Beim Exchange Server 2010 hat Microsoft die Verwaltungsoberfläche mit der Bezeichnung Exchange-Management-Konsole deutlich erweitert. Zudem stehen in der Tool-Box nun mehr Tools zur Verfügung, die zudem überarbeitet sind. Nachfolgend einige Tipps und Hinweise zur Administration des Microsoft Exchange Server 2010.
Wenn Sie den Exchange Server 2010 bereits einsetzen, könnte der Workshop Exchange Server 2010 mit Kalenderautomatik für Sie von Interesse sein. Hier wird demonstriert, wie Administratoren viele Einstellungen automatisieren können. Dem Thema Berechtigungsmodell widmet sich der Praxis-Workshop Exchange Server 2010: rollenbasierte Berechtigungen und Delegierung.
E-Mail-Versand und -Empfang in Exchange Server 2010 konfigurieren
Empfang und Versand von E-Mails setzen sich in Exchange Server 2010 aus verschiedenen Bereichen zusammen.Die folgenden sechs spielen eine entscheidende Rolle.
1. E-Mail-Empfang. Exchange nimmt zunächst nur E-Mails an Domänen entgegen, die auf der Registerkarte Akzeptierte Domänen über Organisationskonfiguration\Hub-Transport hinterlegt sind.
2. Damit ein Exchange-Server E-Mails entgegennehmen kann, muss ein Empfangsconnector erstellt und so konfiguriert sein, dass er E-Mails vom sendenden Server akzeptiert. Empfangsconnectoren finden Sie über Serverkonfigurationen\Hub-Transport\<Servername>.
3. Damit E-Mails zugestellt werden können, muss die E-Mail-Adresse in der Mail in der Organisation vorhanden sein, und zwar genauso wie in der E-Mail. Welche E-Mail-Adressen verteilt werden, sehen Sie auf der Registerkarte E-Mail-Adressenrichtlinien über Organisationskonfiguration\Hub-Transport.
4. Postfächer für Anwender erstellen Sie über das Kontextmenü der Empfänger über Empfängerkonfiguration.
5. Damit Exchange E-Mails versenden kann, muss mindestens ein Sendeconnector erstellt sein. Diese Konfiguration finden Sie über Organisationskonfiguration\Hub-Transport auf der Registerkarte Sendeconnectors.
6. Sendeconnectoren verschicken E-Mails auf Basis der Remote-Domänen, die Sie auf der Registerkarte Remotedomänen über Organisationskonfiguration\Hub-Transport konfigurieren. Standardmäßig ist bereits der Platzhalter * angelegt.
Archivierung für Benutzerpostfächer konfigurieren
Microsoft Exchange Server 2010 bietet Anwendern die Möglichkeit, parallel zu ihren bestehenden Postfächern ein spezielles Archivierungspostfach anzulegen. Dabei muss der Admin einige Punkte beachten.
Die Konfiguration der Archivierung für Benutzerpostfächer steuern Sie über die Exchange-Verwaltungskonsole. Sie aktivieren die Archivierung über das Kontextmenü von Empfängern. Hierüber können Sie diese auch wieder deaktivieren.
Die Archivierung können Sie auch in den Eigenschaften von Anwendern in der Exchange-Verwaltungskonsole über die Registerkarte Postfachfeatures konfigurieren. Das Archivpostfach für Anwender ist allerdings nur in Outlook Web App und in Outlook 2010 verwendbar. Nach der Installation von Service Pack 1 für Exchange Server 2010 können auch Anwender mit Outlook 2007 auf das Archivpostfach zugreifen.
In der Exchange-Verwaltungskonsole sehen Sie über Empfängerkonfiguration\Postfach in der Mitte der Konsole alle Empfänger der Organisation.
Wenn Sie mit der rechten Maustaste in die Mitte der Konsole klicken, können Sie über Ansicht/Spalten hinzufügen/entfernen festlegen, welche Informationen Sie zu den einzelnen Empfängern anzeigen lassen wollen. So besteht zum Beispiel die Möglichkeit, die Option Verfügt über Archiv einzublenden. An dieser Stelle kann ebenfalls festgelegt werden, in welcher Reihenfolge die Informationen angezeigt werden. Über die Spaltenköpfe lässt sich - wie üblich - eine Sortierung per Klick auf das jeweilige Feld durchführen.
PowerShell-Befehle in der Verwaltungskonsole anzeigen und protokollieren
Wenn Sie Daten in der Exchange-Verwaltungskonsole abändern, zum Beispiel Informationen für Benutzer, können Sie durch Klicken auf das PowerShell-Symbol unten links im Fenster den entsprechenden Befehl für die PowerShell anzeigen.
