Rating: 4.7/5. (23 Stimmen) Details
Bitte warten...

Nach abgeschlossener Installation des Exchange Server 2010, steht dessen Konfiguration im Fokus. Wer Informationen zur Installation sucht, wird im folgenden Artikel fündig.

Exchange Server 2010: Installation

Microsoft Exchange 2010 ist die neueste Version (intern als Version 14 gehandelt) für Messaging und Zusammenarbeit in Unternehmen ...

Seit Exchange Server 2007 wurden die Funktionen in mehrere Rollen unterteilt. 

  • Hub-Transport sorgt für die Mailzustellung innerhalb autorisierter Domänen. Für das Routing greift die Funktion auf die Active Directory-Topologie zurück. Muss eine Mail außerhalb zugestellt werden, wird sie an einen zuständigen Smarthost bzw. Edge-Transport-Server (SMTP Relay Server) weitergereicht.
  • Client Access stellt den Zugriff auf die Postfächer über verschiedene Techniken wie HTTP(S), POP3, IMAP, MAPI bereit. Anwender nutzen hierfür entsprechende Clients wie Browser, mobile Endgeräte oder Microsoft Outlook.
  • Die Mailbox Role verwaltet die Postfachdatenbanken.
  • Unified Messaging integriert Exchange in VOIP-Lösungen wie Lync. So kann hierdurch bspw. der Zugriff auf die Inbox eines Postfaches mittels Telefon erfolgen und Mailboxanrufe als E-Mails zugestellt werden.
  • Edge-Transport übernimmt die Hub-Transport-Rolle in einer Demilitarisierten Zone (DMZ), stellt E-Mails außerhalb der Organisation zu und empfängt E-Mails aus dem Internet.  Typischerweise steht dieser Server in einer DMZ und ist mit einer Anti-Virus- und Anti-Spam-Lösung versehen. Eine Härtung des Servers ist nicht notwendig, das Windows Server 2008 standardmäßig mit maximaler Sicherheit installiert wird.

 Übersicht Managementkonsole

Die Rollen sind wiederum in drei Bereichen angesiedelt. Dabei spiegelt jeder Bereich einen wirkenden Scope wider.

  • Organisationskonfiguration ist der globale Scope. Hier werden die Domänen, die Sendeconnectoren, Richtlinien und Regeln definiert, die für alle Mailserver und Benutzer in der Organisation gelten.
  • Über die Serverkonfiguration werden alle Exchange Server administriert. Typische Aufgaben sind die Konfiguration der Clientzugriffsprotokolle und Administration der Empfangsconnectoren. Die Verwaltung der Postfachdatenbanken wurde seit Exchange 2010, in Hinblick auf mögliche Geo-Cluster, in die Organisationskonfiguration verschoben.
  • Die Administration der einzelnen Postfächer wird weiterhin in der Empfängerkonfiguration durchgeführt.

 

Um nun einen funktionierenden Server einzurichten, bedarf es einiger Handgriffe. Beginnen wir mit der Organisationskonfiguration.

Per Default lehnt ein Exchange Server alle Mails ab, wenn sie an eine Domäne gerichtet sind, für die der Server nicht autorisiert ist. Um Exchange beizubringen Mails für die externe Internetdomäne (in diesem Szenario “contoso.com”) anzunehmen, muss man die gewünschte Domäne hinzuzufügen. Dazu geht man auf die Hub-Transport-Rolle und wählt den Reiter “Akzeptierte Domänen” aus. Mittels Hinzufügen wird der Server um einen Namespace erweitert. Der Server selbst hält die Postfächer dieser Domäne, weshalb der Typ “Autorisiert” zu wählen ist. Soll der Server Mails für weitere Domänen empfangen und an andere Messagingsysteme weiterleiten, kann man die Option “Relaydomäne” nutzen. Der Powershell-Befehl lautet New-AcceptedDomain.

Akzeptierte Domäne

 

Um die neue Domäne zur Standardadresse zu machen, nutzen wir die entsprechende Funktion im Kontextmenu.

Standarddomäne

 

Dieser Namespace muss als nächstes mittels Policy an die Postfächer verteilt werden. Die E-Mail-Adressrichtlinie ist das Werkzeug dafür. Sie hält bestimmte Regeln, wodurch sich die Mailadressen dynamisch generieren. Diese können sich je nach interner Domäne unterscheiden, sie lassen sich sogar auf einzelne Gruppen anwenden. Die Standardrichtlinie kann nicht geändert werden, daher erstellt man eine neue Policy.

Neue E-Mail-Adressrichtlinie

 

Wie eben beschrieben, ist es möglich einen bestimmten Bereich zu definieren. Zudem läßt sich weiter eingrenzen, für welche Art von Postfach diese Policy gilt. Darüber hinaus lassen sich durch Bedingungen weitere Einschränkungen vornehmen.

Bedingungen einer E-Mail-Adressrichtlinie

 

Durch das Generieren von Adressen, bestimmen wir letztlich die Erscheinung der E-Mail-Adressen. Dabei stehen verschiedene Attribute zur Verfügung.

Neue Adresse generieren

 

Das ist allerdings nicht der Weisheit letzter Schluss. Auch wenn der Assistent die Möglichkeit in diesem Fenster nicht gibt, so können wir doch eine andere Syntax nutzen. Dazu klickt man auf die zu ändernde Adresse, wartet kurz und klickt dann wieder auf die Adresse oder drückt F2. Nun kann man sie nach eigenen Wünschen gestalten.

