In the first and second part of this series of articles, the AD and DNS of the Exchange organization have already been installed and configured. Exchange 2016 was then installed in part 2. This part deals with the Exchange 2016 configuration.
To make things a little easier, here is a representation of the environment that will be installed:
Foreword
Before we start with the configuration, we need to think about the namespace. The Active Directory in this test environment has the name frankysweb.org, the Exchange Server has the host name "Exchange", which results in the FQDN exchange.frankysweb.org. That already sounds like a decent name. Nevertheless, I would like to use the name outlook.frankysweb.org to access Exchange. I think outlook.frankysweb.org is easier for users to remember, plus there will be a migration at some point and we would like to keep the name in case of a release change.
The following is therefore configured:
- OWA, Outlook, EWS, ActiveSync all connect to the Exchange Server via outlook.frankysweb.org
- Autodiscover is published via the name autodiscover.frankysweb.org
So let's start with the configuration
Configuration of the virtual directories
In order for access via outlook.frankysweb.org (or Autodiscover via autodiscover.frankysweb.org) to work, we first need 2 DNS entries on the internal DC / DNS server:
In the frankysweb.org zone, the host entries "outlook" and "autodiscover" are each created with the IP of the Exchange server. In my case it is 172.16.100.13. For the two Host-A entries, the checkbox "Create linked PTR entry" must be removed. The same applies to "autodiscover"
Now the corresponding URLs can be configured on the Exchange Server. The easiest and quickest way to do this is via the Exchange Management Shell with the following commands:
Get-OwaVirtualDirectory -Server Exchange | Set-OwaVirtualDirectory -internalurl "https://outlook.frankysweb.org/owa" -externalurl "https://outlook.frankysweb.org/owa" Get-EcpVirtualDirectory -server Exchange | Set-EcpVirtualDirectory -internalurl "https://outlook.frankysweb.org/ecp" -externalurl "https://outlook.frankysweb.org/ecp" Get-WebServicesVirtualDirectory -server Exchange | Set-WebServicesVirtualDirectory -internalurl "https://outlook.frankysweb.org/EWS/Exchange.asmx" -externalurl "https://outlook.frankysweb.org/EWS/Exchange.asmx" Get-ActiveSyncVirtualDirectory -Server Exchange | Set-ActiveSyncVirtualDirectory -internalurl "https://outlook.frankysweb.org/Microsoft-Server-ActiveSync" -externalurl "https://outlook.frankysweb.org/Microsoft-Server-ActiveSync" Get-OabVirtualDirectory -Server Exchange | Set-OabVirtualDirectory -internalurl "https://outlook.frankysweb.org/OAB" -externalurl "https://outlook.frankysweb.org/OAB" Get-MapiVirtualDirectory -Server Exchange | Set-MapiVirtualDirectory -externalurl "https://outlook.frankysweb.org/mapi" -internalurl "https://outlook.frankysweb.org/mapi" Get-OutlookAnywhere -Server Exchange | Set-OutlookAnywhere -externalhostname outlook.frankysweb.org -internalhostname outlook.frankysweb.org -ExternalClientsRequireSsl:$true -InternalClientsRequireSsl:$true -ExternalClientAuthenticationMethod 'Negotiate' Get-ClientAccessService Exchange | Set-ClientAccessService -AutoDiscoverServiceInternalUri "https://autodiscover.frankysweb.org/Autodiscover/Autodiscover.xml"
In the commands, only the server name after the "-Server" parameter must be adjusted accordingly and the respective URLs (-internalurl / -externalurl). This should be self-explanatory.
The Exchange Server now has the names outlook.frankysweb.org and autodiscover.frankysweb.org
Webmaster mailbox configuration at Strato
This is a small intermediate step before configuring the certificates. An e-mail address for domain validation is required so that the certificates can be issued later. For this purpose, a mailbox with the e-mail address webmaster@frankysweb.org is created at the web host (in my case Strato).
Important: The mailbox is created at the web host (not yet on the Exchange server!
At Stro this works as follows. In the customer area, a new mailbox can be created under the item E-mail:
Enter your address and password and you're done:
This mailbox can now be accessed via Strato Webmail:
Background: I assume that it is a green field. The next step is to use StartSSL as the CA for the certificate. StartSSL issues domain validated certificates. To do this, an e-mail is sent to one of several predefined addresses with a code. You must therefore be able to receive e-mails to one of these addresses (for example webmaster@) in order to obtain the code.
This mailbox is therefore only used to obtain the certificate for the next step.
