Microsoft Exchange

UM mit Microsoft Exchange 2016 / 2019

E-Mail Weiterleitung

Damit E-Mails mit Adressen wie @sms.alleo.intern und @fax.alleo.intern zum UM-Server gelangen, müssen sie vom Mailserver weitergeleitet werden. Bei Microsoft Exchange 2016 / 2019 wird die E-Mailweiterleitung über einen SMTP-Sendeconnector pro UM-Dienst eingerichtet:

1. Öffnen Sie das Exchange Admincenter.

2. Gehen Sie unter Nachrichtenfluss auf Sendeconnectors und starten Sie den Assistenten (durch Klick auf +) zur Anlage eines neuen Sendeconnectors:

3. Auf der ersten Seite des Assistenten geben Sie einen Namen für den Connector ein und wählen den Typ Benutzerdefiniert aus.

4. Auf der zweiten Seite des Assistenten wählen Sie E-Mail über Smarthosts weiterleiten und fügen Sie die IP-Adresse des XPhone Connect Servers hinzu. Speichern Sie dies und klicken auf Weiter.

5. Wählen Sie nun als Authentifizierungsmethode Keine aus und klicken auf Weiter.

6. Auf der nächsten Seite geben Sie die Adressräume an, an die dieser Connector E-Mails weiterleiten soll. Klicken Sie dazu auf das +. Geben Sie die Daten der Domäne an, klicken auf Speichern und auf Weiter:

7. Wählen Sie nun aus, über welchen Exchange Server (Quellserver) ihres Unternehmens die Nachrichten versendet werden sollen. Klicken Sie dazu auf remember-user, wählen den gewünschten Server aus und klicken auf Hinzufügen und auf OK, danach auf Fertigstellen.

8. Gehen Sie für den SMS-Dienst analog vor.

Nachrichtenformate

Die XPhone Connect UM-Dienste erwarten den Nachrichtentext immer als unformatierten Text. Die Erstellung und Konfiguration von Remotedomänen erfolgt über die Exchange Verwaltungsshell

Öffnen der Exchange-Verwaltungsshell:

In diesem Beispiel wird die Remotedomäne fax erstellt:

New-RemoteDomain -DomainName fax.alleo.intern -Name fax

Mit folgendem Befehl lässt sich die Remotedomäne abfragen:

Get-RemoteDomain -Identity fax | Format-List

Gelb markierte Werte müssen geändert werden:

Im Folgenden sind alle Parameter aufgelistet und gelb markiert, die geändert werden müssen.

Alle Parameter, die zu ändern sind, haben in der Tabelle eine laufende Nummer. Anhand dieser Nummer sind auch die Befehle nummeriert:

1. Ändern CharacterSet in iso-8859-1 ( MIME-Zeichensatz):

   Set-RemoteDomain fax -CharacterSet iso-8859-1
   

2. Ändern NonMimeCharacterSet in iso-8859-1 ( Nicht-MIME-Zeichensatz):

   Set-RemoteDomain fax -NonMimeCharacterSet iso-8859-1
   

3. Ändern AllowedOOFType in none (keine Abwesenheitsnachrichten an die Domäne senden):

   Set-RemoteDomain fax -AllowedOOFType None
   

4. Ändern AutoReplyEnabled in false (automatische Weiterleitungen erlauben):

   Set-RemoteDomain fax -AutoReplyEnabled $false
   

5. Ändern DeliveryReportEnabled in False (Zustellungsberichte deaktivieren):

   Set-RemoteDomain fax -DeliveryReportEnabled $false
   

6. Ändern NDREnabled in False (Unzustellbarkeitsberichte deaktivieren):

   Set-RemoteDomain fax -NDREnabled $false
   

7. Ändern ContentType in MimeText (Textnachricheten werden immer als Text gesendet):

   Set-RemoteDomain fax -ContentType MimeText
   

8. Ändern TNEFEnabled in False:

   Set-RemoteDomain fax -TNEFEnabled $False
   

Hinweis

Nach Eingabe des Befehls kommt von der shell nur im Fehlerfall eine Rückmeldung.

Prüfen Sie am Ende Ihrer Konfiguration die Einstellungen:

Get-RemoteDomain -Identity fax | Format-List

IMAP4 Zugriff

Sollen Benutzer die Möglichkeit haben, ihre Voicemails auch per Telefonfernabfrage abhören und bearbeiten zu können, nutzt der UM-Server das IMAP4 Protokoll, um die Nachrichten aus der Mailbox des Benutzers abzufragen.