Adressen bearbeiten

 

Abschließend wenden wir die Policy an und unsere Internetdomäne ist integriert. Wie sich das auf betreffende Postfächer auswirkt, zeigt folgendes Beispiel vom Postfach “Max Mustermann”.

E-Mail-Adressen von Max Mustermann

 

Kümmern wir uns nun um den Mailversand. Je nach Art des Versands, müssen wir einen Connector einrichten. Dazu wechseln wir in den Reiter “Sendeconnectors”. Exchange bietet drei vordefinierte Connectors, jeder unterscheidet sich in der Konfiguration, je nachdem wie Mails zugestellt werden.

  • Intern: Diese Art von Connectoren kümmern sich um den Versand innerhalb der eigenen (E-Mail-)Organisation. Standardmäßig erarbeitet die Hub Transport-Logik automatisch das ideale Routing, abhängig von Erreichbarkeit und Kosten in der Site-Konfiguration des Active Directory (AD). Sinnvoll ist dieser Typ, um interne E-Mail-Domänen zu benutzen und E-Mails an den entsprechenden Mailserver – das muss kein Exchange Server sein – weiterzuleiten. Ein anderer Anwendungsfall ist das gezielte Verwenden von WAN-Strecken über die Angabe von Kosten der Exchange-Konfiguration. Damit werden die Kosten der Site-Konfiguration im AD umgangen. Es ist Vorsicht walten zu lassen, denn wenn der angegebene Server abgebaut wird, können verständlicherweise keine Mails mehr an ihn versendet werden. Also schön dokumentieren.
  • Partner: Bei dieser Konfiguration können wir direkte Verbindungen zu Servern anderer Organisationen angeben unter Zuhilfenahme einer zertifikatsbasierten Authentifizierung der Server und erfordert die Anpassung der Liste der domänengesicherten Domänen. Anwendung findet es bspw. beim Versand an Partnerorganisationen oder besonders gesicherten Mailservern innerhalb des Unternehmens, die sonst über keinerlei Verbindung zur “Aussenwelt” haben.
  • Internet: Das ist der meist verwendete Connector-Typ. Er sorgt für den Versand direkt ins Internet oder an zwischengelagerte MTA – in der Regel in einer DMZ oder bei Dienstleistern gehostet – mittels MX-Einträge oder über die Angabe eines oder mehreren Smarthosts.

Ein benutzerdefinierter Connector lässt die Wahl zwischen diesen 3 Typen. Je nach Auswahl muss der Smarthost eingetragen und die Art der Authentifizierung hinterlegt werden. Wird ein direkter Versand anhand von MX-Einträgen konfiguriert, ist sicherzustellen, dass die Firewall sowohl DNS- als auch SMTP-Verbindungen durchlässt, die DNS-Server korrekt hinterlegt und konfiguriert sind, damit eine Namensauflösung auch erfolgreich ist.

In diesem Szenario versenden wir alle Mails direkt ins Internet.

Neuer Sendeconnector

Netzwerkeinstellungen

Quellserver

 

Am Ende werden die Server ausgewählt, die diesen Connector verwenden. So ist es möglich, eine bestimmte Gruppe von Servern den Versand durchführen zu lassen. Weitere Einstellungen sind nach der Erstellung möglich. Öffnet man die Eigenschaften, kann man die Protokollierung, den Namen des Servers im FQDN-Format (Fully Qualified Domain Name), die maximale Nachrichtengröße und die eben abgefragten Optionen ändern.

Eigenschaften eines Sendeconnectors

 

Wichtig ist zu wissen, dass viele Mailserver Provider einen Reverse Lookup auf die IP-Adresse durchführen. Stimmt diese nicht mit dem angegeben FQDN überein, wird die Mailzustellung abgewiesen.

In der Serverkonfiguration muss für einen einwandfreien Betrieb vorerst nichts geändert werden. In den Hub-Transport-Einstellungen finden wir, äquivalent zu den Sendeconnectors, die Empfangsconnectoren des Servers. Vorab werden bereits zwei Stück angelegt. Einer dient dem Verbinden der Mail Clients auf Port 587 für die Exchange-Benutzer. Ein zweiter lauscht auf Port 25, respektive SMTP. Für den direkten Mail-Empfang von außen, muss die Berechtigungsgruppe um “Anonyme Benutzer” erweitert werden. Andernfalls wird eine Verbindung abgelehnt.

Berechtigungsgruppen des Empfangsconnectors

 

Kommen die Mails von einem Server aus der DMZ, bspw. ein Exchange Server mit der Edge-Transport-Rolle, ist diese Änderung nicht notwendig.

Der Einsatz eines dedizierten Mailservers zwischen den Netzwerkgrenzen LAN und Internet, respektive in einer DMZ, wird dringend empfohlen!

 

 


Mac

Mac

Seit über 20 Jahren beschäftige ich mich mit Themen aus dem Bereich IT. Mein Schwerpunkt liegt dabei auf Produkte aus dem Hause Microsoft. Dazu gehören neben Active Directory und Windows Server insbesondere Netzwerkdienste wie DNS, DFS und DHCP. Zudem bin ich ein großer Verfechter des Internet Information Service, also dem Windows Webserver. Berührungspunkte im Bereich Citrix XenApp sowie XenDesktop, als auch VMware runden meinen Erfahrungsschatz ab.

2 Kommentare

Greg · 26. April 2013 um 22:20

Gute Anleitung. Danke.

Vince · 3. Dezember 2012 um 16:22

DANKE!
Bis auf den Sendeconnector ist alles wunderbar erklärt. Vielen Dank für das Tutorial.

Vince

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.