hintergrundwartung f. DB -AllowFileRestore <$true|$false> DB kann bei Wiederherstellung überschrieben werden -MountatStartup <$true|$false> Bei Serverstart DB einbinden -CircularLoggingEnablde <$true|$false> Aktiviert Umlaufprotokollierung -IssueWarningQuota <MB|GB|TB> Warnmeldung senden ab -ProhibitSendQuota <MB|GB|TB> Senden verbieten ab -ProhibitSendRecieveQuota <MB|GB|TB> Empfangen verbieten ab -DeletedItemRetention <Wert> Aufbewahrungszeit f. gelöschte Elemente -MailboxRetention <Wert> Aufbewahrungszeit f. gelöschte Postfächer -RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente aufbewahren bis das nächste Backup durchgeführt wurde -OfflineAddressBook Standard-OAB f. alle Postfächer in der DB -PublicFolderDatabase Standard-DB f. Öffentliche Ordner -RpcClientAccessServer Legt den ClientAccess Server fest, der auf die Datenbank zugreifen darf. Seite 8 von 59 Neue Öffentliche Ordner-Datenbank New-PublicFolderDatabase -Server <Server> -Name <Name> -EdbFilePath <Pfad> -LogFolderPath <Pfad> Pro Server ist lediglich eine Datenbank für Öffentliche Ordner möglich! Inhalt einer Öffentlichen Ordner-Datenbank abfragen Get-PublicFolder -Server <Server> -Recurse Zeigt alle Öffentlichen Ordner innerhalb der Datenbank an. Löschen einer Öffentlichen Ordner-Datenbank Bevor Sie eine Datenbank löschen können, müssen erst alle Replikate von öffentlichen Ordnern verschieben und dann alle öffentlichen Ordner in der Datenbank löschen. 1. Get-PublicFolder –Server <Server> „\“ –Recurse –ResultSize:Unlimited | Remove-PublicFolder -Recurse –ErrorAction:SilentlyContinue 2. Get-PublicFolder –Server <Server> „\Non_Ipm_Subtree“ –Recurse –ResultSize:Unlimited | Remove-PublicFolder –Recurse –ErrorAction:SilentlyContinue 3. Remove-PublicFolderDatabase -Identity <Name> Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten Set-PublicFolderDatabase -Identity <Name> -DeletedItemRetention <Tage> Aufbewahrungszeit für gelöschte Elemente -RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente werden erst entfernt, wenn ein Backup der Datenbank durchgeführt wurde. Skripte für Öffentliche Ordner MoveAllReplicas.ps1 Verschiebt den gesamten Inhalt einer Datenbank in eine andere Datenbank. ReplaceReplicaOnPFRecursive.ps1 Verschiebt den Inhalt einer Ordnerstruktur von einer Datenbank in eine andere Datenbank. Die Skripte finden Sie im standardmäßig in C:\Program Files\Microsoft\Exchange Server\V14\Scripts. Seite 9 von 59 Akzeptierte Domäne konfigurieren Akzeptierte Domänen legen fest, für welche SMTP-Domänen unsere Exchange TransportServer Nachrichten empfangen und versenden können. Standardmäßig wird die Windows-Domäne eingetragen, in der der Exchange-Server installiert wurde. Ein interner Versand von Nachrichten ist damit innerhalb der Domäne möglich. Sollen Nachrichten von öffentlichen SMTP-Domänen oder anderen Windows-Domänen akzeptiert werden, müssen Sie eine entsprechende akzeptierte Domäne konfigurieren. Dabei werden drei Arten von akzeptierten Domänen unterschieden: Autorisierende Domäne Alle Empfänger für diese Domäne befinden sich innerhalb unserer Exchange-Organisation. Interne Relay-Domäne Der Empfänger für diese Domäne befindet sich entweder innerhalb unserer Exchange-Organisation oder außerhalb. Sollte der Empfänger nicht innerhalb unserer Organisation sein, wird die Nachricht weitergeleitet. Externe Relay-Domäne Die Empfänger für diese Domäne befinden sich nicht innerhalb unserer Exchange-Organisation. Alle Nachrichten werden weitergeleitet. Neue akzeptierte Domäne konfigurieren New-AcceptedDomain –Name <Name> -DomainName <Domäne> -DomainType <Authoritative|ExternalRelay|InternalRelay> Verwaltung von Email-Adressen mit Email-Adressrichtlinien E-Mail-Adressen werden in Exchange Server 2010 mithilfe von E-Mail-Adressrichtlinien zugewiesen. Adressrichtlinien ermöglichen es, E-Mail-Adressen aufgrund von Bedingungen, wie z. B. Zugehörigkeit zu einer bestimmten Firma oder Abteilung, zuzuweisen und ein einheitliches Adressschema im Unternehmen durchzusetzen. Neue E-Mail-Adressrichtlinie anlegen New-EmailAddressPolicy –Name <Name> -IncludedRecipients <EmpfängerTypen> -Priority <Priorität> -EnabledEmailAddressTemplates <SMTP:Email-Adresse> Die E-Mail-Adresse können Sie mit verschiedenen Variablen konfigurieren: %s %g %m Nachname Vorname Alias Durch Angabe der Anzahl an Buchstaben nach dem %-Zeichen können Sie festlegen, wie viele Buchstaben der jeweiligen Variablen verwendet werden sollen, z. B. %1s.%1g@Domäne.tld ergibt als Adresse z. B. [email protected]. Durch Angabe von Filterbedingungen wie –ConditionalDepartment, -ConditionalCompany oder –ConditionalCustomAttribute<1-15> können Adressrichtlinien auf bestimmte Empfänger eingeschränkt werden. Alternativ kann man die Richtlinie auf eine bestimmte Organisationseinheit einschränken. Aktualisieren einer E-Mail-Adressrichtlinie update-EmailAddressPolicy –Identity <Name> Seite 10 von 59 Seite 11 von 59 Empfängerverwaltung In Exchange Server 2010 gibt es verschiedene Empfängertypen. Neben Benutzerpostfächern gibt es noch Ressourcenpostfächer (Räume, Equipment), Mail-User, externe Kontakte und Verteilergruppen. Ein Großteil der Parameter ist auf alle Empfänger anwendbar. Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) New-Mailbox –Name <Name> -Alias <Alias> -UserPrincipalName <UPN> -SamAccountName <Name> -FirstName <Vorname> -Initials <Initialien> -LastName <Nachname> -ResetPasswordOnNextLogon <$true|$false> -Database <Datenbank> Postfach für vorhandenen Benutzer aktivieren Enable-Mailbox –Identity <User> -Alias <Alias> Benutzerpostfach konfigurieren Set-Mailbox –Identity <User> -IssueWarningQuota <Wert> Legt die Warnstufe in MB fest, die ein Benutzer erhält, wenn sein Postfach diese Größe erreicht. -ProhibitSendQuota <Wert> Legt fest, wann ein Benutzer keine Nachrichten mehr senden kann, wenn sein Postfach diese Größe erreicht. -ProhibitSendRecieveQuota <Wert> Legt fest, wann ein Benutzer keine Nachrichten mehr senden und empfangen kann, wenn sein Postfach diese Größe erreicht. -UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Quota durch die Datenbank -UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Standardeinstellung der Datenbank. -HiddenFromAddressListEnabled <$true|$false> Verhindert, dass das Postfach in Adresslisten angezeigt wird. -MaxSendSize <Wert> Maximale Größe von zu versendenden Nachrichten. -MaxRecieveSize <Wert> Maximale Größe von zu empfangenden Nachrichten. -LitigationHoldEnabled <$true|$false> Aktiviert die Aufbewahrung f. evtl. Rechtsstreitigkeiten. Verhindert, dass der Inhalt des Ordners Purges gelöscht wird. Nachrichten werden dauerhaft im Postfach aufbewahrt, Original-Nachrichten werden im Ordner Versions gespeichert. Verschieben von Postfächern New-MoveRequest –Identity <User> -TargetDatabase <DB> Seite 12 von 59 Mit den Parametern –ArchiveOnly und –PrimaryOnly kann ausgewählt werden, was verschoben wird. Seite 13 von 59 Benutzerzugriff auf das Postfach steuern Benutzer können auf verschiedene Arten auf Ihr Postfach zugreifen. Der Zugriff per POP3/IMAP4 ist standardmäßig zwar erlaubt, funktioniert jedoch nicht, da die Dienste nicht gestartet und auf Manuell gestellt sind. Wenn Sie diesen Zugriff erlauben möchten, müssen Sie die Dienste auf Automatisch setzen und starten. Den Zugriff auf das Postfach konfigurieren Sie wie folgt: Set-CASMailbox –Identity <User> -POPEnabled <$true|$false> Legt den Zugriff per POP3 fest. -ImapEnabled <$true|$false> Legt den Zugriff per IMAP4 fest. -OWAEnabled <$true|$false> Legt den generellen Zugriff auf OWA fest. Hat keinen Einfluss auf den Funktionsumfang von OWA. -ExchangeActiveSyncEnabled <$true|$false> Legt den Zugriff per ActiveSync fest. Hat keinen Einfluss auf den Funktionsumfang von ActiveSync. -MAPIEnabled <$true|$false> Legt den Zugriff per MAPI-Client (z. B. Outlook) fest. Ressourcenpostfächer anlegen New-Mailbox –Name <User> –UserPrincipalName <UPN> –Alias <Name> –Database <DB> Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs Set-Mailbox –Identity <User> -ResourceCapacity <Wert> Legt die Kapazität der Ressource fest. -ResourceCustom <Wert> Liste der Benutzerdefinierten Ressourceneigenschaften. Benutzerdefinierte Ressourceneigenschaften anlegen Zusätzliche Ressourceneigenschaften helfen Benutzern, Ressourcen entsprechend ihrer Bedürfnisse gezielt auszuwählen, z. B. bei Räumen anhand der Ausstattung. 1. 2. 3. 4. $ResourceConfig = Get-ResourceConfig $ResourceConfig.ResourcePropertySchema+=(„Room/<Eigenschaft>“) $ResourceConfig.ResourcePropertySchema+=(„Equipment/<Eigenschaft>“) Set-ResourceConfig –ResourcePropertySchema $ResourceConfig.ResourcePropertySchema Ressourceneigenschaften anzeigen lassen Get-ResourceConfig Seite 14 von 59 Konfigurieren von Eigenschaften, die die Kalenderfunktion betreffen Set-CalendarProcessing –Identity <User> -ResourceDelegates <User> Legt die Postfach-Stellvertretung fest. -ForwardRequestsToDelegates <$true|$false> Legt fest, ob Anfragen an die Postfach-Stellvertretung weitergeleitet werden sollen. -AutomateProcessing <None|AutoAccept> Aktiviert die Buchungsautomatik. -BookingWindowInDays <Wert> Legt das Buchungsfenster fest. -MaximumDurationInMinutes <Wert> Legt die maximale Termindauer fest. -AddAdditionalResponse <$true|$false> Zusätzliche Informationen an den Organisator senden. -AdditionalResponse <Text> Zusätzliche Informationen für den Organisator. Zeitzone für Postfächer festlegen Set-MailboxCalendarConfiguration –Identity <User> -WorkingHoursTimeZone <Zeitzone> Raumlisten erstellen zur leichteren Planung in Outlook Raumlisten erleichtern die Suche nach Räumen bei der Terminplanung in Outlook. Wichtig ist, dass beim Erstellen der Verteilergruppe keine Umlaute verwendet werden. Nach dem Erstellen der Verteilergruppe können die Räume zur jeweiligen Liste hinzugefügt werden. New-Distributiongroup –Name <Name> -RoomList Freigegebenes Postfach erstellen Freigegebene Postfächer sind in der Regel Gruppenpostfächer, auf die mehrere Benutzer Zugriff haben. Je nach Verwendungszweck sollen die Benutzer auch das Recht haben, mit der Identität des Gruppenpostfachs Nachrichten zu versenden. Mit dem Parameter –Shared erstellen Sie ein freigegebenes Postfach: New-Mailbox –Name <Name> -UserPrincipalName <UPN> -SamAccontName <Name> -Alias <Name> -Database <DB> -Shared Mit diesem Befehl gewähren Sie den Benutzern Zugriff auf das Postfach: Add-MailboxPermission –Identity <Name d. freigegebenen Postfachs> -User <Name des Benutzers> -AccessRights FullAccess –InheritanceType all Mit diesem Befehl ermöglichen Sie es den Benutzern, Nachrichten mit der Identität des Gruppenpostfachs zu versenden: Add-ADPermission <Name d. freigegebenen Postfachs> -User <Domäne\Benutzer> -ExtendedRights „Send-as“ Archivpostfach für Benutzer aktivieren Enable-Mailbox –Identity <User> -Archive Exchange-Funktionalität für Benutzer deaktivieren Disable-Mailbox –Identity <User> Seite 15 von 59 Seite 16 von 59 Getrenntes Postfach wieder verbinden Sie können getrennte Postfächer wieder mit Benutzern verbinden. Dabei haben Sie die Wahl, ob Sie das Postfach mit dem ursprünglichen Benutzer oder mit einem anderen Verbinden möchten: Connect-Mailbox –Identity <User> -Database <DB> -User <User> Wenn das Postfach nicht innerhalb der Datenbank gefunden werden kann, wurde beim Trennen des Postfachs dieses im AD DS nicht als getrennt markiert. Mit dem Befehl CleanMailboxDatabase können Sie nach getrennten Postfächern in einer Datenbank suchen und den Status aktuallisieren. Konvertieren eines Postfaches in einen anderen Typ Sie können bestehende Postfächer in einen anderen Typ konvertieren. Dies findet vor allem bei der Migration von Postfächern älterer Systeme Anwendung, z. B. um ein Benutzerpostfach aus Exchange 2003, welches als Raumpostfach genutzt wurde, in ein Raumpostfach unter Exchange 2010 zu konvertieren. Set-Mailbox –Identity <User> -Type <Shared|Room|Equipment|User> Exportieren eines Postfachs Es gibt verschiedene Arten, wie ein Postfach exportiert werden kann. Der einfachste Weg ist, mit Outlook ein Postfach in eine PST-Datei zu exportieren. Dies geht allerdings nur mit dem eigenen Postfach. Möchte ein Administrator ein anderes Postfach aus der Datenbank exportieren, müssen einige Voraussetzungen erfüllt sein: 1. Der Administrator benötigt das Recht, Postfächer zu Importieren und Exportieren. Dieses Recht wird ihm über die Rolle Mailbox Import Export zugewiesen. 