Der perfekte Exchange 2019 Teil 2 - Grundkonfiguration

Kategorie: Microsoft Exchange Server 2019
von

Bevor Du anfängst mit Mailboxen und der weiten Konfiguration solltest Du wenn Du das angedacht hast (aus Performance und Übersichtsgründen), die Datenbank umbenennen und verschieben.

Dazu habe ich eine separate Anleitung geschrieben. Die findest Du hier

Jetzt kannst Du Deine erste akzeptierte Domäne einrichten. In meinem Beispiel die "just-a-test.de".

Damit neu angelegte Benutzer direkt eine Adresse aus der neuen Domain bekommen, musst Du eine Adressrichtlinie anlegen. Ich nehme hier "vorname.nachname" da ich mir mit meinen Testbenutzern und deren Namen so viel Mühe gegeben habe.

Die Richtlinie muss nach dem Erstellen noch aktiviert werden.

Um E-Mails versenden zu können, muss als nächstes ein Sendeconnektor eingerichtet werden. Ich sende über meine Firewall, um auch den ausgehenden Verkehr zu prüfen. Mein Intra2Net Security Gateway kann auch TLS Verschlüsselt mit einem öffentlichen Zertifikat Mails versenden. Das funktioniert mit einem Zertifikat von Let's Encrypt und wird automatisch verlängert.

Als Typ musst Du hier "Internet" auswählen, da es sich um den Connector zum Senden von Mails handelt.

Im nächsten Dialog musst Du eine Auswahl treffen, wie der Exchange seine Mails versendet. Entweder Du lässt ihn direkt via DNS an die Empfänger senden (Der MX Eintrag Deiner Domain muss dann auf Deine öffentliche IP zeigen), oder über einen Smarthost. Das kann wie in meinem Fall eine Firewall sein, oder aber auch direkt Dein Hoster oder ein Verschlüsselungsgateway... oder oder oder 😉

In meine Fall ist es meine Firewall. Um über DNS zu senden, kannst Du in einem anderen Beitrag lesen, wie man seinen DNS auf eine dynamische IP einrichtet, empfehlen kann ich das aber nicht. (Man kann nie wissen was der "vorbesitzer" der IP damit gemacht hat .. Stichwort Spam).

Wenn Du über einen Smarthost sendest, musst Du den noch hinzufügen.

In meinem Fall brauche ich keine Authentifizierung, da ich meiner Firewall nachher erlaube, von dem Host Mails zu relayen.

Du brauchst einen Connector mit dem Adressbereich "*", ansonsten funktioniert das Senden der Mails in das Internet nicht.

Als Quellserver kommt bei mir und in der Regel bei den meisten Neuinstallationen nur der Exchange in Frage. Also füge diesen hinzu.

Wenn Du den Connector angelegt hast, solltest Du noch die Eigenschaften des Connectors bearbeiten und noch den HELO Eintrag festlegen. Das ist nachher auch der Name, der auf dem Zertifikat steht

Als nächstes solltest Du die Verzeichnisse anpassen um Zertifikatsfehler etc. später zu vermeiden.

$servername = "W2K19EX01"
$internalhostname = "server.just-a-test.de"
$externalhostname = "server.just-a-test.de"
$autodiscoverhostname = "autodiscover.just-a-test.de"
 
$owainturl = "https://" + "$internalhostname" + "/owa"
$owaexturl = "https://" + "$externalhostname" + "/owa"
$ecpinturl = "https://" + "$internalhostname" + "/ecp"
$ecpexturl = "https://" + "$externalhostname" + "/ecp"
$ewsinturl = "https://" + "$internalhostname" + "/EWS/Exchange.asmx"
$ewsexturl = "https://" + "$externalhostname" + "/EWS/Exchange.asmx"
$easinturl = "https://" + "$internalhostname" + "/Microsoft-Server-ActiveSync"
$easexturl = "https://" + "$externalhostname" + "/Microsoft-Server-ActiveSync"
$oabinturl = "https://" + "$internalhostname" + "/OAB"
$oabexturl = "https://" + "$externalhostname" + "/OAB"
$mapiinturl = "https://" + "$internalhostname" + "/mapi"
$mapiexturl = "https://" + "$externalhostname" + "/mapi"
$aduri = "https://" + "$autodiscoverhostname" + "/Autodiscover/Autodiscover.xml"
 
Get-OwaVirtualDirectory -Server $servername | Set-OwaVirtualDirectory -internalurl $owainturl -externalurl $owaexturl
Get-EcpVirtualDirectory -server $servername | Set-EcpVirtualDirectory -internalurl $ecpinturl -externalurl $ecpexturl
Get-WebServicesVirtualDirectory -server $servername | Set-WebServicesVirtualDirectory -internalurl $ewsinturl -externalurl $ewsexturl
Get-ActiveSyncVirtualDirectory -Server $servername  | Set-ActiveSyncVirtualDirectory -internalurl $easinturl -externalurl $easexturl
Get-OabVirtualDirectory -Server $servername | Set-OabVirtualDirectory -internalurl $oabinturl -externalurl $oabexturl
Get-MapiVirtualDirectory -Server $servername | Set-MapiVirtualDirectory -externalurl $mapiexturl -internalurl $mapiinturl
Get-OutlookAnywhere -Server $servername | Set-OutlookAnywhere -externalhostname $externalhostname -internalhostname $internalhostname -ExternalClientsRequireSsl:$true -InternalClientsRequireSsl:$true -ExternalClientAuthenticationMethod 'Negotiate'
Get-ClientAccessService $servername | Set-ClientAccessService -AutoDiscoverServiceInternalUri $aduri
 
Get-OwaVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-EcpVirtualDirectory -server $servername | fl server,externalurl,internalurl
Get-WebServicesVirtualDirectory -server $servername | fl server,externalurl,internalurl
Get-ActiveSyncVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-OabVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-MapiVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-OutlookAnywhere -Server $servername | fl servername,ExternalHostname,InternalHostname
Get-ClientAccessServer $servername | fl name,AutoDiscoverServiceInternalUri

Bei dem Script von frankysweb.de musst Du nur die ersten Zeilen anpassen, und kannst es direkt bei Dir ausführen.

jetzt sind Deine Webverzeichnisse alle auf den externen Namen eingestellt. jetzt müssen wir noch das Zertifikat erstellen und die entsprechenden Einträge im DNS machen.

Die Einträge im DNS in dem Fall wären autodiscover.just-a-test.de und server.just-a-test.de.

Dazu gehst Du jetzt auf dem Domaincontroller in die Verwaltungg für den DNS Server

Dort musst Du eine neue Zone anlegen (just-a-test.de)

Ich arbeite hier mit dem sogenannten "PinPoint"-DNS ... also trage ich direkt die Subdomain ohne dynamische Updates als Zone ein. Klar, das muss man pflegen, sollte aber bei einer so kleinen Umgebung noch kein Problemn darstellen. Der riesige Vorteil ... das spätere öffentliche Zertifikat kann direkt intern und extern genutzt werden.

In der Zone musst Du dann noch einen A Eintrag anlegen (ohne Namen) mit der Adresse des Exchange Servers.

Ich mache das dann bei mir auch noch für den server.just-a-test.de.

Nachdem Du das konfiguriert hast, kannst Du Dich jetzt um ein Zertifikat bemühen. Wenn Du kein öffentliches brauchst, kannst Du das bereits erstellte verwenden. Ich werde in einem anderen Tutorial zeigen, wie man sich einfach einen let's encrypt Host installiert, ein kostenloses Wildcard Zertifikat erstellt, und dieses dann in Exchange etc. einbaut.

"Jetzt kann es losgehen mit deinem Exchange!"