Florian Essigkrug

essigkrug.net IT | Consulting & Training

Übersicht über die wichtigstenPowerShell-Befehle und Grund-

lagen für Exchange Server 2010

Seite 1 von 44

Vorwort

Zur Vorbereitung auf die Prometric-Prüfung 70-662 Microsoft Exchange Server 2010, Konfiguration

habe ich Ihnen hier die wichtigsten PowerShell-Befehle und Grundlagen zusammengestellt. Diese Liste

ist nicht vollständig und möchte dies auch nicht sein. Sollten Sie weitere Fragen zu einzelnen Befehlen

haben, empfehle ich Ihnen folgenden Link: http://technet.microsoft.com/en-

us/library/bb124413(v=exchg.141).aspx.

Hilfe zu jedem Cmdlet finden Sie auch mit get-help <Cmdlet>. Sollten Sie nicht wissen, wie ein Cmdlet

heißt, können Sie sich mit get-command –noun <Nomen> alle entsprechenden Cmdlets und Funktionen

anzeigen lassen, z. B. get-command –noun „Database“.

Viel Spaß und viel Erfolg mit Exchange Server

Florian Essigkrug

essigkrug.net IT | Consulting & Training

www.essigkrug.net

Seite 2 von 44

Inhalt Vorwort ............................................................................................................................................. 1

Datenbankverwaltung ....................................................................................................................... 7

Neue Postfachdatenbank anlegen ....................................................................................................................... 7

Datenbank einbinden .............................................................................................................................................. 7

Datenbankeinbindung aufheben .......................................................................................................................... 7

Datenbank entfernen .............................................................................................................................................. 7

Eigenschaften einer Datenbank abfragen ......................................................................................................... 7

Datenbankpfad verschieben ................................................................................................................................. 7

Eigenschaften von Postfachdatenbanken bearbeiten ...................................................................................... 8

Neue Öffentliche Ordner-Datenbank ................................................................................................................. 8

Inhalt einer Öffentlichen Ordner-Datenbank abfragen .................................................................................. 8

Löschen einer Öffentlichen Ordner-Datenbank ................................................................................................. 8

Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten ............................................................... 9

Skripte für Öffentliche Ordner ............................................................................................................................. 9

Akzeptierte Domäne konfigurieren ................................................................................................... 9

Neue akzeptierte Domäne konfigurieren ........................................................................................................... 9

Verwaltung von Email-Adressen mit Email-Adressrichtlinien ........................................................... 9

Neue E-Mail-Adressrichtlinie anlegen ................................................................................................................. 9

Aktualisieren einer E-Mail-Adressrichtlinie ....................................................................................................... 10

Empfängerverwaltung ..................................................................................................................... 10

Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) ................................. 10

Postfach für vorhandenen Benutzer aktivieren ................................................................................................ 10

Benutzerpostfach konfigurieren .......................................................................................................................... 10

Verschieben von Postfächern ............................................................................................................................... 11

Verschieben von Systempostfächern .................................................................................................................. 11

Benutzerzugriff auf das Postfach steuern ......................................................................................................... 11

Ressourcenpostfächer anlegen ............................................................................................................................ 11

Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs ................................................... 11

Benutzerdefinierte Ressourceneigenschaften anlegen ................................................................................... 11

Ressourceneigenschaften anzeigen lassen ........................................................................................................ 12

Konfigurieren von Eigenschaften, welche die Kalenderfunktion betreffen ................................................ 12

Zeitzone für Postfächer festlegen ...................................................................................................................... 12

Raumlisten erstellen zur leichteren Planung in Outlook .................................................................................. 12

Freigegebenes Postfach erstellen ...................................................................................................................... 12

Archivpostfach für Benutzer aktivieren.............................................................................................................. 12

Exchange-Funktionalität für Benutzer deaktivieren ........................................................................................ 12

Getrenntes Postfach wieder verbinden ............................................................................................................. 13

Konvertieren eines Postfaches in einen anderen Typ ..................................................................................... 13

Exportieren eines Postfachs ................................................................................................................................. 13

Seite 3 von 44

Einrichten von E-Mail-Kontakten ......................................................................................................................... 13

Einrichten von E-Mail-Benutzern .......................................................................................................................... 13

Verteilergruppen.............................................................................................................................. 14

Neue statische Verteilergruppe anlegen .......................................................................................................... 14

Benutzer zu einer statischen Verteilergruppe hinzufügen ............................................................................. 14

Eigenschaften einer statischen Verteilergruppe bearbeiten ......................................................................... 14

Dynamische Verteilergruppen anlegen ............................................................................................................. 15

Adresslisten verwalten .................................................................................................................... 15

Neue Adressliste anlegen .................................................................................................................................... 15

Adresslisten aktualisieren ..................................................................................................................................... 15

Adressliste verschieben ......................................................................................................................................... 15

Globale Adressliste aktualisieren....................................................................................................................... 15

Offline-Adressbücher ...................................................................................................................... 16

Neues Offline-Adressbuch anlegen ................................................................................................................... 16

Adresslisten zu OAB hinzufügen / entfernen ................................................................................................... 16

Offline-Adressbuch Benutzern zuweisen ........................................................................................................... 16

Verschieben des Servers für die Generierung des OABs ............................................................................. 16

Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB ......................................................... 16

Verwaltung von Öffentlichen Ordnern ............................................................................................ 17

Neuen Öffentlichen Ordner erstellen ................................................................................................................ 17

Replikat eines Öffentlichen Ordners konfigurieren ........................................................................................ 17

Berechtigungen für Öffentliche Ordner konfigurieren ................................................................................... 17

Administrative Berechtigungen anzeigen .......................................................................................................... 17

Administrative Berechtigung hinzufügen ........................................................................................................... 17

Benutzerberechtigung hinzufügen. ..................................................................................................................... 17

E-Mail-aktivierung öffentlicher Ordner ............................................................................................................. 17

Festlegen von Grenzwerten für öffentliche Ordner ....................................................................................... 17

Öffentlichen Ordner löschen ............................................................................................................................... 18

E-Mail-Aktivierung öffentlicher Ordner aufheben .......................................................................................... 18

Konfigurieren des Clientzugriffs...................................................................................................... 19

Virtuelles Verzeichnis für Outlook Web App konfigurieren ......................................................................... 19

Outlook Web App-Postfachrichtlinie anlegen ................................................................................................. 19

Outlook Web App-Postfachrichtlinie konfigurieren ....................................................................................... 19

Outlook Web App-Postfachrichtlinie auf Postfach anwenden ..................................................................... 19

Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren ..................................................................... 19

Neue ActiveSync-Postfachrichtlinie anlegen ..................................................................................................... 19

Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden ................................................................. 19

IMAP4 und POP3 konfigurieren ......................................................................................................................... 20

Outlook Anywhere aktivieren ............................................................................................................................. 20

Virtuelles Verzeichnis zurücksetzen .................................................................................................................... 20

Seite 4 von 44

Clienteinschränkungsrichtlinien ............................................................................................................................ 20

Konfigurieren des RPC-Clientzugriffs ................................................................................................................ 20

Verwalten von Transportservern ..................................................................................................... 21

Remotedomäne anlegen ...................................................................................................................................... 21

Transportregelbedingungen anzeigen .............................................................................................................. 21

Transportregelaktionen anzeigen ...................................................................................................................... 21

Transportregeln anzeigen .................................................................................................................................... 21

Neue Transportregel anlegen ............................................................................................................................. 21

Transportregel mit regulären Ausdrücken konfigurieren ............................................................................... 21

Status des Transportagenten anzeigen ............................................................................................................. 22

Benutzerdefinierte Systemnachricht (DSN) anlegen ....................................................................................... 22

Ethische Absperrung konfigurieren ..................................................................................................................... 22

Festlegen der Exchange-Kosten einer Standortverknüpfung ........................................................................ 22

Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen .......................................... 22

Einen Standort als Hub-Standort konfigurieren ............................................................................................... 22

Konfigurieren des Transportdumpsters .............................................................................................................. 22

Verwenden von Sende- und Empfangsconnectoren ........................................................................ 23

Neuen Sendeconnector erstellen ........................................................................................................................ 23

Neuen Empfangsconnector erstellen .................................................................................................................. 24

Verwenden von Edge-Transport-Servern in der Exchange-Organisation ........................................ 24

Konfigurieren der Voraussetzungen .................................................................................................................. 24

Konfigurieren der Edge-Transport-Server-Synchronisation .......................................................................... 24

Manuelles Ausführen der Edge-Synchronisierung ........................................................................................... 25

Einen weiteren Hub-Transport-Server zum Standort hinzufügen ................................................................. 25

Einen weiteren Edge-Transport-Server zum Standort hinzufügen ............................................................... 25

Klonen der Edge-Konfiguration .......................................................................................................................... 25

Umschreiben von Adressen .................................................................................................................................. 25

Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server ................................................ 26

Verbindungsfilter ................................................................................................................................................... 26

IP-Zulassungsliste ............................................................................................................................................... 26

Anbieter für zugelassene IP-Adressen .......................................................................................................... 26

IP-Sperrliste ........................................................................................................................................................ 26

IP-Sperrlistenanbieter ...................................................................................................................................... 27

Inhaltsfilterung ........................................................................................................................................................ 27

Empfängerfilterung ............................................................................................................................................... 27

Blockierte Empfänger entfernen / hinzufügen ............................................................................................ 27

Absenderfilterung .................................................................................................................................................. 28

Überprüfen von Sender-ID .................................................................................................................................. 28

Absenderzuverlässigkeit ...................................................................................................................................... 29

Anlagenfilterung .................................................................................................................................................... 29

Seite 5 von 44

Sicherstellen der Nachrichtenintegrität ............................................................................................ 30

S/MIME verwenden .............................................................................................................................................. 30

Konfigurieren der Domänensicherheit ............................................................................................................... 30

Information Rights Management (IRM) ........................................................................................... 31

Vorbereiten der Exchange-Organisation zur Verwendung von IRM .......................................................... 31

Messaging Records Management (MRM) ........................................................................................ 32

Neue Aufbewahrungstags erstellen ................................................................................................................... 32

Neue Aufbewahrungsrichtlinie anlegen ............................................................................................................ 32

Konfigurieren des Assistenten für verwaltete Ordner .................................................................................... 33

Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren ....................................................................... 33

Neue Journalregel erstellen ................................................................................................................................ 33

Reserve-Journalpostfach konfigurieren ............................................................................................................. 33

Verwenden von E-Mail-Infos ............................................................................................................................... 33

Organisationseinstellungen für E-Mail-Infos ..................................................................................................... 34

Verwenden von Klassifikationen ......................................................................................................................... 34

Implementieren einer Ermittlungssuche .............................................................................................................. 34

Rollenbasierte Zugriffsteuerung (RBAC) ......................................................................................... 35

Neuer Verwaltungsbereich anlegen .................................................................................................................. 35

Neue Verwaltungsgruppe anlegen .................................................................................................................... 35

Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen ...................................................................... 36

Neue Verwaltungsrolle erstellen ........................................................................................................................ 36

Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen ....................................................................... 36

Verwaltungsrolleneinträge entfernen ................................................................................................................ 36

Verwaltungsrolleneintrag hinzufügen ................................................................................................................ 36

Rollenzuweisungsrichtlinien ................................................................................................................................... 36

Hochverfügbarkeit in Exchange Server 2010 .................................................................................. 36

Hub-Transport-Server ........................................................................................................................................... 37

Edge-Transport-Server ......................................................................................................................................... 37

Client-Access-Server ............................................................................................................................................. 37

Postfach-Server ...................................................................................................................................................... 38

Einrichten einer Postfachdatenbankkopie .................................................................................................... 38

Postfachdatenbankkopie aktivieren .............................................................................................................. 39

Postfachdatenbankkopie anhalten ................................................................................................................ 39

Postfachdatenbankkopie fortsetzen .............................................................................................................. 39

Erneutes Seeding einer Postfachdatenbankkopie ...................................................................................... 39

Überwachen von Exchange Server 2010......................................................................................... 40

Überwachen von Informationen und Statistiken über Datenbanken ........................................................... 40

Abrufen von Informationen von Postfachdatenbanken .............................................................................. 40

Abrufen von statistischen Informationen von Postfächern .......................................................................... 40

Abfragen des Ressourcenverbrauchs ............................................................................................................ 40

Seite 6 von 44

Abfragen von statistischen Informationen von Öffentlichen Ordnern ..................................................... 40

Abfragen des Status der Kopien einer Postfachdatenbank .................................................................... 40

Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln ................................... 40

Abrufen von Switch- und Failover-Statistiken .............................................................................................. 40

Überwachen von Replikationsmessdaten...................................................................................................... 40

Erfassen von Postfachordnerstatistiken ......................................................................................................... 41

Erfassen von Anmeldestatistiken..................................................................................................................... 41

Erfassen der Anzahl von Nutzer eines bestimmten Protokolls .................................................................. 41

Exchange ActiveSync-Berichte abrufen ........................................................................................................ 41

Überwachen der Nachrichtenübermittlung ................................................................................................... 41

Protokollkonfiguration der Postfach- und Transportserver ....................................................................... 41

Warteschlangenanzeige ................................................................................................................................. 41

Nachverfolgung von Nachrichten ................................................................................................................... 42

Testen der Nachrichtenübermittlung .............................................................................................................. 42

Testen der SMTP-Kommunikation mit Telnet ..................................................................................................... 42

Anlegen eines Testusers zur Überprüfung von Verbindungen ...................................................................... 42

Überprüfen von POP3-Verbindungen ............................................................................................................... 42

Überprüfen von IMAP4-Verbindungen ............................................................................................................. 42

Überprüfen von MAPI-Verbindungen ................................................................................................................ 42

Überprüfen des Autoermittlungsdienstes .......................................................................................................... 42

Überwachen der administrativen Tätigkeiten .................................................................................................. 43

Notfallwiederherstellung für Exchange ........................................................................................... 43

Konfiguration von Mitgliedern einer Database Availability Group ........................................................... 43

Sichern von Datenbanken .................................................................................................................................... 43

Wiederherstellen von Datenbanken .................................................................................................................. 43

Wiederherstellen von Datenbanken am Originalspeicherort .................................................................. 43

Wiederherstellen von Datenbanken an einem anderen Speicherort ..................................................... 44

Wiederherstellen von Serverrollen (allgemein) ............................................................................................... 44

Besonderes beim Wiederherstellen von Postfachservern (Mitglied einer DAG) ...................................... 44

Besonderes beim Wiederherstellen von ClientAccess-Servern ..................................................................... 44

Seite 7 von 44

Datenbankverwaltung Grundlage der Funktionalität von Microsoft Exchange sind Datenbanken. Wir unterscheiden dabei zwei

Arten von Datenbanken: Postfachdatenbanken zur Speicherung der Postfächer der Benutzer sowie Öf-

fentliche Ordner-Datenbanken.

In der Standard-Edition von Exchange Server 2010 können lediglich 5 Postfachdatenbanken pro Post-

fachserver gehostet werden. In der Enterprise-Edition sind dagegen bis zu 100 Postfachdatenbanken

möglich. Zusätzlich sind pro Server eine Datenbank für Öffentliche Ordner sowie eine Wiederherstel-

lungsdatenbank möglich.

Der Informationsspeicher von Exchange Server 2010 besteht aus den jeweiligen Datenbanken (*.edb)

sowie den zugehörigen Transaktionsprotokollen (*.log). Alle Aktionen werden erst in einem Transaktions-

protokoll gespeichert und anschließend in die Datenbank eingespielt. Sollte die Datenbank ausfallen, ist

es auf diese Weise möglich, ein Backup auf den letzten Stand vor dem Ausfall zu bringen. Die Datenbank

wird aus einem Backup wiederhergestellt und anschließend werden alle Transaktionsprotokolle, die nach

dem Backup angelegt worden sind, wieder in die Datenbank eingespielt.

Jedes Transaktionsprotokoll ist genau 1 MB groß. Zusätzlich werden 10 x 1 MB durch Pufferdateien (*.jrs)

belegt, die gewährleisten sollen, dass eine maximal 10 MB große Nachricht auch dann noch empfangen

werden kann, wenn der Festplattenplatz verbraucht ist. Die Datenbank wird in diesem Fall offline ge-

schaltet und die Nachricht wird in den reservierten Bereich geschrieben.

Neue Postfachdatenbank anlegen New-MailboxDatabase -Name <Name> -Server <Server> -EdbFilePath

<Pfad\DBName.edb> -LogFolderPath <Pfad>

Datenbank einbinden Mount-Database -Identity <Name>

Datenbankeinbindung aufheben Dismount-Database -Identity <Name>

Datenbank entfernen Bevor Sie eine Datenbank löschen können, muss diese erst leer sein. Hierzu müssen Sie alle Postfächer aus

der Datenbank entweder löschen oder in eine andere Postfachdatenbank verschieben. Systempostfächer

befinden sich standardmäßig in der ersten Postfachdatenbank des ersten Postfachservers der Exchange-

Organisation. Diese können Sie wie folgt verschieben:

Get-Mailbox –Arbitration | New-MoveRequest

Anschließend können Sie die Datenbank mit folgendem Befehl löschen:

Remove-MailboxDatabase -Identity <Name>

Eigenschaften einer Datenbank abfragen Get-MailboxDatabase -Identity <Server\Datenbank>

Datenbankpfad verschieben Move-DatabasePath -identity <Name> -EdbFilePath <Pfad> -LogFolderPath <Pfad>

Seite 8 von 44

Eigenschaften von Postfachdatenbanken bearbeiten Set-MailboxDatabase –Identity <Name>

-Name Ändert den Namen der DB

-JournalRecipient <User> Aktiviert den Journal-Empfänger

-MaintenanceSchedule <Wert> Legt den Wartungszeitplan fest

-BackgroundDatabaseMaintenance <$true|$false> Aktiviert die Hintergrundwartung f. DB

-AllowFileRestore <$true|$false> DB kann bei Wiederherstellung überschrieben

werden

-MountatStartup <$true|$false> Bei Serverstart DB einbinden

-CircularLoggingEnablde <$true|$false> Aktiviert Umlaufprotokollierung

-IssueWarningQuota <MB|GB|TB> Warnmeldung senden ab

-ProhibitSendQuota <MB|GB|TB> Senden verbieten ab

-ProhibitSendRecieveQuota <MB|GB|TB> Empfangen verbieten ab

-DeletedItemRetention <Wert> Aufbewahrungszeit f. gelöschte Elemente

-MailboxRetention <Wert> Aufbewahrungszeit f. gelöschte Postfächer

-RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente aufbewahren bis das

nächste Backup durchgeführt wurde

-OfflineAddressBook Standard-OAB f. alle Postfächer in der DB

-PublicFolderDatabase Standard-DB f. Öffentliche Ordner

-RpcClientAccessServer Legt den ClientAccess Server fest, der auf

die Datenbank zugreifen darf.