2. Auf dem Rechner müssen Outlook 2010 64Bit und die Exchange Verwaltungstools installiert sein. 3. New-MailboxExportRequest –Mailbox <Name> -FilePath <Pfad.pst> Mit dem Parameter –IsArchive können Sie ein Archivpostfach exportieren. Mithilfe des Parameters -ContentFilter können Sie gezielt Inhalt eines Postfachs exportieren. Auf dieselbe Weise können Sie auch Postfächer importieren. Einrichten von E-Mail-Kontakten E-Mail-Kontakte sind Kontakte, die als Objekt im Active Directory gespeichert und als Empfänger für Exchange Server 2010 verfügbar gemacht werden sollen. Kontakte verfügen sind keine Sicherheitsprinzipale, können sich nicht in der Domäne anmelden und auch nicht Mitglied von Sicherheitsgruppen werden. Eine Mitgliedschaft in Verteilergruppen ist dagegen möglich. E-Mail-Kontakte können auf zweierlei Arten in Exchange Server 2010 erstellt werden. Bereits im AD vorhandene Kontakte können Sie für Exchange Server 2010 folgendermaßen aktivieren: Enable-MailContact –Identity <User> -ExternalEmailAddress <SMTP:Adresse> Alias <Name> Einen neuen E-Mail-Kontakt erstellen Sie, indem Sie folgenden Befehl ausführen: New-MailContact –Name <Name> -Alias <Name> -FirstName <Vorname> -LastName <Nachname> -ExternalEmailAddress <SMTP:Adresse> Seite 17 von 59 Einrichten von E-Mail-Benutzern Im Gegensatz zu E-Mail-Kontakten verfügen E-Mail-Benutzer über ein Sicherheitsprinzipal in unserer Gesamtstruktur. Es handelt sich hierbei also um Domänenbenutzer, die über kein eigenes Exchange-Postfach verfügen, dennoch aber in die Exchange-Organisation eingebunden werden sollen. Sie können Mitglieder von Sicherheits- und Verteilergruppen sein. Enable-MailUser <SMTP:Adresse> –Identity <User> -Alias <Name> -ExternalEmailAddress New-MailUser –Name <Name> -Alias <Name> -UserPrincipalName <UPN> -SamAccountName <Name> -FirstName <Vorname> -LastName <Nachname> -ResetPasswordOnNextLogon <$true|$false> -ExternalEmailAddress <SMTP:Adresse> Verteilergruppen Exchange Server 2010 kennt zwei Arten von Verteilergruppen: statische und dynamische. Bei statischen Gruppen sind die Benutzer feste Mitglieder der Gruppe, d. h. sie stehen bereits fest, wenn die Gruppe durch eine Nachricht angesprochen wird. Bei dynamischen Gruppen werden die Mitglieder jedes Mal anhand von Filterbedingungen ermittelt, wenn die Gruppe angesprochen wird. Verteilergruppen sind immer Universale Gruppen und können vom Typ reine Verteileroder aber auch sicherheitsaktivierte Gruppen (-Security) sein. Neue statische Verteilergruppe anlegen New-DistributionGroup –Name <Name> -SamAccountName <Name> -Alias <Name> Benutzer zu einer statischen Verteilergruppe hinzufügen Add-DistributionGroupMember –Identity <Name d. Gruppe> -Member <User> Eigenschaften einer statischen Verteilergruppe bearbeiten Set-DistributionGroup –Identity -MemberJoinRestriction Legt fest, ob eine Genehmigung notwendig ist, um der Gruppe beizutreten. Mögliche Optionen sind ApprovalRequired, Open oder Closed. -MemberDepartRestriction Legt fest, ob ein Benutzer die Gruppe verlassen darf. Mögliche Optionen sind Open oder Closed. -ExpansionServer <Server> Legt den Server fest, der für die Aufgliederung der Gruppenmitgliedschaft zuständig ist. -HiddenFromAddressListEnabled <$true|$false> Legt fest, ob die Gruppe in Adresslisten angezeigt wird. -SendOofMessagesToOrginatorEnabled <$true|$false> Legt fest, ob Abwesenheitsbenachrichtigungen an den Absender einer Nachricht übermittelt werden. Seite 18 von 59 -MaxRecieveSize <Wert> Legt die maximale Nachrichtengröße fest. -ModerationEnabled <$true|$false> Legt die Moderation einer Gruppe fest. -ModeratedBy <User> Legt den Moderator einer Gruppe fest. -RequireSenderAuthenticationEnabled <$true|$false> Legt fest, ob sich jeder Absender authentifizieren muss. Bei Gruppen, die von Extern erreichbar sein sollen, muss dieser Wert auf $false gesetzt werden. Seite 19 von 59 Dynamische Verteilergruppen anlegen New-DynamicDistributionGroup –Name <Name> -Alias <Name> -IncludedRecipients Legt fest, welche Art von Empfängern eingeschlossen werden sollen. Mögliche Parameter sind AllRecipients, MailboxUsers, Resources, MailContacts, MailGroups und MailUsers. -ConditionalCompany Legt als Bedingung fest, welcher Firma die Mitglieder angehören müssen. -ConditionalDepartment Legt als Bedingung fest, welcher Abteilung die Mitglieder angehören müssen. -ConditionalCustomAttribute<1-15> Legt als Bedingung fest, welchen Wert die Attribute haben müssen. Adresslisten verwalten Adresslisten helfen den Benutzern in Outlook und OWA, Teilmengen an Empfängern innerhalb der Exchange-Organisation zu finden. Sie sind wie ein Telefonbuch hierarchisch angelegt und können z. B. einzelne Abteilungen umfassen. Der Benutzer muss schließlich dann nur wissen, in welcher Abteilung er einen Empfänger sucht und hat über die entsprechende Adressliste dann Zugriff auf alle Empfänger innerhalb der Abteilung. Zusätzlich werden aus den Adresslisten die Offline-Adressbücher generiert, die Benutzer dann in Outlook verwenden können, wenn Sie keinen Zugriff auf die Exchange-Organisation haben. Neue Adressliste anlegen New-AddressList –Name <Name> -IncludedRecipients <Wert> Legt fest, welche Art von Empfängern eingeschlossen werden sollen. Mögliche Parameter sind AllRecipients, MailboxUsers, Resources, MailContacts, MailGroups und MailUsers. -ConditionalCompany <Wert> Legt als Bedingung fest, welcher Firma die Mitglieder angehören müssen. -ConditionalDepartment <Wert> Legt als Bedingung fest, welcher Abteilung die Mitglieder angehören müssen. -ConditionalCustomAttribute <1-15> Legt als Bedingung fest, welchen Wert die Attribute haben müssen. -Container <Hierarchie> Legt fest, in welcher Hierarchiestufe die Adressliste angelegt werden soll. -DisplayName <Wert> Legt den Anzeigename fest. Adresslisten aktualisieren Update-AddressList –Identity <Name> Seite 20 von 59 Adressliste verschieben Move-AddressList –Identity <Name> –Target <Pfad> Globale Adressliste aktualisieren Update-GlobalAddressList –Identity <Name> Offline-Adressbücher Offline-Adressbücher stellen die Funktionalität der Adresslisten auch dann zur Verfügung, wenn der Benutzer nicht mit der Exchange-Organisation verbunden ist. Die Verteilung des Offline-Adressbuchs kann Webbasiert oder über Öffentliche Ordner erfolgen. Die webbasierte Verteilung wird erst ab Outlook 2007 unterstützt. Ältere Outlook-Versionen greifen auf das OAB über die Öffentlichen Ordner zu. Neues Offline-Adressbuch anlegen New-OfflineAddressBook –Name <Name> -Server <Name> Legt den Server für die Generierung des Offline-Adressbuchs fest. -AddressLists <Wert> Legt die Adresslisten fest, die im OAB enthalten sein sollen. -Schedule <Wert> Legt den Zeitplan fest, wann das OAB generiert werden soll. Standard ist Täglich um 05:00 Uhr. -PublicFolderDistributionEnabled <$true|$false> Legt die Verteilung über Öffentliche Ordner fest. -VirtualDirectory <Server\Verzeichnis> Legt das Virtuelle Verzeichnis auf dem entsprechenden Server fest, über den die webbasierte Verteilung stattfinden soll. Adresslisten zu OAB hinzufügen / entfernen Wenn Sie eine Adressliste zu einem OAB hinzufügen oder entfernen möchten, müssen Sie alle Adresslisten, die bereits dem OAB zugewiesen sind plus / minus die neue Adressliste im Befehl aufführen. Die Verwaltung der Adresslisten erfolgt daher einfacher mit der Konsole. Set-OfflineAddressBook –Identity <Name> –AddressLists <Liste aller Adresslisten des OAB> Offline-Adressbuch Benutzern zuweisen Sie können das OAB entweder einzelnen Postfächern oder über die Datenbank allen Postfächern innerhalb der Datenbank zuweisen. Set-Mailbox –Identity <Name> -OfflineAddressBook <Name> Set-MailboxDatabase –Identity <Name> -OfflineAddressBook <Name> Verschieben des Servers für die Generierung des OABs Move-OfflineAddressBook –Identity <Name> -Server <Name> Seite 21 von 59 Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB Die webbasierte Verteilung des OABs findet über die ClientAccess-Server statt. Dort befindet sich standardmäßig ein virtuelles Verzeichnis für die Verteilung. Wenn Sie das Verzeichnis erstellen möchten, verwenden Sie hierfür folgenden Befehl: New-OABVirtualDirectory –Server <Name CAS> -RequireSSL <$true|$false> -ExternalUrRL <URL/OAB> Verwaltung von Öffentlichen Ordnern Öffentliche Ordner werden seit vielen Jahren als Mittel zur Zusammenarbeit im Unternehmen verwendet. Sie ermöglichen es Exchange-Benutzern, Daten in gemeinsam genutzten Ordnern zu speichern. Die Ordner können mit unterschiedlichen Berechtigungsstufen versehen werden, sodass Informationen geschützt geteilt werden können. Innerhalb der öffentlichen Ordner können Ordner vom Typ Kalender, Kontakte, Notizen, Journal, Aufgaben und E-Mail / Bereitstellung erstellt werden. Neuen Öffentlichen Ordner erstellen New-PublicFolder –Name <Name> -Path <\Pfad> -Server <Name> Replikat eines Öffentlichen Ordners konfigurieren Set-PublicFolder –Identity <Name> -Server <Name> -Replica <Liste der Öffentlichen Ordner DBs> Berechtigungen für Öffentliche Ordner konfigurieren Standardmäßig dürfen in Öffentlichen Ordnern Benutzer Objekte erstellen und die eigenen Objekte bearbeiten und löschen. Weitere Berechtigungen können entweder in der „Öffentliche Ordner-Verwaltungskonsole“ oder in Outlook konfiguriert werden. Mit den Berechtigungsstufen können Sie ein detailliertes Rechteschema implementieren, dass verhindert, dass Unberechtigte Ordner angezeigt bekommen oder Inhalte bearbeiten / löschen können. Exchange Server 2010 unterscheidet dabei zwei verschiedene Arten von bei der Zuweisung von Rechten: Administrative Berechtigungen und Client-Berechtigungen. Während erstere über Gruppenmitgliedschaften zugewiesen werden, werden letztere über die Konfiguration der einzelnen Ordner zugewiesen. Alle Berechtigungen lassen sich mit dem jeweiligen Remove-Befehl wieder entfernen. Administrative Berechtigungen anzeigen Get-PublicFolderAdministrativePermission –Identity <\Ordnername> Administrative Berechtigung hinzufügen Add-PublicFolderAdministrativePermission <Name> –Identity <\Ordnername> -User -AccessRights <Wert> Legt die Berechtigungsstufe fest. -InheritanceType <Wert> Legt fest, ob die Berechtigung nur für den Ordner oder alle Unterordner mitgelten soll. Benutzerberechtigung hinzufügen. Add-PublicFolderClientPermission <Wert> -User <Name> –Identity <\Ordnername> -AccessRights Seite 22 von 59 Mögliche Rechte für den Parameter AccessRights sind: ReadItems, CreateItems, EditOwnedItems, DeleteOwnedItems, EditAllItems, DeleteAllItems, CreateSubfolders, FolderOwner, FolderContact und FolderVisible. Zusätzlich können Sie folgende Rollen für den Parameter AccessRights konfigurieren: Keine, Owner, PublishingEditor, Editor, PublishingAuthor, Author, NonEditingAuthor, Reviewer und Contributor. Seite 23 von 59 E-Mail-aktivierung öffentlicher Ordner Elemente können auch per E-Mail an öffentliche Ordner gesendet werden. Hierzu muss der Ordner für E-Mail aktiviert sein. Dabei erhält er eine eindeutige E-Mail-Adresse, unter der er erreichbar ist. Diese wird aus dem Ordnernamen gebildet, sofern noch keine EMail-Adresse mit diesem Namen vorhanden ist. Enable-MailPublicFolder –Identity <\Ordnername> Festlegen von Grenzwerten für öffentliche Ordner Set-PublicFolder –Identity <\Ordnername> -UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für die Grenzwerte des öffentlichen Ordners. -UseDatabaseAgeDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für das maximale Alter von Einträgen. -UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für die maximale Aufbewahrung gelöschter Elemente. -MaxItemSize <Wert> Legt die maximale Elementgröße fest. -MaxRecieveSize <Wert> Legt die maximale Größe für Elemente fest, die per E-Mail an den Ordner gesendet werden. Wird durch MaxItemSize beeinflusst. -RetainDeletedItemsFor <Wert> Legt die maximale Aufbewahrungszeit für gelöschte Elemente fest. -AgeLimit <Wert> Legt das maximale Alter für Einträge im öffentlichen Ordner fest. Ältere Einträge werden automatisch gelöscht. Öffentlichen Ordner löschen Remove-PublicFolder –Identity <\Ordnername> -Server <Name> Legt den Server fest, auf dem der öffentliche Ordner gespeichert ist. -Recurse <$true|$false> Legt fest, dass der Ordner und alle Unterordner gelöscht werden sollen. E-Mail-Aktivierung öffentlicher Ordner aufheben Disable-MailPublicFolder –Identity <\Ordnername> Seite 24 von 59 Konfigurieren des Clientzugriffs Benutzer greifen auf eine Exchange-Organisation über die Client Access-Server auf ihre Postfächer zu. Dabei können die Benutzer verschiedene Protokolle für den Zugriff verwenden. Am gängigsten wird der Zugriff mittels MAPI sein, der standardmäßig für Outlook verwendet wird. Hinzu kommt der Zugriff mittels Outlook Web App, Exchange ActiveSync für Mobile Devices wie Smartphones und Tablets sowie Outlook Anywhere (RPC-overhttp). Weitere Zugriffsmöglichkeiten sind IMAP4 und POP3, deren Dienste jedoch standardmäßig auf einem CAS deaktiviert sind. Virtuelles Verzeichnis für Outlook Web App konfigurieren Sie können die Funktonalität von OWA serverseitig konfigurieren, indem Sie die Einstellungen des virtuellen Verzeichnisses konfigurieren. Die Änderungen wirken sich auf alle Benutzer aus, die über den Server auf OWA zugreifen. Änderungen an den Authentifizierungseinstellungen müssen zugleich am Virtuellen Verzeichnis d. Systemsteuerung (ECP) vorgenommen werden. Anschließend müssen Sie den Dienst W3SVC (Webserver) beenden und neu starten. Set-OwaVirtualDirectory –Identity <Server\Verzeichnis> Eine Übersicht über die Parameter finden Sie unter http://technet.microsoft.com/dede/library/bb123515(v=exchg.141).aspx. Outlook Web App-Postfachrichtlinie anlegen Folgender Befehl erstellt eine neue Richtlinie, nimmt aber noch keinerlei Einstellungen an dieser vor. New-OwaMailboxPolicy –Name <Name> Outlook Web App-Postfachrichtlinie konfigurieren Nachdem Sie die Richtlinie erstellt haben, müssen Sie die Richtlinie konfigurieren. Eine Übersicht über die möglichen Parameter finden Sie unter demselben Link wie bei Set-OwaVirtualDirectory. Set-OwaMailboxPolicy –Identity <Name> Outlook Web App-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> –OwaMailboxPolicy <Name> Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren Im virtuellen Verzeichnis für Exchange ActiveSync können Sie Einstellungen für die Authentifizierung sowie den Zugriff auf Remotedateiserver konfigurieren. Standardmäßig werden die Anmeldeinformationen unverschlüsselt übertragen, sodass diese auf dem Transportweg mittels SSL geschützt werden sollten. Set-ActiveSyncVirtualDirectory –Identity <Server\Verzeichnis> Neue ActiveSync-Postfachrichtlinie anlegen Im Gegensatz zur OWA-Postfachrichtlinie können Sie bei einer neuen ActiveSync-Postfachrichtlinie beim Erstellen bereits alle Parameter angeben. Die entsprechenden Parameter finden Sie unter http://technet.microsoft.com/enus/library/bb123750(v=exchg.141).aspx. New-ActiveSyncMailboxPolicy –Name <Name> Seite 25 von 59 Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> -ActiveSyncMailboxPolicy <Name> Seite 26 von 59 IMAP4 und POP3 konfigurieren Exchange Server 2010 bietet Benutzern auch den Zugriff per IMAP4 oder POP3 an. In den Postfachfunktionen ist der Zugriff generell erlaubt, auf den Client Access-Servern sind jedoch die Dienste standardmäßig nicht gestartet und auf Manuell gesetzt. Den Starttyp können Sie mit folgendem Befehl ändern: Set-Service msExchangePOP3 –startuptype automatic Set-Service msExchangeIMAP4 –startuptype automatic Anschließend müssen Sie die noch starten: Start-Service msExchangePOP3 Start-Service msExchangeIMAP4 Einstellungen für die Dienste können Sie mit dem Cmdlets Set-PopSettings bzw. SetImapSettings konfigurieren. Die Kalenderabrufoptionen werden bei beiden Befehlen mit dem Parameter –CalendarItemRetrievalOption <0-3> konfiguriert. Outlook Anywhere aktivieren In Microsoft Exchange Server 2010 ermöglicht es die Outlook Anywhere-Funktion Clients, die Microsoft Office Outlook ab der Version 2003 verwenden, von außerhalb des Unternehmensnetzwerks oder über das Internet mithilfe der Windows-Netzwerkkomponente "RPC-über-HTTP" eine Verbindung zu ihren Exchange-Servern herzustellen. Dabei ist es sinnvoll, die Funktion nur auf den Client Access-Servern zu aktivieren, die über das Internet erreichbar sind (Port 443 – SSL). Enable-OutlookAnywhere –Server <Name> -ExternalHostname <Wert> -DefaultAuthenticationMethod <Wert> -SSLOffloading <$true|$false> Virtuelles Verzeichnis zurücksetzen Sollten Sie ein virtuelles Verzeichnis einmal falsch konfiguriert haben bzw. die DefaultEinstellungen wieder haben wollen, so können Sie das Verzeichnis zurücksetzen. Dabei wird nichts anderes gemacht, als dass das Verzeichnis gelöscht und neu angelegt wird. Ein virtuelles Verzeichnis wird mit dem Befehl Remove-<Typ>VirtualDirectory –Identity <Server\Verzeichnis> -WebSiteName <Name> gelöscht und mit dem Befehl New<Typ>VirtualDirectory –InternalUrl <Wert> -WebSiteName <Name> neu angelegt. Clienteinschränkungsrichtlinien Clienteinschränkungsrichtlinien verhindern, dass einzelne Benutzer die Leistung eines ClientAccess-Servers zu stark beeinflussen, indem sie große Mengen an Ressourcen beanspruchen. Die Standardeinschränkungsrichtlinie können Sie mit Get-ThrottlingPolicy abfragen. Die Einschränkungen gelten für die Exchange-Komponenten Exchange ActiveSync, Exchange-Webdienste, IMAP4, POP3, OWA und Windows PowerShell. Konfigurieren des RPC-Clientzugriffs Wenn Sie in Ihrer Organisation einen Wechsel von Outlook 2003 auf eine neuere Version planen, kann es zu Problemen beim RPC-Zugriff kommen. Dies liegt daran, dass Outlook 2003 standardmäßig keine verschlüsselte RPC-Kommunikation verwendet. Das Problem lösen Sie, indem Sie entweder per Gruppenrichtlinie die RPC-Verschlüsselung auf den Clients aktivieren oder die Verschlüsselung auf dem ClientAccess-Server mit dem Cmdlet Set-RPCClientAccess –EncryptionRequired $false deaktivieren. Letzteres wird jedoch nicht empfohlen, da es die Sicherheit der gesamten Exchange-Organisation verringert. Mit dem Cmdlet können Sie auch festlegen, welche Versionen von Outlook Zugriff erhalten. Seite 27 von 59 Verwalten von Transportservern Remotedomäne anlegen Remotedomänen sind Domänen, die außerhalb unserer Exchange-Organisation liegen. Üblicherweise sind dies Partnerunternehmen, mit denen eine engere Zusammenarbeit besteht. New-RemoteDomain –Name <Name> -DomainName <Domain> Sie können in der Remotedomäne festlegen, ob interne oder externe Abwesenheitsnachrichten an Empfänger in der Domäne gesendet werden dürfen sowie verschiedene Einstellungen zum Nachrichtenformat wie z. B. Zeichensätze. Transportregelbedingungen anzeigen Mithilfe der Transportregelbedingungen legen Sie fest, auf welche Nachrichten eine Transportregelaktion angewendet wird. Die Liste von Bedingungen können Sie sich mit folgendem Befehl ansehen: Get-TransportRulePredicate Transportregelaktionen anzeigen Eine Transportregelaktion definiert, welche Aktion auf eine Nachricht angewendet wird, die den vorher definierten Bedingungen entspricht. Eine Übersicht über die Aktionen können Sie sich mit folgendem Befehl anzeigen lassen: Get-TransportRuleAction Transportregeln anzeigen Sie können sich in Exchange Management Shell eine Liste mit sämtlichen Transportregeln ausgeben lassen: Get-TransportRule Neue Transportregel anlegen Eine Transportregel setzt sich immer aus Transportregelbedingung(en) und Transportregelaktion(en) zusammen. Optional können Sie auch eine Ausnahme konfigurieren, wann die Regel trotz erfüllter Bedingung nicht angewendet werden soll. New-TransportRule –Name <Name> <Transportregelbedingung(en)> <Transportregelaktion(en)> Transportregeln lassen sich mit Set-TransportRule jederzeit bearbeiten. Dabei werden dieselben Parameter verwendet, wie beim Anlegen einer Regel. Transportregel mit regulären Ausdrücken konfigurieren Reguläre Ausdrücke helfen Ihnen, Transportregeln auf Nachrichten anzuwenden, die einem bestimmten Textmuster entsprechen, z. B. Kreditkartennummern (4 x 4 Zahlen). Die regulären Ausdrücke können dabei sein: \S entspricht einem beliebigen einzelnen Zeichen, das kein Leerzeichen ist. \s entspricht einem beliebigen einzelnen Leerzeichen. \D entspricht einem beliebigen nicht-numerischen Zeichen. \d entspricht einem beliebigen numerischen Zeichen. Seite 28 von 59 Weitere Informationen und Anwendungsbeispiele für reguläre Ausdrücke finden Sie im Microsoft TechNet unter http://technet.microsoft.com/de-de/library/aa997187(v=exchg.141).aspx. Seite 29 von 59 Status des Transportagenten anzeigen Transportagenten sind in der Exchange-Organisation verantwortlich für die Verarbeitung und den Transport von Nachrichten. Mit folgendem Befehl können Sie sich alle Transportagenten anzeigen lassen: Get-TransportAgent Benutzerdefinierte Systemnachricht (DSN) anlegen Benutzerdefinierte Systemnachrichten verwenden Sie, um Nachrichten zu blockieren, die nicht Ihren Vorgaben entsprechen (z. B. vertrauliche Informationen beinhalten). Um eine Transportregel mit einer benutzerdefinierten Systemnachricht anlegen zu können, müssen Sie erst die Systemnachricht erstellen. Hierfür steht Ihnen der DSN-Bereich von 5.7.10 – 5.7.999 zur Verfügung. New-Systemmessage –DsnCode <5.7.10 – 5.7.999> -Language <Wert> -Internal <$true|$false> -Text <Systemnachricht> Weitere Informationen und Anwendungsbeispiele finden Sie unter http://technet.microsoft.com/de-de/library/bb123506(v=exchg.141).aspx. Ethische Absperrung konfigurieren Ethische Absperrungen erlauben es, den Kontakt von Mitarbeitern innerhalb des Unternehmens zu unterbinden. Dies findet z. B. bei Banken Anwendung, wo gewisse Abteilungen keinen Kontakt untereinander pflegen dürfen. Eine ethische Absperrung ist eine Transportregel, die eine Unzustellbarkeitsnachricht generiert, sobald sich Mitglieder zweier (oder mehr) Verteilergruppen Nachrichten senden. Festlegen der Exchange-Kosten einer Standortverknüpfung Wenn eine Nachricht von einem Standort an einen anderen Standort übermittelt werden soll, errechnet Exchange Server 2010 die günstigste Route anhand der Kosten, die in den Standortverknüpfungen hinterlegt sind. Wenn keine spezifischen Kosten für Exchange Server 2010 hinterlegt sind, werden hierfür die normalen Kosten verwendet. Spezifische Kosten für Exchange Server 2010 konfigurieren Sie wie folgt: Set-ADSiteLink –Identity <Name> -ExchangeCost <Wert> Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen Standardmäßig sind keine Größenbeschränkungen für Standortverknüpfungen konfiguriert, d. h. Exchange Server 2010 übermittelt jede Nachricht über diese Verknüpfung. Wenn Sie die Größe der Nachrichten, welche über eine Standortverknüpfung versendet werden sollen, beschränken möchten, konfigurieren Sie folgendes: Set-ADSiteLink –Identity <Name> -MaxMessageSize <Größe> Einen Standort als Hub-Standort konfigurieren Hub-Standorte sind Standorte im Active Directory, welche bedingen, dass Nachrichten an diesen Standorten nochmals von den Transportagenten verarbeitet werden. Einen Standort im Active Directory konfigurieren Sie folgendermaßen als Hub-Standort: Set-ADSite –Identity <Name> -HubSiteEnabled $true Seite 30 von 59 Konfigurieren des Transportdumpsters Im Transportdumpster werden Kopien der Nachrichten gespeichert, die in einer Datenbankverfügbarkeitsgruppe auf andere Postfachdatenbanken repliziert werden. Sollte eine Postfachdatenbank ausfallen, bevor die Nachrichten repliziert wurden, können die HubTransport-Server die Nachrichten nochmals an die dann aktive Datenbankkopie senden. Set-TransportConfig –MaxDumpsterSizePerDatabase <Wert> -MaxDumpsterTime <Wert> Verwenden von Sende- und Empfangsconnectoren Sendeconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten zu versenden und bilden damit ein logisches Gateway, durch das ausgehende Nachrichten an den nächsten Hop gesendet werden können. Jeder Transportserver verfügt über Sendeconnectoren, die nicht eingesehen werden können. Diese dienen dazu, Nachrichten innerhalb der Exchange-Organisation zu versenden. Alle