Exchange: Ordnerzugriffe per Shell

Exchange: Ordnerzugriffe per Shell

Sollte ein Anwender krank sein und jemand muss auf seine Ordner zugreifen, so kann dies der Administrator auch per Shell erledigen.

Hier dazu der Microsoftartikel:

https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/add-mailboxfolderpermission?view=exchange-ps

Der Powershell Befehl lautet z.B. wie folgt:

Add-MailboxFolderPermission -Identity <inhaber>:\Mailbox -User <vertretung> -AccessRights Editor -SharingPermissionFlags Delegate

Rechte:
Editor (erstellen)
Reviewer (nur lesen)

Rechtevorgabe Beispiel:
Calender: Editor
Tasks: Reviewer
Inbox: Reviewer

Vorlage:

Add-MailboxFolderPermission -Identity <inhaber>:\Calendar -User <vertretung> -AccessRights Editor
Add-MailboxFolderPermission -Identity <inhaber>:\Tasks -User <vertretung> -AccessRights Reviewer
Add-MailboxFolderPermission -Identity <inhaber>:\Inbox -User <vertretung> -AccessRights Reviewer


Outlook 2016/365 fordert immer wieder Anmeldedaten an bzw. Outlook kann nicht eingerichtet werden trotz korrektem Autodiscover

Diese Lösung ist nur für Problemfälle mit einem lokalen bzw. on-Premise Exchange Server – NICHT für Office 365 Exchange Systeme.

Um als erstes ein Problem mit den Anmeldedaten auszuschließen, melden Sie sich an OWA (Outlook Web Access) an und prüfen Sie ob diese richtig sind.

Wenn ja, dann kann es sein, das Outlook versucht ihre Daten mit Office 365 Server abzugleichen – obwohl Sie einen eigenen Exchange Server haben. Da dann ihre Zugangsdaten nicht akzeptiert werden vom Office 365 Server kommt immer wieder die Anmeldemaske bzw. kann die Outlook-konfiguration nicht abgeschlossen werden.

Dies sehen Sie daran, das wenn Sie ihre Emailatokonfiguration prüfen (Outlook öffnen, STRG Taste gedrückt halten und mit der rechten Maustaste auf das Outlook Icon, dann sehen Sie dort den Eintrag) und dann Verbindungsversuche kommen nach outlook.office365.com .

Um dies Outlook abzugewöhnen, können Sie einen folgenden Registryeintrag erstellen (entweder von Hand oder über GPO) unter:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover

  • Typ: DWORD
  • Name: ExcludeExplicitO365Endpoint
  • Wert: 1 (0x00000001, HEX)

Sollte das immer noch nicht klappen, so kann man noch eine weitere Lösung zu rate ziehen:

Erstellen sie in ihrem DNS eine Zone für outlook.office365.com mit einem Hosteintrag auf die IP ihres Exchange Servers (z.B. CAS Server). Warten Sie ab, bis die Einstellung im DNS repliziert ist, leeren sie den Cache des DNS Servers bzw. des Clients (ipconfig /flushdns).

Clients die mobil arbeiten könnte man die Hostsdatei anpassen.

Prüfen Sie dann erneut ob alles funktioniert.

Update 2019:

Der saubere Weg wäre das eigene AD mit Office 365 zu verbinden, dies ist jedoch umfangreich. Eine Anleitung finde ihr hier:
https://www.leibling.de/office-365-mit-active-directory-verbinden/


Kostenlosen Sharepoint 2013 Foundation als OneNote Speicher

Der Artikel ist noch in der Erstellung …

Wichtig: Der Sharepoint ist seit 10.4.2018 EOL, es gibt jedoch noch Sicherheitsfixes bis 11.4.2023 (Enhanced Maintenance).

Hinweis zu iOS und Android Apps: Mittlerweile kann man nicht mehr auf eigene OneNote-Dateien auf einem Sharepoint zugreifen. Hier geht nur noch lediglich der Zugriff über die Webapp oder Terminalserver – wobei dann die Stiftnutzung entfällt. Soll weiterhin ein Stift genutzt werden mit OneNote Dateien auf einem Sharepoint, so ist ein Windows Gerät zu nutzen (z.B. das Surface Go ab 429€).

