Granikos Technology Blog

Seit dem 11. September 2017 besteht für Office 365 Kunden die Möglichkeit, Gastkonten für externe Benutzer zu Microsoft Teams hinzuzufügen.

Der Zugriff für Gäste muss ebenfalls lizensiert werden. Hierzu muss in der Microsoft Teams Verwaltung im Office 365 Admin Portal der Lizentyp Gast aktiviert.

Hinweis aus der Office 365 Benachrichtigung im Admin Portal:

When we make this change, the ‘Pick the license you want to configure’ setting in ‘Settings > Services and Add-ins > Microsoft Teams’, will now have an option for ‘Guest’ with a default value of “off” for the ‘Turn Microsoft Teams on or off for your entire organization’ setting.

Die Aktivierung wird gerne übersehen.

Link

• Expand your collaboration with guest access in Microsoft Teams

Viel Spaß mit Office 365!

Das E-Mail-Sicherheitsgateway NoSpamProxy untertützt die Anbindung an die De-Mail-Infrastruktur. Mit Hilfe von De-Mail ist eine gesetzlich geregelte Zustellung von rechtlich relevanten E-Mail-Nachrichten möglich. MIt Hilfe von NoSpamProxy kann Ihr Unternehmen E-Mail-Nachrichten mit De-Mail-Empfängern austauschen, ganz unabhängig davon, ob Ihre E-Mail-Server in der internen IT-Infrastruktur betrieben werden oder als SaaS-Dienst wie z.B. Office 365. In meinem Beispiel befinden sich alle Postfächer in Exchange Online.

Die Anbindung von De-Mail und Office 365 über das E-Mail-Gateway wird im nachfolgenden Schaubild deutlich.

• Alle Benutzerpostfächer, mit Benutzerverwaltung im lokalen Active Directory, befinden sich in Office 365
• Exchange Online ist für die zentralisierte E-Mail-Zustellung (Centralized Mail-Flow) konfiguriert
• E-Mail-Verkehr mit externen E-mail-Systemen erfolgt über das E-Mail-Sicherheitsgateway NoSpamProxy
• Anbindung an die De-Mail-Infrastruktur über das De-Mail-Gateway von T-Systems 

Die zur Anbindung an Office 365 erforderlichen Komponenten, wie z.B: Azure AD Connect, sind im Diagramm nicht dargestellt, um die Übersichtlichkeit zu gewährleisten. 

Technische Umsetzung

Das E-Mail-Gatewaysystem wird in diesem Beispiel auf einer Hyper-V-Plattform betrieben. Da die De-Mail-Zertifikate auf einer Smardcard gespeichert sind und der Betrieb des Gateways unbeaufsichtigt erfolgen soll, muss die Smartcard über einen zertifizierten Kartenleser permanent eingebunden werden. Entsprechende Smartcard-Lesegeräte sind als USB-Geräte erhältlich. Beim Erwerb einer De-Mail-Signaturkarte erhalten Sie einen passenden Kartenleser.

Die Verbindung des physikalischen Smartcard-Lesegerätes zum virtualisierten Betriebssystem erfolgt mit Hilfe eines USB-Servers. Für diesen USB-Server wird auf dem virtualisierten Betriebssystem eine Treiber-Software installiert, die einen virtualisierten USB-Port bereitstellt. Über diesen vUSB-Port ist anschließend das Smartcard-Lesegerät mit dem Betriebssystem verbunden. Zusätzlich werden noch die passenden Treiber und die Verwaltungssoftware für das De-Mail-Zertifikat benötigt.

Das folgende Schaubild verdeutlicht die technische Anbindung des Smartcard-Lesegerätes mit einem virtualisierten Betriebssystem.

System-Komponenten

• Betriebssystem E-Mail-Gateway: Windows Server 2012R2
• Smartcard-Lesegerät: SCR uTrust 2700 F (Lieferumfang De-Mail-Paket)
• USB-Server: WuT USB-Server Gigabit 2.0 (Produkt-Webseite)
  • Der USB-Server kann über PoE mit Spannung versorgt werden. Dies erleichtert die Integration erheblich. Alternativ ist eine Spannungsversorgung mit 24-48V über eine Schreibklemme möglich.

Software-Komponenten

• vUSB-Treiber (USB-Umlenkung), (Download)
• WuTility zur Verwaltung des USB-Servers (Download)
• Lesegerät-Treiber für SCR uTrust 2700 F (Download)
• Smartcard-Treiber für TCOS-TeleSec Card OS mit manueller Installation über den Windows Geräte-Manager (Download)
• TeleSec CardManager .NET zur Verwaltung der Smartcard (Download)
• NoSpamProxy E-Mail-Sicherheitsgateway (Download)

Die Anbindung an De-Mail erfolgt immer auf einem NoSpamProxy-System mit installierter Gateway-Rolle. Ob es sich um ein reines Gateway-System handelt oder aber um ein System mit installierte Intranet- und Gateway-Rolle ist unerheblich.  In der nachfolgenden Beschreibung gehe ich davon aus, dass die NoSpamProxy Gateway-Software bereits installiert ist und die Nutzung von De-Mail lizensiert ist.

Installation

Installieren Sie zuerst den USB-Server und richten Sie das Smartcard-Lesegerät im Windows Server Betriebssystem ein. Die in diesem Artikel beschriebenen Schritte und zu installierenden Komponenten gelten für Windows Server 2012R2 und Windows Server 2016 identisch. Für Windows Server 2019 liegen noch keine Erfahrungen vor.

