Exchange 2013 SP1 – Upgrade auf CU10

Hallo zusammen,

 

gegeben ist ein Exchange 2013 mit Stand SP1 (=CU4).

Da die CU’s nicht automatisch installiert werden können, müssen diese von Hand installiert werden.

Anbei eine (meine!) Beschreibung, wie ich eine Installation aktualisiert habe.

  1. Download Exchange 2013 CU10 (ca. 1,6 GB!)
  2. Download Exchange 2013 CU10 LanguagePacks

Hinweis!

Die Exchange CU(s) sind nicht nur reine Upgrades. Diese werden auch bei Neuinstallation verwendet.

Achtet daher auf die korrekte Handhabung, nicht das eine vorh. Exchangeinstallation „platt“ gemacht wird.

 

Zunächst entpacke als ersten Schritt das CU10. Einfach einen Doppelklick auf die .EXE und ein Verzeichnis angeben.

Ex2013-CU10-01

Als nächstes sollte das AD-Schema erweitert werden.

Hierzu eine administrative CMD öffnen und folgendes ausführen:

Schema erweitern
setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
AD erweitern
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms

Ex2013-CU10-02

Nun kann das eigentliche Upgrade starten – ich habe mich für die grafische Installation entschieden.

Mache dazu einen Rechtsklick auf die „setup.exe“ und wähle „Als Administrator ausführen“ aus.

Nach dem Start des Setups möchte das Setup selbst nach Updates suchen, was ich erlaube (und empfehlen würde)

Ex2013-CU10-03

Es wird nach Updates gesucht. Werden welche gefunden, werden diese mit berücksichtigt – in meinem Falle gab es keine …

Ex2013-CU10-04

Nach einen Klick auf „weiter“ werden zunächst ein paar Daten kopiert.

Ex2013-CU10-05

Das Setup erkennt die installierte Exchangeinstallation und bietet (logischerweise) das Upgrade an (sonst würde was schief laufen …).

Siehe auch Hinweis am Anfang bzgl. Neuinstallation / Upgrade durch ein CU.

Ex2013-CU10-06

Nun müssen die Lizenzbedingungen bestätigt werden.

Ex2013-CU10-07

Es werden nun ein Prüfungen vorgenommen.

Sind Vorraussetzungen nicht erfüllt, erscheinen Warnungen oder Fehler.

Läuft alles gut (wie in meinem Falle), bietet das Setup die Installation an.

Ex2013-CU10-08

Die Installation läuft nun. Dieser Vorgang dauert nun eine Weile (je nach Umgebung auch mal 30min oder mehr …)

Ex2013-CU10-09

Warten ist nun angesagt

Ist das Setup fertig, erscheint eine abschließende Meldung.

Ex2013-CU10-10

Starte nun den Exchange Server neu und melde dich anschließend im ECP an.

Prüfe nun dort die Version unter SERVER -> rechte Seite

Ex2013-CU10-11

Perfekt, die Version 15.0.1130.7 ist das CU10 (siehe auch MSXFAQ – Exchange Build Nummern).

Viel Spass nun beim testen…

Exchange 2010 – Installation Update Rollup als .msp Datei

Hallo zusammen,

in unserem Testlab hatten wir noch einen Exchange 2010 am laufen.

Nach der Installation des SP3 wurde jedoch kein Update Rollup mehr installiert.

Da es zwischenzeitlich bereits UR 10 gibt, habe ich Installation hierzu dokumentiert.

Bei Exchange 2010 ist es noch einfach, da die Updates kumulativ sind und daher eine direkte Installation mit UR10 möglich ist.

Ablauf:

1.) WICHTIG! Backup des Systems

2.) Download Exchange 2010 Updaterollup 10 (Link: https://www.microsoft.com/de-DE/download/details.aspx?id=47676)

3.) Öffnen einer administrativen CMD-Box

4.) Ausführen des folgenden Befehls

msiexec /update <.msp-Datei>

Exchange 2010 Update Rollup

5.) es startet ein Wizard, welcher nach ein paar Prüfungen (wie Speicherplatz), anschließend geht es „weiter“ bzw. „next“

small-blog_ex2010-ur10-setup01

6.) Lizenzbedingungen lesen und bestätigen

small-blog_ex2010-ur10-setup02

7.) Nun dauert es kurz, bis die .Net assemblies generiert wurden. Mit einem Klick auf „Next“ beginnt die Installation …

small-blog_ex2010-ur10-setup03

8.) Die Installation dauert nun eine Weile – währenddessen ist kein Exchangezugriff möglich (irgendwie logisch) …

small-blog_ex2010-ur10-setup04

9.) Zum Schluss sollte diese Erfolgsmeldung erscheinen

small-blog_ex2010-ur10-setup05

Viel Spass damit …

 

MS Exchange – IMAP Logging aktivieren

Für den Fall, das auf einem MS Exchange 2007 / 2010 IMAP zum Einsatz kommt, kann hierzu sep. das Logging aktiviert werden (standardmäßig inaktiv).

