In den letzten Tagen war ich mal mehr in Office 365 unterwegs đ
FĂŒr eine kleine Umgebung war eine Migration vorhandener PostfĂ€cher eines lokalen Exchange nach Office 365 notwendig. Allerdings sollte die lokale Umgebung aufgelöst und die vorhandenen User in einer neu angelegtem DomĂ€ne innerhalb von Office 365 angelegt und portiert werden. Da es sich um eine kleine Organisation handelt, die primĂ€r Mail und Fileserver Dienste einsetzt war die Migration ĂŒber einen Export der lokalen PST-Dateien und Import ĂŒber Office 365 die sinnvollste Alternative.
Bei einem Kunden waren zwei Exchange 2016 Server vorhanden, von denen der erste nach erfolgter Migration gelöscht werden sollte.
Wie immer ist vor den TĂ€tigkeiten ein Backup durchzufĂŒhren!
Da es sich um den 1. Exchange 2016 Server handelte, hielt der einige System-PostfĂ€cher bereit, die zunĂ€chst auf den 2. Server umziehen mussten. Dies ist sicherlich soweit bekannt. Allerdings wurde mit Exchange 2016 eine AuditLog Mailbox eingefĂŒhrt, die nur auf den Exchange 2016 Servern angezeigt wird. Wurde diese zuvor nicht verschoben, erhalten wir bei einer sauberen Deinstallation ĂŒber die Systemsteuerung folgende Fehlermeldung:
Mit folgenden Befehlen lĂ€sst sich prĂŒfen, welche PostfĂ€cher noch vorhanden sind:
Get-Mailbox -Database “E2016 DB Name”
Get-Mailbox -Database “E2016 DB Name” -Arbitration
Get-Mailbox -Database “E2016 DB Name” -Archive
Get-Mailbox -Database “E2016 DB Name” -PublicFolder
Sollten noch PostfĂ€cher angezeigt werden, kann der Befehl um “New-MoveRequest -TargetDatabase “E2016 DB Name”” ergĂ€nzt werden um die vorhandenen SystempostfĂ€cher auf die bestehende Datenbank zu verschieben.
Befehl im ganzen:
Get-Mailbox -Database “E2016 DB Name” | New-MoveRequest -TargetDatabase “E2016 DB Name”
Der Status der Verschiebeanforderung lĂ€sst sich mit “Get-MoveRequest” anzeigen. Sobald dieser abgeschlossen ist, lĂ€sst sich die Deinstallation fortsetzen und der Readiness Check erneut ausfĂŒhren.
LĂ€sst sich die Deinstallation noch immer nicht fortsetzen, ist die erwĂ€hnte eine SystemMailBox vorhanden, die mit den genannten Befehlen derzeit nicht angezeigt wird. Dieser Fehler wird in einer der zukĂŒnftigen CUs behoben.
Mit folgendem Befehl wird euch diese SystemMailBox angezeigt:
Get-Mailbox -Database “E2016 DB Name” -AuditLog
Auch diese sollte fĂŒr die Deinstallation verschoben werden, dies lĂ€sst sich mit bereits vorhanden Befehl vornehmen. Ob der Vorgang erfolgreich verlĂ€uft lĂ€sst sich mit dem Befehl “Get-MoveRequest” prĂŒfen. Sobald der Status auf “Completed” steht ist der Vorgang abgeschlossen. Nun noch die Powershell schlieĂen und schon kann die Deinstallation erfolgen.
Nun wird die Deinstallation sauber durchgefĂŒhrt und die wichtigen PostfĂ€cher wurden auf den verbliebenden Exchange Server verschoben.
Am 29.01.2015 veröffentlichte Microsoft die “neue” Outklook Vorschau fĂŒr Android (ab V 4.0) und IOS. Nach der Veröffentlichung von Windows 10 und den deutlichen erweiterten Funktionen von OneDrive der nĂ€chste logische Schritt.
Um die neuen Funktionen zu testen, lud ich mir die Version direkt runter und installierte diese auf meinem Android Device.
