We are family.
Ein Exchangeserver verwendet wenn möglich TLS (muss auf dem Sende- und Empfangsconnector eingerichtet sein).
Möchte man gerne die Verbindungen kontrollieren, dann kann man OpenSSL installieren und mit dem folgenden Befehl die Verbindung kontrollieren:
openssl s_client -connect remote.leibling.de:25 -starttls smtp
Bei einem Kunden wurden gefälschte Emails an die Buchhaltung gesendet, welche vorgaben von der Geschäftsleitung zu sein, welches das Ziel hatten die Buchhaltung zur Geldüberweisung zu bewegen.
Damit solche gefälschten Mails nicht mehr ankommen (zumindest nicht mit dem gefälschten Absender aus der eigenen Domain) habe ich dann im DNS SPF (Sender Policy Framework) eingerichtet – SPF war schon auf dem Mailgateway eingerichtet.
SPF wird im DNS in Form eine TXT Records eingerichtet – dieser sollte so aussehen:
v=spf1 include:remote.leibling.de include:mx.worldserver.net -all
Im Include sollte jeder Server stehen, der Mails im Namen der Domain versendet. Es kann auch mit ip4:1.2.3.4/24 erweitert werden.
Weitere Infos: https://de.wikipedia.org/wiki/Sender_Policy_Framework
Ein Tool um SPF Einträge zu erstellen gibt es hier: http://www.spf-record.de/generator
Ein Tool um den SPF zu prüfen gibt es hier: https://dmarcian.com/spf-survey/
Ich habe einen Kunden der zwei Standorte hat. Der eine Standort hat Exchange 2010 und alle Rechner vor Ort sind noch mit Outlook 2010 eingerichtet. Diese hatten kein Problem auf den lokalen Exchange Server zuzugreifen, da diese durch das AD konfiguriert werden konnten und nicht über Autodiscover konfiguriert waren.
In dem anderen Standort war „nur“ ein Essentials Server, Exchange wurde über VPN im anderem Standort mitbenutzt. Die Clients hatten ebenfalls noch Outlook 2010 und wurden manuell einrichtet.
Nun kam jedoch ein neuer Client mit Office 2016 dazu im entferntem Stadndort und konnte wegen dem fehlenden Autodiscover nicht eingerichtet werden.
Da der Server jedoch noch Windows Server 2008 R2 war kam einrichten einer weitern Bindung im IIS für Autodiscover (mit SNI) nicht in betracht.
Ich habe dazu dann auf dem DNS im Netz mit dem Exchange eine neue Zone für die Emaildomain eingerichtet und dort einen Servicerecord für Autodiscover erstellt:
Dazu noch in dem anderen Netz im DNS eine bedingte Weiterleitung eingerichtet für die Emaildomain welche auf den DNS im Exchange Standort zeigt.
Hinweis:
Eine andere Alternative (welche ich jedoch nicht ausprobiert habe) wäre es, wenn man statt einem Servicerecord einen Alias erstellt mit namen autodiscover auf dem Exchange Server.
Sollte eine Anmeldung erfolgen, so bitte unbedingt als Anmeldenamen domain\user verwenden und nicht die Emailadresse.
Vergesst bitte nicht im DNS auch die anderen Adressen anzulegen welche im echten DNS sind (z.B. Exchange URL, www usw.).
Wenn eine Rückfrage kommt, ob die Weiterleitung erlaubt ist diese zulassen und denn Hacken machen bei nicht mehr Rückfragen. Dann erscheint die Rückfrage in Zukunft nicht mehr.
Dieser Artikel ist noch im Aufbau und ist noch nicht komplett ausgeschrieben.
IIS Logs bereinigen:
http://chilltimes.de/2015/02/06/exchange-iis-log-dateien-regelmaessig-loeschen/
Mail Queue wächst und bereinigt sich nicht selber:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue
ToDo: http://www.admin-enclave.com/en/articles/exchange/296-resolved-exchange-hub-transport-mail-que-file-large-in-size.html
AntiSpam Agent speichert jede Mail zwischen:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Temp\UnifiedContent
ToDo: https://www.frankysweb.de/exchange-2016-verzeichnis-transportrolesdatatempunifiedcontent-muellt-festplatte-zu/
Sende- und Empfangconnectoren Logging ausschalten:
ECP > Nachrichtenfluss > Sende- und Empfangsconnectoren Tabs jeden Connector durchgehen und prüfen ob auf der ersten Seite das Logging auf deaktiviert ist.
Mehrere OWA vorhanden:
Normalerweise sollte unter C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem nur ein Ordner sein mit dem aktuellsten Build (ECP > Server > Version wird auf der rechten Seite angezeigt) – mir werden dort jedoch dort auch noch aktuellere angezeigt. Wird noch geklärt!
Auf dem Exchange Server in der Exchange Mangement Shell den folgenden Befehl eingeben:
New-PublicFolder -Path "\NON_IPM_SUBTREE\EFORMS REGISTRY" -Name "Organizational Forms Library"
In der Exchange Mangement Console unter Toolbox > Öffentliche Ordner Verwaltungskonsole wie folgt: Öffentliche Ornder – Servername > Öffentliche Systemordner > EFORMS REGISTRY auf der linken Seite anklicken.
Auf der rechten Seite dann Organizational Forms Library mit rechter Maustaste auf Eigenschaften und die Rechte anpassen (z.B. Public: Keine, Administratoren: Besitzer, Standard: Prüfer).
