Tuesday, September 25, 2012

Hoe Exchange 2013 antimalware filtering uitschakelen?

Onlangs schreef ik over de ingebouwde antimalware filtering van Exchange 2013. Mijn conclusie is dat het ontbreken van essentiële functionaliteit er voor zorgt dat de meeste organisaties ervoor zullen kiezen om een 3rd party oplossing voor virusscanning in te gaan zetten. Maar als de ingebouwde functionaliteit standaard ingeschakeld staat, hoe zetten we die dan uit?

Optie 1: In de Setup.exe wizard

Wanneer je Exchange 2013 op een server installeert met de grafische wizard dan kun je in onderstaand scherm voor Yes kiezen om malware scanning niet in te schakelen op deze server:

image

Optie 2: Als commandline optie bij Setup.exe

Als je, zoals ik, de installatie start vanaf de commandline dan gebruik je de optie /DisableAMFiltering om het zelfde doel te bereiken:

image

Optie 3: Na installatie

Mocht je pas na de installatie besluiten om de ingebouwde malware filtering uit te willen schakelen, dan kan dat door een script uit te voeren die je kunt vinden in de \Scripts folder van je Exchange 2013 installatie.

cd $exscripts
.\Disable-Antimalwarescanning.ps1

In de praktijk zal ik zelf standaard de tweede methode kiezen. Voor specialisten is de commandline installatie sowieso de meest praktische optie, je kunt een groot aantal voorkeuren meegeven en deze eenvoudig hergebruiken voor volgende installaties. Maar zoals gezegd, ook na de installatie kun je deze functionaliteit makkelijk uitschakelen.

Kan ik Exchange 2013 installeren op Server Core?

De vraag in de titel is duidelijk, kan of mag ik Exchange 2013 installeren op een server zonder GUI? Dat wordt net als bij vorige versies van Exchange niet ondersteund en is ook niet mogelijk. En als je nu al je servers al hebt klaargezet met Windows Server 2012 in Core mode? Kijk dan hier: Eenvoudig wisselen tussen Server 2012 GUI en Core.

Eenvoudig wisselen tussen Server 2012 GUI en Core

Bij de installatie van Windows Server 2012 kun je kiezen of je de volledige GUI wenst of alleen een Server Core installatie:

[image%255B8%255D.png]

Maar wist je dat je de GUI van Server 2012 ook heel eenvoudig kunt toevoegen of zelfs weer verwijderen? Het verschil wordt gemaakt door de volgende twee Windows Features:

  • Server-Gui-Mgmt-Infra
  • Server-Gui-Shell

Toevallig zijn dit de twee enige feature met de letters ‘gui’ in de naam, dus in de praktijk kunnen we overstappen op Core met:

Get-WindowsFeature *gui* | Remove-WindowsFeature

Net zo makkelijk installeren de we GUI weer met:

Get-WindowsFeature *gui* | Install-WindowsFeature

Wel is een reboot (Restart-Computer) nodig om de installatie of verwijdering af te ronden.

Exchange 2013 installatie: “The following error was generated when "$error.Clear()…”

Tijdens de installatie van de eerste Exchange 2013 server in je organisatie kun je tegen de volgende foutmelding aanlopen:

image

The following error was generated when "$error.Clear();
install-ExchangeSchema -LdapFileName ($roleInstallPath + "Setup\Data\"+$RoleSchemaPrefix + "schema0.ldf")" was run: "The system cannot find the file specified".

Dit probleem treed op wanneer Exchange setup het schema probeert up te daten. Onder de motorkap wordt hiervoor LDIFDE.exe gebruikt die in dit geval nog niet op het systeem geïnstalleerd was. Dit lossen we op door de AD management tools op de server te installeren:

Install-WindowsFeature RSAT-ADDS

Overigens is bovenstaande fout opgetreden op een machine met Windows Server 2012. Bij Windows Server 2008 R2 ziet hij er uit als volgt:

The Active Directory Schema is not up-to-date and Ldifde.exe is not installed on this computer…

De oplossing is bijna het zelfde, al moeten we op een Server 2008 R2 machine de PowerShell module voor ServerManager eerst even laden:

Import-Module ServerManager
Add-WindowsFeature RSAT-ADDS

Dit staat overigens ook beschreven in de Exchange 2013 Prerequisits: Active Directory Preparation.