Request certificate via StartSSL
Note: The CA "StartSSL" no longer exists. Let's Encrypt can be used instead, see Certificate wizard for Let's Encrypt
Of course, we also need a corresponding certificate for Exchange, but it's not difficult and doesn't cost anything. In the configuration of the virtual directories, we have defined the URLs via which Exchange is to be accessed (outlook.frankysweb.org and autodiscover.frankysweb.org) and only these two names are required on the certificate.
StartCom (StartSSL) can be used to obtain a proper certificate; certificates with a 12-month term are available here free of charge. An account can be created here free of charge:
After an account has been created, the domain must be validated; this is done via the "Validations Wizard" tab:
The next step is to specify the e-mail address to which the verification code should be sent (see "Webmaster mailbox" above)
After a short time the code arrives at the webmaster, as our Exchange environment is not yet ready, Strato Webmail is used:
Note: You could also set up the webmaster mailbox on the Exchange, but I will deal with the receiving / sending of e-mails in a separate article. Hence the detour via Strato Webmail etc. Otherwise it doesn't fit thematically into the articles.
The wizard can now be completed with the code.
Now a certificate request can be created on the Exchange Server. This works again simply via shell:
New-ExchangeCertificate -Server "Exchange" -GenerateRequest -FriendlyName "StartSSL Exchange Cert" -PrivateKeyExportable $true -SubjectName "c=DE, s=NRW, l=Liemke, o=FrankysWeb, ou=IT, cn=outlook.frankysweb.org" -DomainName outlook.frankysweb.org,autodiscover.frankysweb.org -RequestFile "\\Exchange\C$\Request.csr"
The command is also self-explanatory, if not, there is a corresponding explanation here:
https://www.frankysweb.de/kostenlose-san-zertifikate-auch-bei-startssl/
The certificate request can now be copied directly from the shell window:
The certificate request is now submitted via the "Certificates Wizard at StartSSL":
In the wizard itself, the domain names are now specified, i.e. only outlook.frankysweb.org and autodiscover.frankysweb.org, and the certificate request is uploaded.
In my case, StartSSL would like to check me again:
Normally, however, the certificate is offered directly as a ZIP file download. As soon as the ZIP archive with the certificates is available, it can be stored on the Exchange server.
Installation of the certificate
The certificate issued by StartSSL is available in a ZIP archive in several formats:
The IISServer folder contains the actual certificate and the certificate of the intermediate certification authority (Intermediate):
Both certificates are unpacked into a folder (e.g. C:\Cert). The intermediate certificate is installed first
The certificate must be saved in the computer's certificate store:
Intermediate certification authorities" is specified as the storage location:
After the certificate has been installed, the certificate for the Exchange server must be installed and activated. The installation also works again simply via shell:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Cert\2_outlook.frankysweb.org.crt -Encoding byte -ReadCount 0))
The command is also self-explanatory, only the path needs to be adjusted. After the import, the thumbprint of the certificate is also displayed; this is required to activate the certificate and can be used directly within the shell:
The certificate is activated with the following command:
Enable-ExchangeCertificate -Thumbprint F109BC84E8A477902C8E021A4D4E5CBAD13EC596 -Services POP,IMAP,SMTP,IIS
The certificate issue is not that bad after all...
Customize authentication
Now we can use the EAC for a change, so we can also verify the certificate:
Issued by StartCom, so everything worked. Of course, Internet Explorer throws a certificate warning here, as EAC is accessed via https://localhost.