Neue Öffentliche Ordner-Datenbank New-PublicFolderDatabase -Server <Server> -Name <Name> -EdbFilePath <Pfad>

-LogFolderPath <Pfad>

Pro Server ist lediglich eine Datenbank für Öffentliche Ordner möglich!

Inhalt einer Öffentlichen Ordner-Datenbank abfragen Get-PublicFolder -Server <Server>

-Recurse Zeigt alle Öffentlichen Ordner innerhalb der

Datenbank an.

Löschen einer Öffentlichen Ordner-Datenbank Bevor Sie eine Datenbank löschen können, müssen erst alle Replikate von öffentlichen Ordnern verschie-

ben und dann alle öffentlichen Ordner in der Datenbank löschen.

1. Get-PublicFolder –Server <Server> „\“ –Recurse –ResultSize:Unlimited | Remove-PublicFolder

-Recurse –ErrorAction:SilentlyContinue

2. Get-PublicFolder –Server <Server> „\Non_Ipm_Subtree“ –Recurse –ResultSize:Unlimited | Re-

move-PublicFolder –Recurse –ErrorAction:SilentlyContinue

3. Remove-PublicFolderDatabase -Identity <Name>

Seite 9 von 44

Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten Set-PublicFolderDatabase -Identity <Name>

-DeletedItemRetention <Tage> Aufbewahrungszeit für gelöschte Elemente

-RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente werden erst entfernt,

wenn ein Backup der Datenbank durchgeführt

wurde.

Skripte für Öffentliche Ordner MoveAllReplicas.ps1 Verschiebt den gesamten Inhalt einer Daten-

bank in eine andere Datenbank.

ReplaceReplicaOnPFRecursive.ps1 Verschiebt den Inhalt einer Ordnerstruktur von

einer Datenbank in eine andere Datenbank.

Die Skripte finden Sie im standardmäßig in C:\Program Files\Microsoft\Exchange Server\V14\Scripts.

Akzeptierte Domäne konfigurieren Akzeptierte Domänen legen fest, für welche SMTP-Domänen unsere Exchange Transport-Server Nach-

richten empfangen und versenden können. Standardmäßig wird die Windows-Domäne eingetragen, in

der der Exchange-Server installiert wurde. Ein interner Versand von Nachrichten ist damit innerhalb der

Domäne möglich. Sollen Nachrichten von öffentlichen SMTP-Domänen oder anderen Windows-Domänen

akzeptiert werden, müssen Sie eine entsprechende akzeptierte Domäne konfigurieren. Dabei werden

drei Arten von akzeptierten Domänen unterschieden:

Autorisierende Domäne Alle Empfänger für diese Domäne befinden sich innerhalb

unserer Exchange-Organisation.

Interne Relay-Domäne Der Empfänger für diese Domäne befindet sich entweder in-

nerhalb unserer Exchange-Organisation oder außerhalb.

Sollte der Empfänger nicht innerhalb unserer Organisation

sein, wird die Nachricht weitergeleitet.

Externe Relay-Domäne Die Empfänger für diese Domäne befinden sich nicht inner-

halb unserer Exchange-Organisation. Alle Nachrichten wer-

den weitergeleitet.

Neue akzeptierte Domäne konfigurieren New-AcceptedDomain –Name <Name> -DomainName <Domäne> -DomainType

<Authoritative|ExternalRelay|InternalRelay>

Verwaltung von Email-Adressen mit Email-Adressrichtlinien E-Mail-Adressen werden in Exchange Server 2010 mithilfe von E-Mail-Adressrichtlinien zugewiesen.

Adressrichtlinien ermöglichen es, E-Mail-Adressen aufgrund von Bedingungen, wie z. B. Zugehörigkeit zu

einer bestimmten Firma oder Abteilung, zuzuweisen und ein einheitliches Adressschema im Unternehmen

durchzusetzen.

Neue E-Mail-Adressrichtlinie anlegen New-EmailAddressPolicy –Name <Name> -IncludedRecipients <EmpfängerTypen> -Priority <Prio-

rität> -EnabledEmailAddressTemplates <SMTP:Email-Adresse>

Die E-Mail-Adresse können Sie mit verschiedenen Variablen konfigurieren:

%s Nachname

%g Vorname

%m Alias

Seite 10 von 44

Durch Angabe der Anzahl an Buchstaben nach dem %-Zeichen können Sie festlegen, wie viele Buchstaben

der jeweiligen Variablen verwendet werden sollen, z. B. %1s.%1g@Domäne.tld ergibt als Adresse z. B.

f.e@essigkrug.net.

Durch Angabe von Filterbedingungen wie –ConditionalDepartment, -ConditionalCompany oder –Con-

ditionalCustomAttribute<1-15> können Adressrichtlinien auf bestimmte Empfänger eingeschränkt wer-

den. Alternativ kann man die Richtlinie auf eine bestimmte Organisationseinheit einschränken.

Aktualisieren einer E-Mail-Adressrichtlinie Wenn Sie eine Adressrichtlinie auf der PowerShell konfigurieren, wird diese nicht automatisch auf die

Postfächer angewendet. Die Adressrichtlinie wird angewendet, wenn ein Empfängerobjekt bearbeitet

wird oder Sie die Aktualisierung manuell anstoßen:

update-EmailAddressPolicy –Identity <Name>

Empfängerverwaltung In Exchange Server 2010 gibt es verschiedene Empfängertypen. Neben Benutzerpostfächern gibt es noch

Ressourcenpostfächer (Räume, Equipment), Mail-User, externe Kontakte und Verteilergruppen. Ein Groß-

teil der Parameter ist auf alle Empfänger anwendbar.

Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) New-Mailbox –Name <Name> -Alias <Alias> -UserPrincipalName <UPN> -SamAccountName

<Name> -FirstName <Vorname> -Initials <Initialien> -LastName <Nachname> -ResetPasswor-

dOnNextLogon <$true|$false> -Database <Datenbank>

Postfach für vorhandenen Benutzer aktivieren Enable-Mailbox –Identity <User> -Alias <Alias>

Benutzerpostfach konfigurieren Set-Mailbox –Identity <User>

-IssueWarningQuota <Wert> Legt die Warnstufe in MB fest, die ein Benutzer

erhält, wenn sein Postfach diese Größe erreicht.

-ProhibitSendQuota <Wert> Legt fest, wann ein Benutzer keine Nachrichten

mehr senden kann, wenn sein Postfach diese

Größe erreicht.

-ProhibitSendRecieveQuota <Wert> Legt fest, wann ein Benutzer keine Nachrichten

mehr senden und empfangen kann, wenn sein

Postfach diese Größe erreicht.

-UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Quota durch die Datenbank

-UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Standardeinstellung der Daten-

bank.

-HiddenFromAddressListEnabled <$true|$false> Verhindert, dass das Postfach in Adresslisten an-

gezeigt wird.

-MaxSendSize <Wert> Maximale Größe von zu versendenden Nachrich-

ten.

-MaxRecieveSize <Wert> Maximale Größe von zu empfangenden Nach-

richten.

Seite 11 von 44

-LitigationHoldEnabled <$true|$false> Aktiviert die Aufbewahrung f. evtl. Rechtsstreitig-

keiten. Verhindert, dass der Inhalt des Ordners

Purges gelöscht wird. Nachrichten werden dau-

erhaft im Postfach aufbewahrt, Original-Nach-

richten werden im Ordner Versions gespeichert.

Verschieben von Postfächern New-MoveRequest –Identity <User> -TargetDatabase <DB>

Mit den Parametern –ArchiveOnly und –PrimaryOnly kann ausgewählt werden, welches Postfach eines

Benutzers verschoben wird.

Verschieben von Systempostfächern Wenn Sie ein Systempostfach verschieben möchten, können Sie den Befehl New-MoveRequest mit dem

Parameter –Arbitration verwenden.

Benutzerzugriff auf das Postfach steuern Benutzer können auf verschiedene Arten auf Ihr Postfach zugreifen. Der Zugriff per POP3/IMAP4 ist

standardmäßig zwar erlaubt, funktioniert jedoch nicht, da die Dienste nicht gestartet und auf Manuell

gestellt sind. Wenn Sie diesen Zugriff erlauben möchten, müssen Sie die Dienste auf Automatisch setzen

und starten. Den Zugriff auf das Postfach konfigurieren Sie wie folgt:

Set-CASMailbox –Identity <User>

-POPEnabled <$true|$false> Legt den Zugriff per POP3 fest.

-ImapEnabled <$true|$false> Legt den Zugriff per IMAP4 fest.

-OWAEnabled <$true|$false> Legt den generellen Zugriff auf OWA fest. Hat

keinen Einfluss auf den Funktionsumfang von

OWA.

-ExchangeActiveSyncEnabled <$true|$false> Legt den Zugriff per ActiveSync fest. Hat keinen

Einfluss auf den Funktionsumfang von ActiveSync.

-MAPIEnabled <$true|$false> Legt den Zugriff per MAPI-Client (z. B. Outlook)

fest.

Ressourcenpostfächer anlegen New-Mailbox –Name <User> –UserPrincipalName <UPN> –Alias <Name> –Database <DB> -

Room -Equipment

Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs Set-Mailbox –Identity <User>

-ResourceCapacity <Wert> Legt die Kapazität der Ressource fest.

-ResourceCustom <Wert> Liste der Benutzerdefinierten Ressourceneigen-

schaften.

Benutzerdefinierte Ressourceneigenschaften anlegen Zusätzliche Ressourceneigenschaften helfen Benutzern, Ressourcen entsprechend ihrer Bedürfnisse gezielt

auszuwählen, z. B. bei Räumen anhand der Ausstattung.

1. $ResourceConfig = Get-ResourceConfig

2. $ResourceConfig.ResourcePropertySchema+=(„Room/<Eigenschaft>“)

3. $ResourceConfig.ResourcePropertySchema+=(„Equipment/<Eigenschaft>“)

4. Set-ResourceConfig –ResourcePropertySchema $ResourceConfig.ResourcePropertySchema

Seite 12 von 44

Ressourceneigenschaften anzeigen lassen Get-ResourceConfig

Konfigurieren von Eigenschaften, welche die Kalenderfunktion betreffen Set-CalendarProcessing –Identity <User>

-ResourceDelegates <User> Legt die Postfach-Stellvertretung fest.

-ForwardRequestsToDelegates <$true|$false> Legt fest, ob Anfragen an die Postfach-Stellver-

tretung weitergeleitet werden sollen.

-AutomateProcessing <None|AutoAccept> Aktiviert die Buchungsautomatik.

-BookingWindowInDays <Wert> Legt das Buchungsfenster fest.

-MaximumDurationInMinutes <Wert> Legt die maximale Termindauer fest.

-AddAdditionalResponse <$true|$false> Zusätzliche Informationen an den Organisator

senden.

-AdditionalResponse <Text> Zusätzliche Informationen für den Organisator.

Zeitzone für Postfächer festlegen Set-MailboxCalendarConfiguration –Identity <User> -WorkingHoursTimeZone <Zeitzone>

Raumlisten erstellen zur leichteren Planung in Outlook Raumlisten erleichtern die Suche nach Räumen bei der Terminplanung in Outlook. Wichtig ist, dass beim

Erstellen der Verteilergruppe keine Umlaute verwendet werden. Nach dem Erstellen der Verteilergruppe

können die Räume zur jeweiligen Liste hinzugefügt werden.

New-Distributiongroup –Name <Name> -RoomList

Freigegebenes Postfach erstellen Freigegebene Postfächer sind in der Regel Gruppenpostfächer, auf die mehrere Benutzer Zugriff haben.

Je nach Verwendungszweck sollen die Benutzer auch das Recht haben, mit der Identität des Gruppen-

postfachs Nachrichten zu versenden.

Mit dem Parameter –Shared erstellen Sie ein freigegebenes Postfach:

New-Mailbox –Name <Name> -UserPrincipalName <UPN> -SamAccountName <Name> -Alias

<Name> -Database <DB> -Shared

Mit diesem Befehl gewähren Sie den Benutzern Zugriff auf das Postfach:

Add-MailboxPermission –Identity <Name d. freigegebenen Postfachs> -User <Name des Benut-

zers> -AccessRights FullAccess –InheritanceType all

Mit diesem Befehl ermöglichen Sie es den Benutzern, Nachrichten mit der Identität des Gruppenpostfachs

zu versenden:

Add-ADPermission <Name d. freigegebenen Postfachs> -User <Domäne\Benutzer>

-ExtendedRights „Send-as“

Archivpostfach für Benutzer aktivieren Enable-Mailbox –Identity <User> -Archive

Exchange-Funktionalität für Benutzer deaktivieren Disable-Mailbox –Identity <User>

Seite 13 von 44

Getrenntes Postfach wieder verbinden Sie können getrennte Postfächer wieder mit Benutzern verbinden. Dabei haben Sie die Wahl, ob Sie das

Postfach mit dem ursprünglichen Benutzer oder mit einem anderen Verbinden möchten:

Connect-Mailbox –Identity <User> -Database <DB> -User <User>

Wenn das Postfach nicht innerhalb der Datenbank gefunden werden kann, wurde beim Trennen des

Postfachs dieses im AD DS nicht als getrennt markiert. Mit dem Befehl Clean-MailboxDatabase können

Sie nach getrennten Postfächern in einer Datenbank suchen und den Status aktuallisieren.

Konvertieren eines Postfaches in einen anderen Typ Sie können bestehende Postfächer in einen anderen Typ konvertieren. Dies findet vor allem bei der Mig-

ration von Postfächern älterer Systeme Anwendung, z. B. um ein Benutzerpostfach aus Exchange 2003,

welches als Raumpostfach genutzt wurde, in ein Raumpostfach unter Exchange 2010 zu konvertieren.

Set-Mailbox –Identity <User> -Type <Shared|Room|Equipment|User>

Exportieren eines Postfachs Es gibt verschiedene Arten, wie ein Postfach exportiert werden kann. Der einfachste Weg ist, mit Outlook

ein Postfach in eine PST-Datei zu exportieren. Dies geht allerdings nur mit dem eigenen Postfach. Möchte

ein Administrator ein anderes Postfach aus der Datenbank exportieren, müssen einige Voraussetzungen

erfüllt sein:

1. Der Administrator benötigt das Recht, Postfächer zu Importieren und Exportieren. Dieses Recht wird

ihm über die Rolle Mailbox Import Export zugewiesen.

2. Auf dem Rechner müssen Outlook 2010 64Bit und die Exchange Verwaltungstools installiert sein.

3. New-MailboxExportRequest –Mailbox <Name> -FilePath <Pfad.pst>

Mit dem Parameter –IsArchive können Sie ein Archivpostfach exportieren. Mithilfe des Parameters -

ContentFilter können Sie gezielt Inhalt eines Postfachs exportieren. Auf dieselbe Weise können Sie auch

Postfächer importieren.

Einrichten von E-Mail-Kontakten E-Mail-Kontakte sind Kontakte, die als Objekt im Active Directory gespeichert und als Empfänger für

Exchange Server 2010 verfügbar gemacht werden sollen. Kontakte verfügen sind keine Sicherheitsprin-

zipale, können sich nicht in der Domäne anmelden und auch nicht Mitglied von Sicherheitsgruppen werden.

Eine Mitgliedschaft in Verteilergruppen ist dagegen möglich.

E-Mail-Kontakte können auf zweierlei Arten in Exchange Server 2010 erstellt werden. Bereits im AD

vorhandene Kontakte können Sie für Exchange Server 2010 folgendermaßen aktivieren:

Enable-MailContact –Identity <User> -ExternalEmailAddress <SMTP:Adresse> -Alias <Name>

Einen neuen E-Mail-Kontakt erstellen Sie, indem Sie folgenden Befehl ausführen:

New-MailContact –Name <Name> -Alias <Name> -FirstName <Vorname> -LastName <Nach-

name>

-ExternalEmailAddress <SMTP:Adresse>

Einrichten von E-Mail-Benutzern Im Gegensatz zu E-Mail-Kontakten verfügen E-Mail-Benutzer über ein Sicherheitsprinzipal in unserer Ge-

samtstruktur. Es handelt sich hierbei also um Domänenbenutzer, die über kein eigenes Exchange-Postfach

verfügen, dennoch aber in die Exchange-Organisation eingebunden werden sollen. Sie können Mitglieder

von Sicherheits- und Verteilergruppen sein.

Enable-MailUser –Identity <User> -Alias <Name> -ExternalEmailAddress <SMTP:Adresse>

New-MailUser –Name <Name> -Alias <Name> -UserPrincipalName <UPN> -SamAccountName

<Name> -FirstName <Vorname> -LastName <Nachname> -ResetPasswordOnNextLogon

<$true|$false> -ExternalEmailAddress <SMTP:Adresse>

Seite 14 von 44

Verteilergruppen Exchange Server 2010 kennt zwei Arten von Verteilergruppen: statische und dynamische. Bei statischen

Gruppen sind die Benutzer feste Mitglieder der Gruppe, d. h. sie stehen bereits fest, wenn die Gruppe

durch eine Nachricht angesprochen wird. Bei dynamischen Gruppen werden die Mitglieder jedes Mal

anhand von Filterbedingungen ermittelt, wenn die Gruppe angesprochen wird.

Verteilergruppen sind immer Universale Gruppen und können vom Typ reine Verteiler- oder aber auch

sicherheitsaktivierte Gruppen (-Security) sein.

Neue statische Verteilergruppe anlegen New-DistributionGroup –Name <Name> -SamAccountName <Name> -Alias <Name>

Benutzer zu einer statischen Verteilergruppe hinzufügen Add-DistributionGroupMember –Identity <Name d. Gruppe> -Member <User>

Eigenschaften einer statischen Verteilergruppe bearbeiten Set-DistributionGroup –Identity

-MemberJoinRestriction Legt fest, ob eine Genehmigung notwendig

ist, um der Gruppe beizutreten. Mögliche

Optionen sind ApprovalRequired, Open o-

der Closed.

-MemberDepartRestriction Legt fest, ob ein Benutzer die Gruppe ver-

lassen darf. Mögliche Optionen sind Open

oder Closed.

-ExpansionServer <Server> Legt den Server fest, der für die Aufgliede-

rung der Gruppenmitgliedschaft zuständig

ist.

-HiddenFromAddressListEnabled <$true|$false> Legt fest, ob die Gruppe in Adresslisten an-

gezeigt wird.

-SendOofMessagesToOrginatorEnabled <$true|$false> Legt fest, ob Abwesenheitsbenachrichtigun-

gen an den Absender einer Nachricht über-

mittelt werden.

-MaxRecieveSize <Wert> Legt die maximale Nachrichtengröße fest.

-ModerationEnabled <$true|$false> Legt die Moderation einer Gruppe fest.

-ModeratedBy <User> Legt den Moderator einer Gruppe fest.

-RequireSenderAuthenticationEnabled <$true|$false> Legt fest, ob sich jeder Absender authentifi-

zieren muss. Bei Gruppen, die von Extern er-

reichbar sein sollen, muss dieser Wert auf

$false gesetzt werden.

Seite 15 von 44

Dynamische Verteilergruppen anlegen New-DynamicDistributionGroup –Name <Name> -Alias <Name>

-IncludedRecipients Legt fest, welche Art von Empfängern eingeschlossen wer-

den sollen. Mögliche Parameter sind AllRecipients, Mail-

boxUsers, Resources, MailContacts, MailGroups und

MailUsers.

-ConditionalCompany Legt als Bedingung fest, welcher Firma die Mitglieder an-

gehören müssen.

-ConditionalDepartment Legt als Bedingung fest, welcher Abteilung die Mitglieder

angehören müssen.

-ConditionalCustomAttribute<1-15> Legt als Bedingung fest, welchen Wert die Attribute haben

müssen.

Adresslisten verwalten Adresslisten helfen den Benutzern in Outlook und OWA, Teilmengen an Empfängern innerhalb der

Exchange-Organisation zu finden. Sie sind wie ein Telefonbuch hierarchisch angelegt und können z. B.

einzelne Abteilungen umfassen. Der Benutzer muss schließlich dann nur wissen, in welcher Abteilung er

einen Empfänger sucht und hat über die entsprechende Adressliste dann Zugriff auf alle Empfänger

innerhalb der Abteilung.

Zusätzlich werden aus den Adresslisten die Offline-Adressbücher generiert, die Benutzer dann in Outlook

verwenden können, wenn Sie keinen Zugriff auf die Exchange-Organisation haben.

Neue Adressliste anlegen New-AddressList –Name <Name>

-IncludedRecipients <Wert> Legt fest, welche Art von Empfängern eingeschlossen wer-

den sollen. Mögliche Parameter sind AllRecipients, Mail-

boxUsers, Resources, MailContacts, MailGroups und

MailUsers.

-ConditionalCompany <Wert> Legt als Bedingung fest, welcher Firma die Mitglieder an-

gehören müssen.

-ConditionalDepartment <Wert> Legt als Bedingung fest, welcher Abteilung die Mitglieder

angehören müssen.

-ConditionalCustomAttribute <1-15> Legt als Bedingung fest, welchen Wert die Attribute haben

müssen.

-Container <Hierarchie> Legt fest, in welcher Hierarchiestufe die Adressliste ange-

legt werden soll.

-DisplayName <Wert> Legt den Anzeigename fest.

Adresslisten aktualisieren Update-AddressList –Identity <Name>

Adressliste verschieben Move-AddressList –Identity <Name> –Target <Pfad>

Globale Adressliste aktualisieren Update-GlobalAddressList –Identity <Name>

Seite 16 von 44

Offline-Adressbücher Offline-Adressbücher stellen die Funktionalität der Adresslisten auch dann zur Verfügung, wenn der Be-

nutzer nicht mit der Exchange-Organisation verbunden ist. Die Verteilung des Offline-Adressbuchs kann

Webbasiert oder über Öffentliche Ordner erfolgen. Die webbasierte Verteilung wird erst ab Out-

look 2007 unterstützt. Ältere Outlook-Versionen greifen auf das OAB über die Öffentlichen Ordner zu.

Neues Offline-Adressbuch anlegen New-OfflineAddressBook –Name <Name>

-Server <Name> Legt den Server für die Generierung des Offline-

Adressbuchs fest.

-AddressLists <Wert> Legt die Adresslisten fest, die im OAB enthalten

sein sollen.

-Schedule <Wert> Legt den Zeitplan fest, wann das OAB generiert

werden soll. Standard ist Täglich um 05:00 Uhr.

-PublicFolderDistributionEnabled <$true|$false> Legt die Verteilung über Öffentliche Ordner fest.

-VirtualDirectory <Server\Verzeichnis> Legt das Virtuelle Verzeichnis auf dem entspre-

chenden Server fest, über den die webbasierte

Verteilung stattfinden soll.

Adresslisten zu OAB hinzufügen / entfernen Wenn Sie eine Adressliste zu einem OAB hinzufügen oder entfernen möchten, müssen Sie alle Adresslisten,

die bereits dem OAB zugewiesen sind plus / minus die neue Adressliste im Befehl aufführen. Die Verwal-

tung der Adresslisten erfolgt daher einfacher mit der Konsole.

Set-OfflineAddressBook –Identity <Name> –AddressLists <Liste aller Adresslisten des OAB>

Offline-Adressbuch Benutzern zuweisen Sie können das OAB entweder einzelnen Postfächern oder über die Datenbank allen Postfächern inner-

halb der Datenbank zuweisen.

Set-Mailbox –Identity <Name> -OfflineAddressBook <Name>

Set-MailboxDatabase –Identity <Name> -OfflineAddressBook <Name>

Verschieben des Servers für die Generierung des OABs Move-OfflineAddressBook –Identity <Name> -Server <Name>

Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB Die webbasierte Verteilung des OABs findet über die ClientAccess-Server statt. Dort befindet sich stan-

dardmäßig ein virtuelles Verzeichnis für die Verteilung. Wenn Sie das Verzeichnis erstellen möchten,

verwenden Sie hierfür folgenden Befehl:

New-OABVirtualDirectory –Server <Name CAS> -RequireSSL <$true|$false> -ExternalUrRL

<URL/OAB>

Seite 17 von 44

Verwaltung von Öffentlichen Ordnern Öffentliche Ordner werden seit vielen Jahren als Mittel zur Zusammenarbeit im Unternehmen verwendet.

Sie ermöglichen es Exchange-Benutzern, Daten in gemeinsam genutzten Ordnern zu speichern. Die Ordner

können mit unterschiedlichen Berechtigungsstufen versehen werden, sodass Informationen geschützt geteilt

werden können. Innerhalb der öffentlichen Ordner können Ordner vom Typ Kalender, Kontakte, Notizen,

Journal, Aufgaben und E-Mail / Bereitstellung erstellt werden.

Neuen Öffentlichen Ordner erstellen New-PublicFolder –Name <Name> -Path <\Pfad> -Server <Name>

Replikat eines Öffentlichen Ordners konfigurieren Set-PublicFolder –Identity <Name> -Server <Name> -Replica <Liste der Öffentlichen Ordner DBs>

Berechtigungen für Öffentliche Ordner konfigurieren Standardmäßig dürfen in Öffentlichen Ordnern Benutzer Objekte erstellen und die eigenen Objekte

bearbeiten und löschen. Weitere Berechtigungen können entweder in der „Öffentliche Ordner-Verwal-

tungskonsole“ oder in Outlook konfiguriert werden. Mit den Berechtigungsstufen können Sie ein detail-

liertes Rechteschema implementieren, dass verhindert, dass Unberechtigte Ordner angezeigt bekommen

oder Inhalte bearbeiten / löschen können. Exchange Server 2010 unterscheidet dabei zwei verschiedene

Arten von bei der Zuweisung von Rechten: Administrative Berechtigungen und Client-Berechtigungen.

Während erstere über Gruppenmitgliedschaften zugewiesen werden, werden letztere über die Konfigu-

ration der einzelnen Ordner zugewiesen. Alle Berechtigungen lassen sich mit dem jeweiligen Remove-

Befehl wieder entfernen.

Administrative Berechtigungen anzeigen Get-PublicFolderAdministrativePermission –Identity <\Ordnername>

Administrative Berechtigung hinzufügen Add-PublicFolderAdministrativePermission –Identity <\Ordnername> -User <Name>

-AccessRights <Wert> Legt die Berechtigungsstufe fest.

-InheritanceType <Wert> Legt fest, ob die Berechtigung nur für den Ordner oder alle Un-

terordner mitgelten soll.

Benutzerberechtigung hinzufügen. Add-PublicFolderClientPermission –Identity <\Ordnername> -AccessRights <Wert> -User <Name>

Mögliche Rechte für den Parameter AccessRights sind: ReadItems, CreateItems, EditOwnedItems, De-

leteOwnedItems, EditAllItems, DeleteAllItems, CreateSubfolders, FolderOwner, FolderContact und

FolderVisible.

Zusätzlich können Sie folgende Rollen für den Parameter AccessRights konfigurieren: Keine, Owner,

PublishingEditor, Editor, PublishingAuthor, Author, NonEditingAuthor, Reviewer und Contributor.

E-Mail-aktivierung öffentlicher Ordner Elemente können auch per E-Mail an öffentliche Ordner gesendet werden. Hierzu muss der Ordner für E-

Mail aktiviert sein. Dabei erhält er eine eindeutige E-Mail-Adresse, unter der er erreichbar ist. Diese wird

aus dem Ordnernamen gebildet, sofern noch keine E-Mail-Adresse mit diesem Namen vorhanden ist.

Enable-MailPublicFolder –Identity <\Ordnername>

Festlegen von Grenzwerten für öffentliche Ordner Set-PublicFolder –Identity <\Ordnername>

-UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für

die Grenzwerte des öffentlichen Ordners.

Seite 18 von 44

-UseDatabaseAgeDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für

das maximale Alter von Einträgen.

-UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstellung für

die maximale Aufbewahrung gelöschter Elemente.

-MaxItemSize <Wert> Legt die maximale Elementgröße fest.

-MaxRecieveSize <Wert> Legt die maximale Größe für Elemente fest, die per

E-Mail an den Ordner gesendet werden. Wird durch

MaxItemSize beeinflusst.

-RetainDeletedItemsFor <Wert> Legt die maximale Aufbewahrungszeit für gelöschte

Elemente fest.

-AgeLimit <Wert> Legt das maximale Alter für Einträge im öffentlichen

Ordner fest. Ältere Einträge werden automatisch ge-

löscht.

Öffentlichen Ordner löschen Remove-PublicFolder –Identity <\Ordnername>

-Server <Name> Legt den Server fest, auf dem der öffentliche Ordner

gespeichert ist.

-Recurse <$true|$false> Legt fest, dass der Ordner und alle Unterordner ge-

löscht werden sollen.

E-Mail-Aktivierung öffentlicher Ordner aufheben Disable-MailPublicFolder –Identity <\Ordnername>

Seite 19 von 44

Konfigurieren des Clientzugriffs Benutzer greifen auf eine Exchange-Organisation über die Client Access-Server auf ihre Postfächer zu.

Dabei können die Benutzer verschiedene Protokolle für den Zugriff verwenden. Am gängigsten wird der

Zugriff mittels MAPI sein, der standardmäßig für Outlook verwendet wird. Hinzu kommt der Zugriff mittels

Outlook Web App, Exchange ActiveSync für Mobile Devices wie Smartphones und Tablets sowie Outlook

Anywhere (RPC-over-http). Weitere Zugriffsmöglichkeiten sind IMAP4 und POP3, deren Dienste jedoch

standardmäßig auf einem CAS deaktiviert sind.

Virtuelles Verzeichnis für Outlook Web App konfigurieren Sie können die Funktonalität von OWA serverseitig konfigurieren, indem Sie die Einstellungen des virtuel-

len Verzeichnisses konfigurieren. Die Änderungen wirken sich auf alle Benutzer aus, die über den Server

auf OWA zugreifen. Änderungen an den Authentifizierungseinstellungen müssen zugleich am Virtuellen

Verzeichnis d. Systemsteuerung (ECP) vorgenommen werden. Anschließend müssen Sie den Dienst W3SVC

(Webserver) beenden und neu starten.

Set-OwaVirtualDirectory –Identity <Server\Verzeichnis>

Eine Übersicht über die Parameter finden Sie unter http://technet.microsoft.com/de-

de/library/bb123515(v=exchg.141).aspx.

Outlook Web App-Postfachrichtlinie anlegen Folgender Befehl erstellt eine neue Richtlinie, nimmt aber noch keinerlei Einstellungen an dieser vor.

New-OwaMailboxPolicy –Name <Name>

Outlook Web App-Postfachrichtlinie konfigurieren Nachdem Sie die Richtlinie erstellt haben, müssen Sie die Richtlinie konfigurieren. Eine Übersicht über die

möglichen Parameter finden Sie unter demselben Link wie bei Set-OwaVirtualDirectory.

Set-OwaMailboxPolicy –Identity <Name>

Outlook Web App-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> –OwaMailboxPolicy <Name>

Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren Im virtuellen Verzeichnis für Exchange ActiveSync können Sie Einstellungen für die Authentifizierung sowie

den Zugriff auf Remotedateiserver konfigurieren. Standardmäßig werden die Anmeldeinformationen un-

verschlüsselt übertragen, sodass diese auf dem Transportweg mittels SSL geschützt werden sollten.

Set-ActiveSyncVirtualDirectory –Identity <Server\Verzeichnis>

Neue ActiveSync-Postfachrichtlinie anlegen Im Gegensatz zur OWA-Postfachrichtlinie können Sie bei einer neuen ActiveSync-Postfachrichtlinie beim

Erstellen bereits alle Parameter angeben. Die entsprechenden Parameter finden Sie unter http://tech-

net.microsoft.com/en-us/library/bb123750(v=exchg.141).aspx.

New-ActiveSyncMailboxPolicy –Name <Name>

Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> -ActiveSyncMailboxPolicy <Name>

Seite 20 von 44

IMAP4 und POP3 konfigurieren Exchange Server 2010 bietet Benutzern auch den Zugriff per IMAP4 oder POP3 an. In den Postfach-

funktionen ist der Zugriff generell erlaubt, auf den Client Access-Servern sind jedoch die Dienste stan-

dardmäßig nicht gestartet und auf Manuell gesetzt. Den Starttyp können Sie mit folgendem Befehl än-

dern:

Set-Service msExchangePOP3 –startuptype automatic

Set-Service msExchangeIMAP4 –startuptype automatic

Anschließend müssen Sie die noch starten:

Start-Service msExchangePOP3

Start-Service msExchangeIMAP4

Einstellungen für die Dienste können Sie mit dem Cmdlets Set-PopSettings bzw. Set-ImapSettings konfi-

gurieren. Die Kalenderabrufoptionen werden bei beiden Befehlen mit dem Parameter –CalendarItem-

RetrievalOption <0-3> konfiguriert.

Outlook Anywhere aktivieren In Microsoft Exchange Server 2010 ermöglicht es die Outlook Anywhere-Funktion Clients, die Microsoft

Office Outlook ab der Version 2003 verwenden, von außerhalb des Unternehmensnetzwerks oder über

das Internet mithilfe der Windows-Netzwerkkomponente "RPC-über-HTTP" eine Verbindung zu ihren

Exchange-Servern herzustellen. Dabei ist es sinnvoll, die Funktion nur auf den Client Access-Servern zu

aktivieren, die über das Internet erreichbar sind (Port 443 – SSL).

Enable-OutlookAnywhere –Server <Name> -ExternalHostname <Wert> -DefaultAuthenticationMe-

thod <Wert> -SSLOffloading <$true|$false>

Virtuelles Verzeichnis zurücksetzen Sollten Sie ein virtuelles Verzeichnis einmal falsch konfiguriert haben bzw. die Default-Einstellungen wie-

der haben wollen, so können Sie das Verzeichnis zurücksetzen. Dabei wird nichts anderes gemacht, als

dass das Verzeichnis gelöscht und neu angelegt wird. Ein virtuelles Verzeichnis wird mit dem Befehl Re-

move-<Typ>VirtualDirectory –Identity <Server\Verzeichnis> -WebSiteName <Name> gelöscht und

mit dem Befehl New-<Typ>VirtualDirectory –InternalUrl <Wert> -WebSiteName <Name> neu ange-

legt.

Clienteinschränkungsrichtlinien Clienteinschränkungsrichtlinien verhindern, dass einzelne Benutzer die Leistung eines ClientAccess-Servers

zu stark beeinflussen, indem sie große Mengen an Ressourcen beanspruchen. Die Standardeinschrän-

kungsrichtlinie können Sie mit Get-ThrottlingPolicy abfragen. Die Einschränkungen gelten für die

Exchange-Komponenten Exchange ActiveSync, Exchange-Webdienste, IMAP4, POP3, OWA und

Windows PowerShell.

Konfigurieren des RPC-Clientzugriffs Wenn Sie in Ihrer Organisation einen Wechsel von Outlook 2003 auf eine neuere Version planen, kann

es zu Problemen beim RPC-Zugriff kommen. Dies liegt daran, dass Outlook 2003 standardmäßig keine

verschlüsselte RPC-Kommunikation verwendet. Das Problem lösen Sie, indem Sie entweder per Gruppen-

richtlinie die RPC-Verschlüsselung auf den Clients aktivieren oder die Verschlüsselung auf dem ClientAc-

cess-Server mit dem Cmdlet Set-RPCClientAccess –EncryptionRequired $false deaktivieren. Letzteres

wird jedoch nicht empfohlen, da es die Sicherheit der gesamten Exchange-Organisation verringert. Mit

dem Cmdlet können Sie auch festlegen, welche Versionen von Outlook Zugriff erhalten.

Seite 21 von 44

Verwalten von Transportservern

Remotedomäne anlegen Remotedomänen sind Domänen, die außerhalb unserer Exchange-Organisation liegen. Üblicherweise sind

dies Partnerunternehmen, mit denen eine engere Zusammenarbeit besteht.

New-RemoteDomain –Name <Name> -DomainName <Domain>

Sie können in der Remotedomäne festlegen, ob interne oder externe Abwesenheitsnachrichten an Emp-

fänger in der Domäne gesendet werden dürfen sowie verschiedene Einstellungen zum Nachrichtenformat

wie z. B. Zeichensätze.

Transportregelbedingungen anzeigen Mithilfe der Transportregelbedingungen legen Sie fest, auf welche Nachrichten eine Transportregelaktion

angewendet wird. Die Liste von Bedingungen können Sie sich mit folgendem Befehl ansehen:

Get-TransportRulePredicate

Transportregelaktionen anzeigen Eine Transportregelaktion definiert, welche Aktion auf eine Nachricht angewendet wird, die den vorher

definierten Bedingungen entspricht. Eine Übersicht über die Aktionen können Sie sich mit folgendem Befehl

anzeigen lassen:

Get-TransportRuleAction

Transportregeln anzeigen Sie können sich in Exchange Management Shell eine Liste mit sämtlichen Transportregeln ausgeben las-

sen:

Get-TransportRule

Neue Transportregel anlegen Eine Transportregel setzt sich immer aus Transportregelbedingung(en) und Transportregelaktion(en) zu-

sammen. Optional können Sie auch eine Ausnahme konfigurieren, wann die Regel trotz erfüllter Bedin-

gung nicht angewendet werden soll.

New-TransportRule –Name <Name> <Transportregelbedingung(en)> <Transportregelaktion(en)>

Transportregeln lassen sich mit Set-TransportRule jederzeit bearbeiten. Dabei werden dieselben Para-

meter verwendet, wie beim Anlegen einer Regel.

Transportregel mit regulären Ausdrücken konfigurieren Reguläre Ausdrücke helfen Ihnen, Transportregeln auf Nachrichten anzuwenden, die einem bestimmten

Textmuster entsprechen, z. B. Kreditkartennummern (4 x 4 Zahlen). Die regulären Ausdrücke können dabei

sein:

\S entspricht einem beliebigen einzelnen Zeichen, das kein Leerzeichen ist.

\s entspricht einem beliebigen einzelnen Leerzeichen.

\D entspricht einem beliebigen nicht-numerischen Zeichen.

\d entspricht einem beliebigen numerischen Zeichen.

Weitere Informationen und Anwendungsbeispiele für reguläre Ausdrücke finden Sie im Microsoft Tech-

Net unter http://technet.microsoft.com/de-de/library/aa997187(v=exchg.141).aspx.

Seite 22 von 44

Status des Transportagenten anzeigen Transportagenten sind in der Exchange-Organisation verantwortlich für die Verarbeitung und den Trans-

port von Nachrichten. Mit folgendem Befehl können Sie sich alle Transportagenten anzeigen lassen:

Get-TransportAgent

Benutzerdefinierte Systemnachricht (DSN) anlegen Benutzerdefinierte Systemnachrichten verwenden Sie, um Nachrichten zu blockieren, die nicht Ihren Vor-

gaben entsprechen (z. B. vertrauliche Informationen beinhalten). Um eine Transportregel mit einer benut-

zerdefinierten Systemnachricht anlegen zu können, müssen Sie erst die Systemnachricht erstellen. Hierfür

steht Ihnen der DSN-Bereich von 5.7.10 – 5.7.999 zur Verfügung.

New-Systemmessage –DsnCode <5.7.10 – 5.7.999> -Language <Wert> -Internal <$true|$false> -

Text <Systemnachricht>

Weitere Informationen und Anwendungsbeispiele finden Sie unter http://technet.microsoft.com/de-

de/library/bb123506(v=exchg.141).aspx.

Ethische Absperrung konfigurieren Ethische Absperrungen erlauben es, den Kontakt von Mitarbeitern innerhalb des Unternehmens zu unter-

binden. Dies findet z. B. bei Banken Anwendung, wo gewisse Abteilungen keinen Kontakt untereinander

pflegen dürfen. Eine ethische Absperrung ist eine Transportregel, die eine Unzustellbarkeitsnachricht ge-

neriert, sobald sich Mitglieder zweier (oder mehr) Verteilergruppen Nachrichten senden.

Festlegen der Exchange-Kosten einer Standortverknüpfung Wenn eine Nachricht von einem Standort an einen anderen Standort übermittelt werden soll, errechnet

Exchange Server 2010 die günstigste Route anhand der Kosten, die in den Standortverknüpfungen hin-

terlegt sind. Wenn keine spezifischen Kosten für Exchange Server 2010 hinterlegt sind, werden hierfür

die normalen Kosten verwendet. Spezifische Kosten für Exchange Server 2010 konfigurieren Sie wie

folgt:

Set-ADSiteLink –Identity <Name> -ExchangeCost <Wert>

Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen Standardmäßig sind keine Größenbeschränkungen für Standortverknüpfungen konfiguriert, d. h.

Exchange Server 2010 übermittelt jede Nachricht über diese Verknüpfung. Wenn Sie die Größe der

Nachrichten, welche über eine Standortverknüpfung versendet werden sollen, beschränken möchten, kon-

figurieren Sie folgendes:

Set-ADSiteLink –Identity <Name> -MaxMessageSize <Größe>

Einen Standort als Hub-Standort konfigurieren Hub-Standorte sind Standorte im Active Directory, welche bedingen, dass Nachrichten an diesen Stand-

orten nochmals von den Transportagenten verarbeitet werden. Einen Standort im Active Directory konfi-

gurieren Sie folgendermaßen als Hub-Standort:

Set-ADSite –Identity <Name> -HubSiteEnabled $true

Konfigurieren des Transportdumpsters Im Transportdumpster werden Kopien der Nachrichten gespeichert, die in einer Datenbankverfügbar-

keitsgruppe auf andere Postfachdatenbanken repliziert werden. Sollte eine Postfachdatenbank ausfal-

len, bevor die Nachrichten repliziert wurden, können die Hub-Transport-Server die Nachrichten nochmals

an die dann aktive Datenbankkopie senden.

Set-TransportConfig –MaxDumpsterSizePerDatabase <Wert> -MaxDumpsterTime <Wert>

Seite 23 von 44

Verwenden von Sende- und Empfangsconnectoren Sendeconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten zu versenden und bil-

den damit ein logisches Gateway, durch das ausgehende Nachrichten an den nächsten Hop gesendet

werden können. Jeder Transportserver verfügt über Sendeconnectoren, die nicht eingesehen werden kön-

nen. Diese dienen dazu, Nachrichten innerhalb der Exchange-Organisation zu versenden. Alle Sende-

connectoren, die von Ihnen erstellt werden, werden im Active Directory gespeichert und sind damit für

alle Hub-Transport-Server sichtbar. Verwenden dürfen die Sendeconnectoren jedoch nur die Server, die

in der Liste der Quellserver eingetragen sind. Alle anderen Server können den Sendeconnector zwar

sehen, leiten aber ihre Nachrichten an den nächsten Hub-Transport-Server aus der Liste der Quellserver

zum Versand weiter. Diese Verwendung kann eingeschränkt werden, indem der Connector mit einem

Bereich konfiguriert wird, d. h. er ist nur für Hub-Transport-Server sichtbar, die am selben Standort wie

der Quellserver des Sendeconnectors stehen.

Empfangsconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten aus dem Internet,

von Clients oder anderen Servern zu empfangen. Bei der Installation werden für jeden Hub-Transport-

Server Empfangsconnectoren für die interne Nachrichtenübermittlung erstellt. Der Empfangsconnector Cli-

ent <Servername> nimmt SMTP-Verbindungen von Nicht-MAPI-Clients auf Port 587 entgegen. Dies sind

üblicherweise POP3- und IMAP4-Clients. Der Empfangsconnector Default <Servername> nimmt Verbin-

dungen von anderen Hub-Transport- und Edge-Transport-Servern entgegen. Für den Empfang von Nach-

richten aus dem Internet müssen Sie entweder einen Empfangsconnector auf einem Hub-Transport-Ser-

ver erstellen oder einen Edge-Transport-Server mittels Edge Subscription in die Exchange-Organisation

einbinden. Empfangsconnectoren werden immer unterhalb des Server-Objekts gespeichert.

Neuen Sendeconnector erstellen Einen neuen Sendeconnector erstellen Sie mit dem Befehl:

New-SendConnector -<Verwendungstyp> –Name <Name> -AddressSpace

„SMTP:<Space>;<Cost>“

Als Verwendungstyp können Sie Intern (internal), Internet (internet), Partner (partner) oder Benutzer-

definiert (custom) verwenden. Der Verwendungstyp legt die Standardberechtigungen, welche vertrau-

enswürdigen Sicherheitsprinzipalen gewährt werden sowie den Standard-Smarthost-Authentifizierungs-

mechanismus fest. Die Standardberechtigungen beziehen sich darauf, welche Arten von Informationen im

Nachrichtenheader mitgesendet werden dürfen.

Der Adressraum legt fest, für welche Adressen der Sendeconnector zuständig ist. Die Syntax dabei lautet

<Adressraumtyp>:<Adressraum>;<Adressraumkosten>, z. B. „SMTP:essigkrug.net;1“. Mit diesem

Adressraum versendet der Sendeconnector nur Nachrichten, die an die Domäne @essigkrug.net gesendet

werden, Subdomänen sind hierbei nicht eingeschlossen. Über die Kosten können Sie steuern, welcher Sen-

deconnector bevorzugt verwendet werden soll, wenn es mehrere Konnektoren für denselben Adressraum

gibt.

Der Sendeconnectorbereich legt fest, welche Hub-Transport-Server den Sendeconnector sehen können.

Wenn der Sendeconnector mit Bereich konfiguriert wird (-IsScopedConnector $true), können ihn nur Hub-

Transport-Server sehen, die am selben Standort sind, wie die Server, die in der Quellliste aufgeführt

werden.

Mit dem Parameter –MaxSendSize <Wert> legen Sie die maximale Größe der Nachrichten fest, die

über den Sendeconnector gesendet werden kann.

Mit dem Parameter –ConnectionInactivityTimeOut <Wert> legen Sie fest, wie lange eine Verbindung

inaktiv sein kann, bevor sie getrennt wird.

Alle Parameter lassen sich auch nachträglich mittels Set-SendConnector –Identity <Name> für einen

Sendeconnector konfigurieren.

Seite 24 von 44

Neuen Empfangsconnector erstellen Einen neuen Empfangsconnector erstellen Sie mit folgendem Befehl:

New-RecieveConnector –Name <Name> -Usage <Verwendungstyp>

Da ich immer einen Edge-Transport-Server verwende, um Nachrichten aus dem Internet zu empfangen,

erledigt sich die Erstellung und Konfiguration eines Empfangsconnectors, da dieser beim Durchführen der

Edge Subscription automatisch angelegt wird.

Weitere Informationen zu den Authentifizierungsmechanismen sowie den Verwendungstypen finden Sie

hier: http://technet.microsoft.com/de-de/library/bb125139(v=exchg.141).aspx.

Verwenden von Edge-Transport-Servern in der Exchange-Organisation Edge-Transport-Server übernehmen in der Exchange-Organisation den Empfang und Versand von Nach-

richten aus und in das Internet. Zusätzlich findet auf den Edge-Servern die Spam-Verarbeitung sowie

optional die Virenüberprüfung statt. Edge-Server sind dabei nicht Mitglied der Windows-Domäne. Damit

soll verhindert werden, dass bei einem erfolgreichen Angriff auf den Server der Angreifer Zugriff auf

die Informationen des Active Directory erhält.

Konfigurieren der Voraussetzungen Konfigurieren Sie das primäre DNS-Suffix des Servers auf denselben Namen wie die Windows-

Domäne.

Konfigurieren Sie die DNS-Einstellungen der Netzwerkkarte so, dass der Edge-Server die Exchange

Server in der Windows-Domäne auflösen kann.

Installieren Sie das .NET-Framework und die Lightweight Directory Services (AD LDS) auf dem

Edge-Server:

Import-Module ServerManager

Add-WindowsFeature NET-FrameWork,RSAT-ADDS,ADLDS –Restart

Stellen Sie sicher, dass die Hub-Transport-Server der Exchange-Organisation den Edge-Server im

DNS auflösen können. Achten Sie darauf, dass auch die entsprechenden PTR-Datensätze erstellt

werden.

Nach der Installation der Voraussetzungen können Sie den Edge-Server installieren.

Konfigurieren der Edge-Transport-Server-Synchronisation Nachdem Sie den Edge-Server installiert haben, müssen Sie den Server noch mit einem Standort der

Exchange-Organisation verknüpfen. Dies geschieht in zwei Schritten:

1. Erstellen der Edge-Subscription auf dem Edge-Server

New-EdgeSubscription –FileName <Name.xml>

Kopieren Sie die XML-Datei an einen Ort, worauf die Hub-Transport-Server des jeweiligen Standorts,

an dem der Edge-Server steht, zugreifen können.

2. Der einfachste Weg, das Edge-Abonnement in der Exchange-Organisation zu importieren ist über

die Verwaltungskonsole. Gehen Sie auf Organisationskonfiguration – Hub-Transport – Edge-

Abonnements und führen dort Neues Edge-Abonnement aus. Geben Sie den Standort des Edge-

Servers an und wählen die Abonnement-Datei aus.

Alternativ können Sie das Abonnement auch über die Management Shell importieren:

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path <Datei> -Encoding Byte -

ReadCount 0)) -Site <Standort>

Seite 25 von 44

Manuelles Ausführen der Edge-Synchronisierung Sie können die Edge-Synchronisierung auch manuell ausführen, um Daten sofort zu synchronisieren:

Start-EdgeSynchronization

Einen weiteren Hub-Transport-Server zum Standort hinzufügen Wenn Sie einen weiteren Hub-Transport-Server zum Standort hinzufügen, müssen Sie auf dem Edge-

Server erneut eine Edge-Subscription ausführen und die alte Subscription in der Exchange-Organisation

ersetzen.

Einen weiteren Edge-Transport-Server zum Standort hinzufügen Wenn Sie einen neuen Edge-Transport-Server zum Standort hinzufügen, müssen Sie lediglich auf dem

neuen Edge-Server eine Edge-Subscription ausführen und diese anschließend in der Exchange-organi-

sation importieren.

Klonen der Edge-Konfiguration Zum Exportieren der Konfiguration verwenden Sie auf dem Edge-Server folgenden Befehl:

.\ExportEdgeConfig.ps1 –CloneConfigData -<Filename.xml>

Bevor Sie die Konfiguration auf einem anderen Edge-Server importieren, müssen Sie die Konfigu-

ration anpassen, damit diese den Einstellungen des anderen Edge-Servers entspricht:

Daten- und Protokolldatiepfade

Quell-IP-Adressen für Sendeconnectoren

Bindungen für die Empfangsconnectoren

Anschließend importieren Sie die Konfiguration auf dem anderen Edge-Server:

.\ImportEdgeConfig.ps1 –CloneConfigData -<Filename.xml>

Umschreiben von Adressen Mit der Adressumschreibung bietet Ihnen der Edge-Server die Möglichkeit, E-Mail-Adressen von Absen-

dern zu überschreiben. Dies findet z. B. Anwendung, wenn eine Richtlinie vorgibt, dass gewisse Absender

nicht extern verwendet werden dürfen. Sie können mit der Adressumschreibung die Änderung einer ein-

zelnen E-Mail-Adresse oder allen Absendern einer Domäne konfigurieren:

New-AddressRewriteEntry –Name <Name> -InternalAddress <Wert> -ExternalAddress <Wert>

Generell wird die Adressumschreibung auf eingehende und ausgehende Nachrichten angewendet. Wenn

Sie die Regel nur auf ausgehende Nachrichten anwenden möchten, verwenden Sie den Parameter –

OutboundOnly $true.

Seite 26 von 44

Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server Eine der Hauptaufgaben des Edge-Servers besteht darin, Spam-Nachrichten von der Exchange-Organi-

sation fern zu halten. Für diesen Zweck sind auf dem Edge-Server die Anti-Spam-Features installiert.

Diese können Sie zwar auch auf den Hub-Transport-Servern Ihrer Exchange-Organisation installieren,

jedoch ist es sinnvoller, Spam so früh wie möglich aus dem Nachrichtenfluss zu filtern. Wenn Sie diese

dennoch verwenden möchten, führen Sie.\Install-AntispamAgents.ps1 im Ordner Scripts auf dem Hub-

Transport-Server aus, auf dem die Agents installiert werden sollen.

Auf dem Edge-Server können Sie die Antispam-Agents bequem über die Verwaltungskonsole konfigurie-

ren. Diese Möglichkeit besteht auf den Hub-Transport-Servern leider nicht. Dort können Sie die Agents

nur über die Management Shell konfigurieren.

Verbindungsfilter Der Verbindungsfilter-Agent wird auf alle Nachrichten angewendet, die von anonymen Internet-Quellen

stammen. Er bietet die Funktionen IP-Sperrliste, IP-Sperrlistenanbieter, IP-Zulassungsliste und Anbieter

für zugelassene IP-Adressen. Jede dieser Funktionen kann separat aktiviert oder deaktiviert und konfi-

guriert werden:

IP-Zulassungsliste In der IP-Zulassungsliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie vertrauen und

deren Nachrichten nicht auf Spam gefiltert werden sollen.

Set-IPAllowListConfig –Enabled <$true|$false>

Add-IPAllowListEntry –IPAddress <IP> -ExpirationTime <Wert>

Um einen Eintrag aus der IP-Zulassungsliste zu entfernen, müssen Sie die Kennung des Eintrags angeben.

Am leichtesten entfernen Sie einen Eintrag so:

Get-IPAllowListEntry –IPAddress <IP> | Remove-IPAllowListEntry

Anbieter für zugelassene IP-Adressen Ein Anbieter für zugelassene IP-Adressen (sog. Whitelists) stellt IP-Adressen von vertrauenswürdigen Mail-

systeme zur Verfügung, sodass Sie diese nicht selbst konfigurieren müssen.

Set-IPAllowListProvider –Identity <Name> –Enabled <$true|$false>

Um einen Anbieter hinzuzufügen, verwenden Sie folgenden Befehl:

Add-IPAllowListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true

IP-Sperrliste In der IP-Sperrliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie nicht vertrauen und von

denen Ihre Exchange-Organisation keine Nachrichten entgegen nehmen soll.

Set-IPBlockListConfig –Enabled <$true|$false>

Einen Eintrag zur IP-Sperrliste fügen Sie mit folgendem Befehl hinzu:

Add-IPBlockListEntry –IPAddress <IP>

Sie können auch ganze Bereiche zur IP-Sperrliste hinzufügen, wobei Sie die Möglichkeit haben, ein Sub-

netz, z. B. 192.168.178.0/24 oder einen IP-Bereich wie 192.168.178.100 – 192.168.178.159 hinzu-

zufügen.

Add-IPBlockListEntry –IPRange <Bereich>

Einen Eintrag aus der Sperrliste entfernen Sie am einfachsten so:

Get-IPBlockListEntry –IPAddress <IP> | Remove-IPBlockListEntry

Seite 27 von 44

IP-Sperrlistenanbieter IP-Sperrlistenanbieter sind das gleiche wie IP-Zulassungslistenanbieter. Der Exchange-Server überprüft,

ob die IP-Adresse des Absenders auf der Blacklist des Anbieters aufgeführt wird und trennt die Verbin-

dung, wenn der Sperrlistenanbieter einen entsprechenden Returncode zurücksendet.

Sie de-/aktivieren einen einzelnen Provider mit folgendem Befehl:

Set-IPBlockListProvider –Identity <Name> –Enabled <$true|$false>

Einen IP-Sperrlistenanbieter können Sie mit folgendem Befehl hinzufügen:

Add-IPBlockListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true

Sie haben die Möglichkeit, Empfänger in Ihrer Exchange-Organisation als Ausnahme zu konfigurieren,

die auch dann Nachrichten empfangen können, wenn der absendende Server auf der Blocklist aufgeführt

wird.

Set-IPBlockListProvidersConfig –BypassedRecipients <E-Mail-Adresse>

Inhaltsfilterung Die Inhaltsfilterung verwendet Algorithmen,

Sie können mit folgendem Befehl die Konfiguration anzeigen lassen:

Get-ContentFilterConfig

Mit den Parametern –BypassedSenders <Wert>, –BypassedRecipients <Wert> und –BypassedSender-

Domains <Wert> können Sie Ausnahmen konfigurieren. Der Parameter –QuarantineMailbox <Wert>

können Sie ein Postfach angeben, an das alle abgelehnten Nachrichten weitergeleitet werden.

Mit folgendem Befehl können Sie eine Phrase zum Inhaltsfilter hinzufügen:

Add-ContentFilterPhrase –Phrase <Wert> -Influence <GoodWord|BadWord>

Empfängerfilterung Die Empfängerfilterung ermöglicht es uns, Nachrichten an gewisse Benutzer unserer Exchange-Organisa-

tion zu blockieren. Zusätzlich ermöglicht die Empfängerfilterung es, Nachrichten zu blockieren, die an

Benutzer gesendet wurden, die kein Konto in unserer Exchange-Organisation haben (Recipient Valida-

tion).

Set-RecipientFilterConfig –BlockedRecipients <Wert> -RecipientValidationEnabled <$true|$false> -

BlockListEnabled <$true|$false> -ExternalMailEnabled <$true|$false> -InternalMailEnabled

<$true|$false>

Blockierte Empfänger entfernen / hinzufügen Wenn Sie einen blockierten Empfänger zur Liste hinzufügen oder von der Liste entfernen möchten, müssen

Sie immer die gesamte Liste an blockierten Empfängern eingeben, die am Ende gelten soll. Da dies bei

großen Listen sehr aufwendig sein kann, erledigen Sie diese Aufgabe am einfachsten in der Verwaltungs-

konsole.

Auf der Management Shell erledigen Sie die Aufgabe, indem Sie die Liste der blockierten Empfänger in

einer Variable (hier $Liste) speichern:

$Liste = Get-RecipientFilterConfig

Anschließend fügen Sie Empfänger hinzu oder entfernen welche aus der Liste:

$Liste.BlockedRecipients += „<Empfänger>“

$Liste.BlockedRecipients -= „<Empfänger>“

Seite 28 von 44

Abschließend übergeben Sie den Wert der Variable $Liste an das Cmdlet:

Set-RecipientFilterConfig –BlockedRecipient $Liste.BlockedRecipients

Absenderfilterung Die Absenderfilterung verwendet die SMTP-Kopfzeile MAIL FROM:, um die passende Aktion für eine

eingehende Nachricht zu bestimmen. Damit lassen sich Nachrichten auf der Basis der Absenderadresse

filtern. Dies kann für einzelne Benutzer oder für ganze Domänen erfolgen. Der folgende Befehl legt fest,

ob die Absenderfilterung aktiv ist:

Set-SenderFilterConfig <$true|$false>

Sie können die Absenderfilterung mit folgenden Parametern konfigurieren:

Set-SenderFilterConfig

-BlockedSenders <Wert> Blockiert einzelne Absenderadressen

-BlockedDomains <Wert> Blockiert einzelne Domains

-BlockedDomainsandSubdomains <Wert> Blockiert Domains und Subdomains

-BlankSenderBlockingEnabled <$true|$false> Legt fest, dass Nachrichten ohne Absender blockiert

werden.

-Action <StampStatus|Reject> Legt fest, ob die Nachricht zurückgewiesen oder mit

einem Hinweis versehen werden soll, dass die Nach-

richt von einem geblockten Absender stammt.

Das Löschen und Hinzufügen von Benutzern erfolgt wie bei der Empfängerfilterung.

Überprüfen von Sender-ID Die Sender-ID ist ein Verfahren, bei dem der Exchange-Server die SMTP-Kopfzeile RECIEVED verwendet

und das DNS abfragt, um die passende Aktion für eine eingehende Nachricht zu ermitteln.

Damit die Überprüfung von Sender-ID möglich ist, erstellen die Administratoren sogenannte SPF-Datens-

ätze (Sender Policy Framework) in der DNS-Zone ihrer SMTP-Domäne. Dieser Eintrag enthält die zu-

ständigen Mail-Server, die für diese SMTP-Domäne Nachrichten versenden dürfen. Auf diese Weise soll

einer Absenderfälschung entgegengewirkt werden, die man auch Spoofing nennt.

Beim Eingang einer Nachricht fragt der Exchange-Server den DNS-Server des Absenders ab, um zu

überprüfen, ob die IP-Adresse, von der die Nachricht empfangen wurde, dazu berechtigt ist, Nachrichten

für die in der Kopfzeile genannte Domäne zu versenden. Die IP-Adresse des autorisierten Servers wird

PRA Purpoted Responsible Address genannt.

Anhand des SPF-Datensatzes aktualisiert der Exchange-Server die Nachrichtenmetadaten mit einem Sen-

der-ID-Status. Dieser Status kann Pass, Neutral, Soft fail, Fail, None, TempError oder PermError sein.

Weitere Informationen finden Sie im Microsoft Technet unter http://technet.microsoft.com/de-

DE/library/aa996295(v=exchg.141).aspx.

Sie können festlegen, wie ein Exchange-Server verfahren soll, wenn eine Nachricht gefälscht wurde oder

bei deren Überprüfung kein DNS-Server erreichbar war. Als Optionen stehen zur Auswahl: Löschen,

Nachricht ablehnen oder Stempeln des Status.

Mit folgendem Cmdlet können Sie Sender-ID bearbeiten:

Set-SenderIDConfig –SpoofedDomainAction <Aktion> -TempErrorAction <Aktion> -BypassedReci-

pients <Wert> -BypassedSenderDomains <Wert>.

Die Liste der -BypassedRecipients und -BypassedSenderDomains können Sie wie bei der Empfänger-

und Absenderverwaltung nur als gesamte Liste bearbeiten.

Seite 29 von 44

Absenderzuverlässigkeit Das Konzept der Absenderzuverlässigkeit wird verwendet, um Nachrichten auf der Basis von verschiede-

nen Absendereigenschaften zu blockieren. Anhand dieser Eigenschaften wird ermittelt, was mit einer ein-

gehenden Nachricht geschehen soll. Zur Ermittlung des Absenderzuverlässigkeitsgrad (Sender Reputation

Level SRL) werden folgende Elemente verwendet:

Analyse von SCL-Bewertungen für Nachrichten eines bestimmten Absenders

Reverse-DNS-Lookup

HELO / EHLO-Analyse

Open Proxy-Test für Absender

Aus den Ergebnissen wird der Sender Reputation Level SRL für den Absender ermittelt. Dabei handelt es

sich um eine Zahl zwischen 0 und 9. Der Schwellenwert, den Sie konfigurieren, bestimmt, ob ein Absender

für eine gewisse Zeit (1 – 48 Stunden) in die IP-Sperrliste aufgenommen wird.

Mit folgendem Befehl können Sie die Absenderzuverlässigkeit konfigurieren:

Set-SenderReputationConfig –OpenProxyDetectionEnabled <$true|$false> -SenderBlockingEnabled

<$true|$false> -SrlBlockThreshold <Wert> -SenderBlockingPeriod <Wert>

Anlagenfilterung Mit der Anlagenfilterung überprüft der Exchange-Server die Anlagen von Nachrichten. Dabei kann er

die Filterung anhand von Dateinamen und Dateinamenerweiterungen (FileName) oder anhand von MIME-

Inhaltstypen (ContentType) durchführen. In der Konfiguration haben Sie die Möglichkeit festzulegen, wie

mit Nachrichten verfahren werden soll, die durch die Anlagenfilterung erfasst wurden. Dabei haben Sie

die Auswahl zwischen den Aktionen Reject, Strip und SilentDelete. Standardmäßig ist das System auf

Strip eingestellt. Dabei werden die Anlagen entfernt und die Nachricht ohne diese an den Empfänger

weitergeleitet. Der Empfänger sieht, welche Anlagen warum entfernt wurden.

Die Konfiguration der Anlagenfilterung können Sie sich mit Get-AttachmentFilterListConfig anzeigen las-

sen und mit Set-AttachmentFilterListConfig –Action <Wert> die Einstellung bearbeiten.

Die Filtereinträge erstellen Sie mit folgendem Befehl:

Add-AttachmentFilterEntry –Name <Inhaltstyp> -Type <FileName|ContentType>

Den Inhaltstyp geben Sie entweder mit dem Dateinamen (z. B. *.pdf) und -Type FileName oder als

MIME-Wert (z. B. image/jpeg) und –Type ContentType an. Eine Liste mit MIME-Inhaltstypen finden Sie

unter blog.essigkrug.net oder in diesem Dokument:

http://ip-klaeden.dyndns.org/netz/iuk98/kap5/mimetype.txt.

Seite 30 von 44

Sicherstellen der Nachrichtenintegrität Eine der großen Gefahren beim Versand von Nachrichten über das Internet ist, dass die Integrität der

Nachrichten nicht gewährleistet werden kann, da die Nachrichten standardmäßig im Klartext übertragen

und abgespeichert werden. Die Nachricht kann auf dem Weg zum Empfänger also abgefangen, gelesen

und manipuliert werden. Um diesen Gefahren zu begegnen, wurden einige Verfahren entworfen, die es

ermöglichen sollen, den Absender einer Nachricht zu identifizieren und die Integrität der Nachricht zu

gewährleisten.

S/MIME verwenden Secure Multipurpose Internet Mail Extensions (S/MIME) basiert auf Benutzerzertifikaten, mit denen der

Absender einer Nachricht sich anhand einer digitalen Signatur ausweisen kann. Zusätzlich bietet S/MIME

die Möglichkeit, Nachrichten zu verschlüsseln.

Um S/MIME in der Kommunikation mit externen Empfängern verwenden zu können, benötigt der Absen-

der ein Zertifikat von einer Zertifizierungsstelle, welcher der Empfänger vertraut. Beim Absenden der

Nachricht wird ein Datenblock generiert, der die Informationen enthält, um die Signatur überprüfen zu

können. Im zweiten Datenblock werden die Nachricht und der MIME-Header gespeichert, über die die

Signatur erstellt wird. Damit bleibt die Nachricht auch für Clients lesbar, die S/MIME nicht unterstützen.

Benutzer können S/MIME über ihren Mail-Client (Outlook, mobile Geräte, etc.) oder per Outlook Web

App verwenden. Sie benötigen jedoch immer ihr Zertifikat im entsprechenden Zertifikatspeicher des Com-

puters, an dem sie es verwenden möchten. Ob Benutzer S/MIME mit OWA verwenden dürfen, können

Sie in den Segmentierungseinstellungen konfigurieren. Wenn S/MIME für OWA aktiviert wird, können

Benutzer das S/MIME-Plugin herunterladen und installieren. Mit diesem können Sie dann auswählen, ob

eine Nachricht signiert oder verschlüsselt werden soll.

Wenn Benutzer S/MIME zur Verschlüsselung von Nachrichten verwenden möchten, benötigen Sie immer

das S/MIME-Zertifikat des Empfängers. Die Nachricht wird mit dem öffentlichen Schlüssel des Empfängers

verschlüsselt und nur der Eigentümer des Zertifikats kann die Nachricht mit seinem privaten Schlüssel ent-

schlüsseln. Wenn eine Nachricht an mehrere Empfänger verschlüsselt gesendet werden soll, benötigt der

Absender von jedem Empfänger ein Zertifikat. Sollte von einem Empfänger der Nachricht kein Zertifikat

vorliegen, kann die Nachricht nicht verschlüsselt gesendet werden.

Konfigurieren der Domänensicherheit Da die Verwendung von S/MIME einen hohen administrativen Aufwand mit sich bringt, bietet Exchange

Server 2010 Ihnen eine weitere Möglichkeit, um Nachrichten geschützt zu übertragen und den Absender

zu verifizieren. Zur Absicherung von E-Mail-Nachrichten zwischen Unternehmen können Sie die sog. Do-

mänensicherheit verwenden. Dabei wird gewährleistet, dass der absendende und der empfangende

Mailserver sich gegenseitig anhand von Zertifikaten ausweisen (Mutual TLS). Damit ist die Identität aller

beteiligten Mail-Systeme gewährleistet und das die Nachricht das Internet durch einen sicheren Kanal

durchquert. Um Domänensicherheit verwenden zu können, benötigen Sie für Ihre Exchange-Organisation

ein Zertifikat von einer externen, vertrauenswürdigen Zertifizierungsstelle, das Sie dann im Zertifikats-

speicher des Servers ablegen, der die externe Kommunikation mit dem Partner übernimmt (üblicherweise

ein Edge-Server). Das Zertifikat muss außerdem den Namen enthalten, den Sie als FQDN im Sende-

connector konfigurieren. Ein Zertifikat können Sie beispielsweise mit folgendem Befehl anfordern:

$Data1 = New-ExchangeCertificate –GenerateRequest –FriendlyName <Name> -SubjectName

„DC=<TLD>,DC=<Domain>,CN=<FQDN Server>“ –DomainName <Name der externen Domäne>

Set-Content –Path <Dateiname.req> -Value $Data1

Nachdem Sie die Zertifikatsanforderung bei einer externen, vertrauenswürdigen Zertifizierungsstelle ein-

gereicht haben, erhalten Sie das Zertifikat. Dieses müssen Sie anschließend auf dem Server importieren

und für den SMTP-Verkehr aktivieren:

Import-ExchangeCertificate –FileData ([Byte[]]$(Get-Content –Path <Dateiname.pfx> -Encoding Byte

–ReadCount 0)) | Enable-ExchangeCertificate –Services SMTP

Seite 31 von 44

Anschließend müssen Sie die Listen der domänengesicherten Domänen konfigurieren. Domänensicherheit

wird nur für Domänen verwendet, die in den Listen enthalten sind.

Set-TransportConfig –TLSRecieveDomainSecureList <Wert>

Set-TransportConfig –TLSSendDomainSecureList <Wert>

Als vorletzten Schritt müssen Sie den Sendeconnector, der die Nachrichten an dem Empfänger versendet,

für Domänensicherheit konfigurieren:

Set-SendConnector –Identity <Name> -DomainSecureEnabled <$true|$false> -DNSRoutingEnabled

<$true|$false>

Auf Seiten des Empfangsconnectors müssen Sie keine weiteren Einstellungen vornehmen, da diese stan-

dardmäßig für Domänensicherheit konfiguriert sind.

Information Rights Management (IRM) Der Schutz vertraulicher Informationen stellt die Administratoren vor große Herausforderungen. Gerade

E-Mails stellen eine große Gefahr dar, da sich darüber einfach und weitestgehend unkontrolliert Infor-

mationen verbreiten lassen. Um den Nachrichtenverkehr besser schützen zu können, hat Microsoft die

Rights Management Services (AD RMS) zur Verwendung in Exchange Server 2010 als Information Rights

Management vorgesehen. IRM bietet den Benutzern von Outlook und OWA die Möglichkeit, Nachrichten

mittels Vorlagen und Administratoren, Nachrichten aufgrund von Bedingungen mittels Transportschutzre-

geln zu schützen.

Vorbereiten der Exchange-Organisation zur Verwendung von IRM Um IRM in Exchange Server 2010 nutzen zu können, müssen einige administrative Vorbereitungen getrof-

fen werden.

1. Vorlizenzierung aktivieren

Damit der Exchange Server nicht immer den RMS-Server für Lizenzen ansprechen muss, aktiviert man

die Vorlizenzierung. Damit ist der Exchange Server in der Lage, Lizenzen auszustellen, um auf Nach-

richten zugreifen zu können, die per IRM geschützt sind. Dies müssen Sie für interne sowie externe

Nachrichten durchführen:

Set-IRMConfiguration –InternalLicensingEnabled $true –ExternalLicensingEnabled $true

2. Verarbeitung IRM-geschützter Nachrichten durch Transport-Server ermöglichen

Um die Verarbeitung IRM-geschützter Nachrichten durch die Transport-Server zu ermöglichen, müssen

Sie das Systempostfach FederatedEmail… zur Gruppe ADRMSSuperUser hinzufügen. Damit sind

die Transport-Server in der Lage, IRM-geschützte Nachrichten zu entschlüsseln.

3. IRM für OWA organisationsweit aktivieren

Um IRM in Outlook Web App verwenden zu können, muss dieses erst aktiviert werden. Dies können

Sie für einzelne OWA-Verzeichnisse (Set-OWAVirtualDirectory) oder organisationsweit erledigen.

Für die organisationsweite Aktivierung führen Sie folgenden Befehl aus:

Set-IRMConfiguration –ClientAccessServerEnabled $true

4. Benutzern die IRM-Vorlagen für OWA und Outlook zuweisen

Damit Benutzer IRM selbst verwenden können, müssen Sie den Benutzern die entsprechenden Vorla-

gen zuweisen. Dies erfolgt über Gruppen, denen die Benutzer angehören:

New-OutlookProtectionRule –Name <Name> -SentTo <Gruppe> -ApplyRightsProtectionTemp-

late <RMS-Vorlage>

5. Transportschutzregeln erstellen

Seite 32 von 44

Transportschutzregeln sind nichts anderes als Transportregeln, die RMS-Vorlagen aufgrund vorher

definierter Bedingungen auf Nachrichten anwenden. Vorteil an dieser Lösung ist, dass der Benutzer

selbst keine Vorlagen anwenden muss, der Nachteil ist, dass die Nachrichten ohne Schutz im Postfach

des Benutzers gespeichert werden.

Eine neue Transportschutzregel erstellen Sie, indem Sie eine normale Transportregel erstellen und als

Transportregelaktion –ApplyRightsProtectionTemplate <RMS-Vorlage> angeben.

Messaging Records Management (MRM) E-Mail-Nachrichten enthalten mitunter wichtige Informationen, welche nicht nur aus geschäftlicher, sondern

evtl. auch aus rechtlicher oder behördlicher Sicht wichtig sind. Manche Nachrichten müssen aufgrund der

Aufbewahrungspflichten eines Kaufmannes für eine gewisse Zeit aufbewahrt werden, andere vielleicht

aus internen Bestimmungen. Um allen Vorgaben nachkommen zu können, gibt es in Exchange Server 2010

verschiedene Funktionen, die Sie einsetzen können, um Vorschriften und Richtlinien einzuhalten.

Neue Aufbewahrungstags erstellen Aufbewahrungstags werden verwendet, um den Benutzern die Organisation ihrer Postfächer zu erleich-

tern, indem Nachrichten aufgrund der Tags nach Ablauf einer Frist ins Archiv verschoben oder aus dem

Postfach entfernt werden. Die Tags werden den Benutzern über Aufbewahrungsrichtlinien zugewiesen.

Dabei werden drei Arten von Tags unterschieden:

Standardrichtlinientags (Default Policy Tags, DPT) werden auf alle Elemente angewendet, auf die

kein anderes Tag angewendet wurde. Pro Aufbewahrungsrichtlinie ist immer nur ein DPT zulässig.

Aufbewahrungsrichtlinientags (Retention Policy Tags, RPT) werden auf Standardordner ange-

wendet. Das Tag wird vom Standardordner auf alle im Ordner enthaltenen Elemente vererbt. Pro

Aufbewahrungsrichtlinie ist immer nur ein Tag pro Standardordner zulässig.

Persönliche Tags ermöglichen es Benutzern, Elemente mit diesen zu versehen und dabei abweichende

Aufbewahrungsfristen und Aktionen anzuwenden. Persönliche Tags haben die höchste Priorität und

können unbegrenzt zugewiesen werden.

Standardmäßig sind verschiedene Aufbewahrungstags konfiguriert. Zwar ist es möglich, Aufbewah-

rungstags mit der Verwaltungskonsole zu erstellen, jedoch empfiehlt sich der Einsatz der Management-

Shell, da Sie dort deutlich mehr Funktionen nutzen können:

New-RetentionPolicyTag –Name <Name> -Type <Typ> -Comment <Wert> -AgeLimitForRetention

<Wert> -RetentionAction <Aktion> -RetentionEnabled <$true|$false>

Die Aktion, welche nach Erreichen der Aufbewahrungsfrist ausgeführt werden soll, ist üblicherweise Per-

manentlyDelete, MoveToArchive oder DeleteAndAllowRecovery. Für eine Übersicht über alle Aktionen

rufen Sie bitte die Hilfe des Befehls auf.

Neue Aufbewahrungsrichtlinie anlegen Nachdem Sie Ihre Aufbewahrungstags erstellt und konfiguriert haben, können Sie diese den Benutzern

zuweisen. Hierfür verwenden Sie sog. Aufbewahrungsrichtlinien, in denen die Tags zusammengefasst wer-

den, die dem Benutzer zur Verfügung stehen sollen.

New-RetentionPolicy –Name <Name> –RetentionPolicyTagLinks <Tag-Name>

Nachdem Sie die Richtlinie erstellt haben, können Sie die Richtlinie mit folgendem Befehl auf das Postfach

des Benutzers anwenden:

Set-Mailbox –Identity <Name> -RetentionPolicy <Name>

Die Benutzer können die Persönlichen Tags mit einem Rechtsklick auf ein Element anwenden, wenn Sie von

der Ordnerrichtlinie abweichen möchten. Eventuell dauert es über Nacht, bis den Benutzern die Aufbe-

wahrungsrichtlinie zugewiesen wurde.

Seite 33 von 44

Konfigurieren des Assistenten für verwaltete Ordner Mit den Aufbewahrungsrichtlinien automatisieren Sie die Organisation des Postfachs. Der Assistent für

verwaltete Ordner ist das Dienstprogramm, welches die Aufbewahrungstags anwendet. Einen von den

Standardwartungszeiträumen abweichenden Zeitplan, wann der Assistent laufen soll, können Sie mit fol-

gendem Befehl festlegen:

Set-MailboxServer –Identity <Name> -ManagedFolderAssistantSchedule <Wert>

Manuell können Sie den Assistenten mit folgenden Befehlen starten:

Start-ManagedFolderAssistant –Identity <Postfachname>

Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren Wenn Sie verhindern möchten, dass ein Benutzer dauerhaft Elemente aus seinem Postfach löschen kann,

können Sie die Aufbewahrung für eventuelle Rechtsstreitigkeiten (Legal oder Litigation Hold) aktivieren:

Set-Mailbox –Identity <Name> -LitigationHoldEnabled <$true|$false>

Wenn die Option aktiv ist, wird verhindert, dass der Ordner Purges im Rahmen der Wartung geleert

wird. Der Benutzer hat keinen Zugriff auf den Ordner Purges, lediglich Administratoren können im Rahmen

einer Suche auf den Ordner zugreifen.

Neue Journalregel erstellen Journalregeln ermöglichen es, Nachrichten auf Ebene der Hub-Transport-Server zu erfassen und an sog.

Journalempfänger transparent für den Absender und Empfänger weiterzuleiten. Journalempfänger sind

entweder reservierte Postfächer oder vertrauenswürdige Empfänger innerhalb Ihrer Organisation. Die

Beachtung von Datenschutzregeln sowie anderen gesetzlichen und behördlichen Vorgaben ist dabei sehr

wichtig. Eine neue Journalregel erstellen Sie mit folgendem Befehl:

New-JournalRule –Name <Name> -JournalEmailAddress <Adresse> -Scope <Global|Intern|Ex-

tern> -Enabled <$true|$false>

Zugriff auf das Postfach, an welches die Nachrichten gesendet wurden, sollte nur vertrauenswürdigen

Personen eingeräumt werden. Meine Empfehlung sind Gruppenpostfächer, auf die die entsprechenden

Personen Vollzugriff erhalten.

Reserve-Journalpostfach konfigurieren Sollte das Postfach, welches die Journale empfängt, ausfallen, werden automatisch NDRs generiert. Diese

NDRs können Sie in ein Reserve-Journalpostfach umleiten. Damit haben Sie die Möglichkeit, die Nachrich-

ten, nachdem das Journalpostfach wieder verfügbar ist, erneut zustellen zu lassen.

Set-TransportConfig –JournalingReportNdrTo <Adresse>

Verwenden von E-Mail-Infos E-Mail-Infos werden dem Benutzer angezeigt, wenn er eine neue Nachricht erstellt und die Empfänger

einträgt. Dies soll dazu dienen, unnötig versendete Nachrichten zu vermeiden. Der Benutzer wird darauf

hingewiesen, wenn er eine Nachricht an sehr viele Empfänger (>25) versendet oder einer der Empfänger

extern ist. Zusätzlich haben Sie die Möglichkeit, E-Mail-Infos für Verteilergruppen oder einzelne Benutzer

zu konfigurieren, die dann angezeigt werden.

Sie können E-Mail-Infos für Benutzer, Gruppen, Kontakte und Mail-User jeweils mit dem Parame-

ter -MailTip konfigurieren.

Seite 34 von 44

Organisationseinstellungen für E-Mail-Infos Auf Organisationsebene können Sie verschiedene Arten von E-Mail-Infos konfigurieren:

Set-OrganizationConfig

-MailTipsExternalRecipientsTipsEnabled Legt fest, ob E-Mail-Infos angezeigt werden, wenn ein

Empfänger außerhalb der Exchange-Organisation liegt.

-MailTipsLargeAudienceThreshold Legt fest, bei welcher Anzahl an Empfängern ein Hinweis

eingeblendet wird.

-MailTipsMailboxSourcedTipsEnabled Legt fest, ob postfachbezogene E-Mail-Infos angezeigt

werden sollen.

-MailTipsGroupMetricsEnabled Legt fest, ob gruppenbezogene E-Mail-Infos angezeigt

werden sollen.

Verwenden von Klassifikationen Klassifikationen bieten Ihnen die Möglichkeit, Nachrichten mittels Transportregeln anhand der vom Benut-

zer vergebenen Klassifikation zu verarbeiten. Zusätzlich besteht die Möglichkeit, Klassifikationen auf

Nachrichten mittels Transportregel anzuwenden. Die Klassifikation einer Nachricht wird dem Benutzer

angezeigt, sodass er weiß, wie mit der Nachricht zu verfahren ist. Anwendung finden Klassifikationen

überwiegend im Gesundheitsbereich und bei der Übermittlung personenbezogener Daten und juristischer

Korrespondenz.

Eine neue Nachrichtenklassifikation mit Lokalisierung auf ein entsprechendes Gebietsschema erstellen

Sie so:

New-MessageClassification –Name <Name> -DisplayName <Name> -SenderDescription <Wert> -

Locale <Gebietsschema>

Nachdem Sie die entsprechenden Klassifikationen erstellt haben, müssen Sie diese den Benutzern zur

Verfügung stellen. Dafür müssen Sie die Klassifikationen auf dem Exchange-Server mithilfe des Skripts

.\Export-OutlookClassification.ps1 > c:\Classification.xml exportieren. Diese XML-Datei müssen Sie

anschließend an die Clients verteilen.

Auf den Clients müssen Sie folgende Registry-Werte verändern, damit Outlook auf die Klassifikationen

zugreifen kann. Der Schlüssel Policy ist nicht standardmäßig vorhanden und muss erstellt werden:

[HKEY_CURRENT_USER\Software\Microsoft\Office\<Version>\Common\Policy]

„AdminClassificationPath“=“<Pfad\Classification.xml>“

„EnableClassifications“=dword:00000001

„TrustClassifications“=dword:00000001

Weitere Informationen zum Thema Klassifikationen finden Sie unter http://technet.microsoft.com/de-

de/library/ee861122(v=exchg.141).aspx.

Implementieren einer Ermittlungssuche Die Ermittlungssuche erlaubt es in Exchange Server 2010, Postfächer nach Nachrichten zu durchsuchen.

Die Suche kann sich dabei auf einzelne Postfächer beschränken oder sämtliche Postfächer umfassen. Die

Ergebnisse der Suche werden in sog. Suchpostfächern (Discovery Mailbox) gespeichert. Der Zugriff auf

die Suchfunktion sowie die Suchpostfächer sollte nur für vertrauenswürdige Mitarbeiter gewährt werden.

Um einem Benutzer das Recht einzuräumen, eine Ermittlungssuche anzulegen und durchzuführen, muss der

Benutzer zur Gruppe Discovery Management hinzugefügt werden. Ferner benötigt er Vollzugriff auf

das Suchpostfach, in welchem er die Ergebnisse der Suche speichert. Die Ergebnisse werden in einem

Ordner im Postfach gespeichert, der den Namen der Ermittlungssuche trägt.

Seite 35 von 44

Die Suche kann der Benutzer am einfachsten über die Exchange Systemsteuerung anlegen und ausführen.

Er wechselt dafür auf Organisation verwalten – E-Mail-Steuerelement – Ermittlung. Dort findet er alle

Suchaufträge, die angelegt worden sind, kann neue Ermittlungssuchen anlegen oder vorhandene neu

ausführen.

Alternativ können Sie eine Suche auch mit der Management-Shell erstellen:

New-MailboxSearch –Name <Name>

Ich empfehle Ihnen jedoch, die Exchange-Systemsteuerung zu verwenden, da diese deutlich einfacher zu

bedienen ist.

Ein neues Suchpostfach können Sie mit dem Befehl New-Mailbox –Discovery anlegen.

Rollenbasierte Zugriffsteuerung (RBAC) Exchange Server 2010 verwendet die Rollenbasierte Zugriffsteuerung (Role Based Access Control RBAC),

um Benutzern und Administratoren Berechtigungen zuzuweisen. Es werden dabei zwei Gruppen unter-

schieden, denen Berechtigungen zugewiesen werden. Benutzern werden die Berechtigungen, welche per-

sönlichen Einstellungen der Benutzer im Bereich Optionen von OWA er vornehmen darf, über Rollenzu-

weisungsrichtlinien zugewiesen. Administrative Berechtigungen zur Verwaltung von Exchange Server

2010 werden dagegen über Verwaltungsgruppen oder direkte Zuweisung von Rechten an Benutzer ge-

währt. Hier wird besonders auf die Administrativen Berechtigungen eingegangen, da die Zuweisung der

Benutzerrechte eingeschränkt ist und man in der Regel mit den Standardeinstellungen (Default Role As-

signment Policy) gut fährt.

Neuer Verwaltungsbereich anlegen Verwaltungsbereiche helfen uns, Berechtigungen auf einzelne Bereiche einzuschränken. Die Verwaltungs-

gruppen, welche bei der Installation von Exchange Server 2010 angelegt wurden, berechtigen den Be-

nutzer auf Organisationsebene. Wenn Sie die Bereiche, auf die der Benutzer Zugriff erhalten soll, ein-

schränken möchten, müssen Sie Verwaltungsbereiche konfigurieren:

New-ManagementScope –Name <Name>

-ServerList <Name> Geben Sie die Liste mit Servern an, die verwaltet werden dür-

fen.

-ServerRestrictionFilter <Wert> Geben Sie Eigenschaften wie z. B. den Standort der Server an,

die verwaltetet werden dürfen.

-DatabaseList <Name> Geben Sie eine List mit Datenbanken an, die verwaltet werden

dürfen.

-DatabaseRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, welche Datenban-

ken verwaltet werden dürfen.

-RecipientRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, welche Empfänger

verwaltet werden dürfen.

Der Bereich kann auch auf Organisationseinheiten eingeschränkt werden. Diese Einschränkung konfigu-

rieren Sie jedoch bei der jeweiligen Verwaltungsgruppe.

Neue Verwaltungsgruppe anlegen Verwaltungsgruppen enthalten einerseits die Benutzer, die berechtigt sein sollen, die entsprechenden Ak-

tionen auszuführen. Andererseits werden ihnen die Verwaltungsrollen zugewiesen, die die einzelnen Be-

rechtigungen enthalten.

New-RoleGroup –Name <Name>

Am einfachsten konfigurieren Sie die Verwaltungsrollen, die der Gruppe zugwiesen werden sollen, über

die Exchange Systemsteuerung (ECP). Dort finden Sie eine grafische Oberfläche, über die Sie einfach die

Seite 36 von 44

entsprechenden Verwaltungsrollen zuweisen können. Hier können Sie auch bequem den Verwaltungsbe-

reich bzw. die Organisationseinheit festlegen.

Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen Verwaltungsrollen werden über Verwaltungsrollenzuweisungen zugewiesen. Eine Verwaltungsrolle kann

entweder einem Benutzer oder einer Gruppe zugewiesen werden, empfohlen wird die Verwendung von

Verwaltungsgruppen. Zusätzlich ist es notwendig, einen Bereich festzulegen, in dem der Rolleninhaber

arbeiten darf. Eine neue Zuweisung erstellen Sie wie folgt:

New-ManagementRoleAssignment –Name <Name> -Role <Rollenname>

-SecurityGroup <Name> Weist die Verwaltungsrolle einer Sicherheitsgruppe zu.

-User <Name> Weist die Verwaltungsrolle einem Benutzer zu.

Neue Verwaltungsrolle erstellen Exchange Server 2010 ermöglicht es mit RBAC, die Rechte, welche einem Benutzer zugewiesen werden,

sehr genau festzulegen. Verwaltungsrollen sind Gruppierungen von Cmdlets, die dem Benutzer durch die

Rolle zur Verfügung gestellt werden. Cmdlets, die der Benutzer nicht durch eine Verwaltungsrolle zuge-

wiesen bekommt, kann er nicht verwenden. Sie können auf den existierenden Verwaltungsrollen basierend

neue Verwaltungsrollen erstellen und diese dann gezielt konfigurieren.

New-ManagementRole –Name <Name> -Parent <Wert>

Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen Nachdem Sie die Verwaltungsrolle geklont haben, können Sie sich die Cmdlets mit den zugehörigen Pa-

rametern anzeigen lassen:

Get-ManagementRoleEntry –Identity <Rolle\*>

Verwaltungsrolleneinträge entfernen Sie können aus der Verwaltungsrolle einzelne Cmdlets oder Parameter entfernen und diese damit Ihren

Anforderungen anpassen. Hier werden z. B. aus einer Rolle alle Cmdlets entfernt, die nicht dem Wert bei

–NotLike <Wert> entsprechen.

Get-ManagementRoleEntry –Identity <Rolle\*> | Where {$_.Name –NotLike <Wert>} | Remove-

ManagementRoleEntry

Verwaltungsrolleneintrag hinzufügen Sie können auch Cmdlets zu Verwaltungsrollen hinzufügen. Dies geht allerdings nur mit den Cmdlets, die

in der übergeordneten Verwaltungsrolle (Parent) enthalten sind.

Add-ManagementRoleEntry <Rolle\Cmdlet>

Rollenzuweisungsrichtlinien Im Gegensatz zu den administrativen Verwaltungsrollen erhalten Benutzer die Berechtigungen, welche

ihrer Informationen sie im OWA unter Optionen selbst konfigurieren können, über die Rollenzuweisungs-

richtlinien. Standardmäßig erhält jeder Benutzer die Default Role Assignment Policy zugewiesen. Wenn

Sie einzelnen Benutzern andere Berechtigungen zuweisen möchten, können Sie mit folgendem Befehl eine

neue Rollenzuweisungsrichtlinie erstellen:

New-RoleAssignmentPolicy –Name <Name> -Roles <Verwaltungsrollen> -IsDefault

Hochverfügbarkeit in Exchange Server 2010 Als hochverfügbar werden Systeme bezeichnet, die eine garantierte Uptime von über 99 % haben. Diese

Zeiten werden über sog. Service Level Agreements (SLA) vereinbart. Exchange Server 2010 verfügt über

die Möglichkeit, jede einzelne der Rollen hochverfügbar bereitstellen zu können. Hochverfügbarkeit geht

immer einher mit entsprechenden Kosten. Je höher die Verfügbarkeit umso höher die Kosten, wobei die

Kosten ab einem bestimmten Grad der Hochverfügbarkeit exponentiell ansteigen.

Seite 37 von 44

Hub-Transport-Server Am einfachsten ist Hochverfügbarkeit bei Hub-Transport-Servern umzusetzen. Stellen Sie einfach an je-

dem Standort mindestens zwei Hub-Transport-Server auf. Eine weitere Konfiguration ist nicht notwendig.

Es empfiehlt sich jedoch bei der Planung der Exchange-Server bereits darauf zu achten, dass nur die

Rollen Hub-Transport und Client-Access kombiniert werden. Postfach-Server sollten immer auf separaten

Servern installiert werden, um Komplikation bei der Bereitstellung von Hochverfügbarkeit der anderen

Rollen zu vermeiden.

Edge-Transport-Server Edge-Transport-Server sind ebenfalls sehr einfach hochverfügbar zu machen. Sie stellen einfach mehrere

Edge-Transport-Server auf. Diese müssen sich auch nicht am selben Standort befinden sondern können an

beliebigen Internet-Standorten aufgestellt werden. Die Konfiguration der Edge-Transport-Server können

Sie mit den Export-Skripten und die Transportregeln mit dem Cmdlet Export-TransportRuleCollection

klonen.

Um die Verfügbarkeit gewährleisten zu können, müssen Sie im DNS-Eintrag Ihrer SMTP-Domäne für jeden

Edge-Server einen MX-Eintrag anlegen. Dabei haben Sie die Wahl, ob alle MX-Einträge dieselbe oder

eine gestaffelte Priorität erhalten.

Client-Access-Server Die Rolle des Client-Access-Servers kann mit relativ wenig Aufwand hochverfügbar gemacht werden. Es

ist dabei jedoch darauf zu achten, dass Sie die Softwarelösung Netzwerklastenausgleich von Microsoft

nur verwenden können, wenn auf dem Server nicht zeitgleich das Failover-Cluster-Feature installiert ist.

Microsoft empfiehlt jedoch immer die Verwendung einer Hardwarelösung, da die integrierte Software-

lösung lediglich einen Serverausfall und keinen Dienstausfall erkennen kann. Darüber hinaus sind Hard-

warelösungen in der Lage, Arrays über mehrere Standorte aufzubauen. Die Softwarelösung dagegen ist

Standortgebunden.

Um ein Client-Access-Arrray mit dem Tool Netzwerklastenausgleich von Windows Server einrichten zu

können, gehen Sie wie folgt vor:

1. Installieren Sie auf allen Knoten des Netzwerklastenausgleichscluster über den Server-Manager das

Windows Server-Feature Netzwerklastenausgleich.

2. Starten Sie in der Verwaltung das Tool Netzwerklastenausgleich und erstellen Sie einen neuen Clus-

ter. Vergeben Sie eine IP-Adresse aus dem Netz, aus dem die Clients auf den Cluster zugreifen

werden.

3. Fügen Sie anschließend den FQDN und die IP-Adresse des Clusters in Ihrer internen DNS-Zone hinzu.

4. Erstellen Sie in Ihrer Exchange-Organisation ein neues Client-Access-Array. Über dieses Array wer-

den später die Clients auf die Postfachdatenbanken zugreifen.

New-ClientAccessArray –Name <Name> -Fqdn <FQDN d. Clusters> -Site <Standort>

5. Anschließend müssen Sie für jede Datenbank den richtigen RPC-ClientAccess-Server konfigurieren. Es

kann immer nur ein CAS auf eine Datenbank zugreifen. Da durch das Client-Access-Array nun meh-

rere Server auf eine Datenbank zugreifen, müssen Sie diesen Zugriff auf die Datenbank gestatten.

Dies geschieht, indem Sie den RPC-ClientAccess-Server der Datenbank auf das Array festlegen:

Set-MailboxDatabase –Identity <Name> -RPCClientAccessServer <Array-Name>

6. Damit die Clients zukünftig nur auf das CAS zugreifen, um Informationen abzurufen, müssen wir den

Pfad für die internen Autodiscover-Eintrag ändern:

Set-ClientAccessServer –Identity <Name> -AutoDiscoverServiceInternalUri –https://<Array-

Name>/Autodiscover/Autodiscover.xml

7. Um einen ordnungsgemäßen Zugriff auf OWA gewährleisten zu können, müssen wir auch die Interne

URL auf den ClientAccess-Servern für das Virtuelle Verzeichnis ändern:

Set-OWAVirtualDirectory –Server <Name> -InternalUrl https://<Array-Name>/owa

Seite 38 von 44

8. Zum Schluss müssen Sie noch das Zertifikat für den SSL-Verkehr auf allen ClientAccess-Servern instal-

lieren. Da die Interne URL ebenso wie die URL für Autodiscover auf den Array-Namen geändert

wurde, muss das Zertifikat nur den internen und externen Namen sowie den Namen Autodiscover

enthalten.

Diese Vorgehensweise gilt für Hard- und Softwarebasierte Lastenausgleichslösungen ab Schritt 4. Bezüg-

lich der Konfiguration der von Ihnen gewählten Lösung können die Schritte 1 – 3 abweichen.

Postfach-Server Hochverfügbarkeit für Postfachserver basiert auf dem Windows-Feature Failover-Cluster, welches in den

Serverversionen Server 2008 Enterprise-Edition oder höher enthalten ist. In Exchange Server 2010 rich-

ten Sie dann eine Datenbankverfügbarkeitsgruppe ein. Diese ist nichts anderes als ein Failover-Cluster

für Postfachdatenbanken. Zum Erstellen einer Datenbankverfügbarkeitsgruppe gehen Sie wie folgt vor:

1. Installieren Sie das Windows Server 2008-Feature Failover-Cluster auf jedem Server, der Mitglied

in der Datenbankverfügbarkeitsgruppe werden soll.

2. Erstellen Sie in der Exchange Verwaltungskonsole eine neue Datenbankverfügbarkeitsgruppe. Sie

haben im Assistenten die Möglichkeit, einen Zeugenserver und ein Zeugenverzeichnis anzugeben.

Standardmäßig wählt Exchange einen Hub-Transport-Server aus, auf dem die Rolle Postfachserver

nicht installiert ist. Sollte dies nicht möglich sein, müssen Sie hier einen Zeugenserver konfigurieren.

Dabei ist darauf zu achten, dass die Sicherheitsgruppe Exchange Trusted Subsystems in der lokalen

Gruppe der Administratoren auf dem Zeugenserver aufgenommen werden muss, um entsprechende

Berechtigungen zu erhalten.

New-DatabaseAvailabilityGroup –Name <Name> -DatabaseAvailabilityGroupIpAddress <IP>

-WitnessServer <Server> -WitnessDirectory <Verzeichnis>

3. Bevor Sie die Mitglieder einer Datenbankverfügbarkeitsgruppe hinzufügen, sollten Sie die DAG kon-

figurieren. Hier ist vor allem die IP-Konfiguration wichtig. In Produktivumgebungen werden IP-Ad-

ressen häufig über DHCP vergeben, sodass Ihre DAG vermutlich bereits über eine IP-Adresse verfügt.

Sollte das nicht der Fall sein, geben Sie hier bitte eine entsprechende IP-Adresse aus dem Netz an,

über das die DAG-Mitglieder kommunizieren sollen.

4. Abschließend fügen Sie die Postfach-Server zur DAG hinzu. Maximal können Sie 16 Postfach-

Server zu einer DAG hinzufügen. Die Mitgliedschaft eines Postfach-Servers in einer DAG bedeutet

nicht, dass die Datenbanken automatisch auf allen Servern repliziert werden. Auf welche Server

innerhalb einer DAG die Datenbank repliziert wird, legen Sie separat fest.

Add-DatabaseAvailabilityGroupServer –Identity <Name> -MailboxServer <Name>

Einrichten einer Postfachdatenbankkopie Nachdem Sie Ihre Datenbankverfügbarkeitsgruppe erstellt und die Postfach-Server als Mitglieder hinzu-

gefügt haben, können Sie die Kopien der Postfachdatenbanken, die auf den Mitgliedern gespeichert

sind, einrichten:

Add-MailboxDatabaseCopy –Identity <Name> -MailboxServer <Server> -ActivationPreference

<Wert>

Nach dem Einrichten der Datenbankkopie findet ein sog. Seeding statt. Dabei wird die gesamte Daten-

bank auf den Mailbox-Server kopiert. Nach erfolgreichem Seeding werden nur noch die Transaktions-

protokolle kopiert, die dann von der Datenbankkopie eingespielt werden.

Sie haben beim Einrichten der Datenbankkopie mittels Management Shell die Möglichkeit, eine Wieder-

gabeverzögerung zu konfigurieren. Dies dient dazu, dass Sie mind. eine Kopie der Datenbank haben,

welche die Transaktionsprotokolle verzögert einspielt. Damit können Sie verhindern, dass ein fehlerhaftes

Transaktionsprotokoll sämtliche Datenbankkopien beschädigt. Durch die Wiedergabeverzögerung haben

Sie die Möglichkeit, dass fehlerhafte Transaktionsprotokoll zu löschen, sodass dieses nicht in die Daten-

bankkopie eingespielt wird. Diese Vorgehensweise kann aufwendige Backup-Strategien ersetzen und

Ausfallzeiten verringern.

Seite 39 von 44

Eine verzögerte Datenbankkopie legen Sie mit dem Parameter –ReplayLagTime <Wert> an. Die Ver-

zögerung kann maximal 14 Tage betragen. Zusätzlich können Sie mit dem Parameter –Truncation-

LagTime <Wert> festlegen, wann die Transaktionsprotokolle gelöscht werden sollen. Wenn Sie eine ver-

zögerte Datenbankkopie aktivieren möchten, können Sie alle Transaktionsprotokolle einspielen oder fest-

legen, bis zu welchem Zeitpunkt die Transaktionsprotokolle eingespielt werden sollen. Wenn Sie den

Zeitpunkt festlegen möchten, müssen Sie die Transaktionsprotokolle mit Eseutil.exe manuell bearbeiten.

Weitere Informationen zur Aktivierung verzögerter Postfachdatenbankkopien finden Sie im Technet unter

http://technet.microsoft.com/de-de/library/dd979786.aspx.

Postfachdatenbankkopie aktivieren Move-ActiveMailboxDatabase –Identity <Name> -ActivateOnServer <Server>

Postfachdatenbankkopie anhalten Suspend-MailboxDatabaseCopy –Identity <Name\Server>

Postfachdatenbankkopie fortsetzen Resume-MailboxDatabaseCopy –Identity <Name\Server>

Erneutes Seeding einer Postfachdatenbankkopie Sollte eine Datenbankkopie auf einem Postfachserver ein Problem aufweisen und damit verbunden die

Bereitstellung der Datenbank fehlschlagen, können Sie ein neues Seeding durchführen.

Stoppen Sie die Replikation zu der Datenbankkopie, für welche Sie ein erneutes Seeding durchführen

wollen.

Löschen Sie auf dem Zielserver die Transaktionsprotokolle und die Datenbank.

Führen Sie in einer Management Shell folgenden Befehl aus:

Update-MailboxDatabaseCopy –Identity <Name\Server> -SourceServer <Server>

Seite 40 von 44

Überwachen von Exchange Server 2010 Einen Großteil seiner Zeit verbringt ein Exchange-Administrator mit der Überwachung und Auswertung

seiner Exchange-Organisation. Um den reibungslosen Betrieb gewährleisten zu können, müssen regelmä-

ßig die Betriebszustände erfasst und ausgewertet werden. Dies ermöglicht es auch, Probleme im Vorfeld

zu erkennen und frühzeitig auf diese reagieren zu können.

Überwachen von Informationen und Statistiken über Datenbanken Die Datenbanken als Herzstück der Exchange-Organisation bedürfen besonderer Aufmerksamkeit. Ge-

rade wenn Hochverfügbarkeitslösungen implementiert sind, fällt ein Ausfall eines einzelnen Postfachser-

vers unter Umständen nicht auf. Um die Ausfallsicherheit gewährleisten zu können, ist es wichtig, sich re-

gelmäßig vom Zustand seiner Datenbanken ein Bild zu machen.

Abrufen von Informationen von Postfachdatenbanken Allgemeine Informationen über die Postfachdatenbank kann man sich mit folgendem Befehl verschaffen:

Get-MailboxDatabase –Identity <Name> | FL

Abrufen von statistischen Informationen von Postfächern Um sich einen Überblick über die Postfächer Ihrer Exchange-Organisation verschaffen zu können, haben

Sie die Möglichkeit, statistische Informationen wie Größe des Postfachs, Anzahl der Elemente, Größe der

gelöschten Elemente, etc. anzeigen zu lassen. Sie können sich die Informationen optional für einen Benut-

zer, einen Server oder eine Datenbank anzeigen lassen:

Get-MailboxStatistics –Identity <Name> -Server <Server> -Database <Name> | FL

Mit den Cmdlets Sort-Object und Select-Object können Sie die Ausgabe von Get-MailboxStatistics weiter

filtern und verarbeiten. Der folgende Befehl frägt die statistischen Werte aller Postfächer auf dem Server

ab, sortiert diese in absteigender Reihenfolge nach der Größe der Elemente und gibt dann die ersten 5

Postfächer aus.

Get-MailboxStatistics –Server <Name> | Sort-Object <Parameter> -Descending | Select-Object –

First <Anzahl>

Abfragen des Ressourcenverbrauchs Ermittelt die 25 Konten, die den größten Ressourcenverbrauch innerhalb einer Datenbank haben.

Get-StoreUsageStatistics –Database <Name>

Abfragen von statistischen Informationen von Öffentlichen Ordnern Get-PublicFolderStatistics –Identity <\Name> -Server <Name> | fl

Abfragen des Status der Kopien einer Postfachdatenbank Get-MailboxDatabaseCopyStatus –Identity <Name> –ConnectionStatus | FL

Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln Test-ReplicationHealth –Identity <Server> | FL

Abrufen von Switch- und Failover-Statistiken Zum Abruf von statistischen Informationen zu Ihren Datenbankverfügbarkeitsgruppen können Sie folgen-

den Befehl verwenden:

.\CollectOverMetrics.ps1 –DatabaseAvailabilityGroup <Name> -GenerateHtmlReport –ShowHtml-

Report

Nach Abschluss der Datenerfassung wird das Ergebnis im Browser angezeigt.

Überwachen von Replikationsmessdaten Im Gegensatz zum .\CollectOverMetrics.ps1-Skript erfolgt mit dem Skript .\CollectReplicationMetrics.ps1

eine Echtzeitmessung auf Basis der Leistungsindikatoren. Sie starten das Skript mit folgendem Befehl:

Seite 41 von 44

.\CollectReplicationMetrics.ps1 –DagName <Name> -Verbose

Geben Sie anschließend die Zeit ein, welche die Messung laufen soll sowie den Speicherort für die Er-

gebnisse (nur Ordner, kein Dateiname). Die Ergebnisse werden als CSV-Dateien gespeichert.

Erfassen von Postfachordnerstatistiken Mit folgendem Befehl können Sie Informationen zu einzelnen Ordner, die in einem Postfach vorhanden

sind, erfassen. Mit folgendem Befehl werden alle Ordner eines Postfachs angezeigt, wie viele Elemente

enthalten sind und wie groß die jeweiligen Ordner sind:

Get-MailboxFolderStatistics –Identity <Name> | FT Name,ItemsInFolder,FolderSize

Erfassen von Anmeldestatistiken Das Erfassen der Anmelde-, Zugriffs- und Abmeldezeiten ist wichtig, um unberechtigten Zugriff auf Post-

fächer erfassen zu können.

Get-LogonStatistics –Identity <Name>

Erfassen der Anzahl von Nutzer eines bestimmten Protokolls Wenn Sie wissen möchten, welcher Benutzer wie auf sein Postfach zugreifen kann, können Sie mit Get-

CasMailbox eine Liste abrufen.

Exchange ActiveSync-Berichte abrufen Export-ActiveSyncLog –Filename: <Pfad d. Logfiles> -StartDate:<Datum> -EndDate:<Datum> -U-

seGMT:$true –OutputPath:<Pfad>

Das Logfile sowie der Ausgabepfad müssen vorhanden sein, sonst generiert der Befehl einen Fehler.

Überwachen der Nachrichtenübermittlung Neben der Überwachung der Postfachdatenbanken gehört es zu den Aufgaben des Exchange-Administ-

rators, den Nachrichtenfluss zu überwachen. Eine Vielzahl an Protokolldateien und Tool stehen zur Verfü-

gung, um Nachrichten auf ihrem Weg durch die Exchange-Organisation zu verfolgen. Eine Auswahl der

wichtigsten Tools und Protokolleinstellungen finden Sie hier.

Protokollkonfiguration der Postfach- und Transportserver Standardmäßig ist die Protokollierung des Nachrichtenflusses auf den Transport- und Postfachservern

aktiviert. Es können jedoch in der Konfiguration der Server verschiedene Einstellungen zur maximalen

Größe der Protokolldateien, des Protokollverzeichnisses und dem maximalen Alter der Protokolldateien

vorgenommen werden. Diese können Sie mit den Cmdlets Set-MailboxServer oder Set-TransportServer

für jeden Server einzeln konfigurieren.

Warteschlangenanzeige Auf jedem Transport- und Postfachserver werden Nachrichten in Warteschlangen gespeichert, bis sie an

die nächste Hop-Domäne oder Postfach weitergeleitet werden können. Für jede Hop-Domäne wird eine

eigene temporäre Warteschlange erstellt. Lediglich die Warteschlange Übermittlung ist dauerhaft vor-

handen. Nachrichten darin können nicht angehalten werden. Eine Übersicht über die Warteschlangen

eines Servers erhalten Sie mit folgendem Befehl:

Get-Queue –Server <Name> | FL

Mit Suspend-Queue können Sie eine Warteschlange anhalten, mit Resume-Queue können Sie eine War-

teschlange fortsetzen. Mit Retry-Queue können Sie eine Warteschlange erneut auslösen.

Mit Get-Message können Sie sich alle Nachrichten, die auf einem Server in einer beliebigen Warte-

schlange befinden, anzeigen lassen. Mit Suspend-Message lassen sich Nachrichten anhalten, mit Resume-

Message fortsetzen, mit Remove-Message entfernen und mit Export-Message exportieren.

Seite 42 von 44

Nachverfolgung von Nachrichten Manchmal ist es notwendig, eine Nachricht im System zu verfolgen. Insbesondere wenn ein Benutzer eine

Nachricht nicht empfängt oder eine gesendete Nachricht nicht ankommt. Dazu können Sie auf den einzel-

nen Servern das jeweilige Nachrichtenverfolgungsprotokoll mit Get-MessageTrackingLog einsehen.

Alternativ haben Sie in der Toolbox die Nachrichtenverfolgung, welche Ihnen eine grafische Oberfläche

für die Erstellung des Suchauftrags bietet.

Testen der Nachrichtenübermittlung Die Nachrichtenübermittlung innerhalb Ihrer Exchange-Organisation können Sie mit dem Cmdlet Test-

Mailflow überprüfen. Dabei wird festgestellt, ob Nachrichten von einem Postfachserver an einen anderen

Postfachserver versendet werden können.

Testen der SMTP-Kommunikation mit Telnet Sollten Ihre Benutzer keine Nachrichten an ausgewählte Empfänger versenden können, kann dies auf ein

Problem in der SMTP-Kommunikation zwischen den Mail-Servern hindeuten. Ob ein Server über Port 25

Nachrichten empfangen kann, können Sie am einfachsten mit einer Telnet-Sitzung überprüfen. Zuvor

müssen Sie jedoch die IP-Adresse des empfangenden Mail-Servers mit dem Befehlszeilentool NSLookup

ermitteln.

Geben Sie als Abfragetyp set q=mx ein, um festzulegen, dass Sie nur die MX-Einträge der Zieldomäne

angezeigt bekommen. Anschließend fragen Sie die Einstellungen der SMTP-Domäne ab. Die Abfrage

liefert Ihnen die Namen der Mailserver, die Nachrichten für diese Domäne annehmen. Zu diesem Server

können Sie mittels Ping oder NSLookup die entsprechende IP-Adresse ermitteln.

Anschließend können Sie mit dem Befehl telnet <Server> 25 eine Sitzung zu dem Mail-Server aufbauen.

Wenn sich dieser mit dem Rückgabewert 220 meldet, ist er empfangsbereit. Damit ist der Kommunikati-

onsweg soweit Sie ihn beeinflussen können überprüft. Der Fehler bzw. die Konfiguration, die eine Kom-

munikation behindert, liegt damit nicht in Ihrem Einflussgebiet.

Anlegen eines Testusers zur Überprüfung von Verbindungen Bevor Sie die Cmdlets zum Testen von Verbindungen ausführen können, benötigen Sie einen Testbenutzer.

Dieser Benutzer wird standardmäßig für die Überprüfung verwendet. Das vergebene Kennwort wird vom

System verwaltet und ist nicht für die Ausführung der Tests notwendig. Mit dem Skrip .\new-TestCas-

ConnectivityUser.ps1 können Sie einen Testbenutzer anlegen, der von den folgenden Befehlen verwen-

det wird, solange keine anderen Benutzerinformationen angegeben werden.

Überprüfen von POP3-Verbindungen Mit folgendem Befehl können Sie den Zugriff eines Benutzers mittels POP3 auf sein Postfach überprüfen.

Eine detaillierte Ergebnisanzeige erhalten Sie, wenn Sie die Ausgabe an Format-List übergeben.

Test-PopConnectivity –ClientAccessServer <Server> -MailboxCredential:(Get-Credential <User>)

Überprüfen von IMAP4-Verbindungen Der folgende Befehl verwendet dieselben Parameter wie Test-PopConnectivity und dient zur Überprü-

fung, ob ein Benutzer per IMAP4 auf sein Postfach zugreifen kann.

Test-ImapConnectivity

Überprüfen von MAPI-Verbindungen Die Verbindung von Outlook zur Exchange-Organisation können Sie mit folgendem Befehl überprüfen:

Test-MapiConnectivity

Überprüfen des Autoermittlungsdienstes Zur Überprüfung der Verbindung eines Clients mittels Autokonfiguration haben Sie verschiedene Mög-

lichkeiten, Sie benötigen jedoch immer den Anmeldenamen und das Kennwort des zu testenden Kontos.

Zur Überprüfung innerhalb der Domäne kann auf jedem Arbeitsplatz, auf welchem Outlook installiert ist,

mit Strg+Rechtsklick auf das Outlook-Symbol in der Systemtray die Autokonfiguration getestet werden.

Seite 43 von 44

Alternativ können Administratoren das Cmdlet Test-OutlookWebServices –Identity:<UPN> in der Ma-

nagement-Shell verwenden.

Zur Überprüfung des externen Zugriffs auf Ihre Exchange-Organisation können Sie dagegen die Website

https://www.testexchangeconnectivity.com von Microsoft verwenden. Dort können Sie neben der Au-

tokonfiguration auch den Zugriff per ActiveSync überprüfen.

Überwachen der administrativen Tätigkeiten Sämtliche administrativen Tätigkeiten werden in Exchange Server 2010 automatisch überwacht. Dieses

sog. Admin-Log können Sie mit dem Cmdlet Search-AdminAuditLog durchsuchen. Weitere Informationen

finden Sie hier: http://technet.microsoft.com/de-de/library/ff459250(v=exchg.141).aspx.

Notfallwiederherstellung für Exchange Microsoft hat den Exchange Server 2010 so gestaltet, dass man eigentlich auf Backups verzichten kann.

Durch die Aufteilung der Konfiguration auf Organisations- und Serverebene ist es möglich, eine sog.

Backupless-Strategie zu fahren. Dabei wird komplett auf ein Backup der einzelnen Exchange Server-

Komponenten verzichtet. Weitere Informationen hierzu finden Sie unter http://kevingreeneit-

blog.blogspot.de/2011/01/exchange-2010-backup-less-configuration.html.

Selbstverständlich können Sie auch weiterhin mit Datensicherungen arbeiten. Wie Sie dabei für die ein-

zelnen Serverrollen vorgehen müssen, erläutere ich Ihnen im Folgenden.

Konfiguration von Mitgliedern einer Database Availability Group Sollten Sie den Empfehlungen von Microsoft folgen und Ihre Datenbanken in einer Database Availability

Group (DAG) betreiben, so müssen Sie für die Sicherung der Datenbanken eine Vorkehrung treffen.

Gesichert werden dürfen immer nur die aktiven Datenbanken, passive Datenbanken werden von der

Sicherung ausgeschlossen. Damit Sie eine Sicherungssoftware auf einem Mitglied einer DAG einsetzen

können, müssen Sie den VSS-Writer für den Replikationsdienst deaktivieren. Hierzu gehen Sie in die

Registry und ändern den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\ExchangeSer-

ver\V14\Replay. Fügen Sie dort den DWORD32-Eintrag EnableVSSWriter hinzu und legen den Wert 0

fest.

Sichern von Datenbanken Datenbanken können Sie mit jeder Exchange-kompatiblen Sicherungssoftware sichern. Einzige Vorausset-

zung für die Verwendung ist die Unterstützung des VSS-Writers.

Wiederherstellen von Datenbanken Wenn Sie eine Datenbank unter Exchange Server 2010 wiederherstellen möchten, gibt es zwei verschie-

dene Möglichkeiten. Beiden Möglichkeiten haben gemeinsam, dass sich die wiederhergestellte Datenbank

im Zustand dirty shutdown befindet. Dies zeigt an, dass die Datenbank nicht ordnungsgemäß herunter-

gefahren wurde. Um die Datenbank in einen konsistenten Zustand zu versetzen, verwenden Sie das Tool

eseutil:

eseutil /mh <Datenbank> Prüft die Datenbank und zeigt den Status

an

eseutil /p <Datenbank> Zwingt die Datenbank auf Status clean

shutdown. Hat Datenverlust zur Folge.

eseutil /r <LogPrefix> /l <LogPath> /d <DatabasePath> Spielt die Transaktionsprotokolle in die

Datenbank ein.

Wiederherstellen von Datenbanken am Originalspeicherort Wenn Sie eine Datenbank an ihrem Originalspeicherort wiederherstellen möchten, müssen Sie in den

Datenbankeigenschaften den Parameter -AllowFileRestore $true konfigurieren. Anschließend können

Sie die Datenbank aus der Sicherung wiederherstellen. Bearbeiten Sie die Datenbank mit eseutil, um sie

in einen konsistenten Zustand zu bringen, bevor Sie sie mounten.

Seite 44 von 44

Wiederherstellen von Datenbanken an einem anderen Speicherort Sie können eine Datenbank auch an einem anderen Speicherort wiederherstellen. Dies wird vor allem

verwendet, wenn einzelne Elemente oder Postfächer aus einer Sicherung wiederhergestellt werden sollen.

Hierfür verwenden Sie eine sog. Wiederherstellungsdatenbank. Wiederherstellungsdatenbanken sind

schreibgeschützt und können nicht produktiv genutzt werden. Um eine Wiederherstellungsdatenbank zu

erstellen, verwenden Sie das Cmdlet New-MailboxDatabase mit dem Parameter –Recovery.

Nachdem Sie die Wiederherstellungsdatenbank angelegt haben, können Sie die Datenbank aus der

Sicherung wiederherstellen. Speichern Sie die Datenbank unter dem Namen und an dem Speicherort, den

Sie bei der Wiederherstellungsdatenbank für die Datenbank angegeben haben. Anschließend bearbei-

ten Sie die Datenbank mit eseutil und bringen sie in einen konstanten Zustand.

Postfächer innerhalb der Wiederherstellungsdatenbank können Sie sich mit dem Befehl Get-MailboxSta-

tistic –Database <Name> anzeigen lassen. Mit dem Befehl Restore-Mailbox können Sie Postfächer

wiederherstellen. Weitere Informationen hierzu finden Sie im Technet unter folgendem Link: http://tech-

net.microsoft.com/de-de/library/bb125218(v=exchg.141).aspx.

Wiederherstellen von Serverrollen (allgemein) Da Exchange Server 2010 eng mit der Windows-Domäne verknüpft ist, gestaltet sich die Wiederherstel-

lung einzelner Serverrollen relativ einfach. Alle relevanten Informationen über die Rollen eines Servers

werden im AD-Objekt des Servers gespeichert. Daraus ergibt sich die folgende Reihenfolge bei der

Wiederherstellung:

1. Computerkonto des Servers im Active Directory zurücksetzen. Löschen Sie niemals ein Computerkonto

eines Exchange-Servers aus dem Active Directory. Wenn Sie ein Konto löschen, ohne den Server

vorab zu deinstallieren, müssen Sie händisch das AD bereinigen, da der Server sonst immer noch

Mitglied Ihrer Exchange-Organisation ist.

2. Installieren Sie das Betriebssystem des Servers.

3. Benennen Sie den Server mit dem Namen des ausgefallenen Servers und nehmen Sie ihn in die Do-

mäne auf. Er wird beim Domänenbeitritt mit dem Computerkonto verknüpft, das bereits vorhanden

und zurückgesetzt ist.

4. Installieren Sie die Voraussetzungen für die Exchange Server 2010-Rollen, die auf dem Server

ursprünglich installiert waren.

5. Starten Sie die Installation aus der Eingabeaufforderung heraus. Verwenden Sie den Befehl

setup.com /m:RecoverServer. Exchange erkennt anhand des Computerkontos die Konfiguration des

Servers und installiert ihn entsprechend.

6. Konfigurieren Sie ggf. die Serverkonfiguration nach Ihrer Dokumentation und stellen Sie die Daten-

banken wieder her.

Besonderes beim Wiederherstellen von Postfachservern (Mitglied einer DAG) Bevor Sie einen Postfachserver, der Mitglied einer DAG ist, wiederherstellen können, müssen Sie zwei

Konfigurationen vorab durchführen. Beide betreffen den Failover-Cluster:

1. Entfernen Sie alle passiven Datenbankkopien vom ausgefallenen Server.

2. Entfernen Sie den ausgefallenen Server aus der Mitgliedsliste der DAG.

Nachdem Sie diese Schritte durchgeführt haben, können Sie mit der normalen Wiederherstellung begin-

nen. Weitere Informationen zur Wiederherstellung finden Sie unter http://technet.microsoft.com/de-

de/library/dd638206(v=exchg.141).aspx.

Besonderes beim Wiederherstellen von ClientAccess-Servern Bei ClientAccess-Servern müssen Sie bei der Wiederherstellung an sich nichts Besonderes beachten. Sie

gehen wie oben beschrieben vor. Sollten Sie auf dem ClientAccess-Server jedoch OutlookAnywhere kon-

figuriert haben, müssen Sie dieses erst deaktivieren und anschließend wieder aktivieren. Die Konfigura-

tion wird Ihnen ein aktiviertes OutlookAnywhere anzeigen, welches jedoch nicht funktioniert. Zusätzlich

müssen Sie evtl. geänderte Einstellungen und Inhalte der virtuellen Verzeichnisse wiederherstellen.