Gruppenrichtlinie für Cached Mode-Aktivierung einsetzen

In letzter Zeit hatte ich vermehrt Anfragen, ob und wie man denn den Cached Mode von Outlook im laufenden Betrieb aktiveren kann. Ja, man kann. Dazu nutzt man am Einfachsten eine Gruppenrichtlinie.

Für diese Policy besorgt man sich am besten aus dem Office Ressource Kit für die jeweilige Outlook-Version die entsprechende Vorlagen-Daten, z.B. Outlk11.adm für Outlook 2003. Nachfolgend beschrieben sind die Einstellungen, die zur Aktivierung des Cached Modes – AUCH in aktiven Umgebungen – führen.

activate-cached-mode-by-policy.GIF

Microsoft Exchange Server Outlook Web Access-Webverwaltung

Microsoft Outlook Web Access 2003 (OWA) ist eine mächtige und hilfreiche Schnittstelle für die Postfachdaten auf einem Exchange Server 2003, die ausgehend von einer korrekten Konfiguration der entsprechenden Server (z.B. Zugriff über einen speziellen, in der DMZ implementierten Front-End-Server) Zugriff von jedem Internet-PC auf diesem Globus bietet.

Eben diese Tatsache jedoch macht es unter Umständen sinnvoll bzw. gar notwendig, bestimmte Option von OWA über eine zentrale Konfiguration vorzugeben bzw. zu unterbinden. Hierzu stellt Microsoft mit dem Webverwaltungstool für Outlook Web Access (OWAADMIN) ein hilfreiches Tool bereit, welches >hier< heruntergeladen werden kann: . Ohne den OWAADMIN müssten die Einstellung direkt in der Registrierung des Exchange Servers vorgenommen werden.

Das Tool kann zwar auf einem Windows XP-Rechner ebenso installiert werden, wie auf einem Windows 2000 Server, sollte aber meines Erachtens am Besten auf einem der Exchange 2003 Back-End-Server installiert werden. Setzen Sie für OWA einen Front-End-Server ein, so installieren Sie das Tool NICHT auf dem Front-End-Server, da diese meist in die DMZ konfiguriert und daher WMI-Zugriffe auf die Back-End-Server nicht möglich sind – eine der Voraussetzungen für den korrekten Betrieb des Tools.

Zur Installation muss der Internet Information Server, ASP.Net und das .Net-Framework 1.1 korrekt und lauffähig installiert sein, wobei auf einem Back-End-Exchange Server eben diese Voraussetzungen gegeben sind. Wir laden die OWAAdmin.MSI über den angegebenen Link herunter und starten die Installation.

owa2003-mgmt-bild-2.GIF

Der Installationsvorgang an sich ist mit wenigen Klicks erledigt. Das Setup hat nun im IIS unter der Standardwebseite ein Virtuelles Verzeichnis OWAADMIN erstellt, welches für die weitere Konfiguration gestartet werden kann.

Zu beachten ist jedoch, dass OWAADMIN nur über eine SSL-Verbindung benutzt werden kann, da nur hierüber die Authentifizierung und der Remotezugriff auf die Exchange-Server ermöglicht wird. Sollte der Back-End-Server, auf dem Sie OWAADMIN installieren, nicht bereits ein SSL-Zertifikat konfiguriert haben, erstellt das Setup des OWAADMIN automatisch ein Testzertifikat und konfiguriert dieses auch.

Starten wir nun die Konfigurationsoberfläche über https://<Servername>/owaadmin. Die Konfiguration der einzelnen Optionen erweist sich über die Oberfläche des OWAADMIN als relativ simpel, so dass wir in diesem Workshop nur auf die interessantesten Optionen eingehen werden.

owa2003-mgmt-bild-1.GIF

Die wichtigste Option ist die Möglichkeit der Anpassung der Outlook Web Access Oberfläche, so dass nur ausgewählte Features in OWA angezeigt werden. Dazu kann über den Abschnitt „Anpassung – Featureunterstützung für den gesamten Server“ definiert werden, welche Komponenten in OWA zur Verfügung gestellt werden sollen (Bild 3).