Monday, September 17, 2012

Windows Update werkt niet op TMG server: 80072EE2

Wanneer je Forefront TMG op een server geïnstalleerd hebt, kan het zijn dat Windows Update niet meer werkt. Foutmelding 80072EE2 wordt dan gemeld:

image

De oorzaak is dat Windows Update nu de zojuist geïnstalleerde proxyserver moet gaan gebruiken voor internettoegang. Windows Update gebruikt WinHTTP voor internettoegang en negeert dus eventuele instellingen in Internet Explorer. We kunnen dit oplossen door de proxy in te stellen in WinHTTP, als volgt.

Open een elevated CMD prompt (Run as Administrator) en geef het volgende commando:

netsh winhttp set proxy localhost:8080

Wanneer je nu weer Windows Update uitvoert zal deze gewoon werken.

Friday, September 14, 2012

Server 2012: FSMO rollen verplaatsen met PowerShell

Het verplaatsen van FSMO rollen is al jaren een fluitje van een cent, maar het rondklikken in drie verschillende tools is niet meer van deze tijd. Daarom laat ik zien hoe je dat in Windows Server 2012 met PowerShell kunt doen.

In Server 2012 hoeven we de Active Directory PowerShell module niet meer expliciet te laden, alle modules worden standaard geladen bij het openen van de PowerShell console. Het cmdlet wat we gebruiken is Move-ADDirectoryServerOperationMasterRole. De belangrijkste parameters zijn:

  • Identity
  • OperationMasterRole

De parameter Identity is voor de server waar de we rol of rollen naartoe willen verhuizen. Met de parameter OperationMasterRole kiezen we welke rollen we willen verplaatsen. Dit kan door de naam op te geven of een nummer, meerdere keuzes gescheiden door een komma. De opties zijn:

  • PDCEmulator of 0
  • IDMaster of 1
  • InfrastructureMaster of 2
  • SchemaMaster of 3
  • DomainNamingMaster of 4

Een voorbeeld: Move-ADDirectoryServerOperationMasterRole -Identity DC01 -OperationMasterRole 0,1,2,3,4

image

Met bovenstaande PowerShell one-liner hebben we alle vijf FSMO rollen verplaatst naar een andere domain controller. Makkelijk toch?

Thursday, September 13, 2012

Exchange 2010/2013: Verwijder alle mailadressen met een bepaald domein

Dit is een vraag die vaak voorkomt: Hoe verwijder ik bij alle mailboxen de mailadressen in één bepaald SMTP domein? Bijvoorbeeld nadat migratiesoftware voor iedere gebruiker een @target.local of @source.local adres heeft toegevoegd en de migratie al lang klaar is. Of om mailboxen voor te bereiden voor het verplaatsen naar Office 365 in een ‘hybrid’ opstelling. Of omdat een organisatie al langer geleden op een nieuwe domeinnaam is overgestapt.

Wanneer je hier informatie zoekt dan merk je onder andere dat er verschillende manier zijn om dit aan te pakken. Wat het complex maakt is dat alle mailadressen staan opgeslagen in de Exchange-eigenschap EmailAddresses of het AD attribuut proxyAddresses. Dit is een zogenaamde mutli-valued string. Dat betekent dus dat we in PowerShell eerst alle waardes die in deze string staan op een rijtje moeten zetten, alvorens we er één of meerdere kunnen verwijderen.

