Exchange Server 2007 – Der schnelle Einstieg
Netzwerke, Betriebssysteme, Sicherheit ... hierzu bietet Ihnen die Reihe net.com umfassende, praxisnahe Information. Neben Fragen der Systemverwaltung greift sie auch Themen wie Protokolle, Technologien und Tools auf. Profitieren Sie bei Ihrer täglichen Arbeit vom Praxiswissen unserer erfahrenen Autoren.
Windows PowerShell Holger Schwichtenberg 456 Seiten, € 29,95 [D] ISBN 3-8273-2533-4 Mit der neuen Windows PowerShell lassen sich Aufgaben bequem per Kommandozeile automatisieren. Der bekannte Scripting-Experte Dr. Holger Schwichtenberg bietet mit diesem Buch eine fundierte Einführung in die automatisierte Windows-Administration.
Windows Server 2008 Eric Tierling 1184 Seiten, € 59,95 [D] ISBN 3-8273-2637-9 Dieses Buch zu Windows Server 2008 knüpft an den Bestseller zu Windows Server 2003 an und widmet sich eingehend den Neuerungen der 2008er-Serverversion. Erstkonfiguration, Rollen und Features, überarbeiteter Server-Manager, Server Core-Installationsoption, BitLocker-Laufwerksverschlüsselung, Read-Only-Domänencontroller (RODC), Netzwerkzugriffsschutz (NAP), RemoteApp-Programme für die Terminaldienste, Failover-Clustering sowie die Servervirtualisierung mittels der neuen Technologie Hyper-V sind einige der Highlights, die im Buch beschrieben sind.
Marc Jochems Walter Steinsdorfer
Exchange Server 2007 – Der schnelle Einstieg Installation, Konfiguration, Administration
An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City Madrid • Amsterdam
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hard- und Softwarebezeichnungen und weitere Stichworte und sonstige Angaben, die in diesem Buch verwendet werden, sind als eingetragene Marken geschützt. Da es nicht möglich ist, in allen Fällen zeitnah zu ermitteln, ob ein Markenschutz besteht, wird das ®-Symbol in diesem Buch nicht verwendet. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Um Rohstoffe zu sparen, haben wir auf Folienverpackung verzichtet.
10 9 8 7 6 5 4 3 2 1 10 09 08 ISBN 978-3-8273-2484-9
© 2008 by Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: Marco Lindenbeck,
[email protected] Fachlektorat: Christian Müller,
[email protected] Lektorat: Sylvia Hasselbach,
[email protected] Korrektorat: René Wiegand,
[email protected] Herstellung: Claudia Bäurle,
[email protected] Satz: mediaService, Siegen, www.media-service.tv Druck und Verarbeitung: Kösel, Kempten (www.KoeselBuch.de) Printed in Germany
Inhaltsverzeichnis
Vorwort Danke
1
2
13 13
Über die Autoren Marc Jochems Walter Steinsdorfer
14 14 14
Was hat sich geändert?
15
1.1
15 15
Kurzüberblick für Umsteiger 1.1.1 64 Bit – mehr Power für den Exchange Server 1.1.2 Keine Verwaltung mehr über „Active Directory Benutzer und Computer“ 1.1.3 Die PowerShell 1.1.4 Mehr Replikationsmöglichkeiten 1.1.5 Outlook Web Access 1.1.6 Administrative Gruppen 1.1.7 Umstellung des E-Mail-Flusses 1.1.8 Erweiterte Regeln für Postfächer und verwaltete Ordner
16 17 18 18 19 19 20
1.2
Die Tools 1.2.1 Der Exchange Best Practices Analyzer (ExBPA) 1.2.2 Die Management-Konsole 3.0
21 23 24
1.3
Die PowerShell 1.3.1 PowerShell – der Einstieg
26 27
Die Installation von Exchange Server 2007
37
2.1
37 37 38 40 41 42 43 45 47 49 50
Die Voraussetzungen zur Installation schaffen 2.1.1 Die Versionen: Standard und Enterprise 2.1.2 64-Bit- und 32-Bit-Versionen 2.1.3 Versionswechsel und Änderung des Lizenzschlüssels 2.1.4 RTM-Versionsnummern 2.1.5 Die Zugriffslizenzen 2.1.6 Die Serverrollen 2.1.7 Voraussetzungen in der Exchange-Organisation 2.1.8 Hardware-Voraussetzungen 2.1.9 Software-Voraussetzungen 2.1.10 Die Betriebssysteme
5
Inhaltsverzeichnis
2.2
3
6
2.1.11 Voraussetzungen für die Installation der Management Tools auf Windows XP-Rechnern oder auf Windows Server 2003 32-Bit 2.1.12 Rückwärtskompatibilität
52 53
Die Installation einer Exchange Server 2007-Organisation 2.2.1 Die Standardinstallation 2.2.2 Die benutzerdefinierte Installation 2.2.3 Die unbeaufsichtigte Installation 2.2.4 Installation auf Windows Server 2008 2.2.5 Überprüfen der Installation 2.2.6 Aktualisieren auf Service Pack 1
53 54 59 62 77 78 80
Serverrollen
87
3.1
Serverrollen
87
3.2
Serverrolle „ClientAccess“ 3.2.1 Outlook Web Access (OWA) 3.2.2 Outlook Anywhere 3.2.3 Exchange ActiveSync 3.2.4 POP3 und IMAP4 3.2.5 AutoErmittlungsdienst 3.2.6 Webdienste
88 89 90 91 91 91 92
3.3
Serverrolle „Mailbox“ 3.3.1 Dimensionierung der Datenbanken 3.3.2 Sicherung und Wiederherstellung 3.3.3 Online- und Offline-Wartung oder Reparatur der Datenbank 3.3.4 Bereitstellen von öffentlichen Ordnern 3.3.5 Koexistenz mit weiteren Serverrollen 3.3.6 Bereitstellung eines Mailbox-Clusters
93 93 94
3.4
Serverrolle „Hub-Transport“ 3.4.1 Transportrichtlinien und -kompatibilität 3.4.2 Nachrichtenübermittlung 3.4.3 Anti-Spam und Anti-Virus
97 98 98 99
3.5
Serverrolle „Unified Messaging“ 3.5.1 Eigenschaften der Serverrolle „Unified Messaging“ 3.5.2 Anforderungen an die Serverrolle „Unified Messaging“ 3.5.3 Verwendete Protokolle 3.5.4 Komponenten der Serverrolle „Unified Messaging“
94 94 96 96
100 102 104 105 107
Inhaltsverzeichnis
3.6
4
113 114 124 126
Anti-Spam und Anti-Virus
129
4.1
Vermeiden von unerwünschten Nachrichten
129
4.2
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007 4.2.1 Hub-Transport oder Edge-Transport? 4.2.2 Neue Möglichkeiten unter Exchange Server 2007 4.2.3 Die Reihenfolge der Anti-Spam-Maßnahmen im Exchange Server 2007 4.2.4 Wie meldet sich mein Exchange Server 2007? 4.2.5 helo und ehlo – die Unterschiede 4.2.6 Sender Policy Framework 4.2.7 Die Empfängerfilterung 4.2.8 Die Real-Time-Blocklist-Provider 4.2.9 Die Absenderfilterung 4.2.10 Intelligenter Nachrichtenfilter 4.2.11 Installation der WSUS 3.0
135 135 139 141 143 145 148 149 149
Installation einer Anti-Viren-Lösung unter Exchange Server 2007 4.3.1 Installation von Forefront auf Exchange Server 2007 4.3.2 Konfiguration von Microsoft Forefront 4.3.3 Generelle Einstellungen in Forefront 4.3.4 Die Filteroptionen 4.3.5 Der Betrieb 4.3.6 Die Berichte
157 157 163 164 170 171 172
4.3
5
Serverrolle „Edge-Transport“ 3.6.1 Anti-Spam- und Anti-Viren-Schutz 3.6.2 Umschreiben von Adressen 3.6.3 Edge-Transport-Regeln
130 130 131
Client-Zugriff auf den Server
173
5.1
Einleitung 5.1.1 Autodiscover-Dienst 5.1.2 Exchange-Webdienste
173 174 181
5.2
Client-Zugriff mit Outlook 5.2.1 Nachrichten-Limits und mehr
182 186
5.3
Outlook Anywhere 5.3.1 Anmelden bei Outlook Anywhere
192 201
5.4
Outlook Web Access 5.4.1 Vereinfachte Outlook Web Access-URL 5.4.2 Dateianhänge in Outlook Web Access 5.4.3 Authentifizierungsmethoden 5.4.4 Sprache und Umgebungseinstellungen
202 205 209 216 222
7
Inhaltsverzeichnis
5.4.5 5.4.6
6
7
Segmentierung Dateifreigaben und SharePoint-Seiten
224 231
5.5
OMA, Active Sync und Direct Push 5.5.1 Exchange ActiveSync und Direct Push 5.5.2 Postfachrichtlinien für Exchange ActiveSync 5.5.3 Bereitstellen von Exchange ActiveSync 5.5.4 CAS und Migration der Mailboxen
235 235 239 243 248
5.6
IMAP4 und POP3
249
5.7
Zusammenfassung
251
Migration auf Exchange Server 2007
253
6.1
IntraOrg Transition 6.1.1 Schritt 1: Die Installation 6.1.2 Schritt 2: Das E-Mail-Routing 6.1.3 Schritt 3: Die Replikation der öffentlichen Ordner 6.1.4 Schritt 4: Umzug der Postfächer 6.1.5 Schritt 5: Aktualisieren der Adresslisten und Adressrichtlinien 6.1.6 Schritt 6: Entfernen der öffentlichen Ordner (Teil 1) 6.1.7 Schritt 7: Die finalen Schritte zur Deinstallation des Exchange Servers 2003 6.1.8 Schritt 8: Entfernen der öffentlichen Ordner (Teil 2)
254 256 263 270 272
6.2
Das Attribut „exchangeLegacyDN“ 6.2.1 Zweck der bisherigen administrativen Gruppen 6.2.2 Eine versehentlich gelöschte administrative Gruppe
294 295 296
6.3
Gesamtstrukturübergreifende Transition
298
6.4
Migration von POP3- oder IMAP4-Postfächern
300
6.5
Migration von Lotus Notes nach Exchange Server 2007
300
Absichern einer Exchange Server 2007-Organisation 7.1
8
Welchen Sicherheitsanforderung steht meine Exchange Server 2007-Organisation gegenüber? 7.1.1 Delegieren der Exchange Server 2007-Installation 7.1.2 Exchange Server 2007: Sicherheit der Serverrollen 7.1.3 Der Sicherheitskonfigurations-Assistent 7.1.4 TLS bei der Serverkommunikation 7.1.5 S/MIME in OWA ab SP1
279 289 290 293
307 308 309 313 317 332 340
Inhaltsverzeichnis
8
Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung 8.1
9
Der Aufbau einer Exchange Server-Organisation 8.1.1 Die einfache Exchange Server-Organisation 8.1.2 Die Standard Exchange Server-Organisationen 8.1.3 Die große Exchange-Organisation 8.1.4 Die komplexe Exchange Server-Organisation
343 343 344 349 356 368
Serverkonzeption und Dimensionierung
373
9.1
373 377
Was macht den Exchange Server langsam? 9.1.1 Das Benutzerprofil 9.1.2 Dimensionierung eines Hub-Transport-Servers und eines Edge-Transport-Servers 9.1.3 Dimensionierung eines Mailbox-Servers 9.1.4 Dimensionierung eines ClientAccess-Servers 9.1.5 Dimensionierung eines Unified Messaging-Servers; Server mit mehreren Serverrollen 9.1.6 Testen der Hardware
10 Hochverfügbarkeit
10.1 Definieren der geschäftskritischen Anforderungen 10.1.1 Dienste und Komponenten, von denen eine Exchange Server-Organisation abhängig ist 10.1.2 Mögliche Komponenten, die ausfallen bzw. verlorengehen können 10.1.3 Hochverfügbarkeit ist mehr als nur Technik
384 386 396 397 399 403 404 405 405 406
10.2 Möglichkeiten der Hochverfügbarkeit des Exchange Servers 2007 408 10.2.1 Exchange Server 2007 und die Transaktionsprotokolle 408 10.3 Standby-Szenarien 10.3.1 Cold Standby 10.3.2 Warm Standby
410 411 412
10.4 Die fortlaufende Replikation 10.4.1 Die fortlaufende lokale Replikation (LCR) 10.4.2 Die fortlaufende Cluster-Replikation (CCR)
413 413 424
10.5 Der Einzelkopie-Cluster
440
10.6 Die Standby Continuous Replication (SP1) 10.6.1 Ziel und Quelle 10.6.2 SCR und Log-Dateien
456 457 460
10.7 Hochverfügbarkeit der weiteren Serverrollen
461
9
Inhaltsverzeichnis
10
Anhang A
467
A.1 Die Installationsschalter der unbeaufsichtigten Installation
467
Anhang B
471
Anhang C
475
C.1 CD zum Buch
475
C.2 Microsoft Exchange Server MAPI Editor
475
C.3 Microsoft Exchange Server ActiveSync Web Administration Tool
475
C.4 OLXTaskReport Agent
476
C.5 MapiLab Rules For Exchange
476
C.6 Microsoft Network Monitor 3.1
477
C.7 Microsoft Forefront Security for Exchange Server with Service Pack 1
477
C.8 OLXNotifyByMail Agent
478
C.9 Exchange 2007 Anti Spam Migration Tool
478
C.10 Exchange Server Stress and Performance
478
C.11 Microsoft Exchange Server 2007 SP1 Management Pack for Microsoft Operations Manager 2005
479
C.12 Kernel Recovery for OST
479
C.13 OLXAttachmentsArchive(FileSystem) Agent
480
C.14 OLXBirthday Agent
480
C.15 Folder Permissions Manager
480
C.16 UltraBac
481
C.17 EcKnownledge
481
C.18 OLXCompanyAppointments
482
C.19 OLXFreeBusyRefresh Agent
482
C.20 OLXContactActivityCollector Agent
482
C.21 GFI EventManager
483
C.22 ChooseFrom for Exchange 2007
483
C.23 AttachView
484
C.24 POP3Connector6
484
C.25 PSTWay for OWA
485
C.26 PROMODAG Reports for Exchange Server
485
Inhaltsverzeichnis
C.27 Mail Detective
485
C.28 OLXCal
486
C.29 Out Of Office Manager
486
C.30 MailBasket MD
487
C.31 PrintMessage
487
Stichwortverzeichnis
489
11
Vorwort Microsoft geht mit Exchange Server 2007 völlig neue Wege. Die 64-Bit-Architektur bietet enorme Vorteile; Performance und Verfügbarkeit wurden erheblich gesteigert. Sie werden erstaunt sein, wie leicht sich Exchange Server 2007 installieren, konfigurieren und administrieren lässt. Durch den Einsatz der PowerShell für die Konfiguration und Administration per Skript können Sie eine Vielzahl an Aufgaben automatisieren. Für manche wird der Einstieg in die Power Shell zwar ungewohnt sein, aber so ist das meistens mit einer neuen Programmiersprache. Da die PowerShell aber durchaus intuitiv bedient werden kann und die ausgesprochen gute Hilfedatei wenig Fragen offen lässt, sollte der Einstieg nicht allzu zu schwer werden. Aufgrund seiner rollenbasierten Installation eignet sich Exchange Server 2007 sowohl für kleine Firmen mit nur einem Server bis hin zu weltweit operierenden Unternehmen. Mit diesem Buch möchten wir Ihnen einen Überblick über die neuen Funktionen des Exchange Server 2007 SP 1 geben und Ihnen anhand zahlreicher Beispiele die Installation, Konfiguration und Administration näher bringen. Das Buch richtet sich in erster Linie an Exchange-Administratoren, die bereits mit älteren Versionen des Exchange-Servers gearbeitet haben. Jedoch auch Anfänger oder Umsteiger von anderen E-Mail-Server-Produkten erhalten mit diesem Buch einen schnellen Einstieg in Exchange Server 2007. Darüber hinaus zeigen wir Ihnen, wie Sie mit Outlook 2007 und dem Exchange Server 2007 die besten Funktionen beider Produkte verwenden können und welche Funktionen Ihnen unter älteren Outlook-Versionen nicht zur Verfügung stehen. Bei Fragen und Anregungen zum Buch schicken Sie bitte eine E-Mail an
[email protected].