Damit lässt sich z.B. der Zugriff auf Öffentliche Order über OWA komplett unterbinden, eine nicht zu unterschätzendes Feature in Punkto Sicherheit. Alle eingestellten Optionen stehen sofort beim nächsten Zugriff per OWA zur Verfügung.

Alles in Allem steht dem Exchange Administrator mit OWAADMIN ein mächtiges Werkzeug zur Verfügung, um das Web-Front-End seiner Exchange Organisation nach eigenen Wünschen und Bedürfnissen zu gestalten.

owa2003-mgmt-bild-3.GIF

Public Folder Administration mit PFDAVAdmin

Die Administration der Öffentlichen Ordner in einer Exchange Organisation ist mit dem Exchange System Manager zuweilen eine langwierige Angelegenheit, insbesondere wenn es beispielsweise darum geht Berechtigungen in großen Ordnerstrukturen zu verwalten. Microsoft stellt hierfür mit dem PFDavAdmin-Tool (Public Folder Distributed Authoring and Versioning based Administration) ein passendes Werkzeug zur Verfügung mit dem u.a.  folgende Aufgaben erledigt werden können.

  • Verwalten der Ordnerberechtigungen im MAPI-Baum
  • Hinzufügen, Ersetzen oder Entfernen von ACEs in einem Öffentlichen Ordner-Baum ohne bestehende ACE-Einträge zu verändern
  • Export und Import von Ordner-Berechtigungen und Postfachberechtigungen
  • Änderungen an der Replikatsliste ohne bestehende Einträge zu überschreiben
  • Prüfen bzw. Entfernen von Berechtigungen auf einzelne Elemente
  • Massenänderungen an sonstigen Eigenschaften
  • Wiederherstellen gelöschter öffentlicher Ordner

Sie können aber auch direkt Exchange Postfächer verwalten und die Ordnerberechtigungen darin verändern. Beispielsweise sind seit der aktuellen Version 2.6 Massen-Änderungen an den Ordner-Berechtigungen innerhalb von Postfächern möglich. Dies ermöglicht beispielsweise die einheitliche Vergabe von Berechtigungen auf alle Kalender innerhalb des Unternehmens.

Für den Einsatz von PFDAVAdmin gelten folgende Vorraussetzungen:

  • .NET Framework 1.1
  • Windows 2000 oder höher
  • Exchange 2000 oder Exchange 2003

Laden Sie das Tool unter  http://www.microsoft.com/downloads/details.aspx?familyid=635be792-d8ad-49e3-ada4-e2422c0ab424&displaylang=en herunter und entpacken Sie die komprimierte Datei in einem Verzeichnis. Es sind keine weiteren Schritte notwendig, somit starten Sie die Anwendung sofort nach dem Entpacken über PFDAVAdmin.exe.

Im Menü FILE wählen Sie die Option Connect um sich mit dem gewünschten Exchange Server und Globalen Katalog zu verbinden. Im Abschnitt Connection entscheiden Sie, ob Sie Öffentliche Ordner, Alle Postfächer oder ein einzelnes Postfach administrieren möchten.

Folgendes Beispiel soll die Arbeitsweise des intuitiv zu bedienenden Tools aufgezeigt werden. Wir geben mit Hilfe des PFDAVAdmin eine vollständige ACE-Liste an untergeordnete Ordner weiter. Dazu verbinden wir uns mit dem Exchange Server mit der Option „Public Folders“.

pfdavadmin-bild-01.GIF

Nun wählen wir in der zu bearbeitende Ordnerstruktur den übergeordneten Ordner, dessen ACEs wir nach unten weitergeben wollen. Auf diesem Ordner öffnen wir nun über das Kontextmenü den Menüpunkt „Folder permissions“

pfdavadmin-bild-02.GIF

um die bestehenden Berechtigungen bzw. ACEs anzupassen. Dies geschieht relativ komfortabel über den angezeigten Dialog.

pfdavadmin-bild-03.GIF

Nachdem wir nun die Berechtigungen des übergeordneten Folders wie gewünscht „in Form“ gebracht haben, wählen wir über das Kontextmenü (Bild 2) die Option „Propagate folder ACEs) um die Berechtigungen nach unten zu vererben. Dabei können wir auswählen, ob einer oder mehrere ACE-Einträge hinzugefügt oder entfernt werden sollen. In einem Statusfenster können wir die Aktion im Detail verfolgen.

Eine weitere, sehr interessante Funktion ist beispielsweise die Möglichkeit gelöschte Öffentliche Ordner wiederherzustellen. Allerdings sollten Sie dabei beachten, dass dies nur möglich ist, wenn auf dem Öffentlichen Informationsspeicher die entsprechende Option für die Aufbewahrung gelöschter Objekte aktiviert ist.

Der gelöschte Ordner wird dann in rot markiert angezeigt und über das Kontextmenü steht die Option „recover folder“ zur Verfügung. Der Ordner wird wiederhergestellt und trägt den ursprünglichen Namen mit dem Zusatz „RECOVERED“, der selbstverständlich jederzeit wieder umbenannt werden kann.

>Download<

Troubleshooting von POP3/SMTP mit Telnet

Ein Exchange Administrator steht in der Implementierungsphase irgendwann vor der Frage „Funktionieren die Dienste des Exchange Servers korrekt?“. Beispielsweise ist es äußerst wichtig zu prüfen, ob ein SMTP-Dienst auch nicht als Relay durch Spammer missbraucht werden kann.

Nun, dazu einen Standard E-Mail-Client, wie Outlook Express, einzurichten und für diese Tests zu benutzen, ist an sich kein Problem. Es gibt jedoch oft betriebsinterne Vorgaben, dass beispielsweise kein Outlook Express, geschweige denn Outlook 2003, auf Servern installiert werden darf.

Um jedoch einfache Tests mit den Diensten SMTP und POP3 durchzuführen, genügt das Programm TELNET, welches sich vor allem in früheren Jahren großer Beliebtheit erfreute. TELNET erlaubt uns mit bestimmten Ports und dahinter liegenden Diensten eines TCP/IP-basierenden Systems zu kommunizieren und einfache Befehle auf der Kommandozeile an diese Services abzusetzen.

Nachfolgend beschränken wir uns lediglich auf die wichtigsten Kommandos um eine E-Mail per SMTP abzusetzen sowie eine E-Mail per POP3 zu lesen. Dies sollte für den Exchange Administrator völlig ausreichend sein um grundlegende Funktionstests durchzuführen.

Das SMTP-Protokoll benutzt per Default den TCP-Port 25. Daher verbinden wir uns mit nachfolgendem Kommando mit dem SMTP-Dienst eines beliebigen, erreichbaren Servers. Achten Sie bei der Benutzung von TELNET darauf, dass dieses keine BACKSPACE-Taste kennt und daher ein Kommando stets vollständig und korrekt eingegeben werden muss, da der Dienst ansonsten mit einem Fehler „Unrecognized Parameter“ antwortet. In diesem Fall wiederholen Sie einfach die Eingabe.

C:\> telnet <Servername¦ip-Adressen> 25

Das angesprochene System antwortet uns mit seinem Namen:

220 mail.ya.local Microsoft ESMTP MAIL Service, Version: 6.0.3790.18
30 ready at  Wed, 6 Dec 2008 12:11:31 +0100

Der nächste Schritt ist nun, sich selbst gegenüber dem SMTP-Server zu erkennen zu geben, der Server antwortet u.a. mit der Meldung 250 OK und zeigt damit an, dass er bereit ist SMTP-Kommandos entgegen zu nehmen.

ehlo your-admin.com
250- mail.ya.local Hello [192.168.215.1]
250 OK

Nun setzen wir als erstes das Kommando MAIL FROM ab und der Server antwortet bei korrekter Eingabe mit 250 …. Sender OK

mail from: hans@testdom.com
250 2.1.0 hans@testdom.com….Sender OK

An wen soll die Mail gehen? Dies übermitteln wir mit dem Kommando RCPT TO:

rcpt to: info@your-admin.com
550 5.7.1 Unable to relay for info@your-admin.com

Erhalten Sie eine Rückmeldung “5.7.1. Unable to relay…” dann haben Sie die erste Funktionsprüfung bereits erfolgreich abgeschlossen. Der Server ist gegen Relay-Missbrauch geschützt, da er nur E-Mails an eingehenden Domänen akzeptiert. (Die Default-Einstellung bei einem Exchange Server). Andernfalls erhalten wir korrekt die Quittung:

