de-DEen-GB
rss

Granikos Technology Blog

On August 26, 2019
561 Views

If you want to share free and busy details between two Exchange organizations, you usually use the Microsoft Federation Gateway. Sometimes this is not possible, e.g., for compliance reasons, or other business reasons. But there exists a way to do this, even without an Active Directory trust between two organizations.

Let us say we have two Exchange organizations: contoso.com and adatum.com.

The prerequisites are:

  • you can resolve and access the target AutoDiscover-endpoint from the source domain infrastructure (hint: you can use pin-point DNS zones)
  • you can resolve and access the Exchange Web Services (EWS) endpoint from the source domain infrastructure (note that the Availability Service (AS) accesses the InternalUrl)
  • you add an account in each Active Directory forest which does not have any specific permissions assigned (membership of "Domain Users" security group is sufficient, no mailbox needed). 

I will use user account freebusy in this example.

Execute the following in contoso.com Exchange organization using Exchange Management Shell:

$TargetSmtpDomain = 'adatum.com'
$TargetDomainAccount = 'adatum.com\freebusy'

Add-AvailabilityAddressSpace - Forest $TArgetSmtpDomain -AccessMethod OrgWideFB -Credentials (Get-Credentials -User $TargetDomainAccount) 

Set-AvailabilityConfig -OrgWideAccount $TargetDomainAccount.Split('\')[1]

 

Execute the following in adatum.com Exchange organization using Exchange Management Shell:

$TargetSmtpDomain = 'contoso.com'
$TargetDomainAccount = 'contoso.com\freebusy'

Add-AvailabilityAddressSpace - Forest $TargetSmtpDomain -AccessMethod OrgWideFB -Credentials (Get-Credentials -User $TargetDomainAccount) 

Set-AvailabilityConfig -OrgWideAccount $TargetDomainAccount.Split('\')[1]

 

Exchange Server in the source organization must be able to resolve the recipient address for requesting free/busy information from the target organization. Exchange Server can determine a target address accurately when you create the recipient object as a contact in the source Exchange organization. 

For this example, you create contact objects in adatum.com for all user in contoso.com and vice versa. You can use GalSync or any other identity management (IDM) software that can handle object synchronization.

 

Problem

When using Exchange Server 2013, or 2016, you may run into a problem.

The HttpProxy log of the requesting Exchange Server log will state that AutoDdiscover failed for generic mailbox 01B62C6D-4324-448f-9884-5FEC6D18A7E2@contoso.com (or adatum.com).

HttpProxy log excerpt:

2019-07-26T07:19:24.649Z,2827102f-75b1-4ecb-ae6c-36b075bb8e93,15,1,1779,2,,Autodiscover,autodiscover.contoso.com,/autodiscover/autodiscover.xml,,Basic,true,CONTOSO\freebusy,,MailboxGuid~01b62c6d-4324-448f-9884-5fec6d18a7e2,ASAutoDiscover/CrossForest/EmailDomain//15.01.1779.002,172.16.0.20,CONTOSO-EX1,404,,MailboxGuidWithDomainNotFound,POST,,,,,AnchorMailboxHeader-MailboxGuidWithDomain-NoUser,,,,381,,,,0,,,0,1;0;,1,,0,1,,0,4,0,,,,,,,,,0,3,0,,3,,3,3,,,,BeginRequest=2019-07-26T07:19:24.646Z;CorrelationID=<empty>;ProxyState-Run=None;AccountForestGuard_contoso.com=1;AccountForestGuard_contoso.com=1;ProxyState-Complete=CalculateBackEnd;SharedCacheGuard=0;EndRequest=2019-07-26T07:19:24.649Z;I32:ADS.C[CONTOSO-DC1]=2;F:ADS.AL[CONTOSO-DC1]=0.8201787,HttpProxyException=Microsoft.Exchange.HttpProxy.HttpProxyException: Cannot find mailbox 01b62c6d-4324-448f-9884-5fec6d18a7e2 with domain contoso.com.    
at Microsoft.Exchange.HttpProxy.AnchorMailbox.CheckForNullAndThrowIfApplicable[T](T ret)    
at Microsoft.Exchange.HttpProxy

 

Reason

If DNS is used to resolve the AutoDiscover endpoint of the target Exchange organization, the source Exchange organization queries AutoDiscover information for a mailbox with that uid. SCP-based AutoDiscover lookup does not use this dedicated uid-based email address.

 

Solution

To solve this issue, you add the required SMTP address found in the HttpProxy log to one user mailbox in the target organization.