Microsoft Outlook Vorschau App – Android Berechtigungsscreen
Accompli neu verpackt
Nachdem Aufruf der App erscheint am unteren Rand ein Hinweis “Datenschutzbestimmungen”. Hinter dem Link-Aufruf steckt die erste Ăberraschung. Die App stammt ursprĂŒnglich von “accompli”. Accompli war ein Startup welches vor ca. 2 Monaten von Microsoft ĂŒbernommen wurde. Die App ist auch demnach eher eine Weiterentwicklung, die nun unter neuem Namen veröffentlicht wurde.
Aus den Datenschutzbestimmungen geht hervor, dass Mail-Logindaten auf den Servern von Accompli gespeichert werden. “Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain. ”
AuĂerdem werden ein- und ausgehende Mails ĂŒber die Server von Accompli weitergeleitet. Auszug aus den Accompli Datenschutzbestimmungen: “Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device.” . Dies bezieht sich auf alle Konten, die mit dieser App abgerufen werden, dies schlieĂt Exchange Business Konten mit ein.
Mittlerweile handhaben das leider viele Mail App Anbieter so. Allerdings ist es bedauerlich, dass Microsoft dies nicht klarer kommuniziert. Dies hĂ€tte bereits deutlich auf der App-Seite als Hinweis stehen sollen. Im Artikel “A deeper look at Outlook for iOS and Android” wird dieses erst auf Nachfrage kommuniziert. Zumindest hĂ€tte es nach m.E. hier klar und ersichtlich in den FAQ-Bereich am Ende des Artikels gehört.
MaĂnahmen und Ablage der Daten
Zumindest werden User-Anfragen im Blog zu dem Thema schnell beantwortet. Allerdings kommt hier schon die nĂ€chste Ăberraschung, da die Daten derzeit nicht den Microsoft Richtlinien unterliegen.
Ein User mit dem Namen “JasonG” fragt konkret nach und nennt einige Sicherheitsbedenken, gerade bzgl. der Sicherheitsrichtlinien von Unternehmen, fĂŒr die Behandlung von Mails. Die Antwort von “AllenFilush_MSFT”:
“Thanks JasonG for the feedbackâŠglad you like the app at its core. We understand that security & mobile device management integration is a must-have capability at many businesses today, so we are working quickly to get it added to the app. Hope to have these issues resolved so you can start enjoying the app soon. In the meantime, If the current architecture of the Outlook app doesnât meet your corporate security policies, you can use ActiveSync allow/block/quarantine policies rules to block the app. The Outlook app is identified in Exchange ActiveSync management screens with the Device Family âoutlook-iOS-Android/1.0âČ. We also encourage you to submit feature requests and feedback in-app at Settings > Help > Contact Support.”
Daraufhin hakt der User “quirkconcepts” konkret nach (Auszug):
Can we get a clearer answer on this? I have a feeling this compromises HIPAA compliance for health care providers who have set up a Business Associate Agreement. Have you extended compliance to the Accompli infrastructure? Are you storing my credentials for Exchange? These were the main reasons I hadnât used Accompli prior to the acquisition. It simply wasnât possible to get compliant.
Die Antwort von “AllenFilush_MSFT” (Auszug):
@quirkconcepts: the Outlook infrastructure is not currently covered under the Office 365 Trust Center. We will be updating Outlook later this year to enable it to be covered.
Leider bedeutet dies, dass die ĂŒbertragenen Daten nicht mal auf Servern von Microsoft gespeichert werden und demnach derzeit nicht deren strengen Sicherheitsregeln fĂŒr Datenschutz- und Weitergabe unterliegen. Inwieweit Microsoft derzeit die Aquisition von Accompli abgeschlossen und Einblick in die Infrastruktur hat, lĂ€sst sich nur schwer abschĂ€tzen.
Fazit:
Die Push-Notification wird ĂŒber die Server von Accompli generiert und aufs Smartphone gesendet, daher wird auch sĂ€mtlicher ein- und ausgehende Mailverkehr von hier getrackt. Dazu gibt es sicherlich elegantere Lösungen, die Microsoft hoffentlich in eine der nĂ€chsten Versionen implementiert und klar kommuniziert.
