====== Exchange 2016 Installation ======

Während der Installation bitte folgendes beachten:
  * Virenscanner deaktivieren
  * Windows Defender ausschalten
  * Aktuelle Windows Updates installieren

Es kann sonst zu Abbrüchen oder Hängern des Installers kommen.

===== Voraussetzungen Active Directory =====

> https://docs.microsoft.com/de-de/exchange/plan-and-deploy/supportability-matrix?view=exchserver-2016#supported-active-directory-environments

In Kurzform:
  * bis 2016 CU2 - Forest und Domain Level >= 2003
  * ab 2016 CU3 - Forest und Domain Level >= 2008
===== Pagefile =====

Das **Pagefile** des Exchange-Server sollte nach folgender Formel berechnet und statisch angelegt werden:

<code>
[Arbeitsspeicher in MB] + 10 MB
</code>

Beispiel mit 32 GB RAM:
<code>
32 * 1024 MB + 10 MB = 32778 MB
</code>

Das Pagefile belasse ich auf Laufwerk **C:\** - setze aber den Wert wie oben angegeben fest.
===== AD-Schema erweitern =====

Orga-Name auslesen (Exchange):

<code |powershell>
Get-OrganizationConfig | select name
</code>

Die CMD als Administrator öffnen auf dem Schema-Master. Der angemeldetet User muss Mitglied der Gruppe Schema-Admins sein:

<code>
Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
Setup.exe /PrepareAD /OrganizationName:"ExchangeOrganisationName" /IAcceptExchangeServerLicenseTerms
Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms
</code>

===== Benötigte Software installieren =====

==== Windows Server Features ====
<code |powershell>
Install-WindowsFeature NET-WCF-HTTP-Activation45, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS
</code>

==== Unified Communications Managed API 4.0 Runtime ====
> https://www.microsoft.com/de-de/download/details.aspx?id=34992

==== .NET Framework 4.7.1 ====
> https://www.microsoft.com/de-DE/download/details.aspx?id=56116 

==== Visual C++ Redistributable Packages für Visual Studio 2013 ====
> https://www.microsoft.com/en-us/download/details.aspx?id=40784
===== Das Setup (bestehende Exchange Organisation) =====

Die Screenshots stammen von einer Installation eines Exchange Servers in eine bestehende Organisation.

{{:exch:ex16_01.png|}}

{{:exch:ex16_02.png|}}

{{:exch:ex16_03.png|}}

{{:exch:ex16_04.png|}}

{{:exch:ex16_05.png|}}

{{:exch:ex16_06.png|}}

{{:exch:ex16_07.png|}}

{{:exch:ex16_08.png|}}

{{:exch:ex16_09.png|}}

{{:exch:ex16_10.png|}}

===== Namespace =====

Nach der Installation muss zügig mit der Einrichtung des Namespaces begonnen werden, da das Setup den neuen Server sofort als SCP in das AD einträgt.

==== Zertifikat einbinden ====

==== CAS-URLs festlegen ====

<code |powershell>
#Hostname für Exchange Webservices, OWA, Outlook Anywhere, Active Sync:
$OutlookHostname = "mail.maildomain.de"
#Hostname für Autodiscover:
$AutodiscoverHostname = "autodiscover.maildomain.de"
 
#OWA
$owa = "https://" + "$OutlookHostname" + "/owa"
write-host "OWA URL:" $owa
Get-OwaVirtualDirectory -Server $env:computername | Set-OwaVirtualDirectory -internalurl $owa -externalurl $owa -wa 0
 
#ECP
$ecp = "https://" + "$OutlookHostname" + "/ecp"
write-host "ECP URL:" $ecp
Get-EcpVirtualDirectory -server $env:computername| Set-EcpVirtualDirectory -internalurl $ecp -externalurl $ecp
 
#EWS
$ews = "https://" + "$OutlookHostname" + "/EWS/Exchange.asmx"
write-host "EWS URL:" $ews
Get-WebServicesVirtualDirectory -server $env:computername | Set-WebServicesVirtualDirectory -internalurl $ews -externalurl $ews -confirm:$false -force
 
#ActiveSync
$eas = "https://" + "$OutlookHostname" + "/Microsoft-Server-ActiveSync"
write-host "ActiveSync URL:" $eas
Get-ActiveSyncVirtualDirectory -Server $env:computername  | Set-ActiveSyncVirtualDirectory -internalurl $eas -externalurl $eas
 
#OfflineAdressbuch
$oab = "https://" + "$OutlookHostname" + "/OAB"
write-host "OAB URL:" $oab
Get-OabVirtualDirectory -Server $env:computername | Set-OabVirtualDirectory -internalurl $oab -externalurl $oab
 
#MAPIoverHTTP
$mapi = "https://" + "$OutlookHostname" + "/mapi"
write-host "MAPI URL:" $mapi
Get-MapiVirtualDirectory -Server $env:computername| Set-MapiVirtualDirectory -externalurl $mapi -internalurl $mapi
 
#Outlook Anywhere (RPCoverhTTP)
write-host "OA Hostname:" $OutlookHostname
Get-OutlookAnywhere -Server $env:computername| Set-OutlookAnywhere -externalhostname $OutlookHostname -internalhostname $OutlookHostname -ExternalClientsRequireSsl:$true -InternalClientsRequireSsl:$true -ExternalClientAuthenticationMethod 'Negotiate' -wa 0
 
#Autodiscover SCP
$autodiscover = "https://" + "$AutodiscoverHostname" + "/Autodiscover/Autodiscover.xml"
write-host "Autodiscover URL:" $autodiscover
Get-ClientAccessServer $env:computername | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $autodiscover
</code>

==== IIS App-Pool ====

Diese Einstellung verhindert, dass der Autodiscover-App-Pool Mailboxzuordnungen zu lange zwischenspeichert. Dies ist insbesondere bei Postfachmigrationen wichtig.

{{:exch:iis_owa_app_pool_rc.png|}}

==== HTTP-Weiterleitungen ====

  * HTTP -> HTTPS
  * Autodiscover für Zusatzdomains, wenn nicht im Zertifikat hinterlegt

{{:exch:autodiscover-redirect.png|}}
===== Datenbanken =====

==== Umbenennen ====

<code |powershell>
Get-MailboxDatabase -Server EX2
Set-MailboxDatabase -Identity "Mailbox Database 0713073410" -Name MBX1
</code>

==== Verschieben ====

<code |powershell>
Move-DatabasePath MBX1 -EdbFilePath F:\MBX1\MBX1.edb -LogFolderPath G:\MBX1
</code>

oder einzeln

<code |powershell>
Get-MailboxDatabase -Server MBX1 | Move-DatabasePath -LogFolderPath G:\MBX1
</code>

==== Datenbankoptionen ====
Folgende Punkte noch einstellen / klären, ob noch einzustellen:
  * Umlaufprotokollierung an / aus
  * DB-Wartungsfenster

===== Sicherheit =====

Folgende Punkte bitte noch in Erwägung ziehen:
  * Deaktivierung unsicherer SSL/TLS-Versionen
  * Sperren / Unterbinden der externen Erreichbarkeit des ECP
  * Login des Builtin-Administrators und andere Domain-Admins / Enterprise-Admins für Activesync, OWA, IMAP, POP3, etc. sperren
  * Einsatz eines Proxyservers bei direktem Zugriff über das Internet (Web-Reverseproxy und SMTP-Proxy)
  * Mail-Antivirus
  * Spam und Phishing-Schutzmaßnahmen