Dabei gibt es 2 Möglichkeiten – per Config Datei oder per Shell.

– per Config Datei:

  • Datei „Microsoft.Exchange.Imap4.exe.config“ befindet sich im Verzeichnis „C:\Program Files\Microsoft\Exchange Server\version\ClientAccess\PopImap“
  • diese im Editor öffnen und ganz nach unten zu „ProtocolLog“ gehen
  • den Eintrag von „false“ auf „true“ ändern  (Bsp.: <add key=“ProtocolLog“ value=“true“ /> )
  • IMAP Dienst neu starten

– per Shell:

  • Exchange Management Shell öffnen
  • nachfolgendes ausführen:
  • Set-ImapSettings -Server "EXCHANGE01" -ProtocolLogEnabled $true
  • IMAP Dienst neu starten

 

Anschließend sollten sich unter C:\Program Files\Microsoft\Exchange Server\version\Logging\Imap4 die Logfiles finden.

Hinweis: Am besten das Logging nur aktiv lassen, wenn es benötigt wird – ansonsten sammelt sich hier einiges zusammen.

 

Viel Spass beim Testen …

SBS 2008 / Exch. 2007 – Fehler 451 4.4.0 Primary target IP address responded …

Hallo zusammen,

heute hatte ich ein Problem mit einem SBS 2008, welcher nach dem Wochenende keine Mails mehr via Smarthost versenden wollte.

Im der Warteschlangenanzeige des Exchange liefen nach und nach die Mails auf mit dem Fehler:

451 4.4.0 Primary target IP address responded with: „421 4.2.1 Unable to connect.“ Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

 

Zuerst die üblichen Verdächtigen geprüft:

  • Internetverbindung vorhanden?
  • Ports nicht geblockt?
  • DNS funktioniert auch fehlerfrei?

 

Alles schien zu passen. Internet war verfügbar, alle (relev.) Ports waren offen und der DNS funktionierte auch (auch mal ein ipconfig /flushdns) brachte keine Besserung.

Nach dem Motto „Reboot-tut-gut“ wurde auch das versucht – auch ohne Erfolg.

Nach ca. 1h dachte ich, komm, gebe nochmals die Daten für den Smarthost ein – auch kein Erfolg.

Erst als ich für den SmartHost andere Anmeldedaten verwendete, funktionierte es plötzlich wieder – seltsam, die „alten“ Anmeldedaten waren nach wie vor gültig und auch korrekt.

Nunja, manchmal muss man nicht alles verstehen …

 

Exchange 2013: SAN Zertifikat mit eigener Zertifizierungsstelle (CA)

Du hast einen Exchange 2013 und brauchst ein SAN Zertifikat?
Dann könnte dir diese Beschreibung weiterhelfen.

[warning]ACHTUNG:
Diese Beschreibung ist nicht für eine produktive Umgebung gedacht – bitte TESTE sorgfältig![/warning]

In meiner Testumgebung sind 3 (virt.) Server vorhanden:
– Domänencontroller (DC) / Windows Server 2012 R2
– Applikationserver (AS) / Windows Server 2012 R2
– Exchange 2013 (EX) / Windows Server 2012 R2

Installation der Zertifikatsstelle (CA)

Als erstes installiere die Zertifizierungsstelle auf einem geeigneten Server (bei mir der AS). Bedenke: für eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein.

Dies ist über die „Rollen und Features“ durchzuführen. Wähle dann hierbei die „Active Directory Zertifikatsdienste“ aus.

SAN CA
SAN CA

Es genügt zunächst der Rollendienst „Zertifizierungsstelle“

SAN CA
SAN CA

Anschließend erfolgt die Installation

SAN CA
SAN CA

Ist die Rolle installiert, erscheint ein Hinweis im Server-Manager hinsichtlich der erforderlichen Konfiguration.

