Embed Size (px)
Citation preview
Florian Essigkrug
essigkrug.net IT | Consulting & Training
Übersicht über die wichtigstenPowerShell-Befehle und Grundlagen für Exchange Server 2010
Seite 1 von 59
Vorwort
Zur Vorbereitung auf die Prometric-Prüfung 70-662 Microsoft Exchange Server 2010, Kon-
figuration habe ich Ihnen hier die wichtigsten PowerShell-Befehle und Grundlagen zu-
sammengestellt. Diese Liste ist nicht vollständig und möchte dies auch nicht sein. Sollten
Sie weitere Fragen zu einzelnen Befehlen haben, empfehle ich Ihnen folgenden Link:
http://technet.microsoft.com/en-us/library/bb124413(v=exchg.141).aspx.
Hilfe zu jedem Cmdlet finden Sie auch mit get-help <Cmdlet>. Sollten Sie nicht wissen,
wie ein Cmdlet heißt, können Sie sich mit get-command –noun <Nomen> alle entspre-
chenden Cmdlets und Funktionen anzeigen lassen, z. B. get-command –noun „Data-
base“.
Viel Spaß und viel Erfolg mit Exchange Server
Florian Essigkrug
essigkrug.net IT | Consulting & Training
www.essigkrug.net
Seite 2 von 59
Inhalt Datenbankverwaltung ...................................................................................................... 7
Neue Postfachdatenbank anlegen ................................................................................. 7
Datenbank einbinden ................................................................................................... 7
Datenbankeinbindung aufheben................................................................................... 7
Datenbank entfernen .................................................................................................... 7
Eigenschaften einer Datenbank abfragen ..................................................................... 7
Datenbankpfad verschieben ......................................................................................... 7
Eigenschaften von Postfachdatenbanken bearbeiten .................................................... 8
Neue Öffentliche Ordner-Datenbank ............................................................................ 9
Inhalt einer Öffentlichen Ordner-Datenbank abfragen .................................................. 9
Löschen einer Öffentlichen Ordner-Datenbank............................................................. 9
Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten ................................ 9
Skripte für Öffentliche Ordner ...................................................................................... 9
Akzeptierte Domäne konfigurieren ................................................................................. 10
Neue akzeptierte Domäne konfigurieren ..................................................................... 10
Verwaltung von Email-Adressen mit Email-Adressrichtlinien.......................................... 10
Neue E-Mail-Adressrichtlinie anlegen ......................................................................... 10
Aktualisieren einer E-Mail-Adressrichtlinie ................................................................. 10
Empfängerverwaltung ..................................................................................................... 12
Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) ........ 12
Postfach für vorhandenen Benutzer aktivieren ............................................................. 12
Benutzerpostfach konfigurieren ................................................................................... 12
Verschieben von Postfächern ...................................................................................... 12
Benutzerzugriff auf das Postfach steuern ...................................................................... 14
Ressourcenpostfächer anlegen .................................................................................... 14
Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs .................. 14
Benutzerdefinierte Ressourceneigenschaften anlegen ................................................. 14
Ressourceneigenschaften anzeigen lassen ................................................................... 14
Konfigurieren von Eigenschaften, die die Kalenderfunktion betreffen ......................... 15
Zeitzone für Postfächer festlegen ................................................................................. 15
Raumlisten erstellen zur leichteren Planung in Outlook ............................................... 15
Freigegebenes Postfach erstellen ................................................................................ 15
Archivpostfach für Benutzer aktivieren ........................................................................ 15
Exchange-Funktionalität für Benutzer deaktivieren ...................................................... 15
Getrenntes Postfach wieder verbinden ........................................................................ 17
Konvertieren eines Postfaches in einen anderen Typ ................................................... 17
Exportieren eines Postfachs ......................................................................................... 17
Seite 3 von 59
Einrichten von E-Mail-Kontakten .................................................................................. 17
Einrichten von E-Mail-Benutzern .................................................................................. 18
Verteilergruppen ............................................................................................................ 18
Neue statische Verteilergruppe anlegen ..................................................................... 18
Benutzer zu einer statischen Verteilergruppe hinzufügen ............................................ 18
Eigenschaften einer statischen Verteilergruppe bearbeiten ........................................ 18
Dynamische Verteilergruppen anlegen ....................................................................... 20
Adresslisten verwalten .................................................................................................... 20
Neue Adressliste anlegen ............................................................................................ 20
Adresslisten aktualisieren ............................................................................................ 20
Adressliste verschieben .............................................................................................. 21
Globale Adressliste aktualisieren ................................................................................ 21
Offline-Adressbücher ...................................................................................................... 21
Neues Offline-Adressbuch anlegen ............................................................................. 21
Adresslisten zu OAB hinzufügen / entfernen ................................................................ 21
Offline-Adressbuch Benutzern zuweisen ...................................................................... 21
Verschieben des Servers für die Generierung des OABs ............................................. 21
Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB ......................... 22
Verwaltung von Öffentlichen Ordnern ............................................................................ 22
Neuen Öffentlichen Ordner erstellen ........................................................................... 22
Replikat eines Öffentlichen Ordners konfigurieren ...................................................... 22
Berechtigungen für Öffentliche Ordner konfigurieren ................................................. 22
Administrative Berechtigungen anzeigen .................................................................... 22
Administrative Berechtigung hinzufügen ..................................................................... 22
Benutzerberechtigung hinzufügen. .............................................................................. 22
E-Mail-aktivierung öffentlicher Ordner ........................................................................ 24
Festlegen von Grenzwerten für öffentliche Ordner ...................................................... 24
Öffentlichen Ordner löschen ........................................................................................ 24
E-Mail-Aktivierung öffentlicher Ordner aufheben ........................................................ 24
Konfigurieren des Clientzugriffs ...................................................................................... 25
Virtuelles Verzeichnis für Outlook Web App konfigurieren ......................................... 25
Outlook Web App-Postfachrichtlinie anlegen .............................................................. 25
Outlook Web App-Postfachrichtlinie konfigurieren ..................................................... 25
Outlook Web App-Postfachrichtlinie auf Postfach anwenden ....................................... 25
Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren .................................... 25
Neue ActiveSync-Postfachrichtlinie anlegen ................................................................ 25
Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden .................................. 26
Seite 4 von 59
IMAP4 und POP3 konfigurieren .................................................................................... 27
Outlook Anywhere aktivieren ...................................................................................... 27
Virtuelles Verzeichnis zurücksetzen ............................................................................. 27
Clienteinschränkungsrichtlinien .................................................................................. 27
Konfigurieren des RPC-Clientzugriffs........................................................................... 27
Verwalten von Transportservern ..................................................................................... 28
Remotedomäne anlegen .............................................................................................. 28
Transportregelbedingungen anzeigen ........................................................................ 28
Transportregelaktionen anzeigen ................................................................................ 28
Transportregeln anzeigen ............................................................................................ 28
Neue Transportregel anlegen ...................................................................................... 28
Transportregel mit regulären Ausdrücken konfigurieren ............................................ 28
Status des Transportagenten anzeigen ......................................................................... 30
Benutzerdefinierte Systemnachricht (DSN) anlegen ..................................................... 30
Ethische Absperrung konfigurieren ............................................................................. 30
Festlegen der Exchange-Kosten einer Standortverknüpfung ....................................... 30
Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen .............. 30
Einen Standort als Hub-Standort konfigurieren ............................................................ 30
Konfigurieren des Transportdumpsters ....................................................................... 31
Verwenden von Sende- und Empfangsconnectoren ........................................................ 31
Neuen Sendeconnector erstellen ................................................................................. 31
Neuen Empfangsconnector erstellen ........................................................................... 32
Verwenden von Edge-Transport-Servern in der Exchange-Organisation ........................ 32
Konfigurieren der Voraussetzungen ............................................................................ 32
Konfigurieren der Edge-Transport-Server-Synchronisation ......................................... 34
Manuelles Ausführen der Edge-Synchronisierung ....................................................... 34
Einen weiteren Hub-Transport-Server zum Standort hinzufügen .................................. 34
Einen weiteren Edge-Transport-Server zum Standort hinzufügen ................................ 34
Klonen der Edge-Konfiguration.................................................................................... 34
Umschreiben von Adressen ......................................................................................... 35
Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server ................................. 35
Verbindungsfilter ........................................................................................................ 35
IP-Zulassungsliste ..................................................................................................... 35
Anbieter für zugelassene IP-Adressen ...................................................................... 35
IP-Sperrliste ............................................................................................................. 37
IP-Sperrlistenanbieter .............................................................................................. 37
Inhaltsfilterung ............................................................................................................. 37
Seite 5 von 59
Empfängerfilterung...................................................................................................... 38
Blockierte Empfänger entfernen / hinzufügen .......................................................... 38
Absenderfilterung ....................................................................................................... 38
Überprüfen von Sender-ID ........................................................................................... 39
Absenderzuverlässigkeit ............................................................................................. 39
Anlagenfilterung .......................................................................................................... 41
Sicherstellen der Nachrichtenintegrität ........................................................................... 41
S/MIME verwenden ..................................................................................................... 41
Konfigurieren der Domänensicherheit ......................................................................... 42
Information Rights Management (IRM) ............................................................................ 43
Vorbereiten der Exchange-Organisation zur Verwendung von IRM ............................ 43
Messaging Records Management (MRM) ........................................................................ 45
Neue Aufbewahrungstags erstellen ............................................................................. 45
Neue Aufbewahrungsrichtlinie anlegen ....................................................................... 45
Konfigurieren des Assistenten für verwaltete Ordner .................................................. 46
Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren ...................................... 46
Neue Journalregel erstellen ......................................................................................... 46
Reserve-Journalpostfach konfigurieren ........................................................................ 46
Verwenden von E-Mail-Infos ........................................................................................ 46
Organisationseinstellungen für E-Mail-Infos ................................................................ 48
Verwenden von Klassifikationen .................................................................................. 48
Implementieren einer Ermittlungssuche ...................................................................... 48
Rollenbasierte Zugriffsteuerung (RBAC) .......................................................................... 49
Neuer Verwaltungsbereich anlegen ............................................................................ 49
Neue Verwaltungsgruppe anlegen .............................................................................. 50
Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen ...................................... 50
Neue Verwaltungsrolle erstellen.................................................................................. 50
Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen ...................................... 50
Verwaltungsrolleneinträge entfernen .......................................................................... 50
Verwaltungsrolleneintrag hinzufügen .......................................................................... 51
Rollenzuweisungsrichtlinien ........................................................................................ 51
Hochverfügbarkeit in Exchange Server 2010 .................................................................. 51
Hub-Transport-Server .................................................................................................. 51
Edge-Transport-Server ................................................................................................ 51
Client-Access-Server ................................................................................................... 51
Postfach-Server ............................................................................................................ 53
Einrichten einer Postfachdatenbankkopie ................................................................ 54
Seite 6 von 59
Postfachdatenbankkopie aktivieren .......................................................................... 54
Postfachdatenbankkopie anhalten ............................................................................ 54
Postfachdatenbankkopie fortsetzen .......................................................................... 54
Erneutes Seeding einer Postfachdatenbankkopie ..................................................... 55
Überwachen von Exchange Server 2010 ......................................................................... 56
Überwachen von Informationen und Statistiken über Datenbanken ............................. 56
Abrufen von Informationen von Postfachdatenbanken .............................................. 56
Abrufen von statistischen Informationen von Postfächern ......................................... 56
Abfragen des Ressourcenverbrauchs ....................................................................... 56
Abfragen von statistischen Informationen von Öffentlichen Ordnern ........................ 56
Abfragen des Status der Kopien einer Postfachdatenbank ........................................ 56
Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln .......... 56
Abrufen von Switch- und Failover-Statistiken ............................................................ 56
Überwachen von Replikationsmessdaten ................................................................. 57
Erfassen von Postfachordnerstatistiken ..................................................................... 57
Erfassen von Anmeldestatistiken .............................................................................. 57
Erfassen der Anzahl von Nutzer eines bestimmten Protokolls ................................... 57
Exchange ActiveSync-Berichte abrufen .................................................................... 57
Überwachen der Nachrichtenübermittlung .................................................................. 57
Protokollkonfiguration der Postfach- und Transportserver ....................................... 57
Warteschlangenanzeige ........................................................................................... 58
Nachverfolgung von Nachrichten ............................................................................. 58
Testen der Nachrichtenübermittlung ........................................................................ 58
Testen der SMTP-Kommunikation mit Telnet ................................................................ 58
Anlegen eines Testusers zur Überprüfung von Verbindungen ..................................... 59
Überprüfen von POP3-Verbindungen .......................................................................... 59
Überprüfen von IMAP4-Verbindungen ........................................................................ 59
Überprüfen von MAPI-Verbindungen .......................................................................... 59
Überprüfen des Autoermittlungsdienstes ..................................................................... 59
Seite 7 von 59
Datenbankverwaltung Grundlage der Funktionalität von Microsoft Exchange sind Datenbanken. Wir unterschei-
den dabei zwei Arten von Datenbanken: Postfachdatenbanken zur Speicherung der Post-
fächer der Benutzer sowie Öffentliche Ordner-Datenbanken.
In der Standard-Edition von Exchange Server 2010 können lediglich 5 Postfachdatenban-
ken pro Postfachserver gehostet werden. In der Enterprise-Edition sind dagegen bis zu
100 Postfachdatenbanken möglich. Zusätzlich sind pro Server eine Datenbank für Öffentli-
che Ordner sowie eine Wiederherstellungsdatenbank möglich.
Der Informationsspeicher von Exchange Server 2010 besteht aus den jeweiligen Daten-
banken (*.edb) sowie den zugehörigen Transaktionsprotokollen (*.log). Alle Aktionen
werden erst in einem Transaktionsprotokoll gespeichert und anschließend in die Daten-
bank eingespielt. Sollte die Datenbank ausfallen, ist es auf diese Weise möglich, ein Ba-
ckup auf den letzten Stand vor dem Ausfall zu bringen. Die Datenbank wird aus einem Ba-
ckup wiederhergestellt und anschließend werden alle Transaktionsprotokolle, die nach
dem Backup angelegt worden sind, wieder in die Datenbank eingespielt.
Jedes Transaktionsprotokoll ist genau 1 MB groß. Zusätzlich werden 10 x 1 MB durch Puf-
ferdateien (*.jrs) belegt, die gewährleisten sollen, dass eine maximal 10 MB große Nach-
richt auch dann noch empfangen werden kann, wenn der Festplattenplatz verbraucht ist.
Die Datenbank wird in diesem Fall offline geschaltet und die Nachricht wird in den reser-
vierten Bereich geschrieben.
Neue Postfachdatenbank anlegen New-MailboxDatabase -Name <Name> -Server <Server> -EdbFilePath
<Pfad\DBName.edb> -LogFolderPath <Pfad>
Datenbank einbinden Mount-Database -Identity <Name>
Datenbankeinbindung aufheben Dismount-Database -Identity <Name>
Datenbank entfernen Bevor Sie eine Datenbank löschen können, muss diese erst leer sein. Hierzu müssen Sie
alle Postfächer aus der Datenbank entweder löschen oder in eine andere Postfachdaten-
bank verschieben. Systempostfächer befinden sich standardmäßig in der ersten Postfach-
datenbank des ersten Postfachservers der Exchange-Organisation. Diese können Sie wie
folgt verschieben:
Get-Mailbox –Arbitration | New-MoveRequest
Anschließend können Sie die Datenbank mit folgendem Befehl löschen:
Remove-MailboxDatabase -Identity <Name>
Eigenschaften einer Datenbank abfragen Get-MailboxDatabase -Identity <Server\Datenbank>
Datenbankpfad verschieben Move-DatabasePath -identity <Name> -EdbFilePath <Pfad> -LogFolderPath <Pfad>
Seite 8 von 59
Eigenschaften von Postfachdatenbanken bearbeiten Set-MailboxDatabase –Identity <Name>
-Name Ändert den Namen der DB
-JournalRecipient <User> Aktiviert den Journal-Empfänger
-MaintenanceSchedule <Wert> Legt den Wartungszeitplan fest
-BackgroundDatabaseMaintenance <$true|$false> Aktiviert die Hintergrundwartung
f. DB
-AllowFileRestore <$true|$false> DB kann bei Wiederherstellung über-
schrieben werden
-MountatStartup <$true|$false> Bei Serverstart DB einbinden
-CircularLoggingEnablde <$true|$false> Aktiviert Umlaufprotokollierung
-IssueWarningQuota <MB|GB|TB> Warnmeldung senden ab
-ProhibitSendQuota <MB|GB|TB> Senden verbieten ab
-ProhibitSendRecieveQuota <MB|GB|TB> Empfangen verbieten ab
-DeletedItemRetention <Wert> Aufbewahrungszeit f. gelöschte Ele-
mente
-MailboxRetention <Wert> Aufbewahrungszeit f. gelöschte Postfä-
cher
-RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente aufbewahren
bis das nächste Backup durchgeführt
wurde
-OfflineAddressBook Standard-OAB f. alle Postfächer in der
DB
-PublicFolderDatabase Standard-DB f. Öffentliche Ordner
-RpcClientAccessServer Legt den ClientAccess Server fest, der
auf die Datenbank zugreifen darf.