Dieses Symbol finden Sie an fast jedem Fenster in der Exchange-Verwaltungskonsole. Für jede Änderung können Sie sich damit leicht die entsprechenden Befehle für die Exchange-Verwaltungs-Shell anzeigen lassen.
Über den Menüpunkt Ansicht können Sie die Option Befehlsprotokoll der Exchange-Verwaltungshell anzeigen auswählen. Klicken Sie auf Aktion Befehlsprotokollierung starten, zeichnet das Programm alle Änderungen auf, die Sie durchführen. Diese lassen sich im Protokoll anzeigen. Über den gleichen Weg stoppen Sie diese Aufzeichnung wieder.
Exchange-Verwaltungs-Tools unter Windows 7 (oder Vista) installieren
Neben Windows Server 2008 SP2 x64 und Windows Server 2008 R2 können Sie die Verwaltungs-Tools auch unter Windows Vista ab Service Pack 2 und unter Windows 7 installieren. Damit Sie die Installation durchführen können, müssen Sie folgende Vorbereitungen treffen:
1. Installieren Sie das .NET Framework 3.5 Service Pack 1 (SP1) , wenn Sie Windows Vista einsetzen. Unter Windows 7 finden Sie das .NET Framework in den Windows-Funktionen, die Sie aktivieren können.
2. In den Windows-Funktionen von Windows Vista und Windows 7 müssen Sie noch die Funktion IIS 6-Verwaltungskonsole über Internetinformationsdienste\Webverwaltungstools\Kompatibilität mit der IIS 6-Verwaltung aktivieren.
3. Nachdem Sie diese Voraussetzungen getroffen haben, können Sie über die Exchange-Server-2010-DVD die Verwaltungs-Tools für Exchange Server 2010 installieren. Sie finden diese, wenn Sie eine benutzerdefinierte Installation durchführen.
SMTP-Meldung eines Exchange Servers (SMTP-Banner) anpassen
Wenn Sie eine Verbindung zum SMTP-Server aufbauen, wird eine standardmäßige Meldung angezeigt. Das Gleiche geschieht, wenn sich andere SMTP-Server mit dem Server verbinden. Erzeugt wird diese Meldung vom Empfangsconnector in Verbindung mit dem Dienst Microsoft Exchange-Transport.
Unter Exchange Server 2010 können Sie diese Standardmeldung abändern. Vor allem bei Servern, die im Internet verfügbar sind, kann es sinnvoll sein, diese Meldung anzupassen, damit zum Beispiel ein Angreifer nicht gleich automatisch erfährt, dass es sich bei diesem Server um einen Exchange-Server handelt.
Sie können diese Konfiguration in der Exchange-Verwaltungs-Shell anpassen. Zur Konfiguration des SMTP-Banners wird der Befehl Set-ReceiveConnector verwendet. Ein SMTP-Banner muss immer mit der Bezeichnung 220 beginnen, da dies in der RFC 2821 für SMTP-Server festgelegt wird.
Wenn Sie den Banner ändern wollen, verwenden Sie in der Exchange-Verwaltungs-Shell den Befehl Set-ReceiveConnector <Connector-Bezeichnung> -Banner <220 Banner-Text>. Um dem Empfangsconnector Internet beispielsweise das SMTP-Banner 220 Contoso Internetgateway zuzuweisen, verwenden Sie den Befehl Set-ReceiveConnector Internet -Banner "220 Contoso Internetgateway". Nach Eingabe und Bestätigung wird der Befehl umgesetzt; eine weitere Warnmeldung ergeht nicht.
Fehlerbehebung bei Verbindung mit der Exchange-Verwaltungskonsole und -Verwaltungs-Shell
Wenn Sie sich von einem anderen Server oder von einer Arbeitsstation mit der Exchange-Verwaltungskonsole verbinden, verwendet die Konsole immer eine Remote-PowerShell-Sitzung für die Verwaltung. Alle Befehle werden als CMDlet übertragen, die grafische Oberfläche ist nur ein Hilfsmittel.
Die Verbindung verwendet den IIS auf dem Exchange-Server für die Verbindung, und die PowerShell-Befehle greifen auf das HTTP-Protokoll zu. Damit die Verbindung über das Netzwerk funktioniert, setzt der IIS die Funktion Windows Remote Management (WinRM) und WSMan (Web Services for Management) ein. Durch die Remote-PowerShell-Sitzung über den IIS überträgt der Client seine Befehle an den Exchange-Server, auch wenn Sie die Exchange-Verwaltungs-Shell verwenden.