Sendeconnectoren, die von Ihnen erstellt werden, werden im Active Directory gespeichert und sind damit für alle HubTransport-Server sichtbar. Verwenden dürfen die Sendeconnectoren jedoch nur die Server, die in der Liste der Quellserver eingetragen sind. Alle anderen Server können den Sendeconnector zwar sehen, leiten aber ihre Nachrichten an den nächsten Hub-TransportServer aus der Liste der Quellserver zum Versand weiter. Diese Verwendung kann eingeschränkt werden, indem der Connector mit einem Bereich konfiguriert wird, d. h. er ist nur für Hub-Transport-Server sichtbar, die am selben Standort wie der Quellserver des Sendeconnectors stehen. Empfangsconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten aus dem Internet, von Clients oder anderen Servern zu empfangen. Bei der Installation werden für jeden Hub-Transport-Server Empfangsconnectoren für die interne Nachrichtenübermittlung erstellt. Der Empfangsconnector Client <Servername> nimmt SMTP-Verbindungen von Nicht-MAPI-Clients auf Port 587 entgegen. Dies sind üblicherweise POP3- und IMAP4-Clients. Der Empfangsconnector Default <Servername> nimmt Verbindungen von anderen Hub-Transport- und Edge-Transport-Servern entgegen. Für den Empfang von Nachrichten aus dem Internet müssen Sie entweder einen Empfangsconnector auf einem Hub-Transport-Server erstellen oder einen Edge-Transport-Server mittels Edge Subscription in die Exchange-Organisation einbinden. Empfangsconnectoren werden immer unterhalb des Server-Objekts gespeichert. Neuen Sendeconnector erstellen Einen neuen Sendeconnector erstellen Sie mit dem Befehl: New-SendConnector -<Verwendungstyp> „SMTP:<Space>;<Cost>“ –Name <Name> -AddressSpace Als Verwendungstyp können Sie Intern (internal), Internet (internet), Partner (partner) oder Benutzerdefiniert (custom) verwenden. Der Verwendungstyp legt die Standardberechtigungen, welche vertrauenswürdigen Sicherheitsprinzipalen gewährt werden sowie den Standard-Smarthost-Authentifizierungsmechanismus fest. Die Standardberechtigungen beziehen sich darauf, welche Arten von Informationen im Nachrichtenheader mitgesendet werden dürfen. Der Adressraum legt fest, für welche Adressen der Sendeconnector zuständig ist. Die Syntax dabei lautet <Adressraumtyp>:<Adressraum>;<Adressraumkosten>, z. B. „SMTP:essigkrug.net;1“. Mit diesem Adressraum versendet der Sendeconnector nur Nachrichten, die an die Domäne @essigkrug.net gesendet werden, Subdomänen sind Seite 31 von 59 hierbei nicht eingeschlossen. Über die Kosten können Sie steuern, welcher Sendeconnector bevorzugt verwendet werden soll, wenn es mehrere Konnektoren für denselben Adressraum gibt. Der Sendeconnectorbereich legt fest, welche Hub-Transport-Server den Sendeconnector sehen können. Wenn der Sendeconnector mit Bereich konfiguriert wird (-IsScopedConnector $true), können ihn nur Hub-Transport-Server sehen, die am selben Standort sind, wie die Server, die in der Quellliste aufgeführt werden. Mit dem Parameter –MaxSendSize <Wert> legen Sie die maximale Größe der Nachrichten fest, die über den Sendeconnector gesendet werden kann. Mit dem Parameter –ConnectionInactivityTimeOut <Wert> legen Sie fest, wie lange eine Verbindung inaktiv sein kann, bevor sie getrennt wird. Alle Parameter lassen sich auch nachträglich mittels Set-SendConnector –Identity <Name> für einen Sendeconnector konfigurieren. Neuen Empfangsconnector erstellen Einen neuen Empfangsconnector erstellen Sie mit folgendem Befehl: New-RecieveConnector –Name <Name> -Usage <Verwendungstyp> Da ich immer einen Edge-Transport-Server verwende, um Nachrichten aus dem Internet zu empfangen, erledigt sich die Erstellung und Konfiguration eines Empfangsconnectors, da dieser beim Durchführen der Edge Subscription automatisch angelegt wird. Weitere Informationen zu den Authentifizierungsmechanismen sowie den Verwendungstypen finden Sie hier: http://technet.microsoft.com/dede/library/bb125139(v=exchg.141).aspx. Verwenden von Edge-Transport-Servern in der Exchange-Organisation Edge-Transport-Server übernehmen in der Exchange-Organisation den Empfang und Versand von Nachrichten aus und in das Internet. Zusätzlich findet auf den Edge-Servern die Spam-Verarbeitung sowie optional die Virenüberprüfung statt. Edge-Server sind dabei nicht Mitglied der Windows-Domäne. Damit soll verhindert werden, dass bei einem erfolgreichen Angriff auf den Server der Angreifer Zugriff auf die Informationen des Active Directory erhält. Konfigurieren der Voraussetzungen Konfigurieren Sie das primäre DNS-Suffix des Servers auf denselben Namen wie die Windows-Domäne. Konfigurieren Sie die DNS-Einstellungen der Netzwerkkarte so, dass der Edge-Server die Exchange Server in der Windows-Domäne auflösen kann. Installieren Sie das .NET-Framework und die Lightweight Directory Services (AD LDS) auf dem Edge-Server: Import-Module ServerManager Add-WindowsFeature NET-FrameWork,RSAT-ADDS,ADLDS –Restart Stellen Sie sicher, dass die Hub-Transport-Server der Exchange-Organisation den Edge-Server im DNS auflösen können. Achten Sie darauf, dass auch die entsprechenden PTR-Datensätze erstellt werden. Seite 32 von 59 Nach der Installation der Voraussetzungen können Sie den Edge-Server installieren. Seite 33 von 59 Konfigurieren der Edge-Transport-Server-Synchronisation Nachdem Sie den Edge-Server installiert haben, müssen Sie den Server noch mit einem Standort der Exchange-Organisation verknüpfen. Dies geschieht in zwei Schritten: 1. Erstellen der Edge-Subscription auf dem Edge-Server New-EdgeSubscription –FileName <Name.xml> Kopieren Sie die XML-Datei an einen Ort, worauf die Hub-Transport-Server des jeweiligen Standorts, an dem der Edge-Server steht, zugreifen können. 2. Der einfachste Weg, das Edge-Abonnement in der Exchange-Organisation zu importieren ist über die Verwaltungskonsole. Gehen Sie auf Organisationskonfiguration – Hub-Transport – Edge-Abonnements und führen dort Neues Edge-Abonnement aus. Geben Sie den Standort des Edge-Servers an und wählen die Abonnement-Datei aus. Alternativ können Sie das Abonnement auch über die Management Shell importieren: New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path <Datei> -Encoding Byte -ReadCount 0)) -Site <Standort> Manuelles Ausführen der Edge-Synchronisierung Sie können die Edge-Synchronisierung auch manuell ausführen, um Daten sofort zu synchronisieren: Start-EdgeSynchronization Einen weiteren Hub-Transport-Server zum Standort hinzufügen Wenn Sie einen weiteren Hub-Transport-Server zum Standort hinzufügen, müssen Sie auf dem Edge-Server erneut eine Edge-Subscription ausführen und die alte Subscription in der Exchange-Organisation ersetzen. Einen weiteren Edge-Transport-Server zum Standort hinzufügen Wenn Sie einen neuen Edge-Transport-Server zum Standort hinzufügen, müssen Sie lediglich auf dem neuen Edge-Server eine Edge-Subscription ausführen und diese anschließend in der Exchange-organisation importieren. Klonen der Edge-Konfiguration Zum Exportieren der Konfiguration verwenden Sie auf dem Edge-Server folgenden Befehl: .\ExportEdgeConfig.ps1 –CloneConfigData -<Filename.xml> Bevor Sie die Konfiguration auf einem anderen Edge-Server importieren, müssen Sie die Konfiguration anpassen, damit diese den Einstellungen des anderen Edge-Servers entspricht: Daten- und Protokolldatiepfade Quell-IP-Adressen für Sendeconnectoren Bindungen für die Empfangsconnectoren Anschließend importieren Sie die Konfiguration auf dem anderen Edge-Server: .\ImportEdgeConfig.ps1 –CloneConfigData -<Filename.xml> Seite 34 von 59 Umschreiben von Adressen Mit der Adressumschreibung bietet Ihnen der Edge-Server die Möglichkeit, E-Mail-Adressen von Absendern zu überschreiben. Dies findet z. B. Anwendung, wenn eine Richtlinie vorgibt, dass gewisse Absender nicht extern verwendet werden dürfen. Sie können mit der Adressumschreibung die Änderung einer einzelnen E-Mail-Adresse oder allen Absendern einer Domäne konfigurieren: New-AddressRewriteEntry nalAddress <Wert> –Name <Name> -InternalAddress <Wert> -Exter- Generell wird die Adressumschreibung auf eingehende und ausgehende Nachrichten angewendet. Wenn Sie die Regel nur auf ausgehende Nachrichten anwenden möchten, verwenden Sie den Parameter –OutboundOnly $true. Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server Eine der Hauptaufgaben des Edge-Servers besteht darin, Spam-Nachrichten von der Exchange-Organisation fern zu halten. Für diesen Zweck sind auf dem Edge-Server die Anti-Spam-Features installiert. Diese können Sie zwar auch auf den Hub-Transport-Servern Ihrer Exchange-Organisation installieren, jedoch ist es sinnvoller, Spam so früh wie möglich aus dem Nachrichtenfluss zu filtern. Wenn Sie diese dennoch verwenden möchten, führen Sie.\Install-AntispamAgents.ps1 im Ordner Scripts auf dem Hub-Transport-Server aus, auf dem die Agents installiert werden sollen. Auf dem Edge-Server können Sie die Antispam-Agents bequem über die Verwaltungskonsole konfigurieren. Diese Möglichkeit besteht auf den Hub-Transport-Servern leider nicht. Dort können Sie die Agents nur über die Management Shell konfigurieren. Verbindungsfilter Der Verbindungsfilter-Agent wird auf alle Nachrichten angewendet, die von anonymen Internet-Quellen stammen. Er bietet die Funktionen IP-Sperrliste, IP-Sperrlistenanbieter, IP-Zulassungsliste und Anbieter für zugelassene IP-Adressen. Jede dieser Funktionen kann separat aktiviert oder deaktiviert und konfiguriert werden: IP-Zulassungsliste In der IP-Zulassungsliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie vertrauen und deren Nachrichten nicht auf Spam gefiltert werden sollen. Set-IPAllowListConfig –Enabled <$true|$false> Add-IPAllowListEntry –IPAddress <IP> -ExpirationTime <Wert> Um einen Eintrag aus der IP-Zulassungsliste zu entfernen, müssen Sie die Kennung des Eintrags angeben. Am leichtesten entfernen Sie einen Eintrag so: Get-IPAllowListEntry –IPAddress <IP> | Remove-IPAllowListEntry Anbieter für zugelassene IP-Adressen Ein Anbieter für zugelassene IP-Adressen (sog. Whitelists) stellt IP-Adressen von vertrauenswürdigen Mailsysteme zur Verfügung, sodass Sie diese nicht selbst konfigurieren müssen. Set-IPAllowListProvider –Identity <Name> –Enabled <$true|$false> Um einen Anbieter hinzuzufügen, verwenden Sie folgenden Befehl: Seite 35 von 59 Add-IPAllowListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true Seite 36 von 59 IP-Sperrliste In der IP-Sperrliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie nicht vertrauen und von denen Ihre Exchange-Organisation keine Nachrichten entgegen nehmen soll. Set-IPBlockListConfig –Enabled <$true|$false> Einen Eintrag zur IP-Sperrliste fügen Sie mit folgendem Befehl hinzu: Add-IPBlockListEntry –IPAddress <IP> Sie können auch ganze Bereiche zur IP-Sperrliste hinzufügen, wobei Sie die Möglichkeit haben, ein Subnetz, z. B. 192.168.178.0/24 oder einen IP-Bereich wie 192.168.178.100 – 192.168.178.159 hinzuzufügen. Add-IPBlockListEntry –IPRange <Bereich> Einen Eintrag aus der Sperrliste entfernen Sie am einfachsten so: Get-IPBlockListEntry –IPAddress <IP> | Remove-IPBlockListEntry IP-Sperrlistenanbieter IP-Sperrlistenanbieter sind das gleiche wie IP-Zulassungslistenanbieter. Der ExchangeServer überprüft, ob die IP-Adresse des Absenders auf der Blacklist des Anbieters aufgeführt wird und trennt die Verbindung, wenn der Sperrlistenanbieter einen entsprechenden Returncode zurücksendet. Sie de-/aktivieren einen einzelnen Provider mit folgendem Befehl: Set-IPBlockListProvider –Identity <Name> –Enabled <$true|$false> Einen IP-Sperrlistenanbieter können Sie mit folgendem Befehl hinzufügen: Add-IPBlockListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true Sie haben die Möglichkeit, Empfänger in Ihrer Exchange-Organisation als Ausnahme zu konfigurieren, die auch dann Nachrichten empfangen können, wenn der absendende Server auf der Blocklist aufgeführt wird. Set-IPBlockListProvidersConfig –BypassedRecipients <E-Mail-Adresse> Inhaltsfilterung Die Inhaltsfilterung verwendet Algorithmen, Sie können mit folgendem Befehl die Konfiguration anzeigen lassen: Get-ContentFilterConfig Mit den Parametern –BypassedSenders <Wert>, –BypassedRecipients <Wert> und – BypassedSenderDomains <Wert> können Sie Ausnahmen konfigurieren. Der Parameter –QuarantineMailbox <Wert> können Sie ein Postfach angeben, an das alle abgelehnten Nachrichten weitergeleitet werden. Mit folgendem Befehl können Sie eine Phrase zum Inhaltsfilter hinzufügen: Add-ContentFilterPhrase –Phrase <Wert> -Influence <GoodWord|BadWord> Seite 37 von 59 Empfängerfilterung Die Empfängerfilterung ermöglicht es uns, Nachrichten an gewisse Benutzer unserer Exchange-Organisation zu blockieren. Zusätzlich ermöglicht die Empfängerfilterung es, Nachrichten zu blockieren, die an Benutzer gesendet wurden, die kein Konto in unserer Exchange-Organisation haben (Recipient Validation). Set-RecipientFilterConfig –BlockedRecipients <Wert> -RecipientValidationEnabled <$true|$false> -BlockListEnabled <$true|$false> -ExternalMailEnabled <$true|$false> -InternalMailEnabled <$true|$false> Blockierte Empfänger entfernen / hinzufügen Wenn Sie einen blockierten Empfänger zur Liste hinzufügen oder von der Liste entfernen möchten, müssen Sie immer die gesamte Liste an blockierten Empfängern eingeben, die am Ende gelten soll. Da dies bei großen Listen sehr aufwendig sein kann, erledigen Sie diese Aufgabe am einfachsten in der Verwaltungskonsole. Auf der Management Shell erledigen Sie die Aufgabe, indem Sie die Liste der blockierten Empfänger in einer Variable (hier $Liste) speichern: $Liste = Get-RecipientFilterConfig Anschließend fügen Sie Empfänger hinzu oder entfernen welche aus der Liste: $Liste.BlockedRecipients += „<Empfänger>“ $Liste.BlockedRecipients -= „<Empfänger>“ Abschließend übergeben Sie den Wert der Variable $Liste an das Cmdlet: Set-RecipientFilterConfig –BlockedRecipient $Liste.BlockedRecipients Absenderfilterung Die Absenderfilterung verwendet die SMTP-Kopfzeile MAIL FROM:, um die passende Aktion für eine eingehende Nachricht zu bestimmen. Damit lassen sich Nachrichten auf der Basis der Absenderadresse filtern. Dies kann für einzelne Benutzer oder für ganze Domänen erfolgen. Der folgende Befehl legt fest, ob die Absenderfilterung aktiv ist: Set-SenderFilterConfig <$true|$false> Sie können die Absenderfilterung mit folgenden Parametern konfigurieren: Set-SenderFilterConfig -BlockedSenders <Wert> Blockiert einzelne Absenderadressen -BlockedDomains <Wert> Blockiert einzelne Domains -BlockedDomainsandSubdomains <Wert> Blockiert Domains und Subdomains -BlankSenderBlockingEnabled <$true|$false> Legt fest, dass Nachrichten ohne Absender blockiert werden. -Action <StampStatus|Reject> Legt fest, ob die Nachricht zurückgewiesen oder mit einem Hinweis versehen werden soll, dass die Nachricht von einem geblockten Absender stammt. Das Löschen und Hinzufügen von Benutzern erfolgt wie bei der Empfängerfilterung. Seite 38 von 59 Überprüfen von Sender-ID Die Sender-ID ist ein Verfahren, bei dem der Exchange-Server die SMTP-Kopfzeile RECIEVED verwendet und das DNS abfragt, um die passende Aktion für eine eingehende Nachricht zu ermitteln. Damit die Überprüfung von Sender-ID möglich ist, erstellen die Administratoren sogenannte SPF-Datensätze (Sender Policy Framework) in der DNS-Zone ihrer SMTP-Domäne. Dieser Eintrag enthält die zuständigen Mail-Server, die für diese SMTP-Domäne Nachrichten versenden dürfen. Auf diese Weise soll einer Absenderfälschung entgegengewirkt werden, die man auch Spoofing nennt. Beim Eingang einer Nachricht fragt der Exchange-Server den DNS-Server des Absenders ab, um zu überprüfen, ob die IP-Adresse, von der die Nachricht empfangen wurde, dazu berechtigt ist, Nachrichten für die in der Kopfzeile genannte Domäne zu versenden. Die IP-Adresse des autorisierten Servers wird PRA Purpoted Responsible Address genannt. Anhand des SPF-Datensatzes aktualisiert der Exchange-Server die Nachrichtenmetadaten mit einem Sender-ID-Status. Dieser Status kann Pass, Neutral, Soft fail, Fail, None, TempError oder PermError sein. Weitere Informationen finden Sie im Microsoft Technet unter http://technet.microsoft.com/de-DE/library/aa996295(v=exchg.141).aspx. Sie können festlegen, wie ein Exchange-Server verfahren soll, wenn eine Nachricht gefälscht wurde oder bei deren Überprüfung kein DNS-Server erreichbar war. Als Optionen stehen zur Auswahl: Löschen, Nachricht ablehnen oder Stempeln des Status. Mit folgendem Cmdlet können Sie Sender-ID bearbeiten: Set-SenderIDConfig –SpoofedDomainAction <Aktion> -TempErrorAction <Aktion> BypassedRecipients <Wert> -BypassedSenderDomains <Wert>. Die Liste der -BypassedRecipients und -BypassedSenderDomains können Sie wie bei der Empfänger- und Absenderverwaltung nur als gesamte Liste bearbeiten. Absenderzuverlässigkeit Das Konzept der Absenderzuverlässigkeit wird verwendet, um Nachrichten auf der Basis von verschiedenen Absendereigenschaften zu blockieren. Anhand dieser Eigenschaften wird ermittelt, was mit einer eingehenden Nachricht geschehen soll. Zur Ermittlung des Absenderzuverlässigkeitsgrad (Sender Reputation Level SRL) werden folgende Elemente verwendet: Analyse von SCL-Bewertungen für Nachrichten eines bestimmten Absenders Reverse-DNS-Lookup HELO / EHLO-Analyse Open Proxy-Test für Absender Aus den Ergebnissen wird der Sender Reputation Level SRL für den Absender ermittelt. Dabei handelt es sich um eine Zahl zwischen 0 und 9. Der Schwellenwert, den Sie konfigurieren, bestimmt, ob ein Absender für eine gewisse Zeit (1 – 48 Stunden) in die IP-Sperrliste aufgenommen wird. Mit folgendem Befehl können Sie die Absenderzuverlässigkeit konfigurieren: Seite 39 von 59 Set-SenderReputationConfig –OpenProxyDetectionEnabled <$true|$false> -SenderBlockingEnabled <$true|$false> -SrlBlockThreshold <Wert> -SenderBlockingPeriod <Wert> Seite 40 von 59 Anlagenfilterung Mit der Anlagenfilterung überprüft der Exchange-Server die Anlagen von Nachrichten. Dabei kann er die Filterung anhand von Dateinamen und Dateinamenerweiterungen (FileName) oder anhand von MIME-Inhaltstypen (ContentType) durchführen. In der Konfiguration haben Sie die Möglichkeit festzulegen, wie mit Nachrichten verfahren werden soll, die durch die Anlagenfilterung erfasst wurden. Dabei haben Sie die Auswahl zwischen den Aktionen Reject, Strip und SilentDelete. Standardmäßig ist das System auf Strip eingestellt. Dabei werden die Anlagen entfernt und die Nachricht ohne diese an den Empfänger weitergeleitet. Der Empfänger sieht, welche Anlagen warum entfernt wurden. Die Konfiguration der Anlagenfilterung können Sie sich mit Get-AttachmentFilterListConfig anzeigen lassen und mit Set-AttachmentFilterListConfig –Action <Wert> die Einstellung bearbeiten. Die Filtereinträge erstellen Sie mit folgendem Befehl: Add-AttachmentFilterEntry –Name <Inhaltstyp> -Type <FileName|ContentType> Den Inhaltstyp geben Sie entweder mit dem Dateinamen (z. B. *.pdf) und -Type FileName oder als MIME-Wert (z. B. image/jpeg) und –Type ContentType an. Eine Liste mit MIME-Inhaltstypen finden Sie unter blog.essigkrug.net oder in diesem Dokument: http://ip-klaeden.dyndns.org/netz/iuk98/kap5/mimetype.txt. Sicherstellen der Nachrichtenintegrität Eine der großen Gefahren beim Versand von Nachrichten über das Internet ist, dass die Integrität der Nachrichten nicht gewährleistet werden kann, da die Nachrichten standardmäßig im Klartext übertragen und abgespeichert werden. Die Nachricht kann auf dem Weg zum Empfänger also abgefangen, gelesen und manipuliert werden. Um diesen Gefahren zu begegnen, wurden einige Verfahren entworfen, die es ermöglichen sollen, den Absender einer Nachricht zu identifizieren und die Integrität der Nachricht zu gewährleisten. S/MIME verwenden Secure Multipurpose Internet Mail Extensions (S/MIME) basiert auf Benutzerzertifikaten, mit denen der Absender einer Nachricht sich anhand einer digitalen Signatur ausweisen kann. Zusätzlich bietet S/MIME die Möglichkeit, Nachrichten zu verschlüsseln. Um S/MIME in der Kommunikation mit externen Empfängern verwenden zu können, benötigt der Absender ein Zertifikat von einer Zertifizierungsstelle, welcher der Empfänger vertraut. Beim Absenden der Nachricht wird ein Datenblock generiert, der die Informationen enthält, um die Signatur überprüfen zu können. Im zweiten Datenblock werden die Nachricht und der MIME-Header gespeichert, über die die Signatur erstellt wird. Damit bleibt die Nachricht auch für Clients lesbar, die S/MIME nicht unterstützen. Benutzer können S/MIME über ihren Mail-Client (Outlook, mobile Geräte, etc.) oder per Outlook Web App verwenden. Sie benötigen jedoch immer ihr Zertifikat im entsprechenden Zertifikatspeicher des Computers, an dem sie es verwenden möchten. Ob Benutzer S/MIME mit OWA verwenden dürfen, können Sie in den Segmentierungseinstellungen konfigurieren. Wenn S/MIME für OWA aktiviert wird, können Benutzer das S/MIME-Plugin herunterladen und installieren. Mit diesem können Sie dann auswählen, ob eine Nachricht signiert oder verschlüsselt werden soll. Seite 41 von 59 Wenn Benutzer S/MIME zur Verschlüsselung von Nachrichten verwenden möchten, benötigen Sie immer das S/MIME-Zertifikat des Empfängers. Die Nachricht wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und nur der Eigentümer des Zertifikats kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Wenn eine Nachricht an mehrere Empfänger verschlüsselt gesendet werden soll, benötigt der Absender von jedem Empfänger ein Zertifikat. Sollte von einem Empfänger der Nachricht kein Zertifikat vorliegen, kann die Nachricht nicht verschlüsselt gesendet werden. Konfigurieren der Domänensicherheit Da die Verwendung von S/MIME einen hohen administrativen Aufwand mit sich bringt, bietet Exchange Server 2010 Ihnen eine weitere Möglichkeit, um Nachrichten geschützt zu übertragen und den Absender zu verifizieren. Zur Absicherung von E-Mail-Nachrichten zwischen Unternehmen können Sie die sog. Domänensicherheit verwenden. Dabei wird gewährleistet, dass der absendende und der empfangende Mailserver sich gegenseitig anhand von Zertifikaten ausweisen (Mutual TLS). Damit ist die Identität aller beteiligten Mail-Systeme gewährleistet und das die Nachricht das Internet durch einen sicheren Kanal durchquert. Um Domänensicherheit verwenden zu können, benötigen Sie für Ihre Exchange-Organisation ein Zertifikat von einer externen, vertrauenswürdigen Zertifizierungsstelle, das Sie dann im Zertifikatsspeicher des Servers ablegen, der die externe Kommunikation mit dem Partner übernimmt (üblicherweise ein Edge-Server). Ein Zertifikat können Sie beispielsweise mit folgendem Befehl anfordern: $Data1 = New-ExchangeCertificate –GenerateRequest –FriendlyName <Name> SubjectName „DC=<TLD>,DC=<Domain>,CN=<FQDN Server>“ –DomainName <Name der externen Domäne> Set-Content –Path <Dateiname.req> -Value $Data1 Nachdem Sie die Zertifikatsanforderung bei einer externen, vertrauenswürdigen Zertifizierungsstelle eingereicht haben, erhalten Sie das Zertifikat. Dieses müssen Sie anschließend auf dem Server importieren und für den SMTP-Verkehr aktivieren: Import-ExchangeCertificate –FileData ([Byte[]]$(Get-Content –Path <Dateiname.pfx> -Encoding Byte –ReadCount 0)) | Enable-ExchangeCertificate –Services SMTP Anschließend müssen Sie die Listen der domänengesicherten Domänen konfigurieren. Domänensicherheit wird nur für Domänen verwendet, die in den Listen enthalten sind. Set-TransportConfig –TLSRecieveDomainSecureList <Wert> Set-TransportConfig –TLSSendDomainSecureList <Wert> Abschließend müssen Sie den Sendeconnector, der die Nachrichten an dem Empfänger versendet, für Domänensicherheit konfigurieren: Set-SendConnector –Identity <Name> -DomainSecureEnabled <$true|$false> -DNSRoutingEnabled <$true|$false> Auf Seiten des Empfangsconnectors müssen Sie keine weiteren Einstellungen vornehmen, da diese standardmäßig für Domänensicherheit konfiguriert sind. Seite 42 von 59 Information Rights Management (IRM) Der Schutz vertraulicher Informationen stellt die Administratoren vor große Herausforderungen. Gerade E-Mails stellen eine große Gefahr dar, da sich darüber einfach und weitestgehend unkontrolliert Informationen verbreiten lassen. Um den Nachrichtenverkehr besser schützen zu können, hat Microsoft die Rights Management Services (AD RMS) zur Verwendung in Exchange Server 2010 als Information Rights Management vorgesehen. IRM bietet den Benutzern von Outlook und OWA die Möglichkeit, Nachrichten mittels Vorlagen und Administratoren, Nachrichten aufgrund von Bedingungen mittels Transportschutzregeln zu schützen. Vorbereiten der Exchange-Organisation zur Verwendung von IRM Um IRM in Exchange Server 2010 nutzen zu können, müssen einige administrative Vorbereitungen getroffen werden. 1. Vorlizenzierung aktivieren Damit der Exchange Server nicht immer den RMS-Server für Lizenzen ansprechen muss, aktiviert man die Vorlizenzierung. Damit ist der Exchange Server in der Lage, Lizenzen auszustellen, um auf Nachrichten zugreifen zu können, die per IRM geschützt sind. Dies müssen Sie für interne sowie externe Nachrichten durchführen: Set-IRMConfiguration gEnabled $true –InternalLicensingEnabled $true –ExternalLicensin- 2. Verarbeitung IRM-geschützter Nachrichten durch Transport-Server ermöglichen Um die Verarbeitung IRM-geschützter Nachrichten durch die Transport-Server zu ermöglichen, müssen Sie das Systempostfach FederatedEmail… zur Gruppe ADRMSSuperUser hinzufügen. Damit sind die Transport-Server in der Lage, IRM-geschützte Nachrichten zu entschlüsseln. 3. IRM für OWA organisationsweit aktivieren Um IRM in Outlook Web App verwenden zu können, muss dieses erst aktiviert werden. Dies können Sie für einzelne OWA-Verzeichnisse (Set-OWAVirtualDirectory) oder organisationsweit erledigen. Für die organisationsweite Aktivierung führen Sie folgenden Befehl aus: Set-IRMConfiguration –ClientAccessServerEnabled $true 4. Benutzern die IRM-Vorlagen für OWA und Outlook zuweisen Damit Benutzer IRM selbst verwenden können, müssen Sie den Benutzern die entsprechenden Vorlagen zuweisen. Dies erfolgt über Gruppen, denen die Benutzer angehören: New-OutlookProtectionRule –Name <Name> RightsProtectionTemplate <RMS-Vorlage> -SentTo <Gruppe> -Apply- 5. Transportschutzregeln erstellen Transportschutzregeln sind nichts anderes als Transportregeln, die RMS-Vorlagen aufgrund vorher definierter Bedingungen auf Nachrichten anwenden. Vorteil an dieser Lösung ist, dass der Benutzer selbst keine Vorlagen anwenden muss, der Nachteil ist, dass die Nachrichten ohne Schutz im Postfach des Benutzers gespeichert werden. Seite 43 von 59 Eine neue Transportschutzregel erstellen Sie, indem Sie eine normale Transportregel erstellen und als Transportregelaktion –ApplyRightsProtectionTemplate <RMS-Vorlage> angeben. Seite 44 von 59 Messaging Records Management (MRM) E-Mail-Nachrichten enthalten mitunter wichtige Informationen, welche nicht nur aus geschäftlicher, sondern evtl. auch aus rechtlicher oder behördlicher Sicht wichtig sind. Manche Nachrichten müssen aufgrund der Aufbewahrungspflichten eines Kaufmannes für eine gewisse Zeit aufbewahrt werden, andere vielleicht aus internen Bestimmungen. Um allen Vorgaben nachkommen zu können, gibt es in Exchange Server 2010 verschiedene Funktionen, die Sie einsetzen können, um Vorschriften und Richtlinien einzuhalten. Neue Aufbewahrungstags erstellen Aufbewahrungstags werden verwendet, um den Benutzern die Organisation ihrer Postfächer zu erleichtern, indem Nachrichten aufgrund der Tags nach Ablauf einer Frist ins Archiv verschoben oder aus dem Postfach entfernt werden. Die Tags werden den Benutzern über Aufbewahrungsrichtlinien zugewiesen. Dabei werden drei Arten von Tags unterschieden: Standardrichtlinientags (Default Policy Tags, DPT) werden auf alle Elemente angewendet, auf die kein anderes Tag angewendet wurde. Pro Aufbewahrungsrichtlinie ist immer nur ein DPT zulässig. Aufbewahrungsrichtlinientags (Retention Policy Tags, RPT) werden auf Standardordner angewendet. Das Tag wird vom Standardordner auf alle im Ordner enthaltenen Elemente vererbt. Pro Aufbewahrungsrichtlinie ist immer nur ein Tag pro Standardordner zulässig. Persönliche Tags ermöglichen es Benutzern, Elemente mit diesen zu versehen und dabei abweichende Aufbewahrungsfristen und Aktionen anzuwenden. Persönliche Tags haben die höchste Priorität und können unbegrenzt zugewiesen werden. Standardmäßig sind verschiedene Aufbewahrungstags konfiguriert. Zwar ist es möglich, Aufbewahrungstags mit der Verwaltungskonsole zu erstellen, jedoch empfiehlt sich der Einsatz der Management-Shell, da Sie dort deutlich mehr Funktionen nutzen können: New-RetentionPolicyTag –Name <Name> -Type <Typ> -Comment <Wert> -AgeLimitForRetention <Wert> -RetentionAction <Aktion> -RetentionEnabled <$true|$false> Die Aktion, welche nach Erreichen der Aufbewahrungsfrist ausgeführt werden soll, ist üblicherweise PermanentlyDelete, MoveToArchive oder DeleteAndAllowRecovery. Für eine Übersicht über alle Aktionen rufen Sie bitte die Hilfe des Befehls auf. Neue Aufbewahrungsrichtlinie anlegen Nachdem Sie Ihre Aufbewahrungstags erstellt und konfiguriert haben, können Sie diese den Benutzern zuweisen. Hierfür verwenden Sie sog. Aufbewahrungsrichtlinien, in denen die Tags zusammengefasst werden, die dem Benutzer zur Verfügung stehen sollen. New-RetentionPolicy –Name <Name> –RetentionPolicyTagLinks <Tag-Name> Nachdem Sie die Richtlinie erstellt haben, können Sie die Richtlinie mit folgendem Befehl auf das Postfach des Benutzers anwenden: Set-Mailbox –Identity <Name> -RetentionPolicy <Name> Die Benutzer können die Persönlichen Tags mit einem Rechtsklick auf ein Element anwenden, wenn Sie von der Ordnerrichtlinie abweichen möchten. Eventuell dauert es über Nacht, bis den Benutzern die Aufbewahrungsrichtlinie zugewiesen wurde. Seite 45 von 59 Konfigurieren des Assistenten für verwaltete Ordner Mit den Aufbewahrungsrichtlinien automatisieren Sie die Organisation des Postfachs. Der Assistent für verwaltete Ordner ist das Dienstprogramm, welches die Aufbewahrungstags anwendet. Einen von den Standardwartungszeiträumen abweichenden Zeitplan, wann der Assistent laufen soll, können Sie mit folgendem Befehl festlegen: Set-MailboxServer –Identity <Name> -ManagedFolderAssistantSchedule <Wert> Manuell können Sie den Assistenten mit folgenden Befehlen starten: Start-ManagedFolderAssistant –Identity <Postfachname> Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren Wenn Sie verhindern möchten, dass ein Benutzer dauerhaft Elemente aus seinem Postfach löschen kann, können Sie die Aufbewahrung für eventuelle Rechtsstreitigkeiten (Legal oder Litigation Hold) aktivieren: Set-Mailbox –Identity <Name> -LitigationHoldEnabled <$true|$false> Wenn die Option aktiv ist, wird verhindert, dass der Ordner Purges im Rahmen der Wartung geleert wird. Der Benutzer hat keinen Zugriff auf den Ordner Purges, lediglich Administratoren können im Rahmen einer Suche auf den Ordner zugreifen. Neue Journalregel erstellen Journalregeln ermöglichen es, Nachrichten auf Ebene der Hub-Transport-Server zu erfassen und an sog. Journalempfänger transparent für den Absender und Empfänger weiterzuleiten. Journalempfänger sind entweder reservierte Postfächer oder vertrauenswürdige Empfänger innerhalb Ihrer Organisation. Die Beachtung von Datenschutzregeln sowie anderen gesetzlichen und behördlichen Vorgaben ist dabei sehr wichtig. Eine neue Journalregel erstellen Sie mit folgendem Befehl: New-JournalRule –Name <Name> -JournalEmailAddress <Adresse> -Scope <Global|Intern|Extern> -Enabled <$true|$false> Zugriff auf das Postfach, an welches die Nachrichten gesendet wurden, sollte nur vertrauenswürdigen Personen eingeräumt werden. Meine Empfehlung sind Gruppenpostfächer, auf die die entsprechenden Personen Vollzugriff erhalten. Reserve-Journalpostfach konfigurieren Sollte das Postfach, welches die Journale empfängt, ausfallen, werden automatisch NDRs generiert. Diese NDRs können Sie in ein Reserve-Journalpostfach umleiten. Damit haben Sie die Möglichkeit, die Nachrichten, nachdem das Journalpostfach wieder verfügbar ist, erneut zustellen zu lassen. Set-TransportConfig –JournalingReportNdrTo <Adresse> Verwenden von E-Mail-Infos E-Mail-Infos werden dem Benutzer angezeigt, wenn er eine neue Nachricht erstellt und die Empfänger einträgt. Dies soll dazu dienen, unnötig versendete Nachrichten zu vermeiden. Der Benutzer wird darauf hingewiesen, wenn er eine Nachricht an sehr viele Empfänger (>25) versendet oder einer der Empfänger extern ist. Zusätzlich haben Sie die Möglichkeit, E-Mail-Infos für Verteilergruppen oder einzelne Benutzer zu konfigurieren, die dann angezeigt werden. Seite 46 von 59 Sie können E-Mail-Infos für Benutzer, Gruppen, Kontakte und Mail-User jeweils mit dem Parameter -MailTip konfigurieren. Seite 47 von 59 Organisationseinstellungen für E-Mail-Infos Auf Organisationsebene können Sie verschiedene Arten von E-Mail-Infos konfigurieren: Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled Legt fest, ob E-Mail-Infos angezeigt werden, wenn ein Empfänger außerhalb der Exchange-Organisation liegt. -MailTipsLargeAudienceThreshold Legt fest, bei welcher Anzahl an Empfängern ein Hinweis eingeblendet wird. -MailTipsMailboxSourcedTipsEnabled Legt fest, ob postfachbezogene E-Mail-Infos angezeigt werden sollen. -MailTipsGroupMetricsEnabled Legt fest, ob gruppenbezogene E-Mail-Infos angezeigt werden sollen. Verwenden von Klassifikationen Klassifikationen bieten Ihnen die Möglichkeit, Nachrichten mittels Transportregeln anhand der vom Benutzer vergebenen Klassifikation zu verarbeiten. Zusätzlich besteht die Möglichkeit, Klassifikationen auf Nachrichten mittels Transportregel anzuwenden. Die Klassifikation einer Nachricht wird dem Benutzer angezeigt, sodass er weiß, wie mit der Nachricht zu verfahren ist. Anwendung finden Klassifikationen überwiegend im Gesundheitsbereich und bei der Übermittlung personenbezogener Daten und juristischer Korrespondenz. Eine neue Nachrichtenklassifikation mit Lokalisierung auf ein entsprechendes Gebietsschema erstellen Sie so: New-MessageClassification –Name <Name> -DisplayName <Name> -SenderDescription <Wert> -Locale <Gebietsschema> Nachdem Sie die entsprechenden Klassifikationen erstellt haben, müssen Sie diese den Benutzern zur Verfügung stellen. Dafür müssen Sie die Klassifikationen auf dem ExchangeServer mithilfe des Skripts .\Export-OutlookClassification.ps1 > c:\Classification.xml exportieren. Diese XML-Datei müssen Sie anschließend an die Clients verteilen. Auf den Clients müssen Sie folgende Registry-Werte verändern, damit Outlook auf die Klassifikationen zugreifen kann. Der Schlüssel Policy ist nicht standardmäßig vorhanden und muss erstellt werden: [HKEY_CURRENT_USER\Software\Microsoft\Office\<Version>\Common\Policy] „AdminClassificationPath“=“<Pfad\Classification.xml>“ „EnableClassifications“=dword:00000001 „TrustClassifications“=dword:00000001 Weitere Informationen zum Thema Klassifikationen finden Sie unter http://technet.microsoft.com/de-de/library/ee861122(v=exchg.141).aspx. Implementieren einer Ermittlungssuche Die Ermittlungssuche erlaubt es in Exchange Server 2010, Postfächer nach Nachrichten zu durchsuchen. Die Suche kann sich dabei auf einzelne Postfächer beschränken oder sämt- Seite 48 von 59 liche Postfächer umfassen. Die Ergebnisse der Suche werden in sog. Suchpostfächern (Discovery Mailbox) gespeichert. Der Zugriff auf die Suchfunktion sowie die Suchpostfächer sollte nur für vertrauenswürdige Mitarbeiter gewährt werden. Um einem Benutzer das Recht einzuräumen, eine Ermittlungssuche anzulegen und durchzuführen, muss der Benutzer zur Gruppe Discovery Management hinzugefügt werden. Ferner benötigt er Vollzugriff auf das Suchpostfach, in welchem er die Ergebnisse der Suche speichert. Die Ergebnisse werden in einem Ordner im Postfach gespeichert, der den Namen der Ermittlungssuche trägt. Die Suche kann der Benutzer am einfachsten über die Exchange Systemsteuerung anlegen und ausführen. Er wechselt dafür auf Organisation verwalten – E-Mail-Steuerelement – Ermittlung. Dort findet er alle Suchaufträge, die angelegt worden sind, kann neue Ermittlungssuchen anlegen oder vorhandene neu ausführen. Alternativ können Sie eine Suche auch mit der Management-Shell erstellen: New-MailboxSearch –Name <Name> Ich empfehle Ihnen jedoch, die Exchange-Systemsteuerung zu verwenden, da diese deutlich einfacher zu bedienen ist. Ein neues Suchpostfach können Sie mit dem Befehl New-Mailbox –Discovery anlegen. Rollenbasierte Zugriffsteuerung (RBAC) Exchange Server 2010 verwendet die Rollenbasierte Zugriffsteuerung (Role Based Access Control RBAC), um Benutzern und Administratoren Berechtigungen zuzuweisen. Es werden dabei zwei Gruppen unterschieden, denen Berechtigungen zugewiesen werden. Benutzern werden die Berechtigungen, welche persönlichen Einstellungen der Benutzer im Bereich Optionen von OWA er vornehmen darf, über Rollenzuweisungsrichtlinien zugewiesen. Administrative Berechtigungen zur Verwaltung von Exchange Server 2010 werden dagegen über Verwaltungsgruppen oder direkte Zuweisung von Rechten an Benutzer gewährt. Hier wird besonders auf die Administrativen Berechtigungen eingegangen, da die Zuweisung der Benutzerrechte eingeschränkt ist und man in der Regel mit den Standardeinstellungen (Default Role Assignment Policy) gut fährt. Neuer Verwaltungsbereich anlegen Verwaltungsbereiche helfen uns, Berechtigungen auf einzelne Bereiche einzuschränken. Die Verwaltungsgruppen, welche bei der Installation von Exchange Server 2010 angelegt wurden, berechtigen den Benutzer auf Organisationsebene. Wenn Sie die Bereiche, auf die der Benutzer Zugriff erhalten soll, einschränken möchten, müssen Sie Verwaltungsbereiche konfigurieren: New-ManagementScope –Name <Name> -ServerList <Name> Geben Sie die Liste mit Servern an, die verwaltet werden dürfen. -ServerRestrictionFilter <Wert> Geben Sie Eigenschaften wie z. B. den Standort der Server an, die verwaltetet werden dürfen. -DatabaseList <Name> Geben Sie eine List mit Datenbanken an, die verwaltet werden dürfen. Seite 49 von 59 -DatabaseRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, welche Datenbanken verwaltet werden dürfen. -RecipientRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, welche Empfänger verwaltet werden dürfen. Der Bereich kann auch auf Organisationseinheiten eingeschränkt werden. Diese Einschränkung konfigurieren Sie jedoch bei der jeweiligen Verwaltungsgruppe. Neue Verwaltungsgruppe anlegen Verwaltungsgruppen enthalten einerseits die Benutzer, die berechtigt sein sollen, die entsprechenden Aktionen auszuführen. Andererseits werden ihnen die Verwaltungsrollen zugewiesen, die die einzelnen Berechtigungen enthalten. New-RoleGroup –Name <Name> Am einfachsten konfigurieren Sie die Verwaltungsrollen, die der Gruppe zugwiesen werden sollen, über die Exchange Systemsteuerung (ECP). Dort finden Sie eine grafische Oberfläche, über die Sie einfach die entsprechenden Verwaltungsrollen zuweisen können. Hier können Sie auch bequem den Verwaltungsbereich bzw. die Organisationseinheit festlegen. Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen Verwaltungsrollen werden über Verwaltungsrollenzuweisungen zugewiesen. Eine Verwaltungsrolle kann entweder einem Benutzer oder einer Gruppe zugewiesen werden, empfohlen wird die Verwendung von Verwaltungsgruppen. Zusätzlich ist es notwendig, einen Bereich festzulegen, in dem der Rolleninhaber arbeiten darf. Eine neue Zuweisung erstellen Sie wie folgt: New-ManagementRoleAssignment –Name <Name> -Role <Rollenname> -SecurityGroup <Name> Weist die Verwaltungsrolle einer Sicherheitsgruppe zu. -User <Name> Weist die Verwaltungsrolle einem Benutzer zu. Neue Verwaltungsrolle erstellen Exchange Server 2010 ermöglicht es mit RBAC, die Rechte, welche einem Benutzer zugewiesen werden, sehr genau festzulegen. Verwaltungsrollen sind Gruppierungen von Cmdlets, die dem Benutzer durch die Rolle zur Verfügung gestellt werden. Cmdlets, die der Benutzer nicht durch eine Verwaltungsrolle zugewiesen bekommt, kann er nicht verwenden. Sie können auf den existierenden Verwaltungsrollen basierend neue Verwaltungsrollen erstellen und diese dann gezielt konfigurieren. New-ManagementRole –Name <Name> -Parent <Wert> Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen Nachdem Sie die Verwaltungsrolle geklont haben, können Sie sich die Cmdlets mit den zugehörigen Parametern anzeigen lassen: Get-ManagementRoleEntry –Identity <Rolle\*> Verwaltungsrolleneinträge entfernen Sie können aus der Verwaltungsrolle einzelne Cmdlets oder Parameter entfernen und diese damit Ihren Anforderungen anpassen. Hier werden z. B. aus einer Rolle alle Cmdlets entfernt, die nicht dem Wert bei –NotLike <Wert> entsprechen. Seite 50 von 59 Get-ManagementRoleEntry –Identity <Rolle\*> | Where {$_.Name –NotLike <Wert>} | Remove-ManagementRoleEntry Verwaltungsrolleneintrag hinzufügen Sie können auch Cmdlets zu Verwaltungsrollen hinzufügen. Dies geht allerdings nur mit den Cmdlets, die in der übergeordneten Verwaltungsrolle (Parent) enthalten sind. Add-ManagementRoleEntry <Rolle\Cmdlet> Rollenzuweisungsrichtlinien Im Gegensatz zu den administrativen Verwaltungsrollen erhalten Benutzer die Berechtigungen, welche ihrer Informationen sie im OWA unter Optionen selbst konfigurieren können, über die Rollenzuweisungsrichtlinien. Standardmäßig erhält jeder Benutzer die Default Role Assignment Policy zugewiesen. Wenn Sie einzelnen Benutzern andere Berechtigungen zuweisen möchten, können Sie mit folgendem Befehl eine neue Rollenzuweisungsrichtlinie erstellen: New-RoleAssignmentPolicy –Name <Name> -Roles <Verwaltungsrollen> -IsDefault Hochverfügbarkeit in Exchange Server 2010 Als hochverfügbar werden Systeme bezeichnet, die eine garantierte Uptime von über 99 % haben. Diese Zeiten werden über sog. Service Level Agreements (SLA) vereinbart. Exchange Server 2010 verfügt über die Möglichkeit, jede einzelne der Rollen hochverfügbar bereitstellen zu können. Hochverfügbarkeit geht immer einher mit entsprechenden Kosten. Je höher die Verfügbarkeit umso höher die Kosten, wobei die Kosten ab einem bestimmten Grad der Hochverfügbarkeit exponentiell ansteigen. Hub-Transport-Server Am einfachsten ist Hochverfügbarkeit bei Hub-Transport-Servern umzusetzen. Stellen Sie einfach an jedem Standort mindestens zwei Hub-Transport-Server auf. Eine weitere Konfiguration ist nicht notwendig. Es empfiehlt sich jedoch bei der Planung der Exchange-Server bereits darauf zu achten, dass nur die Rollen Hub-Transport und Client-Access kombiniert werden. Postfach-Server sollten immer auf separaten Servern installiert werden, um Komplikation bei der Bereitstellung von Hochverfügbarkeit der anderen Rollen zu vermeiden. Edge-Transport-Server Edge-Transport-Server sind ebenfalls sehr einfach hochverfügbar zu machen. Sie stellen einfach mehrere Edge-Transport-Server auf. Diese müssen sich auch nicht am selben Standort befinden sondern können an beliebigen Internet-Standorten aufgestellt werden. Die Konfiguration der Edge-Transport-Server können Sie mit den Export-Skripten und die Transportregeln mit dem Cmdlet Export-TransportRuleCollection klonen. Um die Verfügbarkeit gewährleisten zu können, müssen Sie im DNS-Eintrag Ihrer SMTPDomäne für jeden Edge-Server einen MX-Eintrag anlegen. Dabei haben Sie die Wahl, ob alle MX-Einträge dieselbe oder eine gestaffelte Priorität erhalten. Client-Access-Server Die Rolle des Client-Access-Servers kann mit relativ wenig Aufwand hochverfügbar gemacht werden. Es ist dabei jedoch darauf zu achten, dass Sie die Softwarelösung Netzwerklastenausgleich von Microsoft nur verwenden können, wenn auf dem Server nicht zeitgleich das Failover-Cluster-Feature installiert ist. Microsoft empfiehlt jedoch immer die Verwendung einer Hardwarelösung, da die integrierte Softwarelösung lediglich einen Seite 51 von 59 Serverausfall und keinen Dienstausfall erkennen kann. Darüber hinaus sind Hardwarelösungen in der Lage, Arrays über mehrere Standorte aufzubauen. Die Softwarelösung dagegen ist Standortgebunden. Seite 52 von 59 Um ein Client-Access-Arrray mit dem Tool Netzwerklastenausgleich von Windows Server einrichten zu können, gehen Sie wie folgt vor: 1. Installieren Sie auf allen Knoten des Netzwerklastenausgleichscluster über den ServerManager das Windows Server-Feature Netzwerklastenausgleich. 2. Starten Sie in der Verwaltung das Tool Netzwerklastenausgleich und erstellen Sie einen neuen Cluster. Vergeben Sie eine IP-Adresse aus dem Netz, aus dem die Clients auf den Cluster zugreifen werden. 3. Fügen Sie anschließend den FQDN und die IP-Adresse des Clusters in Ihrer internen DNS-Zone hinzu. 4. Erstellen Sie in Ihrer Exchange-Organisation ein neues Client-Access-Array. Über dieses Array werden später die Clients auf die Postfachdatenbanken zugreifen. New-ClientAccessArray –Name <Name> -Fqdn <FQDN d. Clusters> -Site <Standort> 5. Abschließend müssen Sie für jede Datenbank den richtigen RPC-Client-Access-Server konfigurieren. Es kann immer nur ein CAS auf eine Datenbank zugreifen. Da durch das Client-Access-Array nun mehrere Server auf eine Datenbank zugreifen können, müssen Sie diesen Zugriff auf die Datenbank gestatten. Dies geschieht, indem Sie den RPCClient-Access-Server der Datenbank auf das Array festlegen: Set-MailboxDatabase –Identity <Name> -RPCClientAccessServer <ArrayName> Diese Vorgehensweise gilt für Hard- und Softwarebasierte Lastenausgleichslösungen ab Schritt 4. Bezüglich der Konfiguration der von Ihnen gewählten Lösung können die Schritte 1 – 3 abweichen. Postfach-Server Hochverfügbarkeit für Postfachserver basiert auf dem Windows-Feature Failover-Cluster, welches in den Serverversionen Server 2008 Enterprise-Edition oder höher enthalten ist. In Exchange Server 2010 richten Sie dann eine Datenbankverfügbarkeitsgruppe ein. Diese ist nichts anderes als ein Failover-Cluster für Postfachdatenbanken. Zum Erstellen einer Datenbankverfügbarkeitsgruppe gehen Sie wie folgt vor: 1. Installieren Sie das Windows Server 2008-Feature Failover-Cluster auf jedem Server, der Mitglied in der Datenbankverfügbarkeitsgruppe werden soll. 2. Erstellen Sie in der Exchange Verwaltungskonsole eine neue Datenbankverfügbarkeitsgruppe. Sie haben im Assistenten die Möglichkeit, einen Zeugenserver und ein Zeugenverzeichnis anzugeben. Standardmäßig wählt Exchange einen Hub-Transport-Server aus, auf dem die Rolle Postfachserver nicht installiert ist. Sollte dies nicht möglich sein, müssen Sie hier einen Zeugenserver konfigurieren. Dabei ist darauf zu achten, dass die Sicherheitsgruppe Exchange Trusted Subsystems in der lokalen Gruppe der Administratoren auf dem Zeugenserver aufgenommen werden muss, um entsprechende Berechtigungen zu erhalten. New-DatabaseAvailabilityGroup –Name <Name> -DatabaseAvailabilityGroupIpAddress <IP> -WitnessServer <Server> -WitnessDirectory <Verzeichnis> 3. Bevor Sie die Mitglieder einer Datenbankverfügbarkeitsgruppe hinzufügen, sollten Sie die DAG konfigurieren. Hier ist vor allem die IP-Konfiguration wichtig. In Produktivumgebungen werden IP-Adressen häufig über DHCP vergeben, sodass Ihre DAG vermutlich bereits über eine IP-Adresse verfügt. Sollte das nicht der Fall sein, geben Seite 53 von 59 Sie hier bitte eine entsprechende IP-Adresse aus dem Netz an, über das die DAG-Mitglieder kommunizieren sollen. 4. Abschließend fügen Sie die Postfach-Server zur DAG hinzu. Maximal können Sie 16 Postfach-Server zu einer DAG hinzufügen. Die Mitgliedschaft eines Postfach-Servers in einer DAG bedeutet nicht, dass die Datenbanken automatisch auf allen Servern repliziert werden. Auf welche Server innerhalb einer DAG die Datenbank repliziert wird, legen Sie separat fest. Add-DatabaseAvailabilityGroupServer <Name> –Identity <Name> -MailboxServer Einrichten einer Postfachdatenbankkopie Nachdem Sie Ihre Datenbankverfügbarkeitsgruppe erstellt und die Postfach-Server als Mitglieder hinzugefügt haben, können Sie die Kopien der Postfachdatenbanken, die auf den Mitgliedern gespeichert sind, einrichten: Add-MailboxDatabaseCopy –Identity <Name> -MailboxServer <Server> -ActivationPreference <Wert> Nach dem Einrichten der Datenbankkopie findet ein sog. Seeding statt. Dabei wird die gesamte Datenbank auf den Mailbox-Server kopiert. Nach erfolgreichem Seeding werden nur noch die Transaktionsprotokolle kopiert, die dann von der Datenbankkopie eingespielt werden. Sie haben beim Einrichten der Datenbankkopie mittels Management Shell die Möglichkeit, eine Wiedergabeverzögerung zu konfigurieren. Dies dient dazu, dass Sie mind. eine Kopie der Datenbank haben, welche die Transaktionsprotokolle verzögert einspielt. Damit können Sie verhindern, dass ein fehlerhaftes Transaktionsprotokoll sämtliche Datenbankkopien beschädigt. Durch die Wiedergabeverzögerung haben Sie die Möglichkeit, dass fehlerhafte Transaktionsprotokoll zu löschen, sodass dieses nicht in die Datenbankkopie eingespielt wird. Diese Vorgehensweise kann aufwendige Backup-Strategien ersetzen und Ausfallzeiten verringern. Eine verzögerte Datenbankkopie legen Sie mit dem Parameter –ReplayLagTime <Wert> an. Die Verzögerung kann maximal 14 Tage betragen. Zusätzlich können Sie mit dem Parameter –TruncationLagTime <Wert> festlegen, wann die Transaktionsprotokolle gelöscht werden sollen. Wenn Sie eine verzögerte Datenbankkopie aktivieren möchten, können Sie alle Transaktionsprotokolle einspielen oder festlegen, bis zu welchem Zeitpunkt die Transaktionsprotokolle eingespielt werden sollen. Wenn Sie den Zeitpunkt festlegen möchten, müssen Sie die Transaktionsprotokolle mit Eseutil.exe manuell bearbeiten. Weitere Informationen zur Aktivierung verzögerter Postfachdatenbankkopien finden Sie im Technet unter http://technet.microsoft.com/de-de/library/dd979786.aspx. Postfachdatenbankkopie aktivieren Move-ActiveMailboxDatabase –Identity <Name> -ActivateOnServer <Server> Postfachdatenbankkopie anhalten Suspend-MailboxDatabaseCopy –Identity <Name\Server> Postfachdatenbankkopie fortsetzen Resume-MailboxDatabaseCopy –Identity <Name\Server> Seite 54 von 59 Erneutes Seeding einer Postfachdatenbankkopie Sollte eine Datenbankkopie auf einem Postfachserver ein Problem aufweisen und damit verbunden die Bereitstellung der Datenbank fehlschlagen, können Sie ein neues Seeding durchführen. Stoppen Sie die Replikation zu der Datenbankkopie, für welche Sie ein erneutes Seeding durchführen wollen. Löschen Sie auf dem Zielserver die Transaktionsprotokolle und die Datenbank. Führen Sie in einer Management Shell folgenden Befehl aus: Update-MailboxDatabaseCopy –Identity <Name\Server> -SourceServer <Server> Seite 55 von 59 Überwachen von Exchange Server 2010 Einen Großteil seiner Zeit verbringt ein Exchange-Administrator mit der Überwachung und Auswertung seiner Exchange-Organisation. Um den reibungslosen Betrieb gewährleisten zu können, müssen regelmäßig die Betriebszustände erfasst und ausgewertet werden. Dies ermöglicht es auch, Probleme im Vorfeld zu erkennen und frühzeitig auf diese reagieren zu können. Überwachen von Informationen und Statistiken über Datenbanken Die Datenbanken als Herzstück der Exchange-Organisation bedürfen besonderer Aufmerksamkeit. Gerade wenn Hochverfügbarkeitslösungen implementiert sind, fällt ein Ausfall eines einzelnen Postfachservers unter Umständen nicht auf. Um die Ausfallsicherheit gewährleisten zu können, ist es wichtig, sich regelmäßig vom Zustand seiner Datenbanken ein Bild zu machen. Abrufen von Informationen von Postfachdatenbanken Allgemeine Informationen über die Postfachdatenbank kann man sich mit folgendem Befehl verschaffen: Get-MailboxDatabase –Identity <Name> | FL Abrufen von statistischen Informationen von Postfächern Um sich einen Überblick über die Postfächer Ihrer Exchange-Organisation verschaffen zu können, haben Sie die Möglichkeit, statistische Informationen wie Größe des Postfachs, Anzahl der Elemente, Größe der gelöschten Elemente, etc. anzeigen zu lassen. Sie können sich die Informationen optional für einen Benutzer, einen Server oder eine Datenbank anzeigen lassen: Get-MailboxStatistics –Identity <Name> -Server <Server> -Database <Name> | FL Mit den Cmdlets Sort-Object und Select-Object können Sie die Ausgabe von Get-MailboxStatistics weiter filtern und verarbeiten. Der folgende Befehl frägt die statistischen Werte aller Postfächer auf dem Server ab, sortiert diese in absteigender Reihenfolge nach der Größe der Elemente und gibt dann die ersten 5 Postfächer aus. Get-MailboxStatistics –Server <Name> | Sort-Object <Parameter> -Descending | Select-Object –First <Anzahl> Abfragen des Ressourcenverbrauchs Ermittelt die 25 Konten, die den größten Ressourcenverbrauch innerhalb einer Datenbank haben. Get-StoreUsageStatistics –Database <Name> Abfragen von statistischen Informationen von Öffentlichen Ordnern Get-PublicFolderStatistics –Identity <\Name> -Server <Name> | fl Abfragen des Status der Kopien einer Postfachdatenbank Get-MailboxDatabaseCopyStatus –Identity <Name> –ConnectionStatus | FL Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln Test-ReplicationHealth –Server <Name> | FL Abrufen von Switch- und Failover-Statistiken Zum Abruf von statistischen Informationen zu Ihren Datenbankverfügbarkeitsgruppen können Sie folgenden Befehl verwenden: Seite 56 von 59 .\CollectOverMetrics.ps1 –DatabaseAvailabilityGroup <Name> -GenerateHtmlReport –ShowHtmlReport Nach Abschluss der Datenerfassung wird das Ergebnis im Browser angezeigt. Überwachen von Replikationsmessdaten Im Gegensatz zum .\CollectOverMetrics.ps1-Skript erfolgt mit dem Skript .\CollectReplicationMetrics.ps1 eine Echtzeitmessung auf Basis der Leistungsindikatoren. Sie starten das Skript mit folgendem Befehl: .\CollectReplicationMetrics.ps1 –DagName <Name> -Verbose Geben Sie anschließend die Zeit ein, welche die Messung laufen soll sowie den Speicherort für die Ergebnisse (nur Ordner, kein Dateiname). Die Ergebnisse werden als CSV-Dateien gespeichert. Erfassen von Postfachordnerstatistiken Mit folgendem Befehl können Sie Informationen zu einzelnen Ordner, die in einem Postfach vorhanden sind, erfassen. Mit folgendem Befehl werden alle Ordner eines Postfachs angezeigt, wie viele Elemente enthalten sind und wie groß die jeweiligen Ordner sind: Get-MailboxFolderStatistics –Identity <Name> | FT Name,ItemsInFolder,FolderSize Erfassen von Anmeldestatistiken Das Erfassen der Anmelde-, Zugriffs- und Abmeldezeiten ist wichtig, um unberechtigten Zugriff auf Postfächer erfassen zu können. Get-LogonStatistics –Identity <Name> Erfassen der Anzahl von Nutzer eines bestimmten Protokolls Wenn Sie wissen möchten, welcher Benutzer wie auf sein Postfach zugreifen kann, können Sie mit Get-CasMailbox eine Liste abrufen. Exchange ActiveSync-Berichte abrufen Export-ActiveSyncLog –Filename: <Pfad d. Logfiles> -StartDate:<Datum> -EndDate:<Datum> -UseGMT:$true –OutputPath:<Pfad> Das Logfile sowie der Ausgabepfad müssen vorhanden sein, sonst generiert der Befehl einen Fehler. Überwachen der Nachrichtenübermittlung Neben der Überwachung der Postfachdatenbanken gehört es zu den Aufgaben des Exchange-Administrators, den Nachrichtenfluss zu überwachen. Eine Vielzahl an Protokolldateien und Tool stehen zur Verfügung, um Nachrichten auf ihrem Weg durch die Exchange-Organisation zu verfolgen. Eine Auswahl der wichtigsten Tools und Protokolleinstellungen finden Sie hier. Protokollkonfiguration der Postfach- und Transportserver Standardmäßig ist die Protokollierung des Nachrichtenflusses auf den Transport- und Postfachservern aktiviert. Es können jedoch in der Konfiguration der Server verschiedene Einstellungen zur maximalen Größe der Protokolldateien, des Protokollverzeichnisses und dem maximalen Alter der Protokolldateien vorgenommen werden. Diese können Sie mit den Cmdlets Set-MailboxServer oder Set-TransportServer für jeden Server einzeln konfigurieren. Seite 57 von 59 Warteschlangenanzeige Auf jedem Transport- und Postfachserver werden Nachrichten in Warteschlangen gespeichert, bis sie an die nächste Hop-Domäne oder Postfach weitergeleitet werden können. Für jede Hop-Domäne wird eine eigene temporäre Warteschlange erstellt. Lediglich die Warteschlange Übermittlung ist dauerhaft vorhanden. Nachrichten darin können nicht angehalten werden. Eine Übersicht über die Warteschlangen eines Servers erhalten Sie mit folgendem Befehl: Get-Queue –Server <Name> | FL Mit Suspend-Queue können Sie eine Warteschlange anhalten, mit Resume-Queue können Sie eine Warteschlange fortsetzen. Mit Retry-Queue können Sie eine Warteschlange erneut auslösen. Mit Get-Message können Sie sich alle Nachrichten, die auf einem Server in einer beliebigen Warteschlange befinden, anzeigen lassen. Mit Suspend-Message lassen sich Nachrichten anhalten, mit Resume-Message fortsetzen, mit Remove-Message entfernen und mit Export-Message exportieren. Nachverfolgung von Nachrichten Manchmal ist es notwendig, eine Nachricht im System zu verfolgen. Insbesondere wenn ein Benutzer eine Nachricht nicht empfängt oder eine gesendete Nachricht nicht ankommt. Dazu können Sie auf den einzelnen Servern das jeweilige Nachrichtenverfolgungsprotokoll mit Get-MessageTrackingLog einsehen. Alternativ haben Sie in der Toolbox die Nachrichtenverfolgung, welche Ihnen eine grafische Oberfläche für die Erstellung des Suchauftrags bietet. Testen der Nachrichtenübermittlung Die Nachrichtenübermittlung innerhalb Ihrer Exchange-Organisation können Sie mit dem Cmdlet Test-Mailflow überprüfen. Dabei wird festgestellt, ob Nachrichten von einem Postfachserver an einen anderen Postfachserver versendet werden können. Testen der SMTP-Kommunikation mit Telnet Sollten Ihre Benutzer keine Nachrichten an ausgewählte Empfänger versenden können, kann dies auf ein Problem in der SMTP-Kommunikation zwischen den Mail-Servern hindeuten. Ob ein Server über Port 25 Nachrichten empfangen kann, können Sie am einfachsten mit einer Telnet-Sitzung überprüfen. Zuvor müssen Sie jedoch die IP-Adresse des empfangenden Mail-Servers mit dem Befehlszeilentool NSLookup ermitteln. Geben Sie als Abfragetyp set q=mx ein, um festzulegen, dass Sie nur die MX-Einträge der Zieldomäne angezeigt bekommen. Anschließend fragen Sie die Einstellungen der SMTPDomäne ab. Die Abfrage liefert Ihnen die Namen der Mailserver, die Nachrichten für diese Domäne annehmen. Zu diesem Server können Sie mittels Ping oder NSLookup die entsprechende IP-Adresse ermitteln. Anschließend können Sie mit dem Befehl telnet <Server> 25 eine Sitzung zu dem MailServer aufbauen. Wenn sich dieser mit dem Rückgabewert 220 meldet, ist er empfangsbereit. Damit ist der Kommunikationsweg soweit Sie ihn beeinflussen können überprüft. Der Fehler bzw. die Konfiguration, die eine Kommunikation behindert, liegt damit nicht in Ihrem Einflussgebiet. Seite 58 von 59 Anlegen eines Testusers zur Überprüfung von Verbindungen Bevor Sie die Cmdlets zum Testen von Verbindungen ausführen können, benötigen Sie einen Testbenutzer. Dieser Benutzer wird standardmäßig für die Überprüfung verwendet. Das vergebene Kennwort wird vom System verwaltet und ist nicht für die Ausführung der Tests notwendig. Mit dem Skrip .\new-TestCasConnectivityUser.ps1 können Sie einen Testbenutzer anlegen, der von den folgenden Befehlen verwendet wird, solange keine anderen Benutzerinformationen angegeben werden. Überprüfen von POP3-Verbindungen Mit folgendem Befehl können Sie den Zugriff eines Benutzers mittels POP3 auf sein Postfach überprüfen. Eine detaillierte Ergebnisanzeige erhalten Sie, wenn Sie die Ausgabe an Format-List übergeben. Test-PopConnectivity –ClientAccessServer <Server> -MailboxCredential:(Get-Credential <User>) Überprüfen von IMAP4-Verbindungen Der folgende Befehl verwendet dieselben Parameter wie Test-PopConnectivity und dient zur Überprüfung, ob ein Benutzer per IMAP4 auf sein Postfach zugreifen kann. Test-ImapConnectivity Überprüfen von MAPI-Verbindungen Die Verbindung von Outlook zur Exchange-Organisation können Sie mit folgendem Befehl überprüfen: Test-MapiConnectivity Überprüfen des Autoermittlungsdienstes Zur Überprüfung der Verbindung eines Clients mittels Autokonfiguration haben Sie verschiedene Möglichkeiten, Sie benötigen jedoch immer den Anmeldenamen und das Kennwort des zu testenden Kontos. Zur Überprüfung innerhalb der Domäne kann auf jedem Arbeitsplatz, auf welchem Outlook installiert ist, mit Strg+Rechtsklick auf das OutlookSymbol in der Systemtray die Autokonfiguration getestet werden. Alternativ können Administratoren das Cmdlet Test-OutlookWebServices –Identity:<UPN> in der Management-Shell verwenden. Zur Überprüfung des externen Zugriffs auf Ihre Exchange-Organisation können Sie dagegen die Website https://www.testexchangeconnectivity.com von Microsoft verwenden. Dort können Sie neben der Autokonfiguration auch den Zugriff per ActiveSync überprüfen. Seite 59 von 59
