von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - Exchange 2019 auf physischem Server einrichten (2)
Zertifikat einrichten
Zur sicheren Kommunikation zum Exchange-Server benötigen Sie Zertifikate. Dabei bringt Exchange von Haus aus ein Zertifikat mit, das aber noch nicht die Namen der neuen Zugriffspunkte enthält. Grundsätzlich haben Sie drei Möglichkeit Zertifikate zu erstellen: Neben einem öffentlichen Zertifikat können Sie ein Zertifikat einer internen Zertifizierungsstelle oder ein selbstsigniertes Zertifikat verwenden. Letzteres können Sie zwar nutzen, aber es bedarf eines hohen zusätzlichen Aufwands, damit Clients diesem uneingeschränkt vertrauen. Sollen nur domänenintegrierte Clients auf den Server zugreifen, können Sie die Kosten für ein öffentliches Zertifikat einsparen. In diesem Fall bietet sich eine eigene domainintegrierte Zertifizierungsstelle (CA) an.
Da nur ein Zertifikat auf den IIS-Dienst gebunden werden kann, müssen Sie ein SAN-Zertifikat (Subject Alternate Name) mit verschiedenen Namen hinterlegen. Als Namen werden die Zugriffspunkte definiert. Servernamen sollten nicht im Zertifikat stehen. Wie bereits beschrieben ist es sinnvoll, die Anzahl der Namen möglichst zu minimieren.
Den Request speichern Sie in einer Netzwerkfreigabe und reichen ihn an einer Zertifizierungsstelle ein. Das Erstellen der Zertifikatsanforderung kann alternativ über den PowerShell-Befehl New-ExchangeCertificate erfolgen. Nachdem Sie das Zertifikat von der Zertifikatstelle erhalten haben, schließen Sie die Zertifikatanforderung über das EAC ab und weisen dem Zertifikat im Anschluss die nötigen Dienste (IIS, SMTP, POP3 und IMAP) zu. Zum Testen starten Sie die OWA-Website des Servers und prüfen über das Schloss im Browser, ob das neue Zertifikat genutzt wird.
Es sei noch kurz erwähnt, dass vor dem Auslaufen eines Zertifikats in Exchange 2019 im EAC gewarnt wird. Ältere Exchange-Versionen haben diese Meldung nur im EventLog angezeigt, sodass der eine oder andere Administrator von dem Auslaufen eines Zertifikats überrascht wurde. Die Benachrichtigung startet im Übrigen 30 Tage vor dem Ablauf und wird täglich fortgesetzt.
Connectoren einrichten
Exchange 2019 geht nach der Installation automatisch auf Empfang und richtet die nötigen Empfangsconnectoren ein. Eine Übersicht der Connectoren erhalten Sie über das EAC im Bereich "Nachrichtenfluss / Empfangsconnectors". Die vielen Connectoren sind eine Folge der verschiedenen Transportinstanzen, die sich auf Clientzugriffsdienst und Postfach-Server aufteilen. Die eingehende Kommunikation sollte mit den vorhandenen Connectoren gewährleistet sein, trotzdem schadet es nicht, ein Grundverständnis für die verschiedenen Connectoren mitzubringen. Ein neuer Multi-Role-Server hat insgesamt fünf Empfangsconnectoren. Drei davon sind dem Clientzugriff mit der Funktion FrontEndTransport und zwei dem Mailboxserver mit dem HubTransport zugeordnet.
Weiterhin existieren zwei Empfangsconnectoren auf dem Postfachserver. Der Connector "Default Server" (Port 2525) akzeptiert primär Verbindungen von Mailbox-Servern, auf denen der Transportdienst ausgeführt wird. Der "Clientproxy Server" (Port 465) ist das Gegenstück zu den Front-End-Connectoren und nimmt die E-Mails vom Clientzugriffsdienst entgegen.
Müssen Sie einen weiteren Server vorhalten, um speziellen Rechnern das anonyme Relayen zu ermöglichen, richten Sie einen Empfangsconnector am FrontEnd ein. Auf diesem Weg vereinfachen und vereinheitlichen Sie den Nachrichtenfluss. Intern können Sie auch direkt den HubTransport angeben, sodass die E-Mails direkt am Postfachdienst auflaufen. Testen können Sie den eingehenden E-Mailverkehr über einen SMTP-Client oder direkt über Telnet.