1. Nach der Standardinstallation des Exchange-Servers wird der IMAP4-Dienst nicht automatisch gestartet. Dies muss über den Windows-Dienste-Manager verändert werden:

2. Der IMAP4-Dienst muss nun noch so konfiguriert werden, dass er eine Klartext-Authentifizierung zulässt und die Nachrichten nur im Textformat liefert. Dazu muss die Exchange-Verwaltungsshell gestartet werden. Geben Sie dort den Befehl ein:

   Set-ImapSettings –LoginType PlainTextLogin –MessageRetrievalMimeFormat TextOnly
   

• Mit Get-ImapSettings | Format-List können Sie die Einstellungen überprüfen. Im folgenden Bild sind die wichtigen Parameter markiert:

3. Nach erfolgter Konfiguration des IMAP4-Dienstes muss dieser neu gestartet werden.

Bei Problem kann optional das IMAP-Logging aktiviert werden. Im Verzeichnis C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\PopImap ist die Datei Microsoft.Exchange.Imap4.exe.config zu finden. Ganz am Ende der Datei wird das Logging konfiguriert:

<appSettings>

<add key="MaxIoThreadsPerCPU" value="0" />

<add key="ConnectionCacheSize" value="250" />

<add key="ProtocolLog" value="false" />

<add key="LogPath" value="C:\Program Files\Microsoft\Exchange Server\Logging\Imap4" />

<add key="AgeQuotaInHours" value="24" /> <add key="SizeQuota" value="10000000" />

<add key="PerFileSizeQuota" value="1000000" />

<add key="AllowCrossSiteSessions" value="false" />

</appSettings>

In der hervorgehobenen Zeile muss der Wert von false auf true geändert werden. Das Logging beginnt sobald Sie den Dienst neu starten.

Relay-Einstellungen

Sollen die UM-Dienste E-Mails an beliebige Domainen verschicken dürfen, so sind dazu einige Einstellungen im Exchange Server und im XPhone Connect Server notwendig.

In der Standardkonfiguration werden E-Mails, die per SMTP in den Exchange-Server gelangen, nur in Domänen zugestellt, die der Exchange-Server akzeptiert. Akzeptierte Domänen werden im Exchange Admin Center unter Nachrichtenfluss auf dem Reiter Akzeptierte Domänen verwaltet. Eine Möglichkeit das Verschicken an bestimmte externe Domänen zu erlauben, wäre also diese Domäne in die Liste der „Akzeptierten Domänen“ aufzunehmen. Dies würde allerdings bedeuten, dass jeder Computer, der den Exchange-Server per SMTP erreichen kann, E-Mails an diese Domäne schicken dürfte. In der Regel ist das nicht gewünscht.

Um zu erreichen, dass nur der Computer, auf dem die UM-Dienste laufen, an beliebige Domänen E-Mails verschicken darf, muss man einen zusätzlichen SMTP-Empfangsconnector konfigurieren:

• Öffnen Sie das Exchange Admin Center > Nachrichtenfluss > Empfangsconnectors.

• Starten Sie den Assistenten zum Anlegen eines Neuen Empfangsconnectors durch Klick auf +/Neu.

• Geben Sie einen eindeutigen Namen ein, wählen Sie die Rolle Hub-Transport und Typ Benuzterdefiniert aus. Klicken Sie auf Weiter.

• Bei Netzwerkadapterbindungen bearbeiten Sie den voreingestellten Eintrag (Alle verfügbaren IPv4-Adressen) und ändern den Port auf 2500:

• Klicken Sie auf Weiter.

• Geben Sie im letzten Fenster die Remote-IP-Adresse(n) des Servers an, von denen E-Mails empfangen werden können sollen und drücken Sie Fertig stellen.

MAPI Anschaltanleitung

MAPI wird benötigt, um private und öffentliche Outlook Kontaktordner in XPhone Connect Directory anzubinden, um den serverseitigen Kalenderabgleich mit em Microsoft Exchange Server zu verwenden, wenn ein Microsoft Exchange Server für die Speicherung der UM Nachrichten eingesetzt wird und die Fernabfrage der Voicemails dieses Protokoll verwenden soll.

MAPI Überblick

MAPI („Messaging API“) ist eine Schnittstelle zum Microsoft Exchange Server, die vom XPhone Connect Server für folgende Funktionen verwendet wird:

• XPhone Connect Directory

• Serverseitiger Kalenderabgleich

• MAPI Postfach für UM Nachrichten

Die MAPI Konfiguration im XPhone Connect Server unterscheidet sich leicht für die verschiedenen Versionen des Microsoft Exchange Servers. XPhone Connect unterstützt die Exchange Server Versionen 2016 und 2019.

Exchange 2016, 2019

Für die MAPI-Anbindung an Exchange 2016 / 2019 muss auf dem XPhone Connect Server Microsoft Outlook 2016 (32-Bit) oder Microsoft Outlook 2019 (32-Bit) installiert werden. Das erfolgt nicht automatisch durch den Installations-Assistenten sondern muss durch den Administrator manuell durchgeführt werden.

