Upload
dophuc
View
228
Download
4
Embed Size (px)
Citation preview
Florian Essigkrug
essigkrug.net IT | Consulting & Training
Übersicht über die wichtigstenPowerShell-Befehle und Grund-
lagen für Exchange Server 2010
Seite 1 von 44
Vorwort
Zur Vorbereitung auf die Prometric-Prüfung 70-662 Microsoft Exchange Server 2010, Konfiguration
habe ich Ihnen hier die wichtigsten PowerShell-Befehle und Grundlagen zusammengestellt. Diese Liste
ist nicht vollständig und möchte dies auch nicht sein. Sollten Sie weitere Fragen zu einzelnen Befehlen
haben, empfehle ich Ihnen folgenden Link: http://technet.microsoft.com/en-
us/library/bb124413(v=exchg.141).aspx.
Hilfe zu jedem Cmdlet finden Sie auch mit get-help <Cmdlet>. Sollten Sie nicht wissen, wie ein Cmdlet
heißt, können Sie sich mit get-command –noun <Nomen> alle entsprechenden Cmdlets und Funktionen
anzeigen lassen, z. B. get-command –noun „Database“.
Viel Spaß und viel Erfolg mit Exchange Server
Florian Essigkrug
essigkrug.net IT | Consulting & Training
www.essigkrug.net
Seite 2 von 44
Inhalt Vorwort ............................................................................................................................................. 1
Datenbankverwaltung ....................................................................................................................... 7
Neue Postfachdatenbank anlegen ....................................................................................................................... 7
Datenbank einbinden .............................................................................................................................................. 7
Datenbankeinbindung aufheben .......................................................................................................................... 7
Datenbank entfernen .............................................................................................................................................. 7
Eigenschaften einer Datenbank abfragen ......................................................................................................... 7
Datenbankpfad verschieben ................................................................................................................................. 7
Eigenschaften von Postfachdatenbanken bearbeiten ...................................................................................... 8
Neue Öffentliche Ordner-Datenbank ................................................................................................................. 8
Inhalt einer Öffentlichen Ordner-Datenbank abfragen .................................................................................. 8
Löschen einer Öffentlichen Ordner-Datenbank ................................................................................................. 8
Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten ............................................................... 9
Skripte für Öffentliche Ordner ............................................................................................................................. 9
Akzeptierte Domäne konfigurieren ................................................................................................... 9
Neue akzeptierte Domäne konfigurieren ........................................................................................................... 9
Verwaltung von Email-Adressen mit Email-Adressrichtlinien ........................................................... 9
Neue E-Mail-Adressrichtlinie anlegen ................................................................................................................. 9
Aktualisieren einer E-Mail-Adressrichtlinie ....................................................................................................... 10
Empfängerverwaltung ..................................................................................................................... 10
Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) ................................. 10
Postfach für vorhandenen Benutzer aktivieren ................................................................................................ 10
Benutzerpostfach konfigurieren .......................................................................................................................... 10
Verschieben von Postfächern ............................................................................................................................... 11
Verschieben von Systempostfächern .................................................................................................................. 11
Benutzerzugriff auf das Postfach steuern ......................................................................................................... 11
Ressourcenpostfächer anlegen ............................................................................................................................ 11
Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs ................................................... 11
Benutzerdefinierte Ressourceneigenschaften anlegen ................................................................................... 11
Ressourceneigenschaften anzeigen lassen ........................................................................................................ 12
Konfigurieren von Eigenschaften, welche die Kalenderfunktion betreffen ................................................ 12
Zeitzone für Postfächer festlegen ...................................................................................................................... 12
Raumlisten erstellen zur leichteren Planung in Outlook .................................................................................. 12
Freigegebenes Postfach erstellen ...................................................................................................................... 12
Archivpostfach für Benutzer aktivieren.............................................................................................................. 12
Exchange-Funktionalität für Benutzer deaktivieren ........................................................................................ 12
Getrenntes Postfach wieder verbinden ............................................................................................................. 13
Konvertieren eines Postfaches in einen anderen Typ ..................................................................................... 13
Exportieren eines Postfachs ................................................................................................................................. 13
Seite 3 von 44
Einrichten von E-Mail-Kontakten ......................................................................................................................... 13
Einrichten von E-Mail-Benutzern .......................................................................................................................... 13
Verteilergruppen.............................................................................................................................. 14
Neue statische Verteilergruppe anlegen .......................................................................................................... 14
Benutzer zu einer statischen Verteilergruppe hinzufügen ............................................................................. 14
Eigenschaften einer statischen Verteilergruppe bearbeiten ......................................................................... 14
Dynamische Verteilergruppen anlegen ............................................................................................................. 15
Adresslisten verwalten .................................................................................................................... 15
Neue Adressliste anlegen .................................................................................................................................... 15
Adresslisten aktualisieren ..................................................................................................................................... 15
Adressliste verschieben ......................................................................................................................................... 15
Globale Adressliste aktualisieren....................................................................................................................... 15
Offline-Adressbücher ...................................................................................................................... 16
Neues Offline-Adressbuch anlegen ................................................................................................................... 16
Adresslisten zu OAB hinzufügen / entfernen ................................................................................................... 16
Offline-Adressbuch Benutzern zuweisen ........................................................................................................... 16
Verschieben des Servers für die Generierung des OABs ............................................................................. 16
Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB ......................................................... 16
Verwaltung von Öffentlichen Ordnern ............................................................................................ 17
Neuen Öffentlichen Ordner erstellen ................................................................................................................ 17
Replikat eines Öffentlichen Ordners konfigurieren ........................................................................................ 17
Berechtigungen für Öffentliche Ordner konfigurieren ................................................................................... 17
Administrative Berechtigungen anzeigen .......................................................................................................... 17
Administrative Berechtigung hinzufügen ........................................................................................................... 17
Benutzerberechtigung hinzufügen. ..................................................................................................................... 17
E-Mail-aktivierung öffentlicher Ordner ............................................................................................................. 17
Festlegen von Grenzwerten für öffentliche Ordner ....................................................................................... 17
Öffentlichen Ordner löschen ............................................................................................................................... 18
E-Mail-Aktivierung öffentlicher Ordner aufheben .......................................................................................... 18
Konfigurieren des Clientzugriffs...................................................................................................... 19
Virtuelles Verzeichnis für Outlook Web App konfigurieren ......................................................................... 19
Outlook Web App-Postfachrichtlinie anlegen ................................................................................................. 19
Outlook Web App-Postfachrichtlinie konfigurieren ....................................................................................... 19
Outlook Web App-Postfachrichtlinie auf Postfach anwenden ..................................................................... 19
Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren ..................................................................... 19
Neue ActiveSync-Postfachrichtlinie anlegen ..................................................................................................... 19
Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden ................................................................. 19
IMAP4 und POP3 konfigurieren ......................................................................................................................... 20
Outlook Anywhere aktivieren ............................................................................................................................. 20
Virtuelles Verzeichnis zurücksetzen .................................................................................................................... 20
Seite 4 von 44
Clienteinschränkungsrichtlinien ............................................................................................................................ 20
Konfigurieren des RPC-Clientzugriffs ................................................................................................................ 20
Verwalten von Transportservern ..................................................................................................... 21
Remotedomäne anlegen ...................................................................................................................................... 21
Transportregelbedingungen anzeigen .............................................................................................................. 21
Transportregelaktionen anzeigen ...................................................................................................................... 21
Transportregeln anzeigen .................................................................................................................................... 21
Neue Transportregel anlegen ............................................................................................................................. 21
Transportregel mit regulären Ausdrücken konfigurieren ............................................................................... 21
Status des Transportagenten anzeigen ............................................................................................................. 22
Benutzerdefinierte Systemnachricht (DSN) anlegen ....................................................................................... 22
Ethische Absperrung konfigurieren ..................................................................................................................... 22
Festlegen der Exchange-Kosten einer Standortverknüpfung ........................................................................ 22
Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen .......................................... 22
Einen Standort als Hub-Standort konfigurieren ............................................................................................... 22
Konfigurieren des Transportdumpsters .............................................................................................................. 22
Verwenden von Sende- und Empfangsconnectoren ........................................................................ 23
Neuen Sendeconnector erstellen ........................................................................................................................ 23
Neuen Empfangsconnector erstellen .................................................................................................................. 24
Verwenden von Edge-Transport-Servern in der Exchange-Organisation ........................................ 24
Konfigurieren der Voraussetzungen .................................................................................................................. 24
Konfigurieren der Edge-Transport-Server-Synchronisation .......................................................................... 24
Manuelles Ausführen der Edge-Synchronisierung ........................................................................................... 25
Einen weiteren Hub-Transport-Server zum Standort hinzufügen ................................................................. 25
Einen weiteren Edge-Transport-Server zum Standort hinzufügen ............................................................... 25
Klonen der Edge-Konfiguration .......................................................................................................................... 25
Umschreiben von Adressen .................................................................................................................................. 25
Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server ................................................ 26
Verbindungsfilter ................................................................................................................................................... 26
IP-Zulassungsliste ............................................................................................................................................... 26
Anbieter für zugelassene IP-Adressen .......................................................................................................... 26
IP-Sperrliste ........................................................................................................................................................ 26
IP-Sperrlistenanbieter ...................................................................................................................................... 27
Inhaltsfilterung ........................................................................................................................................................ 27
Empfängerfilterung ............................................................................................................................................... 27
Blockierte Empfänger entfernen / hinzufügen ............................................................................................ 27
Absenderfilterung .................................................................................................................................................. 28
Überprüfen von Sender-ID .................................................................................................................................. 28
Absenderzuverlässigkeit ...................................................................................................................................... 29
Anlagenfilterung .................................................................................................................................................... 29
Seite 5 von 44
Sicherstellen der Nachrichtenintegrität ............................................................................................ 30
S/MIME verwenden .............................................................................................................................................. 30
Konfigurieren der Domänensicherheit ............................................................................................................... 30
Information Rights Management (IRM) ........................................................................................... 31
Vorbereiten der Exchange-Organisation zur Verwendung von IRM .......................................................... 31
Messaging Records Management (MRM) ........................................................................................ 32
Neue Aufbewahrungstags erstellen ................................................................................................................... 32
Neue Aufbewahrungsrichtlinie anlegen ............................................................................................................ 32
Konfigurieren des Assistenten für verwaltete Ordner .................................................................................... 33
Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren ....................................................................... 33
Neue Journalregel erstellen ................................................................................................................................ 33
Reserve-Journalpostfach konfigurieren ............................................................................................................. 33
Verwenden von E-Mail-Infos ............................................................................................................................... 33
Organisationseinstellungen für E-Mail-Infos ..................................................................................................... 34
Verwenden von Klassifikationen ......................................................................................................................... 34
Implementieren einer Ermittlungssuche .............................................................................................................. 34
Rollenbasierte Zugriffsteuerung (RBAC) ......................................................................................... 35
Neuer Verwaltungsbereich anlegen .................................................................................................................. 35
Neue Verwaltungsgruppe anlegen .................................................................................................................... 35
Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen ...................................................................... 36
Neue Verwaltungsrolle erstellen ........................................................................................................................ 36
Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen ....................................................................... 36
Verwaltungsrolleneinträge entfernen ................................................................................................................ 36
Verwaltungsrolleneintrag hinzufügen ................................................................................................................ 36
Rollenzuweisungsrichtlinien ................................................................................................................................... 36
Hochverfügbarkeit in Exchange Server 2010 .................................................................................. 36
Hub-Transport-Server ........................................................................................................................................... 37
Edge-Transport-Server ......................................................................................................................................... 37
Client-Access-Server ............................................................................................................................................. 37
Postfach-Server ...................................................................................................................................................... 38
Einrichten einer Postfachdatenbankkopie .................................................................................................... 38
Postfachdatenbankkopie aktivieren .............................................................................................................. 39
Postfachdatenbankkopie anhalten ................................................................................................................ 39
Postfachdatenbankkopie fortsetzen .............................................................................................................. 39
Erneutes Seeding einer Postfachdatenbankkopie ...................................................................................... 39
Überwachen von Exchange Server 2010......................................................................................... 40
Überwachen von Informationen und Statistiken über Datenbanken ........................................................... 40
Abrufen von Informationen von Postfachdatenbanken .............................................................................. 40
Abrufen von statistischen Informationen von Postfächern .......................................................................... 40
Abfragen des Ressourcenverbrauchs ............................................................................................................ 40
Seite 6 von 44
Abfragen von statistischen Informationen von Öffentlichen Ordnern ..................................................... 40
Abfragen des Status der Kopien einer Postfachdatenbank .................................................................... 40
Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln ................................... 40
Abrufen von Switch- und Failover-Statistiken .............................................................................................. 40
Überwachen von Replikationsmessdaten...................................................................................................... 40
Erfassen von Postfachordnerstatistiken ......................................................................................................... 41
Erfassen von Anmeldestatistiken..................................................................................................................... 41
Erfassen der Anzahl von Nutzer eines bestimmten Protokolls .................................................................. 41
Exchange ActiveSync-Berichte abrufen ........................................................................................................ 41
Überwachen der Nachrichtenübermittlung ................................................................................................... 41
Protokollkonfiguration der Postfach- und Transportserver ....................................................................... 41
Warteschlangenanzeige ................................................................................................................................. 41
Nachverfolgung von Nachrichten ................................................................................................................... 42
Testen der Nachrichtenübermittlung .............................................................................................................. 42
Testen der SMTP-Kommunikation mit Telnet ..................................................................................................... 42
Anlegen eines Testusers zur Überprüfung von Verbindungen ...................................................................... 42
Überprüfen von POP3-Verbindungen ............................................................................................................... 42
Überprüfen von IMAP4-Verbindungen ............................................................................................................. 42
Überprüfen von MAPI-Verbindungen ................................................................................................................ 42
Überprüfen des Autoermittlungsdienstes .......................................................................................................... 42
Überwachen der administrativen Tätigkeiten .................................................................................................. 43
Notfallwiederherstellung für Exchange ........................................................................................... 43
Konfiguration von Mitgliedern einer Database Availability Group ........................................................... 43
Sichern von Datenbanken .................................................................................................................................... 43
Wiederherstellen von Datenbanken .................................................................................................................. 43
Wiederherstellen von Datenbanken am Originalspeicherort .................................................................. 43
Wiederherstellen von Datenbanken an einem anderen Speicherort ..................................................... 44
Wiederherstellen von Serverrollen (allgemein) ............................................................................................... 44
Besonderes beim Wiederherstellen von Postfachservern (Mitglied einer DAG) ...................................... 44
Besonderes beim Wiederherstellen von ClientAccess-Servern ..................................................................... 44
Seite 7 von 44
Datenbankverwaltung Grundlage der Funktionalität von Microsoft Exchange sind Datenbanken. Wir unterscheiden dabei zwei
Arten von Datenbanken: Postfachdatenbanken zur Speicherung der Postfächer der Benutzer sowie Öf-
fentliche Ordner-Datenbanken.
In der Standard-Edition von Exchange Server 2010 können lediglich 5 Postfachdatenbanken pro Post-
fachserver gehostet werden. In der Enterprise-Edition sind dagegen bis zu 100 Postfachdatenbanken
möglich. Zusätzlich sind pro Server eine Datenbank für Öffentliche Ordner sowie eine Wiederherstel-
lungsdatenbank möglich.
Der Informationsspeicher von Exchange Server 2010 besteht aus den jeweiligen Datenbanken (*.edb)
sowie den zugehörigen Transaktionsprotokollen (*.log). Alle Aktionen werden erst in einem Transaktions-
protokoll gespeichert und anschließend in die Datenbank eingespielt. Sollte die Datenbank ausfallen, ist
es auf diese Weise möglich, ein Backup auf den letzten Stand vor dem Ausfall zu bringen. Die Datenbank
wird aus einem Backup wiederhergestellt und anschließend werden alle Transaktionsprotokolle, die nach
dem Backup angelegt worden sind, wieder in die Datenbank eingespielt.
Jedes Transaktionsprotokoll ist genau 1 MB groß. Zusätzlich werden 10 x 1 MB durch Pufferdateien (*.jrs)
belegt, die gewährleisten sollen, dass eine maximal 10 MB große Nachricht auch dann noch empfangen
werden kann, wenn der Festplattenplatz verbraucht ist. Die Datenbank wird in diesem Fall offline ge-
schaltet und die Nachricht wird in den reservierten Bereich geschrieben.
Neue Postfachdatenbank anlegen New-MailboxDatabase -Name <Name> -Server <Server> -EdbFilePath
<Pfad\DBName.edb> -LogFolderPath <Pfad>
Datenbank einbinden Mount-Database -Identity <Name>
Datenbankeinbindung aufheben Dismount-Database -Identity <Name>
Datenbank entfernen Bevor Sie eine Datenbank löschen können, muss diese erst leer sein. Hierzu müssen Sie alle Postfächer aus
der Datenbank entweder löschen oder in eine andere Postfachdatenbank verschieben. Systempostfächer
befinden sich standardmäßig in der ersten Postfachdatenbank des ersten Postfachservers der Exchange-
Organisation. Diese können Sie wie folgt verschieben:
Get-Mailbox –Arbitration | New-MoveRequest
Anschließend können Sie die Datenbank mit folgendem Befehl löschen:
Remove-MailboxDatabase -Identity <Name>
Eigenschaften einer Datenbank abfragen Get-MailboxDatabase -Identity <Server\Datenbank>
Datenbankpfad verschieben Move-DatabasePath -identity <Name> -EdbFilePath <Pfad> -LogFolderPath <Pfad>
Seite 8 von 44
Eigenschaften von Postfachdatenbanken bearbeiten Set-MailboxDatabase –Identity <Name>
-Name Ändert den Namen der DB
-JournalRecipient <User> Aktiviert den Journal-Empfänger
-MaintenanceSchedule <Wert> Legt den Wartungszeitplan fest
-BackgroundDatabaseMaintenance <$true|$false> Aktiviert die Hintergrundwartung f. DB
-AllowFileRestore <$true|$false> DB kann bei Wiederherstellung überschrieben
werden
-MountatStartup <$true|$false> Bei Serverstart DB einbinden
-CircularLoggingEnablde <$true|$false> Aktiviert Umlaufprotokollierung
-IssueWarningQuota <MB|GB|TB> Warnmeldung senden ab
-ProhibitSendQuota <MB|GB|TB> Senden verbieten ab
-ProhibitSendRecieveQuota <MB|GB|TB> Empfangen verbieten ab
-DeletedItemRetention <Wert> Aufbewahrungszeit f. gelöschte Elemente
-MailboxRetention <Wert> Aufbewahrungszeit f. gelöschte Postfächer
-RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente aufbewahren bis das
nächste Backup durchgeführt wurde
-OfflineAddressBook Standard-OAB f. alle Postfächer in der DB
-PublicFolderDatabase Standard-DB f. Öffentliche Ordner
-RpcClientAccessServer Legt den ClientAccess Server fest, der auf
die Datenbank zugreifen darf.
