Exchange Server 2010: Basiskonfiguration

Nach abgeschlossener Installation des Exchange Server 2010, steht dessen Konfiguration im Fokus. Wer Informationen zur Installation sucht, wird im folgenden Artikel fündig.

Exchange Server 2010: Installation

Microsoft Exchange 2010 ist die neueste Version (intern als Version 14 gehandelt) für Messaging und Zusammenarbeit in Unternehmen ...

Artikel lesen

Seit Exchange Server 2007 wurden die Funktionen in mehrere Rollen unterteilt. 

• Hub-Transport sorgt für die Mailzustellung innerhalb autorisierter Domänen. Für das Routing greift die Funktion auf die Active Directory-Topologie zurück. Muss eine Mail außerhalb zugestellt werden, wird sie an einen zuständigen Smarthost bzw. Edge-Transport-Server (SMTP Relay Server) weitergereicht.
• Client Access stellt den Zugriff auf die Postfächer über verschiedene Techniken wie HTTP(S), POP3, IMAP, MAPI bereit. Anwender nutzen hierfür entsprechende Clients wie Browser, mobile Endgeräte oder Microsoft Outlook.
• Die Mailbox Role verwaltet die Postfachdatenbanken.
• Unified Messaging integriert Exchange in VOIP-Lösungen wie Lync. So kann hierdurch bspw. der Zugriff auf die Inbox eines Postfaches mittels Telefon erfolgen und Mailboxanrufe als E-Mails zugestellt werden.
• Edge-Transport übernimmt die Hub-Transport-Rolle in einer Demilitarisierten Zone (DMZ), stellt E-Mails außerhalb der Organisation zu und empfängt E-Mails aus dem Internet.  Typischerweise steht dieser Server in einer DMZ und ist mit einer Anti-Virus- und Anti-Spam-Lösung versehen. Eine Härtung des Servers ist nicht notwendig, das Windows Server 2008 standardmäßig mit maximaler Sicherheit installiert wird.

Die Rollen sind wiederum in drei Bereichen angesiedelt. Dabei spiegelt jeder Bereich einen wirkenden Scope wider.

• Organisationskonfiguration ist der globale Scope. Hier werden die Domänen, die Sendeconnectoren, Richtlinien und Regeln definiert, die für alle Mailserver und Benutzer in der Organisation gelten.
• Über die Serverkonfiguration werden alle Exchange Server administriert. Typische Aufgaben sind die Konfiguration der Clientzugriffsprotokolle und Administration der Empfangsconnectoren. Die Verwaltung der Postfachdatenbanken wurde seit Exchange 2010, in Hinblick auf mögliche Geo-Cluster, in die Organisationskonfiguration verschoben.
• Die Administration der einzelnen Postfächer wird weiterhin in der Empfängerkonfiguration durchgeführt.

Um nun einen funktionierenden Server einzurichten, bedarf es einiger Handgriffe. Beginnen wir mit der Organisationskonfiguration.

Per Default lehnt ein Exchange Server alle Mails ab, wenn sie an eine Domäne gerichtet sind, für die der Server nicht autorisiert ist. Um Exchange beizubringen Mails für die externe Internetdomäne (in diesem Szenario “contoso.com”) anzunehmen, muss man die gewünschte Domäne hinzuzufügen. Dazu geht man auf die Hub-Transport-Rolle und wählt den Reiter “Akzeptierte Domänen” aus. Mittels Hinzufügen wird der Server um einen Namespace erweitert. Der Server selbst hält die Postfächer dieser Domäne, weshalb der Typ “Autorisiert” zu wählen ist. Soll der Server Mails für weitere Domänen empfangen und an andere Messagingsysteme weiterleiten, kann man die Option “Relaydomäne” nutzen. Der Powershell-Befehl lautet New-AcceptedDomain.

Um die neue Domäne zur Standardadresse zu machen, nutzen wir die entsprechende Funktion im Kontextmenu.

Dieser Namespace muss als nächstes mittels Policy an die Postfächer verteilt werden. Die E-Mail-Adressrichtlinie ist das Werkzeug dafür. Sie hält bestimmte Regeln, wodurch sich die Mailadressen dynamisch generieren. Diese können sich je nach interner Domäne unterscheiden, sie lassen sich sogar auf einzelne Gruppen anwenden. Die Standardrichtlinie kann nicht geändert werden, daher erstellt man eine neue Policy.

Wie eben beschrieben, ist es möglich einen bestimmten Bereich zu definieren. Zudem läßt sich weiter eingrenzen, für welche Art von Postfach diese Policy gilt. Darüber hinaus lassen sich durch Bedingungen weitere Einschränkungen vornehmen.

Durch das Generieren von Adressen, bestimmen wir letztlich die Erscheinung der E-Mail-Adressen. Dabei stehen verschiedene Attribute zur Verfügung.

Das ist allerdings nicht der Weisheit letzter Schluss. Auch wenn der Assistent die Möglichkeit in diesem Fenster nicht gibt, so können wir doch eine andere Syntax nutzen. Dazu klickt man auf die zu ändernde Adresse, wartet kurz und klickt dann wieder auf die Adresse oder drückt F2. Nun kann man sie nach eigenen Wünschen gestalten.

Abschließend wenden wir die Policy an und unsere Internetdomäne ist integriert. Wie sich das auf betreffende Postfächer auswirkt, zeigt folgendes Beispiel vom Postfach “Max Mustermann”.

Kümmern wir uns nun um den Mailversand. Je nach Art des Versands, müssen wir einen Connector einrichten. Dazu wechseln wir in den Reiter “Sendeconnectors”. Exchange bietet drei vordefinierte Connectors, jeder unterscheidet sich in der Konfiguration, je nachdem wie Mails zugestellt werden.

• Intern: Diese Art von Connectoren kümmern sich um den Versand innerhalb der eigenen (E-Mail-)Organisation. Standardmäßig erarbeitet die Hub Transport-Logik automatisch das ideale Routing, abhängig von Erreichbarkeit und Kosten in der Site-Konfiguration des Active Directory (AD). Sinnvoll ist dieser Typ, um interne E-Mail-Domänen zu benutzen und E-Mails an den entsprechenden Mailserver – das muss kein Exchange Server sein – weiterzuleiten. Ein anderer Anwendungsfall ist das gezielte Verwenden von WAN-Strecken über die Angabe von Kosten der Exchange-Konfiguration. Damit werden die Kosten der Site-Konfiguration im AD umgangen. Es ist Vorsicht walten zu lassen, denn wenn der angegebene Server abgebaut wird, können verständlicherweise keine Mails mehr an ihn versendet werden. Also schön dokumentieren.
• Partner: Bei dieser Konfiguration können wir direkte Verbindungen zu Servern anderer Organisationen angeben unter Zuhilfenahme einer zertifikatsbasierten Authentifizierung der Server und erfordert die Anpassung der Liste der domänengesicherten Domänen. Anwendung findet es bspw. beim Versand an Partnerorganisationen oder besonders gesicherten Mailservern innerhalb des Unternehmens, die sonst über keinerlei Verbindung zur “Aussenwelt” haben.
• Internet: Das ist der meist verwendete Connector-Typ. Er sorgt für den Versand direkt ins Internet oder an zwischengelagerte MTA – in der Regel in einer DMZ oder bei Dienstleistern gehostet – mittels MX-Einträge oder über die Angabe eines oder mehreren Smarthosts.

Ein benutzerdefinierter Connector lässt die Wahl zwischen diesen 3 Typen. Je nach Auswahl muss der Smarthost eingetragen und die Art der Authentifizierung hinterlegt werden. Wird ein direkter Versand anhand von MX-Einträgen konfiguriert, ist sicherzustellen, dass die Firewall sowohl DNS- als auch SMTP-Verbindungen durchlässt, die DNS-Server korrekt hinterlegt und konfiguriert sind, damit eine Namensauflösung auch erfolgreich ist.

In diesem Szenario versenden wir alle Mails direkt ins Internet.

Am Ende werden die Server ausgewählt, die diesen Connector verwenden. So ist es möglich, eine bestimmte Gruppe von Servern den Versand durchführen zu lassen. Weitere Einstellungen sind nach der Erstellung möglich. Öffnet man die Eigenschaften, kann man die Protokollierung, den Namen des Servers im FQDN-Format (Fully Qualified Domain Name), die maximale Nachrichtengröße und die eben abgefragten Optionen ändern.

In der Serverkonfiguration muss für einen einwandfreien Betrieb vorerst nichts geändert werden. In den Hub-Transport-Einstellungen finden wir, äquivalent zu den Sendeconnectors, die Empfangsconnectoren des Servers. Vorab werden bereits zwei Stück angelegt. Einer dient dem Verbinden der Mail Clients auf Port 587 für die Exchange-Benutzer. Ein zweiter lauscht auf Port 25, respektive SMTP. Für den direkten Mail-Empfang von außen, muss die Berechtigungsgruppe um “Anonyme Benutzer” erweitert werden. Andernfalls wird eine Verbindung abgelehnt.

Kommen die Mails von einem Server aus der DMZ, bspw. ein Exchange Server mit der Edge-Transport-Rolle, ist diese Änderung nicht notwendig.