Danke Unseren Dank für ihre Mithilfe und Unterstützung an diesem Buch möchten wir aussprechen an Sylvia Hasselbach von Addison-Wesley Deutschland, für die Unterstützung bei vielen Fragen und ihre enorme Geduld bei der Erstellung dieses Buches. Dem Fachlektor Christian Müller für seine schnelle und gute Korrektur sowie dem Korrektor René Wiegand für die Behebung vieler Fehler. Viel Erfolg mit diesem Buch wünschen Ihnen Marc Jochems und Walter Steinsdorfer
13
Kapitel Vorwort
Über die Autoren Marc Jochems arbeitet seit 2001 mit Exchange Servern von der Version 5.5 bis 2007. Bei seiner Tätigkeit als Systemadministrator hat er eine Leidenschaft für den Exchange Server entwickelt, die bis heute anhält. Weitere Schwerpunkte seiner Tätigkeit waren Microsoft Active Directory und Windows XP. Er war bis zum Jahre 2008 MVP für Exchange Server. Seit 2008 arbeitet er als Premier Field Engineer für den Bereich Messaging bei der Microsoft Deutschland GmbH. Marc dankt Corinna für die Unterstützung und die viele Geduld in den letzten Monaten.
Walter Steinsdorfer ist MVP für Exchange Server seit 2006 und betreut die Server und das Netzwerk der Trion Pharma GmbH in München. In seiner übrigen Zeit schreibt er Artikel für www.faq-o-matic.de oder organisiert Treffen der Exchange User Group. Sie erreichen ihn unter
[email protected]. Walter dankt Emily und Dessi für die viele Geduld in den letzten Monaten.
14
1 1.1
Was hat sich geändert? Kurzüberblick für Umsteiger
Microsoft hat mehrere Jahre an der neuen Exchange Server-Version gearbeitet. Heraus kam ein in relativ vielen Punkten unterschiedlich zu administrierender Exchange Server gegenüber der bisherigen Version 2003. In diesem Kapitel wollen wir Ihnen einen Überblick über die aus unserer Sicht wichtigsten Änderungen zur vorherigen Version geben.
1.1.1
64 Bit – mehr Power für den Exchange Server
Die wohl grundlegendste Änderung ist der Umstieg auf 64 Bit. Exchange Server 2007 wird zwar in einer 32-Bit-Version ausgeliefert, diese dient jedoch nur zu Demonstrationszwecken und zur Installation in virtuellen Maschinen. Support erhalten Sie dafür von Microsoft nicht. Was bringt der Umstieg auf 64 Bit? Ein 64-Bit-Serversystem kann mehr Speicher verwalten. Exchange Server 2003 konnte mit maximal 4 Gigabyte RAM umgehen und war bei Systemen mit mehr als 1 Gigabyte Arbeitsspeicher auf den 3-GB-Switch angewiesen. Das bedeutete, dass für Exchange Server 2003 maximal 3 GB RAM zur Verfügung standen und führte dazu, dass der vom Betriebssystem verwaltete Bereich für Zeiger kleiner war. Die 64-Bit-Varianten von Windows unterliegen dieser Beschränkung nicht mehr. Je nachdem, welche Version Sie dem Server zugrunde legen, können Sie sehr viel RAM verwalten. Getestet wurden bisher Server mit einer Ausbaustufe von 1 Terabyte. Aber auch bei viel
15
Kapitel 1 Was hat sich geändert?
weniger Arbeitsspeicher merken Sie durch die bessere Ausnutzung des Cache eine deutliche Leistungssteigerung. Diese liegt etwa bei einem Faktor von drei bis vier pro Server. Insofern können Sie Ihren Benutzern also entweder ein dreibis viermal größeres Postfach einrichten oder eine drei- bis viermal größere Anzahl von Benutzern pro Server verwalten. Die letzte Option ist vor allem für Hoster interessant, die eine große Anzahl von Konten in Serverfarmen betreuen. Aber auch zur Konsolidierung von Exchange Servern von mehreren Standorten in einen Standort kann die höhere Benutzeranzahl pro Server ausgenutzt werden. Ebenso kann man Outlook im Caching Mode noch sehr gut über schmalbandige Leitungen an Exchange anbinden. Microsoft selbst nutzt einen zentralen Exchange-Verbund in Irland für alle Benutzer in EMEA. EMEA beschreibt den kontinentalen Einsatzort. Die Abkürzung EMEA steht für Europe, Middle East and Africa. Die meisten Server, die Sie in den letzten beiden Jahren kaufen konnten, dürften bereits 64-Bit-tauglich sein. Ob die Erweiterungen bei Ihnen bereits vorhanden sind, können Sie mit im Internet frei verfügbaren Tools prüfen. Eines davon ist zum Beispiel das Programm CPU-z. http://www.cpu-z.de/ Aufgrund der Dateisystemtreiber können Sie weder Exchange Server 2003 auf einem 64-Bit-System noch Exchange Server 2007 mit 64 Bit auf einem Windows-32-Bit-System erfolgreich installieren.
1.1.2
Keine Verwaltung mehr über „Active Directory Benutzer und Computer“
In Exchange Server 5.5 gab es eine eigene Benutzerverwaltung. Die Benutzerobjekte konnten zwar aus dem Verzeichnisdienst in die Exchange-Benutzerverwaltung übernommen werden, aber die Verwaltung der Benutzer erfolgte stets in der Exchange-Konsole und in der Konsole für ACTIVE DIRECTORY BENUTZER UND COMPUTER. Mit Exchange Server 2000 und 2003 wurde dies von Microsoft geändert. Die Benutzerverwaltung und die Exchange-Attribute wurden vollständig in die Konsole für ACTIVE DIRECTORY BENUTZER UND COMPUTER integriert. Die Erweiterungen waren an jedem Arbeitsplatz, an dem auch die Exchange Management Tools und das Windows Server 2000/2003 Adminpack.msi installiert waren, sichtbar. Über diese Microsoft Management Console (MMC) konnten Postfächer erstellt, SMTP-Adressen vergeben oder der Outlook-Web-Zugriff
16
Kurzüberblick für Umsteiger
erlaubt bzw. verboten werden. Auch die Berechtigungen für Mailboxen sowie Größenbeschränkungen wurden hierüber eingestellt. Unter Exchange Server 2007 ist dies nicht mehr der Fall. Die Benutzerverwaltung wurde wieder vollständig in den Exchange Server integriert. Eine Erweiterung zur Verwaltung in der Konsole ACTIVE DIRECTORY BENUTZER UND COMPUTER ist nicht vorgesehen und wird es nicht mehr geben. Einige Unternehmen, die aufgrund ihrer Größe bestimmte Aufgaben delegieren müssen, werden jetzt wieder umdenken und entweder auf andere Werkzeuge zurückgreifen oder die Berechtigungsstruktur ändern müssen. Insofern könnte dies eine sehr weitreichende Änderung in den Unternehmen darstellen.
1.1.3
Die PowerShell
Im neuen Exchange Server 2007 sind nicht mehr alle Befehle über die grafische Oberfläche erreichbar. Einiges müssen Sie in der parallel entwickelten PowerShell eingeben. Umgekehrt ist es so, dass Sie alle Befehle, die Sie über die grafische Oberfläche eingeben, auch mit der PowerShell erledigen können. Diese neue Shell ist auch aufgrund der Tatsache, dass es sich bei allen Ausgabewerten um Objekte mit Attributen handelt, die weiter gefiltert werden können, sehr mächtig. So können Sie mit einzeiligen Befehlsketten beispielsweise komplette Mailbox-Statistiken erstellen. Denkbar sind auch Exchange-Migrationen, die die Mailboxen automatisch lastverteilt auf andere Server migrieren oder die Postfächer nach Abteilungen geordnet in eine andere Datenbank schieben. Die PowerShell kann auch unabhängig von Exchange installiert werden. Die auf dem Rechner zur Verfügung stehenden Befehle erhalten Sie an der PowerShell-Kommandozeile mit dem Befehlt get-command, die für Exchange möglichen Befehle werden mit get-excommand ausgegeben. Versuchen Sie doch einmal folgenden Befehl auf Ihrem Exchange Server 2007 in der PowerShell einzugeben: Get-MailboxStatistics|Format-Table Displayname, deletedItemCount, deleteditemsize, ItemCount, Totalitemsize Sie erhalten eine komplette Statistik über alle Mailboxen sowie die Werte für den Namen, die Anzahl und die Größe der gelöschten Objekte sowie die Gesamtgröße des Postfaches. Wir werden auf die PowerShell in Abschnitt 1.3 noch ausführlicher eingehen.
17
Kapitel 1 Was hat sich geändert?
1.1.4
Mehr Replikationsmöglichkeiten
Vielleicht betreuen Sie bereits einen SQL Server und kennen von dort die Möglichkeit, die Transaktions-Log-Dateien per Sicherung und Kopieren auf einen anderen Server zu übertragen und dort einzuspielen. Sollte der erste Server nicht mehr funktionieren, so können Sie am zweiten die Datenbank manuell online schalten und verlieren lediglich die Änderungen seit dem letzten Backup. Eine ähnliche Methode bietet sich in Exchange Server 2007 an und gleicht einen Nachteil eines Clusters aus: Bei der Cluster Continuous Replication (CCR) werden die auf 1024 Kilobyte verkleinerten Transaktions-Log-Dateien des Exchange Servers auf einen zweiten Server kopiert und dort in eine Standby-Datenbank eingespielt. Die Übertragung geschieht hierbei sofort und der eventuelle Verlust beschränkt sich auf 1 Megabyte an Transaktions-Log-Dateien. Der Nachteil eines Clusters, bei dem auf eine gemeinsame Datenbasis zugegriffen wird, ist damit nicht gegeben. Fällt bei einem Cluster die Datenbank aus, kann auch der zweite Knoten nicht einspringen. Ein Nachteil von CCR ist allerdings, dass lediglich zwei Knoten bedient werden können. Das genaue Verfahren erläutern wir in Kapitel 10, „Hochverfügbarkeit“. Daneben gibt es auch das Verfahren der lokalen Replikation (Local Continuous Replication) der Speichergruppen. Hierbei werden die Daten einer Speichergruppe auf dem gleichen Server auf eine beliebige Partition repliziert, das heißt, die Transaktionsprotokolle werden auf dem gleichen Server ein zweites Mal angelegt. Dabei sollte darauf geachtet werden, dass die replizierten Daten in einem anderen RaidVerbund liegen. Das gilt auch dann, wenn Sie mit einem SAN arbeiten. Eine weitere Replikationsmethode ist mit Service Pack 1 hinzugekommen, die Standby Continuous Replication (SCR). Sie erlaubt die Replikation von Speichergruppen an Cluster- oder Single-Servern. Bei dieser Methode ist allerdings etwas mehr „Handarbeit“ beim Wiederanfahren notwendig. Mit Handarbeit meinen wir die Schritte, die notwendig sind, um eine Kopie der Datenbank auf einem weiteren Exchange Server, welcher als Standby Continuous Replication (SCR)-Partner verwendet wird, zu aktivieren. Dies wird nicht automatisch von Exchange-Diensten ausgeführt wie beispielweise bei einem Cluster Continuous Replication (CCR)-Cluster. Um eine SCR-Kopie zu aktivieren, müssen Sie die Datenbanken auf dem Replikationspartner manuell aktivieren. Weitere Informationen zu SCR finden Sie im Kapitel 10 „Hochverfügbarkeit“.
1.1.5
Outlook Web Access
Outlook Web Access wurde komplett neu programmiert und enthält neue Features wie beispielsweise die Verwaltung von mobilen Geräten, benutzerabhängige Einstellungen der Sprache oder die Möglichkeit, auf Datei-Server oder SharePoint zuzugreifen. 18
Kurzüberblick für Umsteiger
Damit entfällt das nicht immer mögliche Umstellen der Browser-Sprache, wenn Sie beispielsweise im Urlaub vom Internetcafé aus auf Ihre E-Mails zugreifen wollen. Jetzt wird die Sprache in der Mailbox des Benutzers hinterlegt. Über Outlook Web Access von Exchange Server 2007 kann außerdem – sofern Sie das als Administrator wünschen – ein Zugriff auf Datei-Server oder SharePoint erlaubt und eingestellt werden. Damit benötigen Sie nur einen Port, den Sie an der Firewall öffnen müssen, um einen sicheren Zugriff auf Unternehmensdaten zu erhalten. Die Vor- und Nachteile dieses Verfahrens erläutern wir in Kapitel 5, „Client-Zugriff auf den Server“.
1.1.6
Administrative Gruppen
Administrative Gruppen wurden ersatzlos gestrichen. In der Übergangsphase werden alle Exchange Server 2007, sofern diese in eine Organisation mit Exchange Server 2003 installiert werden, in eine einheitliche administrative Gruppe, die nur für Exchange Server 2007 erstellt wird, installiert. Nach dem deinstallieren des letzten Exchange Servers 2003 kann man diese Aufteilung dann als nicht mehr existent betrachten. Haben Sie bisher eine Aufteilung der Berechtigung nach administrativen Gruppen vorgenommen, so müssen Sie an dieser Stelle umdenken. Welche Berechtigungskonzepte möglich sind, zeigen wir Ihnen später.
1.1.7
Umstellung des E-Mail-Flusses
Sämtliche E-Mails, die im Unternehmen versendet werden, müssen über einen Server, auf dem die Rolle Hub-Transport installiert ist, zugestellt werden. Das hat den Vorteil, dass die E-Mails an einer zentralen Stelle mit Regeln bearbeitet, aussortiert oder mit einer Signatur versehen werden können. Selbst Postfächer, die auf dem gleichen Mailbox-Server oder in der gleichen Datenbank liegen, nehmen den Umweg über den Hub-Transport-Server. Eine weitere Erleichterung für Exchange-Administratoren existiert im Bereich der Routing-Gruppen: Auch diese entfallen komplett. Routing-Gruppen wurden ja typischerweise zwischen zwei Standorten eingesetzt. Die Exchange-Infrastruktur orientiert sich bei der Mail-Zustellung zwischen den Standorten jetzt an der im Active Directory vorhandenen Struktur, die Sie unter der Konsole ACTIVE DIRECTORY STANDORTE UND DIENSTE auf einem Domänen-Controller einsehen können.
19
Kapitel 1 Was hat sich geändert?
1.1.8
Erweiterte Regeln für Postfächer und verwaltete Ordner
In Exchange Server 2007 ist es nun möglich, zentral für die Benutzerpostfächer Ordner anzulegen und mittels Regeln darauf zuzugreifen. Ebenso denkbar ist ein Archivordner im Benutzerpostfach, den Sie mit einer Mailbox-Richtlinie versehen. Einem Benutzer können Sie jetzt verschiedene Richtlinien mitgeben. Die Ordner werden dann bei diesem Benutzer im Postfach erstellt.
Abbildung 1.1: Erstellen einer Regel für einen zentral erstellten Ordner
Eine weitere Eigenschaft verwalteter Ordner ist die Option, für ComplianceZwecke sogenannte Aufbewahrungsrichtlinien festzulegen. Denken Sie dabei beispielsweise an Basel II oder die US-amerikanischen Bestimmungen. Einmal in einem Ordner hinterlegter Inhalt kann dann erst nach Ablauf einer bestimmten Periode gelöscht werden. Außerdem haben Sie noch die Möglichkeit, diese Daten in ein weiteres Postfach zu kopieren und mit einem Label zu versehen.
20
Die Tools
Abbildung 1.2: Verwaltete Ordner mit Regeln zur Aufbewahrung versehen
1.2
Die Tools
Bisher einzeln zum Download zur Verfügung stehende Tools werden nun unter der TOOLBOX in der Management-Konsole zusammengefasst. Diese umfassen verschiedene Troubleshooting-Tools wie den Exchange Best Practices Analyzer (ExBPA), der ein komplettes Redesign erfahren hat, Hilfen für ein ordentliches Wiederherstellungsszenario oder auch den Queue Viewer (deutsch: Wartenschlangeanzeige), mit dem Sie in Warteschlangen steckende E-Mails überwachen können. Für die Leistungsüberwachung gibt es ebenso Hilfe wie auch bei der Auswertung, warum E-Mails beispielsweise nicht zugestellt werden können. Sehr vorteilhaft ist, dass diese Tools jetzt über einen Mausklick erreichbar sind. Zudem wird beim Starten einiger Anwendungen geprüft, ob eine neuere Version vorhanden ist. Diese Prüfung ist allerdings auf Dauer relativ lästig und kann ohne Folgen abgebrochen werden.
21
Kapitel 1 Was hat sich geändert?