Neue Öffentliche Ordner-Datenbank New-PublicFolderDatabase -Server <Server> -Name <Name> -EdbFilePath <Pfad>
-LogFolderPath <Pfad>
Pro Server ist lediglich eine Datenbank für Öffentliche Ordner möglich!
Inhalt einer Öffentlichen Ordner-Datenbank abfragen Get-PublicFolder -Server <Server>
-Recurse Zeigt alle Öffentlichen Ordner innerhalb der
Datenbank an.
Löschen einer Öffentlichen Ordner-Datenbank Bevor Sie eine Datenbank löschen können, müssen erst alle Replikate von öffentlichen Ordnern verschie-
ben und dann alle öffentlichen Ordner in der Datenbank löschen.
1. Get-PublicFolder –Server <Server> „\“ –Recurse –ResultSize:Unlimited | Remove-PublicFolder
-Recurse –ErrorAction:SilentlyContinue
2. Get-PublicFolder –Server <Server> „\Non_Ipm_Subtree“ –Recurse –ResultSize:Unlimited | Re-
move-PublicFolder –Recurse –ErrorAction:SilentlyContinue
3. Remove-PublicFolderDatabase -Identity <Name>
Seite 9 von 44
Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten Set-PublicFolderDatabase -Identity <Name>
-DeletedItemRetention <Tage> Aufbewahrungszeit für gelöschte Elemente
-RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente werden erst entfernt,
wenn ein Backup der Datenbank durchgeführt
wurde.
Skripte für Öffentliche Ordner MoveAllReplicas.ps1 Verschiebt den gesamten Inhalt einer Daten-
bank in eine andere Datenbank.
ReplaceReplicaOnPFRecursive.ps1 Verschiebt den Inhalt einer Ordnerstruktur von
einer Datenbank in eine andere Datenbank.
Die Skripte finden Sie im standardmäßig in C:\Program Files\Microsoft\Exchange Server\V14\Scripts.
Akzeptierte Domäne konfigurieren Akzeptierte Domänen legen fest, für welche SMTP-Domänen unsere Exchange Transport-Server Nach-
richten empfangen und versenden können. Standardmäßig wird die Windows-Domäne eingetragen, in
der der Exchange-Server installiert wurde. Ein interner Versand von Nachrichten ist damit innerhalb der
Domäne möglich. Sollen Nachrichten von öffentlichen SMTP-Domänen oder anderen Windows-Domänen
akzeptiert werden, müssen Sie eine entsprechende akzeptierte Domäne konfigurieren. Dabei werden
drei Arten von akzeptierten Domänen unterschieden:
Autorisierende Domäne Alle Empfänger für diese Domäne befinden sich innerhalb
unserer Exchange-Organisation.
Interne Relay-Domäne Der Empfänger für diese Domäne befindet sich entweder in-
nerhalb unserer Exchange-Organisation oder außerhalb.
Sollte der Empfänger nicht innerhalb unserer Organisation
sein, wird die Nachricht weitergeleitet.
Externe Relay-Domäne Die Empfänger für diese Domäne befinden sich nicht inner-
halb unserer Exchange-Organisation. Alle Nachrichten wer-
den weitergeleitet.
Neue akzeptierte Domäne konfigurieren New-AcceptedDomain –Name <Name> -DomainName <Domäne> -DomainType
<Authoritative|ExternalRelay|InternalRelay>
Verwaltung von Email-Adressen mit Email-Adressrichtlinien E-Mail-Adressen werden in Exchange Server 2010 mithilfe von E-Mail-Adressrichtlinien zugewiesen.
Adressrichtlinien ermöglichen es, E-Mail-Adressen aufgrund von Bedingungen, wie z. B. Zugehörigkeit zu
einer bestimmten Firma oder Abteilung, zuzuweisen und ein einheitliches Adressschema im Unternehmen
durchzusetzen.
Neue E-Mail-Adressrichtlinie anlegen New-EmailAddressPolicy –Name <Name> -IncludedRecipients <EmpfängerTypen> -Priority <Prio-
rität> -EnabledEmailAddressTemplates <SMTP:Email-Adresse>
Die E-Mail-Adresse können Sie mit verschiedenen Variablen konfigurieren:
%s Nachname
%g Vorname
%m Alias
Seite 10 von 44
Durch Angabe der Anzahl an Buchstaben nach dem %-Zeichen können Sie festlegen, wie viele Buchstaben
der jeweiligen Variablen verwendet werden sollen, z. B. %1s.%1g@Domäne.tld ergibt als Adresse z. B.
Durch Angabe von Filterbedingungen wie –ConditionalDepartment, -ConditionalCompany oder –Con-
ditionalCustomAttribute<1-15> können Adressrichtlinien auf bestimmte Empfänger eingeschränkt wer-
den. Alternativ kann man die Richtlinie auf eine bestimmte Organisationseinheit einschränken.
Aktualisieren einer E-Mail-Adressrichtlinie Wenn Sie eine Adressrichtlinie auf der PowerShell konfigurieren, wird diese nicht automatisch auf die
Postfächer angewendet. Die Adressrichtlinie wird angewendet, wenn ein Empfängerobjekt bearbeitet
wird oder Sie die Aktualisierung manuell anstoßen:
update-EmailAddressPolicy –Identity <Name>
Empfängerverwaltung In Exchange Server 2010 gibt es verschiedene Empfängertypen. Neben Benutzerpostfächern gibt es noch
Ressourcenpostfächer (Räume, Equipment), Mail-User, externe Kontakte und Verteilergruppen. Ein Groß-
teil der Parameter ist auf alle Empfänger anwendbar.
Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) New-Mailbox –Name <Name> -Alias <Alias> -UserPrincipalName <UPN> -SamAccountName
<Name> -FirstName <Vorname> -Initials <Initialien> -LastName <Nachname> -ResetPasswor-
dOnNextLogon <$true|$false> -Database <Datenbank>
Postfach für vorhandenen Benutzer aktivieren Enable-Mailbox –Identity <User> -Alias <Alias>
Benutzerpostfach konfigurieren Set-Mailbox –Identity <User>
-IssueWarningQuota <Wert> Legt die Warnstufe in MB fest, die ein Benutzer
erhält, wenn sein Postfach diese Größe erreicht.
-ProhibitSendQuota <Wert> Legt fest, wann ein Benutzer keine Nachrichten
mehr senden kann, wenn sein Postfach diese
Größe erreicht.
-ProhibitSendRecieveQuota <Wert> Legt fest, wann ein Benutzer keine Nachrichten
mehr senden und empfangen kann, wenn sein
Postfach diese Größe erreicht.
-UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Quota durch die Datenbank
-UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Standardeinstellung der Daten-
bank.
-HiddenFromAddressListEnabled <$true|$false> Verhindert, dass das Postfach in Adresslisten an-
gezeigt wird.
-MaxSendSize <Wert> Maximale Größe von zu versendenden Nachrich-
ten.
-MaxRecieveSize <Wert> Maximale Größe von zu empfangenden Nach-
richten.
Seite 11 von 44
-LitigationHoldEnabled <$true|$false> Aktiviert die Aufbewahrung f. evtl. Rechtsstreitig-
keiten. Verhindert, dass der Inhalt des Ordners
Purges gelöscht wird. Nachrichten werden dau-
erhaft im Postfach aufbewahrt, Original-Nach-
richten werden im Ordner Versions gespeichert.
Verschieben von Postfächern New-MoveRequest –Identity <User> -TargetDatabase <DB>
Mit den Parametern –ArchiveOnly und –PrimaryOnly kann ausgewählt werden, welches Postfach eines
Benutzers verschoben wird.
Verschieben von Systempostfächern Wenn Sie ein Systempostfach verschieben möchten, können Sie den Befehl New-MoveRequest mit dem
Parameter –Arbitration verwenden.
Benutzerzugriff auf das Postfach steuern Benutzer können auf verschiedene Arten auf Ihr Postfach zugreifen. Der Zugriff per POP3/IMAP4 ist
standardmäßig zwar erlaubt, funktioniert jedoch nicht, da die Dienste nicht gestartet und auf Manuell
gestellt sind. Wenn Sie diesen Zugriff erlauben möchten, müssen Sie die Dienste auf Automatisch setzen
und starten. Den Zugriff auf das Postfach konfigurieren Sie wie folgt:
Set-CASMailbox –Identity <User>
-POPEnabled <$true|$false> Legt den Zugriff per POP3 fest.
-ImapEnabled <$true|$false> Legt den Zugriff per IMAP4 fest.
-OWAEnabled <$true|$false> Legt den generellen Zugriff auf OWA fest. Hat
keinen Einfluss auf den Funktionsumfang von
OWA.
-ExchangeActiveSyncEnabled <$true|$false> Legt den Zugriff per ActiveSync fest. Hat keinen
Einfluss auf den Funktionsumfang von ActiveSync.
-MAPIEnabled <$true|$false> Legt den Zugriff per MAPI-Client (z. B. Outlook)
fest.
Ressourcenpostfächer anlegen New-Mailbox –Name <User> –UserPrincipalName <UPN> –Alias <Name> –Database <DB> -
Room -Equipment
Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs Set-Mailbox –Identity <User>
-ResourceCapacity <Wert> Legt die Kapazität der Ressource fest.
-ResourceCustom <Wert> Liste der Benutzerdefinierten Ressourceneigen-
schaften.
Benutzerdefinierte Ressourceneigenschaften anlegen Zusätzliche Ressourceneigenschaften helfen Benutzern, Ressourcen entsprechend ihrer Bedürfnisse gezielt
auszuwählen, z. B. bei Räumen anhand der Ausstattung.
1. $ResourceConfig = Get-ResourceConfig
2. $ResourceConfig.ResourcePropertySchema+=(„Room/<Eigenschaft>“)
3. $ResourceConfig.ResourcePropertySchema+=(„Equipment/<Eigenschaft>“)
4. Set-ResourceConfig –ResourcePropertySchema $ResourceConfig.ResourcePropertySchema
Seite 12 von 44
Ressourceneigenschaften anzeigen lassen Get-ResourceConfig
Konfigurieren von Eigenschaften, welche die Kalenderfunktion betreffen Set-CalendarProcessing –Identity <User>
-ResourceDelegates <User> Legt die Postfach-Stellvertretung fest.
-ForwardRequestsToDelegates <$true|$false> Legt fest, ob Anfragen an die Postfach-Stellver-
tretung weitergeleitet werden sollen.
-AutomateProcessing <None|AutoAccept> Aktiviert die Buchungsautomatik.
-BookingWindowInDays <Wert> Legt das Buchungsfenster fest.
-MaximumDurationInMinutes <Wert> Legt die maximale Termindauer fest.
-AddAdditionalResponse <$true|$false> Zusätzliche Informationen an den Organisator
senden.
-AdditionalResponse <Text> Zusätzliche Informationen für den Organisator.
Zeitzone für Postfächer festlegen Set-MailboxCalendarConfiguration –Identity <User> -WorkingHoursTimeZone <Zeitzone>
Raumlisten erstellen zur leichteren Planung in Outlook Raumlisten erleichtern die Suche nach Räumen bei der Terminplanung in Outlook. Wichtig ist, dass beim
Erstellen der Verteilergruppe keine Umlaute verwendet werden. Nach dem Erstellen der Verteilergruppe
können die Räume zur jeweiligen Liste hinzugefügt werden.
New-Distributiongroup –Name <Name> -RoomList
Freigegebenes Postfach erstellen Freigegebene Postfächer sind in der Regel Gruppenpostfächer, auf die mehrere Benutzer Zugriff haben.
Je nach Verwendungszweck sollen die Benutzer auch das Recht haben, mit der Identität des Gruppen-
postfachs Nachrichten zu versenden.
Mit dem Parameter –Shared erstellen Sie ein freigegebenes Postfach:
New-Mailbox –Name <Name> -UserPrincipalName <UPN> -SamAccountName <Name> -Alias
<Name> -Database <DB> -Shared
Mit diesem Befehl gewähren Sie den Benutzern Zugriff auf das Postfach:
Add-MailboxPermission –Identity <Name d. freigegebenen Postfachs> -User <Name des Benut-
zers> -AccessRights FullAccess –InheritanceType all
Mit diesem Befehl ermöglichen Sie es den Benutzern, Nachrichten mit der Identität des Gruppenpostfachs
zu versenden:
Add-ADPermission <Name d. freigegebenen Postfachs> -User <Domäne\Benutzer>
-ExtendedRights „Send-as“
Archivpostfach für Benutzer aktivieren Enable-Mailbox –Identity <User> -Archive
Exchange-Funktionalität für Benutzer deaktivieren Disable-Mailbox –Identity <User>
Seite 13 von 44
Getrenntes Postfach wieder verbinden Sie können getrennte Postfächer wieder mit Benutzern verbinden. Dabei haben Sie die Wahl, ob Sie das
Postfach mit dem ursprünglichen Benutzer oder mit einem anderen Verbinden möchten:
Connect-Mailbox –Identity <User> -Database <DB> -User <User>
Wenn das Postfach nicht innerhalb der Datenbank gefunden werden kann, wurde beim Trennen des
Postfachs dieses im AD DS nicht als getrennt markiert. Mit dem Befehl Clean-MailboxDatabase können
Sie nach getrennten Postfächern in einer Datenbank suchen und den Status aktuallisieren.
Konvertieren eines Postfaches in einen anderen Typ Sie können bestehende Postfächer in einen anderen Typ konvertieren. Dies findet vor allem bei der Mig-
ration von Postfächern älterer Systeme Anwendung, z. B. um ein Benutzerpostfach aus Exchange 2003,
welches als Raumpostfach genutzt wurde, in ein Raumpostfach unter Exchange 2010 zu konvertieren.
Set-Mailbox –Identity <User> -Type <Shared|Room|Equipment|User>
Exportieren eines Postfachs Es gibt verschiedene Arten, wie ein Postfach exportiert werden kann. Der einfachste Weg ist, mit Outlook
ein Postfach in eine PST-Datei zu exportieren. Dies geht allerdings nur mit dem eigenen Postfach. Möchte
ein Administrator ein anderes Postfach aus der Datenbank exportieren, müssen einige Voraussetzungen
erfüllt sein:
1. Der Administrator benötigt das Recht, Postfächer zu Importieren und Exportieren. Dieses Recht wird
ihm über die Rolle Mailbox Import Export zugewiesen.
2. Auf dem Rechner müssen Outlook 2010 64Bit und die Exchange Verwaltungstools installiert sein.
3. New-MailboxExportRequest –Mailbox <Name> -FilePath <Pfad.pst>
Mit dem Parameter –IsArchive können Sie ein Archivpostfach exportieren. Mithilfe des Parameters -
ContentFilter können Sie gezielt Inhalt eines Postfachs exportieren. Auf dieselbe Weise können Sie auch
Postfächer importieren.
Einrichten von E-Mail-Kontakten E-Mail-Kontakte sind Kontakte, die als Objekt im Active Directory gespeichert und als Empfänger für
Exchange Server 2010 verfügbar gemacht werden sollen. Kontakte verfügen sind keine Sicherheitsprin-
zipale, können sich nicht in der Domäne anmelden und auch nicht Mitglied von Sicherheitsgruppen werden.
Eine Mitgliedschaft in Verteilergruppen ist dagegen möglich.
E-Mail-Kontakte können auf zweierlei Arten in Exchange Server 2010 erstellt werden. Bereits im AD
vorhandene Kontakte können Sie für Exchange Server 2010 folgendermaßen aktivieren:
Enable-MailContact –Identity <User> -ExternalEmailAddress <SMTP:Adresse> -Alias <Name>
Einen neuen E-Mail-Kontakt erstellen Sie, indem Sie folgenden Befehl ausführen:
New-MailContact –Name <Name> -Alias <Name> -FirstName <Vorname> -LastName <Nach-
name>
-ExternalEmailAddress <SMTP:Adresse>
Einrichten von E-Mail-Benutzern Im Gegensatz zu E-Mail-Kontakten verfügen E-Mail-Benutzer über ein Sicherheitsprinzipal in unserer Ge-
samtstruktur. Es handelt sich hierbei also um Domänenbenutzer, die über kein eigenes Exchange-Postfach
verfügen, dennoch aber in die Exchange-Organisation eingebunden werden sollen. Sie können Mitglieder
von Sicherheits- und Verteilergruppen sein.