Hinweis zur Windows 10 (UWP) Version bzw. Nachfolger von Office 2013/2016: Nur die Versionen OneNote 2013/2013/2016 können zu einem Sharepoint verbinden. Im Office 2019 ist kein OneNote mehr enthalten – es soll statt dessen die Windows 10 Version genutzt werden. Doch diese kann sich nicht mehr zu einem eigenen Sharepoint Server verbinden, sie unterstützt nur OneDrive oder OneDrive Business.

Nun zum eigentlichen Artikel.

Da ich meine OneNote Notizen nicht in der Cloud speichern darf (enthalten persönliche Daten) und lokal halten möchte, bleibt mir nichts anderes üblich als einen Sharepoint Server als Speicherziel einzusetzen.

Die letzte kostenlose Version ist der Sharepoint 2013 Foundation, alle anderen danach sind kostenpflichtig.

Alternativ könnte man auch einen Hosted Sharepoint verwenden und die User mit dem AD Syconisieren – dann wäre jedoch auch wieder die Daten in der Cloud, was ich nicht möchte.

Als erstes erstelle ich eine VM welche auf Windows Server 2012 R2 basiert. Diese bekommt 4 vCPUs, 8 GB Ram und 300 GB Festplatte.

Vorbereitungen:

  • Windows 2012 R2 installieren
  • VMWare Tools installieren
  • Namen festlegen
  • IP festlegen
  • Ans AD anbinden
  • Windowsupdates ausführen
  • Prüfen das Dot Net 4.5 installiert ist (bei 4.6 oder 4.7 schlägt die Installation fehl)!
  • Webserver- und Anwendungserverrolle installieren.
  • DotNet Framework 3.5 installieren (z.B.
    DISM /online /enable-feature /featurename:NetFx3 /all /Source:<CD Laufwerk>:\Sources\SxS /LimitAccess )

Als Domänenadministrator anmelden.

Anschließend Chrome installieren und Sharepoint 2013 SP1 Foundation runterladen.

Im ersten durchlauf werden Softwarevoraussetzungen installieren.

Dies läufen bei mir mehrmals durch und versuchen folgende Voraussetzungen zu installieren:

• Microsoft .NET Framework 4.5
• Windows Management Framework 3.0
• Anwendungsserverrolle, Webserverrolle (IIS)
• Systemeigener Client von Microsoft SQL Server 2008 R2 SP1
• Windows Identity Foundation (KB974405)
• Microsoft Sync Framework Runtime v1.0 SP1 (x64)
• Windows Server AppFabric
• Microsoft Identity-Erweiterungen
• Microsoft Information Protection and Control-Client
• Microsoft WCF Data Services 5.0
• Microsoft WCF Data Services 5.6
• Kumulatives Updatepaket 1 für Microsoft AppFabric 1.1 für Windows Server (KB2671763)

Installiert nun das Sync Framework (alle Dateien entzippen und nach und nach installieren), WFC 5.0 und 5.6., sowie die Identity Foundation und die Extionsion.

Windows App Fabric muss ebenfalls installiert sein, jedoch benötigt, das auch noch eine Konfiguration – ladet das Softwarepacket hier und das Update hier runter. Entpackt mit einem Tool wie z.B. 7Zip nach z.B. c:\Pre – und kopiert die beiden Dateien dorthin. Wechselt mit CMD (als Administrator ausführen) und führt den folgenden Befehl aus:

preprequisiteinstaller.exe /appFabric:C:\Pre\WindowsServerAppFabricSetup_x64.exe

Nun solltet ihr euer Zertifikat einpflegen (günstige einfache Zertifikate gibt es bei ssls.com – ich nutze selber ein Wildcard von dort.

NOCH UPZUDATEN!!!

Solltet ihr noch keins haben, dann geht bitte wie hier beschrieben vor (LINK NOCH EINFÜGEN!).

Alternative Namen angeben.

Webserver veröffentlichen (z.B. Portforwarder oder Sophos WAF).

Emailanbindung erstellen

Root bei Bedarf für alle freigeben (z.B. wenn Extranet mit öfffentlichen Informationen sein soll).

Als letzten noch Windowsupdates ausführen. Ich erstelle Sicherheitshalber noch einen Snapshot vorher nach so massiven Änderungen – welchen ich natürlich nach erfolgreichen Updates wieder lösche.

Solltet ihr einen Virenschutz auf dem Server haben, denkt auch bitte daran die Ausnahmen zu definieren.

Auch solltet ihr nicht vergessen, die Datensicherung einzurichten. Löscht auch alles was ihr nicht mehr benötigt (z.B. Snapshots, Downloads und das Pre-Verzeichnis).

Nutzung:

Öffnen und erstellen in Windows 10 UWP App nicht möglich.

Öffnen und erstellen in iOS / Android nicht mehr möglich.

Öffnen und erstellen in OneNote 2013/2016

Links:

Prüfen welche Dot Net Version installiert ist: https://docs.microsoft.com/de-de/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed#net_b

Voraussetzungen manuell installieren: https://blogs.technet.microsoft.com/meamcs/2012/12/26/install-and-download-sharepoint-2013-prerequisites-offline-manually/

Sharepoint mit HTTPS veröffentlichen: https://blogs.msdn.microsoft.com/fabdulwahab/2013/01/20/configure-ssl-for-sharepoint-2013/

Erstellen OneNote Library: https://www.microsoft.com/en-us/microsoft-365/blog/2012/07/26/onenote-on-sharepoint-a-quick-guide-for-site-admins/

Sharepoint Maintenance: https://support.microsoft.com/en-us/lifecycle/search?alpha=sharepoint%202013

OneNote Datei auf eigenem Sharepoint erstellen: https://blogs.technet.microsoft.com/office_integration__sharepoint/2014/03/20/no-options-to-sync-a-onenote-notebook-to-an-on-premises-sharepoint-server/

OneNote aktivieren in Sharepoint: https://support.office.com/de-de/article/aktivieren-von-features-f%C3%BCr-websites-787f3ba1-9df6-480a-ab4c-9f4525490cb9


Exchange 2016: Bereinigen da sich Platte füllt

Dieser Artikel ist noch im Aufbau und ist noch nicht komplett ausgeschrieben.

IIS Logs bereinigen:
http://chilltimes.de/2015/02/06/exchange-iis-log-dateien-regelmaessig-loeschen/

Mail Queue wächst und bereinigt sich nicht selber:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue
ToDo: http://www.admin-enclave.com/en/articles/exchange/296-resolved-exchange-hub-transport-mail-que-file-large-in-size.html

AntiSpam Agent speichert jede Mail zwischen:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Temp\UnifiedContent
ToDo: https://www.frankysweb.de/exchange-2016-verzeichnis-transportrolesdatatempunifiedcontent-muellt-festplatte-zu/

Sende- und Empfangconnectoren Logging ausschalten:
ECP > Nachrichtenfluss > Sende- und Empfangsconnectoren Tabs jeden Connector durchgehen und prüfen ob auf der ersten Seite das Logging auf deaktiviert ist.

Mehrere OWA vorhanden:
Normalerweise sollte unter C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem nur ein Ordner sein mit dem aktuellsten Build (ECP > Server > Version wird auf der rechten Seite angezeigt) – mir werden dort jedoch dort auch noch aktuellere angezeigt. Wird noch geklärt!


Exchange 2010/2013/2016 ohne SAN Zertifikat betreiben

Sollte man von einem SAN Zertifikat umsteigen auf ein herkömmliches Zertifikat, so muss man auch noch einige Einstellungen im Exchange vornehmen, damit keine Fehlermeldungen mehr erscheinen beim öffnen von Outlook usw.