Der Standard E-Mail-Client muss ab jetzt Microsoft Outlook sein. Dies ist in der Windows Registrierung unter diesen Schlüsseln zu prüfen, hier muss bei „Standard“ der Wert „ Microsoft Outlook „ gesetzt sein:

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\Mail]

Wichtig

XPhone Connect unterstützt die serverseitige MAPI Anbindung an Office 365 für öffentliche und freigegebene Kontaktordner, jedoch keine persönlichen Kontaktordner, keinen serverseitigen Kalenderabgleich und keine Fernabfrage von Voicemail.

„MAPIAccount“ für XPhone Connect Dienste

Für alle Exchange Server Versionen müssen der XPhone Connect Server und alle UM Dienste unter einem speziellen Domänen-Account (MAPIAccount) laufen. Die Umstellung des Dienste-Accounts für alle betroffenen Dienste erfolgt über den XPhone Connect Server Manager:

• Stellen Sie unter Dieses Konto den MAPIAccount ein, geben Sie das zugehörige Kennwort ein und wählen anschließend Jetzt ändern.

Hinweis

Szenario

• Auf dem XPhone Connect Server ist Outlook installiert (für die MAPI-Anbindung an den Exchange Server)

• Das Windows-Kennwort des MAPI-Accounts, unter dem der XPhone Connect Server läuft, wurde geändert.

Aktion

Nach der Kennwortänderung müssen folgende Aktionen auf dem XPhone Connect Server durchgeführt werden:

• Auf dem XPhone Connect Server Computer unter dem MAPI-Account anmelden.

• XPhone Connect Server Dienst über den XPhone Connect Server Manager beenden.

• Im XPhone Connect Server Manager den Dienst-Account auf localhost stellen.

• Den Dienst-Account wieder auf den MAPI-Account umstellen und dabei das neue Kennwort eingeben.

• Outlook starten

  • Outlook fordert das neue Kennwort an.

• Kennwort eingeben und prüfen, ob Outlook fehlerfrei läuft. (ggf. Outlook beenden und erneut starten → die Kennwortabfrage darf nicht nochmals erfolgen!)

• Outlook beenden.

• XPhone Connect Server Dienst neu starten.

Auf diese Weise wird sichergestellt, dass Kalendersynchronisation, Exchange-Kontaktordner und die Voicemail-Fernabfrage wieder korrekt funktionieren.

Der MAPIAccount muss ein vollwertiger Domänen-Account mit einem eigenen Postfach auf dem Exchange Server sein.

Achtung

Das Konto MAPIAccount darf nicht Mitglied der Gruppe Domänen-Admins, Exchange Servers, Organisations-Admins und Exchange-Organisation-Administrators sein.

Diesem MAPIAccount müssen nun volle Zugriffsrechte (FullAccess) auf alle Exchange Postfächer erteilt werden. Das erreicht man durch die Vergabe des Rechts Receive-As für den MAPIAccount auf allen Exchange Datenbanken.

Bei den Exchange Servern vergibt man die Rechte in der Exchange-Verwaltungsshell, einer speziellen Kommandozeilen-Oberfläche für den Exchange Server. Damit der MAPIAccount volle Zugriffsrechte auf den Postfächern aller Datenbanken erhält, müssen die Berechtigungen Send-As und Receive-As vergeben werden:

Get-Mailboxdatabase | Add-ADPermission -AccessRights ExtendedRight -ExtendedRights Receive-As, Send-As -User "<MAPIAccount>" | ft identity,user,extendedrights,accessrights,deny,isinherited

Durch den vorangestellten Befehl „Get-Mailboxdatabase“ werden dem anschließenden Befehl Add-ADPermission automatisch die Namen aller Datenbanken der Exchange Organisation übergeben. Man erspart sich auf diese Weise die explizite Angabe der Option -Identity für jede einzelne Datenbank.

Als Ergebnis des Kommandos erhält man eine Auflistung aller Datenbanken mit den jeweils vergebenen Rechten für den MAPIAccount in dieser Form:

Identity User ExtendedRights AccessRights Deny IsInherited

-------- ---- -------------- ------------ ---- -----------

DB_NAME < MAPIAccount > {Receive-As} {ExtendedRight} False False

DB_NAME < MAPIAccount > {Send-As} {ExtendedRight} False False

Um exemplarisch zu überprüfen, ob der MAPIAccount volle Zugriffsrechte auf das Postfach eines bestimmten Exchange Benutzers hat, verwendet man den folgenden Befehl:

Get-MailboxPermission -Identity "<ExchangeUser>" -User "< MAPIAccount >"

Man erhält dann eine Ausgabe in dieser Form (wichtig ist hier AccessRights = {FullAccess}):

Identity User AccessRights IsInherited Deny

-------- ---- ------------ ----------- ----

<ExchangeUser> < MAPIAccount > {FullAccess} True False

Um die speziellen Berechtigungen des MAPIAccounts wieder von allen Exchange Datenbanken zu entfernen, verwendet man dieses Kommando:

Get-Mailboxdatabase | Remove-ADPermission -AccessRights ExtendedRight -ExtendedRights Receive-As, Send-As -User "<MAPIAccount>"

Befinden sich in der Domäne mehrere Exchange Server, können die oben beschriebenen Kommandos auf allen Exchange Servern ausgeführt werden, indem der Befehl zum Auflisten aller Exchange Server vorangestellt wird:

Get-ExchangeServer | ...