1. Verbinden Sie den USB-Server mit einem PoE-Switch-Port
2. Installieren Sie die WuTility-Software
   1. vergeben Sie eine IP-Adresse
   2. vergeben Sie ein Kennwort für die Anmeldung an die Web-Oberfläche des USB-Servers
   3. aktualisieren Sie die Firmware des USB-Servers
3. Installieren Sie die USB-Umlenkung
4. Schließen Sie das Smartcard-Lesegerät am USB-Server an, das Lesegerät erscheint in der Übersicht der USB-Umlenkung
5. Konfigurieren Sie die Einbindung für das Lesegerät auf permanent
   
    
6. Installieren Sie den Lesegerät-Treiber für SCR uTrust 2700 F

An diesem Punkt haben Sie das Smartcard-Lesegerät über den USB-Server und den virtuellen USB-Treiber der USB-Umlenkung mit dem Windows Server Betriebssystem verbunden. Bei jedem Neustart des Betriebssystems wird das Lesegerät automatisch verbunden.

Für die folgenden Installationsschritte und die Einbindung des De-Mail-Zertifikates ist es erforderlich, dass Sie eine Konsolenverbindung zum virtualisierten Betriebssystem herstellen. Die Einbindung des Smartcard-Zertifikates innerhalb einer RDP-Sitzung auf dem Windows Server nicht möglich, da dies durch den Windows Smartcard-Treiber aktiv verhindert. Sie erkennen dies daran, dass es beim Start des TCOS-CardManagers zu folgender Fehlermeldung kommt.

In einer VMware Hypervisor-Plattform ist der Zugriff über eine Konsolensitzung kein Problem. Wenn Sie aber Hyper-V als Hypervisor-Plattform einsetzen, müssen Sie auf die folgenden Einstellung des Hyper-V-Hostsystems achten.

Die Funktion "Erweiterten Situngsmodus zulassen" muss ausgeschaltet sein. Wenn diese Funktion eingeschaltet ist, werden alle Sitzungen durch das Gast-Betriebssystem als RDP-Sitzungen wahrgenommen. Dies führt automatisch dazu, dass der beschriebene Zugriff auf die Smartcard-Blibliotheken unterbunden wird. Diese Funktion muss nur für den Zeitraum der Konfiguration der De-Mail-Zertifikate in Windows Server ausgeschaltet sein bzw. immer dann, wenn Sie mit dem TCOS CardManager arbeiten müssen.

Folgende Schritte sind notwendig, um die TCOS-Smartcard und die De-Mail-Zertifikate zu integrieren:

1. Installieren Sie den TCOS-Smartcard-Treiber über den Windows Geräte-Manager manuell 
   
   Stellen Sie vor allen weiteren Aktionen sicher, das der Treiber für das Smartcard-Lesegerät und die TCOS-Smartcard im Geräte-Manager richtig erkannt wurden.
   
2. Installieren Sie den TCOS CardManager
3. Stecken Sie die De-Mail-Signaturkarte in den Kartenleser und starten Sie anschließend den TCOS-CardManager, um den Zugriff auf die Signaturkarte nach Eingabe der PIN zu testen
4. Schließen Sie den TCOS CardManager

Der die TCOS-Softwarekomponenten sind so programmiert, dass die De-Mail-Zertifikate beim ersten Zugriff auf die Signaturkarte in den lokalen Zertifikatsspeicher des angemeldeten Benutzers kopiert werden. Dieser Zertifikatsspeicher ist für installierte Softwarelösungen gänzlich ungeeignet. Die Zertifkate müssen in den Zertifikatsspeicher des Computers verschoben werden. Hierbei hilft Ihnen das Tool CertificatePromoter.exe, das Sie vom Net at Work-Support erhalten können. 

1. Starten Sie CertificatePromoter-exe als Administrator
2. Wählen Sie ein De-Mail-Zertifikat aus und verschieben Sie das ausgewählte Zertifikat
3. Wiederholen Sie die Schritte 1 & 2 für die beiden anderen De-Mail-Zertifikate

Nachdem nun die De-Mail-Zertifikate im richtigen Zertifikatsspeicher abgelegt sind, muss der Zugriff auf die Zertifikate und die privaten Schlüssel konfiguriert werden. Die hierzu erforderlichen Schritte habe ich im Artikel "Zugriff auf privaten SSL-Schlüssel konfigurieren" beschrieben. Führen Sie die dort beschriebenen Schritte für die drei verschobenen De-Mail-Zertifikate durch.

Damit sind alle Voraussetzungen für eine funktionierende Anbindung des E-Mail-Security Gateways NoSpamProxy an De-Mail abgeschlossen. Die Konfiguration erfolgt in der NoSpamProxy MMC-Verwaltungsoberfläche im Menüpunkt Connected systems. Sie können entweder einen Telekom De-Mail-Connector oder einen Mentana-Claimsoft De-Mail-Connector hinzufügen. 

1. Vergeben Sie einen individuellen Namen
2. Wählen Sie beim Telekom Connector aus, ob die Verbindnung zum Telekom- oder zum T-Systems-Endpunkt erfolgen soll
3. Geben Sie die PIN für das De-Mail-Zertifikat ein
4. speichern Sie die Konfiguration

Wenn alle Einstellungen und Konfiguration korrekt durchgeführt wurden, wird in der NoSpamProxy MMC-Verwaltungsoberfläche nach kurzer Zeit die Anzahl der zur Verfügung stehenden De-Mail-Domänen angezeigt. Diese Information wurde durch NoSpamProxy vom De-Mail-Gateway abgefragt und ist daher ein Beleg für die funktionierende Verbindung.

Ab diesem Punkt können Sie mit den weiteren Benutzer-Konfigurationen für De-Mail, entsprechend der NoSpamProxy Anleitung fortfahren.