Dit kunnen we doen met het volgende script:

$mailbox = Get-Mailbox –ResultSize Unlimited
$mailbox | foreach `
    {
    for ($i=$_.EmailAddresses.Count;$i -ge 0; $i--)
        {
        $address = $_.EmailAddresses[$i]
        if ($address.SmtpAddress -like "*@source.local" )
            {
            Write-host("Dit adres wordt verwijderd: " + $address.AddressString.ToString() )
            $_.EmailAddresses.RemoveAt($i)
            }
        }
    $_ | set-mailbox -EmailAddresses $_.EmailAddresses
    }

In de eerste regel worden alle mailboxen in een variabele gestopt. In de daarop volgende lus wordt voor ieder mailadres van de mailbox gekeken of het voldoen aan het filter, in dit geval *@source.local. Zo ja, dan wordt deze verwijderd uit het lijstje met mailadressen. Aan het eind van het script wordt het aangepaste lijstje weer ingesteld op de mailbox.

Wanneer je dit script wilt gebruiken is het raadzaam om eerst op één mailbox te testen of het doet wat je verwacht. Bijvoorbeeld door de eerste regel te veranderen in:

$mailbox = Get-Mailbox TestGebruiker1

Een andere mogelijkheid om bijvoorbeeld je syntax te controleren is het script uitvoeren met de –whatif parameter in de regel waarbij de aanpassingen definitief worden gemaakt:

$_ | set-mailbox -EmailAddresses $_.EmailAddresses -Whatif

Ik denk dat het geen toelichting behoeft dat je in bovenstaand script source.local even moet aanpassen aan het domein waarvan jij alle adressen wilt verwijderen. En uiteraard is deze methode ook bruikbaar voor distributielijsten. Verder werkt dis script zowel met Exchange 2010 als met Exchange 2013.

Originele versie door Lasse Petterson en aanpassingen van anderen.

Spam en malware bij Exchange 2013. Is er leven na FPE?

Update 19-9-2012: Hoofdstuk Deadlines toegevoegd.

Microsoft heeft onlangs aangekondigd om te stoppen met de ontwikkeling van Forefront Protection for Exchange, de bekende multi-engine malwarescanner die voorheen door het leven ging onder de naam Antigen. Als alternatief noemt Microsoft twee oplossingen: enerzijds haar hosted oplossing FOPE (voor de gelegenheid ‘rebranded’ tot Exchange Online Protection) en anderzijds naar de ingebouwde malware scanning van Exchange 2013. Hoogste tijd om op die laatste eens in te zoomen.

Wat is nieuw?

Als we naar Exchange 2013 kijken dan moeten we onderscheid maken tussen antimalware en antispam. Onder malware wordt verstaan virussen en spyware, voor de term antimalware mag je dus ook gerust antivirus lezen. Maar wat krijg je nu eigenlijk precies, en is het een geschikt alternatief voor FPE of 3rd party oplossingen? Laten we eerst eens kijken naar de antispam functionaliteit van Exchange 2013.

Antispam

Als we naar de antispam mogelijkheden van Exchange 2013 kijken dan zijn die grotendeels vergelijkbaar met wat we al kennen uit eerdere versies van Exchange. De verschillende taken worden uitgevoerd door zogenaamde agents die in de transportpijplijn inhaken. Het grootste verschil heeft te maken met de nieuwe architectuur van Exchange 2013, laten we eerst eens even naar de Exchange rollen kijken. Bij vorige versies van Exchange vond spamfiltering plaats op de Edge Transport of de Hub Transport rol. In Exchange 2013 bestaat de Edge Transport rol niet meer en is de functionaliteit van de oude Hub Transport rol verdeeld over de enige twee overgebleven rollen: Client Access en Mailbox.