Um das Senden zu gewährleisten, richten Sie in der EAC einen neuen Sendeconnector ein. Das erledigen Sie im Bereich "Nachrichtenfluss". Wählen Sie hier als Adressraum "*", damit über den Connector der gesamte E-Mailverkehr abgewickelt wird, und als Typ "Internet". An dieser Stelle konfigurieren Sie weiterhin, ob E-Mails direkt oder über einen Smarthost versendet werden. Zum Abschluss fügen Sie die neuen Server in der Bereichsdefinition als Quellserver hinzu, damit beide Server über den Connector senden können. Nach dem Erstellen öffnen Sie den Sendeconnector und tragen unter dem Punkt "FQDN" im Bereich "Bereichsdefinition" den Hostnamen "mail.domain.de" ein, der ebenfalls im Zertifikat vorkommen muss.
Seite 2: Zertifikate und Connectoren einrichten
Im dritten Teil kümmern wir uns um Hochverfügbarkeit, Backup und die Absicherung gegen Spam und Malware. In der ersten Folge des Workshops haben wir uns mit dem Sizing und dem eigentlichen Installationsvorgang beschäftigt. Auch warfen wir einen ersten Blick auf die Verwaltung per Administration Center.
dr/ln/Christian Schulenburg
Zur sicheren Kommunikation zum Exchange-Server benötigen Sie Zertifikate. Dabei bringt Exchange von Haus aus ein Zertifikat mit, das aber noch nicht die Namen der neuen Zugriffspunkte enthält. Grundsätzlich haben Sie drei Möglichkeit Zertifikate zu erstellen: Neben einem öffentlichen Zertifikat können Sie ein Zertifikat einer internen Zertifizierungsstelle oder ein selbstsigniertes Zertifikat verwenden. Letzteres können Sie zwar nutzen, aber es bedarf eines hohen zusätzlichen Aufwands, damit Clients diesem uneingeschränkt vertrauen. Sollen nur domänenintegrierte Clients auf den Server zugreifen, können Sie die Kosten für ein öffentliches Zertifikat einsparen. In diesem Fall bietet sich eine eigene domainintegrierte Zertifizierungsstelle (CA) an.
Da nur ein Zertifikat auf den IIS-Dienst gebunden werden kann, müssen Sie ein SAN-Zertifikat (Subject Alternate Name) mit verschiedenen Namen hinterlegen. Als Namen werden die Zugriffspunkte definiert. Servernamen sollten nicht im Zertifikat stehen. Wie bereits beschrieben ist es sinnvoll, die Anzahl der Namen möglichst zu minimieren.
Alles zu den Zertifikaten finden Sie im Hauptmenüpunkt "Server" im Bereich "Zertifikate". Um mit einer Zertifikatanforderung zu beginnen, wählen Sie über das "+" die Erstellung eines neuen Exchange-Zertifikats. Beginnen Sie die Anforderung eines Zertifikats über eine Zertifikatstelle. An diesem Punkt erzeugen Sie alternativ auch ein selbstsigniertes Zertifikat. Tragen Sie im nächsten Schritt den Anzeigenamen für das Zertifikat ein und übergehen Sie das Wildcard-Zertifikat. Nachdem Sie den Server ausgewählt haben, wählen Sie die zu nutzenden Dienste des Servers aus. Dadurch werden automatisch die nötigen URLs ergänzt, die im folgenden Schritt zusammengefasst werden (Bild 4).
Bild 4: Kurz vor Abschluss zum Erstellen einer Zertifikatanforderung werden Ihnen alle Namen für das Zertifikat angezeigt.
Den Request speichern Sie in einer Netzwerkfreigabe und reichen ihn an einer Zertifizierungsstelle ein. Das Erstellen der Zertifikatsanforderung kann alternativ über den PowerShell-Befehl New-ExchangeCertificate erfolgen. Nachdem Sie das Zertifikat von der Zertifikatstelle erhalten haben, schließen Sie die Zertifikatanforderung über das EAC ab und weisen dem Zertifikat im Anschluss die nötigen Dienste (IIS, SMTP, POP3 und IMAP) zu. Zum Testen starten Sie die OWA-Website des Servers und prüfen über das Schloss im Browser, ob das neue Zertifikat genutzt wird.
Es sei noch kurz erwähnt, dass vor dem Auslaufen eines Zertifikats in Exchange 2019 im EAC gewarnt wird. Ältere Exchange-Versionen haben diese Meldung nur im EventLog angezeigt, sodass der eine oder andere Administrator von dem Auslaufen eines Zertifikats überrascht wurde. Die Benachrichtigung startet im Übrigen 30 Tage vor dem Ablauf und wird täglich fortgesetzt.
Connectoren einrichten
Exchange 2019 geht nach der Installation automatisch auf Empfang und richtet die nötigen Empfangsconnectoren ein. Eine Übersicht der Connectoren erhalten Sie über das EAC im Bereich "Nachrichtenfluss / Empfangsconnectors". Die vielen Connectoren sind eine Folge der verschiedenen Transportinstanzen, die sich auf Clientzugriffsdienst und Postfach-Server aufteilen. Die eingehende Kommunikation sollte mit den vorhandenen Connectoren gewährleistet sein, trotzdem schadet es nicht, ein Grundverständnis für die verschiedenen Connectoren mitzubringen. Ein neuer Multi-Role-Server hat insgesamt fünf Empfangsconnectoren. Drei davon sind dem Clientzugriff mit der Funktion FrontEndTransport und zwei dem Mailboxserver mit dem HubTransport zugeordnet.
Die Funktion FrontEndTransport fungiert in Exchange 2019 als Proxy für den ein- und ausgehenden SMTP-Verkehr. Mit Hilfe der Connectoren "Default Frontend Server" (Port 25) und "Client Frontend Server" (Port 587) wird der Standardempfang zur Exchange-Umgebung gewährleistet. Darüber hinaus existiert der "Outbound Proxy Frontend Server", der alle Nachrichten von einem Sendeconnector eines Mailbox-Servers annimmt, sofern der Front-End-Proxy aktiviert ist und die Nachrichten nach extern weiterleitet.
Bild 5: Exchange 2019 bringt nach der Installation fünf Empfangsconnectoren mit und ist direkt empfangsbereit.
Weiterhin existieren zwei Empfangsconnectoren auf dem Postfachserver. Der Connector "Default Server" (Port 2525) akzeptiert primär Verbindungen von Mailbox-Servern, auf denen der Transportdienst ausgeführt wird. Der "Clientproxy Server" (Port 465) ist das Gegenstück zu den Front-End-Connectoren und nimmt die E-Mails vom Clientzugriffsdienst entgegen.
Müssen Sie einen weiteren Server vorhalten, um speziellen Rechnern das anonyme Relayen zu ermöglichen, richten Sie einen Empfangsconnector am FrontEnd ein. Auf diesem Weg vereinfachen und vereinheitlichen Sie den Nachrichtenfluss. Intern können Sie auch direkt den HubTransport angeben, sodass die E-Mails direkt am Postfachdienst auflaufen. Testen können Sie den eingehenden E-Mailverkehr über einen SMTP-Client oder direkt über Telnet.
Um das Senden zu gewährleisten, richten Sie in der EAC einen neuen Sendeconnector ein. Das erledigen Sie im Bereich "Nachrichtenfluss". Wählen Sie hier als Adressraum "*", damit über den Connector der gesamte E-Mailverkehr abgewickelt wird, und als Typ "Internet". An dieser Stelle konfigurieren Sie weiterhin, ob E-Mails direkt oder über einen Smarthost versendet werden. Zum Abschluss fügen Sie die neuen Server in der Bereichsdefinition als Quellserver hinzu, damit beide Server über den Connector senden können. Nach dem Erstellen öffnen Sie den Sendeconnector und tragen unter dem Punkt "FQDN" im Bereich "Bereichsdefinition" den Hostnamen "mail.domain.de" ein, der ebenfalls im Zertifikat vorkommen muss.
Seite 2: Zertifikate und Connectoren einrichten
Im dritten Teil kümmern wir uns um Hochverfügbarkeit, Backup und die Absicherung gegen Spam und Malware. In der ersten Folge des Workshops haben wir uns mit dem Sizing und dem eigentlichen Installationsvorgang beschäftigt. Auch warfen wir einen ersten Blick auf die Verwaltung per Administration Center.
| << Vorherige Seite | Seite 2 von 2 |
dr/ln/Christian Schulenburg
