Migrationsanleitung 2033 zu 2034

Mit der folgenden Kurzanleitung werden die notwendigen Update Schritte erläutert und zusätzlich Best Practice Empfehlungen / Optimierungsmöglichkeiten vermittelt.

Bevor Sie das Update der REDDOXX Appliance auf 2034 durchführen, stellen Sie bitte sicher, dass ein Backup sowohl der Appliance als auch (falls in Verwendung)
des Archiv Storages / der Archiv Container vorliegt.

Beachten Sie, dass ebenfalls neue User Interfaces nach dem Update notwendig sein werden: https://www.reddoxx.com/support#downloads

Gerne können Sie sich im Vorfeld auch Anhand der Video Screencasts mit den groben Einstellungsmöglichkeiten und den neuen Funktionen vertraut machen.

Die Version 2034 bringt wichtige Änderungen hinsichtlich der LDAP Anbindung mit sich:

  • hier werden zur Zeit nur Local und Microsoft AD Realms unterstützt.
    Solange andere Anbindungen (Novell, Openldap etc.) im Einsatz sind, ist ein Update nicht möglich.
  • Während dem Update auf 2034 werden die angelegten User und somit auch die Berechtigungen (Kategorie Zugriffe, Stellvertreter Policies, Audit Berechtigungen)
    entfernt und müssen nach dem Update wieder angepasst werden.
  • Zur Unterstützung wird dafür während der Migration ein Dummy Realm angelegt, jeweils mit dem prefix "rdx2033-" in welchem die alten Benutzer noch vorhanden sind
    Damit können die ehemaligen Berechtigungen nach dem Update leichter wiederhergestellt werden
  • Da insbesondere durch die AD Synchronisation allerdings dann auch der Zugriff auf AD Gruppen, Shared Mailboxen und Public Folders berücksichtigt wird,
    sind danach Stellvertreter Berechtigungen in der Form auch gar nicht mehr notwendig.

Im Bereich Spamfinder sind ebenfalls einige Änderungen zu berücksichtigen:

  • Es werden die RBL und Antispoofing Filter aus den Profilbasierten Filtern entkoppelt und bereits beim SMTP Verbindungsaufbau angewendet.
  • Weiterhin gibt es bei den Filterprofilen keine Option zum Markieren oder Ablehnen, erkannter Spam ist damit immer in einer Quarantäne / Ciss oder VirenQueue.

Bereich MailSealer

  • Durch einen Fehler bei der Migration wird die Reihenfolge der MailSealer Richtlinien nicht korrekt gesetzt
    Notieren Sie sich daher vorab die Reihenfolge der Richtlinien (z.B. via Screenshot)

Allgemeine Inkompatibilitäten

  • Gesperrt ist das Update für POP3Proxy und Cluster Umgebungen sowie Appliances bei denen der MailSealer Light eingesetzt wird.

Führen Sie im Admin Webinterface => Diagnose Center => Firmware die Installation aller eventuell fehlender Hotfixe (Hotfixe auf Install + Start) durch.
Falls Hotfixe installiert wurden, starten Sie die Appliance anschließend neu.

Prüfen Sie über die Diagnose „Health Status“ den allgemeinen Zustand der Appliance und beheben etwaige auftretende Warnungen oder Fehler.
Über die F1 Taste erhalten Sie bei jeder Diagnose entsprechende Hilfe in der Kontextbasierten Online Dokumentation.

  • Deaktivieren Sie den POP3Proxy und POP3sProxy Service (Konfiguration => Settings)
  • Löschen Sie Benutzer und Realms, falls diese via Novell eDirectory, Lotus Domino, OpenLDAP oder OpenExchange AE angebunden sind und trotzdem ein Update durchgeführt werden soll.
    Beachten Sie, dass es mit 2034 zunächst keine AD Anbindung an diese Systeme gibt und User / E-Mail-Adressen dann lokal angelegt werden müssen.
    Die Realm / User und Gruppen Verwaltung erreichen Sie im Admin Webinterface über Administration => User and Groups
  • Konfigurieren Sie ein Storage (Konfiguration => Storages) und hinterlegen dies als Storage für Backups via Administration => Backup and Restore => Einstellungen
  • Nach dem Update werden die nicht mehr wirksamen alten Berechtigungen über eine Kopie der Realms mit prefix "rdx2033-" angezeigt und müssen dann manuell korrigiert werden
    Für Stellvertreter Richtlinien bei denen "Auf alle Benutzer anwenden" aktiviert war, gibt es eine dummy "apply to all users" gruppe die dies reflektiert.
    Notieren Sie sich dennoch zur Sicherheit die Berechtigungen in Kategorien (Maildepot => Categories) , Stellvertreter Richtlinien (Administration => User and Groups => Policies) und Audits (Maildepot => Audit Sessions) sowie Zugehörigkeiten von Usern in entsprechenden Gruppen
  • Notieren Sie sich die Reihenfolge der MailSealer Policies (MailSealer => Policies)
  • Stellen Sie sicher, dass die Appliance mindestens 4 GB Arbeitsspeicher erhält (Diagnosecenter => Memory zur schnellen Prüfung der aktuellen Ausstattung)
    Sollte die Appliance die Spamfinder Funktion mit aktiviertem Virenscanner und die Archivierung im Mailflow vornehmen, wären 6 oder 8 GB Arbeitsspeicher optimaler

  • Prüfen Sie, ob die Aufbewahrungszeit für Logfiles (Administration => Logfiles => Einstellungen) konfiguriert ist (wir empfehlen hier 30 Tage und archivieren bevor Löschen)
  • Prüfen Sie, ob angelegte Archiv Policies (MailDepot => Archiv Policies) und Archiv Tasks (MailDepot => Archiv Tasks) noch notwendig sind

  • Laden Sie das Update herunter (Administration => Updates => Updates anfordern)
  • Starten Sie die Installation, hier wird zunächst ein Pre Migration Check und ein Migration Check durchgeführt, der ein Update nötigenfalls verhindert, falls Hinderungsgründe bestehen
  • Nachdem das Update installiert und mit OK abgeschlossen wird, ist zunächst eine Anmeldung im Browserfenster nicht möglich, falls im Browser Caching aktiviert ist leeren Sie daher zunächst den Browser Cache oder wechseln auf einen Privaten Tab

Im Anschluß an die Installation müssen einige Konfiguration noch angepasst werden:

Configuration

  • Passen Sie hier den SMTP Host an und prüfen ob die Appliance Benachrichtigung (Test Notification) erfolgreich zugestellt werden kann

Administration

  • Passen Sie die Realm Einstellungen via Bearbeiten an und tragen Sie die Zugangsdaten eines Zugriffsberechtigten Users (hier reicht ein readonly Service Account) im Bereich LDAP Connection ein
  • Falls Sie Öffentliche Ordner im Exchange verwenden und die Zugriffsrechte ebenfalls synchronisiert werden sollen, aktivieren Sie „Enable Public Folders“ im Reiter „Exchange Web Service“
    Geben Sie hier ebenfalls einen Zugriffsberechtigten User an und die Exchange Web Service url
    Für diesen Zugriff ist die Basic Authentication auf den Web Service notwendig.

In der Exchange Management Shell können Sie die Webservice URL wie folgt ermitteln:

Get-WebServicesVirtualDirectory | fl

Basic Authentication lässt sich in der Exchange Management Shell wie folgt aktivieren:

Get-WebServicesVirtualDirectory -Server $env:computername | Set-WebServicesVirtualDirectory -BasicAuthentication:$true
  • Im Reiter User and Group Synchronization können Sie falls gewünscht die zu synchronisierenden Gruppen / Benutzer über einen OU Filter reglementieren
  • Speichern Sie die Realm Anpassungen und führen eine Synchronisation durch
  • Mit „Als Standard setzen“ können Sie einen Realm als Default Realm bestimmen, welcher im User Interface zuerst angezeigt wird
  • Passen Sie die Gruppenzuordnungen wieder an und prüfen mit einer Anmeldung am User Interface ob noch Stellvertreter Richtlinien notwendig sind
  • Falls bestimmte Stellvertreter Richtlinien benötigt werden, konfigurieren Sie diese erneut
  • Migrierte Dummy Gruppen und User in den Berechtigungen der Policies / Deputy Groups haben den Realm (Bereich) mit präfix rdx2033 angezeigt.
    Fügen Sie die korrekten neuen Benutzer / Gruppen wieder hinzu und entfernen dann die Dummy Gruppen / User.

Spamfinder

Durch die Änderungen an den Filter Profilen ist hier möglicherweise nur noch ein Filter Profil notwendig.
Prüfen Sie die Filter Profile und passen idealerweise das Default Filterprofil entsprechend an (da dies dann für die neu angelegten E-Mail-Adressen aus dem synchronisierten Realm Verwendung findet)

Maildepot

Prüfen Sie die Berechtigungen in den Kategorien und Audits, migrierte Dummy Gruppen und User haben den Realm (Bereich) mit präfix rdx2033 angezeigt.
Fügen Sie die korrekten neuen Benutzer / Gruppen wieder hinzu und entfernen dann die Dummy Gruppen / User.

MailSealer

Passen Sie die Reihenfolge im MailSealer wieder auf den vorherigen Zustand an

Da nach der Installation einige neue Features verfügbar sind, können diese zusätzlich konfiguriert werden:

  • Sie können die TLS Protokoll Versionen für den Webserver anpassen
  • TLS Protokoll Versionen können ebenfalls noch in den Sende und Empfangskonnectoren sowie den Transport Policies angepasst werden
  • Sie können External Domain Policies definieren, wenn bestimmte Kommunikationspartner spezifische Anforderungen an die E-Mail Kommunikation stellen
  • Statistische Übersichten erhalten Sie über die Aktivierung der Telemetrie Daten
  • Im Bereich MailSealer ist jetzt PGP neu hinzugekommen
  • Der Virenscanner kann jetzt geschützte komprimierte Anhänge und Phishing Urls blocken
  • MailDepot Richtlinien können jetzt anhand der Quelle einer E-Mail konfiguriert werden