Aufbau einer kleinen Exchange 2016 Organisation (Teil 1)

Wie ja hier bereits angekündigt, gibt es hier auch die detaillierte Konfiguration zu meiner Exchange 2016 Organisation. Ziel ist es diese Umgebung aufzubauen:

Organisation

Hierfür benutze ich eine meiner Testdomains (frankysweb.org), die von Strato gehostet wird. Ich fange auf der grünen Wiese an, lediglich folgende Dinge sind bereits vorbereitet:

  • 2 x Windows Server 2012 R2 als VM mit allen Windows Updates
  • 1 x Fritzbox mit konfigurierten Internetzugang und dynamischer IP vom Provider
  • 1 x Sophos UTM als VM (WAN Port der UTM an LAN Port der Fritzbox, LAN Port der UTM im gleichen Netz wie die beiden Windows Server
  • gehostete Domain bei Strato (frankysweb.com)

Die beiden Windows Server sind bereits mit statischen IPs konfiguriert und wurden mit Windows Updates versorgt, hier die Namen und die IPs:

  • DC 172.16.100.12/24
  • Exchange: 172.16.100.13/24

Die UTM Sophos UTM (Basiskonfiguration) hört auf die folgenden IPs:

  • WAN: 192.168.10.105/24
  • LAN: 172.16.100.254/24

Die Fritzbox ist mit folgenden IPs konfiguriert:

  • WAN: dynamisch vom Provider
  • LAN: 192.168.10.1

Im ersten Teil dieser Artikelserie geht es um die Einrichtung des Active Directorys und der Konfiguration.

Installation Active Directory

Der Server mit dem sprechenden Namen DC wird Domain Controller für das Active Directory frankysweb.org. Das AD heißt also genauso wie die Domain bei Strato. Es funktioniert natürlich auch jeder andere Name, aber diese Konfiguration ist in kleinen Umgebungen schön einfach.

Hier noch einmal die IP Einstellungen des Servers DC:

image

Statische IP wie eingangs schon erwähnt, DNS zeigt auf die UTM.

Um ein neues Active Directory zu erstellen, muss zuerst die Serverrolle installiert werden, also Servermanager starten und Rolle mit den vorgeschlagenen Komponenten installieren

image

Nachdem die Rolle installiert wurde, kann der Server zum Domain Controller hochgestuft werden

image

Im ersten Dialog wird eine neue Gesamtstruktur mit dem Namen frankysweb.org erzeugt.

image

Im darauffolgenden Dialog, muss nur das Passwort für den Wiederherstellungsmodus vergeben werden, die anderen Einstellungen werden so belassen

image

Die Warnung im nächsten Dialog ist normal und bedeutet das beim authorativen DNS Server (in diesem Fall Strato) keine Delegierung für den Server DC eingerichtet werden kann, das wollen wir auch nicht tun, den wir verwenden DNS Split Brain, dazu später mehr.

image

Der Netbios Name mit nächsten Dialog, kann ebenfalls belassen werden. In meinem Fall ist es „FRANKYSWEB“

image

Die Pfade können ebenfalls übernommen werden, ich würde die Pfade auch nicht anpassen, denn mir fallen auf Anhieb ein paar Programme ein, die anderen Pfaden ein Problem haben,

image

Jetzt wird noch eine Zusammenfassung der Einstellungen angezeigt

image

Nachdem die Voraussetzungsüberprüfung abgeschlossen ist, kann installiert werden. Die Warnungen sind auch in diesem Fall wieder normal, wie oben schon erwähnt.

image

Der Server wird automatisch nach der Installation neugestartet, nachdem der Neustart erfolgt ist, kann die Konfiguration erfolgen.