Zur Auswahl stehen folgende Tools: 왘
Best Practices Analyzer zum Prüfen der Konfiguration des Exchange Servers
왘
Datenbankwiederherstellungs-Verwaltung: Hilfe beim Wiederherstellen einer Datenbank
왘
Datenbank-Problembehandlung: Hilfe bei Fehlern mit der Datenbank
왘
Nachrichtenübermittlungs-Problembehandlung: Hilfe beim Erkennen von Problemen im E-Mail-Fluss bzw. beim Senden und Empfangen von Mails
왘
Routingprotokollanzeige: Untersuchen und Vergleichen der Routingprotokolle vor und nach Änderungen oder Fehlern.
왘
Nachrichtenverfolgung: Nachrichtentracking-Log-Dateien können hiermit analysiert werden.
왘
Warteschlangenanzeige: Hilfe bei der Problemerkennung von Warteschlangen
왘
Systemmonitor: Überwacht Performance Counter, die für den reibungslosen Exchange-Betrieb wichtig sind.
Abbildung 1.3: Die Tools im Exchange Server 2007
22
Die Tools
1.2.1
Der Exchange Best Practices Analyzer (ExBPA)
Auch für Exchange Server 2000 und Exchange Server 2003 war der Exchange Best Practices Analyzer (ExBPA) bereits erhältlich. Für diese früheren Versionen allerdings noch als gesonderter Download. Mit diesem Tool können Sie die Konfiguration Ihrer Exchange-Organisation prüfen. In den ExBPA sind hierzu mehr als 2500 Regeln eingearbeitet. Unter anderem werden beispielsweise die Größe der Datenbanken und die noch verbleibenden Wachstumsmöglichkeiten geprüft oder in welchem Modus sich die Organisation befindet. Zu den gefundenen möglichen Problemen werden Lösungen vorgeschlagen. Zum Starten des Tools klicken Sie doppelt darauf oder markieren es und wählen auf der rechten Seite der Konsole TOOL ÖFFNEN. Für den ExBPA öffnet sich ein eigenes Fenster. An dieser Stelle können Sie – sofern ein Zugang zum Internet besteht – Updates für die Tools herunterladen. Der ExBPA wird laufend mit neuen Regeln versehen und überarbeitet.
Abbildung 1.4: Starten des Exchange Best Practices Analyzers
Im nächsten Schritt müssen Sie einen globalen Katalogserver angeben, mit dem Sie die Verbindung herstellen wollen. Bitte beachten Sie, dass es sich nach Möglichkeit um einen nicht zu stark ausgelasteten Server handeln sollte. Sollten Sie einen globalen Katalogserver aus einer anderen Domäne verwenden wollen, so müssen Sie den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers angeben. Die Anmeldung kann mit einem separaten
23
Kapitel 1 Was hat sich geändert?
Konto erfolgen. Sie benötigen folgende Berechtigungen für eine erfolgreiche Analyse: 왘
Administrator-Berechtigungen für den Zugriff auf das Active Directory auf Computerebene
왘
Mindestens Exchange-Administrator-Rechte für den Exchange-Anteil
Sehr häufig hat das ausführende Konto bereits ausreichende Berechtigungen. Das Verbinden und das Auslesen der Exchange-Konfiguration aus dem Active Directory sollten nun möglich sein.
1.2.2
Die Management-Konsole 3.0
Mit der Installation von Exchange Server 2007 müssen Sie als Grundvoraussetzung auch die Management-Konsole in der Version 3.0 installieren (siehe auch Kapitel 2, „Die Installation von Exchange Server 2007“).
Abbildung 1.5: Die neue Management-Konsole ohne Snap-ins
24
Die Tools
Im Service Pack 2 für Windows Server 2003 oder dem Windows Server 2003 R2 ist diese bereits enthalten. Die Management-Konsole bringt eine dreispaltige Ansicht mit. Bei großen Auflösungen können Sie diese vorteilhaft nutzen. Die linke Spalte ist wie gewohnt mit einer Ordnerstruktur oder Snap-ins gefüllt. Die mittlere Spalte ist jetzt je nach Anwendung zweigeteilt: Auf der rechten Seite haben Sie die Möglichkeit, verschiedene Aktionen auszuführen. Die meisten davon kennen Sie aus dem Kontextmenü der einzelnen Snap-ins, das Sie mit der rechten Maustaste erreichen.
Abbildung 1.6: Neustart eines Dienstes über die rechte Spalte
Wenn Sie das Exchange-Snap-in aufrufen, werden Sie merken, dass an einigen Stellen auch eine Teilung der mittleren Konsole vorhanden ist. Ein Beispiel wäre die Ansicht der Datenbanken, bei der Sie im oberen Teil den Postfach-Server sehen und im unteren Teil die Datenbank oder die Speichergruppe anwählen können.
25
Kapitel 1 Was hat sich geändert?
Abbildung 1.7: Datenbankansicht in Exchange
1.3
Die PowerShell
Die PowerShell dürfte nach der Änderung auf 64 Bit die wichtigste Änderung in der Entwicklung von Exchange Server 2007 sein. Über die grafische Oberfläche lassen sich zwar zahlreiche Einstellungen vornehmen, aber etliche Funktionen sind nur noch über die Kommandozeile erreichbar. Die grafische Oberfläche von Exchange Server ist im Übrigen so aufgebaut, dass im Hintergrund nur noch Kommandos an die PowerShell übergeben und ausgeführt werden. Zudem sind die Eingaben und zurückgelieferten Werte nun objektorientiert, was in vielen Fällen eine große Erleichterung darstellt. Leider würden sämtliche Funktionen der PowerShell hier aufgeführt den Rahmen des Buches sprengen. Wir haben daher einige wichtige herausgesucht.
26
Die PowerShell
PowerShell-Bedienung Innerhalb der PowerShell können sie nach der Eingabe eines Kommandos die automatische Vervollständigung nutzen. Geben sie doch einfach einmal get-ExchangeS ein und drücken Sie die (ÿ)-Taste. Ihre Eingabe wird dann automatisch auf Get-ExchangeServer vervollständigt. Wenn Sie nun die Enter-Taste drücken, erhalten Sie nur eine kleine Auswahl der im Objekt Exchange-Server enthaltenen Attribute zurück. Die vollständige Anzahl an Attributen erhalten Sie, wenn Sie nach dem Kommando eine sogenannte Pipe (wird durch | dargestellt; dieses Zeichen erreichen Sie mit (AltGr)+(<)) eingeben und dort fl wählen. Alle Objekte, die Sie mit dem Kommando vor der Pipe erhalten, werden durch das Kommando nach der nächsten Pipe weiterbearbeitet. Die Angabe fl gibt eine vollständige Liste der Attribute auf dem Bildschirm aus. Die Abkürzung fl steht für Format List. Mit dem Argument –whatif erfahren Sie was passiert, wenn das Kommando ausgeführt wird. Die tatsächliche Ausführung des Befehls findet jedoch nicht statt. Das ist sehr wichtig, wenn Sie erst einmal sehen wollen, wie sich ein Ihnen nicht bekanntes Kommando auswirkt.
1.3.1
PowerShell – der Einstieg
Als guter Einstieg in die PowerShell mag der Befehl get-excommand dienen. Dieser Befehl liefert Ihnen alle für Exchange verfügbaren PowerShell-Befehle. Wenn Ihnen das noch zu wenig ist, dann versuchen Sie doch einmal get-tip. Das ExchangeTeam hat hier einige interessante Tipps zum Einstieg hinterlegt. In den folgenden Abschnitten zeigen wir Ihnen einige Möglichkeiten, was Sie mit der PowerShell alles schnell und effizient erledigen können. Mit einzeiligen PowerShell-Skripten lassen sich bereits umfangreiche Arbeiten erledigen, die über die grafische Oberfläche unmöglich oder nur sehr viel umständlicher möglich wären. Im ersten Beispiel zeigen wir Ihnen, wie Sie mit einem einzeiligen Skript die Funktion Safelist-Aggregation verwenden, die aus den Postfächern die von den Benutzern als sicher markierten Versender in eine benutzerdefinierte Whitelist zusammenfasst.
27
Kapitel 1 Was hat sich geändert?
Abbildung 1.8: Aufrufen der Tipps mit dem Befehl get-tip
Safelist-Aggregation automatisieren In Kapitel 4, „Anti-Spam und Anti-Virus“, erläutern wir die Anti-Spam-Features von Exchange Server 2007. Eines dieser Features ist die sogenannte SafelistAggregation. Hier werden von den Benutzern durch die Anti-Spam-Funktion in Outlook als sicher angesehene Empfänger in einer Liste auf dem Exchange Server zusammengefasst. Die Anti-Spam-Bewertung erfolgt dadurch bereits vor der Zustellung in der Mailbox. Eine Funktion für diese Safelist-Aggregation gibt es in der grafischen Benutzeroberfläche nicht; man kann die Steuerung lediglich über die PowerShell vornehmen. Die Informationen, die der Benutzer über die Outlook-Funktion eingibt, werden in seinem Postfach unsichtbar hinterlegt. Eine Liste mit allen Postfächern erhalten Sie über den Befehl get-mailbox. Geben Sie diesen an der Exchange-PowerShell einmal ein – Sie erhalten eine Ausgabe aller Mailboxen mit Alias, aller Server mit der Mailbox-Rolle, auf dem die Mailboxen liegen, und das Quota (Größenbeschränkung), bei welchem die Benutzer nicht mehr senden dürfen.
28
Die PowerShell
Abbildung 1.9: Auflisten der Postfächer auf dem Exchange Server
Mit diesen Mailbox-Objekten kann man nun noch einige Dinge anstellen, wie Sie im nächsten Beispiel sehen werden. Zunächst wollen wir die Safelist-Aggregation ausnutzen, um unsere Exchange-Organisation optimal zu schützen. Um die zurückgegebenen Objekte weiter zu verarbeiten, geben Sie nach dem Befehl getmailbox ein Pipe-Zeichen | ein. Im Falle der Safelist hat es uns Microsoft sehr einfach gemacht – hier wird einfach der Befehl update-safelist angehängt. Nach Drücken der Enter-Taste wird der Befehl ausgeführt. Eine Rückmeldung auf der Kommandozeile erfolgt nicht – eine kurze Meldung sehen Sie nur, wenn Sie – whatif angeben. Eine Automatisierung haben Sie damit noch nicht erreicht. Dazu müssen Sie erst die vollständige Befehlszeile in ein Skript bauen und dieses mit dem Zeitplaner regelmäßig ausführen lassen. Der Programmaufruf ist allerdings etwas verzwickt. Sie müssen die Windows-PowerShell mit der Exchange-Erweiterung und Ihrem Skript aufrufen. Die Befehlszeile können Sie (in einer Zeile) in eine Batch-Datei packen. Im vorliegenden Fall würde sie wie folgt lauten: C:\WINDOWS\system32\windowspowershell\v1.0\powershell.exe -PSConsoleFile "c:\Program Files\Microsoft\Exchange Server\Bin\exshell.ps1" -command ".\c:\ scripts\updatesafelist.ps1' Die Angabe c:\scripts\updatesafelist.ps1 ersetzen Sie durch den vollständigen Pfad zu Ihrem jeweiligen PowerShell-Skript mit der Endung ps1. Die erstellte Batch-Datei geben Sie in Ihrem Taskplaner an und definieren einen Zeitraum, in dem das Skript ausgeführt werden soll. Sinnvoll wäre hier zum Beispiel einmal täglich bei größeren Organisationen. Bei näherer Betrachtung des Skripts werden Sie bemerken, dass die Angabe zu ihrem Skript in „ \ “ mit einem voranstehenden Punkt gesetzt ist. Bitte halten Sie sich an diese Syntax, die auch für die nachfolgenden Skripte gilt.
29
Kapitel 1 Was hat sich geändert?
Abbildung 1.10: Aktualisieren der Safelist der Postfächer
Abbildung 1.11: Hinterlegen Sie die Batch-Datei im Taskplaner.
Abbildung 1.12: Legen Sie einen Zeitplan fest.
30
Die PowerShell
Automatisierte Steuerung der Postfachbeschränkungen Möglicherweise arbeiten Sie für ein Unternehmen, das keine einheitlichen Postfachbeschränkungen erlaubt. Zum Beispiel ist es vorstellbar, dass Grafiker oder Designer eine größere Mailbox erhalten, da diese viele Grafiken in Anhängen versenden müssen. Vorstellbar wäre auch eine Gruppe, die viele Berichte erstellt, die vorwiegend über E-Mail versandt werden. Oft sind es auch höhergestellte Angestellte, die viele E-Mails bekommen und sich eine größere Mailbox wünschen. In diesem Fall genügt es dann leider nicht, die Postfachbeschränkungen für alle Mitarbeiter über eine globale Einstellung vorzunehmen. In dem nachfolgenden Skript wird gezeigt, wie man automatisch die Größe der Mailbox pro Benutzer einschränkt, falls noch keine Beschränkung vergeben ist. Andernfalls erfolgt keine Änderung. Wieder rufen wir alle Postfächer auf. Bitte „pipen“ Sie diesmal die Ausgabe mit folgendem Befehl: Get-Mailbox | Format-Table Name,Alias,ProhibitSendQuota,IssueWarningquota Sie erhalten nun eine Ausgabe aller Mailboxen mit den dazugehörigen Größenbeschränkungen.
Abbildung 1.13: Ausgabe der Benutzerpostfächer
Wie Sie in der Abbildung sehen können, ist im vorliegenden Fall das Postfach des Administrators eingeschränkt. Alle anderen Benutzer sollen nun ebenfalls eine Beschränkung erfahren, um das Ausufern der Postfachgrößen zu verhindern. Zuerst fragen wir alle Postfächer ab, die keine Einschränkung haben: Get-mailbox | where { $_.IssueWarningQuota -eq "unlimited" }
31
Kapitel 1 Was hat sich geändert?
Diese Abfrage lässt alle Mailboxen, die bereits ein gesetztes Limit für die Warnung haben, außer Acht. Um das Limit nun auf einen von Ihnen gewünschten Wert zu setzen, verwenden wir den Befehl set-mailbox und setzen damit das Attribut IssueWarningQuota auf 500 MB. Die vollständige Befehlszeile lautet in diesem Fall: get-mailbox | where { $_.IssueWarningQuota -eq "unlimited" } | Set-Mail box -IssueWarningQuota 500MB Durch die Eingabe von get-mailbox | format-table name,Alias,IssueWarningQuota sehen Sie, dass das Limit bei allen noch nicht umgestellten Mailboxen umgestellt wurde. Das Gleiche können Sie nun noch bei allen Mailboxen ohne eingestelltes Sendelimit tun. Der Parameter hierfür lautet ProhibitSendQuota. Ein Skript dazu würde folgendermaßen aussehen: get-mailbox | where { $_.IssueWarningQuota -eq "unlimited" } | Set-Mail box -IssueWarningQuota „500 MB“ Get-Mailbox | where { $_.prohibitSendQuota -eq "unlimited" } | set-mailbox -ProhibitSendQuota "520 MB" Packen Sie die beiden Zeilen in ein PowerShell-Skript und führen Sie es nach dem Anlegen neuer Mailboxen oder automatisiert einmal monatlich aus. Wie Sie PowerShell-Skripte automatisieren, sehen Sie im ersten Beispiel. Mitarbeiter im Helpdesk, die diese Benutzer anlegen, oder auch in automatisierten Verfahren brauchen dann keine Anweisungen wie Größenbeschränkungen für Mailboxen mehr vergeben.
Abbildung 1.14: Ausgabe aller Mailboxen ohne Warnung
32
Die PowerShell
Abbildung 1.15: Nur die Mailboxen ohne vorherige Einträge
Vielleicht wollen Sie vorbeugend nach dem Einstellen der Grenzen wissen, welche Mailboxen die Grenzen überschreiten. Auch das kann mit einem einzeiligen PowerShell-Skript abgefragt werden. Hierzu wird das Cmdlet Get-mailboxstatistics benötigt. Die folgende Abfrage können Sie anwenden, um alle Mailboxen, die in den Bereich der Warnung gekommen sind, auszugeben: Get-Mailbox | Get-MailboxStatistics | where { $_.StorageLimitStatus -eq "IssueWarning" } Sie erhalten eine Ausgabe aller Mailboxen, die bereits die Warnungsgrenze erreicht haben. Nichtlaufende Prozesse neu starten In den ersten Beispielen ging es nur um Exchange Server, das folgende Beispiel können Sie überall dort einsetzen, wo eine PowerShell installiert wurde. Gerade in kleineren Organisationen existiert häufig keine Überwachung der Server-Landschaft. Ausfallende Dienste werden meist erst durch einen Anruf des Benutzers oder zufällig entdeckt. Mit einem kleinen PowerShell-Skript können Sie ausgefallene Dienste automatisiert neu starten. Fragen Sie dazu als Erstes den Status des Dienstes ab, den Sie überwachen möchten: Get-Service -name MSEXchange* | where-object { $_.Status -eq "Stopped" }
33
Kapitel 1 Was hat sich geändert?
