Migrationsanleitung 2033 zu 2034

Mit der folgenden Kurzanleitung werden die notwendigen Update Schritte erläutert und zusätzlich Best Practice Empfehlungen / Optimierungsmöglichkeiten vermittelt.

Bevor Sie das Update der REDDOXX Appliance auf 2034 durchführen, stellen Sie bitte sicher, dass ein Backup sowohl der Appliance als auch (falls in Verwendung)
des Archiv Storages / der Archiv Container vorliegt.

Beachten Sie, dass ebenfalls neue User Interfaces nach dem Update notwendig sein werden: https://www.reddoxx.com/support#downloads
Mit den alten User Interfaces ist kein Zugriff mehr auf die neue Version der Appliance möglich, dies muss in einem entsprechenden Rollout berücksichtigt werden.
Bei Verwendung des REDDOXX Outlook Addins / Plugins ist zusätzlich noch REDDOXX Desktop notwendig

Bitte Prüfen Sie auch im Vorfeld, dass die Bedingungen hinsichtlich Hardware / Virtuelle Maschinen für 2034 erfüllt sind.

Mit 2034 sind einige neue Firewall Einstellungen - insbesondere hier Port 80 / 443 - nötig, bitte prüfen Sie dies vor dem Update damit auch Hotfixe installiert werden können.

Falls Sie das MailDepot verwenden, achten Sie darauf, dass hier ein performantes Storage verwendet werden sollte, da bei dem Update die Container hinsichtlich der Dokumentenanzahl durchgezählt werden.
Erst nachdem dieser Vorgang beendet ist, kann die Appliance wieder Mails verarbeiten. Gerade bei langsamen Storages oder großen bzw. vielen Container kann dies mehrere Stunden dauern.
Dies sollte entsprechend bei der Planung des Zeitpunktes für das Update berücksichtigt werden.

Mit der Version 2034 werden MailDepot Basis Lizenzen nicht mehr verwendet, unser Vertriebsteam wandelt diese auch gerne schon vorab in Premium Lizenzen um

Gerne können Sie sich im Vorfeld auch Anhand der Video Screencasts mit den groben Einstellungsmöglichkeiten und den neuen Funktionen vertraut machen.

Die Version 2034 bringt wichtige Änderungen hinsichtlich der LDAP Anbindung mit sich:

  • hier werden zur Zeit nur Local und Microsoft AD Realms unterstützt.
    Solange andere Anbindungen (Novell, Openldap, Lotus Notes etc.) im Einsatz sind, ist ein Update nicht möglich.
    Da diese Realm Anbindungen mit 2034 SP1 unterstützt werden, können diese im Vorfeld gelöscht und nach Update auf 2034 SP1 wieder erstellt werden, es bietet sich dabei allerdings an den Realm und Sync zunächst auf einer parallel installierten 2034 SP1 Appliance zu testen.
  • Während dem Update auf 2034 werden die angelegten User und somit auch die Berechtigungen (Kategorie Zugriffe, Stellvertreter Policies, Audit Berechtigungen)
    entfernt und müssen nach dem Update wieder angepasst werden.
  • Zur Unterstützung wird dafür während der Migration ein Dummy Realm angelegt, jeweils mit dem prefix "rdx2033-" in welchem die alten Benutzer noch vorhanden sind
    Damit können die ehemaligen Berechtigungen nach dem Update leichter wiederhergestellt werden
  • Da insbesondere durch die AD Synchronisation allerdings dann auch der Zugriff auf AD Gruppen, Shared Mailboxen und Public Folders berücksichtigt wird,
    sind danach Stellvertreter Berechtigungen in der Form auch gar nicht mehr notwendig.

Im Bereich Spamfinder sind ebenfalls einige Änderungen zu berücksichtigen:

  • Es werden die RBL und Antispoofing Filter aus den Profilbasierten Filtern entkoppelt und bereits beim SMTP Verbindungsaufbau angewendet.
  • Weiterhin gibt es bei den Filterprofilen keine Option zum Markieren oder Ablehnen, erkannter Spam ist damit immer in einer Quarantäne / Ciss oder VirenQueue.
  • Userbasierte Filtereinstellungen für AD Benutzer werden bei dem Update nicht übernommen. Hier sollten die User entsprechend im Vorfeld informiert werden,
    damit sie etwaige wichtige Einstellungen notieren und nachträglich wieder eintragen können.

Allgemeine Inkompatibilitäten

  • Gesperrt ist das Update für Cluster Umgebungen sowie Appliances bei denen der MailSealer Light eingesetzt wird.

Führen Sie im Admin Webinterface => Diagnose Center => Firmware die Installation aller eventuell fehlender Hotfixe (Hotfixe auf Install + Start) durch.
Falls Hotfixe installiert wurden, starten Sie die Appliance anschließend neu.

Prüfen Sie über die Diagnose „Health Status“ den allgemeinen Zustand der Appliance und beheben etwaige auftretende Warnungen oder Fehler.
Über die F1 Taste erhalten Sie bei jeder Diagnose entsprechende Hilfe in der Kontextbasierten Online Dokumentation.