However, the actual aim is to allow users to log in with their e-mail address. We have already created all the necessary prerequisites for this (AD name frankysweb.org):
The UPN and e-mail address will be frank@frankysweb.org later, for this the authentication method for OWA must be changed. This is done via the EAC. Server -> Virtual directories -> owa -> Authentication -> User principal name (UPN):
Finally, an iisreset:
Create send connector
The send connector can already be created, even if the UTM is not yet prepared to accept mails from Exchange and forward them accordingly. I am including this step here so that it fits in thematically with the article. So that mails can be sent in the future, a send connector is required, which can again be created quickly via shell:
New-SendConnector -Internet -Name "UTM-Route-to-Internet" -AddressSpaces * -SmartHosts 172.16.100.254 -Fqdn outlook.frankysweb.org
The command only needs to be adapted slightly again, enter the IP of the UTM and FQDN accordingly, in my case 172.16.100.254 (IP UTM) and outlook.frankysweb.org (FQDN for which we have a valid certificate)
Moving and renaming the database
Finally, the mailbox database is given a friendly name and moved to another storage location. I have equipped my Exchange server with a 200 GB disk on which both the Exchange installation and the database are stored. This is usually sufficient for small organizations, and I do not separate the database from the log files. After all, this is only a small environment. If you like it differently, you have the opportunity here:
Get-MailboxDatabase -Server Exchange | Set-MailboxDatabase -Name "MailboxDB" Move-DatabasePath "MailboxDB" -EdbFilePath E:\MailboxDB\MailboxDB.edb -LogFolderPath e:\MailboxDB
Summary
We now have an appropriately configured Exchange 2016 server with a valid certificate from a public CA. Although it is not yet possible to receive or send emails externally, the configuration of the UTM is still missing, it is already possible to test internally. Here is an example from a Windows 10 client:
OWA without certificate warning and login with the e-mail address:
Outlook 2016 (autodiscover and login via e-mail address also works without domain membership without certificate warnings):
All connections run via outlook.frankysweb.org:
The next part deals with the configuration of the UTM.
Note:
The CA StartCom or StartSSL no longer exists. The CA's trust has been withdrawn. Free certificates are available from Let's Encrypt instead. These can even be automated:
Hi Franky,
ich weiß, die Anelitung ist nun schon etwas älter aber ich denke, für ein kleines IT Lernprojekt, um ins Thema Exchange reinzukommen sollte das doch reichen.
Mit den Zertifikaten für den Exchange blicke ich jedoch absolut nicht durch. Du schreibtst, dass es die StartCom nicht mehr gibt und verweißt stattdessen auf deinen
Let’s Encrypt Zertifikatsassistenten. Was mir nicht so ganz klar wo nun welches Zertifikat hin muss?! Ich habe doch bereits in der Sophos UTM aus neueren Anleitungen ein Zert hinerlegt.
Ist das nun der gleiche Zertifikatstyp und ich kann das Sophos Zert auch für den Exchange an dieser Stelle verwenden oder brauche ich da was komplett anderes? Wenn ja, was genau?
Viele Grüße
Hallo Phil,
wenn du bereits ein Zertifikat auf der UTM verwendest, kann du dies auch für Exchange verwenden. Auch dies lässt sich automatisieren:
https://www.frankysweb.de/sophos-utm-zertifikat-der-waf-mittels-powershell-exportieren-exchange-version/
Gruß,
Frank
Hallo Frank,
auch von mir ein großes Danke für deinen Blog. Jedes mal, wenn ich ein Problem zu Exchange google, lande ich irgendwann wieder auf deiner Seite.
Mein Problem – Smarthost: Ich benutze kein UTM, sodass die ganze Konfiguration beim Exchange liegt. Als Smarthost ist „smtp.strato.de“, Standardauthentifizierung erst nach dem Start von TLS anbieten ist angehakt.
Da hier (https://www.strato.de/faq/article/118/Wie-kann-ich-meine-E-Mails-ueber-eine-gesicherte-Verbindung-SSL-oder-TLS-versenden-und-empfangen.html) steht, dass man den Port 587 nehmen soll, habe ich über ‚Set-SendConnector -Identity „Smarthost“ -Port 587‘ den Port geändert.
Das Senden funktioniert leider nicht. Selbst POPCon kann die ankommenden Mails nicht weiterleiten. Fehlermeldung:
Exchange akzeptierte den Mailabsender nicht und antwortete mit folgender Fehlermeldung auf das smtp MAIL FROM Kommando: 530 5.7.57 SMTP; Client was not authenticated to send anonymous mail during MAIL FROM
Was übersehe ich?
Liebe Grüße,
Hagen Strahl, NEUCOM GmbH
Hallo Hagen,
hast du eine Antwort auf deine Frage erhalten? Ich habe das gleiche Problem, kann hier aber keine Antwort finden.
Danke für eine kurze Info
LG, Sylke
Hab die Lösung selbst gefunden…über Port 25 läufts
Hallo zusammen,
kann es sein, dass StartSSL keine kostenlosen Zertifikate mehr ausstellt?
Gruß
Dominik
Hallo Dominik,
StartSSL bzw StartCom gibt es nicht mehr. Du kannst stattdessen Let’s Encrypt verwenden.
Gruß,
Frank
Sorry, mein Fehler. Ich muß natürlich die Exchange Management Shell nehmen ;-). Ohh mann…
Hallo Frank,
nun hänge ich an dem Setzen der virtuellen Verzeichnisse. Ich habe Deine Zeilen oben in einen Editor kopiert und als verzeichnis.ps1 in C:\ gespeichert.