Seite 9 von 59
Neue Öffentliche Ordner-Datenbank New-PublicFolderDatabase -Server <Server> -Name <Name> -EdbFilePath <Pfad>
-LogFolderPath <Pfad>
Pro Server ist lediglich eine Datenbank für Öffentliche Ordner möglich!
Inhalt einer Öffentlichen Ordner-Datenbank abfragen Get-PublicFolder -Server <Server>
-Recurse Zeigt alle Öffentlichen Ordner inner-
halb der Datenbank an.
Löschen einer Öffentlichen Ordner-Datenbank Bevor Sie eine Datenbank löschen können, müssen erst alle Replikate von öffentlichen
Ordnern verschieben und dann alle öffentlichen Ordner in der Datenbank löschen.
1. Get-PublicFolder –Server <Server> „\“ –Recurse –ResultSize:Unlimited | Re-
move-PublicFolder
-Recurse –ErrorAction:SilentlyContinue
2. Get-PublicFolder –Server <Server> „\Non_Ipm_Subtree“ –Recurse –Resul-
tSize:Unlimited | Remove-PublicFolder –Recurse –ErrorAction:SilentlyContinue
3. Remove-PublicFolderDatabase -Identity <Name>
Eigenschaften von Öffentlichen Ordner-Datenbanken bearbeiten Set-PublicFolderDatabase -Identity <Name>
-DeletedItemRetention <Tage> Aufbewahrungszeit für gelöschte Ele-
mente
-RetainDeletedItemsUntilBackup <$true|$false> Gelöschte Elemente werden erst
entfernt, wenn ein Backup der Daten-
bank durchgeführt wurde.
Skripte für Öffentliche Ordner MoveAllReplicas.ps1 Verschiebt den gesamten Inhalt einer
Datenbank in eine andere Datenbank.
ReplaceReplicaOnPFRecursive.ps1 Verschiebt den Inhalt einer Ord-
nerstruktur von einer Datenbank in
eine andere Datenbank.
Die Skripte finden Sie im standardmäßig in C:\Program Files\Microsoft\Exchange Ser-
ver\V14\Scripts.
Seite 10 von 59
Akzeptierte Domäne konfigurieren Akzeptierte Domänen legen fest, für welche SMTP-Domänen unsere Exchange Transport-
Server Nachrichten empfangen und versenden können. Standardmäßig wird die
Windows-Domäne eingetragen, in der der Exchange-Server installiert wurde. Ein interner
Versand von Nachrichten ist damit innerhalb der Domäne möglich. Sollen Nachrichten von
öffentlichen SMTP-Domänen oder anderen Windows-Domänen akzeptiert werden, müssen
Sie eine entsprechende akzeptierte Domäne konfigurieren. Dabei werden drei Arten von
akzeptierten Domänen unterschieden:
Autorisierende Domäne Alle Empfänger für diese Domäne befinden sich in-
nerhalb unserer Exchange-Organisation.
Interne Relay-Domäne Der Empfänger für diese Domäne befindet sich ent-
weder innerhalb unserer Exchange-Organisation o-
der außerhalb. Sollte der Empfänger nicht inner-
halb unserer Organisation sein, wird die Nachricht
weitergeleitet.
Externe Relay-Domäne Die Empfänger für diese Domäne befinden sich
nicht innerhalb unserer Exchange-Organisation.
Alle Nachrichten werden weitergeleitet.
Neue akzeptierte Domäne konfigurieren New-AcceptedDomain –Name <Name> -DomainName <Domäne> -DomainType
<Authoritative|ExternalRelay|InternalRelay>
Verwaltung von Email-Adressen mit Email-Adressrichtlinien E-Mail-Adressen werden in Exchange Server 2010 mithilfe von E-Mail-Adressrichtlinien
zugewiesen. Adressrichtlinien ermöglichen es, E-Mail-Adressen aufgrund von Bedingun-
gen, wie z. B. Zugehörigkeit zu einer bestimmten Firma oder Abteilung, zuzuweisen und
ein einheitliches Adressschema im Unternehmen durchzusetzen.
Neue E-Mail-Adressrichtlinie anlegen New-EmailAddressPolicy –Name <Name> -IncludedRecipients <EmpfängerTypen>
-Priority <Priorität> -EnabledEmailAddressTemplates <SMTP:Email-Adresse>
Die E-Mail-Adresse können Sie mit verschiedenen Variablen konfigurieren:
%s Nachname
%g Vorname
%m Alias
Durch Angabe der Anzahl an Buchstaben nach dem %-Zeichen können Sie festlegen, wie
viele Buchstaben der jeweiligen Variablen verwendet werden sollen, z. B. %1s.%1g@Do-
mäne.tld ergibt als Adresse z. B. [email protected].
Durch Angabe von Filterbedingungen wie –ConditionalDepartment, -ConditionalCom-
pany oder –ConditionalCustomAttribute<1-15> können Adressrichtlinien auf bestimmte
Empfänger eingeschränkt werden. Alternativ kann man die Richtlinie auf eine bestimmte
Organisationseinheit einschränken.
Aktualisieren einer E-Mail-Adressrichtlinie update-EmailAddressPolicy –Identity <Name>
Seite 11 von 59
Seite 12 von 59
Empfängerverwaltung In Exchange Server 2010 gibt es verschiedene Empfängertypen. Neben Benutzerpostfä-
chern gibt es noch Ressourcenpostfächer (Räume, Equipment), Mail-User, externe Kon-
takte und Verteilergruppen. Ein Großteil der Parameter ist auf alle Empfänger anwendbar.
Neues Benutzerpostfach anlegen (dabei wird auch ein neuer AD-User angelegt) New-Mailbox –Name <Name> -Alias <Alias> -UserPrincipalName <UPN> -SamAc-
countName <Name> -FirstName <Vorname> -Initials <Initialien> -LastName
<Nachname> -ResetPasswordOnNextLogon <$true|$false> -Database <Daten-
bank>
Postfach für vorhandenen Benutzer aktivieren Enable-Mailbox –Identity <User> -Alias <Alias>
Benutzerpostfach konfigurieren Set-Mailbox –Identity <User>
-IssueWarningQuota <Wert> Legt die Warnstufe in MB fest, die ein Be-
nutzer erhält, wenn sein Postfach diese
Größe erreicht.
-ProhibitSendQuota <Wert> Legt fest, wann ein Benutzer keine Nach-
richten mehr senden kann, wenn sein
Postfach diese Größe erreicht.
-ProhibitSendRecieveQuota <Wert> Legt fest, wann ein Benutzer keine Nach-
richten mehr senden und empfangen
kann, wenn sein Postfach diese Größe er-
reicht.
-UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Quota durch die Daten-
bank
-UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Standardeinstel-
lung der Datenbank.
-HiddenFromAddressListEnabled <$true|$false> Verhindert, dass das Postfach in
Adresslisten angezeigt wird.
-MaxSendSize <Wert> Maximale Größe von zu versendenden
Nachrichten.
-MaxRecieveSize <Wert> Maximale Größe von zu empfangenden
Nachrichten.
-LitigationHoldEnabled <$true|$false> Aktiviert die Aufbewahrung f. evtl. Rechts-
streitigkeiten. Verhindert, dass der Inhalt
des Ordners Purges gelöscht wird. Nach-
richten werden dauerhaft im Postfach auf-
bewahrt, Original-Nachrichten werden im
Ordner Versions gespeichert.
Verschieben von Postfächern New-MoveRequest –Identity <User> -TargetDatabase <DB>
Seite 13 von 59
Mit den Parametern –ArchiveOnly und –PrimaryOnly kann ausgewählt werden, was ver-
schoben wird.
Seite 14 von 59
Benutzerzugriff auf das Postfach steuern Benutzer können auf verschiedene Arten auf Ihr Postfach zugreifen. Der Zugriff per
POP3/IMAP4 ist standardmäßig zwar erlaubt, funktioniert jedoch nicht, da die Dienste
nicht gestartet und auf Manuell gestellt sind. Wenn Sie diesen Zugriff erlauben möchten,
müssen Sie die Dienste auf Automatisch setzen und starten. Den Zugriff auf das Postfach
konfigurieren Sie wie folgt:
Set-CASMailbox –Identity <User>
-POPEnabled <$true|$false> Legt den Zugriff per POP3 fest.
-ImapEnabled <$true|$false> Legt den Zugriff per IMAP4 fest.
-OWAEnabled <$true|$false> Legt den generellen Zugriff auf OWA fest.
Hat keinen Einfluss auf den Funktionsum-
fang von OWA.
-ExchangeActiveSyncEnabled <$true|$false> Legt den Zugriff
per ActiveSync fest. Hat keinen Einfluss
auf den Funktionsumfang von ActiveSync.
-MAPIEnabled <$true|$false> Legt den Zugriff per MAPI-Client (z. B.
Outlook) fest.
Ressourcenpostfächer anlegen New-Mailbox –Name <User> –UserPrincipalName <UPN> –Alias <Name> –Data-
base <DB>
Konfigurieren von allgemeinen Einstellungen eines Ressourcenpostfachs Set-Mailbox –Identity <User>
-ResourceCapacity <Wert> Legt die Kapazität der Ressource fest.
-ResourceCustom <Wert> Liste der Benutzerdefinierten Ressour-
ceneigenschaften.
Benutzerdefinierte Ressourceneigenschaften anlegen Zusätzliche Ressourceneigenschaften helfen Benutzern, Ressourcen entsprechend ihrer
Bedürfnisse gezielt auszuwählen, z. B. bei Räumen anhand der Ausstattung.
1. $ResourceConfig = Get-ResourceConfig
2. $ResourceConfig.ResourcePropertySchema+=(„Room/<Eigenschaft>“)
3. $ResourceConfig.ResourcePropertySchema+=(„Equipment/<Eigenschaft>“)
4. Set-ResourceConfig –ResourcePropertySchema $ResourceConfig.ResourcePro-
pertySchema
Ressourceneigenschaften anzeigen lassen Get-ResourceConfig
Seite 15 von 59
Konfigurieren von Eigenschaften, die die Kalenderfunktion betreffen Set-CalendarProcessing –Identity <User>
-ResourceDelegates <User> Legt die Postfach-Stellvertretung fest.
-ForwardRequestsToDelegates <$true|$false> Legt fest, ob Anfragen an die Post-
fach-Stellvertretung weitergeleitet wer-
den sollen.
-AutomateProcessing <None|AutoAccept> Aktiviert die Buchungsautomatik.
-BookingWindowInDays <Wert> Legt das Buchungsfenster fest.
-MaximumDurationInMinutes <Wert> Legt die maximale Termindauer fest.
-AddAdditionalResponse <$true|$false> Zusätzliche Informationen an den Organi-
sator senden.
-AdditionalResponse <Text> Zusätzliche Informationen für den Organi-
sator.
Zeitzone für Postfächer festlegen Set-MailboxCalendarConfiguration –Identity <User> -WorkingHoursTimeZone
<Zeitzone>
Raumlisten erstellen zur leichteren Planung in Outlook Raumlisten erleichtern die Suche nach Räumen bei der Terminplanung in Outlook. Wichtig
ist, dass beim Erstellen der Verteilergruppe keine Umlaute verwendet werden. Nach dem
Erstellen der Verteilergruppe können die Räume zur jeweiligen Liste hinzugefügt werden.
New-Distributiongroup –Name <Name> -RoomList
Freigegebenes Postfach erstellen Freigegebene Postfächer sind in der Regel Gruppenpostfächer, auf die mehrere Benutzer
Zugriff haben. Je nach Verwendungszweck sollen die Benutzer auch das Recht haben, mit
der Identität des Gruppenpostfachs Nachrichten zu versenden.
Mit dem Parameter –Shared erstellen Sie ein freigegebenes Postfach:
New-Mailbox –Name <Name> -UserPrincipalName <UPN> -SamAccontName
<Name> -Alias <Name> -Database <DB> -Shared
Mit diesem Befehl gewähren Sie den Benutzern Zugriff auf das Postfach:
Add-MailboxPermission –Identity <Name d. freigegebenen Postfachs> -User
<Name des Benutzers> -AccessRights FullAccess –InheritanceType all
Mit diesem Befehl ermöglichen Sie es den Benutzern, Nachrichten mit der Identität des
Gruppenpostfachs zu versenden:
Add-ADPermission <Name d. freigegebenen Postfachs> -User <Domäne\Benutzer>
-ExtendedRights „Send-as“
Archivpostfach für Benutzer aktivieren Enable-Mailbox –Identity <User> -Archive
Exchange-Funktionalität für Benutzer deaktivieren Disable-Mailbox –Identity <User>
Seite 16 von 59
Seite 17 von 59
Getrenntes Postfach wieder verbinden Sie können getrennte Postfächer wieder mit Benutzern verbinden. Dabei haben Sie die
Wahl, ob Sie das Postfach mit dem ursprünglichen Benutzer oder mit einem anderen Ver-
binden möchten:
Connect-Mailbox –Identity <User> -Database <DB> -User <User>
Wenn das Postfach nicht innerhalb der Datenbank gefunden werden kann, wurde beim
Trennen des Postfachs dieses im AD DS nicht als getrennt markiert. Mit dem Befehl Clean-
MailboxDatabase können Sie nach getrennten Postfächern in einer Datenbank suchen
und den Status aktuallisieren.
Konvertieren eines Postfaches in einen anderen Typ Sie können bestehende Postfächer in einen anderen Typ konvertieren. Dies findet vor al-
lem bei der Migration von Postfächern älterer Systeme Anwendung, z. B. um ein Benutzer-
postfach aus Exchange 2003, welches als Raumpostfach genutzt wurde, in ein Raumpost-
fach unter Exchange 2010 zu konvertieren.
Set-Mailbox –Identity <User> -Type <Shared|Room|Equipment|User>
Exportieren eines Postfachs Es gibt verschiedene Arten, wie ein Postfach exportiert werden kann. Der einfachste Weg
ist, mit Outlook ein Postfach in eine PST-Datei zu exportieren. Dies geht allerdings nur mit
dem eigenen Postfach. Möchte ein Administrator ein anderes Postfach aus der Datenbank
exportieren, müssen einige Voraussetzungen erfüllt sein:
1. Der Administrator benötigt das Recht, Postfächer zu Importieren und Exportieren. Die-
ses Recht wird ihm über die Rolle Mailbox Import Export zugewiesen.
2. Auf dem Rechner müssen Outlook 2010 64Bit und die Exchange Verwaltungstools in-
stalliert sein.
3. New-MailboxExportRequest –Mailbox <Name> -FilePath <Pfad.pst>
Mit dem Parameter –IsArchive können Sie ein Archivpostfach exportieren. Mithilfe des
Parameters -ContentFilter können Sie gezielt Inhalt eines Postfachs exportieren. Auf die-
selbe Weise können Sie auch Postfächer importieren.
Einrichten von E-Mail-Kontakten E-Mail-Kontakte sind Kontakte, die als Objekt im Active Directory gespeichert und als
Empfänger für Exchange Server 2010 verfügbar gemacht werden sollen. Kontakte verfü-
gen sind keine Sicherheitsprinzipale, können sich nicht in der Domäne anmelden und auch
nicht Mitglied von Sicherheitsgruppen werden. Eine Mitgliedschaft in Verteilergruppen ist
dagegen möglich.
E-Mail-Kontakte können auf zweierlei Arten in Exchange Server 2010 erstellt werden. Be-
reits im AD vorhandene Kontakte können Sie für Exchange Server 2010 folgendermaßen
aktivieren:
Enable-MailContact –Identity <User> -ExternalEmailAddress <SMTP:Adresse> -
Alias <Name>
Einen neuen E-Mail-Kontakt erstellen Sie, indem Sie folgenden Befehl ausführen:
New-MailContact –Name <Name> -Alias <Name> -FirstName <Vorname> -Last-
Name <Nachname>
-ExternalEmailAddress <SMTP:Adresse>
Seite 18 von 59
Einrichten von E-Mail-Benutzern Im Gegensatz zu E-Mail-Kontakten verfügen E-Mail-Benutzer über ein Sicherheitsprinzipal
in unserer Gesamtstruktur. Es handelt sich hierbei also um Domänenbenutzer, die über
kein eigenes Exchange-Postfach verfügen, dennoch aber in die Exchange-Organisation
eingebunden werden sollen. Sie können Mitglieder von Sicherheits- und Verteilergruppen
sein.