Exchange 2016 / 2019

Die MAPI-Anbindung an den Exchange 2016 / 2019 Server erfordert die Installation von Microsoft Outlook 2016 (32-Bit) / 2019 (32-Bit) auf dem XPhone Connect Server. Es wird folgende Vorgehensweise empfohlen:

Nur bei Migration von Exchange 2013 oder älter nach Exchange 2016 / 2019:

• Löschen aller Datenquellen vom Typ private oder öffentliche Outlook Kontaktordner im Connect Directory

• In der Datei atlas.xml, die sich im Installationsverzeichnis des XPhone Connect Servers befindet, muss die Einstellung von RoHFlagsUseRoH auf off stehen:

  <Exchange>
      <mapi>
          <RoHFlagsUseRoH>off</RoHFlagsUseRoH>
      </mapi>
  </Exchange>
  

• Beenden Sie den XPhone Connect Servers Dienst

• Deinstallieren Sie über Systemsteuerung > Programme und Features Messaging API and Collaboration Data Objects 1.2.1

• Deinstallieren Sie ein ggf. vorhandenes Microsoft Office 2013 oder älter auf dem Server

Anbindung an Exchange 2016 / 2019

• Installieren Sie Microsoft Office 2016 / 2019 (32-Bit) mit den Komponenten Outlook und – je nach Bedarf - Word, Excel und Powerpoint. Für die MAPI-Anbindung ist nur Outlook erforderlich, die anderen Applikationen unterstützen das serverseitige Rendern von Fax-Dokumenten. Es muss sichergestellt werden, dass keine weitere Office-Version installiert ist!

• Überprüfen Sie, dass Microsoft Outlook als Standard-E-Mail-Client eingerichtet ist.

• Für das Dienstkonto des XPhone Connect Servers muss interaktives Windows-Logon auf dem XPhone Connect Server Rechner erlaubt sein. Das XPhone Connect Server Dienstkonto muss zuvor im Active Directory eingerichtet und mit ausreichenden Rechten im Exchange Server ausgestattet werden (siehe „MAPIAccount“ für XPhone Connect Dienste).

• Starten Sie Outlook 2016 / 2019 (32-Bit) und richten Sie ein Standard-MAPI-Profil ein. Der Cache Modus von Outlook muss ausgeschaltet werden!

• Das neu erstellte Profil muss als Standard Outlook Profil festgelegt werden.

• Zur Überprüfung der Berechtigungen empfiehlt es sich, das Postfach eines anderen Benutzers zu öffnen. Hinweis: Dazu soll unbedingt ein weiterer unkritischer Test-Account verwendet werden, damit keine unberechtigten Zugriffe auf Benutzer-Postfächer erfolgen! Außerdem sollte (sofern vorhanden) der Zugriff auf öffentliche Exchange Ordner überprüft werden. Wichtig ist insbesondere der Zugriff auf den Kontakt-Ordner.

• Installieren bzw. aktualisieren Sie denXPhone Connect Server.

• Ändern Sie das Dienstkonto des XPhone Connect Servers auf den MAPI-Account im XPhone Connect Server-Manager und starten Sie den XPhone Connect Server Dienst neu über den XPhone Connect Server-Manager

• Bestehende Datenquellen, die für ältere Exchange Server angelegt wurden, können nicht für Exchange 2016 / 2019 verwendet werden. Alle Datenquellen vom Typ private bzw. öffentliche Outlook Kontaktordner im Connect Directory müssen ggf. neu angelegt werden. Verwenden Sie dazu eine neue Bezeichnung für die Datenquelle.

MAPI Troubleshooting

Auf den C4B Supportseiten finden Sie aktuelle Hinweise zur Behebung von MAPI Problemen mit XPhone Connect: MAPI-Quiz

Exchange Mailbox Store Limits

Symptome

• MAPI Clients melden den Fehler „MAPI_E_FAILONEPROVIDER (0x8004011D)“.

• Im Eventlog des Exchange Servers gibt es entsprechende Warnungen oder Fehler:

  Source: MSExchangeIS, Mapi session "…./cn=<MAPIAccount>" exceeded the maximum of 32 objects of type "session"
  

Erklärung

Jeder Exchange Mailbox Server limitiert die maximale Anzahl von MAPI-Sessions pro User auf 32. Dieses Limit hat Microsoft eingeführt, um den Exchange Server vor fehlerhaft programmierten MAPI Clients oder Angriffen zu schützen. Der XPhone Connect Server Dienst läuft unter einem Domänen-Account mit vollen Zugriffsrechten auf alle Exchange Postfächer (MAPIAccount) damit:

• das XPhone Connect Directory auf öffentliche und private Outlook Kontaktordner zugreifen kann.