Wenn ich dann die PS öffne und mit c:\verzeichnis.ps1 das Skript ausführen will, dann hagelt es Fehlermeldungen wie:
Get-ClientAccessServer : Die Benennung „Get-ClientAccessServer“ wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang.
Wodran könnte das denn liegen?
Gruß
Christoph
Hallo Frank,
okay, danke. Brauche ich denn in der domain.local auch noch outlook.domain.local und autodiscover.domain.local? Oder kann ich die beiden löschen, so daß nur die beiden outlook.domain.de und autodiscover.domain.de vorhanden sind?
Gruß
Christoph
Hi Christoph,
die .local Einträge brauchst du nicht und kannst sie löschen.
Gruß,
Frank
Hallo Frank,
ich bin noch nicht ganz so firm, daher folgende Frage zu ganz oben:
Wenn ich eine Domain.local habe, dann lautet meine primäre Zone ja auch domain.local und wenn ich darunter outlook.. und autodiscover… anlege, dann ist das ja soweit okay.
Nun heißen die email-Adressen ja aber xyz@domain.de
Muß ich dann für domain.de auch eine Zone anlegen und darunter outlook… und autodiscover nochmals anlegen?
Hallo Christoph,
du kannst die Outlook.domain.tld und autodiscover.domain.tld als Zone anlegen. In der Zone wird dann nur noch ein HOST-A Eintrag ohne Namen sondern nur mit der IP erstellt. Die Zone Domain.tld musst du nicht anlegen.
Gruß,
Frank
Hallo Frank,
ich bin fast am Ziel ;-)
Die CA hat nun doch akzeptiert, dass das SAN Zertifikat „Outlook.frankysweb.com“ heißen darf.
Ich habe auch die beiden Zertifikate erhalten. Mein Problem ist nun, da ich die beiden Zertifikate leider NICHT im „IIS Format“ sondern als Zahlenkolonne erhalten habe, dass ich kein rechtsklick (Zertifikat installieren) machen kann (so wie du es beschrieben hast).
Kann man die Zertifikate in das IIS Format konvertieren?
Wenn ja, wie?
Wenn nein, wie importiere ich die denn aus dem bestehenden gelieferten Format (Zahlenkolonne)?
Danke nochmal für Deine Geduld.
Grüße
Martin
Habe es heute Nacht hinbekommen :-)
läuft alles. Das SAN Zertifikat ist eingebunden. Also nächster Schritt.
Frank, weiter so. :-)
Grüße
Hallo Frank,
habe (dank Deiner Hilfe in Deinem Blog) die Testphase abgeschlossen.
Bitte um Deine Meinung was Du davon hältst.
Hardware:
Watchguard Firebox T30-W
Telekom Digitalisierungsbox Premium
HOSTSRV= WIN2012R2 / Xeon 12 Kerne, 64GB Ram, 6 x 240GB , 2 X 480GB (SAMSUNG SM863 SSD´s)
VMDC = WIN2012R2 / 4 CPU´s 8 GB Ram) (auf dem DC habe ich auch die Rolle Zertifikatsdienste installiert)
VMEX = WIN2012R2 /Exchange2016 / 4 CPU´s 24 GB Ram, 90GB C: (System) 24GB D: (Swap) 260GB E: (Exchange)
Anzahl der E-Mail-Accounts = 12
Domain1.net (Interne Domain, wird nicht für E-Mails genutzt)
Domain2.com
Domain3.com
Domain4.ch
Domain 1,2 und 3 sind bei 1und1 gehostet Domain 3 bei einem Schweizer Provider.
Für Domain1.net habe ich beim Provider die Subdomains Outlook.domain1.net und autodiscover.domain1.net angelegt
und auf dem DC in der Zone Domain1.net die DNS-Einträge outlook und autodiscover mit der IP des Exchange Servers.
Für Domain2.com, Domain3.com und Domain4.ch habe ich beim Provider für alle 3 Domains eine Subdomain Autodiscover
mit einem A-Eintrag angelegt .
Auf dem DC habe ich für die 3 Domains je einen Zone eingerichtet mit einem Host (A) Eintrag „autodiscover“ mit der IP des Exchange Servers.
(mit den SRV-Records hat autodiscover bei den Smartphones nicht einwandfrei funktioniert, (iPhone und Galaxy)
Das Zertifikat enthält:
Outlook.domain1.net
Autodiscover.domain1.net
Autodiscover.domain2.com
Autodiscover.domain3.com
Autodiscover.domain4.ch
Die E-Mails werden mit GFI MailEssentials abgeholt und über Smarthost versendet.
Es läuft alles fehlerfrei, bis auf Event 106, Du hattest ja schon im Mai 2016 geschrieben, dass der Fehler besonders hartnäckig ist,
hast du evtl. mittlerweile herausgefunden woran das liegt?
Danke und Gruß, Manuel
Hallo Frank,
Der o.g. Hoster hat sich mit mir in Verbindung gesetzt und meint, das der cn (den du in deinem Script verwendest) NICHT „outlook.frankysweb.com“ heissen darf, sondern hier muss der Domain Name stehen. Also „frankysweb.com“
Da Dein Lösung anscheinend funktioniert, müssten Deine Angaben richtig sein.
Dennoch hat der Hoster wohl einen Grund, diese Behauptung aufzustellen.
Bevor ich da Geld ausgebe, würd ich gerne noch mal Deine Meinung dazu hören.
Danke und Grüße
Martin
Hi Martin,
wenn das die Policy deines Hosters ist, dann wird es wohl stimmen. Warum holst du dir das Zertifikat nicht von Let’s Encrypt? Dann musst du kein Geld ausgeben :-)
https://www.frankysweb.de/exchange-2016-zertifikatsassistent-fuer-lets-encrypt/
Gruß, Frank
Hallo Frank,
mir geht es darum, zu verstehen, wenn das SAN Zertifikat nach dem „Willen“ des Hosters ausgestellt wird, ob es dann noch funktioniert. Also was passiert, wenn das Zertifikat auf frankysweb.com ausgestellt wird.
Danke und Grüße
Martin
Hi Martin,
das Zertifikat kann als CN frankysweb.com enthalten, damit hat nur alte Software (Windows Phone 6) ein Problem. Zusätzlich müssen aber auf dem Zertifikat die Namen autodiscover.frankys.com und Outlook.frankysweb.com als Alternate Names (bzw. Subject Alternate Names) vorhanden sein. Nur frankysweb.com reicht also nicht.
Gruß, Frank
DANKE für die Rückmeldung.
Das bedeute für mich: Ich kann das Zertifikat “ frankysweb.com “ bestellen. Darin müssen mindestens die Alternate Names „autodiscover.frankysweb.com“ und “ Outlook.frankysweb.com“ enthalten sein (so wie in Deiner Anleitung beschrieben.
Ich wollte mich nur ganz genau an Deiner Anleitung entlang arbeiten. Daher meine „nervigen“ Nachfragen ;-)
Zusatzfrage: Mein Hoster sagt, dass man bei dem SAN Zertifikat noch einen dritten Alternate Name frei hat. Da eine nachträgliche Änderung nicht möglich ist, meine Frage an Dich, welchen Namen könnte man noch mit einbauen? Also evtl. mail.frankysweb.com? Was würdest du nehmen?
Danke und Grüße
Martin
Hi Martin,
richtig. Zu der Frage mit dem zusätzlichen Namen: Das kannst du dir aussuchen, wenn du das Zertifikat nur für Exchange verwenden möchtest, dann mail oder webmnail. Oder eben einen zusätzlichen Dienst, bei dem das gleiche Zertifikat verwendet wird (zwar nicht schön, aber machbar), dann Extranet, WWW, oder sowas.
Gruß, Frank
Spricht eigentlich was gegen die Stammzertifizierungsstelle von Microsoft?
Hi Manuel,
das kommt auf den Einsatzzweck an. Technisch gesehen funktioniert es problemlos, allerdings musst du dir dann Gedanken machen, wie du das Stammzertifikat auf Rechner, Smartphones, etc bekommst. Bei Client innerhalb des ADs ist das problemlos, auf meiner Seite gibt es dazu auch HowTos. Bei Rechnern ausserhalb der AD und Smartphones wird es ohne Management Lösung schon etwas komplizierter. Das hängt aber von der Anzahl der Geräte ab.
Gruß, Frank
Hallo Frank,
Dein Blog lässt mich nicht los. Dennoch mal wieder eine Frage:
Du beschreibst, wie das Zertifikat für outlook.frankysweb.org durchgeführt wird.
Was ist den mit dem Zertifikat für „autodiscover.frankysweb.org“ ?
Muss das analog auch so durchgeführt werden, oder habe ich etwas übersehen?
Danke für Deine Mühen :-)
Hi Martin,
es gibt nur ein Zertifikat. Das Zertifikat enthält die zwei DNS-Namen Outlook.frankysweb.org und autodiscover.frankysweb.org (siehe Zertifikatsanforderung)
Gruß, Frank
Hallo Frank,
verstehe. Bei meinem Hoster muss jedes Zertifikat einer Sub Domain separat bestellt und bezahlt werden (Host Europe). (Wildcard Zertifikate währen in diesem Fall zu teuer.)
Daher müssten dann auch beide eingebunden werden.
Ich schaue mal die von Dir genannte Alternative an.
Weiter so mit Deinem Blog :-)
Hi Martin,
du kannst immer nur ein Zertifikat an die Webservices binden. Dieses Zertifikat muss also beide Namen enthalten. Du kannst es auch mit einem Namen konfigurieren, dann kannst du nur die SRV-Records setzen.
Gruß, Frank
Hallo Frank,
lesen bildet ;-)
Ich habe nun einen kleinen Hoster gefunden, der SAN Zertifikate ausstellt (speziell, klar für den IIS bzw. Exchange)
Hier kann man dann mehrere subdomains angeben ohne gleich Wildcard Zertifikate kaufen zu müssen.
Mir war der Unterschied zwischen Zertifikaten und SAN Zertifikaten bis dato nicht bekannt.
evtl. kannst du das ja in der Anleitung hinzufügen.
Ich komme dem Ziel näher (und lerne ne Menge ;-)
Danke für die Geduld
Nachtrag: StartSSL ist keine vertrauenswürdige CA mehr. Let’s Encrypt kann als Alternative verwendet werden.
Hi Frank,
ja genau ! DIESE Zeile meinte ich. Wie gesagt, in dem Buch „Thomas Joos : Exchange Server 2016“ wird dort die Methode für interne Clients auf „basic“ gestellt, was auch immer „basic“ in diesem Fall bedeutet.
Schönen Tag noch und besten Dank für die prompte Antwort !!! (konnte leider erst jetzt darauf reagieren)
p.s.: Bei weiteren Fragen werde ich mich weiterhin vertrauensvoll an dich wenden ! Sollten die Fragen ein „wissendes Schmunzeln“ auf dein Gesicht zaubern, dann sei dir das gegönnt, denn ich bin im Gegensatz zu dir ein relativer Newbie auf dem Gebiet Exchange !!! ;-)
Gruß, Chris
Hi Christian,
„Basic“ bedeutet in diesem Fall „Standardauthentifizierung“, im Prinzip wird dabei Benutzername und Passwort übermittelt. Kritisch ist Basic-Auth, wenn die Kommunikation nicht via https verschlüsselt wird. NTLM ist hier der bessere Weg. Es kommt darauf an, in was für einer Umgebung du dich befindest. Falls du Exchange gerade migrierst, und die alte Umgebung ebenfalls die Standardauthentifizierung genutzt hat, dann solltest du es angleichen. In neuen Umgebungen würde ich es bei NTLM (die Standardeinstellung) belassen.
Gruß, Frank
Hallo FRANK !
Wie JEDER hier möchte auch ich dir grössten Respekt zollen und mich recht herzlich für deine leicht verständlichen Ausführungen bedanken !!!!!
Ich hätte eine Frage zum Punkt „Konfiguration der virtuellen Verzeichnisse“, speziell zum Listing der Exchange-Management-Shell Zeile 7 :
In einem Fachbuch wird hier auch „-InternalClientAuthenticationMethod:Basic“ angeführt.
Wurde dieser Eintrag von dir bewußt übergangen bzw. braucht man das nicht unbedingt zu konfigurieren ??
Schon jetzt Danke im Voraus und schönes Wochenende !!
Hi Christian,
danke für das Lob. Du meinst diesen Teil?
Get-OutlookAnywhere -Server Exchange | Set-…
Dort wird Outlook Anywhere konfiguriert, Die Standardmethode für interne Clients ist „NTLM“, das belasse ich auch immer so.
Gruß, Frank
Hatte die Seite nicht aktualisiert und nicht gesehen das Du was geschrieben hattest ;-)
Danke
Hallo Frank, hat sich erledigt.
Hallo Frank, sorry, eine blöde Frage.
Du schreibst unter URLs konfigurieren:
Bei den Befehlen muss jeweils mur der Servername hinter dem Parameter „-Server“ entsprechend angepasst werden und die jeweilen URLs (-internalurl / –externalurl).
Ist in dieser Zeile Exchange der Servername? Fehlt zwar der Parameter, bin mir aber nicht sicher.
Get-ClientAccessServer Exchange | Set-ClientAccessServer -AutoDiscoverServiceInternalUri
Gruß und danke
Hi Manuel,
richtig, „Exchange“ ist in diesem Fall der Name deines Exchange Servers: Get-ClientAccessServer MeinExchangeServerName | Set-ClientAccessServer…
Gruß, Frank
Und wo ich es gerade lese…
Bei Exchange 2016 heißt es: Get-ClientAccessSERVICE MeinExchangeServerName | Set-ClientAccessSERVICE…
Das muss ich korrigieren. Sorry.
Gruß, Frank
MMMh, habe leider noch etwas gefunden. Wenn ich auf dem Exchange im cmd ein nslookup starte, dann erhalte ich die Fehlermeldung : hostname von von xyz.de nicht gefunden. Non existent Domain. Was könnte hier schief gelaufen sein?
Danke und Grüße
Hallo Frank,
Mein Hoster bietet beide Methoden an. einmal alles aus einer Hand und zweitens den Export
über key + CSR Export. Meine Frage bezog sich aber eher auf die Hauptdomäne, ob die notwendig für das Vorgehen ist.
Danke und Grüße
Hallo Frank,
toller BLOG, den Du da betreibst :-)
Ich habe eine Frage zu Deiner Beschreibung. Wird für die Zertifizierung der beiden Subdomains
„outlook.frankysweb.org“ und „autodiscover.frankysweb.org“
vorausgesetzt, dass die Domain „frankysweb.org“ vorher schon zertifiziert wurde?
Wenn ja, hat du das beschrieben?
Oder ist das für den Aufbau der kleinen Exchangelösung nicht notwendig?
Mein Provider erlaubt nur die Zertifikaterstellung für Subdomains, wenn die übergeordnete Domain schon erstellt wurde.
Danke .
Hi Martin,
du musst die Zertifikate nicht von deinem Hoster beziehen. In vielen Fällen lassen sich die Zertifikate der Hoster auch nicht exportieren, sodass du diese Zertifikate oft nicht für Exchange verwenden kannst.
Gruß Frank
Hallo Frank,
vielen Dank, du hast meine Anforderung richtig verstanden. Werde mich mal damit auseinander setzen. Schade mit dem Senden über mehrere Smarthosts, ich dachte, dass ich für die .com und für die .ch Domain jeweils einen Sendeconnector mit einem dazugehörigen Smarthost einrichten/erstellen kann dann wäre ich ja auch Providertechnisch sauber. Aber es würde ja so oder so im header der E-Mail folgendes drin stehen: „MailReceived: from outlook.domain.eu“ oder ich hole die domain.ch auch zu 1und1 rüber
Gruß
Manuel
Hallo Frank,
Ich habe folgende Konstellation vielleicht kannst Du mir einen Tipp geben.
– 1 x VM Windows Server 2012 DC
– 1 x VM Windows Server 2012 Exchange 2016
– Active Directory Domain.local,
(aber nachdem ich deinen Beitrag gelesen hab wird es wohl jetzt Domain.eu bin noch am Testen und eine neu Installation geht ja schnell)
– Internet mit fester IP
4 gehostete Domains
1. Domain.eu
2. Domain.com
3. Domain2.com
4. Domain.ch
Domain 1 bis 3 sind bei 1und1 gehostet
Domain 4 bei Hostpoint.ch
Für Domain.eu werden keine Postfächer benötigt.
Es gibt für die Domains 2-4 jeweils 6 Postfächer (6 Mitarbeiter) , für jede Domain sollen mindestens 2 Postfächer nicht über den Exchange laufen sondern weiterhin als POP Postfächer genutzt werden, (dass ich dann Catchall nicht nutzen kann ist nicht weiter schlimm, bei der Anzahl ist es ja überschaubar und kann jedes Postfach einmal im GFI-Mailessentials eingeben) kann es evtl. Probleme mit autodiscover geben?.
Die E-Mails werden auf dem Exchange mit GFI-Mailessentials abgerufen und über einen Smarthost versendet. Wollte dann für die Domain.ch einen weiteren Smarthost einrichten, der die Mails für Domain.ch über den Schweizer Server verschickt, odrrr?
Wenn ich das richtig verstanden habe, dann brauchen im Zertifikat nur outlook.domain.eu und autodiscover.domain.eu drin stehen.
Bin ich auf dem richtigen Weg oder muss ich noch was bedenken?
Vielen Dank – Manuel
PS, du solltest noch einen“ donate button“ auf deine Seite platzieren, ich wäre sofort dabei, habe mir bei Video2brain etliche Exchange2016 Videos rein gezogen, aber auf deinen Seiten habe ich mehr gelernt ;-)
Hi Manuel,
vielen Dank für das Lob. Du bist auf dem richtigen Weg. Auf dem Zertifikat muss nur outlook.domain.eu und autodiscover.domain.eu stehen. Das Active Directory muss dazu nicht zwingend umbenannt werden. Ich halte allerdings den „Mischbetrieb“ von POP und Exchange Konten für etwas unglücklich. Am besten wäre daher eine statische IP und diese entsprechend auch als MX zu konfigurieren. Somit könnten alle Postfächer auf dem Exchange Server gespeichert werden. Wird unbedingt POP benötigt, dann können die Mails aus den Postfächern via POP vom Exchange Server abgerufen werden.
Was nicht funktioniert ist „Sender Based Routing“, du kannst nicht definieren, dass alle Mails _VON_ Domain.ch über den Smarthost Schweiz verschickt werden. Du kannst nur konfigurieren, dass alle Mails _AN_ Domain.ch via Smarthost Schweiz verschickt werden (Recipient Based Routing). (Ich hoffe ich habe deine Anforderung richtig verstanden)
Gruß,
Frank
Hilfe :) ,
anscheinend bin ich zu blöd oder im Moment jedenfalls ein Brett vor dem Kopf
OWA funktioniert von extern ohne Probleme, active sync läuft gar nicht, blos wo ist der Fehler ??
Die ports 433 sind aktuell auf der Firewall richtig geroutet sonst würde ja OWA nicht funktionieren.
Die DNS Einträge sind Ok , wö könnte der Fehler sein das ich weder mit Outlook auf dem Laptop noch mit IPhone einen Connect zustande bekomme es scheitert beim Anmelden bzw. Server nicht gefunden
Hallo Frank,
kann es sein, dass StarSSL seine Strukturen geändert hat? Ich bekomme nur ein .pem Zertifikat und kein Intermediate Zertifikat.
Gruß, Klaus
Hallo frank.
soll ich meine .local domäne belassen? ich habe eigentlich keinerlei Porbleme damit,Zertifikat ist auf meine .de Domain augestellt, und via split DNS erhalten die INTERNEN Clients auch keine Fehlermedungen mehr.
stellt es in zukunft ein problam dar, wenn man eine .local domäne hat?
Das problem daran ist ja eigentlich nur die sache mit den zertifikaten oder?
Könntest du mir das vielleicht genauer erklären? Danke!
Gruß Philipp
Hallo,
auch Zertifikate machen keine Probleme, .local ist ein wenig überholt was nicht heißt das es nicht immer noch funktionieren würde. Die meisten werden wohl auch weiterhin .local oder .intern verwenden. Wenn ich allerdings bei Null anfange, würde ich diese Namen nicht mehr verwenden, denn auch DNS-Splitbrain ist überholt. Ich schaue mal ob ich einen Artikel dazu einplanen kann.
Gruß, Frank
Hallo Frank
Ich habe folgendes Problem
Meine Domäne hat noch das Ende.local
Diese wurde von 2008 immer wieder migriert und anschließend Exchange 2010 (2013)und nun Exchange 2013 (2015) installiert.
Alle Server haben Server 2012r2 installiert.
Ist es denn möglich die Domäne umzubenennen? Wenn ja wie Haut das mit dem Exchange hin?
Hallo,
das Umbenennen eines Active Directorys mit installiertem Exchange Server ist nicht möglich. Alternativ:
https://www.frankysweb.de/exchange-20132016-anmeldung-per-e-mail-adresse-upn/
Gruß, Frank
Hi Frank,
tolle Beschreibung und vielen dank für deine Mühen.
Eine Frage zum Zertifikat. Warum aktivierst Du IMAP und POP3 beim Zertifikat? Ich aktiviere immer nur SMTP und IIS. Oder greifst Du per POP3 und IMAP auf deine Postfächer zu?
Gruß Dirk
Hi Dirk,
nein, im Normalfall greife ich nicht via POP oder IMAP auf Postfächer zu, falls es aber genutzt wird, dann eben mit gültigen Zertifikat, daher schon einmal die Bindung der Dienste an das Zertifikat.
Gruß. Frank