SAN-CA04
SAN-CA04

Die Konfiguration sollte als Administrator erfolgen.

SAN-CA05
SAN-CA05

Da bist jetzt nur die Zertifizierungsstelle installiert wurde, kann auch nichts weiteren konfiguriert werden.

 

SAN-CA06
SAN-CA06

Jetzt kann entschieden werden, welche CA-Art installiert werden soll – ich nehme die AD-integrierte Unternehmenszertifizierungsstelle.

SAN-CA07
SAN-CA07

Da es sich hierbei um die erste (oberste) CA-Stelle handelt, wähle ich die „Stammzertifizierungsstelle“.

SAN-CA08
SAN-CA08

Nun muss noch ein neuer Schlüssel erstellt werden.

SAN-CA09
SAN-CA09

Bzgl. der Verschlüsselungsoptionen belasse ich alles bei den Standardwerten.

SAN-CA10
SAN-CA10

Nun kann der Name vergeben werden – bitte nutze hier eine allgemeinen Namen.

SAN-CA11
SAN-CA11

Lege nun die Gültigkeitsdauer fest. Diese sollte höher sein, als das auszustellende Zertifikat. Daher nehme ich jetzt einfach mal 20 Jahre.

SAN-CA12
SAN-CA12

Wo sollen die Daten abgespeichert werden? Ich nutze die Standardeinstellungen …

SAN-CA13
SAN-CA13

Kurz noch eine Zusammenfassung, anschließend mit „konfigurieren“ das ganze bestätigen.

SAN-CA14
SAN-CA14

Fertig – zumindest mit diesem Teil!

 

SAN-CA15
SAN-CA15

 

Zertifikatsvorlage für SAN Zertifikat

Erstelle eine neue Vorlage über die Zertifikatsvorlagen und gehe mit einem Rechtsklick auf „Verwalten“.

SAN-CA-20
SAN-CA-20

Suche nun die Vorlage „Webserver“ und wähle „Vorlage duplizieren“.

SAN-CA-21
SAN-CA-21

Als Namen für mein 2 Jahres Zertifikat wähle ich „Exchange-Server-Zertifikat“

SAN-CA-22
SAN-CA-22

Damit später auch alle DNS-Namen erfasst werden können, muss der Haken bei “Vom Antragssteller zugelassene symmetrische Algorithmen einbeziehen” auf dem Reiter “Anforderungsverarbeitung” aktiviert werden. Soll das Zertifikat später exportiert werden, der solle außerdem den Haken bei “Exportieren von privaten Schlüssel zulassen” setzen.

SAN-CA-23
SAN-CA-23

Über die „Sicherheit“ sollte die Gruppe „Exchange Server“ Vollzugriff haben.

Über die Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefügt werden, dazu Rechtsklick auf “Zertifikatsvorlagen” –> “Neu” –> “Auszustellende Zertifikatsvorlage”.
Im nächsten Dialog wird die Vorlage “Exchange Server Zertifikate L*” ausgewählt und hinzugefügt.

SAN-CA-24
SAN-CA-24

 

SAN Zertifikat für den Exchangeserver beantragen

Wir wechseln nun auf den Exchangeserver (EX).

Bevor wir starten, aktualisieren wir noch die Gruppenrichtlinien, damit auch das Stammzertifikat installiert wird.

SAN-CA-30
SAN-CA-30

Öffne nun über die Verwaltung die „Zertifikate“.
Unter dem Punkt “Eigene Zertifikate” –> “Zertifikate”, kann über den Menüpunkt “Alle Aufgaben” –> “Neues Zertifikat anfordern” das neue Zertifikat für Exchange beantragt werden.