Op de Client Access server wordt deze functionaliteit verzorgd door de Edge Transport service, op de Mailbox server is dat de Hub Transport service. Als we deze agents installeren, standaard staan ze uitgeschakeld namelijk, dan is dit hoe ze verdeeld worden:

image

Net als bij vorige versies installeren de we agents met een script wat standaard aanwezig is in de \scripts directory. Op een Client Access server doen we dat als volgt:

cd $exscripts
./Install-FrontEndAntiSpamAgents.ps1
Restart-Service MSExchangeFrontendTransport

De volgende stap is dat we de interne SMTP servers op moeten geven. Denk bijvoorbeeld aan een SMTP gateway die je in de DMZ hebt staan, het IP-adres van deze server wordt dan als ‘veilig’ beschouwd bij het beoordelen van de herkomst van een mailbericht. Hier is nieuw dat de Mailbox server ook geldt als een interne SMTP server die mail aflevert bij de Client Access server. Minimaal voegen we hier dus één interne SMTP server aan toe:

Set-TransportConfig –InternalSMTPServers 10.1.2.3

Op een server met de Mailbox rol installeren we de antispam agents als volgt:

cd $exscripts
./Install-BackEndAntiSpamAgents.ps1
Restart-Service MSExchangeTransport

Op een server waar zowel de Client Access als Mailbox rol geïnstalleerd is kunnen we de agents allemaal in één keer installeren:

cd $exscripts
./Install-AntiSpamAgents.ps1

Ook in dat geval moeten we nog de IP-adressen van interne SMTP servers opgeven. Dit is dan weer minimaal het IP-adres van de server met de Mailbox rol waarop je deze agents aan het installeren bent:

Set-TransportConfig –InternalSMTPServers 10.1.2.3

Het beheren en verder configureren van de antispam-agents is verder ongewijzigd ten opzichte van hoe dit in Exchange 2010 werkt.

Antimalware

Waar we zien dat antispam slechts op details afwijkt van wat er al kennen, is het ingebouwde scannen op virussen en spyware nieuw voor Exchange. En waar de antispam agents standaard niet geïnstalleerd zijn op een Exchange 2013 server, is antimalware filtering standaard ingeschakeld.

Als we eens onder de motorkap kijken dan zien we bij de gebruikte executables namen langs komen als Forefront Information Protection Filtering Server en Forefront Filtering Server. Op zich zou je denken dat we het hier over nieuwe Forefront producten hebben die misschien nog aangekondigd moeten worden, maar aangezien Microsoft heeft aangegeven definitief te stoppen met de ontwikkeling van FPE zal het hier niet om een opvolger gaan.

Update: De gebruikte engine is de Microsoft AV engine, dezelfde die we ook al kennen uit FPE en Microsoft Security Essentials.

image

Als we kijken naar de functionaliteit die de nieuwe malware filtering biedt dan zijn we snel klaar. We kunnen mailware filtering uitschakelen of weer aanzetten, deze tijdelijk bypassen of de opties voor notificaties aanpassen. Het uitschakelen en weer inschakelen doen we met een script wat standaard op de Exchange 2013 server aanwezig is:

cd $exscripts
.\Disable-Antimalwarescanning.ps1

En weer inschakelen:

cd $exscripts
.\Enable-Antimalwarescanning.ps1

Als we tijdelijk iets willen troubleshooten dan kunnen we malware filtering even omzeilen:

Set-MalwareFilteringServer -BypassFiltering $true

En uiteraard weer ongedaan maken met:

Set-MalwareFilteringServer -BypassFiltering $false

De rest van de beheermogelijkheden is beperkt tot het finetunen van de het updaten van de signatures en het aanpassen van de notificaties en precieze acties welke Exchange moet nemen als een fout item wordt gevonden. Deze laatste kunnen we vinden in het Exchange Administration Center (EAC):

image

In de Exchange Management Shell kunnen we dit uiteraard ook, de cmdlets hiervoor zijn:

  • Get-MalwareFilteringServer
  • Get-MalwareFilterPolicy
  • Get-MalwareFilterRecoveryItem
  • New-MalwareFilterPolicy
  • Remove-MalwareFilterPolicy
  • Remove-MalwareFilterRecoveryItem
  • Resume-MalwareFilterRecoveryItem
  • Set-MalwareFilteringServer
  • Set-MalwareFilterPolicy

