Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- exch:2016_installation [2019/11/27 11:00] – [AD-Schema erweitern] Benötigte Software installieren Sebastian Hetzel
+++ exch:2016_installation [2021/05/26 11:49] (aktuell) – [Sicherheit] angelegt Sebastian Hetzel
@@ Zeile 1: / Zeile 1: @@
 ====== Exchange 2016 Installation ======
+Während der Installation bitte folgendes beachten:
+  * Virenscanner deaktivieren
+  * Windows Defender ausschalten
+  * Aktuelle Windows Updates installieren
+Es kann sonst zu Abbrüchen oder Hängern des Installers kommen.
+===== Voraussetzungen Active Directory =====
+> https://docs.microsoft.com/de-de/exchange/plan-and-deploy/supportability-matrix?view=exchserver-2016#supported-active-directory-environments
+In Kurzform:
+  * bis 2016 CU2 - Forest und Domain Level >= 2003
+  * ab 2016 CU3 - Forest und Domain Level >= 2008
+===== Pagefile =====
+Das **Pagefile** des Exchange-Server sollte nach folgender Formel berechnet und statisch angelegt werden:
+<code>
+[Arbeitsspeicher in MB] + 10 MB
+</code>
+Beispiel mit 32 GB RAM:
+<code>
+* 1024 MB + 10 MB = 32778 MB
+</code>
+Das Pagefile belasse ich auf Laufwerk **C:\** - setze aber den Wert wie oben angegeben fest.
 ===== AD-Schema erweitern =====
@@ Zeile 29: / Zeile 57: @@
 ==== .NET Framework 4.7.1 ====
 > https://www.microsoft.com/de-DE/download/details.aspx?id=56116
+==== Visual C++ Redistributable Packages für Visual Studio 2013 ====
+> https://www.microsoft.com/en-us/download/details.aspx?id=40784
+===== Das Setup (bestehende Exchange Organisation) =====
+Die Screenshots stammen von einer Installation eines Exchange Servers in eine bestehende Organisation.
+{{:exch:ex16_01.png|}}
+{{:exch:ex16_02.png|}}
+{{:exch:ex16_03.png|}}
+{{:exch:ex16_04.png|}}
+{{:exch:ex16_05.png|}}
+{{:exch:ex16_06.png|}}
+{{:exch:ex16_07.png|}}
+{{:exch:ex16_08.png|}}
+{{:exch:ex16_09.png|}}
+{{:exch:ex16_10.png|}}
+===== Namespace =====
+Nach der Installation muss zügig mit der Einrichtung des Namespaces begonnen werden, da das Setup den neuen Server sofort als SCP in das AD einträgt.
+==== Zertifikat einbinden ====
+==== CAS-URLs festlegen ====
+<code |powershell>
+#Hostname für Exchange Webservices, OWA, Outlook Anywhere, Active Sync:
+$OutlookHostname = "mail.maildomain.de"
+#Hostname für Autodiscover:
+$AutodiscoverHostname = "autodiscover.maildomain.de"
+#OWA
+$owa = "https://" + "$OutlookHostname" + "/owa"
+write-host "OWA URL:" $owa
+Get-OwaVirtualDirectory -Server $env:computername | Set-OwaVirtualDirectory -internalurl $owa -externalurl $owa -wa 0
+#ECP
+$ecp = "https://" + "$OutlookHostname" + "/ecp"
+write-host "ECP URL:" $ecp
+Get-EcpVirtualDirectory -server $env:computername| Set-EcpVirtualDirectory -internalurl $ecp -externalurl $ecp
+#EWS
+$ews = "https://" + "$OutlookHostname" + "/EWS/Exchange.asmx"
+write-host "EWS URL:" $ews
+Get-WebServicesVirtualDirectory -server $env:computername | Set-WebServicesVirtualDirectory -internalurl $ews -externalurl $ews -confirm:$false -force
+#ActiveSync
+$eas = "https://" + "$OutlookHostname" + "/Microsoft-Server-ActiveSync"
+write-host "ActiveSync URL:" $eas
+Get-ActiveSyncVirtualDirectory -Server $env:computername  | Set-ActiveSyncVirtualDirectory -internalurl $eas -externalurl $eas
+#OfflineAdressbuch
+$oab = "https://" + "$OutlookHostname" + "/OAB"
+write-host "OAB URL:" $oab
+Get-OabVirtualDirectory -Server $env:computername | Set-OabVirtualDirectory -internalurl $oab -externalurl $oab
+#MAPIoverHTTP
+$mapi = "https://" + "$OutlookHostname" + "/mapi"
+write-host "MAPI URL:" $mapi
+Get-MapiVirtualDirectory -Server $env:computername| Set-MapiVirtualDirectory -externalurl $mapi -internalurl $mapi
+#Outlook Anywhere (RPCoverhTTP)
+write-host "OA Hostname:" $OutlookHostname
+Get-OutlookAnywhere -Server $env:computername| Set-OutlookAnywhere -externalhostname $OutlookHostname -internalhostname $OutlookHostname -ExternalClientsRequireSsl:$true -InternalClientsRequireSsl:$true -ExternalClientAuthenticationMethod 'Negotiate' -wa 0
+#Autodiscover SCP
+$autodiscover = "https://" + "$AutodiscoverHostname" + "/Autodiscover/Autodiscover.xml"
+write-host "Autodiscover URL:" $autodiscover
+Get-ClientAccessServer $env:computername | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $autodiscover
+</code>
+==== IIS App-Pool ====
+Diese Einstellung verhindert, dass der Autodiscover-App-Pool Mailboxzuordnungen zu lange zwischenspeichert. Dies ist insbesondere bei Postfachmigrationen wichtig.
+{{:exch:iis_owa_app_pool_rc.png|}}
+==== HTTP-Weiterleitungen ====
+  * HTTP -> HTTPS
+  * Autodiscover für Zusatzdomains, wenn nicht im Zertifikat hinterlegt
+{{:exch:autodiscover-redirect.png|}}
+===== Datenbanken =====
+==== Umbenennen ====
+<code |powershell>
+Get-MailboxDatabase -Server EX2
+Set-MailboxDatabase -Identity "Mailbox Database 0713073410" -Name MBX1
+</code>
+==== Verschieben ====
+<code |powershell>
+Move-DatabasePath MBX1 -EdbFilePath F:\MBX1\MBX1.edb -LogFolderPath G:\MBX1
+</code>
+oder einzeln
+<code |powershell>
+Get-MailboxDatabase -Server MBX1 | Move-DatabasePath -LogFolderPath G:\MBX1
+</code>
+==== Datenbankoptionen ====
+Folgende Punkte noch einstellen / klären, ob noch einzustellen:
+  * Umlaufprotokollierung an / aus
+  * DB-Wartungsfenster
+===== Sicherheit =====
+Folgende Punkte bitte noch in Erwägung ziehen:
+  * Deaktivierung unsicherer SSL/TLS-Versionen
+  * Sperren / Unterbinden der externen Erreichbarkeit des ECP
+  * Login des Builtin-Administrators und andere Domain-Admins / Enterprise-Admins für Activesync, OWA, IMAP, POP3, etc. sperren
+  * Einsatz eines Proxyservers bei direktem Zugriff über das Internet (Web-Reverseproxy und SMTP-Proxy)
+  * Mail-Antivirus
+  * Spam und Phishing-Schutzmaßnahmen