Wechseln zu:Navigation, Suche
Wiki
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.
































De.png
En.png
Fr.png






Installation des SEWS-Tools und Import von Mailboxen
Letzte Anpassung zur Version: 3.1.0
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

v1.2


Einleitung

Das Securepoint EWS-Tool (SEWS-Tool) dient zum Import von E-Mails aus einem Microsoft Exchange Mailsystem in das Securepoint Unified Mail Archive (UMA).
Dafür wird die Exchange Web Services Schnittstelle des Microsoft Exchange verwendet.

Nutzungsvoraussetzungen

  • UMA ab Version 2.5.10
  • Exchange Server 2010 oder höher
  • Microsoft Windows 7 oder höher
  • .NET Framework 4.0 oder höher
  • Konfigurierte E-Mail-Konten im UMA, in die importiert werden kann
  • Zugriff über https (Port 443) freigegeben


Vorbereitung des UMA

Import mittels SEWS-Import Tool erlauben

In dem UMA muss die Nutzung des SEWS Tools unter Importieren / SEWS / Abschnitt SEWS Import aktiviert werden.


Vorbereitung des Exchange und Active Directory

Damit das SEWS Tool genutzt werden kann, wird ein Benutzer im Active Directory benötigt, der das Recht auf die Postfächer anderer Benutzer zuzugreifen besitzt. Im Exchange Server muss zusätzlich die Postfachberechtigung für den Import gesetzt werden.


Die Einstellungspunkte können sich, je nach Exchange Server Version, an einer anderen Stelle befinden.



Postfachberechtigung in Exchange setzen:

Exchange Server 2010
Zugriffberechtigung für Superuser erteilen

Die einfachste Einstellung erfolgt mit der Exchange Management Shell.
Das Kommando um dem Benutzer superuser in der Domäne securepointdemo.local die Berechtigung für den Vollzugriff für das Postfach User1 zu erteilen lautet:
Add-MailboxPermission User1 -User 'Securepointdemo\superuser' -AccessRights 'FullAccess'

Sollte der NETBIOS/WORKGROUP-Name von der Domäne abweichen, muss darauf geachtet werden, dass hier der korrekte Eintrag mit dem NETBIOS-Namen erfolgt. In diesem Beispiel also Securepointdemo.


SEWS Exchange 2010 Vollzugriff.PNG

In der Exchange-Verwaltungskonsole kann dieses unter Empfängerkonfiguration / Postfach im Kontextmenü des jeweiligen Postfach-Empfängers mit dem Eintrag: Berechtigung "Vollzugriff" verwalten... eingestellt werden.


Exchange Server 2013

Ab Exchange Server 2013 kann dies auch in der Benutzerverwaltung eingestellt werden.

Exchange Server 2016
  • Der Befehl für die Vergabe der Berechtigung per Powershell muss um -InheritanceType All ergänzt werden.
    Add-MailboxPermission User1 -User 'Securepointdemo\superuser' -AccessRights 'FullAccess' -InheritanceType All
  • Exchange Online / Azure
    Benutzerberechtigung in Exchange online erteilen
    • Exchange Admin Center aufrufen
    • Benutzer auswählen und bearbeiten ()
    • Abschnitt Postfachstellvertretung
    • Full Access
    • Eintrag hinzufügen
    • Benutzer mit Administratorberechtigung, der für den Import verwendet werden soll, auswählen
    • Speichern mit Schaltfläche Save
    Step-by-step.png
    SEWS MS365 admin center.png
    • Microsoft 365 Admin Center
    • ... Alle anzeigen
    SEWS MS365 admin center Exchange.png
    • Menü Exchange
    SEWS Exchange admin center auswahl.png
    • Menü Empfänger
    SEWS Exchange Admin Center.png
    • Benutzer auswählen
    • Bearbeiten ()
    SEWS Exchange admin center mailboxdelegation.png
    • Menü Postfachstellvertretung Abschnitt Vollzugriff
    • Eintrag hinzufügen
    SEWS Exchange admin center Admin Admin-hinzufügen.png
    • Benutzer mit Administratorberechtigung, der für den Import verwendet werden soll, auswählen
    • Hinzufügen
    • Übernehmen mit Schaltfläche OK
    SEWS Exchange admin center Admin user.png
    Übernehmen mit Speichern












    App-Registrierung im Azure AD

    Damit das SEWS-Tool auf Exchange online zugreifen darf, muss zusätzlich eine App Berechtigung im Azure AD erstellt werden.