Hinweise

• Wenn Sie mehrere E-Mail-Gatewaysysteme betreiben möchten und eine redundante Anbindung an die De-Mail-Infrastruktur planen, so benötigt jedes Gatewaysystem einen eigenes Smartcard-Lesegerät und eine eigene De-Mail-Signaturkarte.
• Verwenden Sie für die Verbindung von Smardcard-Lesegeräten an virtualisierte Betriebssysteme nur USB-Server in Industriequalität.
• Die De-Mail-Signaturkarte muss im Kartenleser verbleiben. Der Kartenleser und der USB-Server sind an einem abgesichterten und zutrittsbeschränktem Ort zu platzieren.

Troubleshooting

Sollte es doch zu Problemen bei der Verbindung zum De-Mail-Gateway kommen, prüfen Sie bitte die folgenden Punkte:

• Ist eine direkte HTTPS-Verbindung vom Gateway-System zum De-Mail-Endpunkt über TCP-Port 443 möglich?
  • Überprüfen Sie die Einstellungen der Unternehmens-Firewall.
• Wird ein Proxy-Server für ausgehende HTTPS-Verbindungen von internen Serversystemen eingesetzt?
  • Konfigurieren den Proxy-Server für die Gateway-Rolle entsprechend dieses Knowledge Base Artikels.
• Sind die Berechtigungen für den Zugriff auf das De-Mail-Zertifikat für die NoSpamProxy Dienstkonten konfiguriert?
  • Konfigurieren Sie die Berechtigungen entsprechend dieses Blog-Artikels.
• Sind die TLS-CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 und die elliptische Kurve NistP521 in der SCHANNEL Konfiguration des Windows Server Betriebssystems aktiviert?
  • Windows Server 2016: Überprüfen Sie die TLS-Einstellungen mit Hilfe einer administrativen PowerShell-Sitzung.
  • Windows Server 2012R2: Überprüfen Sie die TLS-Einstellungen mit Hilfe des Tools IISCrypto.

Damit erschöpfen sich auch schon die allgemeinen Möglichkeiten zum Troubleshooting der De-Mail-Anbindung. In den meisten Fällen liegt ein Problem beim Verbindungsaufbau vor. Dies ist entweder die HTTPS-Strecke selbst oder aber die Aushandlung der TLS-Verschlüsselung (Handshake). Die Analyse des TLS-Handshake erfordert die Installation eines Werkzeuges zur Netzwerkanalyse, wie z.B. Wireshark oder Microsoft Message Analyzer.

Konfiguration der TLS-CipherSuite und der elliptischen Kurven in Windows Server 2016

# Prüfung der TLS-CipherSuite
# Wird kein Ergebnis zurückgegeben, muss die CipherSuite aktiviert werden
(Get-TlsCipherSuite) | Where-Object {$_.Name -eq 'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384'}

# Alphabetische Auflistung der konfigurierten TLS-CipherSuites des OS
Get-TlsCipherSuite | Sort-Object Name | FT Name

# Aktivierung der CipherSuite 
Enable-TlsCipherSuite -Name TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

# Auflistung der aktivierten elliptischen Kurven
# Wird die Kurve NistP521 nicht aufgeführt, muss sie aktiviert werden
Get-TlsEccCurve

# Aktivierung der ECC Kurve NistP521
Enable-TlsEccCurve NistP521

# Alle Änderungen an den TLS-Einstelliunge erfordern einen Neustart des Servers

Weitere Links

• Transport Options in Exchange Online
• TCOS-SmartCards - TeleSec TCOS 3.0
• De-Mail-Gesetz (De-Mail-G)

Ich wünsche viel Spaß mit dem NoSpamProxy E-Mail-Sicherheitsgateway und De-Mail.

Exchange Server besteht aus zwei Kernkomponenten. Zum einen ist es die Bereitstellung von Postfächern, mit all den benötigten Client-Zugriffsprotokollen und Postfach-Funktionen. Die zweite Komponente ist der Nachrichtenfluss, also der Empfang, die Verarbeitung und der Versand von E-Mail-Nachrichten.

Was sich so einfach und trivial anhört, ist ein zentraler und komplexer Baustein in der Exchange Architektur. In diesem Artikel versuche ich ein wenig Licht ins Dunkel des Exchange Nachrichtenflusses zu bringen. Lassen Sie uns mit einem kurzen Rückblick auf die Exchange Server Architektur beginnen.

Die Exchange Server Architektur

Wer sich den Nachrichtenfluss von Exchange Server anschaut, muss sich immer den Funktionsaufbau eines Exchange Servers und die empfohlene Implementierung im Rahmen der Preferred Architecture (PA) in Erinnerung rufen. In der PA wird Exchange Server immer in einer Konfiguration aus mehreren Exchange Servern, die als Datenbankverfügbarkeitsgruppe (DAG) zusammengefasst sind, betrieben. Hierdurch wird eine hochverfügbare Bereitstellung von Postfachfunktionen und Nachrichtentransport erreicht.

Jeder Exchange Server besteht aus einer Frontend- und Backend-Komponente. Eingehende Verbindungen von Drittsystemen erfolgen immer über die Exchange Frontend-Komponenten. Die Kommunikation mit den Backend-Komponenten erfolgt im Regelfall nur Exchange-intern.

Das folgende Diagramm zeigt den schematischen Aufbau der Verbindungen in einer DAG.

Die Konfigurationen für den Nachrichtenfluss unterteilen sich in organisationsweite und serverbezogene Einstellungen. Die organisationsweiten Einstellungen gelten, wie der Name es schon sagt, für die gesamte Exchange Organisation, ganz unabhängig davon wie viele Exchange Server oder  DAGs Sie betreiben. Ob und wie ein Exchange Server diese Einstellungen verarbeiten kann, hängt von der Produktversion ab. Diese Einstellungen sind vollständig in der Konfigurationspartition des Active Directory gespeichert. Ein Beispiel für den Nachrichtenfluss sind die Konfigurationen der Sendekonnektoren.