Damit die Verbindung über die Remote-PowerShell funktioniert, sollten Sie bei Problemen daher zunächst in einer Befehlszeile auf dem Exchange-Server den Befehl winrm quickconfig eingeben. Erscheint eine Rückfrage, geben Sie Y ein und bestätigen Sie die Aktivierung.
Sollte die Verbindung immer noch nicht funktionieren, geben Sie in der Befehlszeile noch den Befehl WinRM enumerate winrm/config/listener ein. Stellen Sie sicher, dass ein Listener mit dem Port 5985 aktiv und auf alle IP-Adressen des Servers gebunden ist. Selbstverständlich darf der Port nicht durch eine Firewall blockiert werden. Standardmäßig schaltet Exchange den Port in der Windows-Firewall frei. Setzen Sie eine weitere Firewall zwischen Client und Server ein, sollten Sie diesen Port durchlassen.
Für die Authentifizierung verwenden die Konsole und die Shell Kerberos. Wenn Sie in der IIS-Verwaltung auf dem Exchange-Server das virtuelle Verzeichnis für die PowerShell öffnen, sehen Sie, dass Kerbauth als Modul hinterlegt ist.
Stellen Sie sicher, dass dieses Modul nicht für die Standard-Website aktiviert ist, sondern nur für das virtuelle Verzeichnis PowerShell. Klicken Sie dazu auf das virtuelle Verzeichnis PowerShell in der IIS-Verwaltung und dann auf Module. Auch WSMan muss für das virtuelle Verzeichnis aktiviert sein.
Weitere Fehlerquellen
Auf dem Server können Sie in der Exchange-Verwaltungs-Shell testen, ob ein bestimmter Benutzer berechtigt ist, sich via Netzwerk über eine Remote-Powershell-Sitzung zu verbinden. Geben Sie dazu den Befehl (Get-User <Benutzername>).RemotePowershellEnabled ein. Erhalten Sie als Ausgabe false, darf der Benutzer keine Verbindung aufbauen, erhalten Sie true, ist die Verbindung gestattet.
Wollen Sie den Verbindungsaufbau für den Benutzer gestatten, verwenden Sie den Befehl Set-User <Benutzername> -RemotePowerShellEnabled $True. Überprüfen Sie in den Eigenschaften des virtuellen Verzeichnisses PowerShell, ob der korrekte Pfad in den Grundeinstellungen eingetragen ist.
Der Pfad in der Standardinstallation sieht folgendermaßen aus: C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\PowerShell. In manchen Fällen kann die Verbindung auch dann nicht aufgebaut werden, wenn Sie auf dem Server mehrere Webseiten aktiviert haben und die Standard-Website nicht verfügbar ist.
Auch die Konfiguration einer automatischen Ordnerumleitung zu https://<Servername>/owa führt häufig zu solchen Fehlern. Die PowerShell setzt den Port 80 für die Remote-Verbindung voraus. Ist der Port nicht vorhanden oder mit einer Seite verknüpft, lässt sich Exchange nicht über das Netzwerk verwalten.
Stellen Sie sicher, dass für die Standard-Website in den Bindungen für Port 80 kein Host-Name eingetragen und der Port auch mit der Seite verbunden ist. Auf dem virtuellen Verzeichnis PowerShell darf kein SSL aktiviert sein. Bei einem solchen Fehler erhalten Sie häufig eine Fehlermeldung in der Ereignisanzeige mit der Quelle Microsoft-Windows-WinRM und der EventID 10113.
Stellen Sie in der IIS-Verwaltung über Anwendungs-Pools sicher, ob alle notwendigen Exchange-Anwendungs-Pools gestartet sind, vor allem der Pool MSExchangePowerShellAppPool. Ein weiteres Problem beim Starten der Verwaltungsprogramme kann sein, dass die Variable ExchangeInstallPath nicht in den Systemvariablen auf dem Exchange-Server gesetzt ist oder auf den falschen Server zeigt.
Um das zu überprüfen, rufen Sie die Eigenschaften von Computer im Startmenü auf und wechseln auf die Registerkarte Erweitert. Klicken Sie anschließend auf die Schaltfläche Umgebungsvariablen. Stellen Sie sicher, dass im unteren Bereich bei Systemvariablen die Variable ExchangeInstallPath auf den Pfad C:\Program Files\Microsoft\Exchange Server\V14 zeigt beziehungsweise auf den Pfad, in dem Sie Exchange installiert haben. (mje)