Enable-MailUser –Identity <User> -Alias <Name> -ExternalEmailAddress
<SMTP:Adresse>
New-MailUser –Name <Name> -Alias <Name> -UserPrincipalName <UPN> -SamAc-
countName <Name> -FirstName <Vorname> -LastName <Nachname> -ResetPass-
wordOnNextLogon <$true|$false> -ExternalEmailAddress <SMTP:Adresse>
Verteilergruppen Exchange Server 2010 kennt zwei Arten von Verteilergruppen: statische und dynamische.
Bei statischen Gruppen sind die Benutzer feste Mitglieder der Gruppe, d. h. sie stehen
bereits fest, wenn die Gruppe durch eine Nachricht angesprochen wird. Bei dynamischen
Gruppen werden die Mitglieder jedes Mal anhand von Filterbedingungen ermittelt, wenn
die Gruppe angesprochen wird.
Verteilergruppen sind immer Universale Gruppen und können vom Typ reine Verteiler-
oder aber auch sicherheitsaktivierte Gruppen (-Security) sein.
Neue statische Verteilergruppe anlegen New-DistributionGroup –Name <Name> -SamAccountName <Name> -Alias <Name>
Benutzer zu einer statischen Verteilergruppe hinzufügen Add-DistributionGroupMember –Identity <Name d. Gruppe> -Member <User>
Eigenschaften einer statischen Verteilergruppe bearbeiten Set-DistributionGroup –Identity
-MemberJoinRestriction Legt fest, ob eine Genehmigung not-
wendig ist, um der Gruppe beizutre-
ten. Mögliche Optionen sind Appro-
valRequired, Open oder Closed.
-MemberDepartRestriction Legt fest, ob ein Benutzer die Gruppe
verlassen darf. Mögliche Optionen
sind Open oder Closed.
-ExpansionServer <Server> Legt den Server fest, der für die Auf-
gliederung der Gruppenmitglied-
schaft zuständig ist.
-HiddenFromAddressListEnabled <$true|$false> Legt fest, ob die Gruppe in
Adresslisten angezeigt wird.
-SendOofMessagesToOrginatorEnabled <$true|$false> Legt fest, ob Abwesen-
heitsbenachrichtigungen an den Ab-
sender einer Nachricht übermittelt
werden.
Seite 19 von 59
-MaxRecieveSize <Wert> Legt die maximale Nachrichtengröße
fest.
-ModerationEnabled <$true|$false> Legt die Moderation einer Gruppe
fest.
-ModeratedBy <User> Legt den Moderator einer Gruppe
fest.
-RequireSenderAuthenticationEnabled <$true|$false> Legt fest, ob sich jeder Ab-
sender authentifizieren muss. Bei
Gruppen, die von Extern erreichbar
sein sollen, muss dieser Wert auf
$false gesetzt werden.
Seite 20 von 59
Dynamische Verteilergruppen anlegen New-DynamicDistributionGroup –Name <Name> -Alias <Name>
-IncludedRecipients Legt fest, welche Art von Empfängern eingeschlos-
sen werden sollen. Mögliche Parameter sind All-
Recipients, MailboxUsers, Resources, Mail-
Contacts, MailGroups und MailUsers.
-ConditionalCompany Legt als Bedingung fest, welcher Firma die Mitglie-
der angehören müssen.
-ConditionalDepartment Legt als Bedingung fest, welcher Abteilung die Mit-
glieder angehören müssen.
-ConditionalCustomAttribute<1-15> Legt als Bedingung fest, welchen Wert die Attri-
bute haben müssen.
Adresslisten verwalten Adresslisten helfen den Benutzern in Outlook und OWA, Teilmengen an Empfängern in-
nerhalb der Exchange-Organisation zu finden. Sie sind wie ein Telefonbuch hierarchisch
angelegt und können z. B. einzelne Abteilungen umfassen. Der Benutzer muss schließlich
dann nur wissen, in welcher Abteilung er einen Empfänger sucht und hat über die entspre-
chende Adressliste dann Zugriff auf alle Empfänger innerhalb der Abteilung.
Zusätzlich werden aus den Adresslisten die Offline-Adressbücher generiert, die Benutzer
dann in Outlook verwenden können, wenn Sie keinen Zugriff auf die Exchange-Organisa-
tion haben.
Neue Adressliste anlegen New-AddressList –Name <Name>
-IncludedRecipients <Wert> Legt fest, welche Art von Empfängern eingeschlos-
sen werden sollen. Mögliche Parameter sind All-
Recipients, MailboxUsers, Resources, Mail-
Contacts, MailGroups und MailUsers.
-ConditionalCompany <Wert> Legt als Bedingung fest, welcher Firma die Mitglie-
der angehören müssen.
-ConditionalDepartment <Wert> Legt als Bedingung fest, welcher Abteilung die Mit-
glieder angehören müssen.
-ConditionalCustomAttribute <1-15> Legt als Bedingung fest, welchen Wert die Attri-
bute haben müssen.
-Container <Hierarchie> Legt fest, in welcher Hierarchiestufe die Adress-
liste angelegt werden soll.
-DisplayName <Wert> Legt den Anzeigename fest.
Adresslisten aktualisieren Update-AddressList –Identity <Name>
Seite 21 von 59
Adressliste verschieben Move-AddressList –Identity <Name> –Target <Pfad>
Globale Adressliste aktualisieren Update-GlobalAddressList –Identity <Name>
Offline-Adressbücher Offline-Adressbücher stellen die Funktionalität der Adresslisten auch dann zur Verfügung,
wenn der Benutzer nicht mit der Exchange-Organisation verbunden ist. Die Verteilung
des Offline-Adressbuchs kann Webbasiert oder über Öffentliche Ordner erfolgen. Die
webbasierte Verteilung wird erst ab Outlook 2007 unterstützt. Ältere Outlook-Versionen
greifen auf das OAB über die Öffentlichen Ordner zu.
Neues Offline-Adressbuch anlegen New-OfflineAddressBook –Name <Name>
-Server <Name> Legt den Server für die Generierung des
Offline-Adressbuchs fest.
-AddressLists <Wert> Legt die Adresslisten fest, die im OAB ent-
halten sein sollen.
-Schedule <Wert> Legt den Zeitplan fest, wann das OAB gene-
riert werden soll. Standard ist Täglich um
05:00 Uhr.
-PublicFolderDistributionEnabled <$true|$false> Legt die Verteilung über Öffentli-
che Ordner fest.
-VirtualDirectory <Server\Verzeichnis> Legt das Virtuelle Verzeichnis auf dem ent-
sprechenden Server fest, über den die
webbasierte Verteilung stattfinden soll.
Adresslisten zu OAB hinzufügen / entfernen Wenn Sie eine Adressliste zu einem OAB hinzufügen oder entfernen möchten, müssen Sie
alle Adresslisten, die bereits dem OAB zugewiesen sind plus / minus die neue Adressliste
im Befehl aufführen. Die Verwaltung der Adresslisten erfolgt daher einfacher mit der Kon-
sole.
Set-OfflineAddressBook –Identity <Name> –AddressLists <Liste aller Adresslisten
des OAB>
Offline-Adressbuch Benutzern zuweisen Sie können das OAB entweder einzelnen Postfächern oder über die Datenbank allen Post-
fächern innerhalb der Datenbank zuweisen.
Set-Mailbox –Identity <Name> -OfflineAddressBook <Name>
Set-MailboxDatabase –Identity <Name> -OfflineAddressBook <Name>
Verschieben des Servers für die Generierung des OABs Move-OfflineAddressBook –Identity <Name> -Server <Name>
Seite 22 von 59
Erstellen eines Virtuellen Verzeichnisses für die Verteilung des OAB Die webbasierte Verteilung des OABs findet über die ClientAccess-Server statt. Dort be-
findet sich standardmäßig ein virtuelles Verzeichnis für die Verteilung. Wenn Sie das Ver-
zeichnis erstellen möchten, verwenden Sie hierfür folgenden Befehl:
New-OABVirtualDirectory –Server <Name CAS> -RequireSSL <$true|$false> -Exter-
nalUrRL <URL/OAB>
Verwaltung von Öffentlichen Ordnern Öffentliche Ordner werden seit vielen Jahren als Mittel zur Zusammenarbeit im Unterneh-
men verwendet. Sie ermöglichen es Exchange-Benutzern, Daten in gemeinsam genutzten
Ordnern zu speichern. Die Ordner können mit unterschiedlichen Berechtigungsstufen ver-
sehen werden, sodass Informationen geschützt geteilt werden können. Innerhalb der öf-
fentlichen Ordner können Ordner vom Typ Kalender, Kontakte, Notizen, Journal, Aufgaben
und E-Mail / Bereitstellung erstellt werden.
Neuen Öffentlichen Ordner erstellen New-PublicFolder –Name <Name> -Path <\Pfad> -Server <Name>
Replikat eines Öffentlichen Ordners konfigurieren Set-PublicFolder –Identity <Name> -Server <Name> -Replica <Liste der Öffentlichen
Ordner DBs>
Berechtigungen für Öffentliche Ordner konfigurieren Standardmäßig dürfen in Öffentlichen Ordnern Benutzer Objekte erstellen und die eige-
nen Objekte bearbeiten und löschen. Weitere Berechtigungen können entweder in der
„Öffentliche Ordner-Verwaltungskonsole“ oder in Outlook konfiguriert werden. Mit den
Berechtigungsstufen können Sie ein detailliertes Rechteschema implementieren, dass ver-
hindert, dass Unberechtigte Ordner angezeigt bekommen oder Inhalte bearbeiten / lö-
schen können. Exchange Server 2010 unterscheidet dabei zwei verschiedene Arten von
bei der Zuweisung von Rechten: Administrative Berechtigungen und Client-Berechtigun-
gen. Während erstere über Gruppenmitgliedschaften zugewiesen werden, werden letz-
tere über die Konfiguration der einzelnen Ordner zugewiesen. Alle Berechtigungen lassen
sich mit dem jeweiligen Remove-Befehl wieder entfernen.
Administrative Berechtigungen anzeigen Get-PublicFolderAdministrativePermission –Identity <\Ordnername>
Administrative Berechtigung hinzufügen Add-PublicFolderAdministrativePermission –Identity <\Ordnername> -User
<Name>
-AccessRights <Wert> Legt die Berechtigungsstufe fest.
-InheritanceType <Wert> Legt fest, ob die Berechtigung nur für den Ordner oder
alle Unterordner mitgelten soll.
Benutzerberechtigung hinzufügen. Add-PublicFolderClientPermission –Identity <\Ordnername> -AccessRights
<Wert> -User <Name>
Seite 23 von 59
Mögliche Rechte für den Parameter AccessRights sind: ReadItems, CreateItems, Edi-
tOwnedItems, DeleteOwnedItems, EditAllItems, DeleteAllItems, CreateSubfolders,
FolderOwner, FolderContact und FolderVisible.
Zusätzlich können Sie folgende Rollen für den Parameter AccessRights konfigurieren:
Keine, Owner, PublishingEditor, Editor, PublishingAuthor, Author, NonEditingAu-
thor, Reviewer und Contributor.
Seite 24 von 59
E-Mail-aktivierung öffentlicher Ordner Elemente können auch per E-Mail an öffentliche Ordner gesendet werden. Hierzu muss
der Ordner für E-Mail aktiviert sein. Dabei erhält er eine eindeutige E-Mail-Adresse, unter
der er erreichbar ist. Diese wird aus dem Ordnernamen gebildet, sofern noch keine E-
Mail-Adresse mit diesem Namen vorhanden ist.
Enable-MailPublicFolder –Identity <\Ordnername>
Festlegen von Grenzwerten für öffentliche Ordner Set-PublicFolder –Identity <\Ordnername>
-UseDatabaseQuotaDefaults <$true|$false> Deaktiviert die Datenbankstandardein-
stellung für die Grenzwerte des öffentlichen
Ordners.
-UseDatabaseAgeDefaults <$true|$false> Deaktiviert die Datenbankstandardeinstel-
lung für das maximale Alter von Einträgen.
-UseDatabaseRetentionDefaults <$true|$false> Deaktiviert die Datenbankstan-
dardeinstellung für die maximale Aufbewah-
rung gelöschter Elemente.
-MaxItemSize <Wert> Legt die maximale Elementgröße fest.
-MaxRecieveSize <Wert> Legt die maximale Größe für Elemente fest,
die per E-Mail an den Ordner gesendet wer-
den. Wird durch MaxItemSize beeinflusst.
-RetainDeletedItemsFor <Wert> Legt die maximale Aufbewahrungszeit für
gelöschte Elemente fest.
-AgeLimit <Wert> Legt das maximale Alter für Einträge im öf-
fentlichen Ordner fest. Ältere Einträge wer-
den automatisch gelöscht.
Öffentlichen Ordner löschen Remove-PublicFolder –Identity <\Ordnername>
-Server <Name> Legt den Server fest, auf dem der öffentliche
Ordner gespeichert ist.
-Recurse <$true|$false> Legt fest, dass der Ordner und alle Unterord-
ner gelöscht werden sollen.
E-Mail-Aktivierung öffentlicher Ordner aufheben Disable-MailPublicFolder –Identity <\Ordnername>
Seite 25 von 59
Konfigurieren des Clientzugriffs Benutzer greifen auf eine Exchange-Organisation über die Client Access-Server auf ihre
Postfächer zu. Dabei können die Benutzer verschiedene Protokolle für den Zugriff verwen-
den. Am gängigsten wird der Zugriff mittels MAPI sein, der standardmäßig für Outlook
verwendet wird. Hinzu kommt der Zugriff mittels Outlook Web App, Exchange ActiveSync
für Mobile Devices wie Smartphones und Tablets sowie Outlook Anywhere (RPC-over-
http). Weitere Zugriffsmöglichkeiten sind IMAP4 und POP3, deren Dienste jedoch stan-
dardmäßig auf einem CAS deaktiviert sind.
Virtuelles Verzeichnis für Outlook Web App konfigurieren Sie können die Funktonalität von OWA serverseitig konfigurieren, indem Sie die Einstel-
lungen des virtuellen Verzeichnisses konfigurieren. Die Änderungen wirken sich auf alle
Benutzer aus, die über den Server auf OWA zugreifen. Änderungen an den Authentifizie-
rungseinstellungen müssen zugleich am Virtuellen Verzeichnis d. Systemsteuerung (ECP)
vorgenommen werden. Anschließend müssen Sie den Dienst W3SVC (Webserver) been-
den und neu starten.
Set-OwaVirtualDirectory –Identity <Server\Verzeichnis>
Eine Übersicht über die Parameter finden Sie unter http://technet.microsoft.com/de-
de/library/bb123515(v=exchg.141).aspx.
Outlook Web App-Postfachrichtlinie anlegen Folgender Befehl erstellt eine neue Richtlinie, nimmt aber noch keinerlei Einstellungen an
dieser vor.
New-OwaMailboxPolicy –Name <Name>
Outlook Web App-Postfachrichtlinie konfigurieren Nachdem Sie die Richtlinie erstellt haben, müssen Sie die Richtlinie konfigurieren. Eine
Übersicht über die möglichen Parameter finden Sie unter demselben Link wie bei Set-O-
waVirtualDirectory.
Set-OwaMailboxPolicy –Identity <Name>
Outlook Web App-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> –OwaMailboxPolicy <Name>
Virtuelles Verzeichnis für Exchange ActiveSync konfigurieren Im virtuellen Verzeichnis für Exchange ActiveSync können Sie Einstellungen für die Au-
thentifizierung sowie den Zugriff auf Remotedateiserver konfigurieren. Standardmäßig
werden die Anmeldeinformationen unverschlüsselt übertragen, sodass diese auf dem
Transportweg mittels SSL geschützt werden sollten.
Set-ActiveSyncVirtualDirectory –Identity <Server\Verzeichnis>
Neue ActiveSync-Postfachrichtlinie anlegen Im Gegensatz zur OWA-Postfachrichtlinie können Sie bei einer neuen ActiveSync-Post-
fachrichtlinie beim Erstellen bereits alle Parameter angeben. Die entsprechenden Para-
meter finden Sie unter http://technet.microsoft.com/en-
us/library/bb123750(v=exchg.141).aspx.
New-ActiveSyncMailboxPolicy –Name <Name>
Seite 26 von 59
Exchange ActiveSync-Postfachrichtlinie auf Postfach anwenden Set-CasMailbox –Identity <Name> -ActiveSyncMailboxPolicy <Name>
Seite 27 von 59
IMAP4 und POP3 konfigurieren Exchange Server 2010 bietet Benutzern auch den Zugriff per IMAP4 oder POP3 an. In den
Postfachfunktionen ist der Zugriff generell erlaubt, auf den Client Access-Servern sind je-
doch die Dienste standardmäßig nicht gestartet und auf Manuell gesetzt. Den Starttyp kön-
nen Sie mit folgendem Befehl ändern:
Set-Service msExchangePOP3 –startuptype automatic
Set-Service msExchangeIMAP4 –startuptype automatic
Anschließend müssen Sie die noch starten:
Start-Service msExchangePOP3
Start-Service msExchangeIMAP4
Einstellungen für die Dienste können Sie mit dem Cmdlets Set-PopSettings bzw. Set-
ImapSettings konfigurieren. Die Kalenderabrufoptionen werden bei beiden Befehlen mit
dem Parameter –CalendarItemRetrievalOption <0-3> konfiguriert.
Outlook Anywhere aktivieren In Microsoft Exchange Server 2010 ermöglicht es die Outlook Anywhere-Funktion Clients,
die Microsoft Office Outlook ab der Version 2003 verwenden, von außerhalb des Unter-
nehmensnetzwerks oder über das Internet mithilfe der Windows-Netzwerkkomponente
"RPC-über-HTTP" eine Verbindung zu ihren Exchange-Servern herzustellen. Dabei ist es
sinnvoll, die Funktion nur auf den Client Access-Servern zu aktivieren, die über das Inter-
net erreichbar sind (Port 443 – SSL).
Enable-OutlookAnywhere –Server <Name> -ExternalHostname <Wert> -Defaul-
tAuthenticationMethod <Wert> -SSLOffloading <$true|$false>
Virtuelles Verzeichnis zurücksetzen Sollten Sie ein virtuelles Verzeichnis einmal falsch konfiguriert haben bzw. die Default-
Einstellungen wieder haben wollen, so können Sie das Verzeichnis zurücksetzen. Dabei
wird nichts anderes gemacht, als dass das Verzeichnis gelöscht und neu angelegt wird.
Ein virtuelles Verzeichnis wird mit dem Befehl Remove-<Typ>VirtualDirectory –Iden-
tity <Server\Verzeichnis> -WebSiteName <Name> gelöscht und mit dem Befehl New-
<Typ>VirtualDirectory –InternalUrl <Wert> -WebSiteName <Name> neu angelegt.
Clienteinschränkungsrichtlinien Clienteinschränkungsrichtlinien verhindern, dass einzelne Benutzer die Leistung eines
ClientAccess-Servers zu stark beeinflussen, indem sie große Mengen an Ressourcen be-
anspruchen. Die Standardeinschränkungsrichtlinie können Sie mit Get-ThrottlingPolicy
abfragen. Die Einschränkungen gelten für die Exchange-Komponenten Exchange Active-
Sync, Exchange-Webdienste, IMAP4, POP3, OWA und Windows PowerShell.
Konfigurieren des RPC-Clientzugriffs Wenn Sie in Ihrer Organisation einen Wechsel von Outlook 2003 auf eine neuere Version
planen, kann es zu Problemen beim RPC-Zugriff kommen. Dies liegt daran, dass Outlook
2003 standardmäßig keine verschlüsselte RPC-Kommunikation verwendet. Das Problem
lösen Sie, indem Sie entweder per Gruppenrichtlinie die RPC-Verschlüsselung auf den Cli-
ents aktivieren oder die Verschlüsselung auf dem ClientAccess-Server mit dem Cmdlet
Set-RPCClientAccess –EncryptionRequired $false deaktivieren. Letzteres wird jedoch
nicht empfohlen, da es die Sicherheit der gesamten Exchange-Organisation verringert. Mit
dem Cmdlet können Sie auch festlegen, welche Versionen von Outlook Zugriff erhalten.
Seite 28 von 59
Verwalten von Transportservern
Remotedomäne anlegen Remotedomänen sind Domänen, die außerhalb unserer Exchange-Organisation liegen.
Üblicherweise sind dies Partnerunternehmen, mit denen eine engere Zusammenarbeit be-
steht.
New-RemoteDomain –Name <Name> -DomainName <Domain>
Sie können in der Remotedomäne festlegen, ob interne oder externe Abwesenheitsnach-
richten an Empfänger in der Domäne gesendet werden dürfen sowie verschiedene Ein-
stellungen zum Nachrichtenformat wie z. B. Zeichensätze.
Transportregelbedingungen anzeigen Mithilfe der Transportregelbedingungen legen Sie fest, auf welche Nachrichten eine
Transportregelaktion angewendet wird. Die Liste von Bedingungen können Sie sich mit
folgendem Befehl ansehen:
Get-TransportRulePredicate
Transportregelaktionen anzeigen Eine Transportregelaktion definiert, welche Aktion auf eine Nachricht angewendet wird,
die den vorher definierten Bedingungen entspricht. Eine Übersicht über die Aktionen kön-
nen Sie sich mit folgendem Befehl anzeigen lassen:
Get-TransportRuleAction
Transportregeln anzeigen Sie können sich in Exchange Management Shell eine Liste mit sämtlichen Transportre-
geln ausgeben lassen:
Get-TransportRule
Neue Transportregel anlegen Eine Transportregel setzt sich immer aus Transportregelbedingung(en) und Transportre-
gelaktion(en) zusammen. Optional können Sie auch eine Ausnahme konfigurieren, wann
die Regel trotz erfüllter Bedingung nicht angewendet werden soll.
New-TransportRule –Name <Name> <Transportregelbedingung(en)> <Transportre-
gelaktion(en)>
Transportregeln lassen sich mit Set-TransportRule jederzeit bearbeiten. Dabei werden
dieselben Parameter verwendet, wie beim Anlegen einer Regel.
Transportregel mit regulären Ausdrücken konfigurieren Reguläre Ausdrücke helfen Ihnen, Transportregeln auf Nachrichten anzuwenden, die ei-
nem bestimmten Textmuster entsprechen, z. B. Kreditkartennummern (4 x 4 Zahlen). Die
regulären Ausdrücke können dabei sein:
\S entspricht einem beliebigen einzelnen Zeichen, das kein Leerzeichen ist.
\s entspricht einem beliebigen einzelnen Leerzeichen.
\D entspricht einem beliebigen nicht-numerischen Zeichen.
\d entspricht einem beliebigen numerischen Zeichen.
Seite 29 von 59
Weitere Informationen und Anwendungsbeispiele für reguläre Ausdrücke finden Sie im
Microsoft TechNet unter http://technet.micro-
soft.com/de-de/library/aa997187(v=exchg.141).aspx.
Seite 30 von 59
Status des Transportagenten anzeigen Transportagenten sind in der Exchange-Organisation verantwortlich für die Verarbeitung
und den Transport von Nachrichten. Mit folgendem Befehl können Sie sich alle Transport-
agenten anzeigen lassen:
Get-TransportAgent
Benutzerdefinierte Systemnachricht (DSN) anlegen Benutzerdefinierte Systemnachrichten verwenden Sie, um Nachrichten zu blockieren, die
nicht Ihren Vorgaben entsprechen (z. B. vertrauliche Informationen beinhalten). Um eine
Transportregel mit einer benutzerdefinierten Systemnachricht anlegen zu können, müssen
Sie erst die Systemnachricht erstellen. Hierfür steht Ihnen der DSN-Bereich von 5.7.10 –
5.7.999 zur Verfügung.
New-Systemmessage –DsnCode <5.7.10 – 5.7.999> -Language <Wert> -Internal
<$true|$false> -Text <Systemnachricht>
Weitere Informationen und Anwendungsbeispiele finden Sie unter http://technet.micro-
soft.com/de-de/library/bb123506(v=exchg.141).aspx.
Ethische Absperrung konfigurieren Ethische Absperrungen erlauben es, den Kontakt von Mitarbeitern innerhalb des Unter-
nehmens zu unterbinden. Dies findet z. B. bei Banken Anwendung, wo gewisse Abteilun-
gen keinen Kontakt untereinander pflegen dürfen. Eine ethische Absperrung ist eine
Transportregel, die eine Unzustellbarkeitsnachricht generiert, sobald sich Mitglieder
zweier (oder mehr) Verteilergruppen Nachrichten senden.
Festlegen der Exchange-Kosten einer Standortverknüpfung Wenn eine Nachricht von einem Standort an einen anderen Standort übermittelt werden
soll, errechnet Exchange Server 2010 die günstigste Route anhand der Kosten, die in den
Standortverknüpfungen hinterlegt sind. Wenn keine spezifischen Kosten für Exchange Ser-
ver 2010 hinterlegt sind, werden hierfür die normalen Kosten verwendet. Spezifische Kos-
ten für Exchange Server 2010 konfigurieren Sie wie folgt:
Set-ADSiteLink –Identity <Name> -ExchangeCost <Wert>
Konfigurieren der maximalen Nachrichtengröße für Standortverknüpfungen Standardmäßig sind keine Größenbeschränkungen für Standortverknüpfungen konfigu-
riert, d. h. Exchange Server 2010 übermittelt jede Nachricht über diese Verknüpfung.
Wenn Sie die Größe der Nachrichten, welche über eine Standortverknüpfung versendet
werden sollen, beschränken möchten, konfigurieren Sie folgendes:
Set-ADSiteLink –Identity <Name> -MaxMessageSize <Größe>
Einen Standort als Hub-Standort konfigurieren Hub-Standorte sind Standorte im Active Directory, welche bedingen, dass Nachrichten an
diesen Standorten nochmals von den Transportagenten verarbeitet werden. Einen Stand-
ort im Active Directory konfigurieren Sie folgendermaßen als Hub-Standort:
Set-ADSite –Identity <Name> -HubSiteEnabled $true
Seite 31 von 59
Konfigurieren des Transportdumpsters Im Transportdumpster werden Kopien der Nachrichten gespeichert, die in einer Daten-
bankverfügbarkeitsgruppe auf andere Postfachdatenbanken repliziert werden. Sollte eine
Postfachdatenbank ausfallen, bevor die Nachrichten repliziert wurden, können die Hub-
Transport-Server die Nachrichten nochmals an die dann aktive Datenbankkopie senden.
Set-TransportConfig –MaxDumpsterSizePerDatabase <Wert> -MaxDumpsterTime
<Wert>
Verwenden von Sende- und Empfangsconnectoren Sendeconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten zu ver-
senden und bilden damit ein logisches Gateway, durch das ausgehende Nachrichten an
den nächsten Hop gesendet werden können. Jeder Transportserver verfügt über Sende-
connectoren, die nicht eingesehen werden können. Diese dienen dazu, Nachrichten inner-
halb der Exchange-Organisation zu versenden. Alle Sendeconnectoren, die von Ihnen er-
stellt werden, werden im Active Directory gespeichert und sind damit für alle Hub-
Transport-Server sichtbar. Verwenden dürfen die Sendeconnectoren jedoch nur die Ser-
ver, die in der Liste der Quellserver eingetragen sind. Alle anderen Server können den
Sendeconnector zwar sehen, leiten aber ihre Nachrichten an den nächsten Hub-Transport-
Server aus der Liste der Quellserver zum Versand weiter. Diese Verwendung kann einge-
schränkt werden, indem der Connector mit einem Bereich konfiguriert wird, d. h. er ist
nur für Hub-Transport-Server sichtbar, die am selben Standort wie der Quellserver des
Sendeconnectors stehen.
Empfangsconnectoren werden von Exchange Server 2010 verwendet, um Nachrichten aus
dem Internet, von Clients oder anderen Servern zu empfangen. Bei der Installation werden
für jeden Hub-Transport-Server Empfangsconnectoren für die interne Nachrichtenüber-
mittlung erstellt. Der Empfangsconnector Client <Servername> nimmt SMTP-Verbindun-
gen von Nicht-MAPI-Clients auf Port 587 entgegen. Dies sind üblicherweise POP3- und
IMAP4-Clients. Der Empfangsconnector Default <Servername> nimmt Verbindungen
von anderen Hub-Transport- und Edge-Transport-Servern entgegen. Für den Empfang
von Nachrichten aus dem Internet müssen Sie entweder einen Empfangsconnector auf
einem Hub-Transport-Server erstellen oder einen Edge-Transport-Server mittels Edge
Subscription in die Exchange-Organisation einbinden. Empfangsconnectoren werden im-
mer unterhalb des Server-Objekts gespeichert.
Neuen Sendeconnector erstellen Einen neuen Sendeconnector erstellen Sie mit dem Befehl:
New-SendConnector -<Verwendungstyp> –Name <Name> -AddressSpace
„SMTP:<Space>;<Cost>“
Als Verwendungstyp können Sie Intern (internal), Internet (internet), Partner (partner)
oder Benutzerdefiniert (custom) verwenden. Der Verwendungstyp legt die Standardbe-
rechtigungen, welche vertrauenswürdigen Sicherheitsprinzipalen gewährt werden sowie
den Standard-Smarthost-Authentifizierungsmechanismus fest. Die Standardberechtigun-
gen beziehen sich darauf, welche Arten von Informationen im Nachrichtenheader mitge-
sendet werden dürfen.
Der Adressraum legt fest, für welche Adressen der Sendeconnector zuständig ist. Die Syn-
tax dabei lautet <Adressraumtyp>:<Adressraum>;<Adressraumkosten>, z. B.
„SMTP:essigkrug.net;1“. Mit diesem Adressraum versendet der Sendeconnector nur
Nachrichten, die an die Domäne @essigkrug.net gesendet werden, Subdomänen sind
Seite 32 von 59
hierbei nicht eingeschlossen. Über die Kosten können Sie steuern, welcher Sendeconnec-
tor bevorzugt verwendet werden soll, wenn es mehrere Konnektoren für denselben
Adressraum gibt.
Der Sendeconnectorbereich legt fest, welche Hub-Transport-Server den Sendeconnector
sehen können. Wenn der Sendeconnector mit Bereich konfiguriert wird (-IsSco-
pedConnector $true), können ihn nur Hub-Transport-Server sehen, die am selben Stand-
ort sind, wie die Server, die in der Quellliste aufgeführt werden.
Mit dem Parameter –MaxSendSize <Wert> legen Sie die maximale Größe der Nachrich-
ten fest, die über den Sendeconnector gesendet werden kann.
Mit dem Parameter –ConnectionInactivityTimeOut <Wert> legen Sie fest, wie lange
eine Verbindung inaktiv sein kann, bevor sie getrennt wird.
Alle Parameter lassen sich auch nachträglich mittels Set-SendConnector –Identity
<Name> für einen Sendeconnector konfigurieren.
Neuen Empfangsconnector erstellen Einen neuen Empfangsconnector erstellen Sie mit folgendem Befehl:
New-RecieveConnector –Name <Name> -Usage <Verwendungstyp>
Da ich immer einen Edge-Transport-Server verwende, um Nachrichten aus dem Internet
zu empfangen, erledigt sich die Erstellung und Konfiguration eines Empfangsconnectors,
da dieser beim Durchführen der Edge Subscription automatisch angelegt wird.
Weitere Informationen zu den Authentifizierungsmechanismen sowie den Verwendungs-
typen finden Sie hier: http://technet.microsoft.com/de-
de/library/bb125139(v=exchg.141).aspx.
Verwenden von Edge-Transport-Servern in der Exchange-Organisation Edge-Transport-Server übernehmen in der Exchange-Organisation den Empfang und Ver-
sand von Nachrichten aus und in das Internet. Zusätzlich findet auf den Edge-Servern die
Spam-Verarbeitung sowie optional die Virenüberprüfung statt. Edge-Server sind dabei
nicht Mitglied der Windows-Domäne. Damit soll verhindert werden, dass bei einem er-
folgreichen Angriff auf den Server der Angreifer Zugriff auf die Informationen des Active
Directory erhält.
Konfigurieren der Voraussetzungen Konfigurieren Sie das primäre DNS-Suffix des Servers auf denselben Namen wie die
Windows-Domäne.
Konfigurieren Sie die DNS-Einstellungen der Netzwerkkarte so, dass der Edge-Ser-
ver die Exchange Server in der Windows-Domäne auflösen kann.
Installieren Sie das .NET-Framework und die Lightweight Directory Services (AD
LDS) auf dem Edge-Server:
Import-Module ServerManager
Add-WindowsFeature NET-FrameWork,RSAT-ADDS,ADLDS –Restart
Stellen Sie sicher, dass die Hub-Transport-Server der Exchange-Organisation den
Edge-Server im DNS auflösen können. Achten Sie darauf, dass auch die entsprechen-
den PTR-Datensätze erstellt werden.
Seite 33 von 59
Nach der Installation der Voraussetzungen können Sie den Edge-Server installieren.