Dat is allemaal leuk en aardig, maar hoe werkt dit in de praktijk? Wat als we Exchange 2013 malwarescanning gebruiken en er per ongeluk een false-positive was? Hier wordt het tricky. We kunnen de filtering alleen inn- of uitscakelen, indien ingeschakeld dan wordt het verdachte attachment altijd verwijderd. Het is niet mogelijk om deze in quarantaine te zetten. Ook is het niet mogelijk om met een whitelist te werken waarop we bijvoorbeeld de naam van een afzender, de naam van een attachment of een attachmenttype zouden kunnen zetten zodat deze nooit gefilterd of verwijderd worden. Microsoft raadt aan om in dat geval het attachment opnieuw te laten verzenden in een ZIP-bestand met wachtwoordbeveiliging.

En als er nou een attachment doorgekomen was wat wel gefilterd had moeten worden? Vrijwel alle leveranciers van dit soort software hebben een laagdrempelige manier om je bestand aan te leveren zodat zij het kunnen analyseren en waar mogelijk hun scanengine of signatures kunnen aanpassen. Microsoft heeft er voor gekozen om hier hun Technical Support kanaal voor in te zetten. Het is op dit moment ook al mogelijk om Forefront issues via dit kanaal aan te melden maar veel klanten vinden de formele afhandeling van deze cases omslachtig. Hoe dit uitwerkt zal in de praktijk moeten blijken.

Tenslotte ontbreekt het aan andere dashboard, logging en report mogelijkheden die je bij 3rd party oplossingen en bij FPE vaak voor ziet komen.

Deadlines

Alles goed en wel, maar wanneer gaat er voor bestaande klanten effectief iets veranderen? Als eerste de producten die je in abonnementsvorm afneemt:

  • Forefront Protection 2010 for Exchange Server (FPE)
  • Forefront Protection 2010 for SharePoint (FPSP)
  • Forefront Security for Office Communications Server (FSOCS)
  • Forefront Threat Management Gateway Web Protection Services (TMG WPS)

Deze subscribtions worden ondersteund tot 31 december 2015. Ook voor klanten van wie het abonnement al eerder afloopt geldt deze datum, zo hebben zij meer tijd om een alternatief te zoeken. Updates voor spam- en virusfilters worden uitgebracht tot 1 januari 2016.

Dan de ondersteuning voor ForeFront TMG 2010 Server licenties. De ‘mainstream support’ loopt tot 14 april 2015 waarna het  tot 14 april 2020 in de ‘extended support’ fase is. Hier is overigens niets aan veranderd, dit was al te lezen op de Lifecycle Support pagina’s.

Minstens zo belangrijk is om te weten dat nieuwe licenties tot 30 november 2012 aangeschaft kunnen worden, daarna zijn deze niet meer te bestellen. Wanneer er dus een project in de pijplijn zit waar deze producten deel van uitmaken, is het aan te bevelen om de software alvast aan te schaffen.

Conclusie

Exchange 2013 beschikt over ingebouwde antispam en antimalware functionaliteit, die laatste is nieuw. Waar Exchange met antispam een goede reputatie heeft schat ik in dat de functionaliteit van antimalware voor veel organisaties onvoldoende blijkt. Met name het feit dat false-positives niet te voorkomen zijn, anders dan een met een wachtwoord beveiligd ZIP-bestand, zal veel voor veel organisaties onacceptabel zijn.

Zelf zal ik met mijn klanten blijven kijken naar een geschikte enterprise-oplosing voor het scannen op virussen. Daarbij zal Exchange Online Protection zeker meegenomen worden.

Tuesday, September 11, 2012

Update: Support voor Exchange 2010 op Windows Server 2012

Nu Windows Server 2012 beschikbaar is en in een aantal bedrijven al wordt uitgerold, doemt de vraag op in hoeverre Exchange 2010 al ondersteuning biedt voor dit operating system. In dit artikel beschrijf ik de stand van zaken zoals die begin september 2012 is. Wanneer ik hier Exchange 2010 schrijf dan gaat het over RTM, SP1 en SP2.

