Aufbau einer kleinen Exchange 2016 Organisation (Teil 5)

Im letzten Teil dieser Artikelserie geht es um die Anbindung der Exchange Organisation an das Internet. Dazu sind noch einmal ein paar Schritte notwendig. Die Konfiguration der Web Application Firewall der UTM habe ich bereits hier schon einmal ausführlich beschrieben und die Konfiguration ist eins zu eins aus dem Artikel übernommen.

Kleiner Hinweis: Diese komplette Umgebung lässt sich auch mit der Sophos UTM Home Edition betreiben. Alle hier eingesetzten und beschriebenen Features der UTM sind in der Home Edition vorhanden. Ich habe für diese Umgebung die Demo Version verwendet, setze aber privat ebenfalls die Home Edition in Verbindung mit dieser Konfiguration ein.

Konfiguration der Fritzbox

Damit die Web Protection der UTM und damit auch Exchange im Internet erreichbar ist, müssen an der Fritzbox zwei Portfreigaben erstellt werden.

Port 80 (HTTP) TCP und Port 443 (HTTPS) TCP müssen dazu an die WAN IP der Sophos UTM weitergeleitet werden:

SNAGHTMLad3fce

Hier einmal die detaillierte Ansicht, gleiches gilt für Port 80:

Organisation

Das war schon alles was an der Fritzbox eingestellt werden muss.

Konfiguration Sub Domains bei Strato

Damit auf Exchange zugegriffen werden kann, müssen die jeweiligen Sub Domains bei Strato bekannt gemacht werden. Wie schon in den vorigen Artikeln beschrieben, wird über den FQDN outlook.frankysweb.org auf die Exchange Dienste zugegriffen, Autodiscover läuft über den Namen autodiscover.frankysweb.org. Diese beiden Subdomains müssen aufgrund der dynamischen IP dynamisch aktualisiert werden. Im Strato Kundencenter werden dazu zwei Subdomains für frankysweb.org angelegt:

image

Nach dem Klick auf „Subdomain anlegen“ wird der Name vergeben. In diesem Fall „outlook“:

image

In der Domain Übersicht kann die Subdomain „outlook.frankysweb.org“ nun auf dynamische Aktualisierung umgestellt werden:

image

Nachdem bei der Subdomain auf „Verwalten“ geklickt wurde, muss die „DNS Verwaltung“ ausgeklappt werden. Dort lässt sich wiederrum bei dem Punkt „Dynamic DNS“ auf „Verwalten klicken:

image

Hinweis: Dynamic DNS darf nur für die Subdomains aktiviert werden.

image

Das Vorgehen wird für autodiscover.frankysweb.org wiederholt, sodass beide Subdomains dynamisch aktualisiert werden können:

image

Zum Schluss muss noch das Strato eigene Autodiscover abgeschaltet werden, wir wollen ja das Autodiscover unseres Exchange Servers mit unseren Einstellungen verwenden und nicht irgendwelche Strato Einstellungen erhalten. Abschalten lässt sich das Strato Autodiscover auf der Domain frankysweb.org:

image

Dynamische DNS Aktualisierung mit Sophos UTM

Damit die DNS Einträge für autodiscover.frankysweb.org und outlook.frankysweb.org trotz dynamischer IP aktuell bleiben, müssen sie entsprechend aktualisiert werden. Die UTM unterstützt Strato DynDNS direkt und kann daher die Aufgabe übernehmen.

Die Einstellungen müssen für beide Subdomains vorgenommen werden:

image

Als Benutzername und Passwort wird die Domain und das Strato Kundencenter Passwort angegeben. Nachdem die Einträge erstellt wurden, müssen beide Einträge aktiviert werden:

image

Nach kurzer Wartezeit werden die Einträge aktualisiert.

Exchange Zertifikat exportieren und auf UTM übertragen

Die Webserver Protection der UTM benötigt ebenfalls ein Zertifikat, da für den Exchange Server schon ein gültiges Zertifikat von StartSSL ausgestellt wurde, kann dieses auch für die Webserver Protection der UTM verwendet werden. Dazu muss zunächst das Zertifikat am Exchange Server exportiert werden. Der Export kann einfach über die MMC und das Zertifikate-SnapIn durchgeführt werden:

image

Wichtig: Das Zertifikat muss mit dem privaten Schlüssel exportiert werden:

image

Der Export kann inkl. der Zertifikatskette erfolgen:

image

Kennwort vergeben und danach das Zertifikat abspeichern

image

nach dem Export, kann das Zertifikat auf der UTM installiert werden:

image

Wenn der Vorgang erfolgreich war, sieht es so aus:

image

Sophos UTM Webserver Protection für Exchange 2016 einrichten

Die Einrichtung der Webserver Protection machen wir jetzt mal im Schnelldurchlauf, da ich dieses Thema hier schon ausführlich beschrieben habe.

Zuerst den Exchange Server als Real Server hinterlegen:

image

Firewall Profile für Autodiscover und Exchange Webservices anlegen:

image

Firewall Profil für Autodiscover

Entry URLs:

/autodiscover
/Autodiscover

Skip Filter Rules:

  • 960015
  • 960911

 

Firewall Profil für Exchange Webservices

Entry URLs:

/ecp
/ECP
/ews
/EWS
/Microsoft-Server-ActiveSync
/oab
/OAB
/owa
/OWA
/rpc
/RPC
/mapi
/Mapi
/

Skip Filter Rules:

  • 960015
  • 981203
  • 960010
  • 960018
  • 981204
  • 960032
  • 981176

 

Virtual Webserver

Jetzt können die Virtual Webserver angelegt werden. Hier werden ebenfalls zwei virtuelle Webserver angelegt, einen für Autodiscover und einen für die restlichen Webservices:

image

image

Wenn die Schritte bis hierher erfolgreich waren, sieht es so aus:

image

Ausnahmen

Damit alle Dienste korrekt funktionieren, werden noch Ausnahmen benötigt

image

Autodiscover:

07-04-_2016_20-35-36_thumb1

Paths:

/autodiscover/*
/Autodiscover/*

OWA Antivirus:

07-04-_2016_20-44-00_thumb1

Paths:

/owa/ev.owa*
/OWA/ev.owa*

Outlook Anywhere (RPCoverHTTP und MAPIoverHTTP)

07-04-_2016_20-46-11_thumb2

Paths:

/rpc/*
/RPC/*
/mapi/*
/MAPI/*

Exchange Webservices

07-04-_2016_20-47-53_thumb2

Paths:

/ecp/*
/ECP/*
/ews/*
/EWS/*
/Microsoft-Server-ActiveSync*
/oab/*
/OAB/*
/owa/*
/OWA/*

Zusammenfassung

Dies waren die letzten Schritte zur Konfiguration einer Testumgebung bzw. sehr kleinen Exchange Organisation. Ich denke das Anlegen von Postfächern muss hier nicht noch beschrieben werden. In der Zwischenzeit haben mich ein paar Fragen zur eingesetzten Hardware in meiner Umgebung erreicht, die ich hier kurz beantworten möchte.

Für meine private „produktive“ Exchange Umgebung setze ich folgendes ein:

Standard PC als ESXi Server: Core i7-6500, 32GB DDR4 RAM, 1 x 64 GB SSD für ESX und VM Swap, 1 x 250 GB SSD Datastore für VMs als Datastore für die Betriebssysteme, 1 x 2 TB HDD SATA als Datastore für Exchange DBs und andere Daten. 2 x Intel Pro 1000 PT Server Adapter als Netzwerkkarten. Das Backup der VMs erfolgt via Veeam auf eine Synology DS415+ mit 4 x 2 TB im RAID5.

Auf dem ESXi laufen derzeit 7 VMs: DC (2 CPUs, 4 GB RAM), Exchange (2 CPUs, 12 GB RAM), UTM (2 CPUs, 4 GB RAM), Veeam (2 CPUs, 4 GB RAM), der Rest sind Linux VMs für verschiedene Aufgaben.

Die Betriebssysteme liegen alle auf der 250er SSD, VM Auslagerungsdateien auf der 64er SSD. Die Daten der VMs werden auf der 2 TB HDD gespeichert.

Für meine private Umgebung bin ich mit dieser Konfiguration bisher sehr zufrieden, gemessen an der Leistungsfähigkeit verbraucht es angenehm wenig Strom, erfüllt aber all meine Wünsche.

Fragen bitte wie immer gerne in die Kommentare oder per Kontaktformular.

29 Kommentare zu “Aufbau einer kleinen Exchange 2016 Organisation (Teil 5)”

  1. Hallo Franky,
    wie immer ein super Artikel, vielen Dank dafür.

    Ich hätte zwei grundsätzliche Fragen über die ich immer wieder verschiedene Meinungen höre:
    Erstens die Auslagerungsdatei auf einem anderen Laufwerk abzulegen. Es begegenen mir öfters Installationen in denen diese zwar auf einem eigenen Laufwerk (nicht Partition) liegen als das WIndows, dahinter aber dann der gleiche ESXi Datenspeicher steckt. Also keine Trennung wie bei dir auf anderen SSDs. Wo ist da der Sinn?
    Zweitens wenn ich über eine statische IP verfüge warum dann trotzdem einen Smarthost einsetzen. Ich sehe da nur doppelte Arbeit drin und eine zusaätzliche Abhängigkeit vom Hoster.
    Gruß
    Marcus

    1. Hallo Marcus,
      es kann durchaus Sinn machen, 2 HDDs für OS und Swap zu nutzen, auch wenn die Disks wieder auf dem gleichen Datastore landen. Zum einen kann Windows besser den IO handeln, wenn OS und Swap getrennt sind. Sollten für OS und Swap HDD 2 SCSI Controller konfiguriert worden sein, kann auch der ESX 2 IO Queues erstellen. Das kann also je nach Konfiguration Vorteile bringen, allerdings in bestimmten Fällen auch Nachteile.

      Bei einer Statischen WAN IP benötigt man keinen Smarthost beim Provider, in diesem Artikel ging es um die Konfiguration bei einer dynamischen WAN IP.

      Gruß, Frank

  2. Hallo Frank, ich bin auch noch auf der Suche nach einem TMG Nachfolger und man liest allerorts von Sophos UTM als sinnvollste Alternative. Bei Deinen Posts verstehe ich es jedoch so, dass die Authentifizierung jeweils am Backend (also in diesem Fall Exchange selbst) vorgenommen wird. Bei TMG haben wir mit “Kerberos constrained Delegation” gearbeitet und nach meinem Verständnis wurde die Authentifizierung am TMG durchgeführt und dann weitergereicht. Ist das mit der UTM auch so möglich oder liege ich mit meiner Annahme falsch?

    1. Hallo Hauke,
      die UTM bietet ein Feature welches sich „Reverse Authentication“ nennt, damit ist es im Prinzip möglich, ich habe das allerdings noch nicht in Verbindung mit Exchange getestet (ist aber mal einen Versuch wert).
      Gruß, Frank

  3. Hallo Frank,
    nutzt Du als Backup die Veeam Free Edition? Ich meine das mal mit ESXi getestet zu haben und es lieft nicht, weil Veeam nicht mit der freien Version des ESXi arbeitet. Hat sich das geändert?
    Grüße, Ulrich

  4. Hallo Frank
    Laut Microsoft Remote Connection Analyzer kann der rpc server nicht gefunden werden.
    Habe alles nach der Anleitung konfiguriert.
    Ohne sophos geht alles ganz normal.
    Autodiscover funktioniert aber

  5. Hallo Frank,
    Es ging eher um die freie ESXi Version. Laut Veeam wird diese nicht unterstützt, da die vmware API nicht freigeschaltet ist.
    Grüße, Ulrich

    1. Hi Ulrich,

      meines Wissens funktioniert Veeam nicht mit der freien ESXi Version. Die freie Version ist allerdings auch nur für Testzwecke gedacht. Ich nutze eine NFR Version von Veeam als auch von ESXi.

      Gruß, Frank

  6. Hallo Frank,

    falls Du die freie Veeam Software verwendest wäre doch hier ein 7. Teil evtl. machbar, das würde doch den super Artikel abrunden mit einer Backup-Lösung :-)

    Gruss,
    Michael

  7. Hallo Frank,
    die OOF-Funktionalität über Outlook funktioniert mit dem Routing der InternalServiceUri irgendwie nicht. Testen konnte ich es leider nur mit Outlook 2007. Die Fehlermeldung lautet „Ihre Abwesenheitseinstellungen können nicht angezeigt werden, da der Server zurzeit nicth verfügbar ist. Versuchen Sie es später erneut.“
    Beim Zugriff auf das EWS-Verzeichnis wird immer Nutzername und Kennwort abgefragt. Im OWA funktioniert der Abwesenheitsassistent tadellos.
    Ich bin mir nicht ganz sicher, ob der Abwesenheitsassistent in Outlook 2007 mit UPN-Suffix Anmeldung klar kommt. Hast Du einen Hinweis für mich?
    Herzlichen Dank im Voraus

  8. Kommt man als „Normalo“ auch an eine NFR ESXi Lizenz dran?
    Sonst bleibt einem wohl nur das Windows Server Backup.

  9. Hallo Frank!

    Super tolle Anleitung!!!!
    ein Problem habe ich leider…
    OWA funktioniert tadellos auch „externe“ Clients mit Autodiscover – perfekt.
    Nur Handys synchronisieren nicht – ich habe auf den Handys das StartSSL Root Zertifikat installiert.
    Das Einrichten des Kontos klappt – nur der anschließende Sync nicht.
    Kannst du mir bitte weiterhelfen?

    Vielen Dank!!

    Gruß, Mario

  10. Hallo Frank,

    ich habe im letzten Teil gesehen, dass du auf deinem Host zweimal die Netzwerkkarte „Intel Pro 1000 PT Server Adapter“ benutzt.
    Neulich habe ich versucht die gleiche in einem ESXi 6.0.0u2 zu installieren und bin aufgrund mangelnder Kompatibilität daran gescheitert.
    Wie hast du das Problem gelöst? Nutzt du eine andere ESXi-Version? Oder besitzt du nicht 2 Karten, sondern eine mit 2 Ports (diese scheint dann laut KB kompatibel zu sein)?

    MFG Leonard

    1. Hi Leonard,

      ich hatte letztens noch für 9 EUR eine Intel Pro 1000 PT bei ebay gekauft, im ESX (Build 3825889) sind jetzt 2 Netzwerkkarten: Eine Intel Pro 1000 PT Dual Port und eine Intel Pro 1000 PT Single Port. Beide wurden direkt erkannt, keine Probleme. Nur die onboard Realtek NIC habe ich bisher nicht ans laufen bekommen.

      Gruß, Frank

  11. Hey Franky, danke für den super Blog, lese ich als administrator einer mittelgroßen firma (150 user) echt oft . Ich frag mich gerade warum du einen pop3 connector nutzt und nicht einfach den MX record auf deinen dyndns Eintrag legst? so habe ich es in meinem homelab gemacht und läuft seit 2 jahren ohne probleme.

  12. @Christoph

    Was machst du, wenn du mal offline bist? Dann kommen die Mails doch nirgends an….mit der pop3 Lösung werden die doch zwischengespeichert…hat also Vorteile. Und Spam muss nicht erst entgegen genommen werden, sondern kann bleibt im Sammelpostfach liegen

    1. Wenn der Exchange offline ist, nimmt die utm alles an und speichert es zwischen. Wenn ich klnplettbofflkne bin… Naja… Dann kommen keine Mails an ist ja klar. Aber das hast du mit einer Standleitung auch. Außerdem probiert normalerweise der sendende Server etliche Male Mails zuzustellen. In 2 Jahren hatte ich noch nie ein Problem.
      Ps: Spam nimmt die utm nicht an. Der wird rejected

      1. Hi Christoph,
        manche Provider stellen keine Mails an dynamische IP-Kreise anderer Provider zu, auch die Gefahr eine IP zu erwischen die bereits auf einer Blacklist steht ist relativ hoch. Das Senden von Mails muss trotzdem noch über ein Relay erfolgenden, da bei dynamischen IPs kein Reverse Eintrag gesetzt werden kann. Für eine Testumgebung kann man das also machen, bei produktiven Umgebungen würde ich auf eine feste IP-Adresse setzen. Die POP3-Geschichte ist eher als Notlösung bei einer dynamischen IP zu sehen, funktioniert zwar, ist allerdings auch alles andere als schön.
        Gruß, Frank

        1. hey franky, ja das sehe ich genauso. mit dyndns würde ich niemals professionell bei einer firma arbeiten. es geht ja hier um ein lab bzw home use. ich kann nur sagen das ich noch nie probleme mit dem mail empfang hatte. und ja, ich nutze natürlich ein relay zum versenden. ansonsten hast du – wie du sagtest – das spam problem.
          find deinen blog cool, weiter so!

  13. Hallo Frank,
    vielen Dank für Deine genialen Beiträge zum Aufbau einer kleinen Exchange Organisation, die ich mit Begeisterung gelesen habe. Ich bin gerade dabei mir eine Testinstallation, ähnlich Deiner kleinen Exchange Organisation aufzubauen. Auch Dein Auodiscover Whitepaper ist sehr gut! Bei mir läuft Die Testinstallation soweit auch schon gut, Mails senden und Empfangen intern und auch extern funktioniert. Jetzt habe ich allerdings noch ein Problem mit einem Windows 10 Client mit installiertem Office 2013, das Outlook Profil eines Bentzers wird sofort erstellt (zero touch) läuft alles super, bis auf das Problem, dass im Outlook Kalender keine Frei-Gebucht Einträge von anderen Benutzern bei der Terminplanung angezeigt werden. Bei Owa sind die Einträge allerdings da! Autodiscover und verschiedene andere Vorschläge aus dem Web habe ich schon überprüft, leider ohne Erfolg. Kannst Du mir evtl. noch einen Tip geben woran das mit dem Free-Busy liegen kann.
    Vielen Dank
    Grüße Rainer

  14. Hallo Franky,
    ich möchte mich vielmals für diesen und viele weitere Artikel bedanken, ohne dessen Hilfe ich mit Sophos und Exchange 2016 vermutlich nicht klar gekommen wäre. Sophos war für mich bisher immer ein rotes Tuch, was aber eher der „Angst“ für vor Firewalls geschuldet war. Nachdem ich dank deiner Anleitung Sophos ein wenig kennengelernt habe muss ich sagen, dass Sophos wirklich ein unglaubliches Produkt ist (und das auch noch kostenlos).
    Ein paar Stolpersteine gab es aber dennoch, namentlich genannt „LetsEncrypt Zertifikate“. Ich habe es einfach nicht hinbekommen mit deinem Zertifikats-Skript und IIS. Offenbar hat Sophos das verhindert. Die Zertifikatsanforderung wurde ständig beim Senden an LetsEncrypt abgerochen. Außerdem musste ich mit einer anderen Anleitung im Quellcode der Sophos rumpfuschen, damit der DNS-Provider Allinkl.com funktioniert.
    Letztendlich habe ich all diese Probleme sehr einfach gelöst. Für meine Subdomain fordert nun Sophos das SAN-Zertifikat an, welches ich nach wie vor manuell auf dem Exchange 2016 installieren muss. Das ist zwar keine schöne Lösung, aber eine Lösung. Das erscheint mir aktuell besser, als X-Tage nach Lösungen zu suchen, die möglicherweise auch ein Bug im IIS oder in Server 2016 sein können.
    Also, nochmal danke für deinen wirklich außergewöhnlichen Blog! Und natürlich auch an alle anderen hilfreichen Kommentaren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.