In den letzten Tagen war ich mal mehr in Office 365 unterwegs 😉
Für eine kleine Umgebung war eine Migration vorhandener Postfächer eines lokalen Exchange nach Office 365 notwendig. Allerdings sollte die lokale Umgebung aufgelöst und die vorhandenen User in einer neu angelegtem Domäne innerhalb von Office 365 angelegt und portiert werden. Da es sich um eine kleine Organisation handelt, die primär Mail und Fileserver Dienste einsetzt war die Migration über einen Export der lokalen PST-Dateien und Import über Office 365 die sinnvollste Alternative.
Bei einem Kunden waren zwei Exchange 2016 Server vorhanden, von denen der erste nach erfolgter Migration gelöscht werden sollte.
Wie immer ist vor den Tätigkeiten ein Backup durchzuführen!
Da es sich um den 1. Exchange 2016 Server handelte, hielt der einige System-Postfächer bereit, die zunächst auf den 2. Server umziehen mussten. Dies ist sicherlich soweit bekannt. Allerdings wurde mit Exchange 2016 eine AuditLog Mailbox eingeführt, die nur auf den Exchange 2016 Servern angezeigt wird. Wurde diese zuvor nicht verschoben, erhalten wir bei einer sauberen Deinstallation über die Systemsteuerung folgende Fehlermeldung:
Mit folgenden Befehlen lässt sich prüfen, welche Postfächer noch vorhanden sind:
Get-Mailbox -Database “E2016 DB Name”
Get-Mailbox -Database “E2016 DB Name” -Arbitration
Get-Mailbox -Database “E2016 DB Name” -Archive
Get-Mailbox -Database “E2016 DB Name” -PublicFolder
Sollten noch Postfächer angezeigt werden, kann der Befehl um “New-MoveRequest -TargetDatabase “E2016 DB Name”” ergänzt werden um die vorhandenen Systempostfächer auf die bestehende Datenbank zu verschieben.
Befehl im ganzen:
Get-Mailbox -Database “E2016 DB Name” | New-MoveRequest -TargetDatabase “E2016 DB Name”
Der Status der Verschiebeanforderung lässt sich mit “Get-MoveRequest” anzeigen. Sobald dieser abgeschlossen ist, lässt sich die Deinstallation fortsetzen und der Readiness Check erneut ausführen.
Lässt sich die Deinstallation noch immer nicht fortsetzen, ist die erwähnte eine SystemMailBox vorhanden, die mit den genannten Befehlen derzeit nicht angezeigt wird. Dieser Fehler wird in einer der zukünftigen CUs behoben.
Mit folgendem Befehl wird euch diese SystemMailBox angezeigt:
Get-Mailbox -Database “E2016 DB Name” -AuditLog
Auch diese sollte für die Deinstallation verschoben werden, dies lässt sich mit bereits vorhanden Befehl vornehmen. Ob der Vorgang erfolgreich verläuft lässt sich mit dem Befehl “Get-MoveRequest” prüfen. Sobald der Status auf “Completed” steht ist der Vorgang abgeschlossen. Nun noch die Powershell schließen und schon kann die Deinstallation erfolgen.
Nun wird die Deinstallation sauber durchgeführt und die wichtigen Postfächer wurden auf den verbliebenden Exchange Server verschoben.
Am 29.01.2015 veröffentlichte Microsoft die “neue” Outklook Vorschau für Android (ab V 4.0) und IOS. Nach der Veröffentlichung von Windows 10 und den deutlichen erweiterten Funktionen von OneDrive der nächste logische Schritt.
Um die neuen Funktionen zu testen, lud ich mir die Version direkt runter und installierte diese auf meinem Android Device.
Accompli neu verpackt
Nachdem Aufruf der App erscheint am unteren Rand ein Hinweis “Datenschutzbestimmungen”. Hinter dem Link-Aufruf steckt die erste Überraschung. Die App stammt ursprünglich von “accompli”. Accompli war ein Startup welches vor ca. 2 Monaten von Microsoft übernommen wurde. Die App ist auch demnach eher eine Weiterentwicklung, die nun unter neuem Namen veröffentlicht wurde.
Aus den Datenschutzbestimmungen geht hervor, dass Mail-Logindaten auf den Servern von Accompli gespeichert werden. “Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain. ”
Außerdem werden ein- und ausgehende Mails über die Server von Accompli weitergeleitet. Auszug aus den Accompli Datenschutzbestimmungen: “Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device.” . Dies bezieht sich auf alle Konten, die mit dieser App abgerufen werden, dies schließt Exchange Business Konten mit ein.
Mittlerweile handhaben das leider viele Mail App Anbieter so. Allerdings ist es bedauerlich, dass Microsoft dies nicht klarer kommuniziert. Dies hätte bereits deutlich auf der App-Seite als Hinweis stehen sollen. Im Artikel “A deeper look at Outlook for iOS and Android” wird dieses erst auf Nachfrage kommuniziert. Zumindest hätte es nach m.E. hier klar und ersichtlich in den FAQ-Bereich am Ende des Artikels gehört.