In the contoso.com organization:

Set-Mailbox -Identity 'someuser@contoso.com' -EmailAddresses @{add='01B62C6D-4324-448f-9884-5FEC6D18A7E2@contoso.com'}

 

In the adatum.com organization:

Set-Mailbox -Identity 'someuser@adatum.com' -EmailAddresses @{add='01B62C6D-4324-448f-9884-5FEC6D18A7E2@adatum.com'}

 

Links

Weiterlesen »
The english version of this post is available at the ENow Software Blog: Floating Mailbox Databases in Exchange 2019: Pros & Cons

 

Seit den frühen Tagen von Exchange Server werden die maximale Postfachgrößen (Quota) von Anwenderpostfächern reglementiert. Diese Konfiguration erfolgte in vielen Exchange Organisationen über die Quota-Einstellungen der Postfachdatenbanken und galt somit einheitlich für alle in der jeweiligen Datenbank gespeicherten Postfächer. Dieses Vorgehen war in der Vergangenheit hauptsächlich dem Umstand geschuldet, dass der vorhandene Festplattenspeicher knapp und teuer war.

Das folgende Beispiel zeigt zwei Datenbanken für Standardanwender (DB-USER-1/-2) und eine Datenbank mit größeren Postfächern für das obere Management (DB-C-Level).

Postfach Datenbanken Beispiel 1 | Dedizierte Datenbank je Anwendergruppe

 

Diese Vorgehensweise wurde für viele Exchange Organisationen auch bei der Transition zu modernen Exchange Server Versionen ab Version 2013 nie infrage gestellt. Die alten Betriebsmuster wurden einfach übernommen.

 

Vorteile

Mit den modernen Exchange Server Versionen und den Empfehlungen für den Betrieb nach Preferred Architecture ist diese Art des Betriebs von Exchange Server Postfächern nicht mehr sinnvoll. Eine der wichtigsten, nichttechnischen, Empfehlungen, ist die Standardisierung und Vereinfachung des Betriebs der gesamten Exchange Server Plattform. Gerade im Hinblick auf einen hybriden Betrieb, also den parallelen Betrieb einer lokalen Exchange Organisation mit Anbindung an Exchange Online, ist eine Vereinfachung des Betriebs angeraten.

Eine Standardisierung und Vereinfachung des Betriebs erreichen Sie durch die Konfiguration der Postfachgrenzwerte auf Postfachebene. Hierdurch werden dedizierte Postfachdatenbanken für unterschiedliche Anwenderkreise überflüssig. Sie können Postfächer beliebig zwischen den Datenbanken verschieben und so flexibler auf Herausforderungen in der lokalen IT-Infrastruktur reagieren.

Das nachfolgende Beispiel verdeutlicht dies mit drei Postfachdatenanken (DB-1/-2/-3), in den eine unterschiedliche Anzahl an Postfächern mit unterschiedlichen Größen gespeichert ist.

Postfach Datenbanken Beispiel 2 | "Free-Flow" Datenbanken ohne Zuordnung einer Anwendergruppe

 

Noch deutlicher wird die Vereinfachung für den täglichen Betrieb, wenn wir uns eine Verteilung von unterschiedlichen Anwenderpostfächern (MBX, grün/gelb) und aktivierten Online-Archiv-Postfächern (ARC, grün) anschauen.

Postfach Datenbanken Beispiel 3 | "Free-Flow" Datenbanken für Anwender- und Online-Archiv-Postfächer

 

Nun gibt es neben Anwenderpostfächern und Online-Archiv-Postfächern noch weitere Postfachtypen:

  • Raum- und Ressourcenpostfächer (RES, grau)
  • Postfächer für Öffentliche Ordner (PF, orange)

Mit diesen zusätzlichen Postfachtypen ergibt sich für einen vereinfachten Betrieb das folgende Beispiel mit Postfächern verteilt über fünf Postfachdatenbanken.

Postfach Datenbanken Beispiel 4 | "Free-Flow" Datenbanken für Anwender-, Online-Archiv-, Ressourcen- und Public Folder-Postfächer

 

Bei einer modernen Betriebsweise von Exchange Server mit einer Datenbankverfügbarkeitsgruppe (DAG) benötigen Sie keine klassische Form der Datensicherung. Alle benötigten Schutzfunktionen sind in Exchange Server integriert. Daher ist es auch unerheblich, in welcher Postfachdatenbank ein bestimmtes Postfach gespeichert ist. Diese Art des Betriebs entspricht grundsätzlich dem Betrieb von Exchange Online. Dort wird ein Anwenderpostfach ebenfalls nur in „irgendeiner“ Postfachdatenbank gespeichert.