FĂŒr Business-Kunden ist die App derzeit vermutlich nicht einsetzbar, da sĂ€mtliche Infrastruktur-Daten (Servername, Passwort) inkl. aller Mails, Kontakte, etc. an US-Server ĂŒbertragen werden, die derzeit nicht den Sicherheitsbestimmungen von Microsoft unterliegen.
Ich finde die App gut gelungen, allerdings gibt es hier und da noch ein paar Bugs. Der fehlende IMAP- Support sollte bald hinzukommen.
Zwar weist die App in den Datenschutzrichtlinien daraufhin, dass sĂ€mtliche Daten in die Cloud ĂŒbertragen werden, doch hĂ€tte ich mir eine deutlicher Kommunikation von Microsoft in diesem Bezug gewĂŒnscht. Zum einen weil die Server, wie Microsoft angibt, derzeit nicht den eigenen strengen Richtlinien unterliegen. Und weil dies bei der Namensverwandschaft zum Desktoppendant nicht zu erwarten war.
Deinstallation:
Wer die App bereits installiert hat und evtl. unwissentlich seine Zugangsdaten ĂŒbertragen hat, fĂŒr den reicht eine Deinstallation nicht aus.
Zur Vermeidung, das weitere Daten abgezogen werden, könnt ihr die App im “Exchange Admin Center” (Exchange 2013) in die QuarĂ€ne schieben. Die App gibt sich in der QuarantĂ€ne-Verwaltung als “Outlook for IOS and Android” aus. Wie ihr die QuarantĂ€ne aktiviert und entsprechend konfiguriert ist in diesem Blog-Eintrag sehr gut erklĂ€rt.
E2013 EAC – QuarantĂ€nekonfiguration
In der App unter Einstellungen gibt es unter dem angelegten Konto am Ende den MenĂŒpunkt “Konto vom Handy und Remote GerĂ€t entfernen“. Laut Microsoft soll dies die Daten umgehend vom GerĂ€t und vom Cloud-Server entfernen.
Am 04.12.2011 hat Microsoft das Service Pack 2 zu Exchange 2010 veröffentlicht. Da ich ein wenig Zeit gefunden habe, meine Umgebung ein wenig zu aktualisieren, habe ich das zum Anlass genommen, dass SP2 zu installieren.
Zu den Interessantesten Neuerungen gehöret z.B. die Neuauflage der Mini-Version von Outlook Web App. Diese ist speziell fĂŒr den Webzugriff ĂŒber Smartphones gedacht. Ansonsten finden sich viele Verbesserungen im Detail und eine verbesserte Cloud-KompatiblitĂ€t. Alle Neuerungen sind unter folgenden Link einsehbar: http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=4e5554f9-a5ce-40d6-8353-94d5a34b635e
Die Installation selbst, ist ziemlich unspektakulÀr, nachdem alle Parameter konfiguriert wurden, lÀuft die Setuproutine durch und aktualisiert alle erforderlichen Rollen.
Nachdem die Rollen aktualisiert wurden, ist kein Neustart erforderlich und der Exchange steht weiterhin den Usern zur VerfĂŒgung.
Um z.B. die neue FunktionalitĂ€t der Outlook Mini Anwendung in Augenschein zu nehmen, genĂŒgt der Aufruf von “https://mail.domain,de/owa/oma” im Internet Explorer. Nach erfolgreicher Authentifizierung sieht man bereits die sehr minimalistische OberflĂ€che. Anbei mal zwei Bilder, einmal nach Login und daneben die Ansicht auf den Posteingang.
Die Migration des Exchange 2007 nach Exchange 2010 ist abgeschlossen. Alle vorhandenen, zusÀtzlichen, Dienste auf dem 2007er wurden auf andere Server verschoben.
Es gab keine Nennenswerte Probleme, ein paar Kleinigkeiten die im Changelog zu finden sind. Der Server wurde nun erstmal Probeweise abgeschaltet, wird aber noch einige Zeit, wegen Seminaren, bestehen bleiben.
Nachdem die Grundkonfiguration abgeschlossen ist, wurde der erste Anmeldeversuch ĂŒber OWA an den Server versucht, leider ohne Erfolg. Folgende Fehlermeldung erscheint:
Nach einiger Recherche habe ich den Tipp gefunden, die AD-Site-Topolgy im Hinblick auf doppelte oder sich ĂŒberschneidende IP-Subnetze ĂŒberprĂŒfen und ggf. bereinigen. Was die AD-Site-Topolgy angeht, ist der Exchange 2010 hier sehr empfindlich.
Um den Fehler zu bereinigen muss die Gruppe Exchange 2010 “Exchange Trusted Subsystem” Lokale Administratorenrechte auf allen Exchange Servern innerhalb der Organisation haben. Ob dieser Fehler mit einer anderen Lösung zu bereinigen ist, habe ich derzeit noch nicht in Erfahrung bringen können.
ZunÀchst wurde dem Hubtransport-Server unter der Verwaltungskonsole erlaubt, anonyme Verbindungen anzunehmen um sicherzustellen, dass Mails von unbekannten Absendern akzeptiert werden. NÀchster Schritt war die Aufnahme des E2010 in den vorhanden Sendeconnector von E2007. Danach wurde ein Postfach auf den neuen Exchange Server verschoben. Weitere Konfigurationsschritte folgen.
Zertifikat einschalten Enable-ExchangeCertificate
-Thumbprint <fingerabdruck des Zertifikats>
-Services SMTP,IMAP,POP,UM,IIS
Dienste mit dem Zertifikat verknĂŒpfen und aktivieren Enable-ExchangeCertificate
-Thumbprint <fingerabdruck des Zertifikats>
-Services SMTP,IMAP,POP,UM,IIS
Somit die Zeritifkatsanforderung und Aktivierung abgeschlossen, dass Zertifikat ist ab sofort auf den angewendeten Services gĂŒltig
Nachdem der neue Mail-Server aufgesetzt wurde, sind heute einige Vorbereitungen zur Migration getroffen worden.
1. Die OWA-Url von Exchange 2007 wurde auf oldmail.domain.de geĂ€ndert und ein neues Zertifikat dafĂŒr ausgestellt mit dem Befehl New-ExchangeCertificate -GenerateRequest -SubjectName “c=DE, o=domain, cn=oldmail.domain.de” -DomainName oldmail.domain, owa, mailserver, mailserver.domain.de, autodiscover.domain.de, autodiscover.domain.de, -PrivateKeyExportable $true -Path c:newe2007cert.req generiert.
2. Nachdem die Anforderung von der Zertifizierungsstelle genehmigt wurde, ist das Zertifikat mit import-exchangecertificate eingefĂŒgt und auf die Standarddienste zugelassen.
Somit ist gewĂ€hrleistet, dass User deren Postfach noch auf dem alten Server laufen, dennoch auf Ihre Mails ĂŒber OWA zugreifen können. Der nĂ€chste Schritt ist die Installaton von Exchange 2010. Aufgrund der kleinen Umgebung und der geringen Auslastung habe ich mich dazu entschieden, alle Rollen auf einem Server zu installieren.
Hier nun einige Screenshots von der Installation:
Installationsauswahl Exchange Setup
Nachdem die Installationsschritte durchgefĂŒhrt wurden, werden die Vorrausetzungen geprĂŒft. Dabei traten einige Fehler auf, siehe folgendes Bild.
Exchange 2010 Abschliessende ĂberprĂŒfung
HauptsĂ€chlicher Kritikpunkt war das Fehlen des Microsoft Filter Pack, welches anschlieĂend nach installiert wurde. AuĂerdem musste der Startmodus von “NetTcpPortSharing” auf Automatisch gesetzt werden.
Nachdem diese Konfigurationseinstellung vorgenommen wurde, sah die erneute PrĂŒfung nun ok aus und alle Konfigruationseinstellungen wurden ĂŒbernommen und installiert. Wenn das Setup erfolgreich abgeschlossen wird, schau das ganze folgedermaĂen auch
E2010 Erfolgreiche Installation
1. Start der Exchange Verwaltungskonsole
Exchange 2010 Verwaltungskonsole
Dies war der Abschluss der Installation des Exchange 2010. Nun mĂŒssen die Konfigurationseinstellungen vorgenommen werden, unter anderem muss auĂerdem der Forefront Security for Exchange installiert, die PostfĂ€cher verschoben und die Zertifikate geprĂŒft werden.