  • Hierfür wird ein Benutzer mit der Berechtigung Globaler Administrator und eigenem Postfach/Lizenz benötigt!
    Die ersten vorbereitenden Schritte kann jedoch auch ein normaler Administrator durchführen.
    • Aufruf Microsoft Azure Active Directory
    • App-Registrierungen
    • Neue App-Registrierung mit Kontotypen anlegen
    • Api-Berechtigungen hinzufügen:
      • Microsoft Graph - Delegierte Berechtigungen - EWS - EWS.AccessAsUser.All
      • Microsoft Graph - Delegierte Berechtigungen - People - People.ReadAll
      • Microsoft Graph - Delegierte Berechtigungen - User - User.ReadWrite.All
    • Unter Authentifizierung den Standardclienttyp als öffentlich auf Ja einstellen
    Step-by-step.png
    UMA v3.3.1 SEWS-Azure.png
    Aufruf von Microsoft Azure und Auswahl des Azure Active Directory
    UMA v3.3.1 SEWS-Azure-AD Menu-App.png
    Aufruf App-Registrierungen im Menü
    UMA v3.3.1 SEWS Azure-AD App hinzufügen.png
    Schaltfläche Neue Registrierung
    UMA v3.3.1 SEWS Azure-AD App registrieren.png
    • Vergabe eines eindeutigen Namens
    • Auswahl der benötigten Kontotypen
    • Eine Umleitungs-URI ist nicht erforderlich
    • Schaltfläche Registrieren
    UMA v3.3.1 SEWS Azure-AD App API-Berechtigungen.png
    Menü Api-Berechtigungen aufrufen
    UMA v3.3.1 SEWS Azure-AD App API-Berechtigungen hinzufügen.png
    Schaltfläche Berechtigung hinzufügen
    UMA v3.3.1 SEWS Azure-AD App API-MS Graph.png
    Api Microsoft Graph auswählen
    UMA v3.3.1 SEWS Azure-AD App API-MS Graph-delegierte Berechtigung.png
    Schaltfläche Delegierte Berechtigungen auswählen
    UMA v3.3.1 SEWS Azure-AD App API-MS Graph-delegierte Berechtigung-EWS.png
    Api-Berechtigung EWS.AccessAsUser.All erteilen
    UMA v3.3.1 SEWS Azure-AD App API-MS Graph-delegierte Berechtigung-Mail.png
    Api-Berechtigungen Mail.Read, Mail.ReadWrite und Mail.ReadWrite.Shared erteilen
    UMA v3.3.1 SEWS Azure-AD App API-MS Graph-delegierte Berechtigung-People.png
    Api-Berechtigung People.Read.All hinzufügen
    UMA v3.3.1 SEWS Azure-AD App API-MS Graph-delegierte Berechtigung-User.png
    Api-Berechtigung User.Read.All hinzufügen
    Zum schnelleren Auffinden lassen sich die Einträge in der Suchzeile (...filtern)
    UMA v3.3.1 SEWS Fehlende Berechtigung.png
    Wurde bisher ohne Globale Administratorberechtigung gearbeitet, ist nun die Zustimmung eines Solchen erforderlich
    UMA v3.3.1 SEWS Azure-AD App API-Berechtigungen konfiguriert.png
    Konfigurierte Berechtigungen
    UMA v3.3.1 SEWS Azure-AD App Authentifizierung.png
    Aufruf Menü Authentifizierung
    UMA v3.3.1 SEWS Azure-AD App Authentifizierung Standardclienttyp.png
    Konfiguration im Abschnitt Erweiterte Einstellungen / 'Standardclienttyp
    Hiermit wird eine Anwendung als öffentlicher Client eingestuft. Auf
    Ja
    Nein
    einstellen.






    Exchange-Online Einstellungen im SEWS Tool

    Zusätzliche Konfiguration im SEWS-Tool für die Anbindung an Exchange Online:

    • Schaltfläche Exchange-Online Einstellungen
    • Anwendungs-ID aus dem Azure AD: Anwendungs-ID (Client)
    • Tenant-ID aus dem Azure AD: Verzeichnis-ID (Mandant)
    • Entsprechende Cloud auswählen. Meistens genügt Azure Cloud Global.
    • Geheimer Wert, bei aktivierten Authentifzierung über App, nur bei Multi-Faktor-Authentifizierung benötigt
    Step-by-step.png
    UMA v3.3.1 SEWS Azure-AD App IDs.png
    Menü App-Registrierungen / Name der App auswählen / App-Übersicht
    Anwendungs-ID (Client) und Verzeichnis-ID (Mandant)
    Die Einträge lassen sich jeweils mit dem Symbol in die Zwischenablage kopieren.
    UMA v3.3.1 SEWS Exchange Online Settings.png
    • Schaltfläche Exchange-Online Einstellungen
    • Anwendungs-ID aus dem Azure AD: Anwendungs-ID (Client)
    • Tenant-ID aus dem Azure AD: Verzeichnis-ID (Mandant)
    • Entsprechende Cloud auswählen. Meistens genügt Azure Cloud Global.
    • Geheimer Wert, bei aktivierten Authentifzierung über App, nur bei Multi-Faktor-Authentifizierung benötigt













    Einschränkung für gemischte AD-Umgebungen
  • Werden Benutzer über ein Azure AD angebunden, können entweder nur Cloud-Konten verwendet werden oder ausschließlich lokal synchronisierte Konten.
    Es ist nicht möglich, Konten aus gemischten Umgebungen gleichzeitig zu importieren.
    Benutzer, die ausschließlich in der Azure-Cloud angelegt sind (deren Verzeichnis also nicht synchronisiert ist) müssen im z.Zt. UMA manuell angelegt werden.

  • Installation des SEWS Import Tool

    • Das SEWS Tool kann aus dem Resellerportal heruntergeladen werden: Resellerportal Downloads
    • Die Installation wird nach dem Herunterladen mit einem Doppelklick auf die SEWS_Installer.exe als Administrator gestartet.
    • Nach dem Wählen der gewünschten Sprache sowie Bestätigen der Lizenzvereinbarung muss ein Installationsort gewählt werden
    • Mit einem Klick auf "Beenden" ist die Installation abgeschlossen. Das Tool kann nun gestartet werden.
    Step-by-step.png
    SEWS v3.0.2 Installation UAC.PNG
    Für die Installation muss die App-Berechtigung für Änderungen an Ihrem Gerät zugelassen werden
    SEWS v3.0.2 Installation Sprache.PNG
    gewünschte Sprache auswählen
    SEWS v3.0.2 Installation Willkommen.PNG
    Willkommensmaske
    SEWS v3.0.2 Installation Lizenzbedingungen.PNG
    Lizenzbedingungen müssen akzeptiert werden
    SEWS v3.0.2 Installation Installationspfad.PNG
    Installationspfad ggf. anpassen
    SEWS v3.0.2 Installation Fertig.PNG
    Installation abschließen mit Fertig












    UMA Import via SEWS Import Tool

    Das SEWS Import Tool wird über die Anwendungsdatei (.exe) gestartet.

    Konfiguration

    1. Konfiguration

    Beschriftung Wert Beschreibung SEWS Konfiguration.PNG
    Konfiguration
    Neue Konfiguration Anlegen einer neuen Konfiguration
    Konfiguration laden Verschiedene gespeicherte Konfigurationen können geladen oder kopiert werden.
    Ebenso ist der Import aus einer Datei möglich.
    Konfigurationsname TTT-Point SEWS Frei wählbarer Name
    Microsoft Exchange
    Microsoft Exchange®-Benutzername administrator@ttt-point.onmicrosoft.com Der Benutzername wird aus dem Abschnitt Konfiguration übernommen
    E-Mail-Adresse: administrator@ttt-point.onmicrosoft.com E-Mail-Adresse des Benutzers
    Securepoint UMA
    Host/IP-Adresse 192.168.168.168 Hostname oder IP-Adresse des UMA
    Konfiguration speichern Ein Klick auf "Konfiguration Speichern" sichert selbige. Dies erscheint auch als Info-Meldung im unteren LOG-Bereich.
    Exchange-Online Einstellungen
    Mandanten-ID: ******************** aus dem Azure AD: Verzeichnis-ID (Mandant) SEWS Konfiguration Exchange-Online-Seetings.png
    Anwendungs-ID: ******************** aus dem Azure AD: Anwendungs-ID (Client)
     Authentifizierung über App Bei Aktivierung genügen Mandanten-ID, Anwendungs-ID und Geheimer Wert um mit Azure AD verbinden zu können.
    Geheimer Wert: ******************** Wird eingeblendet und benötigt bei aktivierter Authentifizierung über App.
    Für den Geheimen Wert siehe Benutzer aus einem Azure AD einbinden.
    Azure Cloud: Azure Cloud Global
    Azure Cloud China
    Azure Cloud US Goverment
    Die passende Azure Cloud auswählen
    siehe Exchange-Online Einstellungen im SEWS Tool