 

Nachteile

Gibt es auch Nachteile für solch einen vereinfachten und standardisierten Betrieb von Postfachdatenbanken in einer lokalen Exchange Server Organisation?

Es gibt einen Nachteil für den Betrieb einer solchen Exchange Server Datenbank Umgebung. Zumindest dann, wenn Sie weiterhin auf eine klassische Datensicherungsmethode setzen und regelmäßig Postfachinhalte aus einer Datensicherung wiederherstellen müssen. In diesem Fall müssen Sie wissen, in welcher Datenbank ein Postfach zum Zeitpunkt der Datensicherung gespeichert war, um explizit genau diese Datenbank wiederherstellen zu können. Im Active Directory Objekt eines Postfacheigentümers existiert keine Historie der vorherigen Speicherorte eines Postfaches. Es ist immer nur die aktuelle Postfachdatenbank im AD-Objekt gespeichert.

Für die Sicherheit im Betrieb und in der Verwaltung gibt es keine Einschränkungen. Mit Exchange Server Role Based Access Control (RBAC) haben Sie alle Möglichkeiten, um die Verwaltung besonderer Postfächer, z.B. Geschäftsführung, nur bestimmten Mitarbeitern zu erlauben. Von einer Einschränkung der Zugriffsmöglichkeiten durch die direkte Anpassung von Active Directory Objektberechtigungen sollten Sie absehen. Diese Anpassung ist im Vergleich zu eine Berechtigungssteuerung mit RBAC wesentlich unsicherer.

 

Fazit

Der moderne Betrieb von Exchange Server mit einer datenbankunabhängigen Steuerung der Postfachgrenzwerte bietet Flexibilität und Standardisierung. Im Hybrid-Betrieb mit Exchange Online stellen Sie Postfächer in der lokalen Exchange Organisation in der gleichen Art und Weise bereit, wie sie auch in Exchange Online erfolgt. Sie haben somit eine einheitlich Betriebsart. Der einzige Unterschied sind die unterschiedlichen Postfachgrenzwerte im Vergleich zu Exchange Online. Idealerweise passen Sie auch die Grenzwerte in der lokalen Exchange Organisation denen in Exchange Online an.

Sollte Ihre lokale IT-Infrastruktur nicht die erforderlichen Rahmenparameter für einen sicheren und stabilen Betrieb von Exchange Server bieten, die Verfügbarkeit von Postfächern für Ihr Unternehmen aber wichtig sein, so ist Exchange Online die bessere Alternative.

 

Links

 

Viel Spaß mit Exchange Server!

 


Sie möchten mehr über Exchange Server 2019 lernen? Werfen Sie einen Blick in das Buch "Microsoft Exchange Server 2019: Das Handbuch für Administratoren".

Sie benötigen Hilfe bei der Planung und Installation Ihrer Exchange Server 2019 Installation? Sie haben Fragen über Ihre bestehende Exchange Server Infrastruktur und möchten Exchange Online implementieren? Kontaktieren Sie uns per E-Mail info@granikos.eu oder besuchen Sie unsere Webseite http://www.granikos.eu.

 

 

Weiterlesen »

Eine neue Exchange Server Konferenz kommt nach Europa.

The REAL Exchange Experience

In den letzten Jahren haben sich die Themenschwerpunkte der großen Microsoft Konferenzen mehr und mehr hin zu Cloud-Themen verschoben. Die Einfachheit einer Migration von lokal gehosteten Exchange Server-Postfächer hin zu Exchange Online wird immer wieder hervorgehoben. Ebenso werden neue Möglichkeiten geschaffen, um möglichst einfach eine Hybrid-Anbindung mit Exchange Online zu etablieren.

Themen rund um den stabilen und sicheren Betrieb einer lokalen Exchange Server Organisation haben auf diesen Konferenzen keinen Platz mehr. The REAL Exchange Experience möchte dem Bedarf an Themen für den Betrieb von Exchange Server in der lokalen IT-Infrastrukur Rechnung tragen.

Die Konferenz wird in mehreren Städten als 1-Tages Veranstaltung stattfinden.

Erfahren Sie mehr über die Konferenz und melden Sie sich für den Konferenz-Newsletter hier an: https://www.granikos.eu/de/Veranstaltungen/TheREALExchangeExperience

Viel Spaß mit Exchange Server 2019!

 

Weiterlesen »
Die englischsprache Version dieses Artikels ist im ENow Solutions Engine Blog verfügbar.

