22.04.2009

Remoteverwaltung von Exchange 2007 beim Einsatz verschiedener Serverbetriebssysteme

Für die Fernwartung von Exchange 2007 Servern, installiert auf Windows Server 2008, sind auf dem Verwaltungssystem zusätzliche Schritte notwendig, wenn das Verwaltungsystem unter Windows Server 2003, Windows Server 2003 R2 oder Windows XP betrieben wird.

Nach dem Starten der Exchangeverwaltungskonsole und der Auswahl eines Exchange Servers unter Windows 2008 erfolgt eine Fehlermeldung:

"Unable to create Internet Information Services (IIS) directory entry. Error message is: Access denied.
.HResult = -2147024891."

Für die Beseitigung dieser Fehlermeldung ist eine Anpassung auf dem Verwaltungssystem notwendig.

Dazu öffnet man die Komponentenverwaltung.

Start à Ausführen à dcomcnfg

Dort wechselt man in Component Services à Computers à My Computer à Properties

Und stellt auf der Registerkarte "Default Properties" das Default Impersonation Level" auf "Impersonate".

Unter Umständen ist ein Neustart des Systems notwendig, bei mir funktionierte es immer ohne Neustart.

Bereitgestellt um 10:32 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

11.06.2007

Erstellen und Segmentieren der Adresslisten Teil 1

Global Address List Trennung für Outlook

Vorbereitende Schritte:

Installieren der Supporttools für Windows Server 2003.

Erstellen einer universalen Sicherheitsgruppe "Deny-Default-AL". Diese Sicherheitsgruppe wird verwendet um den Zugriff auf die durch die Installation von Microsoft Exchange 2007 erstellen Adresslisten zu verweigern.

In die oben genannte Sicherheitsgruppe dürfen keine Benutzer aufgenommen werden, die die gesamte Exchangeorganisation administrieren sollen.

Einstellen der Berechtigungen für die Standardadresslisten.

Die Berechtigungen für den Zugriff auf globale Adresslisten kann nicht über die Exchangeverwaltungskonsole verwaltet werden. Dafür muss "ADSIEdit" aus den Support Tools ran.

In ADSIEdit eine Verbindung mit der Configurationpartition des Active Directory herstellen und der Gruppe "Deny-default-AL" alle Zugriffe auf die Adresslisten verweigern.

Dabei das "Default Offline Address Book" nicht vergessen.

Erstellen und Konfigurieren der zusätzlichen Adresslisten

Erstellen zusätzlicher Adresslisten

Zusätzliche Adresslisten können sowohl über die Exchange Management Konsole als auch über die Exchange PowerShell erstellt werden, außer globaler Adresslisten. Die müssen mithilfe der PowerShell generiert werden. Als Filterkriterium habe ich mich für das "Benutzerdefinierte Attribut 1" entschieden. In realen Umgebungen sollte im Vorfeld geprüft werden ob dieses Attribut bereits verwendet wird.

Im dargestellten Beispiel wird eine zusätzliche Globale Adressliste angelegt in der alle Empfängerobjekte enthalten sind deren Attribut "CustomAttribut1" die Zeichenkette "ITaCS" enthält. Mit zwei zusätzlichen Befehlszeilen werden weitere Globale Adresslisten angelegt und unsere Exchange Organisation verfügt jetzt über vier Globale Adresslisten. Das Ergebnis sieht dann so aus.

Erstellen der Sicherheitsgruppen für die Zugriffe auf die Globalen Adresslisten (GAL)

Jede der erzeugten GALs soll für eine Firma stehen, deren Adressinformationen nichts mit dem Adressinformationen der anderen Firmen zu tun hat. D.h. wir müssen die Zugriffe auf die Adresslisten wechselseitig verhindern. Dafür sollten jeweils Sicherheitsgruppen für die einzelnen Firmen erstellt werden, nach gleichen Schema wie für die "Default global Address List". Für unsere drei "Firmen" also genau sechs Gruppen.

"Deny-ITaCS-Demo-AL"  Members: SCaTI-Demo; Contoso-Demo

"Deny-SCaTI-Demo-AL"  Members: ITaCS-Demo; Contoso-Demo

"Deny-Contoso-Demo-AL"  Members: ITaCS-Demo; SCaTI-Demo

Die Benutzer der jeweiligen Firmen sind Mitglieder in den korrespondierenden Gruppen ihrer Firma.