Operating system

Servers met Exchange 2010 moeten voorzien zijn van één van de volgende operating systems:

  • Windows Server 2008 SP1
  • Windows Server 2008 R2 of R2 SP1

Het installeren van Exchange 2010 op Windows Server 2012 is dus niet ondersteund.

Domain controllers

Domain controllers waarmee Exchange 2010 mee communiceert moeten voorzien zijn van het volgende besturingssysteem:

  • Windows Server 2003 SP1 of SP2
  • Windows Server 2008 RTM, SP1 of SP2
  • Windows Server 2008 R2 of R2 SP1

Domain controllers met Windows Server 2012 worden dus niet ondersteund.

Domain en forest functional levels

In een Active Directory forest met Exchange 2010 worden de volgende Domain en Forest Functional Levels ondersteund:

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

Uit het feit dat domain controllers met Windows Server 2012 niet ondersteund worden volgt dus ook dat dit geen ondersteund Forest of Domain Functional Level is.

Conclusie

Op dit moment is Windows Server 2012 dus niet geschikt voor Exchange 2010 servers en kan het ook niet gebruikt worden voor domain controllers in een Exchange 2010 omgeving. Mijn verwachting is dat Microsoft later dit jaar SP3 uitbrengt voor Exchange 2010. Dit service pack zal dan niet alleen coexistence met Exchange 2013 gaan bieden, maar ik verwacht dat daar tevens ondersteuning voor Windows Server 2012 aan toegevoegd zal worden.

Update 26 september 2012:

Inmiddels heeft Microsoft aangekondigd dat SP3 voor Exchange 2010 in de eerste 6 maanden van 2013 zal verschijnen, dit service pack maakt het inderdaad mogelijk om Exchange 2010 op Windows Server 2012 te installeren. Nog even geduld dus…

Exchange 2003 kan niet verwijderd worden: The component "Microsoft Exchange…" cannot be assigned the action "Remove" because

Wanneer je Exchange 2003 van een server wilt verwijderen moet je onder andere alle mailboxen op deze server verwijderen. Wanneer je dan Exchange wilt de-installeren kan de volgende foutmelding verschijnen:

image

The component "Microsoft Exchange Messaging and Collaboration Services" cannot be assigned the action "Remove" because:
- One or more users currently use a mailbox store on this server. These users must be moved to a mailbox store on a different server or be mail disabled before uninstalling this server.

Een mogelijke oorzaak is dat er toch nog AD user accounts zijn die de naam van deze server ingevuld hebben bij het attribuut msExchHomeServer. Een makkelijke manier om dit uit te zoeken is door een zoekopdracht te geven in Active Directory Users and Computers. Dat doen we als volgt:

  • Rechter muisknop op het domein en klik Find.
  • Tabblad Advanced
  • Kies uit Field: User, Exchange Home Server
  • Kies voor Condition: Ends with
  • Kies voor Value: de NetBIOS naam van de betreffende server
  • Klik Add

Onze zoekopdracht ziet er dan bijvoorbeeld zo uit:

image

Wanneer we nu op Find Now klikken krijgen we een overzicht van de gebruikers waarvan het msExchHomeServer nog de bewuste servernaam bevat. Een eenvoudige manier om de Exchange attributen van deze gebruikers leeg te maken is het rechstklikken op het account, dan te kiezen voor Exchange Tasks. In het volgende scherm kiezen we voor Remove Exchange Attributes:

image

Let op, dit verwijdert alle Exchange eigenschappen van het account. Nu kunnen we Exchange opnieuw proberen te de-installeren, de foutmelding treedt nu niet meer op waarna het verwijderen van Exchange 2003 gewoon uitgevoerd kan worden.

image

In dit artikeltje heb ik een mogelijke oplossing beschreven voor dit issue. Andere opties zijn natuurlijk het verwijderen van de gevonden accounts, als je deze niet meer nodig hebt, of het leegmaken van het betreffende attribuut met ADSIedit.