SAN-CA-31
SAN-CA-31

Siehst du nun die Active Directory-Registrierungsrichtlinie – dann passt es 😉

SAN-CA-32
SAN-CA-32

Klicke nun auf “Weiter”, es wird jetzt die eben erstellte Vorlage angezeigt. Setzte den Haken und klicke auf “Es werden zusätzliche Informationen…”

SAN-CA-33
SAN-CA-33

Im Abschnitt Antragsteller müssen die grundlegenden Informationen angegeben werden:

  • Organisation (Firmenname)
  • Land
  • Organisationeinheit (EDV…)
  • Allgemeiner Name (aus Kombatibilitätsgründen am der externe Zugriffsname, also owa.<domäne>.de)

 

Achtung:

Im Abschnitt “Alternativer Name” können/müssen nun DNS-Namen hinzugefügt werden unter denen auf Exchange zugegriffen wird, diese Einstellungen sind abhängig von der Exchange Konfiguration. Die DNS Namen müssen je nach Umgebung die internen Zugriffsnamen „(owa.frankysweb.local) und die externen Namen, also die Namen unter den Exchange über das Internet erreichbar ist (owa.frankysweb.de) enthalten. In dem Screenshot weiter unten sieht man das ich die jeweiligen Exchange Dienste, alle unter separaten DNS-Namen veröffentliche (EAS, OWA, EWS…) Man kann die Dienste auch unter einem Namen zusammenfassen, wie zum Beispiel mail.frankysweb.de/local. Wer es sich ganz einfach machen will, kann an dieser Stelle auch *.frankysweb.local und *.frankysweb.de eintragen. Dabei handelt es sich um ein Wildcard Zertifikat welches alle Hosts die auf frankysweb.local oder frankysweb.de hören akzeptiert. Man sollte sich also VORHER Gedanken machen unter welchen Namen die Exchange Dienste veröffentlicht werden. Ebenfalls sollte der Eintrag autodiscover.frankysweb.de/local nicht fehlen.

SAN-CA-34
SAN-CA-34

Vergebe nun noch unter „Allgemein“ einen Namen

SAN-CA-35
SAN-CA-35

Nun kann das Zertifikat beantragt werden.

SAN-CA-36
SAN-CA-36

Das Zertifikat sieht nun wie folgt aus – mit allen angegebenen Namen.

SAN-CA-37
SAN-CA-37

 

Neues Zertifikat im Exchange hinterlegen

Damit auch die UM Dienste von Exchange 2013 das Zertifikat akzeptieren,
muss vor dem Zuweisen der Dienste der Startmodus geändert werden.
Der Startmodus kann über die Exchange Management Shell geändert werden

  Get-UMservice | Set-UMService -UMStartupMode dual
  Set-UMCallRouterSettings -UMStartupMode dual

In der Exchange Verwaltungskonsole sollten wir jetzt bereits ein gültiges neues Zertifikat angezeigt bekommen,
diesem Zertifikat müssen noch die Exchange Dienste zugeordnet werden. Das Zuordennen der Dienste, kann auch über die Konsole erledigt werden.

SAN-CA-40
SAN-CA-40

Nun noch alle Exchange Dienste zuweisen.

SAN-CA-41
SAN-CA-41

Nun erscheint eine Warnung, das das Zertifikat getauscht wird -> mit JA bestätigen.

Zum Schluss noch die Dienste “

– Microsoft Exchange Unified Messaging   und

– Microsoft Exchange Unified Messaging Call Router

neustarten, damit auch dort die Änderungen wirksam werden.

 

Soll das Zertifikat manuell z.B. auf einem Smartphone installiert werden, so Stammzertifizierungsstellenzertifikat installiert werden.

Dies findest du im Verzeichnis c:\Windows\System32\CertSrv\CertEnroll.

 

Viel Spass beim Testen …

Active Directroy – Kennwortrichtlinie – Unterschied zwischen „konfigurieren“ und „nicht definiert“

Es gibt wahrscheinlich tausende Einträge über Google bzgl. dieses Thema’s, aber ich hatte heute wieder einen Fall – daher dieser Niederschrieb 😉

In einem Active Directroy (AD) von Windows lassen sich ganz bequem Kennwortrichtlinien erfassen und einstellen.

Allerdings muss man hierbei zwingend unterscheiden zwischen „konfigurieren“ und „nicht definieren“.

In meinem Beispiel dreht es sich um einen Windows Server 2012 R2 als DC und einen Exchange 2013 (auf einem sep. Win2012R2).

Als die 2012er Domäne installiert wurde, hatte die Default-Domain-Policy die Grundeinstellung, das die AD-Passwörter nach 42 Tagen auslaufen und geändert werden müssen – das war mir zu kurz.

Leider habe ich dann darauf hin die beiden betroffenen Punkte auf „nicht definiert“ geändert und dachte, das dies korrekt sei – leider falsch.