Enable-MailUser –Identity <User> -Alias <Name> -ExternalEmailAddress <SMTP:Adresse>
New-MailUser –Name <Name> -Alias <Name> -UserPrincipalName <UPN> -SamAccountName
<Name> -FirstName <Vorname> -LastName <Nachname> -ResetPasswordOnNextLogon
<$true|$false> -ExternalEmailAddress <SMTP:Adresse>
Seite 14 von 44
Verteilergruppen Exchange Server 2010 kennt zwei Arten von Verteilergruppen: statische und dynamische. Bei statischen
Gruppen sind die Benutzer feste Mitglieder der Gruppe, d. h. sie stehen bereits fest, wenn die Gruppe
durch eine Nachricht angesprochen wird. Bei dynamischen Gruppen werden die Mitglieder jedes Mal
anhand von Filterbedingungen ermittelt, wenn die Gruppe angesprochen wird.
Verteilergruppen sind immer Universale Gruppen und können vom Typ reine Verteiler- oder aber auch
sicherheitsaktivierte Gruppen (-Security) sein.
Neue statische Verteilergruppe anlegen New-DistributionGroup –Name <Name> -SamAccountName <Name> -Alias <Name>
Benutzer zu einer statischen Verteilergruppe hinzufügen Add-DistributionGroupMember –Identity <Name d. Gruppe> -Member <User>
Eigenschaften einer statischen Verteilergruppe bearbeiten Set-DistributionGroup –Identity
-MemberJoinRestriction Legt fest, ob eine Genehmigung notwendig
ist, um der Gruppe beizutreten. Mögliche
Optionen sind ApprovalRequired, Open o-
der Closed.
-MemberDepartRestriction Legt fest, ob ein Benutzer die Gruppe ver-
lassen darf. Mögliche Optionen sind Open
oder Closed.
-ExpansionServer <Server> Legt den Server fest, der für die Aufgliede-
rung der Gruppenmitgliedschaft zuständig
ist.
-HiddenFromAddressListEnabled <$true|$false> Legt fest, ob die Gruppe in Adresslisten an-
gezeigt wird.
-SendOofMessagesToOrginatorEnabled <$true|$false> Legt fest, ob Abwesenheitsbenachrichtigun-
gen an den Absender einer Nachricht über-
mittelt werden.
-MaxRecieveSize <Wert> Legt die maximale Nachrichtengröße fest.
-ModerationEnabled <$true|$false> Legt die Moderation einer Gruppe fest.
-ModeratedBy <User> Legt den Moderator einer Gruppe fest.
-RequireSenderAuthenticationEnabled <$true|$false> Legt fest, ob sich jeder Absender authentifi-
zieren muss. Bei Gruppen, die von Extern er-
reichbar sein sollen, muss dieser Wert auf
$false gesetzt werden.
Seite 15 von 44
Dynamische Verteilergruppen anlegen New-DynamicDistributionGroup –Name <Name> -Alias <Name>
-IncludedRecipients Legt fest, welche Art von Empfängern eingeschlossen wer-
den sollen. Mögliche Parameter sind AllRecipients, Mail-
boxUsers, Resources, MailContacts, MailGroups und
MailUsers.
-ConditionalCompany Legt als Bedingung fest, welcher Firma die Mitglieder an-
gehören müssen.
-ConditionalDepartment Legt als Bedingung fest, welcher Abteilung die Mitglieder
angehören müssen.
-ConditionalCustomAttribute<1-15> Legt als Bedingung fest, welchen Wert die Attribute haben
müssen.
Adresslisten verwalten Adresslisten helfen den Benutzern in Outlook und OWA, Teilmengen an Empfängern innerhalb der
Exchange-Organisation zu finden. Sie sind wie ein Telefonbuch hierarchisch angelegt und können z. B.
einzelne Abteilungen umfassen. Der Benutzer muss schließlich dann nur wissen, in welcher Abteilung er
einen Empfänger sucht und hat über die entsprechende Adressliste dann Zugriff auf alle Empfänger
innerhalb der Abteilung.
Zusätzlich werden aus den Adresslisten die Offline-Adressbücher generiert, die Benutzer dann in Outlook
verwenden können, wenn Sie keinen Zugriff auf die Exchange-Organisation haben.
Neue Adressliste anlegen New-AddressList –Name <Name>
-IncludedRecipients <Wert> Legt fest, welche Art von Empfängern eingeschlossen wer-
den sollen. Mögliche Parameter sind AllRecipients, Mail-
boxUsers, Resources, MailContacts, MailGroups und
MailUsers.
-ConditionalCompany <Wert> Legt als Bedingung fest, welcher Firma die Mitglieder an-
gehören müssen.
-ConditionalDepartment <Wert> Legt als Bedingung fest, welcher Abteilung die Mitglieder
angehören müssen.
-ConditionalCustomAttribute <1-15> Legt als Bedingung fest, welchen Wert die Attribute haben
müssen.
-Container <Hierarchie> Legt fest, in welcher Hierarchiestufe die Adressliste ange-
legt werden soll.
-DisplayName <Wert> Legt den Anzeigename fest.
Adresslisten aktualisieren Update-AddressList –Identity <Name>
Adressliste verschieben Move-AddressList –Identity <Name> –Target <Pfad>
Globale Adressliste aktualisieren Update-GlobalAddressList –Identity <Name>
Seite 16 von 44
Offline-Adressbücher Offline-Adressbücher stellen die Funktionalität der Adresslisten auch dann zur Verfügung, wenn der Be-
nutzer nicht mit der Exchange-Organisation verbunden ist. Die Verteilung des Offline-Adressbuchs kann
Webbasiert oder über Öffentliche Ordner erfolgen. Die webbasierte Verteilung wird erst ab Out-
look 2007 unterstützt. Ältere Outlook-Versionen greifen auf das OAB über die Öffentlichen Ordner zu.
Neues Offline-Adressbuch anlegen New-OfflineAddressBook –Name <Name>
-Server <Name> Legt den Server für die Generierung des Offline-
Adressbuchs fest.
-AddressLists <Wert> Legt die Adresslisten fest, die im OAB enthalten
sein sollen.
-Schedule <Wert> Legt den Zeitplan fest, wann das OAB generiert
werden soll. Standard ist Täglich um 05:00 Uhr.
-PublicFolderDistributionEnabled <$true|$false> Legt die Verteilung über Öffentliche Ordner fest.
-VirtualDirectory <Server\Verzeichnis> Legt das Virtuelle Verzeichnis auf dem entspre-
chenden Server fest, über den die webbasierte
Verteilung stattfinden soll.
Adresslisten zu OAB hinzufügen / entfernen Wenn Sie eine Adressliste zu einem OAB hinzufügen oder entfernen möchten, müssen Sie alle Adresslisten,
die bereits dem OAB zugewiesen sind plus / minus die neue Adressliste im Befehl aufführen. Die Verwal-
tung der Adresslisten erfolgt daher einfacher mit der Konsole.
Set-OfflineAddressBook –Identity <Name> –AddressLists <Liste aller Adresslisten des OAB>
Offline-Adressbuch Benutzern zuweisen Sie können das OAB entweder einzelnen Postfächern oder über die Datenbank allen Postfächern inner-
halb der Datenbank zuweisen.
Set-Mailbox –Identity <Name> -OfflineAddressBook <Name>
Set-MailboxDatabase –Identity <Name> -OfflineAddressBook <Name>
Verschieben des Servers für die Generierung des OABs Move-OfflineAddressBook –Identity <Name> -Server <Name>
Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB Die webbasierte Verteilung des OABs findet über die ClientAccess-Server statt. Dort befindet sich stan-
dardmäßig ein virtuelles Verzeichnis für die Verteilung. Wenn Sie das Verzeichnis erstellen möchten,
verwenden Sie hierfür folgenden Befehl:
New-OABVirtualDirectory –Server <Name CAS> -RequireSSL <$true|$false> -ExternalUrRL
<URL/OAB>
Seite 17 von 44
Verwaltung von Öffentlichen Ordnern Öffentliche Ordner werden seit vielen Jahren als Mittel zur Zusammenarbeit im Unternehmen verwendet.
Sie ermöglichen es Exchange-Benutzern, Daten in gemeinsam genutzten Ordnern zu speichern. Die Ordner
können mit unterschiedlichen Berechtigungsstufen versehen werden, sodass Informationen geschützt geteilt
werden können. Innerhalb der öffentlichen Ordner können Ordner vom Typ Kalender, Kontakte, Notizen,
Journal, Aufgaben und E-Mail / Bereitstellung erstellt werden.
Neuen Öffentlichen Ordner erstellen New-PublicFolder –Name <Name> -Path <\Pfad> -Server <Name>
Replikat eines Öffentlichen Ordners konfigurieren Set-PublicFolder –Identity <Name> -Server <Name> -Replica <Liste der Öffentlichen Ordner DBs>
Berechtigungen für Öffentliche Ordner konfigurieren Standardmäßig dürfen in Öffentlichen Ordnern Benutzer Objekte erstellen und die eigenen Objekte
bearbeiten und löschen. Weitere Berechtigungen können entweder in der „Öffentliche Ordner-Verwal-
tungskonsole“ oder in Outlook konfiguriert werden. Mit den Berechtigungsstufen können Sie ein detail-
liertes Rechteschema implementieren, dass verhindert, dass Unberechtigte Ordner angezeigt bekommen
oder Inhalte bearbeiten / löschen können. Exchange Server 2010 unterscheidet dabei zwei verschiedene
Arten von bei der Zuweisung von Rechten: Administrative Berechtigungen und Client-Berechtigungen.
Während erstere über Gruppenmitgliedschaften zugewiesen werden, werden letztere über die Konfigu-
ration der einzelnen Ordner zugewiesen. Alle Berechtigungen lassen sich mit dem jeweiligen Remove-
Befehl wieder entfernen.
Administrative Berechtigungen anzeigen Get-PublicFolderAdministrativePermission –Identity <\Ordnername>
Administrative Berechtigung hinzufügen Add-PublicFolderAdministrativePermission –Identity <\Ordnername> -User <Name>
-AccessRights <Wert> Legt die Berechtigungsstufe fest.
-InheritanceType <Wert> Legt fest, ob die Berechtigung nur für den Ordner oder alle Un-
terordner mitgelten soll.
Benutzerberechtigung hinzufügen. Add-PublicFolderClientPermission –Identity <\Ordnername> -AccessRights <Wert> -User <Name>
Mögliche Rechte für den Parameter AccessRights sind: ReadItems, CreateItems, EditOwnedItems, De-
leteOwnedItems, EditAllItems, DeleteAllItems, CreateSubfolders, FolderOwner, FolderContact und
FolderVisible.
Zusätzlich können Sie folgende Rollen für den Parameter AccessRights konfigurieren: Keine, Owner,
PublishingEditor, Editor, PublishingAuthor, Author, NonEditingAuthor, Reviewer und Contributor.
E-Mail-aktivierung öffentlicher Ordner Elemente können auch per E-Mail an öffentliche Ordner gesendet werden. Hierzu muss der Ordner für E-
Mail aktiviert sein. Dabei erhält er eine eindeutige E-Mail-Adresse, unter der er erreichbar ist. Diese wird
aus dem Ordnernamen gebildet, sofern noch keine E-Mail-Adresse mit diesem Namen vorhanden ist.
Enable-MailPublicFolder –Identity <\Ordnername>
Festlegen von Grenzwerten für öffentliche Ordner Set-PublicFolder –Identity <\Ordnername>
-UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für
die Grenzwerte des öffentlichen Ordners.
Seite 18 von 44
-UseDatabaseAgeDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für
das maximale Alter von Einträgen.
-UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für
die maximale Aufbewahrung gelöschter Elemente.
-MaxItemSize <Wert> Legt die maximale Elementgröße fest.
-MaxRecieveSize <Wert> Legt die maximale Größe für Elemente fest, die per
E-Mail an den Ordner gesendet werden. Wird durch
MaxItemSize beeinflusst.
-RetainDeletedItemsFor <Wert> Legt die maximale Aufbewahrungszeit für gelöschte
Elemente fest.
-AgeLimit <Wert> Legt das maximale Alter für Einträge im öffentlichen
Ordner fest. Ältere Einträge werden automatisch ge-
löscht.
Öffentlichen Ordner löschen Remove-PublicFolder –Identity <\Ordnername>
-Server <Name> Legt den Server fest, auf dem der öffentliche Ordner
gespeichert ist.
-Recurse <$true|$false> Legt fest, dass der Ordner und alle Unterordner ge-
löscht werden sollen.
E-Mail-Aktivierung öffentlicher Ordner aufheben Disable-MailPublicFolder –Identity <\Ordnername>
Seite 19 von 44
Konfigurieren des Clientzugriffs Benutzer greifen auf eine Exchange-Organisation über die Client Access-Server auf ihre Postfächer zu.
Dabei können die Benutzer verschiedene Protokolle für den Zugriff verwenden. Am gängigsten wird der
Zugriff mittels MAPI sein, der standardmäßig für Outlook verwendet wird. Hinzu kommt der Zugriff mittels
Outlook Web App, Exchange ActiveSync für Mobile Devices wie Smartphones und Tablets sowie Outlook
Anywhere (RPC-over-http). Weitere Zugriffsmöglichkeiten sind IMAP4 und POP3, deren Dienste jedoch
standardmäßig auf einem CAS deaktiviert sind.
Virtuelles Verzeichnis für Outlook Web App konfigurieren Sie können die Funktonalität von OWA serverseitig konfigurieren, indem Sie die Einstellungen des virtuel-
len Verzeichnisses konfigurieren. Die Änderungen wirken sich auf alle Benutzer aus, die über den Server
auf OWA zugreifen. Änderungen an den Authentifizierungseinstellungen müssen zugleich am Virtuellen
Verzeichnis d. Systemsteuerung (ECP) vorgenommen werden. Anschließend müssen Sie den Dienst W3SVC
(Webserver) beenden und neu starten.
Set-OwaVirtualDirectory –Identity <Server\Verzeichnis>
Eine Übersicht über die Parameter finden Sie unter http://technet.microsoft.com/de-
de/library/bb123515(v=exchg.141).aspx.
Outlook Web App-Postfachrichtlinie anlegen Folgender Befehl erstellt eine neue Richtlinie, nimmt aber noch keinerlei Einstellungen an dieser vor.
New-OwaMailboxPolicy –Name <Name>
Outlook Web App-Postfachrichtlinie konfigurieren Nachdem Sie die Richtlinie erstellt haben, müssen Sie die Richtlinie konfigurieren. Eine Übersicht über die
möglichen Parameter finden Sie unter demselben Link wie bei Set-OwaVirtualDirectory.
Set-OwaMailboxPolicy –Identity <Name>
Outlook Web App-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> –OwaMailboxPolicy <Name>
Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren Im virtuellen Verzeichnis für Exchange ActiveSync können Sie Einstellungen für die Authentifizierung sowie
den Zugriff auf Remotedateiserver konfigurieren. Standardmäßig werden die Anmeldeinformationen un-
verschlüsselt übertragen, sodass diese auf dem Transportweg mittels SSL geschützt werden sollten.
Set-ActiveSyncVirtualDirectory –Identity <Server\Verzeichnis>
Neue ActiveSync-Postfachrichtlinie anlegen Im Gegensatz zur OWA-Postfachrichtlinie können Sie bei einer neuen ActiveSync-Postfachrichtlinie beim
Erstellen bereits alle Parameter angeben. Die entsprechenden Parameter finden Sie unter http://tech-
net.microsoft.com/en-us/library/bb123750(v=exchg.141).aspx.
New-ActiveSyncMailboxPolicy –Name <Name>
Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> -ActiveSyncMailboxPolicy <Name>
Seite 20 von 44
IMAP4 und POP3 konfigurieren Exchange Server 2010 bietet Benutzern auch den Zugriff per IMAP4 oder POP3 an. In den Postfach-
funktionen ist der Zugriff generell erlaubt, auf den Client Access-Servern sind jedoch die Dienste stan-
dardmäßig nicht gestartet und auf Manuell gesetzt. Den Starttyp können Sie mit folgendem Befehl än-
dern:
Set-Service msExchangePOP3 –startuptype automatic
Set-Service msExchangeIMAP4 –startuptype automatic
Anschließend müssen Sie die noch starten:
Start-Service msExchangePOP3
Start-Service msExchangeIMAP4
Einstellungen für die Dienste können Sie mit dem Cmdlets Set-PopSettings bzw. Set-ImapSettings konfi-
gurieren. Die Kalenderabrufoptionen werden bei beiden Befehlen mit dem Parameter –CalendarItem-
RetrievalOption <0-3> konfiguriert.
Outlook Anywhere aktivieren In Microsoft Exchange Server 2010 ermöglicht es die Outlook Anywhere-Funktion Clients, die Microsoft
Office Outlook ab der Version 2003 verwenden, von außerhalb des Unternehmensnetzwerks oder über
das Internet mithilfe der Windows-Netzwerkkomponente "RPC-über-HTTP" eine Verbindung zu ihren
Exchange-Servern herzustellen. Dabei ist es sinnvoll, die Funktion nur auf den Client Access-Servern zu
aktivieren, die über das Internet erreichbar sind (Port 443 – SSL).
Enable-OutlookAnywhere –Server <Name> -ExternalHostname <Wert> -DefaultAuthenticationMe-
thod <Wert> -SSLOffloading <$true|$false>
Virtuelles Verzeichnis zurücksetzen Sollten Sie ein virtuelles Verzeichnis einmal falsch konfiguriert haben bzw. die Default-Einstellungen wie-
der haben wollen, so können Sie das Verzeichnis zurücksetzen. Dabei wird nichts anderes gemacht, als
dass das Verzeichnis gelöscht und neu angelegt wird. Ein virtuelles Verzeichnis wird mit dem Befehl Re-
move-<Typ>VirtualDirectory –Identity <Server\Verzeichnis> -WebSiteName <Name> gelöscht und
mit dem Befehl New-<Typ>VirtualDirectory –InternalUrl <Wert> -WebSiteName <Name> neu ange-
legt.