Achten Sie ebenfalls darauf, dass die DNS Konfiguration der Appliance (Admin Webinterface => Konfiguration => Network) korrekt ist und nicht eine Mischung von Extern / Internen DNS Server verwendet werden.

  • Löschen Sie Benutzer und Realms, falls diese via Novell eDirectory, Lotus Domino, OpenLDAP oder OpenExchange AE angebunden sind und trotzdem ein Update durchgeführt werden soll.
    Beachten Sie, dass es mit 2034 zunächst keine AD Anbindung an diese Systeme gibt und User / E-Mail-Adressen dann lokal angelegt werden müssen.
    Die Realm / User und Gruppen Verwaltung erreichen Sie im Admin Webinterface über Administration => User and Groups
  • Konfigurieren Sie ein Storage (Konfiguration => Storages) und hinterlegen dies als Storage für Backups via Administration => Backup and Restore => Einstellungen
  • Nach dem Update werden die nicht mehr wirksamen alten Berechtigungen über eine Kopie der Realms mit prefix "rdx2033-" angezeigt und müssen dann manuell korrigiert werden
    Für Stellvertreter Richtlinien bei denen "Auf alle Benutzer anwenden" aktiviert war, gibt es eine dummy "apply to all users" gruppe die dies reflektiert.
    Notieren Sie sich dennoch zur Sicherheit die Berechtigungen in Kategorien (Maildepot => Categories) , Stellvertreter Richtlinien (Administration => User and Groups => Policies) und Audits (Maildepot => Audit Sessions) sowie Zugehörigkeiten von Usern in entsprechenden Gruppen
  • Stellen Sie sicher, dass die Appliance mindestens 4 GB Arbeitsspeicher erhält (Diagnosecenter => Memory zur schnellen Prüfung der aktuellen Ausstattung)
    Sollte die Appliance die Spamfinder Funktion mit aktiviertem Virenscanner und die Archivierung im Mailflow vornehmen, wären 6 oder 8 GB Arbeitsspeicher optimaler

  • Prüfen Sie, ob die Aufbewahrungszeit für Logfiles (Administration => Logfiles => Einstellungen) konfiguriert ist (wir empfehlen hier 30 Tage und archivieren bevor Löschen)
  • Prüfen Sie, ob angelegte Archiv Policies (MailDepot => Archiv Policies) und Archiv Tasks (MailDepot => Archiv Tasks) noch notwendig sind

  • Laden Sie das Update herunter (Administration => Updates => Updates anfordern)
  • Starten Sie die Installation, hier wird zunächst ein Pre Migration Check und ein Migration Check durchgeführt, der ein Update nötigenfalls verhindert, falls Hinderungsgründe bestehen
  • Falls Sie sich sicher sind, dass Sie die Warnungen ignorieren möchten, starten Sie im Diagnose Center die Pre-Migration Check Diagnose mit Ignore Warnings => Selbsttest aktivieren => Parameter für den Selbsttest aktualisieren => Start und führen den Update Vorgang erneut durch. Dies betrifft nur Warnungen, Fehler (Errors) können nicht ignoriert werden.
  • Nachdem das Update installiert und mit OK abgeschlossen wird, ist zunächst eine Anmeldung im Browserfenster nicht möglich, falls im Browser Caching aktiviert ist leeren Sie daher zunächst den Browser Cache oder wechseln auf einen Privaten Tab

Im Anschluß an die Installation müssen einige Konfiguration noch angepasst werden:

Configuration

  • Passen Sie hier den SMTP Host an und prüfen ob die Appliance Benachrichtigung (Test Notification) erfolgreich zugestellt werden kann
  • Prüfen Sie die DNS Einstellungen unter Konfiugration => Network => Allgemein (insbesondere das neue Eingabefeld Search Domains)
  • In der Konfiguration für den POP3 Proxy kann jetzt im Bereich TLS Settings das zu verwendende TLS Zertifikat gewählt werden

Administration

  • Führen Sie im Bereich Administration => Updates => Install Hotfixes eine Installation der Hotfixe durch
  • Passen Sie die Realm Einstellungen via Bearbeiten an und tragen Sie die Zugangsdaten eines Zugriffsberechtigten Users (hier reicht ein readonly Service Account) im Bereich LDAP Connection ein
  • Falls Sie Öffentliche Ordner im Exchange verwenden und die Zugriffsrechte ebenfalls synchronisiert werden sollen (wichtig vor allem für E-Mail aktivierte öffentliche Ordner bei aktivierter Empfängerüberprüfung), aktivieren Sie „Enable Public Folders“ im Reiter „Exchange Web Service“
    Geben Sie hier ebenfalls einen Zugriffsberechtigten User an (dieser muss auf die entsprechenden öffentlichen Postfächer mindestens eine Lese Berechtigung besitzen, hier bietet sich also ein Service Account in den Stammberechtigungen an) und die Exchange Web Service url
    Für diesen Zugriff ist die Basic Authentication auf den Web Service notwendig.

In der Exchange Management Shell können Sie die Webservice URL wie folgt ermitteln:

Get-WebServicesVirtualDirectory | fl

Basic Authentication lässt sich in der Exchange Management Shell wie folgt aktivieren:

Get-WebServicesVirtualDirectory -Server $env:computername | Set-WebServicesVirtualDirectory -BasicAuthentication:$true
  • Im Reiter User and Group Synchronization können Sie falls gewünscht die zu synchronisierenden Gruppen / Benutzer über einen OU Filter reglementieren
  • Speichern Sie die Realm Anpassungen und führen eine Synchronisation durch
  • Mit „Als Standard setzen“ können Sie einen Realm als Default Realm bestimmen, welcher im User Interface zuerst angezeigt wird
  • Passen Sie die Gruppenzuordnungen wieder an und prüfen mit einer Anmeldung am User Interface ob noch Stellvertreter Richtlinien notwendig sind
  • Falls bestimmte Stellvertreter Richtlinien benötigt werden, konfigurieren Sie diese erneut
  • Migrierte Dummy Gruppen und User in den Berechtigungen der Policies / Deputy Groups haben den Realm (Bereich) mit präfix rdx2033 angezeigt.
    Fügen Sie die korrekten neuen Benutzer / Gruppen wieder hinzu und entfernen dann die Dummy Gruppen / User.

Spamfinder

Durch die Änderungen an den Filter Profilen ist hier möglicherweise nur noch ein Filter Profil notwendig.
Prüfen Sie die Filter Profile und passen idealerweise das Default Filterprofil entsprechend an (da dies dann für die neu angelegten E-Mail-Adressen aus dem synchronisierten Realm Verwendung findet)

Maildepot

Prüfen Sie die Berechtigungen in den Kategorien und Audits, migrierte Dummy Gruppen und User haben den Realm (Bereich) mit präfix rdx2033 angezeigt.
Fügen Sie die korrekten neuen Benutzer / Gruppen wieder hinzu und entfernen dann die Dummy Gruppen / User.

Da nach der Installation einige neue Features verfügbar sind, können diese zusätzlich konfiguriert werden:

  • Sie können die TLS Protokoll Versionen für den Webserver anpassen
  • TLS Protokoll Versionen können ebenfalls noch in den Sende und Empfangskonnectoren sowie den Transport Policies angepasst werden
  • Sie können External Domain Policies definieren, wenn bestimmte Kommunikationspartner spezifische Anforderungen an die E-Mail Kommunikation stellen
  • Statistische Übersichten erhalten Sie über die Aktivierung der Telemetrie Daten
  • Im Bereich MailSealer ist jetzt PGP neu hinzugekommen
  • Der Virenscanner kann jetzt geschützte komprimierte Anhänge und Phishing Urls blocken
  • MailDepot Richtlinien können jetzt anhand der Quelle einer E-Mail konfiguriert werden

Es könnte sein dass die Inodes Diagnose nach dem Update einen Fehler anzeigt "Numeric Value Required",
Bitte passen Sie hier einmal in der Inodes Diagnose via "Selftest" die Parameter an und starten im Anschluß die Diagnose.

In der MailProcessingQueue könnte "WaitingForVirusScanner" stehen, starten Sie in dem Fall im Admin Webinterface => Spamfinder => Filter Settings => Virus Scanner diesen einmal mit "Einstellungen übernehmen"

Dieser Fehler kann nach dem Update auftreten, wenn die Appliance via http://APPLIANCE-IP aufgerufen wird, bitte greifen Sie hier via https:// auf die Appliance zu.

Wenn Archive Policies verwendet werden, die auf Absender oder Empfängermuster die E-Mail Archivierung verhindern sollen, sind diese zur Zeit ohne Wirkung.
Ursache hierbei ist, dass bei Empfang des Journals nicht die korrekten Adressen bekannt sind, diese werden dann aber bei der Verarbeitung der E-Mail korrekt angewendet.
Als Workaround ist es daher zur Zeit z.B. via Archiv Task (Delete) möglich, diese E-Mails nachträglich aus dem Container zu löschen.

Wenn bei Verwendung eines Exchange Systems Dynamische Verteiler Gruppen konfiguriert sind, funktionieren diese zur Zeit nicht.
Dies hat entsprechend Auswirkung auf die Empfängerprüfung. Hier sollte als Work Around eine Sicherheits oder reguläre Verteilergruppe interimsweise angelegt werden.

Wenn im MailDepot die Verzeichnis Überwachung verwendet wird, besteht aktuell das Problem, dass der Quellordner nach Import der E-Mails nicht geleert wird.

Die Anzeige der Realms unterstützt zur Zeit maximal 25 Realms, da bei der Migration die alten Realms als Backup Kopie angelegt werden, sind hier Appliances
betroffen die unter 2034 mehr als 12 Realms verwenden.