250 2.1.5 info@your-admin.com

Nun beginnen wir mit der Eingabe der eigentlichen E-Maildaten. Dazu bedienen wir uns einleitend des Kommandos DATA, um die Datenübergabe zu starten, des Kommandos SUBJECT: um den Betreff zu kennzeichnen und nach doppelter Zeilenschaltung geben wir den eigentlichen Text der Nachricht ein. Abgeschlossen wird der gesamte Vorgang mit „.“ in einer leeren Zeile, und die Nachricht wird in die ausgehende Warteschlange übergeben.

data
354 Start mail input; end with <CRLF>.<CRLF>
subject: Testmail

Dies ist die Nachricht.
.
250 2.6.0 <MAIL5AUZFwdQ600000001@mail.ya.local> Queued mail for delivery

Die Nachricht wird nun in das betreffende Postfach übermittelt und das Kommando QUIT beendet die Sitzung mit dem SMTP-Server. Ob dies tatsächlich der Wahrheit entspricht können wir über den Exchange System Manager (Warteschlangen) genauso überprüfen, wie mittels eines Blickes in das Postfach selbst.

Dafür benötigen wir aber normalerweise wieder einen E-Mail-Client. Kommandozeilenerprobte Administratoren nutzen auch hierfür wieder das Programm TELNET. Bitte beachten Sie, dass per Default der POP3-Dienst auf einem Exchange Server nicht aktiv ist und daher zuvor gestartet werden sollte. POP3 benutzt per Default den TCP-Port 110 und daher verbinden wir uns mit TELNET auch mit Diesem.

C:\> telnet <Servername¦ip-Adressen> 110

Der Server antwortet wieder mit einer Quittung, dass er bereit ist, Kommandos entgegen zu nehmen:

+OK Microsoft Exchange Server 2003 POP3 server version 6.5.7638.1 (mail.ya.local) ready.

Nun connecten wir uns mit dem gewünschten Postfach durch Angabe des Aliasnamen, der mit dem Loginname in der Domäne übereinstimmen sollte, der POP3-Server quittiert mit +OK

user robert.lindermeier
+OK

Zu jedem Benutzer gehört ein Passwort, welches der Server nun benötigt. Beachten Sie dass das Passwort im Klartext (wie bei jedem POP3-Zugriff über das Netzwerk sonst auch!) angezeigt wird. OK ….logged on, zeigt an, dass wir uns mit dem Postfach verbunden haben.

pass Abc12345
+OK User successfully logged on.

Mit dem Kommando LIST erhalten wir die aktuell im Posteingang befindlichen Nachrichten. Neben OK steht die Anzahl der Nachrichten, die Zahl daneben ist die Größe der E-Mails in Octets.

list
+OK 2 2246
1 1821
2 425
.

Wie aber können wir eine E-Mail lesen? Das Kommando RETR <Nr. der Nachricht> zeigt die Nachricht incl. Header an.

retr 2
+OK
Received: from  ([192.168.215.1]) by mail.ya.local with Microsoft SM
TPSVC(6.0.3790.1830);
Wed, 6 Dec 2006 12:41:19 +0100
subject: Testmail
From: test@tester.com
Bcc:
Return-Path: test@test.com
Message-ID: <MAILN9F4HhMLx00000002@mail.ya.local>
X-OriginalArrivalTime: 06 Dec 2006 11:41:24.0404 (UTC) FILETIME=[7534EF40:01C719
2B]
Date: 6 Dec 2006 12:41:24 +0100

Dies ist die Nachricht.

Mit dem Befehl QUIT beenden wir die Sitzung mit dem POP3-Server. Nachfolgend noch eine Auflistung der weiteren möglichen POP3-Befehle:

TOP <Nr.> <X>    Zeigt von der Nachricht <Nr.> die ersten <X> Zeilen an

DELE <Nr.>    Löscht die angegebene Nachricht <Nr.>
Dabei werden die Nachrichten zuerst nur zum Löschen markiert, erst der Befehl QUIT löscht die Nachrichten endgültig aus dem Posteingang

STAT    Zeigt die Anzahl der aktuell im Posteingang befindlichen Nachrichten

RSET    Alle gelöschten Nachrichten wiederherstellen

QUIT    Beenden der POP3-Sitzung