Maßnahmen und Ablage der Daten
Zumindest werden User-Anfragen im Blog zu dem Thema schnell beantwortet. Allerdings kommt hier schon die nächste Überraschung, da die Daten derzeit nicht den Microsoft Richtlinien unterliegen.
Ein User mit dem Namen “JasonG” fragt konkret nach und nennt einige Sicherheitsbedenken, gerade bzgl. der Sicherheitsrichtlinien von Unternehmen, für die Behandlung von Mails. Die Antwort von “AllenFilush_MSFT”:
“Thanks JasonG for the feedback…glad you like the app at its core. We understand that security & mobile device management integration is a must-have capability at many businesses today, so we are working quickly to get it added to the app. Hope to have these issues resolved so you can start enjoying the app soon. In the meantime, If the current architecture of the Outlook app doesn’t meet your corporate security policies, you can use ActiveSync allow/block/quarantine policies rules to block the app. The Outlook app is identified in Exchange ActiveSync management screens with the Device Family ‘outlook-iOS-Android/1.0′. We also encourage you to submit feature requests and feedback in-app at Settings > Help > Contact Support.”
Daraufhin hakt der User “quirkconcepts” konkret nach (Auszug):
Can we get a clearer answer on this? I have a feeling this compromises HIPAA compliance for health care providers who have set up a Business Associate Agreement. Have you extended compliance to the Accompli infrastructure? Are you storing my credentials for Exchange? These were the main reasons I hadn’t used Accompli prior to the acquisition. It simply wasn’t possible to get compliant.
Die Antwort von “AllenFilush_MSFT” (Auszug):
@quirkconcepts: the Outlook infrastructure is not currently covered under the Office 365 Trust Center. We will be updating Outlook later this year to enable it to be covered.
Leider bedeutet dies, dass die übertragenen Daten nicht mal auf Servern von Microsoft gespeichert werden und demnach derzeit nicht deren strengen Sicherheitsregeln für Datenschutz- und Weitergabe unterliegen. Inwieweit Microsoft derzeit die Aquisition von Accompli abgeschlossen und Einblick in die Infrastruktur hat, lässt sich nur schwer abschätzen.
Fazit:
Die Push-Notification wird über die Server von Accompli generiert und aufs Smartphone gesendet, daher wird auch sämtlicher ein- und ausgehende Mailverkehr von hier getrackt. Dazu gibt es sicherlich elegantere Lösungen, die Microsoft hoffentlich in eine der nächsten Versionen implementiert und klar kommuniziert.
Für Business-Kunden ist die App derzeit vermutlich nicht einsetzbar, da sämtliche Infrastruktur-Daten (Servername, Passwort) inkl. aller Mails, Kontakte, etc. an US-Server übertragen werden, die derzeit nicht den Sicherheitsbestimmungen von Microsoft unterliegen.
Ich finde die App gut gelungen, allerdings gibt es hier und da noch ein paar Bugs. Der fehlende IMAP- Support sollte bald hinzukommen.
Zwar weist die App in den Datenschutzrichtlinien daraufhin, dass sämtliche Daten in die Cloud übertragen werden, doch hätte ich mir eine deutlicher Kommunikation von Microsoft in diesem Bezug gewünscht. Zum einen weil die Server, wie Microsoft angibt, derzeit nicht den eigenen strengen Richtlinien unterliegen. Und weil dies bei der Namensverwandschaft zum Desktoppendant nicht zu erwarten war.
Deinstallation:
Wer die App bereits installiert hat und evtl. unwissentlich seine Zugangsdaten übertragen hat, für den reicht eine Deinstallation nicht aus.
Zur Vermeidung, das weitere Daten abgezogen werden, könnt ihr die App im “Exchange Admin Center” (Exchange 2013) in die Quaräne schieben. Die App gibt sich in der Quarantäne-Verwaltung als “Outlook for IOS and Android” aus. Wie ihr die Quarantäne aktiviert und entsprechend konfiguriert ist in diesem Blog-Eintrag sehr gut erklärt.
In der App unter Einstellungen gibt es unter dem angelegten Konto am Ende den Menüpunkt “Konto vom Handy und Remote Gerät entfernen“. Laut Microsoft soll dies die Daten umgehend vom Gerät und vom Cloud-Server entfernen.
Am 04.12.2011 hat Microsoft das Service Pack 2 zu Exchange 2010 veröffentlicht. Da ich ein wenig Zeit gefunden habe, meine Umgebung ein wenig zu aktualisieren, habe ich das zum Anlass genommen, dass SP2 zu installieren.
Zu den Interessantesten Neuerungen gehöret z.B. die Neuauflage der Mini-Version von Outlook Web App. Diese ist speziell für den Webzugriff über Smartphones gedacht. Ansonsten finden sich viele Verbesserungen im Detail und eine verbesserte Cloud-Kompatiblität. Alle Neuerungen sind unter folgenden Link einsehbar: http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=4e5554f9-a5ce-40d6-8353-94d5a34b635e
Die Installation selbst, ist ziemlich unspektakulär, nachdem alle Parameter konfiguriert wurden, läuft die Setuproutine durch und aktualisiert alle erforderlichen Rollen.
Nachdem die Rollen aktualisiert wurden, ist kein Neustart erforderlich und der Exchange steht weiterhin den Usern zur Verfügung.
Um z.B. die neue Funktionalität der Outlook Mini Anwendung in Augenschein zu nehmen, genügt der Aufruf von “https://mail.domain,de/owa/oma” im Internet Explorer. Nach erfolgreicher Authentifizierung sieht man bereits die sehr minimalistische Oberfläche. Anbei mal zwei Bilder, einmal nach Login und daneben die Ansicht auf den Posteingang.
Die Migration des Exchange 2007 nach Exchange 2010 ist abgeschlossen. Alle vorhandenen, zusätzlichen, Dienste auf dem 2007er wurden auf andere Server verschoben.
Es gab keine Nennenswerte Probleme, ein paar Kleinigkeiten die im Changelog zu finden sind. Der Server wurde nun erstmal Probeweise abgeschaltet, wird aber noch einige Zeit, wegen Seminaren, bestehen bleiben.
Nachdem die Grundkonfiguration abgeschlossen ist, wurde der erste Anmeldeversuch über OWA an den Server versucht, leider ohne Erfolg. Folgende Fehlermeldung erscheint:
Nach einiger Recherche habe ich den Tipp gefunden, die AD-Site-Topolgy im Hinblick auf doppelte oder sich überschneidende IP-Subnetze überprüfen und ggf. bereinigen. Was die AD-Site-Topolgy angeht, ist der Exchange 2010 hier sehr empfindlich.
Um den Fehler zu bereinigen muss die Gruppe Exchange 2010 “Exchange Trusted Subsystem” Lokale Administratorenrechte auf allen Exchange Servern innerhalb der Organisation haben. Ob dieser Fehler mit einer anderen Lösung zu bereinigen ist, habe ich derzeit noch nicht in Erfahrung bringen können.
Zunächst wurde dem Hubtransport-Server unter der Verwaltungskonsole erlaubt, anonyme Verbindungen anzunehmen um sicherzustellen, dass Mails von unbekannten Absendern akzeptiert werden. Nächster Schritt war die Aufnahme des E2010 in den vorhanden Sendeconnector von E2007. Danach wurde ein Postfach auf den neuen Exchange Server verschoben. Weitere Konfigurationsschritte folgen.
Zertifikat einschalten Enable-ExchangeCertificate
-Thumbprint <fingerabdruck des Zertifikats>
-Services SMTP,IMAP,POP,UM,IIS
Dienste mit dem Zertifikat verknüpfen und aktivieren Enable-ExchangeCertificate
-Thumbprint <fingerabdruck des Zertifikats>
-Services SMTP,IMAP,POP,UM,IIS
Somit die Zeritifkatsanforderung und Aktivierung abgeschlossen, dass Zertifikat ist ab sofort auf den angewendeten Services gültig
Nachdem der neue Mail-Server aufgesetzt wurde, sind heute einige Vorbereitungen zur Migration getroffen worden.
1. Die OWA-Url von Exchange 2007 wurde auf oldmail.domain.de geändert und ein neues Zertifikat dafür ausgestellt mit dem Befehl New-ExchangeCertificate -GenerateRequest -SubjectName “c=DE, o=domain, cn=oldmail.domain.de” -DomainName oldmail.domain, owa, mailserver, mailserver.domain.de, autodiscover.domain.de, autodiscover.domain.de, -PrivateKeyExportable $true -Path c:newe2007cert.req generiert.
2. Nachdem die Anforderung von der Zertifizierungsstelle genehmigt wurde, ist das Zertifikat mit import-exchangecertificate eingefügt und auf die Standarddienste zugelassen.
Somit ist gewährleistet, dass User deren Postfach noch auf dem alten Server laufen, dennoch auf Ihre Mails über OWA zugreifen können. Der nächste Schritt ist die Installaton von Exchange 2010. Aufgrund der kleinen Umgebung und der geringen Auslastung habe ich mich dazu entschieden, alle Rollen auf einem Server zu installieren.
Hier nun einige Screenshots von der Installation:
Nachdem die Installationsschritte durchgeführt wurden, werden die Vorrausetzungen geprüft. Dabei traten einige Fehler auf, siehe folgendes Bild.
Hauptsächlicher Kritikpunkt war das Fehlen des Microsoft Filter Pack, welches anschließend nach installiert wurde. Außerdem musste der Startmodus von “NetTcpPortSharing” auf Automatisch gesetzt werden.
Nachdem diese Konfigurationseinstellung vorgenommen wurde, sah die erneute Prüfung nun ok aus und alle Konfigruationseinstellungen wurden übernommen und installiert. Wenn das Setup erfolgreich abgeschlossen wird, schau das ganze folgedermaßen auch
1. Start der Exchange Verwaltungskonsole
Dies war der Abschluss der Installation des Exchange 2010. Nun müssen die Konfigurationseinstellungen vorgenommen werden, unter anderem muss außerdem der Forefront Security for Exchange installiert, die Postfächer verschoben und die Zertifikate geprüft werden.