 

In vielen Unternehmen werden noch Öffentliche Ordner alter Bauart, die sog. Legacy Public Folder, auf Exchange Server 2010 Systemen bereitgestellt. Oftmals sind die diese Ordnerstrukturen innerhalb der Öffentlichen Ordner Hierarchie über die Jahre unkontrolliert gewachsen. Dies nicht nur im Hinblick auf das Datenvolumen, sondern auch auf die Anzahl der Ordner und die Ordnertiefe in der Ordnerhierarchie. Aus diesen Gründen fürchten viele Unternehmen eine Migration der Öffentlichen Ordner zu einer modernen Version von Exchange Server oder zu Exchange Online.

Am 14. Januar 2020 ist das Support-Ende von Exchange Server 2010 erreicht. Bis zu diesem Termin sollten Sie vorhanden Öffentliche Ordner Hierarchien zu Modernen Öffentlichen Ordnern in Exchange Server 2016 oder zu Exchange Online migriert haben. Nach diesem Datum befinden sich Ihre Exchange Server 2010 Installationen in einem nicht unterstützten Betriebszustand und stellen ein Risiko für den sicheren Betrieb Ihrer IT-Plattform dar.

Maßnahmen zur Migration von Öffentlichen Ordnern

Vermeiden Sie die vollständige Migration aller Öffentlichen Ordner ohne eine Revision der Inhalte und Ordnerstrukturen.

Die Migration hin zu modernen Öffentlichen Ordner in Exchange Online muss besonders vorbereitet werden.

Diese  Vorbereitung der Öffentlichen Ordner muss folgenden Maßnahmen und Überlegungen berücksichtigen:

  • Deaktivierung der E-Mail-aktivierten Öffentlichen Ordner
    • Vermeidung einer verzögerten Zustellung von E-Mails während der Migrations- und Finalisierungsphase
    • Überführung der Ordnerinhalten in Freigegeben Postfächer oder zu Office 365 Groups
  • Bereinigung der E-Mail-aktivierten Öffentlichen Ordner, wenn nicht alle E-Mail-Aktivierungen entfernt werden können
    • Entfernung oder Änderung nicht unterstützter Zeichen aus dem Attribute E-Mail-Alias (mailNickname)
    • Entfernung von Leerzeichen aus dem Attribute E-Mail-Alias (mailNickname)
  • Bereinigung verwaister AD-Objekte von ehemals E-Mail-aktivierten Öffentlichen Ordner
    • Löschung der Objekte aus dem MESO-Container
    • Bereinigung der Berechtigungen in der Ordnerhierarchie
    • Entfernung “alter” Sicherheitsbezeichnungen, insbesondere
    • Umstellung der Ordnerberechtigungen von Einzelberechtigungen auf Sicherheitsgruppen
  • Bereinigung der Ordnernamen der Öffentlichen Ordner
    • Entfernung oder Änderung nicht unterstützter Zeichen
    • Entfernung führender oder nachfolgender Leerzeichen
  • Reduzierung der Ordnerinhalte und der Ordnerhierarchie

Warum sind diese Maßnahmen notwendig?

Mit einer Umstellung und Bereinigung der E-Mal-aktivierten Ordner stellen Sie eine sichere Zustellung der E-Mail-Nachrichten während der Migrations- und Finalisierungsphase der Öffentlichen Ordner sicher. Unabhängig davon, ob die die Öffentlichen Ordner zu Exchange Server 2016 oder zu Exchange Online migrieren, kommt es zu einem Pausieren der Zustellung. Nach der Fertigstellung werden wartende Nachrichten in die neue Betriebsumgebung der Öffentlichen Ordner umgeleitet und zugestellt. Dies ist für zeitkritische E-Mail-Nachrichten nicht akzeptabel.

Die Information über einen E-Mail-aktivierten Ordner wird nicht nur innerhalb der Öffentlichen Ordner-Hierarchie gespeichert. Zu einem E-Mail-aktivierten Ordner gehört auch ein entsprechendes AD-Objekt, das im MESO-Container gespeichert ist. Wenn die Berechtigung für Exchange Server auf diesen Container angepasst wurde wird das AD-Objekt nicht entfernt oder geändert. Bei einer Aufhebung der E-Mail-Aktivierung verbleibt das AD-Objekt im MESO-Container und sorgt bei einer Migration zu Exchange Online für Probleme. Dieser Fehler macht sich in einer reinen On-Premises-Umgebung nicht bemerkbar. Der Fehler schlummert im Untergrund und wartet darauf, entdeckt zu werden.