Die Richtlinie sah nun wie folgt aus:

falsche Kennwortrichtlinie

Die hatte leider zur Folge, das die Standardeinstellungen des AD’s von 42 Tagen griffen, da die Richtlinien ja nicht definiert wurden ;-(

Nach ca. 35 Tagen wurde ich wieder erneut aufgefordert, mein Kennwort erneut zu ändern – hä?

Nunja, nach genauerer Überlegung kam mir dann, das ich die Richtlinie falsch konfiguriert hatte.

Nach meiner Änderung sah die Richtlinie wie folgt aus:

richtige Kennwortrichtlinie

Nun war die Einstellung korrekt, d.h. das Kennwort läuft nun nicht mehr ab.

 

Vielleicht hilft es ja dem ein oder anderen auch mal, wenn er über so etwas stolpert …

Viel Spass beim Testen …

 

Exchange 2013 SP1 – Installation auf Windows Server 2012 R2

Vor kurzem hatte ich die nette Aufgabe, einen MS Exchange Server 2013 auf einem neuen WIndows Server 2012 R2 zu installieren.

Wissen sollte man dazu, das diese Kombination erst offiziell mit Erscheinen des Service Pack 1 für Exchange 2013 unterstützt wird.

Nachfolgend habe ich einfach mal die Installation dazu beschrieben.

Vorbereitung:

Zunächst sollten nachfolgende 4 Komponenten heruntergeladen werden:

Exchange Server 2013 – Service Pack 1 (Hinweis – 1,5GB)
Microsoft Unified Communications Managed API 4.0
Microsoft Office 2010 Filter Pack (64 Bit)
Microsoft Office 2010 Filter Pack SP1 (64 Bit)

Während die Downloads laufen, können auf dem zukünftigen Exchangeserver schon mal die erforderlichen Rollen/Features installiert werden. Das geht einfach über den Servermanager – oder über die Powershell mit …

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, Server-Media-Foundation, RSAT-ADDS

Nach dem erforderlichen Neustart des Servers können nun die 3 Komponenten (FilterPack, FilterPack SP + UCMA) installiert werden.

Installation:

Nun folgt die eigentliche Installation des Exchangeservers. Zunächst sollten dazu die Setupdateien extrahiert werden. Einfach einen Doppelklick auf den 1,5 GB großen Download machen und einen Ordner (z.B. D:\_ex2013\entpackt) angeben.

Anschließend kann die „setup.exe“ ausgeführt werden (ich habe dies sicherheitshalber als „Administrator“ ausgeführt).

exchange 2013
exchange 2013

Man wird nun gefragt, ob nach Updates gesucht werden soll, welche beim Setup bereits berücksichtigt werden – ich würde dies empfehlen und stimme dem daher zu …

exchange 2013
exchange 2013

Momentan gibt es zwar noch keine, aber in Zukunft wird sich das wohl ändern …

 

exchange 2013
exchange 2013

Nun kann es losgehen …

 

exchange 2013
exchange 2013

Lizenzvertrag zustimmen…

 

exchange 2013
exchange 2013

Hier muss jeder selbst entscheiden, ob Daten an Microsoft (und/oder NSA 😉 ) gesendet werden sollen.

exchange 2013
exchange 2013

Da ich nur einen Exchange Server plane (und betreibe), kommen alle Serverrollen auf die Kiste …

exchange 2013
exchange 2013

Pfad für die Exchangeserver Installation auswählen.

exchange 2013
exchange 2013

Geben Sie nun den Namen der neuen Exchangeserver Organisation an…

exchange 2013
exchange 2013

Die neue Prüfung auf Schadsoftware soll aktiv bleiben. Hier die Standardeinstellung Nein übernehmen.

exchange 2013
exchange 2013

Nun prüft das Setup die Vorrausetzungen (dauert ggf. ein paar Minuten), welche im Normalfall nur Warnungen aufzeigt, um dann die Installation zu starten. Mit einem Klick auf installieren kann diese gestartet werden.

exchange 2013
exchange 2013

Nun arbeitet das Setup und installiert den Exchangeserver – dauerte bei mir ca. 30 Minuten.

 

exchange 2013
exchange 2013

Nun ist der Exchangeserver installiert.

Bevor nun weitergearbeitet wird, sollte nun erstmal der Server rebootet werden.

Nach dem Neustart kann über die neue Exchangeverwaltungskonsole (https://localhost/ecp/)  die Konfiguration gestartet werden.

Viel Spass damit nun …