PaaS Exchange

Aus TERRA CLOUD WIKI
Wechseln zu: Navigation, Suche

Grundkonfiguration des PaaS Exchange Pakets

Ein PaaS-Exchange Paket wird grundsätzlich mit dem folgenden Netz bereitgestellt: 192.168.145.0/24
Das Netzwerk kann innerhalb des Bestellprozesses selbst definiert werden, daher können die ersten 3 Oktette der angegeben IP-Adressen abweichen.
Die VMs innerhalb Ihres Netzwerkes erhalten die folgenden IP-Adressen:

VM IP Private Cloud SBS Paket Hybrid Paket
Firewall 192.168.145.254 vorhanden
prim. Domain-Controller 192.168.145.1 vorhanden nicht vorhanden
sek. Domain-Controller 192.168.145.1 nicht vorhanden vorhanden
Exchange-Server 192.168.145.2 vorhanden
Securepoint UMA 192.168.145.253 optional


Update-Stand: Exchange Server 2016 CU8

Private Cloud Strategie

Grundsätzlich wird jedes Private Cloud Paket aus der TERRA CLOUD mit einer Securepoint UTM Appliance ausgeliefert.
Dieses Einstiegshandbuch dient als Grundlage zum Aufbau eines VPN-Tunnels, sowie den Zugriff auf die Weboberfläche der Firewall.

Voraussetzungen für den Zugriff

OpenVPN Client:

VPN Konfigurationsdatei:
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch Service-Informationen.

Der Punkt "zum Download-Bereich" bringt Sie zu einem zentralen Share im Terra Drive, in dem sich all Ihre VPN-Daten zu den gebuchten virtuellen Umgebungen in der Terra Cloud befinden. Voraussetzung dafür sind die Zugangsdaten Ihres Drive NFR-Accounts.
Bitte beachten Sie, dass sich in dem zentralem Share ausschließlich die VPN-Daten der Umgebungen befinden, die Sie im Terra Cloud Center gebucht haben.

Verbindung zur Firewall herstellen

Voraussetzung für die Verbindung zur Firewall ist ein bestehender VPN-Tunnel.
Bitte prüfen Sie vor dem Verbindungsaufbau, ob an Ihrer lokalen Firewall der Standard-Port 1194 für VPN-Verbindungen freigegeben ist.
Wenn der Port 1194 geblockt ist, schlägt der Aufbau des VPN-Tunnels fehl.

Ersteinrichtung der VPN - Verbindung im Securepoint VPN Client

  • Öffnen Sie den Securepoint VPN-Client und klicken Sie unten rechts um das Einstellungsmenü zu öffnen.

Einstellungen des VPN-Clients öffnen

  • Im Kontextmenü wählen Sie dann „Importieren“. Dort können Sie dann die Quelldatei, die Sie zuvor aus dem Cloud Portal heruntergeladen haben importieren.

Importieren der Konfiguration

  • Wählen Sie die opvn-Datei aus der zuvor extrahierten zip-Datei und klicken Sie auf „Importieren“.
  • Wahlweise kann der Konfiguration unter „Importieren als:“ noch ein Name zugeteilt werden, unter welchem die Konfiguration im VPN Client später sichtbar ist.
  • Starten Sie über die Schaltfläche „Verbinden“ den Aufbau der VPN-Verbindung.

Verbindung hertellen

Die benötigten Erstzugangsdaten lauten:
Benutzer: ssluser-admin
Passwort: ChanTroFar93!

Voraussetzungen für den RDP-Zugriff

Nach dem Deployment sind die VMs Ihres PaaS-Exchange Paketes nur mittels Konsolenverbindung über das IaaS-Portal zu erreichen.

Sofern Sie bei aufgebauten VPN-Tunnel eine RDP-Verbindung aufbauen möchten, müssen die folgenden Regeln in den erweiterten Windows Firewall Einstellungen aktiviert werden:

  • Remotedesktop – Benutzermodus (TCP eingehend)
  • Remotedesktop – Schatten (TCP eingehend)

Zugriff über das IaaS Portal

Anmeldung im terra CLOUD IaaS Portal

Portal Link:
https://iaas.terracloud.de

Melden Sie sich dort mit den Ihnen zugesandten Zugangsdaten an.