Die Bereinigung der Ordnerberechtigungen, hin zu Gruppen-basierten Berechtigungen führt zu einer Vereinheitlichung und Vereinfachung des Zugriffes. Bereits bei einem rein lokalen Betrieb der Öffentlichen Ordner profitieren Sie schon von dieser Umstellung. Wenn Sie jedoch eine Migration der Öffentlichen Ordner zu Exchange Online planen, ist diese Umstellung ein absolutes Muss. Eine Anpassung der Ordnerberechtigungen nach der Migration zu Exchange Online ist eine besondere Herausforderung. Solange die Ordnerhierarchie relativ flach ist und nur wenige Ordner enthält, werden Sie keine Probleme bei der rekursiven Anpassung von Ordnerberechtigungen haben.

Gerade in vertriebsorientierten Unternehmen sind den Jahren, seit Einführung der Öffentlichen Ordner, eigenständige Ordnerbäume gewachsen. Ich durfte mit einer Ordnerhierarchie, bestehend aus ~120.000 Ordner unterhalb eines Basisordners, nach der Migration zu Exchange Online besondere Erfahrungen machen.

Nachfolgend ein Beispiel für die Ordnerstruktur einer Vertriebsorganisation.

Beispiel einer Öffentlichen Ordner Hierarchie

Wenn Sie in einer solchen Ordnerhierarchie die Berechtigungen per Remote PowerShell setzen möchten, werden Sie bei der Ausführung der Cmdlets in Probleme laufen.

Durch die besondere Betriebsart als SaaS-Angebot, gibt es klare Grenzen für die Verarbeitung von Cmdlets in einer Remote PowerShell-Session. Sie können maximal 120 destruktive Cmdlets je 60 Sekunden ausführen. Wenn Sie diesen Schwellenwert überschreiten, wird die Ausführung Ihrer Cmdlets durch sog. MicroDelays verzögert. Unter destruktiven Cmdlets versteht man Cmdlets, wie Einstellungen hinzufügen oder ändern, als Set-*, Remove-*, New-* oder Add-* Cmdlets.

Das Hinzufügen von Berechtigungen für Öffentliche Ordner erfolgt mit Hilfe des Cmdlets Add-PublicFolderClientPermission. Die Anpassung einer bestehenden Berechtigung besteht immer aus zwei Konfigurationsschritten, dem Entfernen der alten Berechtigung (Remove-PublicFolderClientPermission) und dem Hinzufügen der neuen Berechtigung.

Dieses Problem trifft Sie nicht nur bei Ausführung einer Remote-PowerShell-Sitzung, sondern auch bei der Anpassung der Berechtigungen über das Exchange Online Admin Center (EAC). Der Unterschied ist, dass das EAC Sie mit einer Success-Meldung in SIcherheit wiegt und Ihnen vorgaukelt, dass auf allen Ordnern die Berechtigungen gesetzt wurden. Die Realität hat gezeigt, dass die im Hintergrund ausgeführten PowerShell-Cmdlets in die Begrenzung laufen.

Alternativ können Sie die Berechtigungen auch mit Hilfe der Exchange Web Services (EWS) anpassen. Hierzu gibt es professionelle Lösungen am Markt. Jedoch greifen auch für den Zugriff per EWS Grenzwerte. Professionelle Programme versuchen durch Pausen bei der Ausführung das Erreichen der Grenzwerte zu vermeiden. Dies führt natürlich zu einer entsprechenden Laufzeit bei der Anpassung der Berechtigungen.

Empfehlung

Daher ist meine Empfehlung, die Berechtigungen der Öffentlichen Ordner vor einer Migration zu Exchange Online zu bereinigen. Hierdurch stellen Sie sicher, dass Sie sich nur noch auf die Mitgliedschaft der Benutzerkonten in den entsprechenden Sicherheitsgruppen kümmern müssen.

 

Links

 

Viel Spaß mit Öffentlichen Ordnern. Und vergessen Sie den Stichtag 14. Januar 2020 für das Support-Ende von Exchange Server 2010 nicht.

 

 

Weiterlesen »

Photo by Max DeRoin from PexelsDas Blog Cumulative Update für Februar 2019 (CU0219) fasst interessante Themen rund um Cloud SicherheitExchange ServerOffice 365, Azure und Skype for Business des Monats Februar 2019 zusammen.

Exchange Server

Microsoft 365 | OneDrive | Exchange Online | and more

Microsoft Teams

Skype for Business Server | Communications

Microsoft Azure

Cloud | Cloud Sicherheit

Docs | Knowledge Base | TechNet

Allgemein

Replay

Podcast Empfehlungen

Tools

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

 

Weiterlesen »