Vorbereitungen:

  • In der ECP die externe Adresse unter Nachrichtenfluss > Akzeptierte Domänen einrichten.
  • Danach in der ECP unter Nachrichtenfluss > E-Mail-Adressrichtlinie die Default Policy bearbeiten mit der externen Adresse und Anwenden.
  • Im Internen DNS (AD-DNS und DNS für die echte Emailadresse) sowie im Externen DNS folgendes einrichten:
    • Hosteintrag auf dem das Zertifikat läuft
    • CNAME von autodiscover auf die Zertifikatsadresse.
    • Servicerecord erstellen mit den folgenden Werten:

Service: _autodiscover
Protokoll: _tcp
Priorität: 0
Gewichtung: 0
Port: 443
Host: Adresse des Hostes auf dem das Zertifikat läuft

Danach müssen in der Exchange Management Shell folgende Änderungen vorgenommen werden:

Set-ClientAccessServer -Identity servername -AutoDiscoverServiceInternalUri “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-AutodiscoverVirtualDirectory -Identity “servername\Autodiscover (Default Web Site)” -InternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml” -ExternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-WebServicesVirtualDirectory -Identity “servername\EWS (Default Web Site)” -InternalUrl “https://exchange.domain.de/EWS/Exchange.asmx” -ExternalUrl “https://exchange.domain.de/EWS/Exchange.asmx”

Set-OWAVirtualDirectory -Identity “servername\OWA (Default Web Site)” -InternalUrl “https://exchange.domain.de/owa” -ExternalUrl “https://exchange.domain.de/owa”
Set-ECPVirtualDirectory -Identity “servername\ECP (Default Web Site)” -InternalUrl “https://exchange.domain.de/ecp” -ExternalUrl “https://exchange.domain.de/ecp”
Set-ActiveSyncVirtualDirectory -Identity “servername\Microsoft-Server-ActiveSync (Default Web Site)” -InternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync” -ExternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync”
Set-MapiVirtualDirectory -Identity „servername\mapi (Default Web Site)“ -InternalUrl https://exchange.domain.de/mapi -ExternalUrl https://exchange.domain.de/mapi -IISAuthenticationMethods NegotiateSet-OABVirtualDirectory -Identity “servername\OAB (Default Web Site)” -InternalUrl “https://exchange.domain.de/OAB” -ExternalUrl “https://exchange.domain.de/OAB”
Enable-OutlookAnywhere -Server servername -ExternalHostname “exchange.domain.de” -ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Weitere Infos:


Exchange 2013: OWA unsichere Anlagen nicht mehr blockieren

Standardmäßig werden im Exchange 2013 unsichere Anlangen wie EXE, CRT usw. nicht freigegeben zum Download.

Sollen diese nun doch freigegeben werden, so kann man dies im ECP einstellen.

  • Logen Sie sich im ECP ein.
  • Gehen Sie nach Berechtigungen > Outlook Web App – Richtlinien.
  • Editieren Sie die Default-Richtlinie.
  • Unter dem Punkt Dateizugriff können Sie die Freigaben erlauben.

Windows 2012 R2 und Exchange 2013 SP1

Mal wieder Zeit mit aktuellen Produkten eine aktuelle Umgebung bereitzustellen.

Da der Windows Server 2012 R2 und das Exchange 2013 SP1 draußen ist, werfe ich mal einen Blick drauf und setze den bei mir im LAB ein.

Mal sehen, was es so neues gibt :).


Installation Exchange 2013

Installationsanleitung: Exchange 2013 SP1: Installation and Upgrade « MSExchangeGuru.com.

Quelle: http://msexchangeguru.com/2014/03/02/e2013sp1-installationupgrade/

 

 

AD einrichten

Vorbereitungen:

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

Exchange 2013 Spamfilter einrichten

Zuerst den Spamfilter aktivieren:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>.\Install-AntiSpamAgents.ps1

Danach den Transportdienst neustarten:

Restart-Service MSExchangeTransport

Eigenen Server vom Scan herausnehmen:

Set-TransportConfig -InternalSMTPServers @{Add=“192.168.250.200″}

Danach durch konfigurieren:

Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net
Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org
Set-SenderIDConfig -SpoofedDomainAction Delete
Set-SenderReputationConfig -SenderBlockingEnabled $true -SrlBlockThreshold 6 -SenderBlockingPeriod 36
Set-SenderFilterConfig -BlankSenderBlockingEnabled $true
Set-ContentFilterConfig -SCLQuarantineThreshold 6
Set-ContentFilterConfig -SCLDeleteEnabled $true
Set-ContentFilterConfig -SCLQuarantineEnabled $true -QuarantineMailbox admin@bk-systeme.de
Set-ContentFilterConfig -SCLRejectEnabled $false


Exchange 2013 Script zum CAS konfigurieren

Kategorie: Exchange , Support

Exchange 2013 Script – CAS Konfigurieren:

http://www.frankysweb.de/?p=2518

 

clear-host
write-host „Bitte Namen des CAS-Servers eingeben (Bsp.: EXSRV):“
write-host „“
$CASname = read-host „CAS Shortname“
write-host „“

write-host „Bitte interne Zugriffs-URL angeben (Bsp.: outlook.frankysweb.local)“
write-host „“
$OAinternal = read-host „Interner Servername“
write-host „“

write-host „Bitte externe Zugriffs-URL angeben (Bsp.: owa.frankysweb.de)“
write-host „“
$OAexternal = read-host „Externer Hostname“
write-host „“

$activesyncurl = „https://“ + „$OAexternal“ + „/Microsoft-Server-ActiveSync“

$owaexternalurl = „https://“ + „$OAexternal“ + „/OWA“
$ecpexternalurl = „https://“ + „$OAexternal“ + „/ECP“
$ewsexternalurl = „https://“ + „$OAexternal“ + „/EWS/Exchange.asmx“
$oabexternalurl = „https://“ + „$OAexternal“ + „/OAB“
$autodiscoverurl = „https://“ + „$OAexternal“ + „/AutoDiscover/AutoDiscover.xml“

$activesyncvdir = „$casname“ + „\Microsoft-Server-ActiveSync (Default Web Site)“
$oabvdirinternal = „$casname“ + „\OAB (Default Web Site)“

$owavdir = „$casname“ + „\OWA (Default Web Site)“
$ecpvdir = „$casname“ + „\ECP (Default Web Site)“
$EWSvdir = „$casname“ + „\EWS (Default Web Site)“

write-host „Folgende URLS werden konfiguriert:“
write-host „———————————-“
write-host „“
write-host „ActiveSync UTL: $activesyncurl“
write-host „Externe OWA URL: $owaexternalurl“
write-host „Externe ECP URL: $ecpexternalurl“
write-host „Exetrne EWS URL: $ewsexternalurl“
write-host „Autodiscover URL: $autodiscoverurl“
write-host „“
write-host „Folgene Services werden geändert:“
write-host „———————————-“
write-host „“
write-host „ActiveSync: $activesyncvdir“
write-host „OAB: $oabvdirinternal“
write-host „OWA: $owavdir“
write-host „ECP: $ecpvdir“
write-host „EWS: $EWSvdir“
write-host „“

Get-OutlookAnywhere | Set-OutlookAnywhere -InternalHostname „$OAinternal“ -InternalClientAuthenticationMethod Ntlm -InternalClientsRequireSsl $true -ExternalHostname „$OAexternal“ -ExternalClientAuthenticationMethod Basic -ExternalClientsRequireSsl $true -IISAuthenticationMethods Negotiate,NTLM,Basic
Set-ActiveSyncVirtualDirectory -Identity „$activesyncvdir“ -ExternalUrl „$activesyncurl“
Set-WebServicesVirtualDirectory -Identity $EWSvdir -externalURL $ewsexternalurl
Set-OABVirtualDirectory -Identity „$oabvdirinternal“ -ExternalUrl $oabexternalurlget
Set-ClientAccessServer -Identity $casname -AutoDiscoverServiceInternalURI $autodiscoverurl
Set-OwaVirtualDirectory $owavdir -ExternalUrl $owaexternalurl
Set-EcpVirtualDirectory $ecpvdir -ExternalUrl $ecpexternalurl

write-host „…Fertig!“