Thursday, September 6, 2012

Hoe installeer ik Exchange 2013?

logo-header-e2010[1]Exchange 2013 is de nieuwste versie van Microsofts oplossing voor e-mail, contactpersonen en agenda’s. Net als de voorgaande versies is ook Exchange 2013 een echte ‘enterprise’ oplossing, bedoeld om een stabiele en hoog beschikbare oplossing te bieden voor kleine of grote organisaties. Maar soms willen we het product gewoon zelf eens installeren in een lab, bijvoorbeeld om wat te kunnen verkennen of om een test uit te voeren.
In dit artikel beschrijf ik het installeren van Exchange 2013 op Windows Server 2012. Exchange 2013 is op dit moment alleen beschikbaar als Preview, als er na het uitkomen van de definitieve versie aanpassingen zijn dan zal ik deze doorvoeren in dit artikel.

Wat hebben we nodig?

We gaan Exchange 2013 installeren op een enkelvoudige server, zonder hoge beschikbaarheid of scheiding van rollen. Daarvoor hebben we het volgende nodig:
  • Windows Server 2012. De Standard Edition is voldoende, ook wanneer er gebruik gaat worden gemaakt van High Availablity features. Sinds Windows Server 2012 zit er geen functioneel verschil meer tussen de Standard en Enterprise edities meer.
  • Exchange Server 2013 Preview
  • Hardware met 64-bit ondersteuning en circa 8 GB werkgeheugen of een vergelijkbare virtual machine. Zelf gebruik ik VMware Workstation 8 voor dit doel.
In dit artikel beschrijf ik de installatie van Exchange 2013 op een Active Directory domain controller. Microsoft ondersteunt deze opstelling maar beveelt het voor normaal gebruik niet aan. Wanneer je Exchange 2013 op een domain controller geïnstalleerd hebt kun je de domain controller rol (dcpromo) niet meer verwijderen, andersom kun je een server waar Exchange 2013 al op staat ook geen domain controller meer maken.

Windows Server 2012 installeren

Omdat het hier om een testopstelling gaat maakt het niet zo veel uit welke hardware we gebruiken. Voor het maken van dit artikel gebruik ik de volgende VM:
  • 2 CPU cores
  • 8 GB werkgeheugen
  • 1 disk (C:) van 40 GB
De VM is geplaatst op een 500 GB 2,5” SATA disk in een HP EliteBook 8560w notebook, het operating system van deze laptop staat op een aparte SSD disk. Deze configuratie levert een prima werkbare testserver met een heel acceptabele performance.
Het installeren van Windows Server 2012 is eenvoudig, let er alleen even op dat we voor de configuratie in dit artikel een GUI gebruiken:
image
Na het inloggen beginnen we met het configureren van de netwerkadapter en het aanpassen van de servernaam. Ik heb gekozen voor een vast IP-adres en de naam Exchange2013. Dit doen we door een PowerShell console te openen, gevolgd door de volgende commando’s:
New-NetIPAddress -IPAddress 192.168.2.140 -InterfaceAlias "Ethernet" -DefaultGateway 192.168.2.1 -AddressFamily IPv4 -PrefixLength 24
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.2.140
Rename-Computer exchange2013
Restart-Computer

image

Server Domain Controller maken

Onze server is nu klaar om in te zetten als Active Directory Domain Controller. Daarvoor moeten we eerst de juiste Windows feature installeren. Vervolgens gebruiken we het Install-ADDSForest cmdlet om een nieuw domein aan te maken en deze server tot DC te promoveren. Meer informatie over deze procedure vind je in een eerder artikel.
Install-WindowsFeature AD-Domain-Services
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "Win2012" -DomainName "exchange.local" -DomainNetbiosName "EXCHANGE" -ForestMode "Win2012" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SysvolPath "C:\Windows\SYSVOL" -Force:$true