Serverbezogene Einstellungen wirken sich nur für ein bestimmtes Serversystem aus. Diese Einstellungen werden hauptsächlich ebenfalls in der Konfigurationspartition des Active Directory gespeichert. Ein Beispiel für den Nachrichtenfluss sind die Konfigurationen der Empfangskonnektoren. Einige wenige Einstellungen werden jedoch auch in der lokalen Systemregistrierung gespeichert.

Für den sicheren und stabilen Betrieb von Exchange Server ist eine funktionierende Active Directory Replikation unerlässlich. Hierzu gehört auch eine korrekte Konfiguration der Active Directory Sites. Sie ist gerade in größeren Exchange Organisationen unerlässlich.

Ebenso wichtig ist die korrekte und einheitliche Konfiguration der TLS-Einstellungen auf allen Exchange Servern. Ohne solch eine Konfiguration ist nicht sichergestellt, dass verschlüsselte Verbindungen durch die Empfangs- und Sendekonnektoren aufgebaut werden können. Exchange Server vertraut hier auf die Konfiguration des lokalen Windows Server Betriebssystems und die Bereitstellung gültiger TLS-Zertifikate.

Kommen wir nun zum eigentlichen Thema, dem Exchange Nachrichtenfluss und beginnen mit dem Empfang von E-Mail-Nachrichten.

Der Empfang von Nachrichten

Exchange Server nehmen eingehende E-Mail-Nachrichten über unterschiedliche Wege entgegen. Der bekannteste Weg ist der Empfang über das Protokoll SMTP. Ein Exchange Server unterscheidet hierbei drei unterschiedliche Quelltypen. Im Frontend-Transport erfolgt die Annahme von Verbindungen anderer Server über den Standard TCP-Port 25. Zu den Servern, die sich über diesen Standard SMTP-Port verbinden, zählen:

• Externe E-Mail-Server fremder E-Mail-Domänen, die E-Mail-Nachrichten über das Internet an Ihren Exchange Server senden
• Interne Applikationsserver, die E-Mail-Nachrichten an interne und externe Empfänger senden und einen Exchange Server als sog. Relay-Server verwenden
• Andere interne Exchange Server anderer Produktversionen oder Exchange Server, die in anderen Active Directory Sites platziert sind

Diese Verbindungen erfolgen über den Default Frontend Konnektor, der in seiner Standardkonfiguration nur Nachrichten, die an bekannte Empfänger eigener Domänen entgegennimmt. Die Zustellung von Applikationsnachrichten an externe Empfänger erfordert die Erstellung eines separaten Frontend-Empfangskonnektor.

Zusätzlich zu den Empfangskonnektoren stehen zwei weitere Wege über das lokale Dateisystem des Exchange Servers zur Verfügung, das Pickup- und Replay-Verzeichnis. Beide Verzeichnisse werden vom Backend-Transportdienst, den Sie aus früheren Exchange Versionen sicher noch als Hub-Transport kennen, permanent überwacht und sobald eine Datei dort abgelegt ist, wird sie aufgenommen und verarbeitet. Das Pickup-Verzeichnis dient der Ablage von neuen E-Mail-Nachrichten durch Applikationen. Das Replay-Verzeichnis können Sie nutzen, um Nachrichten, die Sie aus einer Warteschlange exportiert und entfernt haben, erneut in die Verarbeitung zu übergeben.

Zum Schutz vor unberechtigten Verbindungen verwendet Exchange Server unterschiedliche Formen der Authentifizierung. Ergänzend verfügen die Eingangswege über eine Header-Firewall, mit der unberechtigte Informationen aus einer E-Mail-Nachricht herausgefiltert werden.

Der Frontend-Transport verfügt über keine komplexe Business-Logik. Daher ist es wichtig, das Zusammenspiel zwischen Frontend-Transport und Transportdiensten im Backend zu verstehen und sich immer wieder in Erinnerung zu rufen, wenn es zu Problemen kommt. Der Empfangskonnektor im Frontend-Transport nimmt die Verbindung entgegen und führt die Authentifizierung durch. Anschließend wird eine Proxyverbindung zum Transportdienst per TCP-Port 2525 aufgebaut. Hierbei entscheidet nun die Konfiguration Ihrer Exchange Umgebung darüber, wie diese Proxyverbindung erfolgt. Bei einem Einzelserverbetrieb erfolgt die Verbindung zum Transportdienst des gleichen Servers. In einer DAG-Konfiguration wählt der Frontend-Transport den Transportdienst des DAG-Mitgliedservers aus, auf dem in diesem Moment die Datenbankkopie mit dem Postfach des Empfängers aktiv eingebunden ist.

Das folgende Diagramm zeigt das Zusammenspiel zwischen Frontend und Backend beim Empfang von Nachrichten per SMTP.

Beim Empfang einer Nachricht per SMTP versucht Exchange Server die Nachricht ausfallsicher entgegenzunehmen. Zu diesem Zweck erstellt Exchange Server eine Kopie der empfangenen Nachricht und speichert sie als Schattenkopie im Transportdienst eines anderen Exchange Servers. Erst nach dem erfolgreichen Speichern der Schattenkopie und der Speicherung in der lokalen Warteschlange des Backend-Transportdienstes, meldet der empfangende Exchange Server dem sendenden Server eine OK-Meldung.

Auf einem Exchange Server können mehrere Empfangskonnektoren für den gleichen Port konfiguriert werden. Wenn Sie weitere Konnektoren für den gleichen Port erstellen, müssen Sie festlegen, wie Exchange Server einen Konnektor auswählen soll. Am einfachsten ist hier die Konfiguration der IP-Adressen des absendenden Systems als Remote IP-Adresse am Konnektor.

