Kategorie: Exchange

Netzwerk Monitoring mit PRTG

Hier der Status meines Hausnetzes in Echtzeit:


Sophos: Umstellung von UTM auf XG

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

  • Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
  • Umfangreicheres Muticast Routing
  • Umfangreiche Möglichkeiten bei der Webserververöffentlichung
  • In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

  • WLAN Intern und Gästenetz (mit eigenen Accesspoints)
  • Im Gästenetz Hotspot mit Vouchersystem
  • VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
  • VPN Einwahl
  • NAT / Firewall
  • Emailprotection
  • Webprotection
  • IPS
  • Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da  die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.


Windows Server 2016: Mehrere SSL Zertifikate auf einer IP

Mehrere SSL Zertifikate mit mehreren verschiedenen Namen und Zertifikaten auf der selben Seite zu verwenden (statt z.B. einem SAN Zertifikat für Exchange Server) kann man in dem Windows Server 2016 bequem über den Internetinformationdienste (IIS) – Manager einrichten.

Dazu gehen Sie wie folgt vor:

  • Starten Sie den Internetinformationdienste (IIS) – Manager.
  • Gehen Sie links auf den Servernamen.
  • Rechts klicken Sie auf Serverzertifikate und rechts dann auf Zertifikatsanforderungen.
  • Besorgen Sie sich nun ein Serverzertifkat (z.B. PSW.net oder SSLs.com) und spielen Sie dies ein.
  • Gehen Sie nun links auf die entsprechende Site mit der rechten Maustaste und wählen Bindungen aus.
  • Gehen Sie nun auf Hinzufügen und wählen Sie https aus, geben die neue URL ein, Port 443 und das entsprechende Zertifikat, bitte unbedingt auch den Haken bei SNI setzen.
  • Speichern Sie nun die Einstellungen und testen Sie diese, sollte es nicht klappen können Sie den IIS mit iisreset in einer privilegierten CMD Console neustarten .

Exchange 2016: Zugriff auf OWA funktioniert, jedoch keine Anmeldung an mobile Geräte möglich

In einem Falle konnten einige User mit mobilen Geräten auf ihr Postfach zugreifen und andere wiederum nicht.

Somit konnte es kein generelles- oder Firewall Problem sein, sondern musste mit der Benutzerkonfiguration zu tun haben.

Das seltsame war, das auf dem iPhone das Konto eingerichtet werden konnte, doch wenn man das Postfach nutzen wollte, meldete ein Fehler „Senden und Empfangen nicht möglich“.

Ich erhielt auf dem Exchange folgende Meldungen in der Ereignisanzeige:

  • 1031: MSExchange ActiveSync
  • 1053: MSExchange ActiveSync
  • 1107: MSExchange ActiveSync

Natürlich hatten die Benutzer die ActiveSync-Nutzung erlaubt.

Bei Recherchen fand ich dann die Lösung im Web:
Dem Benutzer fehlten Rechte im AD um ActiveSync Container zu erstellen.

Die Lösung ist recht einfach:
Auf dem DC im DSA.msc in den User Eigenschaften auf Sicherheit und dann die Vererbung aktivieren. Nach ein paar Minuten konnten dann die entsprechenden User ihre Mobilgeräte nutzen.

Quelle:

https://forums.slipstick.com/threads/56324-administrator-account-cant-sync-phone-disabled/


Exchange 2016: Emails gehen nicht raus

Bei einem frisch installierten Exchange Server hatte ich das Problem das Mails nicht raus gingen. Weder direkt per MX noch über Relay.

Der Exchange sollte Mails an ein Mailrelay auf einer internen Sophos übergeben, die Mails gingen weder rein noch raus.

Wurden Mails im OWA versendet, lagen diese in Entwürfe und gaben die Meldung „Es ist ein Fehler aufgetreten“ und im Outlook blieben die Mails einfach im Postausgang liegen.

Testweise habe ich dann mit Telnet eine Mail an den Exchange gesendet um zu schauen ob ich einen Fehler sehe – und siehe da, mir wurde gemeldet: „4.5.1 Temporary Server Error PRX2“.

Bei einer Recherche fand ich dazu 2 Möglichkeiten:

Zum einen sollte in den Servereigenschaften (ECP) der DNS Server überschrieben werden, da es Probleme geben kann wenn ein interner (z.B. DC) und ein externer DNS (z.B. Provider DNS oder Firewall/Router mit Forwarder nach außen) verwendet werden in den Servernetzwerkeinstellungen. Zusätzlich könnte man auch in der Hosts-Datei alle internen Server mit IP, Hostname und FQDN aufnehmen.

Zum anderen kann es zu Problemen kommen wenn mehrere Connectoren den selbern Port verwenden (auch wenn die unterschiedliche Quelladressen verwenden). Da der SMTP und ein Relayserver auf dem selben Port lagen, habe ich kurzerhand den Relay auf die Sophos umverlegt.

Nach einem Serverneustart funktionierte nun wieder alles.

Quellen:

http://www.servolutions.de/support/articles/temporaryservererror2013.htm

https://www.servolutions.de/support/installexchg2013.htm#section3


SBS 2011 Exchange, AD und DNS funktionieren nicht mehr, Fehler: Zugriff verweigert

Ich hatte dass Problem bei einem Kunden, das nach einem Neustart der Exchange Server nicht mehr startete.

Bei der Fehlersuche fand ich heraus, das das auch kein Zugriff auf DNS Management Konsole mehr möglich war, ich bekam die Fehlermeldung „Zugriff verweigert“ und in der Ereignissanzeige fand ich mehrere Meldungen, die Anmeldeprobleme bestätigten.

Weiterhin seltsam war, das der Server nicht mehr einem „Domänennetzwerk“ zugeordnet war, sondern nur noch einem Öffentlichen Netzwerk – man konnte zwar diesen in einem „Arbeitsplatznetzwerk“ zuordnen, jedoch nicht mehr einem Domänennetzwerk.

Neustarts halfen nichts und dauerten ewig (ca. 40 Minuten bis die GUI komplett geladen war).

Recherchen zeigten, das wohl intern die „interdomain trustrelationship“ beschädigt war.

Nach einem Neustart habe ich dann den folgende Befehlt eingeben:

nltest /sc_change_pwd:domainname.local

Als Antwort erhielt ich folgende Meldung:

Kennzeichen: 0
Verbindung Status = 0 0x0 NERR_Success
Der Befehl wurde ausgeführt.

Danach habe ich denn Server neugestartet und siehe da, wie von Zauberhand war das Problem behoben.

Der Server startete wieder schneller, Exchange funktionierte, der Zugriff auf die DNS Management Konsole war ohne Probleme möglich und in den Netzwerkeinstellungen war der Server wieder einem Domänennetzwerk zugeordnet.

Quelle: https://davidatkin.com/blog/server-2008-r2-sbs2011-dns-access-denied-network-unauthenticated/


Exchange 2010: Leere Seite oder Fehlermeldung nach Anmelden am OWA

Sollte nach einem Anmelden ans OWA nur eine Leere Seite erscheinen oder eine Seite mit dem Hinweis das die Seite nicht geladen werden konnte so sollte man wie folgt vorgehen:

  • Prüfen ob alle Exchange Updates installiert sind (Stand 11.12.15 SP3 RU 11), wenn nicht diese installieren
  • Dann Updatecas.ps1 ausführen (C:\Programme\Microsoft\Exchange Server\V14\Bin in Exchange Powershell, beim Starten aus dem selben Verzeichnis noch .\ vor dem  Befehl setzen)
  • Nach Erfolg noch einen IISReset (CMD mit Administratorrechten)

 


Exchange 2010/2013/2016 ohne SAN Zertifikat betreiben

Sollte man von einem SAN Zertifikat umsteigen auf ein herkömmliches Zertifikat, so muss man auch noch einige Einstellungen im Exchange vornehmen, damit keine Fehlermeldungen mehr erscheinen beim öffnen von Outlook usw.

Vorbereitungen:

  • In der ECP die externe Adresse unter Nachrichtenfluss > Akzeptierte Domänen einrichten.
  • Danach in der ECP unter Nachrichtenfluss > E-Mail-Adressrichtlinie die Default Policy bearbeiten mit der externen Adresse und Anwenden.
  • Im Internen DNS (AD-DNS und DNS für die echte Emailadresse) sowie im Externen DNS folgendes einrichten:
    • Hosteintrag auf dem das Zertifikat läuft
    • CNAME von autodiscover auf die Zertifikatsadresse.
    • Servicerecord erstellen mit den folgenden Werten:

Service: _autodiscover
Protokoll: _tcp
Priorität: 0
Gewichtung: 0
Port: 443
Host: Adresse des Hostes auf dem das Zertifikat läuft

Danach müssen in der Exchange Management Shell folgende Änderungen vorgenommen werden:

Set-ClientAccessServer -Identity servername -AutoDiscoverServiceInternalUri “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-AutodiscoverVirtualDirectory -Identity “servername\Autodiscover (Default Web Site)” -InternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml” -ExternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-WebServicesVirtualDirectory -Identity “servername\EWS (Default Web Site)” -InternalUrl “https://exchange.domain.de/EWS/Exchange.asmx” -ExternalUrl “https://exchange.domain.de/EWS/Exchange.asmx”

Set-OWAVirtualDirectory -Identity “servername\OWA (Default Web Site)” -InternalUrl “https://exchange.domain.de/owa” -ExternalUrl “https://exchange.domain.de/owa”
Set-ECPVirtualDirectory -Identity “servername\ECP (Default Web Site)” -InternalUrl “https://exchange.domain.de/ecp” -ExternalUrl “https://exchange.domain.de/ecp”
Set-ActiveSyncVirtualDirectory -Identity “servername\Microsoft-Server-ActiveSync (Default Web Site)” -InternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync” -ExternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync”
Set-MapiVirtualDirectory -Identity „servername\mapi (Default Web Site)“ -InternalUrl https://exchange.domain.de/mapi -ExternalUrl https://exchange.domain.de/mapi -IISAuthenticationMethods NegotiateSet-OABVirtualDirectory -Identity “servername\OAB (Default Web Site)” -InternalUrl “https://exchange.domain.de/OAB” -ExternalUrl “https://exchange.domain.de/OAB”
Enable-OutlookAnywhere -Server servername -ExternalHostname “exchange.domain.de” -ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Weitere Infos:


outlook.com bzw. Office365 Server whitelisten

Ich hatte das Problem bei einem Kunden, das dieser keine Emails von Empfängern erhalten konnten, die outlook.com bzw. Office 365 nutzten.

Laut mxtoolbox.com war jedoch alles ok.

In den Logs der Sophos fand ich jedoch folgende Zeilen:

2015:08:12-22:37:59 gateway exim-in[16769]: 2015-08-12 22:37:59 TLS error on connection from mail-db3on0121.outbound.protection.outlook.com (emea01-db3-obe.outbound.protection.outlook.com) [157.55.234.121]:2048 (SSL_accept): error:00000000:lib(0):func(0):reason(0)
2015:08:12-22:37:59 gateway exim-in[16769]: 2015-08-12 22:37:59 TLS client disconnected cleanly (rejected our certificate?)
2015:08:12-22:37:59 gateway exim-in[16769]: 2015-08-12 22:37:59 SMTP connection from mail-db3on0121.outbound.protection.outlook.com (emea01-db3-obe.outbound.protection.outlook.com) [157.55.234.121]:2048 closed by EOF

Nachdem ich das TLS Zertifikat der Firewall noch mal ausgetauscht hatte, funktionierte die Kommunikation einwandfrei:

2015:08:14-13:27:03 gateway exim-out[23820]: 2015-08-14 13:27:03 1ZQD8W-0006C6-Ip => absender@url.com P=<empfaenger@ulr.org> R=dnslookup T=remote_smtp H=xxxx.mail.protection.outlook.com [213.199.04.0]:25 X=TLSv1.2:ECDHE-RSA-AES256-SHA384:256 C="250 2.6.0 <9101E7B53B7D6E40AF7D0311DBxxxxxxxx@server> [InternalId=126186139xxxx"
2015:08:14-13:27:03 gateway exim-out[23820]: 2015-08-14 13:27:03 1ZQD8W-0006C6-Ip Completed

Dennoch habe ich die Mailserver von Outlook.com whitegelistet (zumindest bezüglich der Kommunikation, nicht in der inhaltlichen Prüfung bezüglich Spam oder Viren).

Die Adressen findet man hier: https://technet.microsoft.com/en-us/library/dn163583(v=exchg.150).aspx

 


Kostenlose Microsoft Schulungen

Es gibt auch kostenlose Möglichkeiten sich weiterzubilden.

Eine davon stammt sogar von Microsoft selber – die Microsoft virtual Academy.

Dort findet man massenweise Videos mit Informationen und späteren Testen – sozusagen, wie ein virtuelles Klassenzimmer.

Leider sind diese Videos und Teste nur auf Englisch.