Anmeldemaske

Verwaltung des Servers

Innerhalb des IaaS Portal der terra CLOUD stehen Ihnen mehrere Möglichkeiten zur Verfügung um ihren virtuellen Server innerhalb der Cloud zu verwalten.
Diese Möglichkeiten sind in dem folgenden Kapitel erläutert.

Starten/Herunterfahren/Ausschalten des Server

Um die Verwaltung eines einzelnen Systems durchzuführen, wählen Sie bitte über Virtuelle Computer den „Namen“ des zu verwaltenden Systems aus.

Auflistung der Virtuellen Computer

Danach erscheint das Dashboard des Systems mit allen relevanten Informationen. Sie sehen dort in „Grün“ die hinterlegten Informationen des ausgewählten Systems und in „Grau“ die verwendeten Ressourcen Ihrer gesamten Cloud.

Verwendungsübersicht

Zur Verwaltung des Systems müssen Sie jetzt den Reiter „Instanzen“ auswählen.

Instanzen

Wenn die Instanz ausgewählt ist erscheint die Verwaltungsleiste des Systems im unteren Teil des
Browsers. Dort können Sie den Server:

  • Neustarten (Ausschalten des Servers/Power Off mit anschließendem Neustart)
  • Herunterfahren' (ACPI Shutdown der Maschine)
  • Anhalten (Server wird auf Virtualisierungsebene gespeichert)
  • Beenden (Ausschalten des Servers/Power Off)

Alle Verwaltungsoptionen müssen mit einer Sicherheitsabfrage bestätigt werden.

Sicherheitsabfrage

Remote Consolen Connect zum Server

Zusätzlich zu den Ein-/Ausschalten und Neustart Funktionen ist es auch möglich eine direkte Konsolen-Verbindung zu der virtuellen Maschine aufzubauen.
Dies ermöglicht Ihnen während der Verbindung einen IP-Wechsel oder einen Neustart durchzuführen ohne dass Sie die Verbindung zur Remote Console verlieren.
Diese Konsolen-Verbindung ist nur über das terraCLOUD IaaS Portal möglich.

Hierzu müssen Sie wie im vorherigen Kapitel das „System“ auswählen und dann dort die „Instanz“ auswählen. Über die dann dort unten erscheinende Verwaltungsleiste können Sie Konsolenverbindung aufrufen.

Verwaltungsleiste

Dazu klicken Sie auf „Verbinden“ und wählen „Konsole“ aus.

Verbinden

Den Download der RDP-Datei mit „Öffnen“ aktivieren.

RDP-Datei Sicherheitsabfrage

Etwaige Sicherheitsabfragen mit „Ja“ bestätigen, danach wird sofort die Konsolen-Verbindung aufgebaut. Mittels „STRG+ALT+ENDE“ können Sie sich mit dem von Ihnen vergebenen Kennwort an dem Serversystem anmelden.

ConsoleConnect

Snapshot-Funktion

Die Snapshot Funktion kann nur für das gesamte Paket aktiviert werden und wird pro VM berechnet. Ihnen steht ein Snapshot pro VM zur Verfügung. Dieser kann im IaaS Portal manuell beliebig oft erzeugt werden. Die Snapshots werden nach 7 Tagen automatisch gelöscht. Sofern Sie im Portal unsere Snapshot-Funktion gebucht haben, wird diese ebenfalls in der Verwaltungsleiste mit aufgeführt.

Prüfpunkt



Eine FAQ-Liste zum IaaS Portal finden Sie unter der Seite IaaS Portal.

Abschlussarbeiten nach der Übergabe

Nach der Bereitstellung der PaaS-Exchange-Umgebung existieren ein Domain-Controller, ein Exchange-Server sowie eine Firewall.
Um einen funktionstüchtigen Emailversand zu ermöglichen, sind ggf. folgende Arbeiten noch erforderlich.

(Hinweis: als Beispieldomäne wird in dieser Anleitung kunde123.de benutzt.)
Grundsätzlich bestehen zwei Möglichkeiten:

  • die E-Mail Domäne ist kundenseitig verwaltet, d.h. die Emaildomäne lautet: <kunde123.de>

Exchange-Autodiscover

Damit Outlook automatisch den Exchange-Server finden kann, sollte das Feature „autodiscover“ konfiguriert werden. Dies ist wie folgt zu realisieren:

E-Mail Domäne: <kunde123.de>
1. Der Autodiscover Eintrag erfolgt durch den Fachhändler in der öffentlichen DNS Domäne des Kunden als autodiscover.<kunde123.de>

2. Dieser Eintrag verweist auf die öffentliche IP Adresse der Firewall im Rechenzentrum.
3. Es sind die korrekten Einträge im öffentlichen DNS für MX-, A-und PRT-Records zu setzen.

Exchange Zertifikate konfigurieren

E-Mail Domäne: <kunde123.de>
Der Fachhändler erledigt folgende Tätigkeiten.

1. Definition des Namens für den öffentlichen Zugang (OWA, ActiveSync u. OutlookAnywhere), z.B. <owa.kunde123>.de
2. Erstellen der Zertifikatsanforderung durch den Fachhändler auf dem Exchange Server im Exchange Admin-Center über den Menüpunkt
„Anforderung eines Zertifikates von einer Zertifizierungsstelle erstellen“ erledigt (Die Details der Vorgaben sind vom Zertifikatsanbieter abhängig).
3. Einreichen der Zertifikatsanforderung bei der Zertifizierungsstelle.
4. Einspielen des „privaten Schlüssels“ für das Zertifikat im Exchange Admin-Center.
5. Einpflegen des öffentlichen Namens für Exchange auf dem öffentlichen DNS des Kunden.
6. Dieser Eintrag verweist auf die öffentliche IP Adresse der Firewall im Rechenzentrum.

E-Mail-Versand konfigurieren

E-Mail Domäne: <kunde123.de>
Der Fachhändler erstellt den Sendeconnector im Exchange Admin-Center und konfiguriert den öffentlichen Smarthost des DNS-Anbieters der Kundendomäne nach dessen Vorgaben.

E-Mail-Empfang konfigurieren

E-Mail Domäne: <kunde123.de>
1. Der Fachhändler erstellt im öffentlichen DNS des Kundenproviders den Eintrag für den Mailserver als Subdomäne: mail.<kunde123.de>

2. Dieser Name verweist auf die IP der Firewall im Rechenzentrum.
3. Der Fachhändler konfiguriert im Exchange Admin-Center die Domäne <kunde123.de> als autorisierend.

Hinweis:

Mithilfe von https://testconnectivity.microsoft.com/ kann getestet werden, ob alle Konfigurationen am öffentlichen DNS erfolgreich sind. Es ist zu berücksichtigen, dass Änderungen am öffentlichen DNS bis zu 48h später erst komplett ins Internet synchronisiert sind.

Konfiguration von Outlook Anywhere

Mithilfe folgender PowerShell Befehle kann Outlook Anywhere so konfiguriert werden, dass es mit der Kundendomäne funktioniert.

Add-PSSnapin -Name "Microsoft.Exchange.Management.PowerShell.E2010"

$ExternalName = Read-Host "Geben Sie den externen Namen des Exchange Servers an (z.B. mail.terracloud.de)"

  • Konfiguriere externe URLs

Get-WebservicesVirtualDirectory | Set-WebservicesVirtualDirectory -InternalURL "https://$externalName/EWS/Exchange.asmx" -ExternalURL "https://$externalName/EWS/Exchange.asmx"

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -InternalURL "https://$ExternalName/owa" -ExternalURL "https://$ExternalName/owa"

Get-ecpVirtualDirectory | Set-ecpVirtualDirectory -InternalURL "https://$ExternalName/ecp" -ExternalURL "https://$ExternalName/ecp"

Get-ActiveSyncVirtualDirectory | Set-ActiveSyncVirtualDirectory -InternalURL "https://$ExternalName/Microsoft-Server-ActiveSync" -ExternalURL "https://$ExternalName/Microsoft-Server-ActiveSync"

Get-OABVirtualDirectory | Set-OABVirtualDirectory -InternalURL "https://$ExternalName/OAB" -ExternalURL "https://$ExternalName/OAB"

Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname $ExternalName -ExternalHostName $ExternalName -InternalClientAuthenticationMethod ntlm -InternalClientsRe-quireSsl:$True -ExternalClientAuthenticationMethod NTLM -ExternalClientsRequir-eSsl:$True

  • Konfiguriere Sendeconnector

New-SendConnector -Custom -Name "Default Send Connector" -AddressSpaces * -Fqdn $Ex-ternalName

Weitere sinnvolle Konfigurationen

Um den korrekten Betrieb von Exchange sicherzustellen empfehlen wir zusätzliche Konfigurationstätigkeiten, die von Seiten des Fachhändlers zu setzen sind:

  1. Festlegen des Postmasters, d.h. einem definierten Benutzer wird die Emailadresse postmaster@ zugeordnet. Auf dieser Adresse werden fehlgeleitete Emails empfangen.
  2. Definition der Emailadresse abuse@. Diese Emailadresse wird oftmals demselben Benutzer wie die Postmaster Adresse zugeordnet. Diese Emailadresse wird beim Missbrauch von Emaildiensten als Kontaktadresse benutzt.
  3. Der SPF (Sender Policy Framework) ist ein zur Sender-Authentifizierung genutztes Spamschutz-Verfahren. Er sollte im öffentlichen DNS konfiguriert werden. Weitere Informationen hierzu erhalten Sie unter: http://www.spf-record.de/


UMA Mailarchivierung

Anmelden an der Securepoint UMA

Sofern die Mail-Archivierung gebucht wurde steht Ihnen eine Securepoint UMA in Ihrem Paket zur Verfügung.

Die Weboberfläche zur Konfiguration kann über die folgende Adresse aufgerufen werden:

Voraussetzung hierfür ist ein aufgebauter VPN Tunnel oder der Aufruf über eine VM innerhalb des Netzwerkes.
Die Zugangsdaten hierzu lauten „admin“ und das von Ihnen vergebene Kennwort.


Weiterführende Informationen zur Konfiguration und Inbetriebnahme der Securepoint UMA finden Sie unter folgenden Link:
https://wiki.terracloud.de/index.php/UMA

Hilfestellungen

Postfachmigration

Nach der Bereitstellung der PaaS-Exchange-Umgebung müssen nunmehr bestehende Emailpostfächer auf die neue Umgebung migriert werden.
Dies wird in folgendem Dokument beispielhaft und mit Bordmitteln näher beschrieben.

Vorbereiten der Altumgebung

Im ersten Schritt müssen einige Berechtigungen modifiziert werden, damit mit dem Administratorenkonto die Migration durchgeführt werden kann.

Öffnen Sie auf dem bestehenden Exchange Server eine administrative Exchange PowerShell.
New-ManagmentRoleAssignment –Role “Mailbox Import Export” –User <Domäne>\Administrator

Damit erhält der Administrator Berechtigungen, die Postfächer zu exportieren.

Export der bestehenden Postfächer

Im nächsten Schritt werden die Postfächer in .PST Dateien pro Benutzer exportiert.
Get-ChildItem d:\pst\ -include *.pst -recurse | foreach ($_) {Remove-Item $_.fullname} Get-MailboxExportRequest | Remove-MailboxExportRequest -confirm:$false (Get-Mailbox) | foreach {New-MailboxExportRequest -Mailbox $_.alias -FilePath \\local-host\d$\pst\$_.pst}

Im Script wird davon ausgegangen, dass ein Ordner D:\PST existiert. Darin werden jetzt pro Benutzer .PST Dateien exportiert. Die Dateien erhalten den ALIAS des Benutzers als Dateinamen.

Anlegen der Benutzer und Postfächer

Im nächsten Schritt sollten die Benutzer der alten Domäne im Active Directory angelegt und ein Postfach für diese erstellt werden. Ggf. kann auch das automatisiert werden.

Import der PST Dateien

Nunmehr können die bestehenden PST Dateien auf dem neuen Server importiert werden. Dies erfolgt wie folgt:

dir D:\pst\*.pst | %{ New-MailboxImportRequest -Mailbox $_.BaseName -FilePath $_.FullName } Get-MailboxImportRequest | where {$_.status -eq "Completed"} | Remove-MailboxImportRequest

Dieses Script geht davon aus, dass die PST Dateien auf dem neuen Server unter D:\PST liegen. Im zweiten Schritt entfernt das Script die Verschiebeanforderungen aus dem System.

Allgemeines

Es ist zu beachten, dass in dieser Migrationsmethode keinerlei Kalendereinträge und Aufgaben sowie Stellvertreterberechtigungen und Postfachregeln migriert werden.
Diese müssen manuell vom Benutzer wieder erstellt werden.

Exchange Updates und .NET Service Pack

Exchange nutzt Funktionen des .NET Framework und je nach Version von Exchange sind bestimmte NET-Versionen eine Mindestvoraussetzungen erforderlich.
Das führt manchmal zur der Situation, dass man das aktuelle CU erst installieren kann, wenn das richtige NET-Framework installiert ist.
Dies ist aber nicht möglich, solange die bestehende Exchange Version noch nicht mit dem geplanten NET-Framework harmoniert.

Exchange Release Betriebssystem Basis NET Framework
2007 Windows Server 2008 2013
2010 Windows Server 2012 2.0
2013 Windows Server 2012 4.5
2016 Windows Server 2016 4.5


Matrix:
nr = Nicht relevant
Das alte NET-Framework kann installiert sein aber wird nicht genutzt und ist daher nicht weiter relevant

Ja = Framework wird genutzt und unterstützt
Dieses Framework ist für den Betrieb der angegebenen Exchange Version erforderlich

Nein = Version des Framework wird nicht unterstützt
Die Version wird von Exchange nicht genutzt aber darf aufgrund von Änderungen an bestehenden Frameworks auch nicht installiert werden

ka = Keine Aussage
Microsoft sagt nicht, ob es stört oder nicht. Exchange nutzt eine ältere Version und es sollte nicht stören.
Bei Exchange 2010 ist Net 3.5 erforderlich aber 4.61 darf zusätzlich auch installiert sein.
https://blogs.technet.microsoft.com/exchange/2016/02/10/on-net-framework-4-6-1-and-exchange-compatibility/ Exchange NET Framework Matrix

Quelle: https://www.msxfaq.de/exchange/admin/servicepack_und_netframework.htm

SSL Zertifikate

Innerhalb der COMODO Knowledgebase finden Sie viele hilfreiche Artikel zum Erstellen einer Zertifikatsanforderung, sowie dem anschließenden Einbinden eines Zertifikates.

Beispielsweise:

FAQ

Ist es möglich einen auf dem Exchange installierten POP-Connector die Vorzüge von dem Anti-Viren Paket und E-Mailschutz zu nutzen?
- Ja ist es, wenn ausschließlich der Port 110 benutzt wird.

Troubleshooting

PaaS Exchange Hybrid/SBS

Fehlermeldung beim Script ausführen - keine AD Informationen

SBS Hybrid Powershell
In der Powershell-Sitzung muss das AD-Modul geladen sein, unter Windows 2008 kann dies wie folgt erfolgen:
Import-Module activedirectory

Falls das Modul nicht vorhanden ist, kann wie folgt vorgegangen werden:
Import-Module ServerManager
Add-WindowsFeature RSAT-AD-PowerShell

Keine Berechtigungen für das ECP

Nach der Bereitstellung ist nur der Benutzer „wag_install" berechtigt auf das ECP zuzugreifen.
Weitere Benutzer müssen über die AD für diese Gruppe berechtigt werden.
Wir haben Ihnen hierzu bereits ein Script übergeben, bitte nutzen Sie Punkt 3 unseres Bereitstellungsscriptes um weitere Benutzer hinzuzufügen und zu berechtigen.

Automatische Benutzer durch Exchange Installation

Bei der Exchange-Installation werden automatisch 10 Postfächer angelegt.
Bei einem Server Essentials (bis zu 25 Benutzer) kann dies zu einem Engpass an Benutzern führen.

Lösung:
Dieses Verhalten ist typisch für die Kombi Essentials Server mit Exchange.

Diese Postfächer werden nicht gelöscht/dürfen nicht gelöscht werden. Außerdem würde das nichts bringen, denn sie werden dann
automatisch neu angelegt. Auf dem Essentials gibt es eine Gruppe „Non visible to Dashboard“ in die diese Postfächer verschoben werden sollen.
(was aber leider automatisch nicht funktioniert).
So kann man sich mit einem kleinen Script helfen:

siehe: https://windowsserveressentials.com/2014/09/18/quick-fix-hide-users-from-essentials-2012-r2-dashboard/

Vorher sollte man dem Administrator-Konto einen Vornamen geben, damit es nicht auch verschwindet, da das Script alle Postfächer
„ausblendet“ die keinen Vor- oder Nachnamen haben.