Im Backend des Exchange Servers befinden sich zwei Transportdienste. Der wichtigste Dienst ist der Transportdienst, den manche von Ihnen sicher noch als Hub-Transport aus älteren Versionen von Exchange Server kennen. Diesen Dienst schauen wir uns im nächsten Abschnitt einmal genauer an. Der zweite Dienst ist der Postfachtransportdienst. Dieser Dienst hat die Aufgabe, eingehende Nachrichten in Postfächern lokal eingebundener Datenbanken zu speichern und Nachrichten, die versendet werden sollen, aus Postfächern lokaler Datenbanken zu lesen und zur weiteren Verarbeitung an den Transportdienst zu übermitteln. Diesen Dienst beschreibe ich in einem zukünftigen Artikel.

Der einfach erscheinende Empfang einer E-Mail-Nachricht ist, aus Gründen der Nachrichtensicherheit und zum Schutz vor dem Ausfall eines Systems, eine komplexe Aufgabe. Nach dem Empfang der Nachricht muss sie verarbeitet werden.

Die Verarbeitung von Nachrichten

Die gesamte Verarbeitung von E-Mail-Nachrichten erfolgt im Transportdienst und ist Warteschlangen-basiert, mit der Betonung auf „Warte“. Eine empfangene E-Mail-Nachricht wird in der Submission-Warteschlange gespeichert und wartet dort darauf, zur sog. Kategorisierung aufgegriffen zu werden. In der Categorizer-Komponente erfolgt die Hauptarbeit des Transportdienstes. Zu den Aufgaben gehören:

• Auflösung der Empfängeradressen
• Entscheidung über das Routing der Nachricht, auf Basis der in diesem Moment geltenden Topologie-Informationen
• Konvertierung des Nachrichteninhaltes
• Aufteilung der Nachricht in weitere Nachrichten
  • Aufteilung der Nachricht an mehrere Empfänger
  • Auflösung der Empfänger einer adressierten Verteilerliste
• Paketierung der Nachricht oder Nachrichten zur Zustellung
• Erstellung von Delivery Status Notifications (DSN)

Nach der Verarbeitung im Categorizer ist die Nachricht bereit zur weiteren Zustellung und wird hierzu in einer passenden Warteschlange gespeichert. Der Transportdienst legt für jedes Zustellungsziel eine separate Warteschlange an. Dies ist der Grund, warum Sie immer eine unterschiedliche Anzahl an Warteschlangen auf einem Exchange Server sehen. Die Warteschlangen gliedern sich in unterschiedliche Kategorien:

• Lokale Zustellung an eine aktive Postfachdatenbankkopie, die das Postfach des Empfängers beinhaltet
• Remote Zustellung an eine aktive Postfachdatenbankkopie in der gleichen DAG, die das Postfach des Empfängers beinhaltet
• Remote Zustellung an einen beliebigen Mitgliedsserver einer anderen DAG zur weiteren Zustellung an Postfächer in dieser DAG
• Zustellung an einen konfigurierten Exchange Server eines Sendekonnektors eines Zieladressraumes
• Zustellung an Remote-Domänen über einen definierten Smarthost
• Zustellung an Remote-Domänen mit DNS-basierter MX-Auflösung für die Ziel-Domäne

Zur Speicherung der Warteschlangen verwendet der Transportdienst auf jedem Exchange Server eine eigene Datenbank. In dieser Datenbank werden alle Nachrichten mit ihrem jeweiligen Verarbeitungs- und Zustellungsstatus gespeichert. Der Transportdienst kümmert sich eigenständig um den Funktionsstatus der Datenbank. Kommt es zu einem nicht behebbaren Fehler, wir eine komplett neue Datenbank erstellt und die korrupte Datenbank in einen neuen Ordner verschoben.

Das folgende Schaubild zeigt die Hauptkomponenten zur Verarbeitung von E-Mail-Nachrichten im Exchange Transportdienst.

Leider steht uns für die aktuelle Version Exchange Server kein detailliertes Diagramm des Transportdienstes offiziell zur Verfügung. Im Microsoft Download Center steht das Diagramm von Exchange Server 2010 zur Verfügung und bietet einen guten konzeptionellen Überblick über den Transportdienst. Achten Sie auf die Unterschiede zu modernen Exchange Server Versionen.

Das Routing von Nachrichten

Anwender leben in der Illusion, dass die Zustellung von E-Mail-Nachrichten eine einfache Sache ist und haben meist kein Verständnis für eine verzögerte Zustellung von Nachrichten. In Zeiten von Gigabit-Leitungen und schier unerschöpflicher Computer-Ressourcen hat man sich daran gewöhnt, dass Nachrichten nahezu in Echtzeit übertragen werden.

Einen wesentlichen Beitrag zu einer schnellen und fehlerfreien Verarbeitung leistet das korrekte Routing einer E-Mail-Nachricht. Damit eine Nachricht von Exchange Server fehlerfrei verarbeitet und zugestellt werden kann, ist eine fehlerfreie Active Directory Gesamtstruktur unerlässlich. Die im Exchange Transportdienst aktiven Routing-Agenten arbeiten mit den Informationen, die im Active Directory gespeichert sind. Dies sind u.a.:

• Adressen von Exchange Empfängerobjekten
  • Inkonsistente, fehlerhafte Einträge und identische Einträge an mehreren Objekten sind eine häufige Fehlerquelle
  • Verwaiste Objekte von E-Mail-aktivierten Öffentlichen Ordner gehören ebenso zu den Fehlerquellen
• Konfiguration der Exchange Organisation
  • Verwaiste Server- und Konnektoreinstellungen durch nicht korrekt durchgeführte Deinstallationen können zu Fehlern und Verzögerungen beim Routing führen
• Active Directory Site-Konfiguration
  • Eine fehlerhafte Konfiguration der AD-Sites kann zu Fehlern bei der Zustellung und bei der Nutzung von Schattenkopien führen

Beim Routing einer Nachricht spielt auch die Nachrichtengröße eine Rolle. Exchange zieht mehrere Konfigurationen zu maximalen Nachrichtengröße in Betracht, um so zu bewerten, ob die Nachricht auch wirklich zugestellt werden kann. Kann eine Nachricht nicht zugestellt werden, erhält der Absender einen sog. Non-Delivery Report (NDR). Der Transportdienst betrachtet für die Ermittlung der erlaubten Nachrichtengröße die Konfigurationen auf Organisationsebene, die aller Sende- und Empfangskonnektoren der internen Verbindungsstrecke und die Einstellungen des Zielpostfaches.

Der Versand von Nachrichten

Sendekonnektoren arbeiten die Nachrichten in den Warteschlangen ab und versuchen das jeweilige Zielsystem mit den Konnektoreinstellungen zu erreichen. Eine korrekte DNS-Namensauflösung ist der Schlüssel zu einer fehlerfreifunktionierenden Exchange Infrastruktur. Die interne Namensauflösung ist selten eine Fehlerquelle. Anderes sieht es aus, wenn es um die DNS-Auflösung externer Domänen geht. Stellen Sie sicher, dass Ihre Exchange Server auch externe Domänen effizient und sicher auflösen können, um einen fehlerfreien Nachrichtenfluss mit externen Empfängern zu gewährleisten.

Kommt es beim Versuch einer Zustellung zu einem Fehler, wird der Fehler in der Warteschlange festgehalten. Im Regelfall erkennen Sie Zustellfehler am Anwachsen einer oder mehrerer Warteschlangen. Die Überwachung der Warteschlangengröße ist unerlässlich für einen stabilen Betrieb der Exchange Organisation.

Bedenken Sie, dass die Datenbank des Transportdienstes im Installationspfad eines Exchange Servers platziert ist. Wenn Ihre Exchange Server eine hohe Anzahl von Nachrichten verarbeiten muss, sollten Sie die Datenbank auf einem separaten und ausreichend dimensionierten Laufwerk platzieren.

Zusammenfassung

Der Exchange Server Nachrichtenfluss ist, wenn man unter die Motorhaube schaut, ein komplexes Gebilde. Mit einem richtig konfigurierten Active Directory sind keine Probleme beim Betrieb von Exchange Server zu erwarten. Die Herausforderungen für den Exchange Nachrichtenfluss beginnen mit der Anpassung der Exchange Konfiguration.

Gerade im Hinblick auf die Konfiguration von zusätzlichen Empfangskonnektoren müssen Sie sich immer fragen, ob Sie einen neuen Konnektor wirklich benötigen. Das Troubleshooting des Exchange Nachrichtenflusses ist nicht schwierig, jedoch zeitaufwendig. Gerade in Exchange Umgebungen, die seit einigen Jahren betrieben werden und mehrere Exchange Versionen gesehen haben, besteht ein Risiko, dass veraltete Einträge in der Konfigurationspartition den Betrieb stören. Gleiches gilt für die Exchange Empfängerobjekte. Eine regelmäßige Pflege vermeidet Störungen im Nachrichtenfluss.

Der tägliche Betrieb Ihrer Exchange Organisation wird durch ein proaktives Monitoring, in dem nicht nur der Nachrichtenfluss überwacht wird, einfacher. Neben der Überwachung der Warteschlangen, empfehle ich auch die Überwachung der Transportdienste selbst. Exchange Server verfügt mit der Funktion der Managed Availability zwar über eine integrierte Monitoring Lösung mit automatischen Recovery-Aktionen, jedoch möchten Sie sicher nicht von automatisch neustartenden Diensten überrascht werden.

Links

• Microsoft Exchange Server 2010 Transport Server Role Architecture Diagrams
• Message size and recipient limits in Exchange Server
• DNS and Report Types
• Exchange 2016 + 2019 Mail Flow with Ports

Viel Spaß mit Exchange Server.

Mailscape 365 - Überwachung von Hybrid Exchange und Office 365: Viele Unternehmen verwenden eine lokale Exchange Organisation und Exchange Online in einer Hybrid-Konfiguration, um die Anforderungen ihrer Mitarbeiter zu erfüllen. Der Betrieb einer hybriden Exchange Organisation seine ganz eigenen Herausforderungen für das Monitoring der Dienstverfügbarkeiten. Beginnen Sie noch heute einen unverbindlichen 14-Tage Test von Mailscape 365.

Am 23. Oktober 2020 bin ich Gast beim WBSC#TALK mit Manfred Helber und Sven Langenfeld.

Wir unterhalten uns über das Supportende von Exchange Server 2010 und Office 2010 und die Frage, ob das Supportende dieser beiden Produkte zu einer Modernisierung der IT-Infrastruktur im deutschen Mittelstand führt. Ein weiteres Thema ist die Akzeptanz von Cloud-Angeboten wie Exchange Online und Microsoft 365.

Der WBSC#TALK findet als YouTube Live-Stream statt. Erstellen Sie schon jetzt eine YouTube-Erinnerung, um den Live-Stream nicht zu verpassen.

Termin

• 23. Oktober 2020
• 12:00 Uhr

Link

• WBSC YouTube-Kanal

Das Blog Cumulative Update für Mai 2020 (CU0520) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Microsoft 365, Microsoft Teams und Azure des Monats Mai 2020 zusammen.

Allgemein

• [STICKY] Microsoft Products Reaching End of Support for 2019
• C5 Zertifizierung auch für die Microsoft Cloud in Deutschland
• Microsoft 365 Virtual Marathon - Recap
• Statement on the recent Greenpeace report
• 12 zentrale Assets für mein persönliches Fazit nach 2 Monaten Corona Homeoffice
• 2 years of digital transformation in 2 months

Exchange Server

• [STICKY] Outlook License Requirements for Exchange Features
• Event ID 1 MSExchange Autodiscover
• Demystifying and troubleshooting hybrid mail flow: when is a message internal?

Microsoft 365 | OneDrive | Exchange Online | and more

• [STICKY] Office 365 Network Performance Tool
• [STICKY] Office 365 Support and Recovery Assistant (aka SaRA)
• [STICKY] Office 365 URLs and IP address ranges
• [STICKY] Office 365-Trust Center
• Tech Talk 6 - Abschaltung von Basic Auth in Exchange Online
• Using PowerShell to Find Power Apps that use the SharePoint Connector
• Announcing OAuth Support for POP in Exchange Online
• New collaboration features on OneDrive for web
• Outlook Makes Online Meetings the Norm
• Announcing OAuth Support for POP in Exchange Online
• Reply All Storm Protection in Exchange Online
• Announcing Microsoft Lists - Your smart information tracking app in Microsoft 365
• Graph Mailbox Basics with PowerShell Part 1 Folders
• How to configure the new Room Finder in Outlook
• Multi-page scanning for everyone
• Generate Per-User Audit Reports for SharePoint Online Activity
• Stream Loses Face Detection Feature
• OneDrive | Gruppenrichtlinie Änderung: Synchronisierung von OneDrive
• Datenschutzeinstellungen und Datenschutzprüfung für das Microsoft Whiteboard
• Announcing OAuth 2.0 support for IMAP and SMTP AUTH protocols in Exchange Online

Microsoft Teams

• [STICKY] Security and Compliance in Microsoft Teams
• [STICKY] Keyboard shortcuts for Microsoft Teams
• [STICKY] Surface Hub update history
• [STICKY] Instructor-led training for Microsoft Teams
• Microsoft Teams and teaching
• Contact Center integrations for Microsoft Teams
• New Microsoft Teams Shifts features to build richer Firstline Worker experiences
• What's new in the Microsoft Teams Platform | Microsoft Build 2020
• Automate teams provisioning with the Request-a-team app template
• Teams Real Simple with Pictures: Rethinking Gif’s in Teams
• Automate teams provisioning with the Request-a-team app template
• Getting started with Microsoft Teams Live Events
• Consolidate Teams and SharePoint activity reports
• How to get a moving background in a Microsoft Teams meeting (+ other fun things)

Microsoft Azure

• [STICKY] Azure Latency Test
• [STICKY] Virtual Machines Licensing FAQ
• [STICKY] Azure Architecture Center
• [STICKY] Microsoft Azure Trust Center
• AzUrlShortener: An open source, budget-friendly URL shortener
• Using Azure Active Directory Application Proxy to Publish Internal Apps

Cloud | Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
• Zero Trust and its role in securing the new normal
• Significant Improvements in Azure AD Connect
• C5 Zertifizierung auch für die Microsoft Cloud in Deutschland
• Free Security Assessment Tools based on CIS Controls
• Building your Security Practice with Microsoft Threat Protection and Azure Sentinel
• Staying safe and smart in the internet-of-things era
• Empowering your remote workforce with end-user security awareness
• Top 5 reasons organizations use OneDrive for data security
• Expanding Azure Active Directory support for FIDO2 preview to hybrid environments
• Announcing general availability of sensitivity labels with protection in SharePoint and OneDrive
• NRW Soforthilfe 2020 und E-Mail-Kommunikation - Die Geschichte eines angekündigten Betruges

Microsoft Training

• [STICKY] MCT Central
• Finding the right Microsoft Azure certification for you
• Microsoft 365 Certification and Exam Updates

Schule | Lernen

• Datenschutz in der digitalen Bildung – Anfrage im Landtag BW
• Schule und Digitalisierung - Wenn die DSGVO missverstanden wird

Docs | Knowledge Base | TechNet

• [STICKY] Getting started with the Cloud Adoption Framework
• Introduction to Teams policy-based recording for callings & meetings
• Use network upload to import your organization's PST files to Microsoft 365
• Azure AD Connect: How to recover from LocalDB 10-GB limit

Skype for Business Server | Communications

• [STICKY] Download: Skype for Business Network Assessment Tool
• List all SfBS & SfBO policies by type
• SfB 2015 Server Update - May 2020

Replay

• April 2020: Licensing Details for Litigation Hold in Office 365

Podcast Empfehlungen

• [STICKY] Collab Talk: #MsftBuzzChat Podcast series
• Episode #63 – Interview with Microsoft MVP Joanne C. Klein
• #MVPbuzzChat with Julie Yack
• UCStatus Podcast Episode 12: with TE-Systems talking Anynode SBC
• Episode #62 – Major Microsoft 365 feature announcements
• Zu Gast beim MVP Kaffeeklatsch
• Episode 61 – Notes from the field on usage and adoption during COVID-19
• Episode #60 – Supporting remote workers through Covid-19 using live events
• Episode #59 – Supporting remote workers through COVID-19
• Sync Up - a OneDrive podcast : Episode 7, "Mobile productivity on Android"
• In Episode 41 of the All About 365 podcast, we’re talking Exchange with Microsoft’s Greg Taylor
• UCStatus Podcast Episode 5: Microsoft Teams Phones & Device Management
• The Cloud Architects - Episode 39: "Do I really need to monitor Office 365?"
• Episode #49 - Microsoft Teams : How did we get here and what’s coming
• The Evolving Discussion around Adoption & Engagement
• Podcast: Episode #42 – Karuana Gatimu – Microsoft 365 Adoption
• Exchange Exposed

Tools

• Network Assessment Tool Plus
• ADFS Rapid Restore Tool
• Active Directory Migration Tool version 3.2
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG
• ISESteroids - PowerTheShell
• Mailscape 365 - Exchange Online Monitoring und Reporting
• Mailscape - Exchange Monitoring und Reporting
• Compass - Active Directory Monitoring und Reporting

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

Das Blog Cumulative Update für April 2020 (CU0420) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Microsoft Teams und Azure des Monats April 2020 zusammen.

Allgemein

• [STICKY] Microsoft Products Reaching End of Support for 2019
• Learning from our customers in Japan
• Closing the data divide: the need for open data
• What is the biggest opportunity for IT Service Providers and Consultants today, in light of COVID-19?
• Getting Started in IT - Your IT Career Questions Answered
• Online Meeting Etiquette
• Enhancing VPN performance to enable remote work
• A healthy society requires a healthy planet

Exchange Server

• [STICKY] Outlook License Requirements for Exchange Features
• Force Mailbox Migration With Bad Items To Complete (2020)

Microsoft 365 | OneDrive | Exchange Online | and more

• [STICKY] Office 365 Network Performance Tool
• [STICKY] Office 365 Support and Recovery Assistant (aka SaRA)
• [STICKY] Office 365 URLs and IP address ranges
• [STICKY] Office 365-Trust Center
• Migrating your Mailbox searches in EWS to the Graph API Part 2 KQL and new search endpoints
• How to use Microsoft Whiteboard
• Stopping Users Updating OWA Autosignatures
• Multi-Geo reduced seat minimum and expanded geo coverage
• Securing Authenticated SMTP in Exchange Online
• Top 5 ways to use OneDrive when working remotely
• Licensing Details for Litigation Hold in Office 365
• Community Projekt: Microsoft Stream Whitepaper
• What are your Exchange Hybrid Options?
• Support of DANE and DNSSEC in Office 365 Exchange Online
• The Confusing World of Microsoft 365 Security and Compliance Licensing
• Basic Authentication and Exchange Online - April 2020 Update

Microsoft Teams

• [STICKY] Keyboard shortcuts for Microsoft Teams
• [STICKY] Surface Hub update history
• [STICKY] Instructor-led training for Microsoft Teams
• Microsoft Teams - Hub für Zusammenarbeit
• Introducing new Teams certified devices
• Benutzerdefinierte Hintergründe in Microsoft Teams
• How to chat with Slack and Webex users using Microsoft Teams
• Present PowerPoint in Microsoft Teams and still see the chat
• Create and award digital publicly verifiable badges in Teams
• Microsoft Teams Live Events For Running a Church Service
• How to Ship your Teams Company Background Images with Intune
• Datenschutz und Sicherheit in Microsoft Teams: Antworten für IT-Fachleute
• Microsoft verpflichtet sich zum Datenschutz und Sicherheit bei Microsoft Teams
• Microsoft Teams meetings for the classroom - what to use now, and what is coming soon
• Using Teams to Run Microsoft 365 Live Events
• PowerShell for Teams Reporting
• For IT professionals: Privacy and security in Microsoft Teams

Microsoft Azure

• [STICKY] Azure Latency Test
• [STICKY] Virtual Machines Licensing FAQ
• [STICKY] Azure Architecture Center
• [STICKY] Microsoft Azure Trust Center
• AAD Connect 1.5.29.0 released - With a gotcha
• Azure ATP now detects SMBGhost

Cloud | Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
• New tools to help IT empower employees securely in a remote work world?
• Data governance matters now more than ever

Microsoft Training

• [STICKY] MCT Central

Schule | Lernen

• Microsoft Teams and teaching

Docs | Knowledge Base | TechNet

• [STICKY] Getting started with the Cloud Adoption Framework
• Azure AD Connect sync: Prevent accidental deletes
• Azure AD Connect 1.5.18.0 published

Skype for Business Server | Communications

• [STICKY] Download: Skype for Business Network Assessment Tool
• Microsoft On-Premise Diagnostics (OPD) tool for Skype for Business Server

Replay

• Dezember 2018: Azure Active Directory Connect Group Writeback
• März 2018: Demystifying Hybrid Free/Busy: Finding errors and troubleshooting
• Januar 2020: Office 365 app usage guidelines

Podcast Empfehlungen

• [STICKY] Collab Talk: #MsftBuzzChat Podcast series
• Zu Gast beim MVP Kaffeeklatsch
• Episode 61 – Notes from the field on usage and adoption during COVID-19
• Episode #60 – Supporting remote workers through Covid-19 using live events
• Episode #59 – Supporting remote workers through COVID-19
• Sync Up - a OneDrive podcast : Episode 7, "Mobile productivity on Android"
• In Episode 41 of the All About 365 podcast, we’re talking Exchange with Microsoft’s Greg Taylor
• UCStatus Podcast Episode 5: Microsoft Teams Phones & Device Management
• The Cloud Architects - Episode 39: "Do I really need to monitor Office 365?"
• Episode #49 - Microsoft Teams : How did we get here and what’s coming
• The Evolving Discussion around Adoption & Engagement
• Podcast: Episode #42 – Karuana Gatimu – Microsoft 365 Adoption
• Exchange Exposed

Tools

• Network Assessment Tool Plus
• ADFS Rapid Restore Tool
• Active Directory Migration Tool version 3.2
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG
• ISESteroids - PowerTheShell
• Mailscape 365 - Exchange Online Monitoring und Reporting
• Mailscape - Exchange Monitoring und Reporting
• Compass - Active Directory Monitoring und Reporting

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu