Zunächst ist im Exchange Control Panel (ECP) einen neuen Kontakt (nicht Benutzer!) anzulegen.
Dabei können die Felder
Vorname
Initialen
Nachname
leer bleiben.
Unter
*Anzeigename
*Name
*Alias
sollte jeweils ein identischer Eintrag erfolgen, welcher mit einem Sonderzeichen wie zum Beispiel einem Unterstrich «_» beginnt (siehe auch Verzögerter Start von MS Outlook) und gegebenenfalls auch auf IME hindeutet, wie zum Beispiel
_IME
oder
#domain-confidentiality-authority
Als
*Externe E-Mail-Adresse
ist der Eintrag aus dem CN (Common Name) des IME Zertifikates (siehe auch SEPPmail Secure E-Mail Gateway, vierter Absatz) zu verwenden. dieser lautet in der Regel wie in folgendem Beispiel
domain-confidentiality-authority@ime.meinefirma.tld
wobei meinefirma.tld dem Domain Name der Managed Domain entspricht, für welche IME eingerichtet werden soll.
In
Organisationseinheit
ist in der Regel der Pfad auszuwählen, in welchem per Standard «Kontakte» abgelegt werden. Häufig lautet dieser
meinefirma.tld/Benutzer/Kontakte.
Nun ist das IME Zertifikat der jeweiligen Managed Domain auf den Windows Domaincontroller/Exchange Server abzulegen, zum Beispiel unter
C:\Temp\Domain_certificate_for_ime.meinefirma.tld.crt
In einer Windows PowerShell mit entsprechenden Admin-Rechten wird nun durch Eingabe des Befehls
certutil.exe –dspublish C:\Temp\Domain_certificate_for_ime.meinefirma.tld.cer
das Zertifikat dem zuvor angelegten Kontakt, aufgrund des Übereinstimmens des «CN» aus dem Zertifikat und «*Externe E-Mail-Adresse» aus dem Kontakt, zugeordnet.
Die Rückmeldung des Befehls (anhand des Beispielnamens _IME sollte dann in etwa
CN=_IME,OU=Kontakte,OU=Benutzer,DC=meinefirma,DC=tld?userCertificate
Zertifikat wurde zum Verzeichnisdienstspeicher hinzugefügt.
CertUtil: -dsPublish-Befehl wurde erfolgreich ausgeführt.
lauten
Für das Überprüfen des Erfolgs dieses Vorgangs kann nun der Kontakt im «ADSI Editor» geöffnet werden.
Dazu ist im ADSI Editor der Pfad zu wählen, welcher bei der Anlage des Kontakts unter «Organisationseinheit» gewählt wurde. Dort sind nun die Eigenschaften des Kontaktes -im Beispiel «CN=_IME» (beziehungsweise «CN=#domain-confidentiality-authority») durch Klick mit der rechten Maustaste zu wählen.
Im sich öffnenden Fenster ist nun auf den Karteikartenreiter «Attribute Editor» zu wechseln und bis zum «Attribute» «userCertificate» zu scrollen.
Dieses «Attribute» sollte nur einen «Wert» aufweisen, welcher in etwa wie folgt aussehen könnte:
\30\82\06\68\30\83\05\50\AD\03\02\01\...
Abschliessend sollte in der Exchange-Shell zunächst die Globale Adressliste und im Anschluss die Offline Adressbücher aktualisiert werden.
Dabei kann mit
Get-GlobalAddressList
der Name der Globalen AdressListe herausgefunden werden, in der Regel lautet dieser
Globale Standardadressliste
Diese wird nun mittels
Update-GlobalAddressList -Identity Globale Standardadressliste
aktualisiert.
Nun sollten noch die Offline Adressbücher entsprechend aktualisiert werden. Ausgelesen werden die vorhandenen Offline Adressbücher mittels
Get-OfflineAddressBook
In der Rückgabe werden die Namen der Offline Adressbücher sowie die jeweils zugehörige Adressliste angezeigt, in etwa
Name |
Versions |
AddressLists |
Standard-Offlineadressbuch |
{Version 4} |
{\Globale Standardadressliste} |
OAB-XYZ |
{Version 4} |
{\Globale Standardadressliste} |
Im Beispiel sollten also alle Offline Adressbücher, welche der AddressList {\Globale Standardadressliste} angehören mittels
Get-OfflineAddressBook -Identity "Standard-Offlineadressbuch"
Get-OfflineAddressBook -Identity "OAB-XYZ"
aktualisiert werden.