    Exchange-Browser

    2. Exchange-Browser

    Exchange-Browser

    Vorgehen in drei Schritten:

    1. Eingabe des Passworts für den Import-User
    2. Anklicken von Exchange auslesen
    3. In dem Feld "Exchange Browser" erscheinen unter dem Oberbegriff "Exchange Alias" die User, auf die der Import-User entsprechende Berechtigungen hat.
      Nach dem Auslesen kann pro Benutzer eine Auswahl der zu importierenden Daten getroffen werden.
  • Wird der lokale Exchange-Server oder das lokale AD nicht erreicht, erscheint ein POP-UP, in dem der Pfad des Exchange sowie die IP des AD manuell eingegeben werden muss. Im Folgenden sind die Zertifikate der Server noch zu installieren und die Zertifikatsmeldungen mit "Ja" zu bestätigen.
  • Vorgehen bei UMAaaS:
    Vorgehen bei UMAaaS:

    Konten aus CSV-Datei auslesen

    Wenn das UMA ausschließlich mit lokalen Benutzerkonten arbeitet (z.B. UMAaaS), kann die Kontenauswahl über eine CSV-Datei getroffen werden.


    Aufbau der CSV-Datei:
    AnzeigeName,UMA-User-Name,E-Mail-im-Azure

    Beispiel:
    rabbit,wonderland,alice@anyideas.de
    james,jamesk,jameskirk@anyideas.onmicrosoft.com
    "Klara Fall","klara","klara.fall@anyideas.de

    Im Beispiel wird im SEWS der Account rabbit, mit den Ordnern von alice@anyideas.de angezeigt.
    Importiert man diese, werden sie im UMA unter dem lokalen User wonderland gespeichert.

    Die CSV-Datei sollte nicht mit Excel erstellt werden. Es kann zu Formatierungsfehlern kommen und somit zu Problemen beim Encoding. Ein schlichter Editor wie z.B. Notepad kann verwendet werden.


    Filter

    3. Filter

    Filter

    In dem Bereich "Filter" können über Neue Regel erstellen Filterregeln angelegt werden, welche E-Mails anhand von Betreff, AN, VON, CC oder X-Header Eintrag explizit vom Import ausnehmen oder aber explizit archivieren. Filterregeln können mit "und/oder" Verknüpft werden. In dem unteren Beispiel werden explizit E-Mails von einem bestimmten Absender an eine bestimmte Adresse von der Archivierung ausgenommen.

    Wird keine Filterregel angelegt wird alles archiviert!

    Zusätzlich werden grundsätzlich alle E-Mails, auch solche, die über das SEWS-Tool importiert werden, anhand der Blocklist-Einstellungen im UMA Admin Interface gefiltert



    Import

    4. Import

    Import
    Beschriftung Wert Beschreibung
    Abschnitt Anmeldedaten
    Microsoft Exchange®-Benutzername import-user@ttt-point.onmicrosoft.com Der Benutzername wird aus dem Abschnitt Konfiguration übernommen
    Passwort •••••• Passwort des Exchange Import-Benutzers.
    Wird aus dem Abschnitt Exchange-Browser übernommen, sofern dort bereits verwendet.
    UMA-Admin-Passwort •••••• Passwort des Administrators für das UMA-Admin Interface
    Abschnitt Neuer Import
    Start Startet den Import
    Damit die Mails auch tatsächlich archiviert werden können, müssen im UMA entsprechende E-Mail-Konten konfiguriert sein, denen die Mails zugeordnet werden können.
    Testlauf Der Testlauf dient zur Überprüfung, ob alles Daten importiert werden können. Ggf. können einzelne Mails auf Fehler überprüft werden. Die Mails werden zwar verarbeitet, aber nicht importiert.
    Abschnitt Vorherige Importe
    Fortsetzen Ein Import kann unterbrochen werden (manuell mit Stop oder durch Fehlermeldungen) und lässt sich hiermit Fortsetzen
    Fehler anzeigen Zeigt E-Mails mit Accountname, Verzeichnispfad, Ordnername, Betreff, Fehlermeldung, Import-Datum, Sender und EmailMessageID an