Mit dieser Abfrage können Sie zum Beispiel alle für Exchange relevanten Dienste ausgeben, die gestoppt wurden. Mit Start-Service starten Sie diese Dienste dann wieder neu. Das einzeilige Skript würde so aussehen: Get-Service -name MSEXchange* | where-object { $_.Status -eq "Stopped" } | start-service Wenn Sie dieses Skript wieder in einem PowerShell-Skript speichern und regelmäßig laufen lassen, werden beendete Dienste automatisiert neu gestartet. Sie können natürlich auch andere Aktionen mit der PowerShell ausführen. Die Mailbox-Statistik Im zweiten Beispiel haben wir gezeigt, wie die Mailbox-Statistik hilft, einen Teil der Mailboxen auszugeben. Sie haben des Weiteren auch die Möglichkeit, eine Statistik über Ihre gesamten Mailboxen in Excel zu importieren. Die PowerShell kann alle Ausgaben als HTML- oder als CSV-Datei ausgeben. Um eine Statistik aller Mailboxen für Excel zu erhalten, können Sie beispielsweise folgendes Skript benutzen: Get-mailbox | get-mailboxstatistics | format-table Displayname,storagelimitstatus, totalitemsize Diese Eingabe gibt ihnen alle Mailboxen mit Größe und Grenzwerten in einer Tabelle aus. Um die Angaben nach der Größe der Mailboxen zu sortieren, benötigen Sie noch die Angabe Sort-Object, das die Ausgaben der PowerShell mittels eines Attributs sortiert: Get-mailbox | Get-MailboxStatistics | Sort-Object -property totalitemsize | format-table displayname,storagelimitstatus,totalitemsize Um die Ausgabe in einer Excel-Tabelle auszuwerten, erzeugen Sie jetzt noch eine CSV-Datei, die sich leicht in Excel importieren lässt: Get-mailbox | Get-MailboxStatistics | Sort-Object -property totalitemsize | export-csv C:\scripts\Statistic.csv Die gewonnen Daten können Sie so leicht für weitere Berechnungen verwenden. In Excel lassen sich auch Trendanalysen oder Ähnliches aufstellen. Wenn Sie die Daten regelmäßig ausgeben wollen, verpacken Sie diese, wie in Beispiel 1 gezeigt, in ein Skript und planen die Ausführung mit dem Taskplaner. Es gibt im Internet noch weitaus mehr Beispiele dafür, was alles mit der PowerShell machbar ist. Gut geeignet ist die PowerShell meist für Massenoperationen oder für spezielle Skripte. Mit der PowerShell können Sie beispielsweise auch Benutzer komplett anlegen oder sich Statistiken ausgeben lassen. Haben Sie auf
34
Die PowerShell
Ihrem Hub-Transport-Server oder auf dem Exchange Server mit der Rolle EdgeTransport beispielsweise die Anti-Spam Agents aktiviert, dann haben Sie im Unterverzeichnis Scripts in Ihrer Exchange Server 2007-Installation eine Reihe von Anti-Spam-Abfragen, die Sie nutzen können.
Abbildung 1.16: Skriptgesteuerte Abfrage der RBL-Provider
Wir hoffen, Ihnen einen kleinen Einblick gegeben zu haben, was alles mit der PowerShell möglich ist. Vielleich finden Sie ja auch, dass einige Punkte in der Verwaltung von Exchange-Organisationen leichter geworden sind. Zumindest benötigen Sie kein externes Tool mehr, um umfangreiche Statistiken zu erstellen. Weitere praktische Tipps zur PowerShell finden Sie unter den nachfolgenden Links: Das PowerShell-Blog: http://blogs.msdn.com/PowerShell/ The PowerShell Guy: http://thepowershellguy.com/blogs/posh/ Skripting mit der PowerShell im Technet von Microsoft: http://www.microsoft.com/germany/technet/scriptcenter/hubs/msh.mspx Wenn Sie tiefer in das Thema „PowerShell“ einsteigen wollen, empfehle ich Ihnen das im selben Verlag erschienene Buch „Windows PowerShell“ von Dr. Holger Schwichtenberg (ISBN 978-3-8273-2533-4).
35
2
Die Installation von Exchange Server 2007
2.1
Die Voraussetzungen zur Installation schaffen
In diesem Kapitel erläutern wir die Voraussetzungen für die Installation von Exchange Server 2007 sowie die Installation selbst.
2.1.1
Die Versionen: Standard und Enterprise
Auch Exchange Server 2007 wird wieder in zwei Versionen verkauft: Standard und Enterprise. Der Datenträger der Installation ist bei beiden der gleiche. Die Funktionen werden aufgrund des nach der Installation eingegebenen Lizenzschlüssels freigeschaltet. Es bestehen folgende Unterschiede zwischen den beiden Varianten: 왘
Anstelle von fünf Speichergruppen sind bis zu 50 Speichergruppen mit der Enterprise Edition möglich.
왘
Es können anstatt nur fünf Datenbanken in der Standard Edition 50 Datenbanken in der Enterprise-Version angelegt werden.
왘
Single Copy und Clustered Continuous Replication sind nur in der Enterprise-Version möglich.
37
Kapitel 2 Die Installation von Exchange Server 2007
Ergänzend haben wir noch eine kleine Tabelle hinzugefügt, die weitere neue Features zeigt, die auch in der Standard-Version zur Verfügung stehen. Bei einem Exchange Server 2003 war es zum Beispiel nur mit der Enterprise Edition möglich, mehr als eine Speichergruppe zu haben. Feature
Standard Edition
Enterprise Edition
Mögliche Speichergruppenanzahl
5 Speichergruppen 50 Speichergruppen
Mögliche Anzahl von Datenbanken
5 Datenbanken
50 Datenbanken
Größenbeschränkung der Datenbank
16 TB
16 TB
Einzelkopie-Cluster
Nicht möglich
Unterstützt
Lokale fortlaufende Replikation
Unterstützt
Unterstützt
Fortlaufende Cluster-Replikation
Nicht möglich
Unterstützt
Standby Continuous Replication (erst ab SP1)
Unterstützt
Unterstützt
Tabelle 2.1: Gegenüberstellung von Standard und Enterprise Edition
Für welche Version Sie sich letztendlich entscheiden hängt, also primär davon ab, ob Sie Cluster-Funktionalität oder viele Speichergruppen bzw. viele Datenbanken benötigen. Achten Sie beim Kauf darauf, ob Sie ein stark expandierendes Unternehmen haben, oder ob Ihre Mails so wichtig sind, das Sie Cluster-Funktionalität benötigen. Wir werden Ihnen in Kapitel 9, „Serverkonzeption und Dimensionierung“ zeigen, in welchem Umfang auch mit einer Exchange Server 2007 Standard Edition die Ausfallzeit im Fehlerfall beschränkt werden kann. Weitere Informationen zu den verfügbaren Versionen von Exchange Server 2007 finden Sie in englischer Sprache unter folgender Internetadresse: http://www.microsoft.com/exchange/evaluation/editions.mspx
2.1.2
64-Bit- und 32-Bit-Versionen
Der Exchange Server 2007 wird wie oben schon beschrieben nur aufgrund des Lizenzschlüssels für eine Version festgelegt. Die Binär-Dateien sind für beide Versionen gleich. Es gibt aber einen Unterschied in den verfügbaren PlattformVersionen. Der Exchange Server 2007 wird sowohl in einer 32-Bit- als auch in einer 64-Bit-Variante angeboten.
38
Die Voraussetzungen zur Installation schaffen
32-Bit-Variante Die 32-Bit-Variante ist nur zu Test- und Schulungszwecken gedacht und wird in einem produktiven Umfeld von Microsoft nicht unterstützt. Außerdem gibt es die 32-Bit-Variante nur in der Standard Edition. Auch gibt es keine Möglichkeit, dies über die Eingabe eines Enterprise-Lizenzschlüssels zu verändern, da in der 32-Bit-Variante keine Benutzeroberfläche für die Eingabe des Lizenzschlüssels existiert. Die 32-Bit-Variante enthält zum Unterschied zur 64-Bit-Variante der Standard Edition auch noch die Möglichkeit der fortlaufenden Cluster-Replikation und des Einzelkopie-Clusters. Diese Funktionen können somit auch in der 32-Bit-Variante getestet werden. Sie können die 32-Bit-Variante zur Vorbereitung der Active Directory-Gesamtstruktur und/oder Domäne verwenden, um auf einem 32-Bit-Domänen-Controller die Vorbereitungsaktionen PrepairForest und PrepairDomain auszuführen. Weiter kann die Exchange Management Console aus der 32-Bit-Variante zur Verwaltung auf einem Windows Server 2003 mit 32 Bit oder einem Windows XPServer mit 32 Bit installiert werden. Diese Ausnahmen der Verwendung der 32-Bit-Variante in einem produktiven Exchange Server 2007-Umfeld werden von Microsoft unterstützt. Die Installation der RTM-Version der Exchange Management Console auf einem Computer mit Windows Vista 32 Bit oder 64 Bit oder auf einem Windows Server 2008 wird nicht von Microsoft unterstützt und wird erst mit Service Pack 1 (SP1) ermöglicht, sowie mit SP1 für Windows Vista. 64-Bit-Variante Die 64-Bit-Variante ist diejenige Version von Exchange Server 2007, die für einen produktiven Einsatz verwendet wird. Sie kann nur auf einem Windows Server 2003 mit 64 Bit oder ab Exchange Server SP1 auch auf einem Windows Server 2008 64-Bit installiert werden. Die Anti-Spam-Aktualisierung über eine Windows Update Server- oder die Windows Update-Seite steht nur in der 64-Bit-Variante zur Verfügung. Weitere Informationen zu den Voraussetzungen der Installation finden Sie weiter unten in diesem Kapitel. Beide Varianten befinden sich nach der Installation im 120-Tage-Evaluierungsmodus. Das bedeutet: Es wurde kein Lizenzschlüssel eingegeben. Nach dem Starten der Exchange Management Console (EMC) wird Ihnen ein Fenster angezeigt, in dem die installierten Rollen und Versionen des Exchange Servers zu sehen sind. Weiter zeigt das Fenster die verbleibende Zeit bis zum Ende der Evaluierungszeit.
39
Kapitel 2 Die Installation von Exchange Server 2007
In der 32-Bit-Variante wird das oben genannte Hinweisfenster ebenfalls angezeigt. Allerdings ist die 32-Bit-Variante nach Ablauf des 120-Tage-Evaluierungszeitraums weiter zu Test- und Schulungszwecken nutzbar.
2.1.3
Versionswechsel und Änderung des Lizenzschlüssels
Es gibt folgende Möglichkeiten, um die Exchange Server 2007-64-Bit-Versionen zu wechseln. Dabei ist immer nur ein Upgrade bzw. eine Änderung des Lizenzschlüssels möglich. Möglichkeit eines Wechsels
Unterstützt
Methode
Upgrade von Standard zu Enterprise
Ja
Eingabe des Enterprise-Lizenzschlüssels und Neustart des Informationsspeicher-Dienstes
Lizenzierung von der Evaluierungs- zur Standard- bzw. Enterprise-Version
Ja
Eingabe des Lizenzschlüssels
Änderung des Lizenzschlüssels
Ja
Eingabe des neuen Lizenzschlüssels
Downgrade von Enterprise nach Standard
Nein
–
Downgrade von Standard oder Enterprise Edition zur Evaluierungs-Version
Nein
–
Tabelle 2.2: Übersicht über die möglichen Versionswechsel
Sollten Sie versehentlich bei der Installation eines weiteren Exchange Servers 2007 die gleichen Lizenzschlüssel verwendet haben, können Sie diese über die Eingabe des jeweiligen Lizenzschlüssels wieder ändern.
40
Die Voraussetzungen zur Installation schaffen
2.1.4
RTM-Versionsnummern
Bei der RTM-Version (RTM = Relased to Manufacture) des Exchange Servers 2007 handelt es sich um die Versionsnummer, die ein Exchange Server hat, nachdem er ausgeliefert wurde. Diese Nummer identifiziert also den Stand des Exchange Servers. Nach der Installation eines Service Packs oder einiger Hotfixe verändert sich diese Versionsnummer. Beim Exchange Server 2007 gibt es zwei unterschiedliche RTM-Versionsnummern, die Sie abhängig von der Art der Abfrage bzw. der Serverrolle angezeigt bekommen. 왘
Version 685.24
왘
Version 685.25
Beide Versionsnummern sind für einen Exchange Server 2007 in der Grundinstallation ohne Service Packs oder Hotfixe zutreffend. Eine Ausnahme stellt die Serverrolle Edge-Transport dar. Dort wird immer nur die Version 685.25 angezeigt. Beim Anzeigen der Versionsnummer in der Exchange Management Console – über die Versionsinformationen in Outlook oder über das Aufrufen der Versionsnummer über die PowerShell – wird Ihnen die Versionsnummer 685.24 angezeigt. Über die Registrierung und über den Microsoft Operation Manager wird Ihnen die Versionsnummer 685.25 angezeigt. Zusätzlich wird Ihnen über die Hilfe zu Exchange Server 2007 eine dritte Versionsnummer 685.018 angezeigt. Diese Unterschiede sind nach der Installation des Service Packs 1 für den Exchange Server 2007 behoben. Um die Verwirrung noch zu steigern, gibt es eine weitere Versionsnummer, die Sie im Feld EXCHANGE VERSION angezeigt bekommen, wenn Sie über die PowerShell den Befehl get-ExchangeServer aufrufen. Dort sehen Sie die Nummer 0.1 (8.0.535.0). Diese Nummer ist aber keine Versionsnummer eines installierten Exchange Server-Produkts, sondern gibt die Versionsnummer an, die benötigt wird, um auf gewisse Objekte lesend zuzugreifen. Ein Beispiel dafür ist die globale Adressliste. Ist diese in der Version 0.1 (8.0.535.0) vorhanden, so können nur Exchange Server mit mindestens der angegebenen Version lesend darauf zugreifen. Das Objekt erhält seine Versionsnummer immer von der Komponente, die es zuletzt verändert hat. Kommen wir auf unser Beispiel der globalen Adressliste von oben zurück, so wird nach einer Änderung der globalen Adressliste die Version geändert, die der Exchange Server besitzt. In diesem Fall wäre das die 0.1 (8.0.535.0).
41
Kapitel 2 Die Installation von Exchange Server 2007
Sie können dieses Verhalten bei einer Migration beispielsweise von Exchange Server 2003 nach Exchange Server 2007 sehr gut beobachten. Dort hat die globale Adressliste vor der Umstellung eine ältere Version als 0.1 (8.0.535.0) – z.B. 0.0 (xxx). Nachdem die globale Liste für die Verwendung unter einem Exchange Server 2007 umgestellt wurde, weist diese dann ebenfalls die Versionsnummer 0.1 (8.0.535.0) auf.
2.1.5
Die Zugriffslizenzen
Neben den Exchange Server 2007-Standard- und Enterprise-Versionen gibt es noch unterschiedliche Client-Zugriffslizenzen. Diese teilen sich ebenfalls in Standard- und Enterprise-Versionen auf. Es ist durchaus möglich, auf einem Exchange Server 2007 Standard Edition die Features der Enterprise-Client-Zugriffslizenzen zu nutzen. Umgekehrt benötigen Sie für die Benutzer auf einem Exchange Server 2007 Enterprise Edition nicht unbedingt eine Enterprise Client-Zugriffslizenz, sondern können auch hier Standard-Client-Zugriffslizenzen einsetzen. Die Client-Zugriffslizenzen bauen aufeinander auf. Das bedeutet, dass Sie keine eigenständige EnterpriseLizenz einzeln erwerben können, sondern eine Standard-Client-Zugriffslizenz wird durch einen Zusatz zu einer Enterprise-Client-Zugriffslizenz. Die ClientZugriffslizenzen sind in einer Exchange-Organisation gemischt verwendbar. Folgende Funktionen stehen Ihnen bei einer Standard-Client-Zugrifflizenz zur Verfügung: 왘
Outlook Web Access (OWA)
왘
Exchange Active Sync
왘
E-Mail-Funktionen, Gruppenkalender-Funktionen, persönliche Adressbücher, Aufgaben und Management-Funktionen
왘
Outlook Anywhere
왘
Verwaltete Standard-Ordner
Mit einer auf die Standard-Client-Zugriffslizenz aufbauenden Enterprise-ClientZugriffslizenz werden die folgenden Features hinzugefügt: 왘
Unified Messaging
왘
Journaling-Funktion pro Benutzer bzw. Verteilergruppe
왘
Verwaltete benutzerdefinierte Ordner
왘
Forefront Security
왘
Exchange Hosted Filtering
42
Die Voraussetzungen zur Installation schaffen
Abbildung 2.1: Verwaltete Ordner sind nur mit Enterprise-Zugriffslizenzen zu nutzen.
2.1.6
Die Serverrollen
Mit Exchange Server 2007 wurde eine Serverrollen-basierte Installation eingeführt. Das bedeutet, dass Sie die verschiedenen Rollen von Exchange Server 2007 auf mehrere Server verteilen können. Bis auf die Serverrolle Edge-Transport ist es aber auch möglich, alle Funktionen auf einem Server zu installieren. Folgende Serverrollen stehen zur Verfügung: 왘
Die Mailbox-Serverrolle: Auf dem Mailbox-Server werden die Datenbanken für die Mailboxen und soweit noch erforderlich für öffentliche Ordner verwaltet.
왘
Die ClientAccess-Serverrolle: Der ClientAccess-Server sorgt für den Zugang über Outlook Web Access, Active Sync und Outlook Anywhere.
왘
Die Hub-Transport-Serverrolle: Über diese Rolle laufen sämtliche Mails im Unternehmen und können dort per Regelwerk vom Administrator bearbeitet werden.
왘
Die Unified Messaging-Serverrolle: Diese Rolle dient zum Anschluss des Exchange Servers 2007 an eine Telefonanlage und zur Sprachsteuerung und Sprachausgabe von Mailboxinhalten.
43
Kapitel 2 Die Installation von Exchange Server 2007 왘
Die Edge-Transport-Serverrolle: Eine zusätzliche Rolle, die dazu dient, Mails in einem Umkreisnetzwerk oder bei einem Hoster nach Spam oder Viren zu filtern. Dadurch wird die Last auf dem eigentlichen Server gering gehalten, da Filterungen sehr ressourcenintensive Rechenaufgaben für Server darstellen.
Abbildung 2.2: Die installierten Rollen auf einen Blick
Die Verteilung der Serverrollen wird in einem späteren Kapitel ausführlich behandelt, wenn es darum geht, bei der Installation der Rollen in größeren Umgebungen ein paar Feinheiten zu beachten. Einige Voraussetzungen für das Betriebssystem müssen Sie beachten: Erforderlich ist die Installation von Windows Server 2003 Service Pack 1. Empfohlen wird von uns Service Pack 2 auf den Domänen-Controllern, die von Exchange Server 2007 genutzt werden. Nachfolgend finden Sie die Gründe dazu: 왘
44
Für den Domänen-Controller, der die Schema-Master-Rolle ausführt, ist Windows 2003 Service Pack 1 die Mindestvoraussetzung. Weiter sollte in jeder Active Directory Site, in der Exchange Server 2007 eingesetzt wird, ein globaler Katalog mit Windows 2003 Service Pack 1 zur Verfügung stehen. Die Gründe dafür sind folgende: Domänen-Controller mit Windows 2003 Service Pack 1 unterstützen die sogenannten Service Notifications, die bei Konfigurationsänderungen Benachrichtigungen an den Exchange Server 2007-Dienst senden. Die Installation von Service Pack 2 auf allen beteiligten Servern wird empfohlen.
Die Voraussetzungen zur Installation schaffen 왘
Windows Server 2003 Service Pack 1 gestattet den Benutzern von Outlook Web Access, das Adressbuch mit Unterstützung des Browsers zu durchsuchen.
왘
Unter Windows 2003 Service Pack 1 lassen sich Verteilerlisten effizienter durchsuchen als in älteren Versionen. Das ist insbesondere dort wichtig, wo Sie große Verteilerlisten mit vielen Mitgliedern und einen Exchange Server 2007 mit der Serverrolle Hub-Transport installieren möchten.
Möchten Sie Exchange Server 2007 in einer Gesamtstruktur mit mehreren Domänen installieren, so müssen Sie außerdem in jeder Domäne in der Active Directory-Gesamtstruktur, in der ein Exchange Server 2007 installiert werden soll, den Befehl Setup /PrepareLegacyExchangePermissions gegen einen Domänen-Controller, auf dem Windows Server 2003 Service Pack 1 oder Service Pack 2 ausgeführt wird, ausführen. Den Domänen-Controller, der für diesen Teil der Installation gewählt werden soll, können Sie bei einer Installation über die Kommandozeile über den Schalter /DomainController auswählen. Erfüllen alle Domänen-Controller diese Voraussetzungen, ist der Schalter nicht erforderlich. Andernfalls setzen Sie diesen Schalter, da die Auswahl des Domänen-Controllers willkürlich und ohne vorherige Prüfung erfolgt. Sie können mit dem 32-Bit-Installationsdatenträger von Exchange Server 2007 auf dem entsprechendem 32-Bit-Domänen-Controller den oben genannten Befehl auch direkt ausführen. Wenn Sie nichtenglische Domänen-Controller in Ihrer Gesamtstruktur betreiben, in der auch Outlook Web Access eingesetzt werden soll, dann müssen Sie dort das Hotfix aus dem Knowledge Base-Artikel 919166 auf allen Domänen-Controllern einspielen. Dies ist nötig, damit Sie Zugriff auf das Adressbuch erhalten und Outlook Web Access später wie gewünscht funktioniert.
2.1.7
Voraussetzungen in der Exchange-Organisation
Auch in vorhandenen Exchange-Organisationen müssen gewisse Vorbereitungen getroffen werden, um die Anforderungen zu erfüllen. Dieser Abschnitt braucht jedoch nur beachtet zu werden, wenn Sie bereits eine Exchange Server-Installation in Ihrer Gesamtstruktur installiert haben. Andernfalls können Sie diesen Abschnitt überspringen. Exchange Server 2007 unterstützt keine Migration von Exchange Server-Version 5.5 oder älter. Sollten Sie noch eine Exchange 5.5-Organisation betreiben, müssen Sie zuerst die Migration auf Exchange Server 2000 oder Exchange Server 2003
45
Kapitel 2 Die Installation von Exchange Server 2007
abschließen. Ähnliches gilt, wenn Sie den Modus Ihrer Exchange-Organisation noch nicht auf einen einheitlichen Modus umgestellt haben. Die Änderung nehmen Sie in den Eigenschaften der Exchange-Organisation im Exchange System Manager Snap-in vor. Wählen Sie dort die Eigenschaften der Organisation aus und heben Sie den Modus auf Exchange 2000 an. Achtung: Dieser Vorgang ist nur in eine Richtung möglich, ein Zurückgehen auf den sogenannten Mixed Mode ist von Microsoft nicht vorgesehen. Bitte beachten Sie, dass folgende Voraussetzungen gegeben sein müssen, bevor Sie in den Native Mode bzw. einheitlichen Modus umschalten: 왘
Es dürfen keine NT4-Domänen-Controller installiert sein.
왘
Exchange 5.5 oder der Site Replication Service muss entfernt worden sein.
Erst wenn diese Voraussetzungen erfüllt sind und Ihnen die Umschaltung möglich ist, kann auf Exchange Server 2007 migriert werden. Der Vorgang der Migration von Exchange Server 2000 oder Exchange Server 2003 wird in Kapitel 6, „Migration auf Exchange Server 2007“, besprochen.
Abbildung 2.3: Beachten Sie den Modus Ihrer Exchange-Organisation (hier einheitlich) vor der Migration.
46
Die Voraussetzungen zur Installation schaffen
Bitte beachten Sie, dass die Migrationsvoraussetzungen der ExchangeOrganisation nur für eine Migration gelten, bei der Sie keine Programme von Drittanbietern einsetzen. Für die manchmal notwendige Migration von älteren Exchange-Versionen bieten Drittanbieter wie zum Beispiel Quest Lösungen an. Auf allen Rechnern, auf denen eine Exchange Server 2007-Serverrolle installiert werden soll, müssen Sie sicherstellen, dass das primäre DNS-Suffix gleichlautend ist mit dem DNS-Namen der Domäne. Des Weiteren muss ihr Active Directory über eine funktionierende Namensauflösung mittels DNS verfügen.
2.1.8
Hardware-Voraussetzungen
Alle Exchange-Rollen können lediglich auf einem System mit einem AMD-64Bit-Prozessor oder einem Intel-EM64T-Prozessor installiert werden. Die IntelArchitektur Itanium IA 64 hingegen wird nicht unterstützt. Es wird zwar eine vollständig 32-Bit-fähige Version von Exchange Server 2007 geben, mit der Sie unter anderem die Verwaltungswerkzeuge auf 32-Bit-Administratoren-Arbeitsplätzen installieren können, aber Support erhalten Sie dafür von Microsoft nicht. Darüber hinaus lässt sich mit der 32-Bit-Version lediglich zu Demonstrationszwecken ein Gastsystem in einer virtuellen Umgebung installieren. Service Packs wird es für die 32-Bit-Versionen ebenfalls geben. Für die RAM-Ausstattung des Servers empfiehlt Microsoft in der Dokumentation folgende Werte: 2 GB für jeden Server zuzüglich 5 MB für jede Mailbox auf den Mailbox-Servern. In unserer Demonstrations-Umgebung für das Buch verwenden wir nur 512 MB RAM. Das funktioniert zwar auch, aber in Produktivumgebungen müssen Sie in diesem Fall mit Leistungseinbußen rechnen. Gerade für das angepasste Caching-Verhalten erhalten Sie mit mehr RAM auch eine deutlich höhere Leistung. Microsoft hat eine Steigerung auf das Drei- bis Vierfache bei der Postfachgröße oder der Anzahl der Postfächer für Mailbox-Server im Vergleich zu Exchange Server 2003 angegeben. Bitte achten Sie darauf, dass der Viren-Scanner deutlich Leistung beanspruchen kann, insbesondere wenn er nicht richtig konfiguriert ist. In einem späteren Kapitel werden wir noch gesondert darauf eingehen. Zusätzlich können Sie sich noch an der Anzahl der Speichergruppen orientieren. Eine Empfehlung für die RAM-Größe entnehmen Sie bitte der nachfolgenden Tabelle.
47
Kapitel 2 Die Installation von Exchange Server 2007
Anzahl der Speichergruppen
Empfehlung für den Arbeitsspeicherausbau
1–4
2 GB
5–8
4 GB
9–12
6 GB
13–16
8 GB
17–20
10 GB
21–24
12 GB
25–28
14 GB
29–32
16 GB
33–36
18 GB
37–40
20 GB
41–44
22 GB
45–48
24 GB
49–50
26 GB
Tabelle 2.3: Empfehlungen zum Arbeitsspeicherausbau anhand der Speichergruppen
Auf die Dimensionierung von Exchange Server 2007 in größeren Umgebungen werden wir in Kapitel 9 noch genauer eingehen, da dabei einige Werte zusätzlich zu berücksichtigen sind. Als Richtschnur kann die obige Tabelle allerdings schon jetzt dienen. Auf der Partition, auf der Sie Exchange Server installieren möchten, benötigen Sie 1,2 GB freien Speicherplatz, auf der Systempartition mindestens 200 MB. Die Bildschirmauflösung muss mindestens 800 × 600 Pixel betragen. Zudem benötigen Sie ein DVD-Laufwerk, oder Sie kopieren die DVD über das Netzwerk. Dazu legen Sie die DVD in einen beliebigen anderen Server mit DVD-Laufwerk ein und stellen sie über eine Windows-Freigabe zur Verfügung. Bitte stellen Sie auch sicher, dass Sie über eine schnelle Netzwerkanbindung (am besten eine GigabitAnbindung) verfügen. Gerade bei der Installation der Rolle Unified Messaging ist dies wichtig, da die neuen Funktionen „Spracherkennung“ und „Sprachausgabe“ eine große Menge an Daten benötigen. Aus diesem Grund wird Exchange Server 2007 nicht mehr auf CD ausgeliefert. Die DVD enthält (Stand 01.02.2007) 5,44 GB Daten. Bevor Sie Exchange Server 2007 installieren, müssen Sie sicherstellen, dass die Partitionen für die Datenbanken und die Transaktions-Log-Dateien mit NTFS formatiert sind, denn Datenbanken und Transaktions-Log-Dateien dürfen nur in mit NTFS formatierten Partitionen liegen.
48
Die Voraussetzungen zur Installation schaffen
2.1.9
Software-Voraussetzungen
Alle Exchange-Rollen benötigen das .NET Framework 2.0. Bitte installieren Sie auch die verfügbaren Updates. Generell können Sie die Updates für alle Microsoft-Produkte von der folgenden Seite herunterladen: http://update.microsoft.com Das .NET Framework 2.0 ist eine neue Programmierplattform, die Microsoft nach mehrjähriger Entwicklung im Januar 2002 in der Version 1.0 freigegeben hat. Version 2.0 ist Ende 2005 erschienen, Version 3.0 Ende 2006 sowie die Version 3.5 im Februar 2008. Das Framework dient als Rahmen für unterschiedlichste Anwendungen, die gemeinsame Funktionen aus diesem Framework nutzen. Das .NET Framework ist übrigens nicht abwärtskompatibel, sodass die Installation der Version 3.0 die Version 2.0 nicht obsolet macht. Sollten Sie Windows Server 2008 einsetzen, ist die Version .NET Framework 3.0 erforderlich. Des Weiteren ist die Microsoft Management Console Version 3.0 zu installieren, und für alle Server, auf denen die Mailbox-Serverrolle installiert wird, die Hotfixe aus den Knowledge Base-Artikeln 904639 und 918980. Sie müssen hierfür nicht bei Microsoft anrufen, sondern erhalten die Download-Möglichkeit innerhalb des jeweiligen Artikels. Die Links zu den Downloads finden Sie am Ende des Buches. Auf allen Exchange Servern muss außerdem die PowerShell installiert sein. Die PowerShell ist unter Exchange Server 2007 das Universalwerkzeug des Administrators. Über die grafische Administrationsoberfläche sind zwar einige Änderungen in der Administration möglich, aber leider nicht alle. Alle Funktionen sind dagegen in der PowerShell erreichbar. Näheres zur PowerShell und ihren Funktionen finden Sie in Abschnitt 1.3, „Die PowerShell“. Service Pack 1 Für eine erfolgreiche Installation von Service Pack 1 für den Exchange Server 2007 müssen weitere Voraussetzungen erfüllt sein. Grundsätzlich gilt, dass Sie den Server auf dem neuesten Stand halten sollten, sodass alle aktuellen Service Packs und Hotfixe installiert sind. Ist dies bei Ihnen aus irgendeinem Grund nicht möglich, benötigen Sie zur Installation von SP1 folgende weitere Service Packs und Hotfixe: 왘
Service Pack 2 für Windows Server 2003
왘
Service Pack 1 für .NET Framework 2.0 oder mindestens Hotfix KB942927
왘
Hotfix KB931836
왘
Der Benutzer muss Mitglied der Gruppe Exchange Organisations-Administratoren sein.
49
Kapitel 2 Die Installation von Exchange Server 2007
2.1.10
Die Betriebssysteme
Die Installation auf 64-Bit-Domänen-Controllern ist zwar möglich, wird aber von Microsoft nicht empfohlen, da dies zu starken Performance-Einbußen führen könnte. Auf diesen Faktor gehen wir in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“, ein. Exchange Server 2007 RTM/SP1 können Sie außerdem auf folgenden Betriebssystemen installieren: 왘
Windows Server 2003 SP1 Standard Edition
왘
Windows Server 2003 SP1 Standard Edition mit MUI (Multilingual User Interface, ein Sprachpaket, das die Sprach- und Ländereinstellungen eines englischen Servers in eine andere Sprache umwandelt.)
왘
Windows Server 2003 SP1 Enterprise Edition
왘
Windows Server 2003 SP1 Enterprise Edition mit MUI
왘
Windows Server 2003 R2 Standard Edition
왘
Windows Server 2003 R2 Standard Edition mit MUI
왘
Windows Server 2003 R2 Enterprise Edition
왘
Windows Server 2003 R2 Enterprise Edition, mit MUI
왘
Windows Server 2003 SP1 Standard x64 Edition
왘
Windows Server 2003 SP1 Standard x64 Edition mit MUI
왘
Windows Server 2003 SP1 Enterprise x64 Edition
왘
Windows Server 2003 SP1 Enterprise x64 Edition, mit MUI
왘
Windows Server 2003 R2 Standard x64 Edition
왘
Windows Server 2003 R2 Standard x64 Edition, mit MUI
왘
Windows Server 2003 R2 Enterprise x64 Edition
왘
Windows Server 2003 R2 Enterprise x64 Edition, mit MUI
왘
Windows Server 2008 Standard Edition (erst ab SP1)
왘
Windows Server 2008 Enterprise Edition (erst ab SP1)
왘
Windows Server 2008 Standard x64 Edition (erst ab SP1)
왘
Windows Server 2008 Enterprise x64 Edition (erst ab SP1)
Bitte beachten Sie, dass der produktive Betrieb von Microsoft nur auf 64-Bit-Systemen unterstützt wird. Wie schon erwähnt, dient die 32-Bit-Variante lediglich zu Trainings- und Testzwecken bzw. zur Installation der Management-Oberfläche.
50
Die Voraussetzungen zur Installation schaffen
Exchange Server 2007 kann auch auf einem Windows Server 2003, der das kürzlich erschienene Service Pack 2 bereits im Installationsmedium enthält, ausgeführt werden.
Zur Installation eines Exchange Servers 2007 mit SP1 ist SP2 für Windows Server 2003 Voraussetzung. Einige Voraussetzungen hängen von der Serverrolle ab. Diese sind in der nachfolgenden Tabelle aufgeführt. Serverrolle
Voraussetzungen
Mailbox
Installation der Com und Netzwerkzugriff Installation des Internet Information Servers inklusive Webserver
ClientAccess
Installation der Com und-Netzwerkzugriff Installation des Internet Information Servers inklusive Webserver ASP .NET 2.0 (inklusive SP1) RPC über HTTP-Proxy (Dies ist eine Windows-Netzwerkkomponente, die Sie über SYSTEMSTEUERUNG/SOFTWARE/ WINDOWS-KOMPONENTEN hinzufügen können.)
Unified Messaging
Es darf kein Speech Server installiert sein, diese Rolle bringt eine eigene Sprach-Engine mit. Windows Media Encoder 9.0 für 64 Bit Microsoft Windows Media Audio Voice Codec Microsoft Core XML Services (MSXML) 6.0 Ein unterstütztes Voice over IP-Gateway/eine unterstützte Telefonanlage
Hub-Transport und Edge-Transport
Diese beiden Rollen dürfen weder über SMTP- noch über NNTP-Services verfügen. (Exchange Server bringt den eigenen SMTP-Dienst mit, NNTP wird nicht mehr unterstützt.) Active Directory Application Mode (ADAM) für die Edge-Rolle Active Directory Ligthweight Directory Services (ADLDS) Nur bei Installation der Edge-Rolle auf einem Windows Server 2008.
Tabelle 2.4: Übersicht der Serverrollen und Softwarevoraussetzungen
51
Kapitel 2 Die Installation von Exchange Server 2007
Bitte beachten Sie in älteren Umgebungen die Voraussetzungen für die Domänen-Controller. Diese werden gerne übersehen. Für die Actice Directory Standorte mit Exchange Server 2007 müssen Windows Server 2003 mit Service Pack 1 zur Verfügung stehen. Diese beiden letztgenannten Voraussetzungen gelten auch für Computer, auf denen der Exchange System Manager installiert ist.
2.1.11
Voraussetzungen für die Installation der Management Tools auf Windows XP-Rechnern oder auf Windows Server 2003 32-Bit
Möglicherweise wollen Sie nicht immer zu Ihrem Exchange Server an die Konsole gehen oder sich per Remote-Desktop auf diesen verbinden, wenn Sie Änderungen an der Konfiguration vornehmen müssen. Möglicherweise arbeiten Sie auch in einem größeren Unternehmen, wo nur Teilaufgaben (zum Beispiel die Überwachung der Warteschlangen oder das Hinzufügen von E-Mail-Adressen an Mitarbeiter) delegiert sind. Den Mitarbeitern wollen Sie keinen vollen Zugriff auf den Exchange Server geben. Aus den vorstehenden Gründen scheint es sinnvoll zu sein, die Management Tools auf einer Workstation zu installieren. Für Exchange Server 2007 können die Management Tools ähnlich wie die Administrationswerkzeuge für das Active Directory auf einem Verwaltungs-Computer installiert werden. Diese gibt es als gesonderten Download unter folgendem Link: http://www.microsoft.com/downloads/details.aspx?FamilyID=6BE38633-7248-4532929B-76E9C677E802&displaylang=de Für die Management Tools gelten die nachfolgenden Voraussetzungen: 왘
Die PowerShell ist auf dem System installiert.
왘
Das .NET Framework in der Version 2.0 ist installiert (inklusive SP1).
왘
Der Exchange Server 2007 ist über Port 445 erreichbar.
Wie Sie die Berechtigungen für Mitarbeiter in größeren Umgebungen sinnvoll einschränken können, beschreiben wir in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“.
52
Die Installation einer Exchange Server 2007-Organisation
2.1.12
Rückwärtskompatibilität
Wenn Sie Exchange Server 2007 einem Active Directory Forest hinzufügen, in dem es noch keinen Exchange Server 2000 oder Exchange Server 2003 gibt, so können Sie auch später keinen Exchange Server in der Version 2000 oder 2003 installieren. Sollten Sie bereits Drittanbieter-Produkte wie beispielsweise Faxlösungen, Scan to Mail, Blackberry oder andere Lösungen anstreben, die eine Installation von Exchange Server 2000 oder Exchange Server 2003 erforderlich machen würden, so fragen Sie bitte erst nach einem möglichen Update des Drittanbieterprodukts. Wir empfehlen ausdrücklich die Installation von Exchange Server 2007 auf einem System mit installiertem Service Pack 2. Es wurden viele Sicherheitslücken mit Service Pack 2 für Windows-Server geschlossen, und der Download der verschiedenen Hotfixe und der meisten anderen Zusatzprogramme und Tools entfällt, da diese in Windows 2003 Service Pack 2 bereits enthalten sind. Nach der Installation der notwendigen Voraussetzungen können Sie nun zur Installation des Exchange Servers 2007 übergehen. Bitte beachten Sie, dass wir die Migration von einem bereits vorhandenen Exchange Server 2000- oder Exchange Server 2003-System in Kapitel 6, „Migration auf Exchange Server 2007“, beschreiben, und diese sich etwas aufwendiger gestaltet als die reine Installation einer neuen Exchange-Organisation.
2.2
Die Installation einer Exchange Server 2007-Organisation
Der Exchange Server 2007 bietet wie alle vorherigen Versionen von Exchange Server eine GUI-Installation (GUI = Grafical User Interface, grafische Benutzeroberfläche) sowie eine automatisierte, kommandozeilenbasierende Installation an. In diesem Kapitel zeigen wir Ihnen beide Installationsmöglichkeiten und erläutern diese im Detail. Bevor Sie mit der Installation beginnen, stellen Sie bitte sicher, dass der Server den Hardware- und Software-Anforderungen für eine Exchange Server 2007-64-Bit-Version entspricht. Auch bei der GUI-Installation besteht die Wahl zwischen zwei Installationsarten. Dies ist zum einem die Standardinstallation, die eine Bereitstellung des Exchange Servers 2007 auf einer einzelnen Hardware umfasst und alle benötigten Serverrollen des Exchange Servers 2007 beinhaltet. Zum anderen ist es die benutzerdefinierte Installation, bei der die einzelnen Serverrollen ausgewählt werden können, um eine Verteilung der Rollen auf unterschiedlicher Hardware zu ermöglichen. Dies kann zum Beispiel bei einer großen Umgebung oder beim Einsatz von einer Cluster-Installation erforderlich sein.
53
Kapitel 2 Die Installation von Exchange Server 2007
2.2.1
Die Standardinstallation
Folgende Serverrollen werden bei der Standardinstallation gemeinsam auf einer Hardware installiert. 왘
Hub-Transport
왘
ClientAccess
왘
Mailbox
왘
Exchange Management Tools
Die Serverrolle Edge-Transport kann mit einer Standardinstallation nicht installiert werden. Sie lässt sich nur getrennt von allen anderen Serverrollen auf einem Server installieren, der nicht Teil des Active Directory ist, in das der Exchange Server 2007 installiert werden soll. Weiter ist die Serverrolle Unified Messaging nicht Bestandteil der Standardinstallation. Eine nachträgliche Installation der Serverrolle Unified Messaging auf der gleichen Hardware ist allerdings möglich. Die Exchange Management Console (EMC) wird bei jeder Art von Installation mit installiert. Sie kann auch getrennt von den Exchange-Serverrollen auf einem Verwaltungscomputer installiert werden. Die Voraussetzungen für diesen Computer finden Sie weiter oben in diesem Kapitel. Sollten Sie in der Domäne, in der Exchange Server 2007 installiert werden soll, noch Windows Server 2000-Domänen-Controller betreiben, so müssen Sie die Installation des Exchange Servers 2007 über die Datei setup.com unter Angabe des Schalters /DomainController mit einem Verweis auf einen Domänen-Controller mit dem Betriebssystem Windows Server 2003 SP1 starten. Ab Service Pack 1 für Exchange Server 2007 müssen Sie dies nicht mehr tun. Für eine Standardinstallation gehen Sie folgendermaßen vor: 1. Legen Sie die DVD in das DVD-Laufwerk Ihres Servers ein. Sollte Ihr Server über kein DVD-Laufwerk verfügen, kopieren Sie die Daten über das Netzwerk auf den Server. 2. Wenn die Datei Setup.exe nicht automatisch gestartet wird, klicken Sie doppelt auf die Datei Setup.exe. 3. Wenn Sie, wie weiter oben beschrieben, die Komponenten bereits installiert haben, werden Ihnen diese Menüpunkte nicht mehr angeboten und sind grau hinterlegt. Sollten Sie die Komponenten noch nicht installiert haben, können Sie die Komponenten über die Links hinter Schritt 1 bis 3 herunterladen und installieren. Weitere Informationen dazu finden Sie weiter oben unter „2.1.9 Softwarevoraussetzungen“ in diesem Kapitel.
54
Die Installation einer Exchange Server 2007-Organisation 왘
Microsoft .NET Framework 2.0
왘
Microsoft Management Console 3.0
왘
Microsoft PowerShell
Abbildung 2.4: Startseite der grafischen Installation
4. Klicken Sie auf Schritt 4: Microsoft Exchange installieren, um mit der Standardinstallation zu beginnen. 5. Klicken Sie auf der Willkommens-Seite auf Weiter. 6. Lesen und akzeptieren Sie die Lizenzbestimmungen und klicken Sie auf Weiter. 7. Wenn Sie wünschen, dass der Exchange Server Fehlerberichte an Microsoft senden soll, ändern Sie die Standardauswahl auf Ja und klicken dann auf Weiter. Andernfalls belassen Sie die Auswahl auf Nein und klicken auf Weiter. 8. Passen Sie den Installationspfad an, wenn Sie Exchange in einem anderen Pfad installieren wollen. Der übliche Installationspfad für Exchange Server 2007 lautet C:\Programme\Microsoft\Exchange Server. 9. Wählen Sie den Punkt Typische Installation von Exchange Server und klicken Sie auf Weiter, um die Standardinstallation zu starten.
55
Kapitel 2 Die Installation von Exchange Server 2007
Abbildung 2.5: Standardinstallation starten
10.Vergeben Sie einen Namen für Ihre neue Exchange Server 2007-Organisation und klicken Sie dann auf Weiter. Beachten Sie, dass Sonderzeichen aus der unten aufgeführten Tabelle nicht Bestandteil des Exchange Server-Organisationsnamens sein dürfen. ~
`
!
@
#
$
%
^
&
*
()
_
+
=
{}
[]
|
\
:
;
„
´
<>
,
.
?
/
Tabelle 2.5: Nicht erlaubte Sonderzeichen für den Exchange Server 2007-Organisationsnamen
11. Falls Outlook-Versionen älter als Outlook 2007 im Einsatz sind oder Sie eine öffentliche-Ordner-Datenbank verwenden wollen, wählen Sie Ja, um eine öffentliche-Ordner-Datenbank bei der Installation erstellen zu lassen. Sollten Sie keine Outlook-Versionen älter als Outlook 2007 im Einsatz haben, dies auch nicht vorhaben und auch keine öffentliche Ordner-Datenbank erstellen wollen, können Sie Nein auswählen und auf Weiter klicken.
56
Die Installation einer Exchange Server 2007-Organisation
Wenn Sie bei Punkt 11 NEIN wählen, wird bei der Installation keine öffentliche-Ordner-Datenbank erstellt. Das nachträgliche Erstellen einer öffentliche-Ordner-Datenbank ist über die Exchange Management Console oder die Exchange Management Shell möglich. Outlook 2003 und Outlook 2002 (Outlook XP) benötigen eine öffentliche-OrdnerDatenbank, um Informationen über die Frei/Gebucht-Zeiten im Kalender austauschen zu können. Außerdem wird für Outlook 2003 und Outlook 2002 das Offline-Adressbuch (OAB) über diese öffentliche-Ordner-Datenbank zur Verfügung gestellt. Daher ist es notwendig, dass bei der Installation eines Exchange Servers 2007 eine öffentliche-Ordner-Datenbank erstellt wird. Wie Sie im Nachhinein eine öffentliche-Ordner-Datenbank erstellen können und somit Outlook 2003 und Outlook 2002 den Zugriff auf den Exchange Server 2007 ermöglichen, lesen Sie in Kapitel 5 „Client-Zugriff auf den Server“. Outlook 2000 und ältere Outlook-Versionen werden von Microsoft beim Einsatz von Exchange Server 2007 nicht mehr unterstützt. Eine technische Anbindung von Outlook 2000 an einen Exchange Server 2007 ist zwar möglich, wird aber im Fehlerfall nicht unterstützt. Dies ist darin begründet, dass Microsoft für seine Produkte einen 5-plus-5-JahresSupport anbietet. Dieser setzt sich aus fünf Jahren voller Support und fünf Jahren erweiterter Support zusammen. Da dieser Zeitraum für das Produkt Outlook 2000 und ältere Outlook-Versionen abgelaufen ist, wird dieses Produkt nicht mehr beim Einsatz mit einem Exchange Server 2007 unterstützt. Weitere Informationen zu Microsoft-Support-Vereinbarungen finden Sie unter der folgenden Internetadresse: http://support.microsoft.com/gp/lifeselectindex Outlook 2007 verwendet für die Veröffentlichung der Frei/Gebucht-Zeiten und der Bereitstellung des OAB eine andere Methode. Diese wird in Kapitel 5 „ClientZugriff auf den Server“, genauer erläutert. Daher ist es nicht nötig, für eine reine Outlook 2007-Umgebung eine öffentliche-Ordner-Datenbank bei der Installation zu erstellen. 12.Klicken Sie nach der erfolgreichen Prüfung der Installationskriterien auf Installieren.
57
Kapitel 2 Die Installation von Exchange Server 2007
Abbildung 2.6: Erfolgreiche Überprüfung der Installationsvoraussetzungen
13.Nach erfolgreichem Abschluss der Installation wird eine Zusammenfassung der Vorgänge angezeigt. Belassen Sie den Haken im Feld Installation mithilfe der Exchange-Verwaltungskonsole abschließen, wenn Sie die Exchange Management Console öffnen wollen, und klicken Sie auf Fertigstellen. Nach der Installation einer Exchange Server 2007-Serverrolle mit dem Installationsassistenten von der Installations-DVD können Sie diesen nicht mehr verwenden. Verwenden Sie zum Hinzufügen oder Ändern der Installation die Softwareverwaltung in der Systemsteuerung oder die Datei Setup.com aus dem Installationsverzeichnis.