Clienteinschränkungsrichtlinien Clienteinschränkungsrichtlinien verhindern, dass einzelne Benutzer die Leistung eines ClientAccess-Servers
zu stark beeinflussen, indem sie große Mengen an Ressourcen beanspruchen. Die Standardeinschrän-
kungsrichtlinie können Sie mit Get-ThrottlingPolicy abfragen. Die Einschränkungen gelten für die
Exchange-Komponenten Exchange ActiveSync, Exchange-Webdienste, IMAP4, POP3, OWA und
Windows PowerShell.
Konfigurieren des RPC-Clientzugriffs Wenn Sie in Ihrer Organisation einen Wechsel von Outlook 2003 auf eine neuere Version planen, kann
es zu Problemen beim RPC-Zugriff kommen. Dies liegt daran, dass Outlook 2003 standardmäßig keine
verschlüsselte RPC-Kommunikation verwendet. Das Problem lösen Sie, indem Sie entweder per Gruppen-
richtlinie die RPC-Verschlüsselung auf den Clients aktivieren oder die Verschlüsselung auf dem ClientAc-
cess-Server mit dem Cmdlet Set-RPCClientAccess –EncryptionRequired $false deaktivieren. Letzteres
wird jedoch nicht empfohlen, da es die Sicherheit der gesamten Exchange-Organisation verringert. Mit
dem Cmdlet können Sie auch festlegen, welche Versionen von Outlook Zugriff erhalten.
Seite 21 von 44
Verwalten von Transportservern
Remotedomäne anlegen Remotedomänen sind Domänen, die außerhalb unserer Exchange-Organisation liegen. Üblicherweise sind
dies Partnerunternehmen, mit denen eine engere Zusammenarbeit besteht.
New-RemoteDomain –Name <Name> -DomainName <Domain>
Sie können in der Remotedomäne festlegen, ob interne oder externe Abwesenheitsnachrichten an Emp-
fänger in der Domäne gesendet werden dürfen sowie verschiedene Einstellungen zum Nachrichtenformat
wie z. B. Zeichensätze.
Transportregelbedingungen anzeigen Mithilfe der Transportregelbedingungen legen Sie fest, auf welche Nachrichten eine Transportregelaktion
angewendet wird. Die Liste von Bedingungen können Sie sich mit folgendem Befehl ansehen:
Get-TransportRulePredicate
Transportregelaktionen anzeigen Eine Transportregelaktion definiert, welche Aktion auf eine Nachricht angewendet wird, die den vorher
definierten Bedingungen entspricht. Eine Übersicht über die Aktionen können Sie sich mit folgendem Befehl
anzeigen lassen:
Get-TransportRuleAction
Transportregeln anzeigen Sie können sich in Exchange Management Shell eine Liste mit sämtlichen Transportregeln ausgeben las-
sen:
Get-TransportRule
Neue Transportregel anlegen Eine Transportregel setzt sich immer aus Transportregelbedingung(en) und Transportregelaktion(en) zu-
sammen. Optional können Sie auch eine Ausnahme konfigurieren, wann die Regel trotz erfüllter Bedin-
gung nicht angewendet werden soll.
New-TransportRule –Name <Name> <Transportregelbedingung(en)> <Transportregelaktion(en)>
Transportregeln lassen sich mit Set-TransportRule jederzeit bearbeiten. Dabei werden dieselben Para-
meter verwendet, wie beim Anlegen einer Regel.
Transportregel mit regulären Ausdrücken konfigurieren Reguläre Ausdrücke helfen Ihnen, Transportregeln auf Nachrichten anzuwenden, die einem bestimmten
Textmuster entsprechen, z. B. Kreditkartennummern (4 x 4 Zahlen). Die regulären Ausdrücke können dabei
sein:
\S entspricht einem beliebigen einzelnen Zeichen, das kein Leerzeichen ist.
\s entspricht einem beliebigen einzelnen Leerzeichen.
\D entspricht einem beliebigen nicht-numerischen Zeichen.
\d entspricht einem beliebigen numerischen Zeichen.
Weitere Informationen und Anwendungsbeispiele für reguläre Ausdrücke finden Sie im Microsoft Tech-
Net unter http://technet.microsoft.com/de-de/library/aa997187(v=exchg.141).aspx.
Seite 22 von 44
Status des Transportagenten anzeigen Transportagenten sind in der Exchange-Organisation verantwortlich für die Verarbeitung und den Trans-
port von Nachrichten. Mit folgendem Befehl können Sie sich alle Transportagenten anzeigen lassen:
Get-TransportAgent
Benutzerdefinierte Systemnachricht (DSN) anlegen Benutzerdefinierte Systemnachrichten verwenden Sie, um Nachrichten zu blockieren, die nicht Ihren Vor-
gaben entsprechen (z. B. vertrauliche Informationen beinhalten). Um eine Transportregel mit einer benut-
zerdefinierten Systemnachricht anlegen zu können, müssen Sie erst die Systemnachricht erstellen. Hierfür
steht Ihnen der DSN-Bereich von 5.7.10 – 5.7.999 zur Verfügung.
New-Systemmessage –DsnCode <5.7.10 – 5.7.999> -Language <Wert> -Internal <$true|$false> -
Text <Systemnachricht>
Weitere Informationen und Anwendungsbeispiele finden Sie unter http://technet.microsoft.com/de-
de/library/bb123506(v=exchg.141).aspx.
Ethische Absperrung konfigurieren Ethische Absperrungen erlauben es, den Kontakt von Mitarbeitern innerhalb des Unternehmens zu unter-
binden. Dies findet z. B. bei Banken Anwendung, wo gewisse Abteilungen keinen Kontakt untereinander
pflegen dürfen. Eine ethische Absperrung ist eine Transportregel, die eine Unzustellbarkeitsnachricht ge-
neriert, sobald sich Mitglieder zweier (oder mehr) Verteilergruppen Nachrichten senden.
Festlegen der Exchange-Kosten einer Standortverknüpfung Wenn eine Nachricht von einem Standort an einen anderen Standort übermittelt werden soll, errechnet
Exchange Server 2010 die günstigste Route anhand der Kosten, die in den Standortverknüpfungen hin-
terlegt sind. Wenn keine spezifischen Kosten für Exchange Server 2010 hinterlegt sind, werden hierfür
die normalen Kosten verwendet. Spezifische Kosten für Exchange Server 2010 konfigurieren Sie wie
folgt:
Set-ADSiteLink –Identity <Name> -ExchangeCost <Wert>
Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen Standardmäßig sind keine Größenbeschränkungen für Standortverknüpfungen konfiguriert, d. h.
Exchange Server 2010 übermittelt jede Nachricht über diese Verknüpfung. Wenn Sie die Größe der
Nachrichten, welche über eine Standortverknüpfung versendet werden sollen, beschränken möchten, kon-
figurieren Sie folgendes:
Set-ADSiteLink –Identity <Name> -MaxMessageSize <Größe>
Einen Standort als Hub-Standort konfigurieren Hub-Standorte sind Standorte im Active Directory, welche bedingen, dass Nachrichten an diesen Stand-
orten nochmals von den Transportagenten verarbeitet werden. Einen Standort im Active Directory konfi-
gurieren Sie folgendermaßen als Hub-Standort:
Set-ADSite –Identity <Name> -HubSiteEnabled $true
Konfigurieren des Transportdumpsters Im Transportdumpster werden Kopien der Nachrichten gespeichert, die in einer Datenbankverfügbar-
keitsgruppe auf andere Postfachdatenbanken repliziert werden. Sollte eine Postfachdatenbank ausfal-
len, bevor die Nachrichten repliziert wurden, können die Hub-Transport-Server die Nachrichten nochmals
an die dann aktive Datenbankkopie senden.
Set-TransportConfig –MaxDumpsterSizePerDatabase <Wert> -MaxDumpsterTime <Wert>
Seite 23 von 44
Verwenden von Sende- und Empfangsconnectoren Sendeconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten zu versenden und bil-
den damit ein logisches Gateway, durch das ausgehende Nachrichten an den nächsten Hop gesendet
werden können. Jeder Transportserver verfügt über Sendeconnectoren, die nicht eingesehen werden kön-
nen. Diese dienen dazu, Nachrichten innerhalb der Exchange-Organisation zu versenden. Alle Sende-
connectoren, die von Ihnen erstellt werden, werden im Active Directory gespeichert und sind damit für
alle Hub-Transport-Server sichtbar. Verwenden dürfen die Sendeconnectoren jedoch nur die Server, die
in der Liste der Quellserver eingetragen sind. Alle anderen Server können den Sendeconnector zwar
sehen, leiten aber ihre Nachrichten an den nächsten Hub-Transport-Server aus der Liste der Quellserver
zum Versand weiter. Diese Verwendung kann eingeschränkt werden, indem der Connector mit einem
Bereich konfiguriert wird, d. h. er ist nur für Hub-Transport-Server sichtbar, die am selben Standort wie
der Quellserver des Sendeconnectors stehen.
Empfangsconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten aus dem Internet,
von Clients oder anderen Servern zu empfangen. Bei der Installation werden für jeden Hub-Transport-
Server Empfangsconnectoren für die interne Nachrichtenübermittlung erstellt. Der Empfangsconnector Cli-
ent <Servername> nimmt SMTP-Verbindungen von Nicht-MAPI-Clients auf Port 587 entgegen. Dies sind
üblicherweise POP3- und IMAP4-Clients. Der Empfangsconnector Default <Servername> nimmt Verbin-
dungen von anderen Hub-Transport- und Edge-Transport-Servern entgegen. Für den Empfang von Nach-
richten aus dem Internet müssen Sie entweder einen Empfangsconnector auf einem Hub-Transport-Ser-
ver erstellen oder einen Edge-Transport-Server mittels Edge Subscription in die Exchange-Organisation
einbinden. Empfangsconnectoren werden immer unterhalb des Server-Objekts gespeichert.
Neuen Sendeconnector erstellen Einen neuen Sendeconnector erstellen Sie mit dem Befehl:
New-SendConnector -<Verwendungstyp> –Name <Name> -AddressSpace
„SMTP:<Space>;<Cost>“
Als Verwendungstyp können Sie Intern (internal), Internet (internet), Partner (partner) oder Benutzer-
definiert (custom) verwenden. Der Verwendungstyp legt die Standardberechtigungen, welche vertrau-
enswürdigen Sicherheitsprinzipalen gewährt werden sowie den Standard-Smarthost-Authentifizierungs-
mechanismus fest. Die Standardberechtigungen beziehen sich darauf, welche Arten von Informationen im
Nachrichtenheader mitgesendet werden dürfen.
Der Adressraum legt fest, für welche Adressen der Sendeconnector zuständig ist. Die Syntax dabei lautet
<Adressraumtyp>:<Adressraum>;<Adressraumkosten>, z. B. „SMTP:essigkrug.net;1“. Mit diesem
Adressraum versendet der Sendeconnector nur Nachrichten, die an die Domäne @essigkrug.net gesendet
werden, Subdomänen sind hierbei nicht eingeschlossen. Über die Kosten können Sie steuern, welcher Sen-
deconnector bevorzugt verwendet werden soll, wenn es mehrere Konnektoren für denselben Adressraum
gibt.
Der Sendeconnectorbereich legt fest, welche Hub-Transport-Server den Sendeconnector sehen können.
Wenn der Sendeconnector mit Bereich konfiguriert wird (-IsScopedConnector $true), können ihn nur Hub-
Transport-Server sehen, die am selben Standort sind, wie die Server, die in der Quellliste aufgeführt
werden.
Mit dem Parameter –MaxSendSize <Wert> legen Sie die maximale Größe der Nachrichten fest, die
über den Sendeconnector gesendet werden kann.
Mit dem Parameter –ConnectionInactivityTimeOut <Wert> legen Sie fest, wie lange eine Verbindung
inaktiv sein kann, bevor sie getrennt wird.
Alle Parameter lassen sich auch nachträglich mittels Set-SendConnector –Identity <Name> für einen
Sendeconnector konfigurieren.
Seite 24 von 44
Neuen Empfangsconnector erstellen Einen neuen Empfangsconnector erstellen Sie mit folgendem Befehl:
New-RecieveConnector –Name <Name> -Usage <Verwendungstyp>
Da ich immer einen Edge-Transport-Server verwende, um Nachrichten aus dem Internet zu empfangen,
erledigt sich die Erstellung und Konfiguration eines Empfangsconnectors, da dieser beim Durchführen der
Edge Subscription automatisch angelegt wird.
Weitere Informationen zu den Authentifizierungsmechanismen sowie den Verwendungstypen finden Sie
hier: http://technet.microsoft.com/de-de/library/bb125139(v=exchg.141).aspx.
Verwenden von Edge-Transport-Servern in der Exchange-Organisation Edge-Transport-Server übernehmen in der Exchange-Organisation den Empfang und Versand von Nach-
richten aus und in das Internet. Zusätzlich findet auf den Edge-Servern die Spam-Verarbeitung sowie
optional die Virenüberprüfung statt. Edge-Server sind dabei nicht Mitglied der Windows-Domäne. Damit
soll verhindert werden, dass bei einem erfolgreichen Angriff auf den Server der Angreifer Zugriff auf
die Informationen des Active Directory erhält.
Konfigurieren der Voraussetzungen Konfigurieren Sie das primäre DNS-Suffix des Servers auf denselben Namen wie die Windows-
Domäne.
Konfigurieren Sie die DNS-Einstellungen der Netzwerkkarte so, dass der Edge-Server die Exchange
Server in der Windows-Domäne auflösen kann.
Installieren Sie das .NET-Framework und die Lightweight Directory Services (AD LDS) auf dem
Edge-Server:
Import-Module ServerManager
Add-WindowsFeature NET-FrameWork,RSAT-ADDS,ADLDS –Restart
Stellen Sie sicher, dass die Hub-Transport-Server der Exchange-Organisation den Edge-Server im
DNS auflösen können. Achten Sie darauf, dass auch die entsprechenden PTR-Datensätze erstellt
werden.
Nach der Installation der Voraussetzungen können Sie den Edge-Server installieren.
Konfigurieren der Edge-Transport-Server-Synchronisation Nachdem Sie den Edge-Server installiert haben, müssen Sie den Server noch mit einem Standort der
Exchange-Organisation verknüpfen. Dies geschieht in zwei Schritten:
1. Erstellen der Edge-Subscription auf dem Edge-Server
New-EdgeSubscription –FileName <Name.xml>
Kopieren Sie die XML-Datei an einen Ort, worauf die Hub-Transport-Server des jeweiligen Standorts,
an dem der Edge-Server steht, zugreifen können.
2. Der einfachste Weg, das Edge-Abonnement in der Exchange-Organisation zu importieren ist über
die Verwaltungskonsole. Gehen Sie auf Organisationskonfiguration – Hub-Transport – Edge-
Abonnements und führen dort Neues Edge-Abonnement aus. Geben Sie den Standort des Edge-
Servers an und wählen die Abonnement-Datei aus.
Alternativ können Sie das Abonnement auch über die Management Shell importieren:
New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path <Datei> -Encoding Byte -
ReadCount 0)) -Site <Standort>
Seite 25 von 44
Manuelles Ausführen der Edge-Synchronisierung Sie können die Edge-Synchronisierung auch manuell ausführen, um Daten sofort zu synchronisieren:
Start-EdgeSynchronization
Einen weiteren Hub-Transport-Server zum Standort hinzufügen Wenn Sie einen weiteren Hub-Transport-Server zum Standort hinzufügen, müssen Sie auf dem Edge-
Server erneut eine Edge-Subscription ausführen und die alte Subscription in der Exchange-Organisation
ersetzen.
Einen weiteren Edge-Transport-Server zum Standort hinzufügen Wenn Sie einen neuen Edge-Transport-Server zum Standort hinzufügen, müssen Sie lediglich auf dem
neuen Edge-Server eine Edge-Subscription ausführen und diese anschließend in der Exchange-organi-
sation importieren.
Klonen der Edge-Konfiguration Zum Exportieren der Konfiguration verwenden Sie auf dem Edge-Server folgenden Befehl:
.\ExportEdgeConfig.ps1 –CloneConfigData -<Filename.xml>
Bevor Sie die Konfiguration auf einem anderen Edge-Server importieren, müssen Sie die Konfigu-
ration anpassen, damit diese den Einstellungen des anderen Edge-Servers entspricht:
Daten- und Protokolldatiepfade
Quell-IP-Adressen für Sendeconnectoren
Bindungen für die Empfangsconnectoren
Anschließend importieren Sie die Konfiguration auf dem anderen Edge-Server:
.\ImportEdgeConfig.ps1 –CloneConfigData -<Filename.xml>
Umschreiben von Adressen Mit der Adressumschreibung bietet Ihnen der Edge-Server die Möglichkeit, E-Mail-Adressen von Absen-
dern zu überschreiben. Dies findet z. B. Anwendung, wenn eine Richtlinie vorgibt, dass gewisse Absender
nicht extern verwendet werden dürfen. Sie können mit der Adressumschreibung die Änderung einer ein-
zelnen E-Mail-Adresse oder allen Absendern einer Domäne konfigurieren:
New-AddressRewriteEntry –Name <Name> -InternalAddress <Wert> -ExternalAddress <Wert>
Generell wird die Adressumschreibung auf eingehende und ausgehende Nachrichten angewendet. Wenn
Sie die Regel nur auf ausgehende Nachrichten anwenden möchten, verwenden Sie den Parameter –
OutboundOnly $true.
Seite 26 von 44
Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server Eine der Hauptaufgaben des Edge-Servers besteht darin, Spam-Nachrichten von der Exchange-Organi-
sation fern zu halten. Für diesen Zweck sind auf dem Edge-Server die Anti-Spam-Features installiert.
Diese können Sie zwar auch auf den Hub-Transport-Servern Ihrer Exchange-Organisation installieren,
jedoch ist es sinnvoller, Spam so früh wie möglich aus dem Nachrichtenfluss zu filtern. Wenn Sie diese
dennoch verwenden möchten, führen Sie.\Install-AntispamAgents.ps1 im Ordner Scripts auf dem Hub-
Transport-Server aus, auf dem die Agents installiert werden sollen.
Auf dem Edge-Server können Sie die Antispam-Agents bequem über die Verwaltungskonsole konfigurie-
ren. Diese Möglichkeit besteht auf den Hub-Transport-Servern leider nicht. Dort können Sie die Agents
nur über die Management Shell konfigurieren.
Verbindungsfilter Der Verbindungsfilter-Agent wird auf alle Nachrichten angewendet, die von anonymen Internet-Quellen
stammen. Er bietet die Funktionen IP-Sperrliste, IP-Sperrlistenanbieter, IP-Zulassungsliste und Anbieter
für zugelassene IP-Adressen. Jede dieser Funktionen kann separat aktiviert oder deaktiviert und konfi-
guriert werden:
IP-Zulassungsliste In der IP-Zulassungsliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie vertrauen und
deren Nachrichten nicht auf Spam gefiltert werden sollen.
Set-IPAllowListConfig –Enabled <$true|$false>
Add-IPAllowListEntry –IPAddress <IP> -ExpirationTime <Wert>
Um einen Eintrag aus der IP-Zulassungsliste zu entfernen, müssen Sie die Kennung des Eintrags angeben.
Am leichtesten entfernen Sie einen Eintrag so:
Get-IPAllowListEntry –IPAddress <IP> | Remove-IPAllowListEntry
Anbieter für zugelassene IP-Adressen Ein Anbieter für zugelassene IP-Adressen (sog. Whitelists) stellt IP-Adressen von vertrauenswürdigen Mail-
systeme zur Verfügung, sodass Sie diese nicht selbst konfigurieren müssen.
Set-IPAllowListProvider –Identity <Name> –Enabled <$true|$false>
Um einen Anbieter hinzuzufügen, verwenden Sie folgenden Befehl:
Add-IPAllowListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true
IP-Sperrliste In der IP-Sperrliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie nicht vertrauen und von
denen Ihre Exchange-Organisation keine Nachrichten entgegen nehmen soll.
Set-IPBlockListConfig –Enabled <$true|$false>
Einen Eintrag zur IP-Sperrliste fügen Sie mit folgendem Befehl hinzu:
Add-IPBlockListEntry –IPAddress <IP>
Sie können auch ganze Bereiche zur IP-Sperrliste hinzufügen, wobei Sie die Möglichkeit haben, ein Sub-
netz, z. B. 192.168.178.0/24 oder einen IP-Bereich wie 192.168.178.100 – 192.168.178.159 hinzu-
zufügen.
Add-IPBlockListEntry –IPRange <Bereich>
Einen Eintrag aus der Sperrliste entfernen Sie am einfachsten so:
Get-IPBlockListEntry –IPAddress <IP> | Remove-IPBlockListEntry
Seite 27 von 44
IP-Sperrlistenanbieter IP-Sperrlistenanbieter sind das gleiche wie IP-Zulassungslistenanbieter. Der Exchange-Server überprüft,
ob die IP-Adresse des Absenders auf der Blacklist des Anbieters aufgeführt wird und trennt die Verbin-
dung, wenn der Sperrlistenanbieter einen entsprechenden Returncode zurücksendet.
Sie de-/aktivieren einen einzelnen Provider mit folgendem Befehl:
Set-IPBlockListProvider –Identity <Name> –Enabled <$true|$false>
Einen IP-Sperrlistenanbieter können Sie mit folgendem Befehl hinzufügen:
Add-IPBlockListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true
Sie haben die Möglichkeit, Empfänger in Ihrer Exchange-Organisation als Ausnahme zu konfigurieren,
die auch dann Nachrichten empfangen können, wenn der absendende Server auf der Blocklist aufgeführt
wird.
Set-IPBlockListProvidersConfig –BypassedRecipients <E-Mail-Adresse>
Inhaltsfilterung Die Inhaltsfilterung verwendet Algorithmen,
Sie können mit folgendem Befehl die Konfiguration anzeigen lassen:
Get-ContentFilterConfig
Mit den Parametern –BypassedSenders <Wert>, –BypassedRecipients <Wert> und –BypassedSender-
Domains <Wert> können Sie Ausnahmen konfigurieren. Der Parameter –QuarantineMailbox <Wert>
können Sie ein Postfach angeben, an das alle abgelehnten Nachrichten weitergeleitet werden.
Mit folgendem Befehl können Sie eine Phrase zum Inhaltsfilter hinzufügen:
Add-ContentFilterPhrase –Phrase <Wert> -Influence <GoodWord|BadWord>
Empfängerfilterung Die Empfängerfilterung ermöglicht es uns, Nachrichten an gewisse Benutzer unserer Exchange-Organisa-
tion zu blockieren. Zusätzlich ermöglicht die Empfängerfilterung es, Nachrichten zu blockieren, die an
Benutzer gesendet wurden, die kein Konto in unserer Exchange-Organisation haben (Recipient Valida-
tion).
Set-RecipientFilterConfig –BlockedRecipients <Wert> -RecipientValidationEnabled <$true|$false> -
BlockListEnabled <$true|$false> -ExternalMailEnabled <$true|$false> -InternalMailEnabled
<$true|$false>
Blockierte Empfänger entfernen / hinzufügen Wenn Sie einen blockierten Empfänger zur Liste hinzufügen oder von der Liste entfernen möchten, müssen
Sie immer die gesamte Liste an blockierten Empfängern eingeben, die am Ende gelten soll. Da dies bei
großen Listen sehr aufwendig sein kann, erledigen Sie diese Aufgabe am einfachsten in der Verwaltungs-
konsole.
Auf der Management Shell erledigen Sie die Aufgabe, indem Sie die Liste der blockierten Empfänger in
einer Variable (hier $Liste) speichern:
$Liste = Get-RecipientFilterConfig
Anschließend fügen Sie Empfänger hinzu oder entfernen welche aus der Liste:
$Liste.BlockedRecipients += „<Empfänger>“
$Liste.BlockedRecipients -= „<Empfänger>“
Seite 28 von 44
Abschließend übergeben Sie den Wert der Variable $Liste an das Cmdlet:
Set-RecipientFilterConfig –BlockedRecipient $Liste.BlockedRecipients
Absenderfilterung Die Absenderfilterung verwendet die SMTP-Kopfzeile MAIL FROM:, um die passende Aktion für eine
eingehende Nachricht zu bestimmen. Damit lassen sich Nachrichten auf der Basis der Absenderadresse
filtern. Dies kann für einzelne Benutzer oder für ganze Domänen erfolgen. Der folgende Befehl legt fest,
ob die Absenderfilterung aktiv ist:
Set-SenderFilterConfig <$true|$false>
Sie können die Absenderfilterung mit folgenden Parametern konfigurieren:
Set-SenderFilterConfig
-BlockedSenders <Wert> Blockiert einzelne Absenderadressen
-BlockedDomains <Wert> Blockiert einzelne Domains
-BlockedDomainsandSubdomains <Wert> Blockiert Domains und Subdomains
-BlankSenderBlockingEnabled <$true|$false> Legt fest, dass Nachrichten ohne Absender blockiert
werden.
-Action <StampStatus|Reject> Legt fest, ob die Nachricht zurückgewiesen oder mit
einem Hinweis versehen werden soll, dass die Nach-
richt von einem geblockten Absender stammt.
Das Löschen und Hinzufügen von Benutzern erfolgt wie bei der Empfängerfilterung.
Überprüfen von Sender-ID Die Sender-ID ist ein Verfahren, bei dem der Exchange-Server die SMTP-Kopfzeile RECIEVED verwendet
und das DNS abfragt, um die passende Aktion für eine eingehende Nachricht zu ermitteln.
Damit die Überprüfung von Sender-ID möglich ist, erstellen die Administratoren sogenannte SPF-Datens-
ätze (Sender Policy Framework) in der DNS-Zone ihrer SMTP-Domäne. Dieser Eintrag enthält die zu-
ständigen Mail-Server, die für diese SMTP-Domäne Nachrichten versenden dürfen. Auf diese Weise soll
einer Absenderfälschung entgegengewirkt werden, die man auch Spoofing nennt.
Beim Eingang einer Nachricht fragt der Exchange-Server den DNS-Server des Absenders ab, um zu
überprüfen, ob die IP-Adresse, von der die Nachricht empfangen wurde, dazu berechtigt ist, Nachrichten
für die in der Kopfzeile genannte Domäne zu versenden. Die IP-Adresse des autorisierten Servers wird
PRA Purpoted Responsible Address genannt.
Anhand des SPF-Datensatzes aktualisiert der Exchange-Server die Nachrichtenmetadaten mit einem Sen-
der-ID-Status. Dieser Status kann Pass, Neutral, Soft fail, Fail, None, TempError oder PermError sein.
Weitere Informationen finden Sie im Microsoft Technet unter http://technet.microsoft.com/de-
DE/library/aa996295(v=exchg.141).aspx.
Sie können festlegen, wie ein Exchange-Server verfahren soll, wenn eine Nachricht gefälscht wurde oder
bei deren Überprüfung kein DNS-Server erreichbar war. Als Optionen stehen zur Auswahl: Löschen,
Nachricht ablehnen oder Stempeln des Status.
Mit folgendem Cmdlet können Sie Sender-ID bearbeiten:
Set-SenderIDConfig –SpoofedDomainAction <Aktion> -TempErrorAction <Aktion> -BypassedReci-
pients <Wert> -BypassedSenderDomains <Wert>.
Die Liste der -BypassedRecipients und -BypassedSenderDomains können Sie wie bei der Empfänger-
und Absenderverwaltung nur als gesamte Liste bearbeiten.
Seite 29 von 44
Absenderzuverlässigkeit Das Konzept der Absenderzuverlässigkeit wird verwendet, um Nachrichten auf der Basis von verschiede-
nen Absendereigenschaften zu blockieren. Anhand dieser Eigenschaften wird ermittelt, was mit einer ein-
gehenden Nachricht geschehen soll. Zur Ermittlung des Absenderzuverlässigkeitsgrad (Sender Reputation
Level SRL) werden folgende Elemente verwendet:
Analyse von SCL-Bewertungen für Nachrichten eines bestimmten Absenders
Reverse-DNS-Lookup
HELO / EHLO-Analyse
Open Proxy-Test für Absender
Aus den Ergebnissen wird der Sender Reputation Level SRL für den Absender ermittelt. Dabei handelt es
sich um eine Zahl zwischen 0 und 9. Der Schwellenwert, den Sie konfigurieren, bestimmt, ob ein Absender
für eine gewisse Zeit (1 – 48 Stunden) in die IP-Sperrliste aufgenommen wird.
Mit folgendem Befehl können Sie die Absenderzuverlässigkeit konfigurieren:
Set-SenderReputationConfig –OpenProxyDetectionEnabled <$true|$false> -SenderBlockingEnabled
<$true|$false> -SrlBlockThreshold <Wert> -SenderBlockingPeriod <Wert>
Anlagenfilterung Mit der Anlagenfilterung überprüft der Exchange-Server die Anlagen von Nachrichten. Dabei kann er
die Filterung anhand von Dateinamen und Dateinamenerweiterungen (FileName) oder anhand von MIME-
Inhaltstypen (ContentType) durchführen. In der Konfiguration haben Sie die Möglichkeit festzulegen, wie
mit Nachrichten verfahren werden soll, die durch die Anlagenfilterung erfasst wurden. Dabei haben Sie
die Auswahl zwischen den Aktionen Reject, Strip und SilentDelete. Standardmäßig ist das System auf
Strip eingestellt. Dabei werden die Anlagen entfernt und die Nachricht ohne diese an den Empfänger
weitergeleitet. Der Empfänger sieht, welche Anlagen warum entfernt wurden.
Die Konfiguration der Anlagenfilterung können Sie sich mit Get-AttachmentFilterListConfig anzeigen las-
sen und mit Set-AttachmentFilterListConfig –Action <Wert> die Einstellung bearbeiten.
Die Filtereinträge erstellen Sie mit folgendem Befehl:
Add-AttachmentFilterEntry –Name <Inhaltstyp> -Type <FileName|ContentType>
Den Inhaltstyp geben Sie entweder mit dem Dateinamen (z. B. *.pdf) und -Type FileName oder als
MIME-Wert (z. B. image/jpeg) und –Type ContentType an. Eine Liste mit MIME-Inhaltstypen finden Sie
unter blog.essigkrug.net oder in diesem Dokument:
http://ip-klaeden.dyndns.org/netz/iuk98/kap5/mimetype.txt.
Seite 30 von 44
Sicherstellen der Nachrichtenintegrität Eine der großen Gefahren beim Versand von Nachrichten über das Internet ist, dass die Integrität der
Nachrichten nicht gewährleistet werden kann, da die Nachrichten standardmäßig im Klartext übertragen
und abgespeichert werden. Die Nachricht kann auf dem Weg zum Empfänger also abgefangen, gelesen
und manipuliert werden. Um diesen Gefahren zu begegnen, wurden einige Verfahren entworfen, die es
ermöglichen sollen, den Absender einer Nachricht zu identifizieren und die Integrität der Nachricht zu
gewährleisten.
S/MIME verwenden Secure Multipurpose Internet Mail Extensions (S/MIME) basiert auf Benutzerzertifikaten, mit denen der
Absender einer Nachricht sich anhand einer digitalen Signatur ausweisen kann. Zusätzlich bietet S/MIME
die Möglichkeit, Nachrichten zu verschlüsseln.
Um S/MIME in der Kommunikation mit externen Empfängern verwenden zu können, benötigt der Absen-
der ein Zertifikat von einer Zertifizierungsstelle, welcher der Empfänger vertraut. Beim Absenden der
Nachricht wird ein Datenblock generiert, der die Informationen enthält, um die Signatur überprüfen zu
können. Im zweiten Datenblock werden die Nachricht und der MIME-Header gespeichert, über die die
Signatur erstellt wird. Damit bleibt die Nachricht auch für Clients lesbar, die S/MIME nicht unterstützen.
Benutzer können S/MIME über ihren Mail-Client (Outlook, mobile Geräte, etc.) oder per Outlook Web
App verwenden. Sie benötigen jedoch immer ihr Zertifikat im entsprechenden Zertifikatspeicher des Com-
puters, an dem sie es verwenden möchten. Ob Benutzer S/MIME mit OWA verwenden dürfen, können
Sie in den Segmentierungseinstellungen konfigurieren. Wenn S/MIME für OWA aktiviert wird, können
Benutzer das S/MIME-Plugin herunterladen und installieren. Mit diesem können Sie dann auswählen, ob
eine Nachricht signiert oder verschlüsselt werden soll.
Wenn Benutzer S/MIME zur Verschlüsselung von Nachrichten verwenden möchten, benötigen Sie immer
das S/MIME-Zertifikat des Empfängers. Die Nachricht wird mit dem öffentlichen Schlüssel des Empfängers
verschlüsselt und nur der Eigentümer des Zertifikats kann die Nachricht mit seinem privaten Schlüssel ent-
schlüsseln. Wenn eine Nachricht an mehrere Empfänger verschlüsselt gesendet werden soll, benötigt der
Absender von jedem Empfänger ein Zertifikat. Sollte von einem Empfänger der Nachricht kein Zertifikat
vorliegen, kann die Nachricht nicht verschlüsselt gesendet werden.
Konfigurieren der Domänensicherheit Da die Verwendung von S/MIME einen hohen administrativen Aufwand mit sich bringt, bietet Exchange
Server 2010 Ihnen eine weitere Möglichkeit, um Nachrichten geschützt zu übertragen und den Absender
zu verifizieren. Zur Absicherung von E-Mail-Nachrichten zwischen Unternehmen können Sie die sog. Do-
mänensicherheit verwenden. Dabei wird gewährleistet, dass der absendende und der empfangende
Mailserver sich gegenseitig anhand von Zertifikaten ausweisen (Mutual TLS). Damit ist die Identität aller
beteiligten Mail-Systeme gewährleistet und das die Nachricht das Internet durch einen sicheren Kanal
durchquert. Um Domänensicherheit verwenden zu können, benötigen Sie für Ihre Exchange-Organisation
ein Zertifikat von einer externen, vertrauenswürdigen Zertifizierungsstelle, das Sie dann im Zertifikats-
speicher des Servers ablegen, der die externe Kommunikation mit dem Partner übernimmt (üblicherweise
ein Edge-Server). Das Zertifikat muss außerdem den Namen enthalten, den Sie als FQDN im Sende-
connector konfigurieren. Ein Zertifikat können Sie beispielsweise mit folgendem Befehl anfordern:
$Data1 = New-ExchangeCertificate –GenerateRequest –FriendlyName <Name> -SubjectName
„DC=<TLD>,DC=<Domain>,CN=<FQDN Server>“ –DomainName <Name der externen Domäne>
Set-Content –Path <Dateiname.req> -Value $Data1
Nachdem Sie die Zertifikatsanforderung bei einer externen, vertrauenswürdigen Zertifizierungsstelle ein-
gereicht haben, erhalten Sie das Zertifikat. Dieses müssen Sie anschließend auf dem Server importieren
und für den SMTP-Verkehr aktivieren:
Import-ExchangeCertificate –FileData ([Byte[]]$(Get-Content –Path <Dateiname.pfx> -Encoding Byte
–ReadCount 0)) | Enable-ExchangeCertificate –Services SMTP
Seite 31 von 44
Anschließend müssen Sie die Listen der domänengesicherten Domänen konfigurieren. Domänensicherheit
wird nur für Domänen verwendet, die in den Listen enthalten sind.
Set-TransportConfig –TLSRecieveDomainSecureList <Wert>
Set-TransportConfig –TLSSendDomainSecureList <Wert>
Als vorletzten Schritt müssen Sie den Sendeconnector, der die Nachrichten an dem Empfänger versendet,
für Domänensicherheit konfigurieren:
Set-SendConnector –Identity <Name> -DomainSecureEnabled <$true|$false> -DNSRoutingEnabled
<$true|$false>
Auf Seiten des Empfangsconnectors müssen Sie keine weiteren Einstellungen vornehmen, da diese stan-
dardmäßig für Domänensicherheit konfiguriert sind.
Information Rights Management (IRM) Der Schutz vertraulicher Informationen stellt die Administratoren vor große Herausforderungen. Gerade
E-Mails stellen eine große Gefahr dar, da sich darüber einfach und weitestgehend unkontrolliert Infor-
mationen verbreiten lassen. Um den Nachrichtenverkehr besser schützen zu können, hat Microsoft die
Rights Management Services (AD RMS) zur Verwendung in Exchange Server 2010 als Information Rights
Management vorgesehen. IRM bietet den Benutzern von Outlook und OWA die Möglichkeit, Nachrichten
mittels Vorlagen und Administratoren, Nachrichten aufgrund von Bedingungen mittels Transportschutzre-
geln zu schützen.
Vorbereiten der Exchange-Organisation zur Verwendung von IRM Um IRM in Exchange Server 2010 nutzen zu können, müssen einige administrative Vorbereitungen getrof-
fen werden.
1. Vorlizenzierung aktivieren
Damit der Exchange Server nicht immer den RMS-Server für Lizenzen ansprechen muss, aktiviert man
die Vorlizenzierung. Damit ist der Exchange Server in der Lage, Lizenzen auszustellen, um auf Nach-
richten zugreifen zu können, die per IRM geschützt sind. Dies müssen Sie für interne sowie externe
Nachrichten durchführen:
Set-IRMConfiguration –InternalLicensingEnabled $true –ExternalLicensingEnabled $true
2. Verarbeitung IRM-geschützter Nachrichten durch Transport-Server ermöglichen
Um die Verarbeitung IRM-geschützter Nachrichten durch die Transport-Server zu ermöglichen, müssen
Sie das Systempostfach FederatedEmail… zur Gruppe ADRMSSuperUser hinzufügen. Damit sind
die Transport-Server in der Lage, IRM-geschützte Nachrichten zu entschlüsseln.
3. IRM für OWA organisationsweit aktivieren
Um IRM in Outlook Web App verwenden zu können, muss dieses erst aktiviert werden. Dies können
Sie für einzelne OWA-Verzeichnisse (Set-OWAVirtualDirectory) oder organisationsweit erledigen.
Für die organisationsweite Aktivierung führen Sie folgenden Befehl aus:
Set-IRMConfiguration –ClientAccessServerEnabled $true
4. Benutzern die IRM-Vorlagen für OWA und Outlook zuweisen
Damit Benutzer IRM selbst verwenden können, müssen Sie den Benutzern die entsprechenden Vorla-
gen zuweisen. Dies erfolgt über Gruppen, denen die Benutzer angehören:
New-OutlookProtectionRule –Name <Name> -SentTo <Gruppe> -ApplyRightsProtectionTemp-
late <RMS-Vorlage>
5. Transportschutzregeln erstellen
Seite 32 von 44
Transportschutzregeln sind nichts anderes als Transportregeln, die RMS-Vorlagen aufgrund vorher
definierter Bedingungen auf Nachrichten anwenden. Vorteil an dieser Lösung ist, dass der Benutzer
selbst keine Vorlagen anwenden muss, der Nachteil ist, dass die Nachrichten ohne Schutz im Postfach
des Benutzers gespeichert werden.
Eine neue Transportschutzregel erstellen Sie, indem Sie eine normale Transportregel erstellen und als
Transportregelaktion –ApplyRightsProtectionTemplate <RMS-Vorlage> angeben.
Messaging Records Management (MRM) E-Mail-Nachrichten enthalten mitunter wichtige Informationen, welche nicht nur aus geschäftlicher, sondern
evtl. auch aus rechtlicher oder behördlicher Sicht wichtig sind. Manche Nachrichten müssen aufgrund der
Aufbewahrungspflichten eines Kaufmannes für eine gewisse Zeit aufbewahrt werden, andere vielleicht
aus internen Bestimmungen. Um allen Vorgaben nachkommen zu können, gibt es in Exchange Server 2010
verschiedene Funktionen, die Sie einsetzen können, um Vorschriften und Richtlinien einzuhalten.
Neue Aufbewahrungstags erstellen Aufbewahrungstags werden verwendet, um den Benutzern die Organisation ihrer Postfächer zu erleich-
tern, indem Nachrichten aufgrund der Tags nach Ablauf einer Frist ins Archiv verschoben oder aus dem
Postfach entfernt werden. Die Tags werden den Benutzern über Aufbewahrungsrichtlinien zugewiesen.
Dabei werden drei Arten von Tags unterschieden:
Standardrichtlinientags (Default Policy Tags, DPT) werden auf alle Elemente angewendet, auf die
kein anderes Tag angewendet wurde. Pro Aufbewahrungsrichtlinie ist immer nur ein DPT zulässig.
Aufbewahrungsrichtlinientags (Retention Policy Tags, RPT) werden auf Standardordner ange-
wendet. Das Tag wird vom Standardordner auf alle im Ordner enthaltenen Elemente vererbt. Pro
Aufbewahrungsrichtlinie ist immer nur ein Tag pro Standardordner zulässig.
Persönliche Tags ermöglichen es Benutzern, Elemente mit diesen zu versehen und dabei abweichende
Aufbewahrungsfristen und Aktionen anzuwenden. Persönliche Tags haben die höchste Priorität und
können unbegrenzt zugewiesen werden.
Standardmäßig sind verschiedene Aufbewahrungstags konfiguriert. Zwar ist es möglich, Aufbewah-
rungstags mit der Verwaltungskonsole zu erstellen, jedoch empfiehlt sich der Einsatz der Management-
Shell, da Sie dort deutlich mehr Funktionen nutzen können:
New-RetentionPolicyTag –Name <Name> -Type <Typ> -Comment <Wert> -AgeLimitForRetention
<Wert> -RetentionAction <Aktion> -RetentionEnabled <$true|$false>
Die Aktion, welche nach Erreichen der Aufbewahrungsfrist ausgeführt werden soll, ist üblicherweise Per-
manentlyDelete, MoveToArchive oder DeleteAndAllowRecovery. Für eine Übersicht über alle Aktionen
rufen Sie bitte die Hilfe des Befehls auf.
Neue Aufbewahrungsrichtlinie anlegen Nachdem Sie Ihre Aufbewahrungstags erstellt und konfiguriert haben, können Sie diese den Benutzern
zuweisen. Hierfür verwenden Sie sog. Aufbewahrungsrichtlinien, in denen die Tags zusammengefasst wer-
den, die dem Benutzer zur Verfügung stehen sollen.
New-RetentionPolicy –Name <Name> –RetentionPolicyTagLinks <Tag-Name>
Nachdem Sie die Richtlinie erstellt haben, können Sie die Richtlinie mit folgendem Befehl auf das Postfach
des Benutzers anwenden:
Set-Mailbox –Identity <Name> -RetentionPolicy <Name>
Die Benutzer können die Persönlichen Tags mit einem Rechtsklick auf ein Element anwenden, wenn Sie von
der Ordnerrichtlinie abweichen möchten. Eventuell dauert es über Nacht, bis den Benutzern die Aufbe-
wahrungsrichtlinie zugewiesen wurde.
Seite 33 von 44
Konfigurieren des Assistenten für verwaltete Ordner Mit den Aufbewahrungsrichtlinien automatisieren Sie die Organisation des Postfachs. Der Assistent für
verwaltete Ordner ist das Dienstprogramm, welches die Aufbewahrungstags anwendet. Einen von den
Standardwartungszeiträumen abweichenden Zeitplan, wann der Assistent laufen soll, können Sie mit fol-
gendem Befehl festlegen:
Set-MailboxServer –Identity <Name> -ManagedFolderAssistantSchedule <Wert>
Manuell können Sie den Assistenten mit folgenden Befehlen starten:
Start-ManagedFolderAssistant –Identity <Postfachname>
Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren Wenn Sie verhindern möchten, dass ein Benutzer dauerhaft Elemente aus seinem Postfach löschen kann,
können Sie die Aufbewahrung für eventuelle Rechtsstreitigkeiten (Legal oder Litigation Hold) aktivieren:
Set-Mailbox –Identity <Name> -LitigationHoldEnabled <$true|$false>
Wenn die Option aktiv ist, wird verhindert, dass der Ordner Purges im Rahmen der Wartung geleert
wird. Der Benutzer hat keinen Zugriff auf den Ordner Purges, lediglich Administratoren können im Rahmen
einer Suche auf den Ordner zugreifen.
Neue Journalregel erstellen Journalregeln ermöglichen es, Nachrichten auf Ebene der Hub-Transport-Server zu erfassen und an sog.
Journalempfänger transparent für den Absender und Empfänger weiterzuleiten. Journalempfänger sind
entweder reservierte Postfächer oder vertrauenswürdige Empfänger innerhalb Ihrer Organisation. Die
Beachtung von Datenschutzregeln sowie anderen gesetzlichen und behördlichen Vorgaben ist dabei sehr
wichtig. Eine neue Journalregel erstellen Sie mit folgendem Befehl:
New-JournalRule –Name <Name> -JournalEmailAddress <Adresse> -Scope <Global|Intern|Ex-
tern> -Enabled <$true|$false>
Zugriff auf das Postfach, an welches die Nachrichten gesendet wurden, sollte nur vertrauenswürdigen
Personen eingeräumt werden. Meine Empfehlung sind Gruppenpostfächer, auf die die entsprechenden
Personen Vollzugriff erhalten.
Reserve-Journalpostfach konfigurieren Sollte das Postfach, welches die Journale empfängt, ausfallen, werden automatisch NDRs generiert. Diese
NDRs können Sie in ein Reserve-Journalpostfach umleiten. Damit haben Sie die Möglichkeit, die Nachrich-
ten, nachdem das Journalpostfach wieder verfügbar ist, erneut zustellen zu lassen.
Set-TransportConfig –JournalingReportNdrTo <Adresse>
Verwenden von E-Mail-Infos E-Mail-Infos werden dem Benutzer angezeigt, wenn er eine neue Nachricht erstellt und die Empfänger
einträgt. Dies soll dazu dienen, unnötig versendete Nachrichten zu vermeiden. Der Benutzer wird darauf
hingewiesen, wenn er eine Nachricht an sehr viele Empfänger (>25) versendet oder einer der Empfänger
extern ist. Zusätzlich haben Sie die Möglichkeit, E-Mail-Infos für Verteilergruppen oder einzelne Benutzer
zu konfigurieren, die dann angezeigt werden.
Sie können E-Mail-Infos für Benutzer, Gruppen, Kontakte und Mail-User jeweils mit dem Parame-
ter -MailTip konfigurieren.
Seite 34 von 44
Organisationseinstellungen für E-Mail-Infos Auf Organisationsebene können Sie verschiedene Arten von E-Mail-Infos konfigurieren:
Set-OrganizationConfig
-MailTipsExternalRecipientsTipsEnabled Legt fest, ob E-Mail-Infos angezeigt werden, wenn ein
Empfänger außerhalb der Exchange-Organisation liegt.
-MailTipsLargeAudienceThreshold Legt fest, bei welcher Anzahl an Empfängern ein Hinweis
eingeblendet wird.
-MailTipsMailboxSourcedTipsEnabled Legt fest, ob postfachbezogene E-Mail-Infos angezeigt
werden sollen.
-MailTipsGroupMetricsEnabled Legt fest, ob gruppenbezogene E-Mail-Infos angezeigt
werden sollen.
Verwenden von Klassifikationen Klassifikationen bieten Ihnen die Möglichkeit, Nachrichten mittels Transportregeln anhand der vom Benut-
zer vergebenen Klassifikation zu verarbeiten. Zusätzlich besteht die Möglichkeit, Klassifikationen auf
Nachrichten mittels Transportregel anzuwenden. Die Klassifikation einer Nachricht wird dem Benutzer
angezeigt, sodass er weiß, wie mit der Nachricht zu verfahren ist. Anwendung finden Klassifikationen
überwiegend im Gesundheitsbereich und bei der Übermittlung personenbezogener Daten und juristischer
Korrespondenz.
Eine neue Nachrichtenklassifikation mit Lokalisierung auf ein entsprechendes Gebietsschema erstellen
Sie so:
New-MessageClassification –Name <Name> -DisplayName <Name> -SenderDescription <Wert> -
Locale <Gebietsschema>
Nachdem Sie die entsprechenden Klassifikationen erstellt haben, müssen Sie diese den Benutzern zur
Verfügung stellen. Dafür müssen Sie die Klassifikationen auf dem Exchange-Server mithilfe des Skripts
.\Export-OutlookClassification.ps1 > c:\Classification.xml exportieren. Diese XML-Datei müssen Sie
anschließend an die Clients verteilen.
Auf den Clients müssen Sie folgende Registry-Werte verändern, damit Outlook auf die Klassifikationen
zugreifen kann. Der Schlüssel Policy ist nicht standardmäßig vorhanden und muss erstellt werden:
[HKEY_CURRENT_USER\Software\Microsoft\Office\<Version>\Common\Policy]
„AdminClassificationPath“=“<Pfad\Classification.xml>“
„EnableClassifications“=dword:00000001
„TrustClassifications“=dword:00000001
Weitere Informationen zum Thema Klassifikationen finden Sie unter http://technet.microsoft.com/de-
de/library/ee861122(v=exchg.141).aspx.
Implementieren einer Ermittlungssuche Die Ermittlungssuche erlaubt es in Exchange Server 2010, Postfächer nach Nachrichten zu durchsuchen.
Die Suche kann sich dabei auf einzelne Postfächer beschränken oder sämtliche Postfächer umfassen. Die
Ergebnisse der Suche werden in sog. Suchpostfächern (Discovery Mailbox) gespeichert. Der Zugriff auf
die Suchfunktion sowie die Suchpostfächer sollte nur für vertrauenswürdige Mitarbeiter gewährt werden.
Um einem Benutzer das Recht einzuräumen, eine Ermittlungssuche anzulegen und durchzuführen, muss der
Benutzer zur Gruppe Discovery Management hinzugefügt werden. Ferner benötigt er Vollzugriff auf
das Suchpostfach, in welchem er die Ergebnisse der Suche speichert. Die Ergebnisse werden in einem
Ordner im Postfach gespeichert, der den Namen der Ermittlungssuche trägt.
Seite 35 von 44
Die Suche kann der Benutzer am einfachsten über die Exchange Systemsteuerung anlegen und ausführen.
Er wechselt dafür auf Organisation verwalten – E-Mail-Steuerelement – Ermittlung. Dort findet er alle
Suchaufträge, die angelegt worden sind, kann neue Ermittlungssuchen anlegen oder vorhandene neu
ausführen.
Alternativ können Sie eine Suche auch mit der Management-Shell erstellen:
New-MailboxSearch –Name <Name>
Ich empfehle Ihnen jedoch, die Exchange-Systemsteuerung zu verwenden, da diese deutlich einfacher zu
bedienen ist.
Ein neues Suchpostfach können Sie mit dem Befehl New-Mailbox –Discovery anlegen.
Rollenbasierte Zugriffsteuerung (RBAC) Exchange Server 2010 verwendet die Rollenbasierte Zugriffsteuerung (Role Based Access Control RBAC),
um Benutzern und Administratoren Berechtigungen zuzuweisen. Es werden dabei zwei Gruppen unter-
schieden, denen Berechtigungen zugewiesen werden. Benutzern werden die Berechtigungen, welche per-
sönlichen Einstellungen der Benutzer im Bereich Optionen von OWA er vornehmen darf, über Rollenzu-
weisungsrichtlinien zugewiesen. Administrative Berechtigungen zur Verwaltung von Exchange Server
2010 werden dagegen über Verwaltungsgruppen oder direkte Zuweisung von Rechten an Benutzer ge-
währt. Hier wird besonders auf die Administrativen Berechtigungen eingegangen, da die Zuweisung der
Benutzerrechte eingeschränkt ist und man in der Regel mit den Standardeinstellungen (Default Role As-
signment Policy) gut fährt.
Neuer Verwaltungsbereich anlegen Verwaltungsbereiche helfen uns, Berechtigungen auf einzelne Bereiche einzuschränken. Die Verwaltungs-
gruppen, welche bei der Installation von Exchange Server 2010 angelegt wurden, berechtigen den Be-
nutzer auf Organisationsebene. Wenn Sie die Bereiche, auf die der Benutzer Zugriff erhalten soll, ein-
schränken möchten, müssen Sie Verwaltungsbereiche konfigurieren:
New-ManagementScope –Name <Name>
-ServerList <Name> Geben Sie die Liste mit Servern an, die verwaltet werden dür-
fen.
-ServerRestrictionFilter <Wert> Geben Sie Eigenschaften wie z. B. den Standort der Server an,
die verwaltetet werden dürfen.
-DatabaseList <Name> Geben Sie eine List mit Datenbanken an, die verwaltet werden
dürfen.
-DatabaseRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, welche Datenban-
ken verwaltet werden dürfen.
-RecipientRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, welche Empfänger
verwaltet werden dürfen.
Der Bereich kann auch auf Organisationseinheiten eingeschränkt werden. Diese Einschränkung konfigu-
rieren Sie jedoch bei der jeweiligen Verwaltungsgruppe.
Neue Verwaltungsgruppe anlegen Verwaltungsgruppen enthalten einerseits die Benutzer, die berechtigt sein sollen, die entsprechenden Ak-
tionen auszuführen. Andererseits werden ihnen die Verwaltungsrollen zugewiesen, die die einzelnen Be-
rechtigungen enthalten.
New-RoleGroup –Name <Name>
Am einfachsten konfigurieren Sie die Verwaltungsrollen, die der Gruppe zugwiesen werden sollen, über
die Exchange Systemsteuerung (ECP). Dort finden Sie eine grafische Oberfläche, über die Sie einfach die
Seite 36 von 44
entsprechenden Verwaltungsrollen zuweisen können. Hier können Sie auch bequem den Verwaltungsbe-
reich bzw. die Organisationseinheit festlegen.
Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen Verwaltungsrollen werden über Verwaltungsrollenzuweisungen zugewiesen. Eine Verwaltungsrolle kann
entweder einem Benutzer oder einer Gruppe zugewiesen werden, empfohlen wird die Verwendung von
Verwaltungsgruppen. Zusätzlich ist es notwendig, einen Bereich festzulegen, in dem der Rolleninhaber
arbeiten darf. Eine neue Zuweisung erstellen Sie wie folgt:
New-ManagementRoleAssignment –Name <Name> -Role <Rollenname>
-SecurityGroup <Name> Weist die Verwaltungsrolle einer Sicherheitsgruppe zu.
-User <Name> Weist die Verwaltungsrolle einem Benutzer zu.
Neue Verwaltungsrolle erstellen Exchange Server 2010 ermöglicht es mit RBAC, die Rechte, welche einem Benutzer zugewiesen werden,
sehr genau festzulegen. Verwaltungsrollen sind Gruppierungen von Cmdlets, die dem Benutzer durch die
Rolle zur Verfügung gestellt werden. Cmdlets, die der Benutzer nicht durch eine Verwaltungsrolle zuge-
wiesen bekommt, kann er nicht verwenden. Sie können auf den existierenden Verwaltungsrollen basierend
neue Verwaltungsrollen erstellen und diese dann gezielt konfigurieren.
New-ManagementRole –Name <Name> -Parent <Wert>
Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen Nachdem Sie die Verwaltungsrolle geklont haben, können Sie sich die Cmdlets mit den zugehörigen Pa-
rametern anzeigen lassen:
Get-ManagementRoleEntry –Identity <Rolle\*>
Verwaltungsrolleneinträge entfernen Sie können aus der Verwaltungsrolle einzelne Cmdlets oder Parameter entfernen und diese damit Ihren
Anforderungen anpassen. Hier werden z. B. aus einer Rolle alle Cmdlets entfernt, die nicht dem Wert bei
–NotLike <Wert> entsprechen.
Get-ManagementRoleEntry –Identity <Rolle\*> | Where {$_.Name –NotLike <Wert>} | Remove-
ManagementRoleEntry
Verwaltungsrolleneintrag hinzufügen Sie können auch Cmdlets zu Verwaltungsrollen hinzufügen. Dies geht allerdings nur mit den Cmdlets, die
in der übergeordneten Verwaltungsrolle (Parent) enthalten sind.
Add-ManagementRoleEntry <Rolle\Cmdlet>
Rollenzuweisungsrichtlinien Im Gegensatz zu den administrativen Verwaltungsrollen erhalten Benutzer die Berechtigungen, welche
ihrer Informationen sie im OWA unter Optionen selbst konfigurieren können, über die Rollenzuweisungs-
richtlinien. Standardmäßig erhält jeder Benutzer die Default Role Assignment Policy zugewiesen. Wenn
Sie einzelnen Benutzern andere Berechtigungen zuweisen möchten, können Sie mit folgendem Befehl eine
neue Rollenzuweisungsrichtlinie erstellen:
New-RoleAssignmentPolicy –Name <Name> -Roles <Verwaltungsrollen> -IsDefault
Hochverfügbarkeit in Exchange Server 2010 Als hochverfügbar werden Systeme bezeichnet, die eine garantierte Uptime von über 99 % haben. Diese
Zeiten werden über sog. Service Level Agreements (SLA) vereinbart. Exchange Server 2010 verfügt über
die Möglichkeit, jede einzelne der Rollen hochverfügbar bereitstellen zu können. Hochverfügbarkeit geht
immer einher mit entsprechenden Kosten. Je höher die Verfügbarkeit umso höher die Kosten, wobei die
Kosten ab einem bestimmten Grad der Hochverfügbarkeit exponentiell ansteigen.
Seite 37 von 44
Hub-Transport-Server Am einfachsten ist Hochverfügbarkeit bei Hub-Transport-Servern umzusetzen. Stellen Sie einfach an je-
dem Standort mindestens zwei Hub-Transport-Server auf. Eine weitere Konfiguration ist nicht notwendig.
Es empfiehlt sich jedoch bei der Planung der Exchange-Server bereits darauf zu achten, dass nur die
Rollen Hub-Transport und Client-Access kombiniert werden. Postfach-Server sollten immer auf separaten
Servern installiert werden, um Komplikation bei der Bereitstellung von Hochverfügbarkeit der anderen
Rollen zu vermeiden.
Edge-Transport-Server Edge-Transport-Server sind ebenfalls sehr einfach hochverfügbar zu machen. Sie stellen einfach mehrere
Edge-Transport-Server auf. Diese müssen sich auch nicht am selben Standort befinden sondern können an
beliebigen Internet-Standorten aufgestellt werden. Die Konfiguration der Edge-Transport-Server können
Sie mit den Export-Skripten und die Transportregeln mit dem Cmdlet Export-TransportRuleCollection
klonen.
Um die Verfügbarkeit gewährleisten zu können, müssen Sie im DNS-Eintrag Ihrer SMTP-Domäne für jeden
Edge-Server einen MX-Eintrag anlegen. Dabei haben Sie die Wahl, ob alle MX-Einträge dieselbe oder
eine gestaffelte Priorität erhalten.
Client-Access-Server Die Rolle des Client-Access-Servers kann mit relativ wenig Aufwand hochverfügbar gemacht werden. Es
ist dabei jedoch darauf zu achten, dass Sie die Softwarelösung Netzwerklastenausgleich von Microsoft
nur verwenden können, wenn auf dem Server nicht zeitgleich das Failover-Cluster-Feature installiert ist.
Microsoft empfiehlt jedoch immer die Verwendung einer Hardwarelösung, da die integrierte Software-
lösung lediglich einen Serverausfall und keinen Dienstausfall erkennen kann. Darüber hinaus sind Hard-
warelösungen in der Lage, Arrays über mehrere Standorte aufzubauen. Die Softwarelösung dagegen ist
Standortgebunden.
Um ein Client-Access-Arrray mit dem Tool Netzwerklastenausgleich von Windows Server einrichten zu
können, gehen Sie wie folgt vor:
1. Installieren Sie auf allen Knoten des Netzwerklastenausgleichscluster über den Server-Manager das
Windows Server-Feature Netzwerklastenausgleich.
2. Starten Sie in der Verwaltung das Tool Netzwerklastenausgleich und erstellen Sie einen neuen Clus-
ter. Vergeben Sie eine IP-Adresse aus dem Netz, aus dem die Clients auf den Cluster zugreifen
werden.
3. Fügen Sie anschließend den FQDN und die IP-Adresse des Clusters in Ihrer internen DNS-Zone hinzu.
4. Erstellen Sie in Ihrer Exchange-Organisation ein neues Client-Access-Array. Über dieses Array wer-
den später die Clients auf die Postfachdatenbanken zugreifen.
New-ClientAccessArray –Name <Name> -Fqdn <FQDN d. Clusters> -Site <Standort>
5. Anschließend müssen Sie für jede Datenbank den richtigen RPC-ClientAccess-Server konfigurieren. Es
kann immer nur ein CAS auf eine Datenbank zugreifen. Da durch das Client-Access-Array nun meh-
rere Server auf eine Datenbank zugreifen, müssen Sie diesen Zugriff auf die Datenbank gestatten.
Dies geschieht, indem Sie den RPC-ClientAccess-Server der Datenbank auf das Array festlegen:
Set-MailboxDatabase –Identity <Name> -RPCClientAccessServer <Array-Name>
6. Damit die Clients zukünftig nur auf das CAS zugreifen, um Informationen abzurufen, müssen wir den
Pfad für die internen Autodiscover-Eintrag ändern:
Set-ClientAccessServer –Identity <Name> -AutoDiscoverServiceInternalUri –https://<Array-
Name>/Autodiscover/Autodiscover.xml
7. Um einen ordnungsgemäßen Zugriff auf OWA gewährleisten zu können, müssen wir auch die Interne
URL auf den ClientAccess-Servern für das Virtuelle Verzeichnis ändern:
Set-OWAVirtualDirectory –Server <Name> -InternalUrl https://<Array-Name>/owa
Seite 38 von 44
8. Zum Schluss müssen Sie noch das Zertifikat für den SSL-Verkehr auf allen ClientAccess-Servern instal-
lieren. Da die Interne URL ebenso wie die URL für Autodiscover auf den Array-Namen geändert
wurde, muss das Zertifikat nur den internen und externen Namen sowie den Namen Autodiscover
enthalten.
Diese Vorgehensweise gilt für Hard- und Softwarebasierte Lastenausgleichslösungen ab Schritt 4. Bezüg-
lich der Konfiguration der von Ihnen gewählten Lösung können die Schritte 1 – 3 abweichen.
Postfach-Server Hochverfügbarkeit für Postfachserver basiert auf dem Windows-Feature Failover-Cluster, welches in den
Serverversionen Server 2008 Enterprise-Edition oder höher enthalten ist. In Exchange Server 2010 rich-
ten Sie dann eine Datenbankverfügbarkeitsgruppe ein. Diese ist nichts anderes als ein Failover-Cluster
für Postfachdatenbanken. Zum Erstellen einer Datenbankverfügbarkeitsgruppe gehen Sie wie folgt vor:
1. Installieren Sie das Windows Server 2008-Feature Failover-Cluster auf jedem Server, der Mitglied
in der Datenbankverfügbarkeitsgruppe werden soll.
2. Erstellen Sie in der Exchange Verwaltungskonsole eine neue Datenbankverfügbarkeitsgruppe. Sie
haben im Assistenten die Möglichkeit, einen Zeugenserver und ein Zeugenverzeichnis anzugeben.
Standardmäßig wählt Exchange einen Hub-Transport-Server aus, auf dem die Rolle Postfachserver
nicht installiert ist. Sollte dies nicht möglich sein, müssen Sie hier einen Zeugenserver konfigurieren.
Dabei ist darauf zu achten, dass die Sicherheitsgruppe Exchange Trusted Subsystems in der lokalen
Gruppe der Administratoren auf dem Zeugenserver aufgenommen werden muss, um entsprechende
Berechtigungen zu erhalten.
New-DatabaseAvailabilityGroup –Name <Name> -DatabaseAvailabilityGroupIpAddress <IP>
-WitnessServer <Server> -WitnessDirectory <Verzeichnis>
3. Bevor Sie die Mitglieder einer Datenbankverfügbarkeitsgruppe hinzufügen, sollten Sie die DAG kon-
figurieren. Hier ist vor allem die IP-Konfiguration wichtig. In Produktivumgebungen werden IP-Ad-
ressen häufig über DHCP vergeben, sodass Ihre DAG vermutlich bereits über eine IP-Adresse verfügt.
Sollte das nicht der Fall sein, geben Sie hier bitte eine entsprechende IP-Adresse aus dem Netz an,
über das die DAG-Mitglieder kommunizieren sollen.
4. Abschließend fügen Sie die Postfach-Server zur DAG hinzu. Maximal können Sie 16 Postfach-
Server zu einer DAG hinzufügen. Die Mitgliedschaft eines Postfach-Servers in einer DAG bedeutet
nicht, dass die Datenbanken automatisch auf allen Servern repliziert werden. Auf welche Server
innerhalb einer DAG die Datenbank repliziert wird, legen Sie separat fest.
Add-DatabaseAvailabilityGroupServer –Identity <Name> -MailboxServer <Name>
Einrichten einer Postfachdatenbankkopie Nachdem Sie Ihre Datenbankverfügbarkeitsgruppe erstellt und die Postfach-Server als Mitglieder hinzu-
gefügt haben, können Sie die Kopien der Postfachdatenbanken, die auf den Mitgliedern gespeichert
sind, einrichten:
Add-MailboxDatabaseCopy –Identity <Name> -MailboxServer <Server> -ActivationPreference
<Wert>
Nach dem Einrichten der Datenbankkopie findet ein sog. Seeding statt. Dabei wird die gesamte Daten-
bank auf den Mailbox-Server kopiert. Nach erfolgreichem Seeding werden nur noch die Transaktions-
protokolle kopiert, die dann von der Datenbankkopie eingespielt werden.
Sie haben beim Einrichten der Datenbankkopie mittels Management Shell die Möglichkeit, eine Wieder-
gabeverzögerung zu konfigurieren. Dies dient dazu, dass Sie mind. eine Kopie der Datenbank haben,
welche die Transaktionsprotokolle verzögert einspielt. Damit können Sie verhindern, dass ein fehlerhaftes
Transaktionsprotokoll sämtliche Datenbankkopien beschädigt. Durch die Wiedergabeverzögerung haben
Sie die Möglichkeit, dass fehlerhafte Transaktionsprotokoll zu löschen, sodass dieses nicht in die Daten-
bankkopie eingespielt wird. Diese Vorgehensweise kann aufwendige Backup-Strategien ersetzen und
Ausfallzeiten verringern.
Seite 39 von 44
Eine verzögerte Datenbankkopie legen Sie mit dem Parameter –ReplayLagTime <Wert> an. Die Ver-
zögerung kann maximal 14 Tage betragen. Zusätzlich können Sie mit dem Parameter –Truncation-
LagTime <Wert> festlegen, wann die Transaktionsprotokolle gelöscht werden sollen. Wenn Sie eine ver-
zögerte Datenbankkopie aktivieren möchten, können Sie alle Transaktionsprotokolle einspielen oder fest-
legen, bis zu welchem Zeitpunkt die Transaktionsprotokolle eingespielt werden sollen. Wenn Sie den
Zeitpunkt festlegen möchten, müssen Sie die Transaktionsprotokolle mit Eseutil.exe manuell bearbeiten.
Weitere Informationen zur Aktivierung verzögerter Postfachdatenbankkopien finden Sie im Technet unter
http://technet.microsoft.com/de-de/library/dd979786.aspx.
Postfachdatenbankkopie aktivieren Move-ActiveMailboxDatabase –Identity <Name> -ActivateOnServer <Server>
Postfachdatenbankkopie anhalten Suspend-MailboxDatabaseCopy –Identity <Name\Server>
Postfachdatenbankkopie fortsetzen Resume-MailboxDatabaseCopy –Identity <Name\Server>
Erneutes Seeding einer Postfachdatenbankkopie Sollte eine Datenbankkopie auf einem Postfachserver ein Problem aufweisen und damit verbunden die
Bereitstellung der Datenbank fehlschlagen, können Sie ein neues Seeding durchführen.
Stoppen Sie die Replikation zu der Datenbankkopie, für welche Sie ein erneutes Seeding durchführen
wollen.
Löschen Sie auf dem Zielserver die Transaktionsprotokolle und die Datenbank.
Führen Sie in einer Management Shell folgenden Befehl aus:
Update-MailboxDatabaseCopy –Identity <Name\Server> -SourceServer <Server>
Seite 40 von 44
Überwachen von Exchange Server 2010 Einen Großteil seiner Zeit verbringt ein Exchange-Administrator mit der Überwachung und Auswertung
seiner Exchange-Organisation. Um den reibungslosen Betrieb gewährleisten zu können, müssen regelmä-
ßig die Betriebszustände erfasst und ausgewertet werden. Dies ermöglicht es auch, Probleme im Vorfeld
zu erkennen und frühzeitig auf diese reagieren zu können.
Überwachen von Informationen und Statistiken über Datenbanken Die Datenbanken als Herzstück der Exchange-Organisation bedürfen besonderer Aufmerksamkeit. Ge-
rade wenn Hochverfügbarkeitslösungen implementiert sind, fällt ein Ausfall eines einzelnen Postfachser-
vers unter Umständen nicht auf. Um die Ausfallsicherheit gewährleisten zu können, ist es wichtig, sich re-
gelmäßig vom Zustand seiner Datenbanken ein Bild zu machen.
Abrufen von Informationen von Postfachdatenbanken Allgemeine Informationen über die Postfachdatenbank kann man sich mit folgendem Befehl verschaffen:
Get-MailboxDatabase –Identity <Name> | FL
Abrufen von statistischen Informationen von Postfächern Um sich einen Überblick über die Postfächer Ihrer Exchange-Organisation verschaffen zu können, haben
Sie die Möglichkeit, statistische Informationen wie Größe des Postfachs, Anzahl der Elemente, Größe der
gelöschten Elemente, etc. anzeigen zu lassen. Sie können sich die Informationen optional für einen Benut-
zer, einen Server oder eine Datenbank anzeigen lassen:
Get-MailboxStatistics –Identity <Name> -Server <Server> -Database <Name> | FL
Mit den Cmdlets Sort-Object und Select-Object können Sie die Ausgabe von Get-MailboxStatistics weiter
filtern und verarbeiten. Der folgende Befehl frägt die statistischen Werte aller Postfächer auf dem Server
ab, sortiert diese in absteigender Reihenfolge nach der Größe der Elemente und gibt dann die ersten 5
Postfächer aus.
Get-MailboxStatistics –Server <Name> | Sort-Object <Parameter> -Descending | Select-Object –
First <Anzahl>
Abfragen des Ressourcenverbrauchs Ermittelt die 25 Konten, die den größten Ressourcenverbrauch innerhalb einer Datenbank haben.
Get-StoreUsageStatistics –Database <Name>
Abfragen von statistischen Informationen von Öffentlichen Ordnern Get-PublicFolderStatistics –Identity <\Name> -Server <Name> | fl
Abfragen des Status der Kopien einer Postfachdatenbank Get-MailboxDatabaseCopyStatus –Identity <Name> –ConnectionStatus | FL
Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln Test-ReplicationHealth –Identity <Server> | FL
Abrufen von Switch- und Failover-Statistiken Zum Abruf von statistischen Informationen zu Ihren Datenbankverfügbarkeitsgruppen können Sie folgen-
den Befehl verwenden:
.\CollectOverMetrics.ps1 –DatabaseAvailabilityGroup <Name> -GenerateHtmlReport –ShowHtml-
Report
Nach Abschluss der Datenerfassung wird das Ergebnis im Browser angezeigt.
Überwachen von Replikationsmessdaten Im Gegensatz zum .\CollectOverMetrics.ps1-Skript erfolgt mit dem Skript .\CollectReplicationMetrics.ps1
eine Echtzeitmessung auf Basis der Leistungsindikatoren. Sie starten das Skript mit folgendem Befehl:
Seite 41 von 44
.\CollectReplicationMetrics.ps1 –DagName <Name> -Verbose
Geben Sie anschließend die Zeit ein, welche die Messung laufen soll sowie den Speicherort für die Er-
gebnisse (nur Ordner, kein Dateiname). Die Ergebnisse werden als CSV-Dateien gespeichert.
Erfassen von Postfachordnerstatistiken Mit folgendem Befehl können Sie Informationen zu einzelnen Ordner, die in einem Postfach vorhanden
sind, erfassen. Mit folgendem Befehl werden alle Ordner eines Postfachs angezeigt, wie viele Elemente
enthalten sind und wie groß die jeweiligen Ordner sind:
Get-MailboxFolderStatistics –Identity <Name> | FT Name,ItemsInFolder,FolderSize
Erfassen von Anmeldestatistiken Das Erfassen der Anmelde-, Zugriffs- und Abmeldezeiten ist wichtig, um unberechtigten Zugriff auf Post-
fächer erfassen zu können.
Get-LogonStatistics –Identity <Name>
Erfassen der Anzahl von Nutzer eines bestimmten Protokolls Wenn Sie wissen möchten, welcher Benutzer wie auf sein Postfach zugreifen kann, können Sie mit Get-
CasMailbox eine Liste abrufen.
Exchange ActiveSync-Berichte abrufen Export-ActiveSyncLog –Filename: <Pfad d. Logfiles> -StartDate:<Datum> -EndDate:<Datum> -U-
seGMT:$true –OutputPath:<Pfad>
Das Logfile sowie der Ausgabepfad müssen vorhanden sein, sonst generiert der Befehl einen Fehler.
Überwachen der Nachrichtenübermittlung Neben der Überwachung der Postfachdatenbanken gehört es zu den Aufgaben des Exchange-Administ-
rators, den Nachrichtenfluss zu überwachen. Eine Vielzahl an Protokolldateien und Tool stehen zur Verfü-
gung, um Nachrichten auf ihrem Weg durch die Exchange-Organisation zu verfolgen. Eine Auswahl der
wichtigsten Tools und Protokolleinstellungen finden Sie hier.
Protokollkonfiguration der Postfach- und Transportserver Standardmäßig ist die Protokollierung des Nachrichtenflusses auf den Transport- und Postfachservern
aktiviert. Es können jedoch in der Konfiguration der Server verschiedene Einstellungen zur maximalen
Größe der Protokolldateien, des Protokollverzeichnisses und dem maximalen Alter der Protokolldateien
vorgenommen werden. Diese können Sie mit den Cmdlets Set-MailboxServer oder Set-TransportServer
für jeden Server einzeln konfigurieren.
Warteschlangenanzeige Auf jedem Transport- und Postfachserver werden Nachrichten in Warteschlangen gespeichert, bis sie an
die nächste Hop-Domäne oder Postfach weitergeleitet werden können. Für jede Hop-Domäne wird eine
eigene temporäre Warteschlange erstellt. Lediglich die Warteschlange Übermittlung ist dauerhaft vor-
handen. Nachrichten darin können nicht angehalten werden. Eine Übersicht über die Warteschlangen
eines Servers erhalten Sie mit folgendem Befehl:
Get-Queue –Server <Name> | FL
Mit Suspend-Queue können Sie eine Warteschlange anhalten, mit Resume-Queue können Sie eine War-
teschlange fortsetzen. Mit Retry-Queue können Sie eine Warteschlange erneut auslösen.
Mit Get-Message können Sie sich alle Nachrichten, die auf einem Server in einer beliebigen Warte-
schlange befinden, anzeigen lassen. Mit Suspend-Message lassen sich Nachrichten anhalten, mit Resume-
Message fortsetzen, mit Remove-Message entfernen und mit Export-Message exportieren.
Seite 42 von 44
Nachverfolgung von Nachrichten Manchmal ist es notwendig, eine Nachricht im System zu verfolgen. Insbesondere wenn ein Benutzer eine
Nachricht nicht empfängt oder eine gesendete Nachricht nicht ankommt. Dazu können Sie auf den einzel-
nen Servern das jeweilige Nachrichtenverfolgungsprotokoll mit Get-MessageTrackingLog einsehen.
Alternativ haben Sie in der Toolbox die Nachrichtenverfolgung, welche Ihnen eine grafische Oberfläche
für die Erstellung des Suchauftrags bietet.
Testen der Nachrichtenübermittlung Die Nachrichtenübermittlung innerhalb Ihrer Exchange-Organisation können Sie mit dem Cmdlet Test-
Mailflow überprüfen. Dabei wird festgestellt, ob Nachrichten von einem Postfachserver an einen anderen
Postfachserver versendet werden können.
Testen der SMTP-Kommunikation mit Telnet Sollten Ihre Benutzer keine Nachrichten an ausgewählte Empfänger versenden können, kann dies auf ein
Problem in der SMTP-Kommunikation zwischen den Mail-Servern hindeuten. Ob ein Server über Port 25
Nachrichten empfangen kann, können Sie am einfachsten mit einer Telnet-Sitzung überprüfen. Zuvor
müssen Sie jedoch die IP-Adresse des empfangenden Mail-Servers mit dem Befehlszeilentool NSLookup
ermitteln.
Geben Sie als Abfragetyp set q=mx ein, um festzulegen, dass Sie nur die MX-Einträge der Zieldomäne
angezeigt bekommen. Anschließend fragen Sie die Einstellungen der SMTP-Domäne ab. Die Abfrage
liefert Ihnen die Namen der Mailserver, die Nachrichten für diese Domäne annehmen. Zu diesem Server
können Sie mittels Ping oder NSLookup die entsprechende IP-Adresse ermitteln.
Anschließend können Sie mit dem Befehl telnet <Server> 25 eine Sitzung zu dem Mail-Server aufbauen.
Wenn sich dieser mit dem Rückgabewert 220 meldet, ist er empfangsbereit. Damit ist der Kommunikati-
onsweg soweit Sie ihn beeinflussen können überprüft. Der Fehler bzw. die Konfiguration, die eine Kom-
munikation behindert, liegt damit nicht in Ihrem Einflussgebiet.
Anlegen eines Testusers zur Überprüfung von Verbindungen Bevor Sie die Cmdlets zum Testen von Verbindungen ausführen können, benötigen Sie einen Testbenutzer.
Dieser Benutzer wird standardmäßig für die Überprüfung verwendet. Das vergebene Kennwort wird vom
System verwaltet und ist nicht für die Ausführung der Tests notwendig. Mit dem Skrip .\new-TestCas-
ConnectivityUser.ps1 können Sie einen Testbenutzer anlegen, der von den folgenden Befehlen verwen-
det wird, solange keine anderen Benutzerinformationen angegeben werden.
Überprüfen von POP3-Verbindungen Mit folgendem Befehl können Sie den Zugriff eines Benutzers mittels POP3 auf sein Postfach überprüfen.
Eine detaillierte Ergebnisanzeige erhalten Sie, wenn Sie die Ausgabe an Format-List übergeben.
Test-PopConnectivity –ClientAccessServer <Server> -MailboxCredential:(Get-Credential <User>)
Überprüfen von IMAP4-Verbindungen Der folgende Befehl verwendet dieselben Parameter wie Test-PopConnectivity und dient zur Überprü-
fung, ob ein Benutzer per IMAP4 auf sein Postfach zugreifen kann.
Test-ImapConnectivity
Überprüfen von MAPI-Verbindungen Die Verbindung von Outlook zur Exchange-Organisation können Sie mit folgendem Befehl überprüfen:
Test-MapiConnectivity
Überprüfen des Autoermittlungsdienstes Zur Überprüfung der Verbindung eines Clients mittels Autokonfiguration haben Sie verschiedene Mög-
lichkeiten, Sie benötigen jedoch immer den Anmeldenamen und das Kennwort des zu testenden Kontos.
Zur Überprüfung innerhalb der Domäne kann auf jedem Arbeitsplatz, auf welchem Outlook installiert ist,
mit Strg+Rechtsklick auf das Outlook-Symbol in der Systemtray die Autokonfiguration getestet werden.
Seite 43 von 44
Alternativ können Administratoren das Cmdlet Test-OutlookWebServices –Identity:<UPN> in der Ma-
nagement-Shell verwenden.
Zur Überprüfung des externen Zugriffs auf Ihre Exchange-Organisation können Sie dagegen die Website
https://www.testexchangeconnectivity.com von Microsoft verwenden. Dort können Sie neben der Au-
tokonfiguration auch den Zugriff per ActiveSync überprüfen.
Überwachen der administrativen Tätigkeiten Sämtliche administrativen Tätigkeiten werden in Exchange Server 2010 automatisch überwacht. Dieses
sog. Admin-Log können Sie mit dem Cmdlet Search-AdminAuditLog durchsuchen. Weitere Informationen
finden Sie hier: http://technet.microsoft.com/de-de/library/ff459250(v=exchg.141).aspx.
Notfallwiederherstellung für Exchange Microsoft hat den Exchange Server 2010 so gestaltet, dass man eigentlich auf Backups verzichten kann.
Durch die Aufteilung der Konfiguration auf Organisations- und Serverebene ist es möglich, eine sog.
Backupless-Strategie zu fahren. Dabei wird komplett auf ein Backup der einzelnen Exchange Server-
Komponenten verzichtet. Weitere Informationen hierzu finden Sie unter http://kevingreeneit-
blog.blogspot.de/2011/01/exchange-2010-backup-less-configuration.html.
Selbstverständlich können Sie auch weiterhin mit Datensicherungen arbeiten. Wie Sie dabei für die ein-
zelnen Serverrollen vorgehen müssen, erläutere ich Ihnen im Folgenden.
Konfiguration von Mitgliedern einer Database Availability Group Sollten Sie den Empfehlungen von Microsoft folgen und Ihre Datenbanken in einer Database Availability
Group (DAG) betreiben, so müssen Sie für die Sicherung der Datenbanken eine Vorkehrung treffen.
Gesichert werden dürfen immer nur die aktiven Datenbanken, passive Datenbanken werden von der
Sicherung ausgeschlossen. Damit Sie eine Sicherungssoftware auf einem Mitglied einer DAG einsetzen
können, müssen Sie den VSS-Writer für den Replikationsdienst deaktivieren. Hierzu gehen Sie in die
Registry und ändern den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\ExchangeSer-
ver\V14\Replay. Fügen Sie dort den DWORD32-Eintrag EnableVSSWriter hinzu und legen den Wert 0
fest.
Sichern von Datenbanken Datenbanken können Sie mit jeder Exchange-kompatiblen Sicherungssoftware sichern. Einzige Vorausset-
zung für die Verwendung ist die Unterstützung des VSS-Writers.
Wiederherstellen von Datenbanken Wenn Sie eine Datenbank unter Exchange Server 2010 wiederherstellen möchten, gibt es zwei verschie-
dene Möglichkeiten. Beiden Möglichkeiten haben gemeinsam, dass sich die wiederhergestellte Datenbank
im Zustand dirty shutdown befindet. Dies zeigt an, dass die Datenbank nicht ordnungsgemäß herunter-
gefahren wurde. Um die Datenbank in einen konsistenten Zustand zu versetzen, verwenden Sie das Tool
eseutil:
eseutil /mh <Datenbank> Prüft die Datenbank und zeigt den Status
an
eseutil /p <Datenbank> Zwingt die Datenbank auf Status clean
shutdown. Hat Datenverlust zur Folge.
eseutil /r <LogPrefix> /l <LogPath> /d <DatabasePath> Spielt die Transaktionsprotokolle in die
Datenbank ein.
Wiederherstellen von Datenbanken am Originalspeicherort Wenn Sie eine Datenbank an ihrem Originalspeicherort wiederherstellen möchten, müssen Sie in den
Datenbankeigenschaften den Parameter -AllowFileRestore $true konfigurieren. Anschließend können
Sie die Datenbank aus der Sicherung wiederherstellen. Bearbeiten Sie die Datenbank mit eseutil, um sie
in einen konsistenten Zustand zu bringen, bevor Sie sie mounten.
Seite 44 von 44
Wiederherstellen von Datenbanken an einem anderen Speicherort Sie können eine Datenbank auch an einem anderen Speicherort wiederherstellen. Dies wird vor allem
verwendet, wenn einzelne Elemente oder Postfächer aus einer Sicherung wiederhergestellt werden sollen.
Hierfür verwenden Sie eine sog. Wiederherstellungsdatenbank. Wiederherstellungsdatenbanken sind
schreibgeschützt und können nicht produktiv genutzt werden. Um eine Wiederherstellungsdatenbank zu
erstellen, verwenden Sie das Cmdlet New-MailboxDatabase mit dem Parameter –Recovery.
Nachdem Sie die Wiederherstellungsdatenbank angelegt haben, können Sie die Datenbank aus der
Sicherung wiederherstellen. Speichern Sie die Datenbank unter dem Namen und an dem Speicherort, den
Sie bei der Wiederherstellungsdatenbank für die Datenbank angegeben haben. Anschließend bearbei-
ten Sie die Datenbank mit eseutil und bringen sie in einen konstanten Zustand.
Postfächer innerhalb der Wiederherstellungsdatenbank können Sie sich mit dem Befehl Get-MailboxSta-
tistic –Database <Name> anzeigen lassen. Mit dem Befehl Restore-Mailbox können Sie Postfächer
wiederherstellen. Weitere Informationen hierzu finden Sie im Technet unter folgendem Link: http://tech-
net.microsoft.com/de-de/library/bb125218(v=exchg.141).aspx.
Wiederherstellen von Serverrollen (allgemein) Da Exchange Server 2010 eng mit der Windows-Domäne verknüpft ist, gestaltet sich die Wiederherstel-
lung einzelner Serverrollen relativ einfach. Alle relevanten Informationen über die Rollen eines Servers
werden im AD-Objekt des Servers gespeichert. Daraus ergibt sich die folgende Reihenfolge bei der
Wiederherstellung:
1. Computerkonto des Servers im Active Directory zurücksetzen. Löschen Sie niemals ein Computerkonto
eines Exchange-Servers aus dem Active Directory. Wenn Sie ein Konto löschen, ohne den Server
vorab zu deinstallieren, müssen Sie händisch das AD bereinigen, da der Server sonst immer noch
Mitglied Ihrer Exchange-Organisation ist.
2. Installieren Sie das Betriebssystem des Servers.
3. Benennen Sie den Server mit dem Namen des ausgefallenen Servers und nehmen Sie ihn in die Do-
mäne auf. Er wird beim Domänenbeitritt mit dem Computerkonto verknüpft, das bereits vorhanden
und zurückgesetzt ist.
4. Installieren Sie die Voraussetzungen für die Exchange Server 2010-Rollen, die auf dem Server
ursprünglich installiert waren.
5. Starten Sie die Installation aus der Eingabeaufforderung heraus. Verwenden Sie den Befehl
setup.com /m:RecoverServer. Exchange erkennt anhand des Computerkontos die Konfiguration des
Servers und installiert ihn entsprechend.
6. Konfigurieren Sie ggf. die Serverkonfiguration nach Ihrer Dokumentation und stellen Sie die Daten-
banken wieder her.
Besonderes beim Wiederherstellen von Postfachservern (Mitglied einer DAG) Bevor Sie einen Postfachserver, der Mitglied einer DAG ist, wiederherstellen können, müssen Sie zwei
Konfigurationen vorab durchführen. Beide betreffen den Failover-Cluster:
1. Entfernen Sie alle passiven Datenbankkopien vom ausgefallenen Server.
2. Entfernen Sie den ausgefallenen Server aus der Mitgliedsliste der DAG.
Nachdem Sie diese Schritte durchgeführt haben, können Sie mit der normalen Wiederherstellung begin-
nen. Weitere Informationen zur Wiederherstellung finden Sie unter http://technet.microsoft.com/de-
de/library/dd638206(v=exchg.141).aspx.
Besonderes beim Wiederherstellen von ClientAccess-Servern Bei ClientAccess-Servern müssen Sie bei der Wiederherstellung an sich nichts Besonderes beachten. Sie
gehen wie oben beschrieben vor. Sollten Sie auf dem ClientAccess-Server jedoch OutlookAnywhere kon-
figuriert haben, müssen Sie dieses erst deaktivieren und anschließend wieder aktivieren. Die Konfigura-
tion wird Ihnen ein aktiviertes OutlookAnywhere anzeigen, welches jedoch nicht funktioniert. Zusätzlich
müssen Sie evtl. geänderte Einstellungen und Inhalte der virtuellen Verzeichnisse wiederherstellen.