    Sonstige Optionen

    Sonstige Optionen

    Sonstige Optionen

    Einstellungen für Mailbehandlung und das Logging

    Beschriftung Standardwert: Beschreibung
    E-Mail-Queue-Pfad: C:\Users\ttt-point-admin\AppData\Local\Temp\ Pfad der E-Mail-Queue
    E-Mail-Queue-Größe: 100 MB die Größe der E-Mail-Queue
    Max. E-Mail-Fehler: 0 Maximale Anzahl von Fehlern bevor ein Import abgebrochen wird.
    In der Praxis hat es sich bewährt, einen Wert der ca. 5-10% der insgesamt zu importierenden Mails entspricht anzugeben.
      
    Erfolgreich hochgeladene E-Mails bei Fortsetzung oder neuem Versuch noch einmal hochladen. Hilfreich, wenn bereits importierte Mails durch ein Restore oder neu Aufsetzen des UMA nicht mehr vorliegen sollten.
    Den Importprozess bei Fehlern, die sich nicht auf eine spezifische E-Mail beziehen, anhalten. Bei Fehlern in der Kommunikation oder Konfiguration kann ein Import i.d.R. nicht durchgeführt werden und wird daher per Default abgebrochen. Eine Deaktivierung ist zum Debuggen möglich.

    Exchange-Verbindungen 6 Anzahl der Datenkanäle zum Exchange-Server.
    Kann je nach Performance des Systems angepasst werden.
    Gleichzeitig verarbeitete Ordner: 3 Anzahl der Ordner, die maximal je Exchange Verbindung bearbeitet werden können
    Gleichzeitig verarbeitete E-Mails in Ordnern 3 Anzahl der E-Mails, die maximal je Ordner verarbeitet werden können
    Abschnitt Log-Optionen
    Log-Level in der Benutzeroberfläche Trace Logmeldungen die im unteren Teil des Anwendungsfenster gezeigt werden
    Log-Level in der Log-Datei Trace Logmeldungen, die in der Log-Datei gespeichert werden
    Table-check.png
    User Trace Zeigt nur Benutzermeldungen an
    Info Zeigt zusätzlich Statusinformationen an
    Notice Zeigt zusätzlich Hinweise
    Warning Zeigt zusätzlich Warnungen an
    Error Zeigt zusätzlich Fehlermeldungen an
    Verbose Zeigt zusätzlich alle Kommunikationsmeldungen an
    Debug Zeigt zusätzlich die wichtigsten Kommunikationsmeldungen an
    Trace Zeigt alle Meldungen an
    Vorheriges Log beim Konfigurationsladen mit anzeigen Zeigt das vorherige Log einer bestehende Konfiguration im Anwendungsfenster, wenn ebendiese geladen wird

    Fehlerbehebung

    Fehlermeldung Fehlermeldung im Log Ursache Lösung
    Fehler bei der Exchange-Verbindung Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler.
    The server cannot service this request right now. Try again later.
    Beim Importieren einer großen Anzahl von E-Mails ist es möglich, dass die Verbindung abgebrochen (throttled) wird. Das kann an der Throttling Policy des Exchange Servers liegen.
    • Bei lokalen Exchange Servern kann der Admin die Throttling Policy ändern
    • Bei Exchange Online muss die Änderung der Throttling Policy vom Microsoft Support durchgeführt werden.
    Der Import bricht zu einem unbestimmten Zeitpunkt ab. Der Abbruch ist abhängig von der Throttling Policy des Exchange Servers. Es können auch erst nach 1-2 Stunden Probleme auftreten.
    • Die Einstellungen im Tool für die Exchange Verbindungen anpassen
    • Es ist auch möglich die Throttling Policy anzupassen
      • Mit Administratorenrechten im Office 365 einloggen
      • Unter Navigation anpassen/Alle auswählen aktivieren und abspeichern
      • Unter Support auf Neue Serviceanfragen klicken
      • Nach Throttling (Drosselung) suchen und auf EWS-Drosselungsrichtlinie erhöhen klicken
      • Auf Test ausführen klicken
      • Nach dem Diagnosetest Dauer in Tagen einstellen, das Kontrollkästchen aktivieren und auf Einstellungen aktualisieren klicken.
      • Nach der Erfolgsmeldung den Test nach 15 Minuten wiederholen. Es erscheint eine Nachricht, dass der Exchange-Dienst nicht weiter gedrosselt wird.