image

Voorbereiden voor Exchange 2013

Voordat we starten met de voorbereiding van de installatie van Exchange 2013 even iets over rollen. Bij Exchange 2007 en 2010 hadden we vijf serverrollen: Edge Transport, hub Transport, Client Access, Mailbox en Unified Messaging. Bij Exchange 2013 zijn het er nog maar twee: Client Access en Mailbox. De functionaliteit is nu verdeelt over deze twee rollen, alleen de functionaliteit die de Edge Transport rol bood is in zijn geheel komen te vervallen. Voor onze labserver combineren we de Client Access en de Mailbox rol op één server.
We starten met het installeren van de Windows componenten, voor een server met de Client Access en de Mailbox rol zijn dat:
Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, Telnet-Client
Restart-Computer

De Telnet client is strikt genomen geen vereiste maar ik raad toch aan om deze gelijk te installeren. Telnet is één van de meest gebruikte tools om een Exchange server te troubleshooten, zowel vanaf een remote werkplek als op de server zelf. De Restart-Computer is nodig om de installatie van de componenten definitief te maken.
We zetten de zojuist geïnstalleerde Net.Tcp Port Sharing Service op Automatic met de volgende commando:
Set-Service NetTcpPortSharing -StartupType Automatic
Vervolgens installeren we onderstaande software in deze volgorde:
  1. Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit
  2. Microsoft Office 2010 Filter Pack 64 bit
  3. Microsoft Office 2010 Filter Pack SP1 64 bit
Voordat je dit doet is het misschien handig om Internet Explorer Enhanced Security Configuratie voor beheerders uit te schakelen:
rundll32.exe C:\Windows\system32\iesetup.dll,IEShowHardeningDialog
Tenslotte verwijderen we Microsoft Visual C++ 11 Beta Redistributable (x64) van de server. Dit doen we gewoon via Control Panel, Uninstall a program:
image

Installatie Exchange 2013

Net als bij vorige versies kunnen we de installatie van Exchange 2013 starten met een wizard of van de commandline, ik geef de voorkeur aan die laatste optie. In vorige versies van Exchange deden we dit met Setup.com, nu is dat Setup.exe geworden. Je vind Setup.exe in de hoofdfolder waar je het bestand Exchange-x64.exe hebt uitgepakt.
We starten de daadwerkelijke installatie met het volgende commando:
./Setup.exe /Mode:Install /Roles:ca,mb,mt /IAcceptExchangeServerLicenseTerms /OrganizationName:MijnOrg /CustomerFeedbackEnabled:True /ExternalCASServerDomain:webmail.office365lab.com /EnableErrorReporting
image
Exchange Setup start nu met het kopiëren van bestanden, gevolgd door de prerequisite checks. Als aan alle voorwaarden is voldaan wordt Active Directory aangepast en Exchange 2013 op onze server geïnstalleerd. Wanneer dit proces klaar is, wat best een uurtje kan duren, is een reboot nodig. Vervolgens zien we twee knoppen extra verschijnen in het Start scherm:
image
De Exchange Management Console maakt geen deel meer uit van Exchange 2013, deze is vervangen door de Exchange Administration Center. Dit is een webinterface die tevens het Exchange Control Panel vervangt. Als we de Exchange Management Shell starten kunnen we met Get-ExchangeServer controleren of de rollen op de server aanwezig zijn:
image

Tot besluit

Voor beheerders met ervaring met de vorige twee versies van Exchange is er aan het installatieproces niet veel veranderd. Het aantal rollen is teruggebracht tot de Client Access en Mailbox rol, we moeten iets meer software installeren en het maakt bij Server 2012 niet meer uit of we Standard of Datacenter editie gebruiken. Is er dan niets nieuws onder de zon? Wel degelijk, Exchange 2013 zit vol met verbeteringen en nieuwe functionaliteit. Browse maar eens naar Outlook Web App (https://exchange2013/owa/) of het nieuwe Exchange Administration Center (https://exchange2013/ecp/).
Meer informatie over Exchange 2013 vind je onder andere hier: