Im letzten Teil dieser Artikelserie geht es um die Anbindung der Exchange Organisation an das Internet. Dazu sind noch einmal ein paar Schritte notwendig. Die Konfiguration der Web Application Firewall der UTM habe ich bereits hier schon einmal ausführlich beschrieben und die Konfiguration ist eins zu eins aus dem Artikel übernommen.
Kleiner Hinweis: Diese komplette Umgebung lässt sich auch mit der Sophos UTM Home Edition betreiben. Alle hier eingesetzten und beschriebenen Features der UTM sind in der Home Edition vorhanden. Ich habe für diese Umgebung die Demo Version verwendet, setze aber privat ebenfalls die Home Edition in Verbindung mit dieser Konfiguration ein.
Konfiguration der Fritzbox
Damit die Web Protection der UTM und damit auch Exchange im Internet erreichbar ist, müssen an der Fritzbox zwei Portfreigaben erstellt werden.
Port 80 (HTTP) TCP und Port 443 (HTTPS) TCP müssen dazu an die WAN IP der Sophos UTM weitergeleitet werden:
Hier einmal die detaillierte Ansicht, gleiches gilt für Port 80:
Das war schon alles was an der Fritzbox eingestellt werden muss.
Konfiguration Sub Domains bei Strato
Damit auf Exchange zugegriffen werden kann, müssen die jeweiligen Sub Domains bei Strato bekannt gemacht werden. Wie schon in den vorigen Artikeln beschrieben, wird über den FQDN outlook.frankysweb.org auf die Exchange Dienste zugegriffen, Autodiscover läuft über den Namen autodiscover.frankysweb.org. Diese beiden Subdomains müssen aufgrund der dynamischen IP dynamisch aktualisiert werden. Im Strato Kundencenter werden dazu zwei Subdomains für frankysweb.org angelegt:
Nach dem Klick auf „Subdomain anlegen“ wird der Name vergeben. In diesem Fall „outlook“:
In der Domain Übersicht kann die Subdomain „outlook.frankysweb.org“ nun auf dynamische Aktualisierung umgestellt werden:
Nachdem bei der Subdomain auf „Verwalten“ geklickt wurde, muss die „DNS Verwaltung“ ausgeklappt werden. Dort lässt sich wiederrum bei dem Punkt „Dynamic DNS“ auf „Verwalten klicken:
Hinweis: Dynamic DNS darf nur für die Subdomains aktiviert werden.
Das Vorgehen wird für autodiscover.frankysweb.org wiederholt, sodass beide Subdomains dynamisch aktualisiert werden können:
Zum Schluss muss noch das Strato eigene Autodiscover abgeschaltet werden, wir wollen ja das Autodiscover unseres Exchange Servers mit unseren Einstellungen verwenden und nicht irgendwelche Strato Einstellungen erhalten. Abschalten lässt sich das Strato Autodiscover auf der Domain frankysweb.org:
Dynamische DNS Aktualisierung mit Sophos UTM
Damit die DNS Einträge für autodiscover.frankysweb.org und outlook.frankysweb.org trotz dynamischer IP aktuell bleiben, müssen sie entsprechend aktualisiert werden. Die UTM unterstützt Strato DynDNS direkt und kann daher die Aufgabe übernehmen.
Die Einstellungen müssen für beide Subdomains vorgenommen werden:
Als Benutzername und Passwort wird die Domain und das Strato Kundencenter Passwort angegeben. Nachdem die Einträge erstellt wurden, müssen beide Einträge aktiviert werden:
Nach kurzer Wartezeit werden die Einträge aktualisiert.
Exchange Zertifikat exportieren und auf UTM übertragen
Die Webserver Protection der UTM benötigt ebenfalls ein Zertifikat, da für den Exchange Server schon ein gültiges Zertifikat von StartSSL ausgestellt wurde, kann dieses auch für die Webserver Protection der UTM verwendet werden. Dazu muss zunächst das Zertifikat am Exchange Server exportiert werden. Der Export kann einfach über die MMC und das Zertifikate-SnapIn durchgeführt werden:
Wichtig: Das Zertifikat muss mit dem privaten Schlüssel exportiert werden:
Der Export kann inkl. der Zertifikatskette erfolgen:
Kennwort vergeben und danach das Zertifikat abspeichern
nach dem Export, kann das Zertifikat auf der UTM installiert werden:
Wenn der Vorgang erfolgreich war, sieht es so aus:
Sophos UTM Webserver Protection für Exchange 2016 einrichten
Die Einrichtung der Webserver Protection machen wir jetzt mal im Schnelldurchlauf, da ich dieses Thema hier schon ausführlich beschrieben habe.
Zuerst den Exchange Server als Real Server hinterlegen:
Firewall Profile für Autodiscover und Exchange Webservices anlegen:
Firewall Profil für Autodiscover
Entry URLs:
/autodiscover /Autodiscover
Skip Filter Rules:
- 960015
- 960911
Firewall Profil für Exchange Webservices
Entry URLs:
/ecp /ECP /ews /EWS /Microsoft-Server-ActiveSync /oab /OAB /owa /OWA /rpc /RPC /mapi /Mapi /
Skip Filter Rules:
- 960015
- 981203
- 960010
- 960018
- 981204
- 960032
- 981176
Virtual Webserver
Jetzt können die Virtual Webserver angelegt werden. Hier werden ebenfalls zwei virtuelle Webserver angelegt, einen für Autodiscover und einen für die restlichen Webservices:
Wenn die Schritte bis hierher erfolgreich waren, sieht es so aus:
Ausnahmen
Damit alle Dienste korrekt funktionieren, werden noch Ausnahmen benötigt
Autodiscover:
Paths:
/autodiscover/* /Autodiscover/*
OWA Antivirus:
Paths:
/owa/ev.owa* /OWA/ev.owa*
Outlook Anywhere (RPCoverHTTP und MAPIoverHTTP)
Paths:
/rpc/* /RPC/* /mapi/* /MAPI/*
Exchange Webservices
Paths:
/ecp/* /ECP/* /ews/* /EWS/* /Microsoft-Server-ActiveSync* /oab/* /OAB/* /owa/* /OWA/*
Zusammenfassung
Dies waren die letzten Schritte zur Konfiguration einer Testumgebung bzw. sehr kleinen Exchange Organisation. Ich denke das Anlegen von Postfächern muss hier nicht noch beschrieben werden. In der Zwischenzeit haben mich ein paar Fragen zur eingesetzten Hardware in meiner Umgebung erreicht, die ich hier kurz beantworten möchte.
Für meine private „produktive“ Exchange Umgebung setze ich folgendes ein:
Standard PC als ESXi Server: Core i7-6500, 32GB DDR4 RAM, 1 x 64 GB SSD für ESX und VM Swap, 1 x 250 GB SSD Datastore für VMs als Datastore für die Betriebssysteme, 1 x 2 TB HDD SATA als Datastore für Exchange DBs und andere Daten. 2 x Intel Pro 1000 PT Server Adapter als Netzwerkkarten. Das Backup der VMs erfolgt via Veeam auf eine Synology DS415+ mit 4 x 2 TB im RAID5.
Auf dem ESXi laufen derzeit 7 VMs: DC (2 CPUs, 4 GB RAM), Exchange (2 CPUs, 12 GB RAM), UTM (2 CPUs, 4 GB RAM), Veeam (2 CPUs, 4 GB RAM), der Rest sind Linux VMs für verschiedene Aufgaben.
Die Betriebssysteme liegen alle auf der 250er SSD, VM Auslagerungsdateien auf der 64er SSD. Die Daten der VMs werden auf der 2 TB HDD gespeichert.
Für meine private Umgebung bin ich mit dieser Konfiguration bisher sehr zufrieden, gemessen an der Leistungsfähigkeit verbraucht es angenehm wenig Strom, erfüllt aber all meine Wünsche.
Fragen bitte wie immer gerne in die Kommentare oder per Kontaktformular.
Hallo Franky,
ich möchte mich vielmals für diesen und viele weitere Artikel bedanken, ohne dessen Hilfe ich mit Sophos und Exchange 2016 vermutlich nicht klar gekommen wäre. Sophos war für mich bisher immer ein rotes Tuch, was aber eher der „Angst“ für vor Firewalls geschuldet war. Nachdem ich dank deiner Anleitung Sophos ein wenig kennengelernt habe muss ich sagen, dass Sophos wirklich ein unglaubliches Produkt ist (und das auch noch kostenlos).
Ein paar Stolpersteine gab es aber dennoch, namentlich genannt „LetsEncrypt Zertifikate“. Ich habe es einfach nicht hinbekommen mit deinem Zertifikats-Skript und IIS. Offenbar hat Sophos das verhindert. Die Zertifikatsanforderung wurde ständig beim Senden an LetsEncrypt abgerochen. Außerdem musste ich mit einer anderen Anleitung im Quellcode der Sophos rumpfuschen, damit der DNS-Provider Allinkl.com funktioniert.
Letztendlich habe ich all diese Probleme sehr einfach gelöst. Für meine Subdomain fordert nun Sophos das SAN-Zertifikat an, welches ich nach wie vor manuell auf dem Exchange 2016 installieren muss. Das ist zwar keine schöne Lösung, aber eine Lösung. Das erscheint mir aktuell besser, als X-Tage nach Lösungen zu suchen, die möglicherweise auch ein Bug im IIS oder in Server 2016 sein können.
Also, nochmal danke für deinen wirklich außergewöhnlichen Blog! Und natürlich auch an alle anderen hilfreichen Kommentaren.
Hallo Frank,
vielen Dank für Deine genialen Beiträge zum Aufbau einer kleinen Exchange Organisation, die ich mit Begeisterung gelesen habe. Ich bin gerade dabei mir eine Testinstallation, ähnlich Deiner kleinen Exchange Organisation aufzubauen. Auch Dein Auodiscover Whitepaper ist sehr gut! Bei mir läuft Die Testinstallation soweit auch schon gut, Mails senden und Empfangen intern und auch extern funktioniert. Jetzt habe ich allerdings noch ein Problem mit einem Windows 10 Client mit installiertem Office 2013, das Outlook Profil eines Bentzers wird sofort erstellt (zero touch) läuft alles super, bis auf das Problem, dass im Outlook Kalender keine Frei-Gebucht Einträge von anderen Benutzern bei der Terminplanung angezeigt werden. Bei Owa sind die Einträge allerdings da! Autodiscover und verschiedene andere Vorschläge aus dem Web habe ich schon überprüft, leider ohne Erfolg. Kannst Du mir evtl. noch einen Tip geben woran das mit dem Free-Busy liegen kann.
Vielen Dank
Grüße Rainer
Hi Rainer,
vermutlich hast du ein Problem mit der EWS Schnittstelle. ExRCA kann diese Schnittstelle auf Probleme testen : Microsoft Exchange Web Services Connectivity Tests (https://testconnectivity.microsoft.com/)
Auch dies hier könnte für dich ggf. von Interesse sein:
https://support.microsoft.com/en-us/help/3196518/no-free-busy-info-after-mailbox-moves-from-exchange-2010-to-exchange-2013-or-exchange-2016
Gruß, Frank
@Christoph
Was machst du, wenn du mal offline bist? Dann kommen die Mails doch nirgends an….mit der pop3 Lösung werden die doch zwischengespeichert…hat also Vorteile. Und Spam muss nicht erst entgegen genommen werden, sondern kann bleibt im Sammelpostfach liegen
Wenn der Exchange offline ist, nimmt die utm alles an und speichert es zwischen. Wenn ich klnplettbofflkne bin… Naja… Dann kommen keine Mails an ist ja klar. Aber das hast du mit einer Standleitung auch. Außerdem probiert normalerweise der sendende Server etliche Male Mails zuzustellen. In 2 Jahren hatte ich noch nie ein Problem.
Ps: Spam nimmt die utm nicht an. Der wird rejected
Hi Christoph,
manche Provider stellen keine Mails an dynamische IP-Kreise anderer Provider zu, auch die Gefahr eine IP zu erwischen die bereits auf einer Blacklist steht ist relativ hoch. Das Senden von Mails muss trotzdem noch über ein Relay erfolgenden, da bei dynamischen IPs kein Reverse Eintrag gesetzt werden kann. Für eine Testumgebung kann man das also machen, bei produktiven Umgebungen würde ich auf eine feste IP-Adresse setzen. Die POP3-Geschichte ist eher als Notlösung bei einer dynamischen IP zu sehen, funktioniert zwar, ist allerdings auch alles andere als schön.
Gruß, Frank
hey franky, ja das sehe ich genauso. mit dyndns würde ich niemals professionell bei einer firma arbeiten. es geht ja hier um ein lab bzw home use. ich kann nur sagen das ich noch nie probleme mit dem mail empfang hatte. und ja, ich nutze natürlich ein relay zum versenden. ansonsten hast du – wie du sagtest – das spam problem.
find deinen blog cool, weiter so!
Hey Franky, danke für den super Blog, lese ich als administrator einer mittelgroßen firma (150 user) echt oft . Ich frag mich gerade warum du einen pop3 connector nutzt und nicht einfach den MX record auf deinen dyndns Eintrag legst? so habe ich es in meinem homelab gemacht und läuft seit 2 jahren ohne probleme.
Hallo Frank,
ich habe im letzten Teil gesehen, dass du auf deinem Host zweimal die Netzwerkkarte „Intel Pro 1000 PT Server Adapter“ benutzt.
Neulich habe ich versucht die gleiche in einem ESXi 6.0.0u2 zu installieren und bin aufgrund mangelnder Kompatibilität daran gescheitert.
Wie hast du das Problem gelöst? Nutzt du eine andere ESXi-Version? Oder besitzt du nicht 2 Karten, sondern eine mit 2 Ports (diese scheint dann laut KB kompatibel zu sein)?
MFG Leonard
Hi Leonard,
ich hatte letztens noch für 9 EUR eine Intel Pro 1000 PT bei ebay gekauft, im ESX (Build 3825889) sind jetzt 2 Netzwerkkarten: Eine Intel Pro 1000 PT Dual Port und eine Intel Pro 1000 PT Single Port. Beide wurden direkt erkannt, keine Probleme. Nur die onboard Realtek NIC habe ich bisher nicht ans laufen bekommen.
Gruß, Frank
You are simple the best! … Ich hatte ein Rechteproblem auf der OU. Vielen Dank für deine Hilfe!!!
Hallo Frank!
Super tolle Anleitung!!!!
ein Problem habe ich leider…
OWA funktioniert tadellos auch „externe“ Clients mit Autodiscover – perfekt.
Nur Handys synchronisieren nicht – ich habe auf den Handys das StartSSL Root Zertifikat installiert.
Das Einrichten des Kontos klappt – nur der anschließende Sync nicht.
Kannst du mir bitte weiterhelfen?
Vielen Dank!!
Gruß, Mario
Ist der Benutzer der für ActiveSync eingerichtet werden soll Mitglied der Gruppe Domain Admins?
Nein – Domänen Benutzer ( der User war einmal kurzzeitig Admin – jetzt aber nicht mehr!)
Danke!
Schau mal ob das zutrifft:
https://www.frankysweb.de/exchange-2010-sp1-ereignis-1053-im-event-log-msexchange-activesync/
(auch für Exchange 2016)
Kommt man als „Normalo“ auch an eine NFR ESXi Lizenz dran?
Sonst bleibt einem wohl nur das Windows Server Backup.
Ja, als VCP schon.
Man könnte allerdings auch Hyper-V nutzen…
Hallo Frank,
die OOF-Funktionalität über Outlook funktioniert mit dem Routing der InternalServiceUri irgendwie nicht. Testen konnte ich es leider nur mit Outlook 2007. Die Fehlermeldung lautet „Ihre Abwesenheitseinstellungen können nicht angezeigt werden, da der Server zurzeit nicth verfügbar ist. Versuchen Sie es später erneut.“
Beim Zugriff auf das EWS-Verzeichnis wird immer Nutzername und Kennwort abgefragt. Im OWA funktioniert der Abwesenheitsassistent tadellos.
Ich bin mir nicht ganz sicher, ob der Abwesenheitsassistent in Outlook 2007 mit UPN-Suffix Anmeldung klar kommt. Hast Du einen Hinweis für mich?
Herzlichen Dank im Voraus
Hallo Frank,
falls Du die freie Veeam Software verwendest wäre doch hier ein 7. Teil evtl. machbar, das würde doch den super Artikel abrunden mit einer Backup-Lösung :-)
Gruss,
Michael
Hallo Frank,
Es ging eher um die freie ESXi Version. Laut Veeam wird diese nicht unterstützt, da die vmware API nicht freigeschaltet ist.
Grüße, Ulrich
Hi Ulrich,
meines Wissens funktioniert Veeam nicht mit der freien ESXi Version. Die freie Version ist allerdings auch nur für Testzwecke gedacht. Ich nutze eine NFR Version von Veeam als auch von ESXi.
Gruß, Frank
Hallo Frank
Laut Microsoft Remote Connection Analyzer kann der rpc server nicht gefunden werden.
Habe alles nach der Anleitung konfiguriert.
Ohne sophos geht alles ganz normal.
Autodiscover funktioniert aber
Hallo Frank,
nutzt Du als Backup die Veeam Free Edition? Ich meine das mal mit ESXi getestet zu haben und es lieft nicht, weil Veeam nicht mit der freien Version des ESXi arbeitet. Hat sich das geändert?
Grüße, Ulrich
Hi Ulrich,
Veeam bietet netterweise eine NFR Version an:
https://www.veeam.com/blog/de/how-to-get-free-veeam-nfr-key.html
Gruß, Frank
Hallo Frank, ich bin auch noch auf der Suche nach einem TMG Nachfolger und man liest allerorts von Sophos UTM als sinnvollste Alternative. Bei Deinen Posts verstehe ich es jedoch so, dass die Authentifizierung jeweils am Backend (also in diesem Fall Exchange selbst) vorgenommen wird. Bei TMG haben wir mit “Kerberos constrained Delegation” gearbeitet und nach meinem Verständnis wurde die Authentifizierung am TMG durchgeführt und dann weitergereicht. Ist das mit der UTM auch so möglich oder liege ich mit meiner Annahme falsch?
Hallo Hauke,
die UTM bietet ein Feature welches sich „Reverse Authentication“ nennt, damit ist es im Prinzip möglich, ich habe das allerdings noch nicht in Verbindung mit Exchange getestet (ist aber mal einen Versuch wert).
Gruß, Frank
Hallo Franky,
wie immer ein super Artikel, vielen Dank dafür.
Ich hätte zwei grundsätzliche Fragen über die ich immer wieder verschiedene Meinungen höre:
Erstens die Auslagerungsdatei auf einem anderen Laufwerk abzulegen. Es begegenen mir öfters Installationen in denen diese zwar auf einem eigenen Laufwerk (nicht Partition) liegen als das WIndows, dahinter aber dann der gleiche ESXi Datenspeicher steckt. Also keine Trennung wie bei dir auf anderen SSDs. Wo ist da der Sinn?
Zweitens wenn ich über eine statische IP verfüge warum dann trotzdem einen Smarthost einsetzen. Ich sehe da nur doppelte Arbeit drin und eine zusaätzliche Abhängigkeit vom Hoster.
Gruß
Marcus
Hallo Marcus,
es kann durchaus Sinn machen, 2 HDDs für OS und Swap zu nutzen, auch wenn die Disks wieder auf dem gleichen Datastore landen. Zum einen kann Windows besser den IO handeln, wenn OS und Swap getrennt sind. Sollten für OS und Swap HDD 2 SCSI Controller konfiguriert worden sein, kann auch der ESX 2 IO Queues erstellen. Das kann also je nach Konfiguration Vorteile bringen, allerdings in bestimmten Fällen auch Nachteile.
Bei einer Statischen WAN IP benötigt man keinen Smarthost beim Provider, in diesem Artikel ging es um die Konfiguration bei einer dynamischen WAN IP.
Gruß, Frank
Und weiter gehts…
Danke für die Info wegen der UTM ;)