Erstellen der Empfängerrichtlinien und der Domäneneinträge

Damit E-Mails für unsere verschiedenen Firmen empfangen werden können benötigen wir noch für jede Firma je eine Empfängerrichtlinie und einen Domäneneintrag innerhalb der Exchange Organisation. Das habe ich der Einfachheit halber über die PowerShell realisiert.

Setzen der Berechtigungen für die zusätzlichen Adresslisten

Hier kommt wieder ADSI Edit zum Zuge. Die Vorgehensweise entspricht der Einstellungen der Berechtigungen für die "Default Global Address List" und wird für jede zusätzliche globale Adressliste eingestellt.

Somit sind jetzt die Bedingungen geschaffen, um jedem Benutzer den Zugriff auf die GAL seiner Firma zu gewähren.

Abschließend aber eine schlechte Nachricht. Diese Konfiguration greift nur für Zugriffe mittels Outlook über MAPI bzw. über "Outlook Anywhere" (vormals RPC over http) und verhindert gleichzeitig die Verwendung des "Raum-Buttons" in Besprechungsanfragen. Für eine ähnliche Abbildung im OutlookWebAccess sind weitere Schritte notwendig, genau wie für die Bereitstellung von Offline Adressbüchern. Diese werde ich demnächst im Blog beschreiben.

Bereitgestellt um 09:00 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

30.11.2006

Verwalten Globaler Adresslisten (GAL)

Die Verwaltung globaler Adresslisten muss zurzeit über die "Exchange Management Shell" erfolgen. Eine Administration über die Verwaltungskonsole ist nicht möglich.

Anzeige der vorhanden globalen Adresslisten

In der "Exchange Management Shell" einfach "get-globaladresslist" eingeben und es wird die Liste der existierenden GAL's mit den dazugehörenden Filtereinstellungen ausgegeben.

Erstellen zusätzlicher Globaler Adresslisten

Zusätzliche globale Adresslisten werden über die "Exchange Management Shell" erstellt.

New-GlobalAddressList –Name "ITaCS GAL" -IncludedRecipients "MailboxUsers, Resources, MailContacts, MailGroups, MailUsers" -Company "ITaCS"

Diese globale Adressliste enthält alle e-mailaktiven Objekte vom Typ Postfach und Kontakt im AD, die Feld Firma "ITaCS" zu stehen haben.

Natürlich sind diese Objekte gleichzeitig in der Default GAL enthalten. Das bedeutet in weiteren Schritten müssen Berechtigungen angepasst und Offline Adresslisten erstellt werden.

Entfernen von Globalen Adresslisten

Dabei sollte darauf geachtet werden, dass die "Default Global Address List" nicht entfernt wird (ich kann nicht sagen ,ob das überhaupt möglich ist, denn ich bin bisher noch nicht auf die Idee gekommen sie zu löschen). Benutzer die keinen Zugriff auf eine Globale Adressliste haben können nicht mehr ihre Postfachinhalte abrufen oder in anderer Form mit dem Exchange Server arbeiten.

Remove-GlobalAddressList –identity "ITaCS GAL"

Und weg ist die selbsterstellte GAL.

Bereitgestellt um 14:58 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

Aktivieren der AntiSpam Funktionen auf einem Hub Transport Server

Die AntiSpam Funktionen stehen in der Verwaltungskonsole nur auf Servern zur Verfügung, denen die Rolle "Edge-Server" eingerichtet wurde. In vielen Szenarien existiert aber nur ein Exchange Server oder kein Edge-Server, dann möchte man natürlich auf diesem auch den Nachfolger des IMF verwenden.

Voraussetzung ist die Installation der Rolle "Hub-Transport. Zur Aktivierung der AntiSpam-Funktionen ist ein Script beigefügt. Dieses befindet sich in Installationspfad der Exchange Server Dateien – "install-AntiSpamAgents.ps1". Also die "Exchange Management Shell" öffnen und das Script ausführen.

Nach erfolgreicher Ausführung des Scriptes sollte die Verwaltungskonsole unter Hub Transport entsprechend der folgenden Abbildung erweitert sein.

Jetzt kann es an die Konfiguration der Filtereigenschaften gehen. In Vorbereitung darauf sollte man jedoch ein Quarantänepostfach einrichten.

Bereitgestellt um 13:21 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

Malte Pabsts Blog