58
Die Installation einer Exchange Server 2007-Organisation
2.2.2
Die benutzerdefinierte Installation
Bei der benutzerdefinierten Installation sind Sie in der Lage, die verschiedenen Serverrollen flexibel auszuwählen und gemeinsam oder getrennt voneinander zu installieren. Beachten Sie, dass die Serverrolle Edge-Transport nur getrennt von allen anderen Serverrollen auf einem Server installiert werden kann, falls dieser Server nicht ein Teil des Active Directory ist, in dem die anderen Serverrollen installiert sind. Die Serverrollen Active Clustered Mailbox Server bzw. Passive Clustered Mailbox Server lassen sich ebenso nur getrennt von den anderen Serverrollen installieren. Dies liegt an der Eigenschaft, dass in Exchange Server 2007 nur die Serverrolle Mailbox clusterfähig ist, und somit keine weiteren Serverrollen mit auf einem aktiven bzw. passiven Cluster installiert werden können. Weitere Informationen zur hohen Verfügbarkeit und zur Funktion Clustered Mailbox Server finden Sie in Kapitel 10, „Hochverfügbarkeit“. Für eine benutzerdefinierte Installation gehen Sie folgendermaßen vor: 1. Legen Sie die DVD in das DVD-Laufwerk Ihres Servers. Sollte Ihr Server über kein DVD Laufwerk verfügen, kopieren Sie die Daten über das Netzwerk auf den Server. 2. Wenn die Datei Setup.exe nicht automatisch gestartet wird, klicken Sie doppelt auf die Datei Setup.exe.
Abbildung 2.7: Startseite der grafischen Installation
59
Kapitel 2 Die Installation von Exchange Server 2007
3. Wenn Sie, wie weiter oben bereits erläutert, die folgenden Komponenten bereits installiert haben, werden Ihnen diese Menüpunkte nicht mehr angeboten und sind grau hinterlegt. Sollten Sie diese noch nicht installiert haben, können Sie die Komponenten über die Links hinter Schritt 1 bis 3 herunterladen und installieren. Weitere Informationen dazu finden Sie weiter oben in diesem Kapitel. 왘
Microsoft .NET Framework 2.0 (inkl. SP1)
왘
Microsoft Management Console 3.0
왘
Microsoft PowerShell
4. Klicken Sie auf Schritt 4: Microsoft Exchange installieren, um mit der Standardinstallation zu beginnen. 5. Klicken Sie auf der Willkommensseite auf Weiter. 6. Lesen und akzeptieren Sie die Lizenzbestimmungen und klicken Sie auf Weiter. 7. Wenn Sie wünschen, dass der Exchange Server Fehlerberichte an Microsoft senden soll, ändern Sie die Standardauswahl auf Ja und klicken dann auf Weiter. Andernfalls belassen Sie die Auswahl auf Nein und klicken auf Weiter. 8. Passen Sie den Installationspfad an, wenn Sie Exchange in einem anderen Pfad installieren wollen. Der Standard-Installationspfad für Exchange Server 2007 lautet C:\Programme\Microsoft\Exchange Server. 9. Wählen Sie den Punkt Benutzerdefinierte Installation von Exchange Server und klicken Sie dann auf Weiter, um die Standardinstallation zu starten.
Abbildung 2.8: Benutzerdefinierte Installation starten
60
Die Installation einer Exchange Server 2007-Organisation
10.Wählen Sie die Serverrollen, die Sie installieren wollen, und klicken Sie auf Weiter.
Abbildung 2.9: Auswahl der Serverrollen
Beachten Sie die Hinweise unter „2.2.2 Die benutzerdefinierte Installation“ zur Installation der Serverrollen Edge Server, Active Clustered Server und Passive Clustered Server. Diese können nur getrennt von allen anderen Serverrollen installiert werden. Da bei Exchange Server 2007 der gesamte E-Mail-Verkehr über die Serverrolle Hub-Transport abgewickelt wird, sollte die Serverrolle Hub-Transport die erste Rolle sein, die in einer neuen Exchange Server 2007-Organisation installiert wird. Für den Zugriff der Anwender mit Outlook wird die Serverrolle Mailbox benötigt. Mit diesen beiden Serverrollen wäre eine Exchange Server 2007-Organisation betriebsfähig. Um weitere Features von Exchange Server 2007 nutzen zu können, installieren Sie die Serverrolle ClientAccess. Bei der Installation eines Exchange Servers 2007 in eine bestehende Exchange Server 2000- oder Exchange Server 2003Organisation sollte die erste zu installierende Serverrolle ClientAccess sein. Da viele Exchange Server 2000 und Exchange Server 2003-Organisationen aus einer Frontend/Backend-Konstellation bestehen, muss zuerst der Exchange Server 2000/2003 Frontend-Server gegen einen Exchange Server 2007 mit der Serverrolle ClientAccess ersetzt werden. Der Zugriff auf Exchange Server 2000/2003 Backend-Server ist auch weiterhin über einen Exchange Server 2007 mit der Ser-
61
Kapitel 2 Die Installation von Exchange Server 2007
verrolle ClientAccess möglich. Weitere Details zu den einzelnen Serverrollen erhalten Sie in Kapitel 3. 11. Vergeben Sie einen Namen für Ihre neue Exchange Server 2007-Organisation und klicken Sie dann auf Weiter. Beachten Sie, dass Sonderzeichen aus der unten aufgeführten Tabelle nicht Bestandteil des Exchange Server-Organisationsnamens sein dürfen. ~
`
!
@
#
$
%
^
&
*
()
_
+
=
{}
[]
|
\
:
;
„
´
<>
,
.
?
/
Tabelle 2.6: Nicht erlaubte Sonderzeichen für den Exchange Server 2007-Organisationsnamen
12.Falls Outlook-Versionen älter als Outlook 2007 im Einsatz sind, oder Sie eine öffentliche-Ordner-Datenbank verwenden wollen, wählen Sie Ja, um eine öffentliche-Ordner-Datenbank bei der Installation erstellen zu lassen. Sollten Sie keine Outlook-Versionen älter als Outlook 2007 im Einsatz haben, dies auch nicht vorhaben und auch keine öffentliche-Ordner-Datenbank erstellen wollen, können Sie Nein auswählen und auf Weiter klicken. 13.Nach der erfolgreichen Prüfung der Installationsoptionen klicken Sie auf Installieren. 14.Klicken Sie auf Fertigstellen.
2.2.3
Die unbeaufsichtigte Installation
Bei der Installation im unbeaufsichtigten Modus handelt es sich um die Installation eines Exchange Servers 2007 über die Eingabeaufforderung. Die unbeaufsichtigte Installation bietet sich vor allem dort an, wo Sie mehrere Exchange Server 2007 installieren. Die im Verlauf dieses Abschnitts angegebenen Kommandozeilen-Befehle können Sie zur Vereinfachung der Installation in Skripten zusammenfassen und so mehrere Server parallel installieren. Es steht Ihnen dabei eine Vielzahl von Schaltern zur Verfügung, um eine komplette Installation automatisiert vorzunehmen. Im folgenden Abschnitt werden Ihnen diese Schalter vorgestellt und im Detail erläutert. Öffnen Sie die Eingabeaufforderung und wechseln Sie auf das DVD-Laufwerk, in das die Exchange-Installations-DVD eingelegt ist, oder in das Verzeichnis, in welches Sie die Installationsdateien kopiert haben. Geben Sie den Befehl setup.com /? ein. Sie bekommen dann eine Auswahl von sieben weiteren Schaltern zur Anzeige der Parameter angezeigt. Diese unterteilen sich in die folgenden Bereiche:
62
Die Installation einer Exchange Server 2007-Organisation
1. Installation von Exchange Server 2007 Setup.com /help:Install
2. Deinstallation von Exchange Server 2007 Setup.com /help:uninstall
3. Server-Wiederherstellung von Exchange Server 2007 Setup.com /help:RecoveryServer
4. Vorbereitung der Organisation zur Installation von Exchange Server 2007 Setup.com /help:PrepareTopology
5. Exchange Server 2007-Cluster-Installation, -Deinstallation sowie -Wiederherstellung Setup.com /help:Cluster
6. Delegation der Exchange Server 2007-Installation Setup.com /help:Delegation
7. Sprachpaket-Installation und -Deinstallation für die Serverrolle Unified Messaging in Exchange Server 2007 Setup.com /help:UmLanguagepacks
Schalter für die unbeaufsichtigte Installation Folgende Schalter sind für eine unbeaufsichtigte Installation bzw. Deinstallation zwingend notwendig Schalter
Wert
Beispiel
/mode: oder /m:
Install, Uninstall
Setup.com /m:uninstall
Tabelle 2.7: Schalter /mode: oder /m:
Mit Install werden die gewählten Serverrollen installiert, mit Uninstall werden diese deinstalliert. Wenn der Schalter /m: nicht verwendet, wird ist die Standardeinstellung auf Install gesetzt.
63
Kapitel 2 Die Installation von Exchange Server 2007
Schalter
Wert
Beispiel
/role: oder /r:
Mailbox oder MB oder M
Setup.com /r:C,M,H
Hub-Transport oder HT oder H ClientAccess oder CA oder C Unified Messaging oder UM oder U Management Tools oder MT oder T Edge-Transport oder ET oder E Tabelle 2.8: Schalter /role: oder /r:
Mit dem Schalter /role: werden die Exchange Server 2007-Serverrollen für die Installation bzw. Deinstallation angegeben. Beachten Sie, dass die Serverrolle Edge-Transport nur einzeln ausgewählt werden kann und nicht mit anderen Serverrollen kombinierbar ist. Schalter
Wert
/Organization- Name der Organisation. Beachten Sie Name: oder / die Zeichen aus Tabelle 1.1, die nicht on: verwendet werden dürfen.
Beispiel Setup.com /r:H,M /on: ExchOrg
Tabelle 2.9: Schalter /OrganisationName: oder /on:
Mit dem Schalter /on: geben Sie den Namen der Exchange-Organisation an. Dieser Schalter muss bei der ersten Installation einer Exchange Server 2007-Organisation angegeben werden. Optionale Schalter für die unbeaufsichtigte Installation Folgende Schalter sind bei der Installation bzw. Deinstallation optional: Schalter
Wert
Beispiel
/TargetDir: oder /t:
Setup.com /t:C:\ Programme\Exchange
Tabelle 2.10: Schalter /TargetDir: oder /t:
Dieser Schalter gibt den Pfad zum Installationsverzeichnis an. Wird der Schalter nicht verwendet, lautet der Standardpfad %Programfiles%\Microsoft\Exchange Server.
64
Die Installation einer Exchange Server 2007-Organisation
Schalter
Wert
Beispiel
/SourceDir: oder /s
Setup.com /s:D:\
Tabelle 2.11: Schalter /SourceDir: oder /s:
Dieser Schalter gibt den Pfad zur Exchange-DVD oder zu dem Verzeichnis an, in dem die Exchange Server 2007-Installationsdateien abgelegt wurden. Schalter
Wert
Beispiel
/UpdatesDir: oder /u:
Setup.com /u:C:\Updates
Tabelle 2.12: Schalter /UpdatesDir: oder /u:
Dieser Schalter gibt den Pfad an, in dem sich Updates für Exchange Server 2007 befinden, die bei der Installation mit installiert werden sollen. Schalter
Wert
Beispiel
/DomainController: oder /dc:
FQDN oder NetBIOS Name des Domänencontrollers
Setup.com /dc:dc01. exchange2007-buch.de
Tabelle 2.13: Schalter /DomainController: oder /dc:
Dieser Schalter gibt den Domänen-Controller an, der bei der Installation bzw. Deinstallation verwendet werden soll. Folgende Schalter sind erweiterte Schalter für die unbeaufsichtigte Installation bzw. Deinstallation: Schalter
Wert
Beispiel
/answerFile: oder /af:
Setup.com /af:A:\ExchangeSetup.txt
Tabelle 2.14: Schalter /AnswerFile: oder /af:
Dieser Schalter gibt den Pfad zur Antwortdatei bei einer unbeaufsichtigten Installation an. Die Angaben in der Antwortdatei werden in der Form <Schlüssel>=<Wert> angegeben. Es können nur erweiterte Schalter in der Antwortdatei verwendet werden. Diese sind /EnableErrorReporting, /NoSelfSignCertificates, /AdamLdapPort und /AdamSslPort.
65
Kapitel 2 Die Installation von Exchange Server 2007
Schalter
Wert
/DoNotStartTransport
Beispiel Setup.com /DoNotStartTransport
Tabelle 2.15: Schalter /DoNotStartTransport
Verwenden Sie diesen Schalter, um zu verhindern, dass der Exchange-Transportdienst auf dem Edge-Transport-Server oder Hub-Transport-Server nach Abschluss der Installation gestartet wird. Dies kann nötig sein, wenn Sie weitere Konfigurationen für den Anti-Spam-Agenten vornehmen wollen, bevor der Exchange Server eingehende E-Mails akzeptiert. Schalter
Wert
/EnableLegacyOutlook
Beispiel Setup.com /EnableLegacyOutlook
Tabelle 2.16: Schalter /EnableLegacyOutlook
Verwenden Sie diesen Schalter, wenn Sie Outlook-Versionen älter als Outlook 2007 in Ihrer Exchange-Organisation verwenden wollen. Exchange Server 2007 wird dann bei der Installation eine öffentliche-Ordner-Datenbank mit anlegen, die von Outlook-Versionen älter als Outlook 2007 benötigt wird. Ohne diesen Schalter wird Exchange Server 2007 keine öffentliche-Ordner-Datenbank bei der Installation anlegen. Sie können eine öffentliche-Ordner-Datenbank auch nach der Installation erstellen. Dieser Schalter kann nur bei der ersten Installation der Mailbox-Serverrolle verwendet werden. Folgende Outlook-Versionen werden von Exchange Server 2007 unterstützt: Outlook 2007, Outlook 2003, Outlook 2002 (XP).
Schalter
Wert
/LegacyRoutingServer Tabelle 2.17: Schalter /LegacyRoutingServer
66
Beispiel Setup.com /LegacyRoutingServer
Die Installation einer Exchange Server 2007-Organisation
Mit diesem Schalter geben Sie den Exchange Server 2000/2003 an, der als Bridgehead-Server in einer gemeinsamen Exchange-Organisation agieren soll. Bei der Installation wird ein Routing-Gruppen-Connector zwischen dem angegebenen Exchange Server 2000/2003 und dem Exchange Server 2007 erstellt. Dieser Schalter kann nur bei der ersten Installation der Serverrolle Hub-Transport verwendet werden. Schalter
Wert
/EnableErrorReporting
Beispiel Setup.com /EnableErrorReporting
Tabelle 2.18: Schalter /EnableErrorReporting
Dieser Schalter aktiviert das Senden von Fehlerberichten an Microsoft während der Installation. Schalter
Wert
/NoSelfSignedCertificates
Beispiel Setup.com /NoSelfSignedCertificates
Tabelle 2.19: Schalter /NoSelfSignedCertificates
Dieser Schalter gibt an, dass kein selbst signiertes Zertifikat verwendet werden soll, falls kein gültiges Zertifikat für die SSL/TLS-Verbindungen gefunden wird. Dieser Schalter kann nur bei der Installation der Serverrollen ClientAccess und Unified Messaging verwendet werden. Schalter
Wert
Beispiel
/AdamLdapPort
Setup.com /AdamLdapPort 50389
Tabelle 2.20: Schalter /AdamLdapPort
Verwenden Sie diesen Schalter, wenn Sie den Lightweight Directory Access Protocol (LDAP)-Port zur Kommunikation mit dem Active Directory Applikation Mode (ADAM) auf dem Edge-Transport-Server angeben möchten. Der StandardPort bei der Installation ist Port 50389. Dieser Schalter kann nur bei der Installation der Serverrolle Edge-Transport verwendet werden.
67
Kapitel 2 Die Installation von Exchange Server 2007
Schalter
Wert
Beispiel
/AdamSslPort
Setup.com /AdamSslPort 50636
Tabelle 2.21: Schalter /AdamSslPort
Verwenden Sie diesen Schalter, wenn Sie den Secure Socket Layer (SSL)-Port zur Kommunikation mit dem Active Directory Applikation Mode auf dem EdgeServer angeben möchten. Der Standard-Port bei der Installation ist Port 50636. Dieser Schalter kann nur bei der Installation Serverrolle Edge-Transport verwendet werden. Schalter für die Wiederherstellung Folgende Schalter müssen bei der Wiederherstellung eines Exchange Servers 2007 verwendet werden. Schalter
Wert
Beispiel
/mode: oder /m:
RecoverServer
Setup.com /m:RecoverServer
Tabelle 2.22: Schalter /m:RecoverServer
Verwenden Sie diese Schalter, um eine Wiederherstellung eines vorhandenen Exchange Servers 2007 durchzuführen. Bei einer fehlerhaften Installation führen Sie die Installation erneut durch. Mit dem Schalter /m:RecoverServer können keine fehlerhaften Installationen repariert werden. Optionale Schalter für die Wiederherstellung Folgende Schalter sind bei der Wiederherstellung optional. Schalter
Wert
Beispiel
/TargetDir: oder /t:
Setup.com /t:C:\Programme\Exchange
Tabelle 2.23: Schalter /TargetDir: oder /t:
Dieser Schalter gibt den Pfad zum Installationsverzeichnis an. Wird der Schalter nicht verwendet, lautet der Standardpfad %Programfiles%\Microsoft\Exchange Server.