• der serverseitige Kalenderabgleich mit Exchange für die Präsenzsteuerung funktioniert.

• das Voicemail-System auf die im Exchange Server gespeicherten Voicemail-Nachrichten zugreifen kann.

Je nach Konfiguration des XPhone Connect Servers benötigt der MAPIAccount mehr als 32 gleichzeitige MAPI-Sessions auf dem Exchange Server. Die folgende Formel gibt den ungefähren Bedarf an:

Anzahl MAPI-Sessions für den MAPIAccount = N \* 5 \* ( O + P )


O: Anzahl öffentlicher Outlook Datenquellen im XPhone Connect Directory

P: Anzahl privater Outlook Datenquellen im XPhone Connect Directory (i.d.R. 1 oder 0)

N: Anzahl gleichzeitig unter dem MAPIAccount laufender XPhone Connect Server.

Mit 6 öffentlichen und einer privaten Outlook-Datenquelle kann das Limit schon überschritten werden: 1 \* 5 \* ( 6 + 1 ) = 35.

Abhilfe für Exchange 2016 und 2019

Bei einem Exchange Server wird das Limit für die erlaubten MAPI Sessions mit Hilfe einer sog. „Throttling Policy“ hochgesetzt. Zunächst wird eine neue Policy erzeugt, die anschließend dem MAPI-Account zugewiesen wird.

Dazu öffnet man die Exchange-Verwaltungsshell, eine spezielle Kommandozeilen-Oberfläche für den Exchange Server, und gibt folgende Kommandos ein:

New-ThrottlingPolicy NoThrottlingPolicy

Set-ThrottlingPolicy NoThrottlingPolicy -RCAMaxConcurrency Unlimited -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited

Set-Mailbox "User Name" -ThrottlingPolicy NoThrottlingPolicy

• Anschließend muss der Dienst „Microsoft Exchange Informationsspeicher“ (engl: „Microsoft Exchange Information Store“) neu gestartet werden. Während des Neustarts sind die Postfächer nicht erreichbar.

Ob die Einstellung erfolgreich war, lässt sich mit diesem Kommando überprüfen:

Get-Mailbox -Identity "<MAPIAccount>" | fl

Es werden alle Attribute der angegebenen Identity aufgelistet, unter anderem die neu hinzugefügte XPhoneServerThrottlingPolicy.

Oder:

Get-ThrottlingPolicyAssociation | more

Zur Auflistung aller Accounts.

Sollte die vorgenommene Maßnahme noch nicht zum Erfolg geführt haben, muss in der Registry noch folgender Key gesetzt werden:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem]"Maximum Allowed Sessions Per User"=dword:00000080

(in diesem Fall sind 128 Sessions erlaubt -> 80 in Hexadezimal)

Der Wert muss hoch genug sein, dass der Exchange Server ausreichend Sessions für den User vergeben kann, unter dem der XPhone Connect Server läuft.

Diese Änderung muss auf jedem Exchange Mailbox Server innerhalb einer Database Availability Group (DAG) durchgeführt werden. Ansonsten kann es zu inkonsistentem Verhalten kommen.

EWS

Achtung

Die EWS-Schnittstelle unterstützt derzeit nur den serverseitigen Kalenderabgleich. D.h. diese Schnittstelle bietet nicht den gleichen Funktionsumfang wie die MAPI-Schnittstelle (keine persönlichen Outlook-Kontakte und keine Voicemainfernabfrage).

Bei größeren Installationen ab rund 500 Benutzern empfiehlt sich für den serverseitigen Kalenderabgleich die Nutzung der EWS-Schnittstelle (Exchange Web Services). MAPI bleibt dabei weiterhin lokal über Outlook für den Service-User erhalten. EWS erlaubt eine besonders effiziente Verwaltung der Ressourcen und sorgt auch in umfangreichen Umgebungen für eine hohe Leistung und Stabilität.

1. Domänenbenutzer

Erstellen Sie einen Windows Benutzer in der Domäne

Um einen neuen Benutzer in einer Windows-Domäne zu erstellen, benötigen Sie administrative Rechte auf einem Domänencontroller mit Active Directory. Die Verwaltung erfolgt über die Active Directory-Benutzer und -Computer-Konsole (ADUC) oder Powershell.

1. Melden Sie sich an einem Domänencontroller oder einem Computer mit den installierten Remote Server Administration Tools (RSAT) an.

2. Öffnen Sie das Startmenü, geben Sie „Active Directory-Benutzer und -Computer“ ein und starten Sie die Anwendung.

3. Navigieren Sie im linken Bereich zu der Organisationseinheit (OU), in der der neue Benutzer erstellt werden soll.

4. Klicken Sie mit der rechten Maustaste auf die gewünschte OU, wählen Sie Neu und dann Benutzer.

   • Geben Sie die erforderlichen Informationen wie Vorname, Nachname und Anmeldename ein.

   • Klicken Sie auf Weiter.

   • Geben Sie ein initiales Kennwort für den Benutzer ein.

   • Wählen Sie die entsprechenden Kennwortoptionen, z.B. ob der Benutzer das Kennwort bei der nächsten Anmeldung ändern muss.

   • Klicken Sie auf Weiter und anschließend auf Fertig stellen.

Im Folgenden wird dieser Benutzer MAPIAccount genannt.

Achtung

Der MAPIAccount darf nicht Mitglied der Gruppe Domänen-Admins, Exchange Servers, Organisations-Admins und Exchange-Organisation-Administrators sein.

2. Exchange Postfach

Erstellen Sie ein Postfach für den MAPIAccount

Um im Exchange Server ein neues Benutzerpostfach über das Exchange Admin Center (EAC) zu erstellen, folgen Sie diesen Schritten:

1. Navigieren Sie im EAC zu Empfänger > Postfächer.

2. Klicken Sie auf Neu (Pluszeichen-Symbol) und wählen Sie Benutzerpostfach aus.

3. Füllen Sie die erforderlichen Felder aus, wie Alias, Vorname, Nachname, Anzeigename, Benutzeranmeldename (das ist der MAPIAccount) und Kennwort.

4. Klicken Sie auf Speichern, um das Postfach zu erstellen.

Weitere Details finden Sie in der offiziellen Microsoft AD-Benutzer-Dokumentation.

3. Mailbox Berechtigungen

Erteilen Sie FullAccess auf alle Exchange Postfächer

Diesem MAPIAccount müssen nun volle Zugriffsrechte (FullAccess) auf alle Exchange Postfächer erteilt werden. Damit der MAPIAccount volle Zugriffsrechte auf den Postfächern aller Datenbanken erhält, müssen die Berechtigungen Send-As und Receive-As vergeben werden:

Get-Mailboxdatabase | Add-ADPermission -AccessRights ExtendedRight -ExtendedRights Receive-As, Send-As -User "< MAPIAccount >" | ft identity,user,extendedrights,accessrights,deny,isinherited

Als Ergebnis des Kommandos erhält man eine Auflistung aller Datenbanken mit den jeweils vergebenen Rechten für den MAPIAccount in dieser Form:

Identity  User             ExtendedRights  AccessRights     Deny   IsInherited
--------  ---------------  --------------  ---------------  -----  -----------
DB_NAME   MAPIAccount      {Receive-As}    {ExtendedRight}  False  False
DB_NAME   MAPIAccount      {Send-As}       {ExtendedRight}  False  False

Um exemplarisch zu überprüfen, ob der MAPIAccount volle Zugriffsrechte auf das Postfach eines bestimmten Exchange Benutzers hat, verwendet man den folgenden Befehl:

Get-MailboxPermission -Identity "<ExchangeUser>" -User "MAPIAccount"

Man erhält dann eine Ausgabe in dieser Form (wichtig ist hier AccessRights = {FullAccess} ):

Identity        User              AccessRights   IsInherited   Deny
--------        ----              ------------   -----------   ----
<ExchangeUser>  MAPIAccount       {FullAccess}   True          False

Um die speziellen Berechtigungen des MAPIAccounts wieder von allen Exchange Datenbanken zu entfernen, verwendet man dieses Kommando:

Get-Mailboxdatabase | Remove-ADPermission -AccessRights ExtendedRight -ExtendedRights Receive-As, Send-As -User "< MAPIAccount >"

Befinden sich in der Domäne mehrere Exchange Server, können die oben beschriebenen Kommandos auf allen Exchange Servern ausgeführt werden, indem der Befehl zum Auflisten aller Exchange Server vorangestellt wird:

Get-ExchangeServer | ...

4. Mailbox Policy

Throttling Policy für MAPIAccount konfigurieren

Achtung

Diese Änderungen müssen auf jedem Exchange Mailbox Server innerhalb einer Database Availability Group (DAG) durchgeführt werden. Ansonsten kann es zu inkonsistentem Verhalten kommen.

Bei Verwendung des Kalenderabgleichs muss zusätzlich eine Throttling Policy erstellt und dem MAPIAccount zugewiesen werden. Öffnen Sie dazu die Exchange-Verwaltungsshell und führen Sie folgende Befehle aus:

New-ThrottlingPolicy NoThrottlingPolicy
Set-ThrottlingPolicy NoThrottlingPolicy -RCAMaxConcurrency Unlimited -EWSMaxConcurrency Unlimited -EWSMaxSubscriptions Unlimited -CPAMaxConcurrency Unlimited -EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-Mailbox "MAPIAccount" -ThrottlingPolicy NoThrottlingPolicy

Ob die Einstellung erfolgreich war, lässt sich mit diesem Kommando überprüfen:

Get-Mailbox -Identity "MAPIAccount" | fl

Es werden alle Attribute der angegebenen Identity aufgelistet, unter anderem die neu hinzugefügte XPhoneServerThrottlingPolicy.

Sollte die Policy das Throttling nicht verhindern (muss in den Exchange Logs eingesehen werden), muss in der Registry folgender Key gesetzt werden:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem]"Maximum Allowed Sessions Per User"=dword:00000080

In diesem Fall sind 128 Sitzungen erlaubt, was 80 in hexadezimaler Schreibweise entspricht.

5. Impersonierung

Neue Rollengruppe für ApplicationImpersonation erstellen

Dies ist eine Schritt-für-Schritt-Anleitung, wie im Exchange Admin Center (EAC) eine neue Rollengruppe mit dem Namen EwsImpersonationRoleGroup erstellt wird. Sie erhält die Rolle ApplicationImpersonation und als Mitglied wird das Konto MAPIAccount hinzugefügt.

• Anmelden am Exchange Admin Center

  • Melden Sie sich mit einem Exchange-Administrator-Konto am Exchange Admin Center (EAC) an.

  • Navigieren Sie zum Bereich Berechtigungen.

• Neue Rollengruppe erstellen

  • Klicken Sie auf das Symbol + (Neu) oder Add role group, um eine neue Rollengruppe zu erstellen.

  • Geben Sie im Feld Name den Namen EwsImpersonationRoleGroup ein.

  • Optional: Fügen Sie eine Beschreibung hinzu, beispielsweise: Rollengruppe für EWS-Impersonation.

• Rolle ApplicationImpersonation zuweisen

  • Suchen Sie im Bereich Rollen (Roles) die Rolle ApplicationImpersonation.

  • Markieren Sie ApplicationImpersonation und fügen Sie sie mithilfe des Hinzufügen-Buttons (oder Pfeilsymbols) der neuen Rollengruppe hinzu.

  Bemerkung

  Sollte die Rolle ApplicationImpersonation nicht angezeigt werden, stellen Sie sicher, dass Sie über ausreichende Rechte verfügen (z.B. Exchange-Administrator- oder Organisationsadministrator-Rechte).

• Mitglieder hinzufügen

  • Klicken Sie unter Mitglieder (Members) auf Hinzufügen.

  • Wählen Sie in der Liste den Benutzer bzw. das Konto MAPIAccount aus.

  • Bestätigen Sie die Auswahl.

• Speichern

  • Prüfen Sie die eingetragenen Werte:

    • Name: EwsImpersonationRoleGroup

    • Rollen: ApplicationImpersonation

    • Mitglieder: MAPIAccount

  • Klicken Sie auf Speichern (Save), um die neue Rollengruppe anzulegen.

Hinweis

Mit der Rolle ApplicationImpersonation kann das Konto MAPIAccount im Namen anderer Postfächer agieren (EWS-Impersonation). Stellen Sie sicher, dass nur Konten hinzugefügt werden, die diese Funktion wirklich benötigen, da ApplicationImpersonation weitreichende Zugriffsrechte auf Postfächer verleiht.

6. Outlook

Outlook installieren / konfigurieren

• Installieren Sie Microsoft Office 2016 oder 2019 (32-Bit). Für die MAPI-Anbindung ist nur Outlook erforderlich.

• Stellen Sie sicher, dass keine andere Office-Version installiert ist.

• Standard-Apps über die GUI festlegen:

  • Öffnen Sie das Startmenü und klicken auf das Zahnrad-Symbol (Einstellungen) oder drücken Sie Win + I auf der Tastatur.

  • Wählen Sie Apps aus.

  • Klicken Sie im linken Menü auf Standard-Apps.

  • Legen Sie die Standard-App für E-Mail fest. Klicken Sie dazu einfach auf E-Mail und wählen Sie Outlook aus.

• E-Mail-Profil anlegen

  • Drücken Sie die Tastenkombination Windows + R, um den Ausführen-Dialog zu öffnen.

  • Geben Sie den Befehl control ein und bestätigen Sie mit Enter.

  • Dadurch wird direkt die Systemsteuerung geöffnet.

  • Klicken Sie auf Mail (Microsoft Outlook 2016)(32-bit).

  • Klicken Sie auf Hinzufügen.

  • Geben Sie einen Namen für das Profil ein z.B. Outlook.

  • Konfigurieren Sie den MAPIAccount.

  • Wählen Sie das Profil aus und klicken Sie auf Einstellungen.

  • Klicken Sie auf E-Mail Accounts….

  • Achten Sie darauf, dass der MAPIAccount, als Default eingestellt ist.

  • Wechseln Sie auf den Tab Data Fields.

  • Klicken sie auf Einstellungen.

  • Wechseln Sie auf den Erweitert Tab und deaktivieren Sie den Cashed Exchange Modus.

    

  • Speichern Sie die Einstllungen.

  Hinweis

  Zur Überprüfung der Berechtigungen empfiehlt es sich, das Postfach eines anderen Benutzers zu öffnen. Verwenden Sie dazu unbedingt einen separaten, unkritischen Test-Account, um unberechtigte Zugriffe auf Benutzer-Postfächer zu vermeiden. Außerdem sollte - sofern vorhanden - der Zugriff auf öffentliche Exchange-Ordner überprüft werden. Besonders wichtig ist dabei der Zugriff auf den Kontaktordner.

7. XPhone Server

Voraussetzung & MAPIAccount konfigurieren

• Starten Sie den Installationsassistenten des XPhone Connect Servers und wählen Sie anschließend die MAPI Outlook-Option aus, wenn dies nicht schon gemacht wurde.

• Aktualisieren Sie den XPhone Server auf die neueste freigegebene Version.

• Tragen Sie über den Server-Manager den MAPIAccount als Dienstkonto ein.

• Erstellen Sie eine Datei im Installationsverzeichnis des XPhone Servers:

  z.B. C:\Program Files\C4B\XPhone Connect

  CalendarSyncExchange.config.xml

  <?xml version="1.0" encoding="utf-8"?>
  <configuration>
      <calendar_sync>
          <exchange>
              <events>
                  <advise Object="EwsStream"></advise>
              </events>
          </exchange>
      </calendar_sync>
  </configuration>
  

An diesem Punkt muss ebenfalls konfiguriert werden welche Methode der EWS Subscription verwendet werden soll. Hier hat man die Wahl zwischen:

• <advise Object="EwsStream"></advise>

  Bei Streaming-Benachrichtigungen hält der Client eine dauerhafte Verbindung zum Server aufrecht. Sobald in den abonnierten Postfächern oder Ordnern Änderungen auftreten, werden diese in Echtzeit an den Client gestreamt.

  • Ideal für Szenarien, in denen Updates ohne Verzögerung benötigt werden.

  • Ressourcenintensiver, da ständig eine offene Verbindung bestehen muss.

  • Für größere Umgebungen (mehr als 500 Benutzer) wird EWS Stream in der Regel empfohlen, um eine zuverlässige und skalierbare Lösung zu gewährleisten.

• <advise Object="EwsPull"></advise>

  Bei Pull-Benachrichtigungen fragt der Client den Server in regelmäßigen Abständen aktiv ab (Polling), um herauszufinden, ob neue Änderungen vorliegen.

  • Der Client sendet in festgelegten Intervallen Anfragen, um Benachrichtigungen abzurufen.

  • Ressourcenschonender als Streaming, bringt jedoch eine gewisse Verzögerung mit sich.

  • Eignet sich für Szenarien, in denen Echtzeitinformationen nicht zwingend erforderlich sind oder die Systemlast gering gehalten werden soll.

Web Administration

Einstellungen in der Web Administration

• Öffnen Sie die Web Administration und navigieren Sie zu:

  Benutzerverwaltung > Standort > Präsenzmanagement

• Wählen Sie im Abschnitt Einstellungen für Kalenderabgleich > Methode für Kalenderabgleich den Radiobutton Abgleich erfolgt zentral zwischen XPhone Connect Server und Microsoft Exchange Server.

• Konfigurieren Sie weitere Optionen im Abschnitt Einstellungen für Kalenderabgleich. Zur Auswahl stehen u.a.:

  • Definieren Sie, für welche Zeitspanne (z.B. 30 Tage im Voraus) Ihre Termine synchronisiert werden sollen.

  • Wählen Sie die Standard-Profilvorlage für automatisch synchronisierte Termine aus.

  • Entscheiden Sie ob der Betrefftext als Präsenztext angezeigt werden soll.

  Hinweis

  Beachten Sie, dass diese Einstellungen nur für neu angelegte Benutzer, oder Benutzer die selbst noch keine Konfiguration an der zugehörigen Stelle im Client vorgenommen haben, greifen. Sollten die Benutzer bereits angelegt worden sein / bereits eigens eingestellte Konfigurationen verwenden, können diese bei Bedarf auf den im Server konfigurierten Default zurückgesetzt werden. Nutzen Sie dafür die Funktion Einstellungen Präsenzmanagement zurücksetzen*

• Speichern Sie die Einstellungen.

Haben Sie einen Fehler auf dieser Seite gefunden?

Oder ist etwas nicht gut oder zu ungenau formuliert? Dann freuen wir uns über eine E-Mail, am besten mit einem Verbesserungsvorschlag, an doku@c4b.de. Vielen Dank!