Seite 34 von 59
Konfigurieren der Edge-Transport-Server-Synchronisation Nachdem Sie den Edge-Server installiert haben, müssen Sie den Server noch mit einem
Standort der Exchange-Organisation verknüpfen. Dies geschieht in zwei Schritten:
1. Erstellen der Edge-Subscription auf dem Edge-Server
New-EdgeSubscription –FileName <Name.xml>
Kopieren Sie die XML-Datei an einen Ort, worauf die Hub-Transport-Server des jewei-
ligen Standorts, an dem der Edge-Server steht, zugreifen können.
2. Der einfachste Weg, das Edge-Abonnement in der Exchange-Organisation zu impor-
tieren ist über die Verwaltungskonsole. Gehen Sie auf Organisationskonfiguration –
Hub-Transport – Edge-Abonnements und führen dort Neues Edge-Abonnement aus.
Geben Sie den Standort des Edge-Servers an und wählen die Abonnement-Datei aus.
Alternativ können Sie das Abonnement auch über die Management Shell importieren:
New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path <Datei> -Encoding
Byte -ReadCount 0)) -Site <Standort>
Manuelles Ausführen der Edge-Synchronisierung Sie können die Edge-Synchronisierung auch manuell ausführen, um Daten sofort zu syn-
chronisieren:
Start-EdgeSynchronization
Einen weiteren Hub-Transport-Server zum Standort hinzufügen Wenn Sie einen weiteren Hub-Transport-Server zum Standort hinzufügen, müssen Sie auf
dem Edge-Server erneut eine Edge-Subscription ausführen und die alte Subscription in
der Exchange-Organisation ersetzen.
Einen weiteren Edge-Transport-Server zum Standort hinzufügen Wenn Sie einen neuen Edge-Transport-Server zum Standort hinzufügen, müssen Sie le-
diglich auf dem neuen Edge-Server eine Edge-Subscription ausführen und diese an-
schließend in der Exchange-organisation importieren.
Klonen der Edge-Konfiguration Zum Exportieren der Konfiguration verwenden Sie auf dem Edge-Server folgenden
Befehl:
.\ExportEdgeConfig.ps1 –CloneConfigData -<Filename.xml>
Bevor Sie die Konfiguration auf einem anderen Edge-Server importieren, müssen Sie
die Konfiguration anpassen, damit diese den Einstellungen des anderen Edge-Ser-
vers entspricht:
Daten- und Protokolldatiepfade
Quell-IP-Adressen für Sendeconnectoren
Bindungen für die Empfangsconnectoren
Anschließend importieren Sie die Konfiguration auf dem anderen Edge-Server:
.\ImportEdgeConfig.ps1 –CloneConfigData -<Filename.xml>
Seite 35 von 59
Umschreiben von Adressen Mit der Adressumschreibung bietet Ihnen der Edge-Server die Möglichkeit, E-Mail-Ad-
ressen von Absendern zu überschreiben. Dies findet z. B. Anwendung, wenn eine Richtli-
nie vorgibt, dass gewisse Absender nicht extern verwendet werden dürfen. Sie können
mit der Adressumschreibung die Änderung einer einzelnen E-Mail-Adresse oder allen Ab-
sendern einer Domäne konfigurieren:
New-AddressRewriteEntry –Name <Name> -InternalAddress <Wert> -Exter-
nalAddress <Wert>
Generell wird die Adressumschreibung auf eingehende und ausgehende Nachrichten an-
gewendet. Wenn Sie die Regel nur auf ausgehende Nachrichten anwenden möchten, ver-
wenden Sie den Parameter –OutboundOnly $true.
Konfigurieren der Anti-Spam-Maßnahmen auf einem Edge-Server Eine der Hauptaufgaben des Edge-Servers besteht darin, Spam-Nachrichten von der
Exchange-Organisation fern zu halten. Für diesen Zweck sind auf dem Edge-Server die
Anti-Spam-Features installiert. Diese können Sie zwar auch auf den Hub-Transport-Servern
Ihrer Exchange-Organisation installieren, jedoch ist es sinnvoller, Spam so früh wie mög-
lich aus dem Nachrichtenfluss zu filtern. Wenn Sie diese dennoch verwenden möchten,
führen Sie.\Install-AntispamAgents.ps1 im Ordner Scripts auf dem Hub-Transport-Ser-
ver aus, auf dem die Agents installiert werden sollen.
Auf dem Edge-Server können Sie die Antispam-Agents bequem über die Verwaltungskon-
sole konfigurieren. Diese Möglichkeit besteht auf den Hub-Transport-Servern leider nicht.
Dort können Sie die Agents nur über die Management Shell konfigurieren.
Verbindungsfilter Der Verbindungsfilter-Agent wird auf alle Nachrichten angewendet, die von anonymen In-
ternet-Quellen stammen. Er bietet die Funktionen IP-Sperrliste, IP-Sperrlistenanbieter,
IP-Zulassungsliste und Anbieter für zugelassene IP-Adressen. Jede dieser Funktionen
kann separat aktiviert oder deaktiviert und konfiguriert werden:
IP-Zulassungsliste In der IP-Zulassungsliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie
vertrauen und deren Nachrichten nicht auf Spam gefiltert werden sollen.
Set-IPAllowListConfig –Enabled <$true|$false>
Add-IPAllowListEntry –IPAddress <IP> -ExpirationTime <Wert>
Um einen Eintrag aus der IP-Zulassungsliste zu entfernen, müssen Sie die Kennung des
Eintrags angeben. Am leichtesten entfernen Sie einen Eintrag so:
Get-IPAllowListEntry –IPAddress <IP> | Remove-IPAllowListEntry
Anbieter für zugelassene IP-Adressen Ein Anbieter für zugelassene IP-Adressen (sog. Whitelists) stellt IP-Adressen von vertrau-
enswürdigen Mailsysteme zur Verfügung, sodass Sie diese nicht selbst konfigurieren müs-
sen.
Set-IPAllowListProvider –Identity <Name> –Enabled <$true|$false>
Um einen Anbieter hinzuzufügen, verwenden Sie folgenden Befehl:
Seite 36 von 59
Add-IPAllowListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch
$true
Seite 37 von 59
IP-Sperrliste In der IP-Sperrliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie nicht
vertrauen und von denen Ihre Exchange-Organisation keine Nachrichten entgegen neh-
men soll.
Set-IPBlockListConfig –Enabled <$true|$false>
Einen Eintrag zur IP-Sperrliste fügen Sie mit folgendem Befehl hinzu:
Add-IPBlockListEntry –IPAddress <IP>
Sie können auch ganze Bereiche zur IP-Sperrliste hinzufügen, wobei Sie die Möglichkeit
haben, ein Subnetz, z. B. 192.168.178.0/24 oder einen IP-Bereich wie 192.168.178.100 –
192.168.178.159 hinzuzufügen.
Add-IPBlockListEntry –IPRange <Bereich>
Einen Eintrag aus der Sperrliste entfernen Sie am einfachsten so:
Get-IPBlockListEntry –IPAddress <IP> | Remove-IPBlockListEntry
IP-Sperrlistenanbieter IP-Sperrlistenanbieter sind das gleiche wie IP-Zulassungslistenanbieter. Der Exchange-
Server überprüft, ob die IP-Adresse des Absenders auf der Blacklist des Anbieters aufge-
führt wird und trennt die Verbindung, wenn der Sperrlistenanbieter einen entsprechenden
Returncode zurücksendet.
Sie de-/aktivieren einen einzelnen Provider mit folgendem Befehl:
Set-IPBlockListProvider –Identity <Name> –Enabled <$true|$false>
Einen IP-Sperrlistenanbieter können Sie mit folgendem Befehl hinzufügen:
Add-IPBlockListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch
$true
Sie haben die Möglichkeit, Empfänger in Ihrer Exchange-Organisation als Ausnahme zu
konfigurieren, die auch dann Nachrichten empfangen können, wenn der absendende Ser-
ver auf der Blocklist aufgeführt wird.
Set-IPBlockListProvidersConfig –BypassedRecipients <E-Mail-Adresse>
Inhaltsfilterung Die Inhaltsfilterung verwendet Algorithmen,
Sie können mit folgendem Befehl die Konfiguration anzeigen lassen:
Get-ContentFilterConfig
Mit den Parametern –BypassedSenders <Wert>, –BypassedRecipients <Wert> und –
BypassedSenderDomains <Wert> können Sie Ausnahmen konfigurieren. Der Parameter
–QuarantineMailbox <Wert> können Sie ein Postfach angeben, an das alle abgelehnten
Nachrichten weitergeleitet werden.
Mit folgendem Befehl können Sie eine Phrase zum Inhaltsfilter hinzufügen:
Add-ContentFilterPhrase –Phrase <Wert> -Influence <GoodWord|BadWord>
Seite 38 von 59
Empfängerfilterung Die Empfängerfilterung ermöglicht es uns, Nachrichten an gewisse Benutzer unserer
Exchange-Organisation zu blockieren. Zusätzlich ermöglicht die Empfängerfilterung es,
Nachrichten zu blockieren, die an Benutzer gesendet wurden, die kein Konto in unserer
Exchange-Organisation haben (Recipient Validation).
Set-RecipientFilterConfig –BlockedRecipients <Wert> -RecipientValidationEnabled
<$true|$false> -BlockListEnabled <$true|$false> -ExternalMailEnabled
<$true|$false> -InternalMailEnabled <$true|$false>
Blockierte Empfänger entfernen / hinzufügen Wenn Sie einen blockierten Empfänger zur Liste hinzufügen oder von der Liste entfernen
möchten, müssen Sie immer die gesamte Liste an blockierten Empfängern eingeben, die
am Ende gelten soll. Da dies bei großen Listen sehr aufwendig sein kann, erledigen Sie
diese Aufgabe am einfachsten in der Verwaltungskonsole.
Auf der Management Shell erledigen Sie die Aufgabe, indem Sie die Liste der blockierten
Empfänger in einer Variable (hier $Liste) speichern:
$Liste = Get-RecipientFilterConfig
Anschließend fügen Sie Empfänger hinzu oder entfernen welche aus der Liste:
$Liste.BlockedRecipients += „<Empfänger>“
$Liste.BlockedRecipients -= „<Empfänger>“
Abschließend übergeben Sie den Wert der Variable $Liste an das Cmdlet:
Set-RecipientFilterConfig –BlockedRecipient $Liste.BlockedRecipients
Absenderfilterung Die Absenderfilterung verwendet die SMTP-Kopfzeile MAIL FROM:, um die passende Ak-
tion für eine eingehende Nachricht zu bestimmen. Damit lassen sich Nachrichten auf der
Basis der Absenderadresse filtern. Dies kann für einzelne Benutzer oder für ganze Domä-
nen erfolgen. Der folgende Befehl legt fest, ob die Absenderfilterung aktiv ist:
Set-SenderFilterConfig <$true|$false>
Sie können die Absenderfilterung mit folgenden Parametern konfigurieren:
Set-SenderFilterConfig
-BlockedSenders <Wert> Blockiert einzelne Absenderadressen
-BlockedDomains <Wert> Blockiert einzelne Domains
-BlockedDomainsandSubdomains <Wert> Blockiert Domains und Subdomains
-BlankSenderBlockingEnabled <$true|$false> Legt fest, dass Nachrichten ohne
Absender blockiert werden.
-Action <StampStatus|Reject> Legt fest, ob die Nachricht zurückgewiesen o-
der mit einem Hinweis versehen werden soll,
dass die Nachricht von einem geblockten Ab-
sender stammt.
Das Löschen und Hinzufügen von Benutzern erfolgt wie bei der Empfängerfilterung.
Seite 39 von 59
Überprüfen von Sender-ID Die Sender-ID ist ein Verfahren, bei dem der Exchange-Server die SMTP-Kopfzeile RECIE-
VED verwendet und das DNS abfragt, um die passende Aktion für eine eingehende Nach-
richt zu ermitteln.
Damit die Überprüfung von Sender-ID möglich ist, erstellen die Administratoren soge-
nannte SPF-Datensätze (Sender Policy Framework) in der DNS-Zone ihrer SMTP-Do-
mäne. Dieser Eintrag enthält die zuständigen Mail-Server, die für diese SMTP-Domäne
Nachrichten versenden dürfen. Auf diese Weise soll einer Absenderfälschung entgegen-
gewirkt werden, die man auch Spoofing nennt.
Beim Eingang einer Nachricht fragt der Exchange-Server den DNS-Server des Absenders
ab, um zu überprüfen, ob die IP-Adresse, von der die Nachricht empfangen wurde, dazu
berechtigt ist, Nachrichten für die in der Kopfzeile genannte Domäne zu versenden. Die
IP-Adresse des autorisierten Servers wird PRA Purpoted Responsible Address genannt.
Anhand des SPF-Datensatzes aktualisiert der Exchange-Server die Nachrichtenmetadaten
mit einem Sender-ID-Status. Dieser Status kann Pass, Neutral, Soft fail, Fail, None, Tem-
pError oder PermError sein. Weitere Informationen finden Sie im Microsoft Technet unter
http://technet.microsoft.com/de-DE/library/aa996295(v=exchg.141).aspx.
Sie können festlegen, wie ein Exchange-Server verfahren soll, wenn eine Nachricht ge-
fälscht wurde oder bei deren Überprüfung kein DNS-Server erreichbar war. Als Optionen
stehen zur Auswahl: Löschen, Nachricht ablehnen oder Stempeln des Status.
Mit folgendem Cmdlet können Sie Sender-ID bearbeiten:
Set-SenderIDConfig –SpoofedDomainAction <Aktion> -TempErrorAction <Aktion> -
BypassedRecipients <Wert> -BypassedSenderDomains <Wert>.
Die Liste der -BypassedRecipients und -BypassedSenderDomains können Sie wie bei
der Empfänger- und Absenderverwaltung nur als gesamte Liste bearbeiten.
Absenderzuverlässigkeit Das Konzept der Absenderzuverlässigkeit wird verwendet, um Nachrichten auf der Basis
von verschiedenen Absendereigenschaften zu blockieren. Anhand dieser Eigenschaften
wird ermittelt, was mit einer eingehenden Nachricht geschehen soll. Zur Ermittlung des
Absenderzuverlässigkeitsgrad (Sender Reputation Level SRL) werden folgende Ele-
mente verwendet:
Analyse von SCL-Bewertungen für Nachrichten eines bestimmten Absenders
Reverse-DNS-Lookup
HELO / EHLO-Analyse
Open Proxy-Test für Absender
Aus den Ergebnissen wird der Sender Reputation Level SRL für den Absender ermittelt.
Dabei handelt es sich um eine Zahl zwischen 0 und 9. Der Schwellenwert, den Sie konfigu-
rieren, bestimmt, ob ein Absender für eine gewisse Zeit (1 – 48 Stunden) in die IP-Sperr-
liste aufgenommen wird.
Mit folgendem Befehl können Sie die Absenderzuverlässigkeit konfigurieren:
Seite 40 von 59
Set-SenderReputationConfig –OpenProxyDetectionEnabled <$true|$false> -Sender-
BlockingEnabled <$true|$false> -SrlBlockThreshold <Wert> -SenderBlockingPe-
riod <Wert>
Seite 41 von 59
Anlagenfilterung Mit der Anlagenfilterung überprüft der Exchange-Server die Anlagen von Nachrichten.
Dabei kann er die Filterung anhand von Dateinamen und Dateinamenerweiterungen (File-
Name) oder anhand von MIME-Inhaltstypen (ContentType) durchführen. In der Konfigu-
ration haben Sie die Möglichkeit festzulegen, wie mit Nachrichten verfahren werden soll,
die durch die Anlagenfilterung erfasst wurden. Dabei haben Sie die Auswahl zwischen den
Aktionen Reject, Strip und SilentDelete. Standardmäßig ist das System auf Strip einge-
stellt. Dabei werden die Anlagen entfernt und die Nachricht ohne diese an den Empfänger
weitergeleitet. Der Empfänger sieht, welche Anlagen warum entfernt wurden.
Die Konfiguration der Anlagenfilterung können Sie sich mit Get-AttachmentFilterList-
Config anzeigen lassen und mit Set-AttachmentFilterListConfig –Action <Wert> die
Einstellung bearbeiten.
Die Filtereinträge erstellen Sie mit folgendem Befehl:
Add-AttachmentFilterEntry –Name <Inhaltstyp> -Type <FileName|ContentType>
Den Inhaltstyp geben Sie entweder mit dem Dateinamen (z. B. *.pdf) und -Type File-
Name oder als MIME-Wert (z. B. image/jpeg) und –Type ContentType an. Eine Liste
mit MIME-Inhaltstypen finden Sie unter blog.essigkrug.net oder in diesem Dokument:
http://ip-klaeden.dyndns.org/netz/iuk98/kap5/mimetype.txt.
Sicherstellen der Nachrichtenintegrität Eine der großen Gefahren beim Versand von Nachrichten über das Internet ist, dass die
Integrität der Nachrichten nicht gewährleistet werden kann, da die Nachrichten standard-
mäßig im Klartext übertragen und abgespeichert werden. Die Nachricht kann auf dem
Weg zum Empfänger also abgefangen, gelesen und manipuliert werden. Um diesen Ge-
fahren zu begegnen, wurden einige Verfahren entworfen, die es ermöglichen sollen, den
Absender einer Nachricht zu identifizieren und die Integrität der Nachricht zu gewährleis-
ten.
S/MIME verwenden Secure Multipurpose Internet Mail Extensions (S/MIME) basiert auf Benutzerzertifikaten,
mit denen der Absender einer Nachricht sich anhand einer digitalen Signatur ausweisen
kann. Zusätzlich bietet S/MIME die Möglichkeit, Nachrichten zu verschlüsseln.
Um S/MIME in der Kommunikation mit externen Empfängern verwenden zu können, benö-
tigt der Absender ein Zertifikat von einer Zertifizierungsstelle, welcher der Empfänger
vertraut. Beim Absenden der Nachricht wird ein Datenblock generiert, der die Informati-
onen enthält, um die Signatur überprüfen zu können. Im zweiten Datenblock werden die
Nachricht und der MIME-Header gespeichert, über die die Signatur erstellt wird. Damit
bleibt die Nachricht auch für Clients lesbar, die S/MIME nicht unterstützen.
Benutzer können S/MIME über ihren Mail-Client (Outlook, mobile Geräte, etc.) oder per
Outlook Web App verwenden. Sie benötigen jedoch immer ihr Zertifikat im entsprechen-
den Zertifikatspeicher des Computers, an dem sie es verwenden möchten. Ob Benutzer
S/MIME mit OWA verwenden dürfen, können Sie in den Segmentierungseinstellungen
konfigurieren. Wenn S/MIME für OWA aktiviert wird, können Benutzer das S/MIME-Plugin
herunterladen und installieren. Mit diesem können Sie dann auswählen, ob eine Nachricht
signiert oder verschlüsselt werden soll.
Seite 42 von 59
Wenn Benutzer S/MIME zur Verschlüsselung von Nachrichten verwenden möchten, benö-
tigen Sie immer das S/MIME-Zertifikat des Empfängers. Die Nachricht wird mit dem öffent-
lichen Schlüssel des Empfängers verschlüsselt und nur der Eigentümer des Zertifikats
kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Wenn eine Nachricht an
mehrere Empfänger verschlüsselt gesendet werden soll, benötigt der Absender von je-
dem Empfänger ein Zertifikat. Sollte von einem Empfänger der Nachricht kein Zertifikat
vorliegen, kann die Nachricht nicht verschlüsselt gesendet werden.
Konfigurieren der Domänensicherheit Da die Verwendung von S/MIME einen hohen administrativen Aufwand mit sich bringt,
bietet Exchange Server 2010 Ihnen eine weitere Möglichkeit, um Nachrichten geschützt zu
übertragen und den Absender zu verifizieren. Zur Absicherung von E-Mail-Nachrichten
zwischen Unternehmen können Sie die sog. Domänensicherheit verwenden. Dabei wird
gewährleistet, dass der absendende und der empfangende Mailserver sich gegenseitig
anhand von Zertifikaten ausweisen (Mutual TLS). Damit ist die Identität aller beteiligten
Mail-Systeme gewährleistet und das die Nachricht das Internet durch einen sicheren Kanal
durchquert. Um Domänensicherheit verwenden zu können, benötigen Sie für Ihre
Exchange-Organisation ein Zertifikat von einer externen, vertrauenswürdigen Zertifizie-
rungsstelle, das Sie dann im Zertifikatsspeicher des Servers ablegen, der die externe Kom-
munikation mit dem Partner übernimmt (üblicherweise ein Edge-Server). Ein Zertifikat
können Sie beispielsweise mit folgendem Befehl anfordern:
$Data1 = New-ExchangeCertificate –GenerateRequest –FriendlyName <Name> -
SubjectName „DC=<TLD>,DC=<Domain>,CN=<FQDN Server>“ –DomainName
<Name der externen Domäne>
Set-Content –Path <Dateiname.req> -Value $Data1
Nachdem Sie die Zertifikatsanforderung bei einer externen, vertrauenswürdigen Zertifi-
zierungsstelle eingereicht haben, erhalten Sie das Zertifikat. Dieses müssen Sie anschlie-
ßend auf dem Server importieren und für den SMTP-Verkehr aktivieren:
Import-ExchangeCertificate –FileData ([Byte[]]$(Get-Content –Path <Datei-
name.pfx> -Encoding Byte –ReadCount 0)) | Enable-ExchangeCertificate –Services
SMTP
Anschließend müssen Sie die Listen der domänengesicherten Domänen konfigurieren.
Domänensicherheit wird nur für Domänen verwendet, die in den Listen enthalten sind.
Set-TransportConfig –TLSRecieveDomainSecureList <Wert>
Set-TransportConfig –TLSSendDomainSecureList <Wert>
Abschließend müssen Sie den Sendeconnector, der die Nachrichten an dem Empfänger
versendet, für Domänensicherheit konfigurieren:
Set-SendConnector –Identity <Name> -DomainSecureEnabled <$true|$false> -DNS-
RoutingEnabled <$true|$false>
Auf Seiten des Empfangsconnectors müssen Sie keine weiteren Einstellungen vornehmen,
da diese standardmäßig für Domänensicherheit konfiguriert sind.
Seite 43 von 59
Information Rights Management (IRM) Der Schutz vertraulicher Informationen stellt die Administratoren vor große Herausforde-
rungen. Gerade E-Mails stellen eine große Gefahr dar, da sich darüber einfach und wei-
testgehend unkontrolliert Informationen verbreiten lassen. Um den Nachrichtenverkehr
besser schützen zu können, hat Microsoft die Rights Management Services (AD RMS) zur
Verwendung in Exchange Server 2010 als Information Rights Management vorgesehen.
IRM bietet den Benutzern von Outlook und OWA die Möglichkeit, Nachrichten mittels Vor-
lagen und Administratoren, Nachrichten aufgrund von Bedingungen mittels Transport-
schutzregeln zu schützen.
Vorbereiten der Exchange-Organisation zur Verwendung von IRM Um IRM in Exchange Server 2010 nutzen zu können, müssen einige administrative Vorbe-
reitungen getroffen werden.
1. Vorlizenzierung aktivieren
Damit der Exchange Server nicht immer den RMS-Server für Lizenzen ansprechen
muss, aktiviert man die Vorlizenzierung. Damit ist der Exchange Server in der Lage,
Lizenzen auszustellen, um auf Nachrichten zugreifen zu können, die per IRM geschützt
sind. Dies müssen Sie für interne sowie externe Nachrichten durchführen:
Set-IRMConfiguration –InternalLicensingEnabled $true –ExternalLicensin-
gEnabled $true
2. Verarbeitung IRM-geschützter Nachrichten durch Transport-Server ermöglichen
Um die Verarbeitung IRM-geschützter Nachrichten durch die Transport-Server zu er-
möglichen, müssen Sie das Systempostfach FederatedEmail… zur Gruppe
ADRMSSuperUser hinzufügen. Damit sind die Transport-Server in der Lage, IRM-ge-
schützte Nachrichten zu entschlüsseln.
3. IRM für OWA organisationsweit aktivieren
Um IRM in Outlook Web App verwenden zu können, muss dieses erst aktiviert werden.
Dies können Sie für einzelne OWA-Verzeichnisse (Set-OWAVirtualDirectory) oder or-
ganisationsweit erledigen. Für die organisationsweite Aktivierung führen Sie folgen-
den Befehl aus:
Set-IRMConfiguration –ClientAccessServerEnabled $true
4. Benutzern die IRM-Vorlagen für OWA und Outlook zuweisen
Damit Benutzer IRM selbst verwenden können, müssen Sie den Benutzern die entspre-
chenden Vorlagen zuweisen. Dies erfolgt über Gruppen, denen die Benutzer angehö-
ren:
New-OutlookProtectionRule –Name <Name> -SentTo <Gruppe> -Apply-
RightsProtectionTemplate <RMS-Vorlage>
5. Transportschutzregeln erstellen
Transportschutzregeln sind nichts anderes als Transportregeln, die RMS-Vorlagen auf-
grund vorher definierter Bedingungen auf Nachrichten anwenden. Vorteil an dieser
Lösung ist, dass der Benutzer selbst keine Vorlagen anwenden muss, der Nachteil ist,
dass die Nachrichten ohne Schutz im Postfach des Benutzers gespeichert werden.
Seite 44 von 59
Eine neue Transportschutzregel erstellen Sie, indem Sie eine normale Transportregel
erstellen und als Transportregelaktion –ApplyRightsProtectionTemplate <RMS-Vor-
lage> angeben.
Seite 45 von 59
Messaging Records Management (MRM) E-Mail-Nachrichten enthalten mitunter wichtige Informationen, welche nicht nur aus ge-
schäftlicher, sondern evtl. auch aus rechtlicher oder behördlicher Sicht wichtig sind. Man-
che Nachrichten müssen aufgrund der Aufbewahrungspflichten eines Kaufmannes für eine
gewisse Zeit aufbewahrt werden, andere vielleicht aus internen Bestimmungen. Um allen
Vorgaben nachkommen zu können, gibt es in Exchange Server 2010 verschiedene Funkti-
onen, die Sie einsetzen können, um Vorschriften und Richtlinien einzuhalten.
Neue Aufbewahrungstags erstellen Aufbewahrungstags werden verwendet, um den Benutzern die Organisation ihrer Postfä-
cher zu erleichtern, indem Nachrichten aufgrund der Tags nach Ablauf einer Frist ins Ar-
chiv verschoben oder aus dem Postfach entfernt werden. Die Tags werden den Benutzern
über Aufbewahrungsrichtlinien zugewiesen. Dabei werden drei Arten von Tags unter-
schieden:
Standardrichtlinientags (Default Policy Tags, DPT) werden auf alle Elemente ange-
wendet, auf die kein anderes Tag angewendet wurde. Pro Aufbewahrungsrichtlinie ist
immer nur ein DPT zulässig.
Aufbewahrungsrichtlinientags (Retention Policy Tags, RPT) werden auf Standard-
ordner angewendet. Das Tag wird vom Standardordner auf alle im Ordner enthaltenen
Elemente vererbt. Pro Aufbewahrungsrichtlinie ist immer nur ein Tag pro Standardord-
ner zulässig.
Persönliche Tags ermöglichen es Benutzern, Elemente mit diesen zu versehen und
dabei abweichende Aufbewahrungsfristen und Aktionen anzuwenden. Persönliche
Tags haben die höchste Priorität und können unbegrenzt zugewiesen werden.
Standardmäßig sind verschiedene Aufbewahrungstags konfiguriert. Zwar ist es möglich,
Aufbewahrungstags mit der Verwaltungskonsole zu erstellen, jedoch empfiehlt sich der
Einsatz der Management-Shell, da Sie dort deutlich mehr Funktionen nutzen können:
New-RetentionPolicyTag –Name <Name> -Type <Typ> -Comment <Wert> -AgeLimi-
tForRetention <Wert> -RetentionAction <Aktion> -RetentionEnabled <$true|$false>
Die Aktion, welche nach Erreichen der Aufbewahrungsfrist ausgeführt werden soll, ist üb-
licherweise PermanentlyDelete, MoveToArchive oder DeleteAndAllowRecovery. Für
eine Übersicht über alle Aktionen rufen Sie bitte die Hilfe des Befehls auf.
Neue Aufbewahrungsrichtlinie anlegen Nachdem Sie Ihre Aufbewahrungstags erstellt und konfiguriert haben, können Sie diese
den Benutzern zuweisen. Hierfür verwenden Sie sog. Aufbewahrungsrichtlinien, in denen
die Tags zusammengefasst werden, die dem Benutzer zur Verfügung stehen sollen.
New-RetentionPolicy –Name <Name> –RetentionPolicyTagLinks <Tag-Name>
Nachdem Sie die Richtlinie erstellt haben, können Sie die Richtlinie mit folgendem Befehl
auf das Postfach des Benutzers anwenden:
Set-Mailbox –Identity <Name> -RetentionPolicy <Name>
Die Benutzer können die Persönlichen Tags mit einem Rechtsklick auf ein Element anwen-
den, wenn Sie von der Ordnerrichtlinie abweichen möchten. Eventuell dauert es über
Nacht, bis den Benutzern die Aufbewahrungsrichtlinie zugewiesen wurde.
Seite 46 von 59
Konfigurieren des Assistenten für verwaltete Ordner Mit den Aufbewahrungsrichtlinien automatisieren Sie die Organisation des Postfachs. Der
Assistent für verwaltete Ordner ist das Dienstprogramm, welches die Aufbewahrungstags
anwendet. Einen von den Standardwartungszeiträumen abweichenden Zeitplan, wann der
Assistent laufen soll, können Sie mit folgendem Befehl festlegen:
Set-MailboxServer –Identity <Name> -ManagedFolderAssistantSchedule <Wert>
Manuell können Sie den Assistenten mit folgenden Befehlen starten:
Start-ManagedFolderAssistant –Identity <Postfachname>
Aufbewahrung für eventuelle Rechtsstreitigkeiten aktivieren Wenn Sie verhindern möchten, dass ein Benutzer dauerhaft Elemente aus seinem Postfach
löschen kann, können Sie die Aufbewahrung für eventuelle Rechtsstreitigkeiten (Legal o-
der Litigation Hold) aktivieren:
Set-Mailbox –Identity <Name> -LitigationHoldEnabled <$true|$false>
Wenn die Option aktiv ist, wird verhindert, dass der Ordner Purges im Rahmen der War-
tung geleert wird. Der Benutzer hat keinen Zugriff auf den Ordner Purges, lediglich Admi-
nistratoren können im Rahmen einer Suche auf den Ordner zugreifen.
Neue Journalregel erstellen Journalregeln ermöglichen es, Nachrichten auf Ebene der Hub-Transport-Server zu erfas-
sen und an sog. Journalempfänger transparent für den Absender und Empfänger weiter-
zuleiten. Journalempfänger sind entweder reservierte Postfächer oder vertrauenswürdige
Empfänger innerhalb Ihrer Organisation. Die Beachtung von Datenschutzregeln sowie an-
deren gesetzlichen und behördlichen Vorgaben ist dabei sehr wichtig. Eine neue Journal-
regel erstellen Sie mit folgendem Befehl:
New-JournalRule –Name <Name> -JournalEmailAddress <Adresse> -Scope <Glo-
bal|Intern|Extern> -Enabled <$true|$false>
Zugriff auf das Postfach, an welches die Nachrichten gesendet wurden, sollte nur vertrau-
enswürdigen Personen eingeräumt werden. Meine Empfehlung sind Gruppenpostfächer,
auf die die entsprechenden Personen Vollzugriff erhalten.
Reserve-Journalpostfach konfigurieren Sollte das Postfach, welches die Journale empfängt, ausfallen, werden automatisch NDRs
generiert. Diese NDRs können Sie in ein Reserve-Journalpostfach umleiten. Damit haben
Sie die Möglichkeit, die Nachrichten, nachdem das Journalpostfach wieder verfügbar ist,
erneut zustellen zu lassen.
Set-TransportConfig –JournalingReportNdrTo <Adresse>
Verwenden von E-Mail-Infos E-Mail-Infos werden dem Benutzer angezeigt, wenn er eine neue Nachricht erstellt und die
Empfänger einträgt. Dies soll dazu dienen, unnötig versendete Nachrichten zu vermeiden.
Der Benutzer wird darauf hingewiesen, wenn er eine Nachricht an sehr viele Empfänger
(>25) versendet oder einer der Empfänger extern ist. Zusätzlich haben Sie die Möglichkeit,
E-Mail-Infos für Verteilergruppen oder einzelne Benutzer zu konfigurieren, die dann an-
gezeigt werden.
Seite 47 von 59
Sie können E-Mail-Infos für Benutzer, Gruppen, Kontakte und Mail-User jeweils mit dem
Parameter -MailTip konfigurieren.
Seite 48 von 59
Organisationseinstellungen für E-Mail-Infos Auf Organisationsebene können Sie verschiedene Arten von E-Mail-Infos konfigurieren:
Set-OrganizationConfig
-MailTipsExternalRecipientsTipsEnabled Legt fest, ob E-Mail-Infos angezeigt wer-
den, wenn ein Empfänger außerhalb der
Exchange-Organisation liegt.
-MailTipsLargeAudienceThreshold Legt fest, bei welcher Anzahl an Empfängern ein
Hinweis eingeblendet wird.
-MailTipsMailboxSourcedTipsEnabled Legt fest, ob postfachbezogene E-Mail-Infos an-
gezeigt werden sollen.
-MailTipsGroupMetricsEnabled Legt fest, ob gruppenbezogene E-Mail-Infos an-
gezeigt werden sollen.
Verwenden von Klassifikationen Klassifikationen bieten Ihnen die Möglichkeit, Nachrichten mittels Transportregeln anhand
der vom Benutzer vergebenen Klassifikation zu verarbeiten. Zusätzlich besteht die Mög-
lichkeit, Klassifikationen auf Nachrichten mittels Transportregel anzuwenden. Die Klassifi-
kation einer Nachricht wird dem Benutzer angezeigt, sodass er weiß, wie mit der Nachricht
zu verfahren ist. Anwendung finden Klassifikationen überwiegend im Gesundheitsbereich
und bei der Übermittlung personenbezogener Daten und juristischer Korrespondenz.
Eine neue Nachrichtenklassifikation mit Lokalisierung auf ein entsprechendes Gebiets-
schema erstellen Sie so:
New-MessageClassification –Name <Name> -DisplayName <Name> -Sender-
Description <Wert> -Locale <Gebietsschema>
Nachdem Sie die entsprechenden Klassifikationen erstellt haben, müssen Sie diese den
Benutzern zur Verfügung stellen. Dafür müssen Sie die Klassifikationen auf dem Exchange-
Server mithilfe des Skripts .\Export-OutlookClassification.ps1 > c:\Classification.xml
exportieren. Diese XML-Datei müssen Sie anschließend an die Clients verteilen.
Auf den Clients müssen Sie folgende Registry-Werte verändern, damit Outlook auf die
Klassifikationen zugreifen kann. Der Schlüssel Policy ist nicht standardmäßig vorhanden
und muss erstellt werden:
[HKEY_CURRENT_USER\Software\Microsoft\Office\<Version>\Common\Policy]
„AdminClassificationPath“=“<Pfad\Classification.xml>“
„EnableClassifications“=dword:00000001
„TrustClassifications“=dword:00000001
Weitere Informationen zum Thema Klassifikationen finden Sie unter http://technet.micro-
soft.com/de-de/library/ee861122(v=exchg.141).aspx.
Implementieren einer Ermittlungssuche Die Ermittlungssuche erlaubt es in Exchange Server 2010, Postfächer nach Nachrichten zu
durchsuchen. Die Suche kann sich dabei auf einzelne Postfächer beschränken oder sämt-
Seite 49 von 59
liche Postfächer umfassen. Die Ergebnisse der Suche werden in sog. Suchpostfächern (Dis-
covery Mailbox) gespeichert. Der Zugriff auf die Suchfunktion sowie die Suchpostfächer
sollte nur für vertrauenswürdige Mitarbeiter gewährt werden.
Um einem Benutzer das Recht einzuräumen, eine Ermittlungssuche anzulegen und durch-
zuführen, muss der Benutzer zur Gruppe Discovery Management hinzugefügt werden.
Ferner benötigt er Vollzugriff auf das Suchpostfach, in welchem er die Ergebnisse der
Suche speichert. Die Ergebnisse werden in einem Ordner im Postfach gespeichert, der
den Namen der Ermittlungssuche trägt.
Die Suche kann der Benutzer am einfachsten über die Exchange Systemsteuerung anlegen
und ausführen. Er wechselt dafür auf Organisation verwalten – E-Mail-Steuerelement – Er-
mittlung. Dort findet er alle Suchaufträge, die angelegt worden sind, kann neue Ermitt-
lungssuchen anlegen oder vorhandene neu ausführen.
Alternativ können Sie eine Suche auch mit der Management-Shell erstellen:
New-MailboxSearch –Name <Name>
Ich empfehle Ihnen jedoch, die Exchange-Systemsteuerung zu verwenden, da diese
deutlich einfacher zu bedienen ist.
Ein neues Suchpostfach können Sie mit dem Befehl New-Mailbox –Discovery anlegen.
Rollenbasierte Zugriffsteuerung (RBAC) Exchange Server 2010 verwendet die Rollenbasierte Zugriffsteuerung (Role Based Access
Control RBAC), um Benutzern und Administratoren Berechtigungen zuzuweisen. Es wer-
den dabei zwei Gruppen unterschieden, denen Berechtigungen zugewiesen werden. Be-
nutzern werden die Berechtigungen, welche persönlichen Einstellungen der Benutzer im
Bereich Optionen von OWA er vornehmen darf, über Rollenzuweisungsrichtlinien zuge-
wiesen. Administrative Berechtigungen zur Verwaltung von Exchange Server 2010 werden
dagegen über Verwaltungsgruppen oder direkte Zuweisung von Rechten an Benutzer ge-
währt. Hier wird besonders auf die Administrativen Berechtigungen eingegangen, da die
Zuweisung der Benutzerrechte eingeschränkt ist und man in der Regel mit den Stan-
dardeinstellungen (Default Role Assignment Policy) gut fährt.
Neuer Verwaltungsbereich anlegen Verwaltungsbereiche helfen uns, Berechtigungen auf einzelne Bereiche einzuschränken.
Die Verwaltungsgruppen, welche bei der Installation von Exchange Server 2010 angelegt
wurden, berechtigen den Benutzer auf Organisationsebene. Wenn Sie die Bereiche, auf
die der Benutzer Zugriff erhalten soll, einschränken möchten, müssen Sie Verwaltungsbe-
reiche konfigurieren:
New-ManagementScope –Name <Name>
-ServerList <Name> Geben Sie die Liste mit Servern an, die verwaltet wer-
den dürfen.
-ServerRestrictionFilter <Wert> Geben Sie Eigenschaften wie z. B. den Standort der
Server an, die verwaltetet werden dürfen.
-DatabaseList <Name> Geben Sie eine List mit Datenbanken an, die verwal-
tet werden dürfen.
Seite 50 von 59
-DatabaseRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, wel-
che Datenbanken verwaltet werden dürfen.
-RecipientRestrictionFilter <Wert> Geben Sie Eigenschaften an, die festlegen, wel-
che Empfänger verwaltet werden dürfen.
Der Bereich kann auch auf Organisationseinheiten eingeschränkt werden. Diese Ein-
schränkung konfigurieren Sie jedoch bei der jeweiligen Verwaltungsgruppe.
Neue Verwaltungsgruppe anlegen Verwaltungsgruppen enthalten einerseits die Benutzer, die berechtigt sein sollen, die ent-
sprechenden Aktionen auszuführen. Andererseits werden ihnen die Verwaltungsrollen zu-
gewiesen, die die einzelnen Berechtigungen enthalten.
New-RoleGroup –Name <Name>
Am einfachsten konfigurieren Sie die Verwaltungsrollen, die der Gruppe zugwiesen wer-
den sollen, über die Exchange Systemsteuerung (ECP). Dort finden Sie eine grafische
Oberfläche, über die Sie einfach die entsprechenden Verwaltungsrollen zuweisen können.
Hier können Sie auch bequem den Verwaltungsbereich bzw. die Organisationseinheit fest-
legen.
Neue Verwaltungsrollen zur Verwaltungsgruppe hinzufügen Verwaltungsrollen werden über Verwaltungsrollenzuweisungen zugewiesen. Eine Ver-
waltungsrolle kann entweder einem Benutzer oder einer Gruppe zugewiesen werden,
empfohlen wird die Verwendung von Verwaltungsgruppen. Zusätzlich ist es notwendig,
einen Bereich festzulegen, in dem der Rolleninhaber arbeiten darf. Eine neue Zuweisung
erstellen Sie wie folgt:
New-ManagementRoleAssignment –Name <Name> -Role <Rollenname>
-SecurityGroup <Name> Weist die Verwaltungsrolle einer Sicherheitsgruppe zu.
-User <Name> Weist die Verwaltungsrolle einem Benutzer zu.
Neue Verwaltungsrolle erstellen Exchange Server 2010 ermöglicht es mit RBAC, die Rechte, welche einem Benutzer zuge-
wiesen werden, sehr genau festzulegen. Verwaltungsrollen sind Gruppierungen von Cmd-
lets, die dem Benutzer durch die Rolle zur Verfügung gestellt werden. Cmdlets, die der
Benutzer nicht durch eine Verwaltungsrolle zugewiesen bekommt, kann er nicht verwen-
den. Sie können auf den existierenden Verwaltungsrollen basierend neue Verwaltungsrol-
len erstellen und diese dann gezielt konfigurieren.
New-ManagementRole –Name <Name> -Parent <Wert>
Verwaltungsrolleneinträge einer Verwaltungsrolle einsehen Nachdem Sie die Verwaltungsrolle geklont haben, können Sie sich die Cmdlets mit den
zugehörigen Parametern anzeigen lassen:
Get-ManagementRoleEntry –Identity <Rolle\*>
Verwaltungsrolleneinträge entfernen Sie können aus der Verwaltungsrolle einzelne Cmdlets oder Parameter entfernen und
diese damit Ihren Anforderungen anpassen. Hier werden z. B. aus einer Rolle alle Cmdlets
entfernt, die nicht dem Wert bei –NotLike <Wert> entsprechen.
Seite 51 von 59
Get-ManagementRoleEntry –Identity <Rolle\*> | Where {$_.Name –NotLike
<Wert>} | Remove-ManagementRoleEntry
Verwaltungsrolleneintrag hinzufügen Sie können auch Cmdlets zu Verwaltungsrollen hinzufügen. Dies geht allerdings nur mit
den Cmdlets, die in der übergeordneten Verwaltungsrolle (Parent) enthalten sind.
Add-ManagementRoleEntry <Rolle\Cmdlet>
Rollenzuweisungsrichtlinien Im Gegensatz zu den administrativen Verwaltungsrollen erhalten Benutzer die Berechti-
gungen, welche ihrer Informationen sie im OWA unter Optionen selbst konfigurieren kön-
nen, über die Rollenzuweisungsrichtlinien. Standardmäßig erhält jeder Benutzer die
Default Role Assignment Policy zugewiesen. Wenn Sie einzelnen Benutzern andere Be-
rechtigungen zuweisen möchten, können Sie mit folgendem Befehl eine neue Rollenzuwei-
sungsrichtlinie erstellen:
New-RoleAssignmentPolicy –Name <Name> -Roles <Verwaltungsrollen> -IsDefault
Hochverfügbarkeit in Exchange Server 2010 Als hochverfügbar werden Systeme bezeichnet, die eine garantierte Uptime von über 99
% haben. Diese Zeiten werden über sog. Service Level Agreements (SLA) vereinbart.
Exchange Server 2010 verfügt über die Möglichkeit, jede einzelne der Rollen hochverfüg-
bar bereitstellen zu können. Hochverfügbarkeit geht immer einher mit entsprechenden
Kosten. Je höher die Verfügbarkeit umso höher die Kosten, wobei die Kosten ab einem
bestimmten Grad der Hochverfügbarkeit exponentiell ansteigen.
Hub-Transport-Server Am einfachsten ist Hochverfügbarkeit bei Hub-Transport-Servern umzusetzen. Stellen Sie
einfach an jedem Standort mindestens zwei Hub-Transport-Server auf. Eine weitere Konfi-
guration ist nicht notwendig. Es empfiehlt sich jedoch bei der Planung der Exchange-Ser-
ver bereits darauf zu achten, dass nur die Rollen Hub-Transport und Client-Access kombi-
niert werden. Postfach-Server sollten immer auf separaten Servern installiert werden, um
Komplikation bei der Bereitstellung von Hochverfügbarkeit der anderen Rollen zu vermei-
den.
Edge-Transport-Server Edge-Transport-Server sind ebenfalls sehr einfach hochverfügbar zu machen. Sie stellen
einfach mehrere Edge-Transport-Server auf. Diese müssen sich auch nicht am selben
Standort befinden sondern können an beliebigen Internet-Standorten aufgestellt werden.
Die Konfiguration der Edge-Transport-Server können Sie mit den Export-Skripten und die
Transportregeln mit dem Cmdlet Export-TransportRuleCollection klonen.
Um die Verfügbarkeit gewährleisten zu können, müssen Sie im DNS-Eintrag Ihrer SMTP-
Domäne für jeden Edge-Server einen MX-Eintrag anlegen. Dabei haben Sie die Wahl, ob
alle MX-Einträge dieselbe oder eine gestaffelte Priorität erhalten.
Client-Access-Server Die Rolle des Client-Access-Servers kann mit relativ wenig Aufwand hochverfügbar ge-
macht werden. Es ist dabei jedoch darauf zu achten, dass Sie die Softwarelösung Netzwer-
klastenausgleich von Microsoft nur verwenden können, wenn auf dem Server nicht zeit-
gleich das Failover-Cluster-Feature installiert ist. Microsoft empfiehlt jedoch immer die
Verwendung einer Hardwarelösung, da die integrierte Softwarelösung lediglich einen
Seite 52 von 59
Serverausfall und keinen Dienstausfall erkennen kann. Darüber hinaus sind Hardwarelö-
sungen in der Lage, Arrays über mehrere Standorte aufzubauen. Die Softwarelösung da-
gegen ist Standortgebunden.
Seite 53 von 59
Um ein Client-Access-Arrray mit dem Tool Netzwerklastenausgleich von Windows Server
einrichten zu können, gehen Sie wie folgt vor:
1. Installieren Sie auf allen Knoten des Netzwerklastenausgleichscluster über den Server-
Manager das Windows Server-Feature Netzwerklastenausgleich.
2. Starten Sie in der Verwaltung das Tool Netzwerklastenausgleich und erstellen Sie ei-
nen neuen Cluster. Vergeben Sie eine IP-Adresse aus dem Netz, aus dem die Clients
auf den Cluster zugreifen werden.
3. Fügen Sie anschließend den FQDN und die IP-Adresse des Clusters in Ihrer internen
DNS-Zone hinzu.
4. Erstellen Sie in Ihrer Exchange-Organisation ein neues Client-Access-Array. Über die-
ses Array werden später die Clients auf die Postfachdatenbanken zugreifen.
New-ClientAccessArray –Name <Name> -Fqdn <FQDN d. Clusters> -Site
<Standort>
5. Abschließend müssen Sie für jede Datenbank den richtigen RPC-Client-Access-Server
konfigurieren. Es kann immer nur ein CAS auf eine Datenbank zugreifen. Da durch das
Client-Access-Array nun mehrere Server auf eine Datenbank zugreifen können, müs-
sen Sie diesen Zugriff auf die Datenbank gestatten. Dies geschieht, indem Sie den RPC-
Client-Access-Server der Datenbank auf das Array festlegen:
Set-MailboxDatabase –Identity <Name> -RPCClientAccessServer <Array-
Name>
Diese Vorgehensweise gilt für Hard- und Softwarebasierte Lastenausgleichslösungen ab
Schritt 4. Bezüglich der Konfiguration der von Ihnen gewählten Lösung können die Schritte
1 – 3 abweichen.
Postfach-Server Hochverfügbarkeit für Postfachserver basiert auf dem Windows-Feature Failover-Clus-
ter, welches in den Serverversionen Server 2008 Enterprise-Edition oder höher enthal-
ten ist. In Exchange Server 2010 richten Sie dann eine Datenbankverfügbarkeitsgruppe
ein. Diese ist nichts anderes als ein Failover-Cluster für Postfachdatenbanken. Zum Erstel-
len einer Datenbankverfügbarkeitsgruppe gehen Sie wie folgt vor:
1. Installieren Sie das Windows Server 2008-Feature Failover-Cluster auf jedem Ser-
ver, der Mitglied in der Datenbankverfügbarkeitsgruppe werden soll.
2. Erstellen Sie in der Exchange Verwaltungskonsole eine neue Datenbankverfügbar-
keitsgruppe. Sie haben im Assistenten die Möglichkeit, einen Zeugenserver und ein
Zeugenverzeichnis anzugeben. Standardmäßig wählt Exchange einen Hub-Trans-
port-Server aus, auf dem die Rolle Postfachserver nicht installiert ist. Sollte dies nicht
möglich sein, müssen Sie hier einen Zeugenserver konfigurieren. Dabei ist darauf zu
achten, dass die Sicherheitsgruppe Exchange Trusted Subsystems in der lokalen
Gruppe der Administratoren auf dem Zeugenserver aufgenommen werden muss, um
entsprechende Berechtigungen zu erhalten.
New-DatabaseAvailabilityGroup –Name <Name> -DatabaseAvailabilityGroupI-
pAddress <IP> -WitnessServer <Server> -WitnessDirectory <Verzeichnis>
3. Bevor Sie die Mitglieder einer Datenbankverfügbarkeitsgruppe hinzufügen, sollten Sie
die DAG konfigurieren. Hier ist vor allem die IP-Konfiguration wichtig. In Produk-
tivumgebungen werden IP-Adressen häufig über DHCP vergeben, sodass Ihre DAG
vermutlich bereits über eine IP-Adresse verfügt. Sollte das nicht der Fall sein, geben
Seite 54 von 59
Sie hier bitte eine entsprechende IP-Adresse aus dem Netz an, über das die DAG-Mit-
glieder kommunizieren sollen.
4. Abschließend fügen Sie die Postfach-Server zur DAG hinzu. Maximal können Sie 16
Postfach-Server zu einer DAG hinzufügen. Die Mitgliedschaft eines Postfach-Servers
in einer DAG bedeutet nicht, dass die Datenbanken automatisch auf allen Servern re-
pliziert werden. Auf welche Server innerhalb einer DAG die Datenbank repliziert wird,
legen Sie separat fest.
Add-DatabaseAvailabilityGroupServer –Identity <Name> -MailboxServer
<Name>
Einrichten einer Postfachdatenbankkopie Nachdem Sie Ihre Datenbankverfügbarkeitsgruppe erstellt und die Postfach-Server als
Mitglieder hinzugefügt haben, können Sie die Kopien der Postfachdatenbanken, die auf
den Mitgliedern gespeichert sind, einrichten:
Add-MailboxDatabaseCopy –Identity <Name> -MailboxServer <Server> -Activation-
Preference <Wert>
Nach dem Einrichten der Datenbankkopie findet ein sog. Seeding statt. Dabei wird die
gesamte Datenbank auf den Mailbox-Server kopiert. Nach erfolgreichem Seeding werden
nur noch die Transaktionsprotokolle kopiert, die dann von der Datenbankkopie einge-
spielt werden.
Sie haben beim Einrichten der Datenbankkopie mittels Management Shell die Möglichkeit,
eine Wiedergabeverzögerung zu konfigurieren. Dies dient dazu, dass Sie mind. eine Kopie
der Datenbank haben, welche die Transaktionsprotokolle verzögert einspielt. Damit kön-
nen Sie verhindern, dass ein fehlerhaftes Transaktionsprotokoll sämtliche Datenbankko-
pien beschädigt. Durch die Wiedergabeverzögerung haben Sie die Möglichkeit, dass feh-
lerhafte Transaktionsprotokoll zu löschen, sodass dieses nicht in die Datenbankkopie ein-
gespielt wird. Diese Vorgehensweise kann aufwendige Backup-Strategien ersetzen und
Ausfallzeiten verringern.
Eine verzögerte Datenbankkopie legen Sie mit dem Parameter –ReplayLagTime <Wert>
an. Die Verzögerung kann maximal 14 Tage betragen. Zusätzlich können Sie mit dem Pa-
rameter –TruncationLagTime <Wert> festlegen, wann die Transaktionsprotokolle ge-
löscht werden sollen. Wenn Sie eine verzögerte Datenbankkopie aktivieren möchten, kön-
nen Sie alle Transaktionsprotokolle einspielen oder festlegen, bis zu welchem Zeitpunkt
die Transaktionsprotokolle eingespielt werden sollen. Wenn Sie den Zeitpunkt festlegen
möchten, müssen Sie die Transaktionsprotokolle mit Eseutil.exe manuell bearbeiten. Wei-
tere Informationen zur Aktivierung verzögerter Postfachdatenbankkopien finden Sie im
Technet unter http://technet.microsoft.com/de-de/library/dd979786.aspx.
Postfachdatenbankkopie aktivieren Move-ActiveMailboxDatabase –Identity <Name> -ActivateOnServer <Server>
Postfachdatenbankkopie anhalten Suspend-MailboxDatabaseCopy –Identity <Name\Server>
Postfachdatenbankkopie fortsetzen Resume-MailboxDatabaseCopy –Identity <Name\Server>
Seite 55 von 59
Erneutes Seeding einer Postfachdatenbankkopie Sollte eine Datenbankkopie auf einem Postfachserver ein Problem aufweisen und damit
verbunden die Bereitstellung der Datenbank fehlschlagen, können Sie ein neues Seeding
durchführen.
Stoppen Sie die Replikation zu der Datenbankkopie, für welche Sie ein erneutes See-
ding durchführen wollen.
Löschen Sie auf dem Zielserver die Transaktionsprotokolle und die Datenbank.
Führen Sie in einer Management Shell folgenden Befehl aus:
Update-MailboxDatabaseCopy –Identity <Name\Server> -SourceServer <Ser-
ver>
Seite 56 von 59
Überwachen von Exchange Server 2010 Einen Großteil seiner Zeit verbringt ein Exchange-Administrator mit der Überwachung
und Auswertung seiner Exchange-Organisation. Um den reibungslosen Betrieb gewähr-
leisten zu können, müssen regelmäßig die Betriebszustände erfasst und ausgewertet wer-
den. Dies ermöglicht es auch, Probleme im Vorfeld zu erkennen und frühzeitig auf diese
reagieren zu können.
Überwachen von Informationen und Statistiken über Datenbanken Die Datenbanken als Herzstück der Exchange-Organisation bedürfen besonderer Auf-
merksamkeit. Gerade wenn Hochverfügbarkeitslösungen implementiert sind, fällt ein
Ausfall eines einzelnen Postfachservers unter Umständen nicht auf. Um die Ausfallsicher-
heit gewährleisten zu können, ist es wichtig, sich regelmäßig vom Zustand seiner Daten-
banken ein Bild zu machen.
Abrufen von Informationen von Postfachdatenbanken Allgemeine Informationen über die Postfachdatenbank kann man sich mit folgendem Be-
fehl verschaffen:
Get-MailboxDatabase –Identity <Name> | FL
Abrufen von statistischen Informationen von Postfächern Um sich einen Überblick über die Postfächer Ihrer Exchange-Organisation verschaffen zu
können, haben Sie die Möglichkeit, statistische Informationen wie Größe des Postfachs,
Anzahl der Elemente, Größe der gelöschten Elemente, etc. anzeigen zu lassen. Sie können
sich die Informationen optional für einen Benutzer, einen Server oder eine Datenbank an-
zeigen lassen:
Get-MailboxStatistics –Identity <Name> -Server <Server> -Database <Name> | FL
Mit den Cmdlets Sort-Object und Select-Object können Sie die Ausgabe von Get-Mail-
boxStatistics weiter filtern und verarbeiten. Der folgende Befehl frägt die statistischen
Werte aller Postfächer auf dem Server ab, sortiert diese in absteigender Reihenfolge nach
der Größe der Elemente und gibt dann die ersten 5 Postfächer aus.
Get-MailboxStatistics –Server <Name> | Sort-Object <Parameter> -Descending | Se-
lect-Object –First <Anzahl>
Abfragen des Ressourcenverbrauchs Ermittelt die 25 Konten, die den größten Ressourcenverbrauch innerhalb einer Daten-
bank haben.
Get-StoreUsageStatistics –Database <Name>
Abfragen von statistischen Informationen von Öffentlichen Ordnern Get-PublicFolderStatistics –Identity <\Name> -Server <Name> | fl
Abfragen des Status der Kopien einer Postfachdatenbank Get-MailboxDatabaseCopyStatus –Identity <Name> –ConnectionStatus | FL
Status der fortlaufenden Replikation von Postfachdatenbankkopien ermitteln Test-ReplicationHealth –Server <Name> | FL
Abrufen von Switch- und Failover-Statistiken Zum Abruf von statistischen Informationen zu Ihren Datenbankverfügbarkeitsgruppen
können Sie folgenden Befehl verwenden:
Seite 57 von 59
.\CollectOverMetrics.ps1 –DatabaseAvailabilityGroup <Name> -GenerateHtmlRe-
port –ShowHtmlReport
Nach Abschluss der Datenerfassung wird das Ergebnis im Browser angezeigt.
Überwachen von Replikationsmessdaten Im Gegensatz zum .\CollectOverMetrics.ps1-Skript erfolgt mit dem Skript .\CollectRepli-
cationMetrics.ps1 eine Echtzeitmessung auf Basis der Leistungsindikatoren. Sie starten das
Skript mit folgendem Befehl:
.\CollectReplicationMetrics.ps1 –DagName <Name> -Verbose
Geben Sie anschließend die Zeit ein, welche die Messung laufen soll sowie den Speicher-
ort für die Ergebnisse (nur Ordner, kein Dateiname). Die Ergebnisse werden als CSV-Da-
teien gespeichert.
Erfassen von Postfachordnerstatistiken Mit folgendem Befehl können Sie Informationen zu einzelnen Ordner, die in einem Postfach
vorhanden sind, erfassen. Mit folgendem Befehl werden alle Ordner eines Postfachs ange-
zeigt, wie viele Elemente enthalten sind und wie groß die jeweiligen Ordner sind:
Get-MailboxFolderStatistics –Identity <Name> | FT Name,ItemsInFolder,Fol-
derSize
Erfassen von Anmeldestatistiken Das Erfassen der Anmelde-, Zugriffs- und Abmeldezeiten ist wichtig, um unberechtigten
Zugriff auf Postfächer erfassen zu können.
Get-LogonStatistics –Identity <Name>
Erfassen der Anzahl von Nutzer eines bestimmten Protokolls Wenn Sie wissen möchten, welcher Benutzer wie auf sein Postfach zugreifen kann, können
Sie mit Get-CasMailbox eine Liste abrufen.
Exchange ActiveSync-Berichte abrufen Export-ActiveSyncLog –Filename: <Pfad d. Logfiles> -StartDate:<Datum> -End-
Date:<Datum> -UseGMT:$true –OutputPath:<Pfad>
Das Logfile sowie der Ausgabepfad müssen vorhanden sein, sonst generiert der Befehl
einen Fehler.
Überwachen der Nachrichtenübermittlung Neben der Überwachung der Postfachdatenbanken gehört es zu den Aufgaben des
Exchange-Administrators, den Nachrichtenfluss zu überwachen. Eine Vielzahl an Proto-
kolldateien und Tool stehen zur Verfügung, um Nachrichten auf ihrem Weg durch die
Exchange-Organisation zu verfolgen. Eine Auswahl der wichtigsten Tools und Proto-
kolleinstellungen finden Sie hier.
Protokollkonfiguration der Postfach- und Transportserver Standardmäßig ist die Protokollierung des Nachrichtenflusses auf den Transport- und Post-
fachservern aktiviert. Es können jedoch in der Konfiguration der Server verschiedene Ein-
stellungen zur maximalen Größe der Protokolldateien, des Protokollverzeichnisses und
dem maximalen Alter der Protokolldateien vorgenommen werden. Diese können Sie mit
den Cmdlets Set-MailboxServer oder Set-TransportServer für jeden Server einzeln kon-
figurieren.
Seite 58 von 59
Warteschlangenanzeige Auf jedem Transport- und Postfachserver werden Nachrichten in Warteschlangen gespei-
chert, bis sie an die nächste Hop-Domäne oder Postfach weitergeleitet werden können.
Für jede Hop-Domäne wird eine eigene temporäre Warteschlange erstellt. Lediglich die
Warteschlange Übermittlung ist dauerhaft vorhanden. Nachrichten darin können nicht an-
gehalten werden. Eine Übersicht über die Warteschlangen eines Servers erhalten Sie mit
folgendem Befehl:
Get-Queue –Server <Name> | FL
Mit Suspend-Queue können Sie eine Warteschlange anhalten, mit Resume-Queue kön-
nen Sie eine Warteschlange fortsetzen. Mit Retry-Queue können Sie eine Warteschlange
erneut auslösen.
Mit Get-Message können Sie sich alle Nachrichten, die auf einem Server in einer beliebi-
gen Warteschlange befinden, anzeigen lassen. Mit Suspend-Message lassen sich Nach-
richten anhalten, mit Resume-Message fortsetzen, mit Remove-Message entfernen und
mit Export-Message exportieren.
Nachverfolgung von Nachrichten Manchmal ist es notwendig, eine Nachricht im System zu verfolgen. Insbesondere wenn
ein Benutzer eine Nachricht nicht empfängt oder eine gesendete Nachricht nicht ankommt.
Dazu können Sie auf den einzelnen Servern das jeweilige Nachrichtenverfolgungsproto-
koll mit Get-MessageTrackingLog einsehen.
Alternativ haben Sie in der Toolbox die Nachrichtenverfolgung, welche Ihnen eine gra-
fische Oberfläche für die Erstellung des Suchauftrags bietet.
Testen der Nachrichtenübermittlung Die Nachrichtenübermittlung innerhalb Ihrer Exchange-Organisation können Sie mit dem
Cmdlet Test-Mailflow überprüfen. Dabei wird festgestellt, ob Nachrichten von einem
Postfachserver an einen anderen Postfachserver versendet werden können.
Testen der SMTP-Kommunikation mit Telnet Sollten Ihre Benutzer keine Nachrichten an ausgewählte Empfänger versenden können,
kann dies auf ein Problem in der SMTP-Kommunikation zwischen den Mail-Servern hindeu-
ten. Ob ein Server über Port 25 Nachrichten empfangen kann, können Sie am einfachsten
mit einer Telnet-Sitzung überprüfen. Zuvor müssen Sie jedoch die IP-Adresse des emp-
fangenden Mail-Servers mit dem Befehlszeilentool NSLookup ermitteln.
Geben Sie als Abfragetyp set q=mx ein, um festzulegen, dass Sie nur die MX-Einträge der
Zieldomäne angezeigt bekommen. Anschließend fragen Sie die Einstellungen der SMTP-
Domäne ab. Die Abfrage liefert Ihnen die Namen der Mailserver, die Nachrichten für
diese Domäne annehmen. Zu diesem Server können Sie mittels Ping oder NSLookup die
entsprechende IP-Adresse ermitteln.
Anschließend können Sie mit dem Befehl telnet <Server> 25 eine Sitzung zu dem Mail-
Server aufbauen. Wenn sich dieser mit dem Rückgabewert 220 meldet, ist er empfangs-
bereit. Damit ist der Kommunikationsweg soweit Sie ihn beeinflussen können überprüft.
Der Fehler bzw. die Konfiguration, die eine Kommunikation behindert, liegt damit nicht in
Ihrem Einflussgebiet.
Seite 59 von 59
Anlegen eines Testusers zur Überprüfung von Verbindungen Bevor Sie die Cmdlets zum Testen von Verbindungen ausführen können, benötigen Sie
einen Testbenutzer. Dieser Benutzer wird standardmäßig für die Überprüfung verwendet.
Das vergebene Kennwort wird vom System verwaltet und ist nicht für die Ausführung der
Tests notwendig. Mit dem Skrip .\new-TestCasConnectivityUser.ps1 können Sie einen
Testbenutzer anlegen, der von den folgenden Befehlen verwendet wird, solange keine an-
deren Benutzerinformationen angegeben werden.
Überprüfen von POP3-Verbindungen Mit folgendem Befehl können Sie den Zugriff eines Benutzers mittels POP3 auf sein Postfach
überprüfen. Eine detaillierte Ergebnisanzeige erhalten Sie, wenn Sie die Ausgabe an For-
mat-List übergeben.
Test-PopConnectivity –ClientAccessServer <Server> -MailboxCredential:(Get-Cre-
dential <User>)
Überprüfen von IMAP4-Verbindungen Der folgende Befehl verwendet dieselben Parameter wie Test-PopConnectivity und dient
zur Überprüfung, ob ein Benutzer per IMAP4 auf sein Postfach zugreifen kann.
Test-ImapConnectivity
Überprüfen von MAPI-Verbindungen Die Verbindung von Outlook zur Exchange-Organisation können Sie mit folgendem Befehl
überprüfen:
Test-MapiConnectivity
Überprüfen des Autoermittlungsdienstes Zur Überprüfung der Verbindung eines Clients mittels Autokonfiguration haben Sie ver-
schiedene Möglichkeiten, Sie benötigen jedoch immer den Anmeldenamen und das Kenn-
wort des zu testenden Kontos. Zur Überprüfung innerhalb der Domäne kann auf jedem Ar-
beitsplatz, auf welchem Outlook installiert ist, mit Strg+Rechtsklick auf das Outlook-
Symbol in der Systemtray die Autokonfiguration getestet werden. Alternativ können Ad-
ministratoren das Cmdlet Test-OutlookWebServices –Identity:<UPN> in der Manage-
ment-Shell verwenden.
Zur Überprüfung des externen Zugriffs auf Ihre Exchange-Organisation können Sie dage-
gen die Website https://www.testexchangeconnectivity.com von Microsoft verwen-
den. Dort können Sie neben der Autokonfiguration auch den Zugriff per ActiveSync über-
prüfen.