Konfiguration DNS

Die Konfiguration des DNS Servers ist nicht weiter schwierig und schnell gemacht. Es gibt lediglich ein paar Dinge zu beachten. Für die Domain frankysweb.org gibt es nun 2 DNS Server, einen öffentlichen DNS Server bei Strato und einen internen DNS Server den wir eben mit der AD-Rolle installiert haben. Wenn ein interner Client, beispielweise ein PC, nun versucht www.frankysweb.org aufzurufen, wird der DC mit Non-Existent antworten.

image

Der interne DNS (DC) kennt eben keinen Host mit dem Namen www, also muss er entsprechend angelegt werden. Damit intern auf www.frankysweb.org zugegriffen werden kann, muss also ein HOST-A Eintrag mit dem Namen www. erstellt werden. Als IP Adresse wird die öffentliche IP des Webservers bei Strato eingegeben:

image

Jetzt sieht die DNS Konsole in etwa so aus:

image

Und auch die Namensauflösung von externen Hosts funktioniert:

image

Als es also noch weitere öffentliche Hosts geben soll, die intern erreichbar sein sollen (blog.frankysweb.org oder shop.frankysweb.org) müssen diese Hosts auch am internen DNS Server eingetragen werden. Am öffentlichen Strato DNS, müssen wir natürlich nicht unseren DC bekannt machen, geht ja keinen was an, wer Domain Controller ist :-)

Als nächstes muss die Reverse Lookup Zone angelegt werden, damit auch später die Rückwärtsauflösung funktioniert:

image

Zonentyp: Primäre Zone

image

Zonenreplikationsbereich kann so belassen werden

image

IPv4 ist auch schön

image

Netzwerk-ID ist das entsprechende Subnetz, also in meinen Fall 172.16.100

image

Und wir erlauben nur sichere Updates

image

Schon fertig. Jetzt können die PTR Records erstellt werden, also in der Forward Lookup Zone einen Doppelklick auf den DC ausführen und das Häkchen bei „Entsprechenden Zeigereintrag (PTR) aktualisieren“ setzen

image

Bei dem Host www ist das nicht erforderlich, denn wir haben und brauchen auch keine Reverse Lookup Zone dafür.

Jetzt kann auch direkt noch ein Host Eintrag für die UTM angelegt werden:

image

Fertig. Weiter geht es mit dem Actove Directory

Konfiguration Active Directory

In der Konsole „Active Directory Standorte und Dienste“ legen wir jetzt ein neues Subnetz an

image

Als Präfix wird das Subnetz angegeben und dem Standort (Default-First-Site-Name) zugeordnet:

image

Das war schon alles. Jetzt kann man sich eine schöne OU-Struktur überlegen, hier muss jeder selbst überlegen, wie er Benutzer, Gruppen und Computer am besten verwalten kann. Ich habe für meine Testumgebung 4 Organisationseinheiten angelegt:

image

Benutzer, Gruppen, Server und PCs. In der OU Benutzer habe ich ein paar Benutzer angelegt, hier ein Beispiel:

image

Sieht schon verdächtig wie eine schöne E-Mail Adresse aus, oder? :-) Auch eine Gruppe habe ich schon einmal erzeugt und meinen Benutzer hinzugefügt:

image

Das war schon alles.

Zusammenfassung

An dieser Stelle haben wir ein Active Directory, welches sich für die Installation einer Exchange Server Organisation eignet. Ein Testbenutzer und eine Gruppe ist ebenfalls schon angelegt. Wichtig ist das Thema DNS-Split Brain, externe Server müssen auch am internen DNS angelegt werden, damit sie aus dem internen Netz erreichbar, bzw. auflösbar sind (siehe Beispiel www). In kleinen Umgebungen, finde ich es völlig in Ordnung so zu verfahren, da sich meistens nur wenige Änderungen ergeben und es nur eine Handvoll entsprechender Einträge gibt. Für größere Umgebungen, gibt es andere Konzepte (schon wieder ein Thema für entsprechende Beiträge) :-) Falls etwas unklar ist, bitte in die Kommentare.

25 thoughts on “Aufbau einer kleinen Exchange 2016 Organisation (Teil 1)”

  1. Hallo Frank,
    erst einmal Dank für Deine tolle Arbeit. Ich habe ein kleines Problem der anderen Art (Domäne example.org als Beispiel, die echte Domäne tut hier nichts zur Sache): ad.example.org als Domäne im lokalen Netz. Aufbau: Internet->FB7590->UTM->ad.example.org. so weit, so gut. „Draußen“ gehört mir example.org und es gibt einen Bind, der DynDNS spricht, weshalb die utm von außen einen Eintrag mit utm.example.org hat. Das Userinterface ist so erreichbar, VPN funktioniert ganz wunderbar. Das administrative Webinterface soll natürlich von außen nicht erreichbar sein. Aber von innen. Und das unter utm.example.org (schließlich hat das SL-Zertifikat Geld gekostet, da will man nicht von intern mit einer IP-Adresse arbeiten). Wie kriege ich utm.example.org trotz öffentlicher IP-Adresse aus dem internen Netz heraus über die interne IP-Adresse erreicht? Die Lösungen aus dem Dialog mit Microsoft bescheinigen: sie verstehen nicht, was ich will. :-)

    Reply
    • Für alle, die es interessiert (vielleicht war es wirklich ZU banal): neue forward lookup zone für utm.example.org einrichten. Innerhalb der neuen Zone dann ein Hosteintrag mit IP Adresse, aber ohne Hostnamen anlegen. Fertig.

      Reply
  2. Hallo Frank,
    was ich mich frage, ob ich auch einen anderen Domainnamen für die Domänencontroller verwenden kann. Da es ja sicherlich auch den Fall gibt, dass eine Firma zwei getrennte Domainnamen haben will. Also eine für die Internetpräsenz und eben eine für AD Umgebung.
    Grüße,
    Tom

    Reply
  3. Hallo Frank,

    ich habeein Phänomen, was vielleicht mehrere Leser interessiert. Meine Organsiation ist nach Deinem Schema mit einem DC und einem Exchange konfiguriert. Internet über aktuelle Fritzbox 7590. Es hängen 4 Clients mit Outlook 2016 am Exchange. Nur bei einem Client erscheint sporadisch eine Meldung mit Zertifikatsfehler. Der Fehler bezieht sich auf die externen URL outlook.domäne.com und autodiscover.domäne.com. Das angezeigte Zertifiakt stammt anscheinend von der Fritzbox. Dieses Zertifiakt wurde nicht installiert und ist im Exchange auch nicht zu sehen. Zugang von extern über owa funktioniert problemlos. Die anderen Clients sind nicht betroffen

    Ich bekomme den Fehler nicht weg. Es hilft dann nur Backup des Clients vom Vortag.

    Reply
  4. Hallo Frank,

    ich kann mich nicht oft genug wiederholen was Du für eine Klasse Arbeit macht, Deine Blogs sind wirklich Klasse. Sehr kompetent und sehr gut dargestellt. Vielen Dank für Dein Arbeit!

    Ich habe eine etwas OffTopic Frage, in Deiner Skizze hast Du Internet–> FritzBox –> UTM –>LAN und die UTM dient Dir als Gateway. Ich habe mein Homelab ähnlich aufgebaut allerdings ist bei mir die FB das Gateway, weil ich zu einem deren WLAN nutzen möchte und aus dem WLAN auch auf meine Server zugreifen will, zum anderen nutze ich FB zur Anwesenheitserkennung in meiner Smarthomelösung. Die UTM hängt bei mir auch an der Box über die läuft der Reverse Proxy und SMTP. Der Einzige negative Punkt ist dass die WAN Schnitstelle der UTM auch im LAN hängt.
    Wenn ich richtig verstehe verzichtest Du auf das WLAN der Fritte oder? Ist bei Dir in Deiner „produktiven“ Umgebung zu Hause auch so?
    Danke Gruß Eddie

    Reply
    • Hi Eddie,
      ja, ich nutze die Fritzbox im Prinzip nur für die Einwahl, WLAN und Telefonie befinden sich im LAN hinter der UTM.
      Gruß, Frank

      Reply
  5. Hallo Frank super Arbeit Danke für die Anleitung.
    Hast du für mich ein rat bezüglich der Webseite.
    Problem: Webseite ist bei Strato gehostet hat aber keine eigene IP Adresse, deswegen kann ich keinen DNS Eintrag mit der externen IP erstellen und komme so nicht auf die Webseite.
    Gruß Binder

    Reply
    • Hallo,
      in diesem Fall würde ich das Paket bei Strato ändern, das ist am Einfachsten und die Kosten sind überschaubar.
      Gruß, Frank

      Reply
  6. Moin,
    erstmal recht vielen Dank für deine Anleitung hier.
    Da ich aber ein wenig am Anfang stehe, komme ich mit Sophos UTM nicht ganz klar.
    Gibt es bei dir eine kleine Erklärung für die Einrichtung der Sophos? Oder weißt du wo ich eine finde?
    Meine Netzwerke können sich nicht mit einander verbinden. Innen und Außen.
    VG Jörg :-)

    Reply
  7. Hallo Frank, eine Frage, du hast hier einen Eintrag im DNS für die UTM gemacht, würdest Du an meiner Stelle für die Watchguard / Firebox auch einen Eintrag im DNS machen?
    Gruß, Manuel

    Reply
    • Hi Manuel,
      der Eintrag im DNS für die Firewall ist in dieser Konfiguration nicht zwingend erforderlich, es schadet aber nicht.
      Gruß, Frank

      Reply
  8. Hallo Franky,

    super Anleitung.

    Du hast bei der Installation des AD den DNS-Server gleich mit installiert. In einem Video2Brain habe ich gehört, daß man erst den DNS-Server installieren soll und danach erst das AD.

    Es wurde gesagt, daß das Performancegründe haben soll. Was hältst Du davon?

    Gruß
    Christoph

    Reply
  9. Hallo Frank,

    auch von mir großes LOB, sehr informativer Blog.,

    Ich habe zwei Fragen:
    1. Du schreibst am Anfang des Artikels:
    lediglich folgende Dinge sind bereits vorbereitet:
    u.a „gehostete Domain bei Strato (frankysweb.com)“
    Im gesamten Artikel ist aber nur von „frankysweb.org“ die Rede, war das nur ein Tippfehler oder habe ich was übersehen?
    2. wie sieht es mit dem DHCP-Server aus? Über die Fritzbox?

    Danke – Manuel

    Reply
  10. Hallo Frank,

    ich finde deine Anleitung echt Super. Nun zu meiner Frage:

    Meine Domain wird von godaddy gehostet das heißt der server soll email senden,empfangen und auch die website hosten.

    Was muss ich da genau im DNS, UTM usw einstellen?

    Vielen Dank für die Hilfe

    Reply
  11. Hallo Frank,

    super Blog, der viel zum Experimentieren einläd und auch immer den noch fehlenden Tip parat hat.
    Kurz eine Frage zu deiner Umgebung:
    Welche UTM Version benutzt du ? Bei der Home Version gibt es die ganzen Features nicht, die du da beschreibst.

    Reply
    • Hi Michael,
      ich benutze privat die Home Edition der UTM, in der Home Edition sind alle Features vorhanden. Es gibt lediglich Einschränkungen der max. internen IPs (50) und an den Anpassungen am Layout. Alle hier beschriebenen Features lassen sich mit der Home Version nutzen (Ich setze es so ein). Derzeitige Version: 9.4
      Gruß, Frank

      Reply
  12. Hallo warum machst Du die Interne Domäne frankysweb.org und nicht .local was bringt das für Vorteile?

    Reply
    • Hi,
      kleine Gegenfrage, was bringt .local für Vorteile? Ich denke in den nächsten Artikeln wird es etwas deutlicher, ein bissel Geduld :-)

      Gruß, Frank

      Reply
  13. Hallo Frank,

    Kannst du evtl. kurz die Spezifikation der jeweiligen VM benennen, sprich wie hast du HDD, CPU, RAM und so aufgeteilt für die beiden 2012er Server und die UTM.

    Danke

    Reply
    • Hi Michael,

      klar, reiche ich nach, ganz grob:

      UTM: 2 CPUs, 4 GB RAM, 60 GB HDD
      DC: 2 CPUs, 4 GB RAM, 30 GB HDD
      Exchange: 2 CPUs, 16 GB RAM, 1 x 30 GB HDD, 1 x 17 GB HDD, 1 x 200 GB HDD

      genauere Hardware Infos folgen.
      Gruß, Frank

      Reply

Leave a Comment