Dann in ExFolders die Standard Datenbank für öffentliche Ordner öffnen und links im Baum auswählen System Folders > EFORMS REGISTRY > Organizational Forms Library.
Dann rechte Maustaste Properties > Property > Add Property to view > 0x6707001E > ok.
Denn Eintrag PR_URL_NAME markieren (Achtung: Mir wurde manchmal 0x6707001F statt 0x6707001E angezeigt, später wurde es jedoch richtig angzeigt) und rechte Maustaste > Edit Value und bei Value „/NON_IPM_SUBTREE/EFORMS REGISTRY“ (ohne die “ natürlich) eintragen und mit Ok bestätigen.
Dann MFCMAPI.exe starten und unter Logon eine Verbindung herstellen (hierzu muss eine MAPI Verbindung auf dem Server eingerichtet sein!).
Dann im linken Baum den entsprechenden neuen Ordner öffnen (Public Root > NON_IPM_SUBTREE > EFORMS REGISTRY > Organizational Forms Library).
Dann rechte Maustaste > Edit give Property > Select Property Tag > PR_EFORMS_LOCAL_ID auswählen > Ok.
Dann in der Auswahl PR_EFORMS_LOCAL_ID editieren und dort in Unsignes Decimal 1031 einsetzen (andere Locale IDs sind hier zu finden) und mit Ok schließen.
Anschließend auf er rechten Seite > rechte Maustaste > Save Changes klicken.
Danach Outlook neu starten und Enticklertools aktivieren in den Einstellungen.
Nun können Formulare erstellt und im Ordner Bibliothek für organisatorische Formulare gespeichert werden und nach einiger Zeit (Replikation) bei den anderen in den Outlookeinstellungen unter Erweitert > Benutzerdefinierte Formulare > Formulare verwalten heruntergeladen werden.
Die Formulare können dann anschließend einem öffentlichen Ordner zugewiesen werden.
Weitere Quellen:
Kategorie: Allgemein , Diverse , ESXI , Exchange , Monitoring , Server , Sophos , Support , Technikblog
Hier der Status meines Hausnetzes in Echtzeit:
Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.
Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.
Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).
Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).
Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.
Ich setze folgende Funktionen ein:
Die Umstellung hat ca. 8 Stunden gedauert.
Da die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:
*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.
*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.
Ich hoffe der Beitrag hilft den einem oder anderem.
Mehrere SSL Zertifikate mit mehreren verschiedenen Namen und Zertifikaten auf der selben Seite zu verwenden (statt z.B. einem SAN Zertifikat für Exchange Server) kann man in dem Windows Server 2016 bequem über den Internetinformationdienste (IIS) – Manager einrichten.
Dazu gehen Sie wie folgt vor:
In einem Falle konnten einige User mit mobilen Geräten auf ihr Postfach zugreifen und andere wiederum nicht.
Somit konnte es kein generelles- oder Firewall Problem sein, sondern musste mit der Benutzerkonfiguration zu tun haben.
Das seltsame war, das auf dem iPhone das Konto eingerichtet werden konnte, doch wenn man das Postfach nutzen wollte, meldete ein Fehler „Senden und Empfangen nicht möglich“.
Ich erhielt auf dem Exchange folgende Meldungen in der Ereignisanzeige:
Natürlich hatten die Benutzer die ActiveSync-Nutzung erlaubt.
Bei Recherchen fand ich dann die Lösung im Web:
Dem Benutzer fehlten Rechte im AD um ActiveSync Container zu erstellen.
Die Lösung ist recht einfach:
Auf dem DC im DSA.msc in den User Eigenschaften auf Sicherheit und dann die Vererbung aktivieren. Nach ein paar Minuten konnten dann die entsprechenden User ihre Mobilgeräte nutzen.
Quelle:
https://forums.slipstick.com/threads/56324-administrator-account-cant-sync-phone-disabled/
Bei einem frisch installierten Exchange Server hatte ich das Problem das Mails nicht raus gingen. Weder direkt per MX noch über Relay.
Der Exchange sollte Mails an ein Mailrelay auf einer internen Sophos übergeben, die Mails gingen weder rein noch raus.
Wurden Mails im OWA versendet, lagen diese in Entwürfe und gaben die Meldung „Es ist ein Fehler aufgetreten“ und im Outlook blieben die Mails einfach im Postausgang liegen.
Testweise habe ich dann mit Telnet eine Mail an den Exchange gesendet um zu schauen ob ich einen Fehler sehe – und siehe da, mir wurde gemeldet: „4.5.1 Temporary Server Error PRX2“.
Bei einer Recherche fand ich dazu 2 Möglichkeiten:
Zum einen sollte in den Servereigenschaften (ECP) der DNS Server überschrieben werden, da es Probleme geben kann wenn ein interner (z.B. DC) und ein externer DNS (z.B. Provider DNS oder Firewall/Router mit Forwarder nach außen) verwendet werden in den Servernetzwerkeinstellungen. Zusätzlich könnte man auch in der Hosts-Datei alle internen Server mit IP, Hostname und FQDN aufnehmen.
Zum anderen kann es zu Problemen kommen wenn mehrere Connectoren den selbern Port verwenden (auch wenn die unterschiedliche Quelladressen verwenden). Da der SMTP und ein Relayserver auf dem selben Port lagen, habe ich kurzerhand den Relay auf die Sophos umverlegt.
Nach einem Serverneustart funktionierte nun wieder alles.
Quellen:
http://www.servolutions.de/support/articles/temporaryservererror2013.htm
https://www.servolutions.de/support/installexchg2013.htm#section3