68
Die Installation einer Exchange Server 2007-Organisation
Schalter
Wert
/EnableErrorReporting
Beispiel Setup.com /EnableErrorReporting
Tabelle 2.24: Schalter /EnableErrorReporting
Dieser Schalter aktiviert das Senden von Fehlerberichten an Microsoft während der Installation. Schalter
Wert
/DoNotStartTransport
Beispiel Setup.com /DoNotStartTransport
Tabelle 2.25: Schalter /DoNotStartTransport
Verwenden Sie diesen Schalter, um zu verhindern, dass der Exchange-Transportdienst auf dem Edge-Transport-Server oder Hub-Transport-Server nach Abschluss der Installation gestartet wird. Dies kann nötig sein, falls Sie weitere Konfigurationen für den Anti-Spam-Agenten vornehmen wollen, bevor der Exchange Server eingehende E-Mails akzeptiert. Schalter für die Vorbereitung einer Active Directory-Struktur Folgende Schalter müssen zur Vorbereitung einer Active Directory-Struktur verwendet werden. Bei einer unbeaufsichtigten Installation werden die folgenden Schalter automatisch mit angewendet. Sollten Sie nur eine Vorbereitung der Active DirectoryStruktur vornehmen wollen, ohne einen Exchange Server 2007 zu installieren, verwenden Sie die unten aufgeführten Schalter. Schalter
Wert
/PrepareLegacyExchangePermissions oder /pl
Beispiel Setup.com /pl
Tabelle 2.26: Schalter /PrepareLegacyExchangePermissions
Mit diesem Schalter werden die Berechtigungen für Exchange Server 2000 oder Exchange Server 2003 gesetzt. Sie benötigen diesen Schalter nur, wenn Sie Exchange Server 2000 oder Exchange Server 2003 in Ihrer Exchange-Organisation betreiben. Bei Exchange werden Berechtigungen auf Objekte in Gruppen vergeben. Diese Zusammenfassung von Berechtigungen nennen sich Permissions Sets. Sie sind für
69
Kapitel 2 Die Installation von Exchange Server 2007
Exchange Server 2007 geändert worden. Damit ein Exchange Server 2000 oder Exchange Server 2003 weiterhin mit diesen Permissions Sets arbeiten kann, ist der Schalter /PrepareLegacyExchangePermissions erforderlich. Schalter
Wert
/PrepareSchema oder /ps
Beispiel Setup.com /ps
Tabelle 2.27: Schalter /PrepareSchema
Dieser Schalter erweitert die Active Directory-Schemapartition um die Exchange Server 2007-Objekte und deren Attribute. Schalter:
Wert:
Beispiel:
/PrepareDomain: oder /pd:
Setup.com /pd
Tabelle 2.28: Schalter /PrepareDomain
Ohne Angaben eines Domänen-FQDN wird die lokale Active Directory-Domäne für die Installation von Exchange Server 2007 erweitert. Mit Angabe eines Domänen-FQDN wird die angegebene Domäne für die Installation von Exchange Server 2007 erweitert. Dieser Schalter muss in jeder Domäne ausgeführt werden, in welcher Exchange-Objekte (Postfächer, Verteilerlisten usw.) verwendet werden sollen. Schalter
Wert
/PrepareAllDomains oder /pad
Beispiel Setup.com /pad
Tabelle 2.29: Schalter /PrepareAllDomains
Dieser Schalter erweitert alle Domänen für die Installation von Exchange Server 2007. Schalter
Wert
/PrepareAD oder /p Tabelle 2.30: Schalter /PrepareAD
70
Beispiel Setup.com /pad
Die Installation einer Exchange Server 2007-Organisation
Dieser Schalter erweitert das Active Directory. Dieser Schalter enthält alle oben angegebenen Schalter von /PrepareSchema bis /PrepareAllDomains. Durch Angabe von /PrepareAD müssen die Schalter /PrepareSchema, /PrepareDomain oder /PrepareAllDomains nicht mehr angegeben werden. Schalter
Wert
Beispiel
/DomainController: oder /dc:
Setup.com / dc:DC01.ex2007-buch.de
Tabelle 2.31: Schalter /DomainController
Verwenden Sie diesen Schalter, um einen Domänen-Controller anzugeben, der bei der Installation zum Schreiben in das Active Directory verwendet werden soll. Der Domänen-Controller kann mit dem FQDN- oder dem NetBIOS-Namen angegeben werden. Schalter für eine Cluster-Installation/-Deinstallation Folgende Schalter müssen zur Installation bzw. Deinstallation oder zur Wiederherstellung eines Exchange Server 2007-Mailbox-Clusters verwendet werden: Unter Exchange Server 2007 kann nur die Serverrolle Mailbox in einem Cluster installiert werden. Daher können die unten aufgeführten Schalter ausschließlich mit der Installation eines Servers mit der Serverrolle Mailbox verwendet werden. Schalter
Wert
Beispiel
/NewCms
/CmsName: oder /cn:
Setup.com /NewCms / cn:Cluster01 / cip:192.168.0.100
/CMSIPAddress: /cip: Tabelle 2.32: Schalter /NewCms
Bei der Verwendung des Schalters /NewCms müssen die Schalter /CmsName: und /CmsIPAddress: des Exchange-ClusterServers mit angegeben werden. Schalter
Wert
Beispiel
/RemoveCms
/CmsName: oder /cn:
Setup.com /RemoveCms / cn:Cluster01
Tabelle 2.33: Schalter /RemoveCms
71
Kapitel 2 Die Installation von Exchange Server 2007
Bei der Verwendung des Schalters /RemoveCms muss der Schalter /CmsName: mit angegeben werden. Schalter
Wert
Beispiel
/RecoverCms
/CmsName: oder /cn:
Setup.com /RecoverCms / cn:Cluster01
Tabelle 2.34: Schalter /RecoverCms
Beim Verwenden des Schalters /RecoverCms muss der Schalter /CmsName: mit angegeben werden. Optionale Schalter für eine Cluster-Installation Folgende Schalter sind bei der Installation eines Exchange Server 2007-MailboxClusters optional. Schalter
Wert
/CmsSharedStorage oder /css
Beispiel Setup.com /NewCms /css
Tabelle 2.35: Schalter /CmsSharedStorage
Dieser Schalter gibt an, dass der Cluster-Server einen gemeinsam genutzten Speicherplatz verwenden soll. Bei der Standardinstallation verwendet der Exchange Server 2007-Mailbox-Cluster keinen gemeinsam genutzten Speicherplatz. Schalter
Wert
/CmsDataPath oder /cdp
Beispiel Setup.com /NewCms / cdp:E:\Cluster01\
Tabelle 2.36: Schalter /CmsDataPath
Verwenden Sie diesen Schalter mit dem Schalter /CmsSharedStorage, um den Pfad zum gemeinsam genutzten Speicherplatz anzugeben. Mit der Einführung von SP1 für den Exchange Server 2007 steht eine weitere Art der Hochverfügbarkeit zur Verfügung. Die Standby Continuous Replication (SCR) kann eine Quelldatenbank zu mehreren Zielservern replizieren. (Weitere Informationen zu SCR finden Sie in Kapitel 10, „Hochverfügbarkeit“). SCR kann auch in Kombination mit dem Einzelkopie-Cluster (SCC) eingesetzt werden und kann eine Kopie der SCC-Datenbank auf einem Server in einem anderen Rechenzentrum vorhalten. Im Fehlerfall des gesamten Rechenzentrums, in dem sich der Einzel-
72
Die Installation einer Exchange Server 2007-Organisation
kopie-Cluster befindet, kann über manuelle Schritte die SCR-Kopie im zweiten Rechenzentrum über eine Wiederherstellung auf dem passiven Cluster-Knoten zur produktiven Datenbank werden. Für den Fall, dass das ursprüngliche Rechenzentrum wieder online genommen werden kann, müssen Sie dafür sorgen, dass der ursprüngliche SCC nicht wieder online geht. Dafür können Sie mit dem Schalter /ClearLocalCMS die Cluster-Funktion von den Cluster-Knoten des ursprünglichen SCC entfernen, bevor dieser wieder online geschaltet wird. Schalter
Wert
/ClearLocalCms
Beispiel Setup.com /ClearLocalCms
Tabelle 2.37: Schalter /ClearLocalCMS
Der Schalter /ClearLocalCMS kann nur lokal auf dem Cluster-Knoten ausgeführt werden. Der Knoten ist offline. Weiter darf der Knoten nicht mehr in der Liste der „redundanten Maschinen“ im Cluster-Verbund aufgeführt sein. Schalter für die Delegation einer Installation Folgende Schalter müssen zur Delegation einer Exchange Server 2007-Installation angegeben werden. Bei einer delegierten Installation wird nur ein Platzhalter im Active Directory für den Exchange Server 2007 erzeugt. Somit ist es Exchange-Administratoren möglich, eine Exchange Server 2007-Installation vorzunehmen, ohne administrative Schema-Berechtigungen oder Domänen-Berechtigungen haben zu müssen. Schalter
Wert
Beispiel
/NewProvisionedServer: oder /nprs:
<Servername>
Setup.com / nprs:exchange2007
Tabelle 2.38: Schalter /NewProvisionedServer
Dieser Schalter erzeugt ein Platzhalterobjekt im Active Directory mit dem angegebenen Servernamen. Schalter
Wert
Beispiel
/RemoveProvisionedServer: oder /rprs:
<Servername>
Setup.com / rprs:exchange2007
Tabelle 2.39: Schalter /RemoveProvisionedServer
73
Kapitel 2 Die Installation von Exchange Server 2007
Dieser Schalter entfernt das Platzhalterobjekt im Active Directory mit dem angegebenen Servernamen. Schalter
Wert
Beispiel
/ForeignForestFQDN
Tabelle 2.40: Schalter /ForeignForestFQDN
Verwenden Sie den Schalter /ForeignForestFQDN mit der Angabe des FQDN des Resource Forest oder des Cross Forest, für den Sie die Exchange-Berechtigungsgruppe erstellen wollen. Mit diesem Schalter ermöglichen Sie es einem Benutzer oder einer Gruppe, die Exchange-Organisation in einem anderen Forest zu verwalten. Optionaler Schalter für eine Delegation der Installation Der folgende Schalter ist bei der Delegation einer Exchange Server 2007-Installation optional. Schalter
Wert
Beispiel
/ServerAdmin oder /sa
Setup.com /sa:Buch-2007\ ExchAdmin
Tabelle 2.41: Schalter /ServerAdmin
Mit diesem Schalter fügen Sie den angegebenen Benutzer oder die angegebene Gruppe zur Gruppe der Exchange Server-Administratoren eines Exchange Servers hinzu. Dieser Schalter kann nur in Verbindung mit dem Schalter /NewProvisionedServer verwendet werden. Schalter für die Unified Messaging-Installation Folgende Schalter müssen bei der Sprachpaket-Installation für die Serverrolle Unified Messaging angegeben werden. Die Serverrolle Unified Messaging unterstützt zurzeit 16 Sprachen zur Kommunikation mit dem Exchange Server 2007. Diese 16 Sprachpakete befinden sich alle auf der Exchange Server 2007-Installations-DVD. Bei der Standardinstallation werden nur die Sprachpakete der Installationssprache und das englische Sprachpaket installiert. Mit den unten aufgeführten Schaltern ist es Ihnen möglich, weitere Sprachpakete für die Installation anzugeben.
74
Die Installation einer Exchange Server 2007-Organisation
Schalter
Wert
Beispiel
/AddUmLanguagePack:
<Sprachpaket>
Setup.com /AddUmLanguagePack:de-DE
Tabelle 2.42: Schalter /AddUmLanguagePack
Dieser Schalter gibt an, welches Sprachpaket installiert werden soll. Schalter
Wert
Beispiel
/RemoveUmLanguagePack:
<Sprachpaket>
Setup.com /RemoveUmLanguagePack:de-DE
Tabelle 2.43: Schalter /RemoveUmLanguagePack
Dieser Schalter gibt an, welches Sprachpaket deinstalliert werden soll. Optionale Schalter für die Unified Messaging-Installation Folgende Schalter sind bei der Sprachpaket-Installation für die Serverrolle Unified Messaging optional: Schalter
Wert
Beispiel
/SourceDir: oder /s:
Setup.com /AddUmLanguagePack:de-DE /s:D:\Downloads
Tabelle 2.44: Schalter /SourceDir
Geben Sie mit diesem Schalter den Pfad zum Sprachpaket an, das installiert werden soll. Der Schalter kann nur mit dem Schalter /AddUmLanguagePack verwendet werden. Schalter
Wert
Beispiel
/UpdatesDir: oder /u:
Setup.com /AddUmLanguagePack:de-DE /s:D:\Downloads /u:D:\ Updates
Tabelle 2.45: Schalter /UpdatesDir
75
Kapitel 2 Die Installation von Exchange Server 2007
Dieser Schalter gibt den Pfad an, der Updates für das zu installierende Sprachpaket enthält. Diese Updates werden bei der Installation mit installiert. Beispiele: Setup.com /AddUmLanguagePack:de-DE /s:D:\Downloads\UMPacks Setup.com /AddUmLanguagePack:en-GB,fr-FR,de-DE /s:D:\Downloads\UMPacks / u:D:\Downloads\Updates Setup.com /RemoveUmLanguagePack:de-DE
Folgende Sprachpakete stehen zurzeit zur Verfügung und können bei der Installation oder nachträglich zu einer Unified Messaging-Serverrolle installiert werden. Geben Sie bei der Installation von zusätzlichen Sprachpaketen den in der nachfolgenden Tabelle angegebenen Sprachpaket-Code mit an. Sprache
Dateiname
Code
US-Englisch
en-US.msi
en-US
Deutsch
de-DE.msi
de-DE
Französisch
fr-FR.msi
fr-FR
Japanisch
ja-JP.msi
ja-JP
UK-Englisch
en-GB.msi
en-GB
Koreanisch
ko-KR.msi
ko-KR
Spanisch (Iberian)
es-ES.msi
es-ES
Mandarin (China)
zh-CN.msi
zh-CN
Mandarin (Taiwan)
zh-TW-msi
zh-TW
Holländisch
nl-NL.msi
nl-NL
Italienisch
it-IT.msi
it-IT
Portugiesisch (Brasilien)
pt-BR.msi
pt-BR
Schwedisch
sv-SE.msi
sv-SE
Australisch (Englisch)
en-AU.msi
en-AU
Kanadisch (Französisch)
fr-CA.msi
fr-CA
Lateinamerikanisch (Spanisch)
es-US.msi
es-US
Tabelle 2.46: Unified-Messaging Sprachpakete
Eine vollständige Tabelle der Installationsschalter bei der unbeaufsichtigten Installation finden Sie am Ende dieses Kapitels.
76
Die Installation einer Exchange Server 2007-Organisation
2.2.4
Installation auf Windows Server 2008
Mit Service Pack 1 für den Exchange Server 2007 wird eine Installation unter Windows Server 2008 unterstützt. Das Service Pack 1 wird als komplette Exchange Server 2007-Installation geliefert und entweder zur Aktualisierung einer Exchange Server 2007-RTM-Version oder zur Installation von Exchange Server 2007 inklusive SP1 benutzt. Um eine Exchange Server 2007-Organisation in einer Windows Server 2008 Active Directory-Umgebung zu installieren, müssen Sie wie unter Windows Server 2003 das Active Directory-Schema vorbereiten. Um dies auf einem Windows Server 2008 zu tun, müssen auf dem Server zunächst die Active Directory Management Tools installiert werden. Führen Sie dazu auf dem Windows Server 2008 den Befehl ServerManagerCMD –i RSAT-ADDS aus. Aktualisieren Sie das Schema für Exchange Server 2007 nun wie bei einer Windows Server 2003-Umgebung. Die Schritte sind weiter oben in diesem Kapitel beschrieben. Um auf einem Windows Server 2008 den Exchange Server 2007 SP1 zu installieren, müssen Sie erst die erforderlichen Softwarekomponenten installieren. Zur Installation der PowerShell führen Sie folgenden Befehl über die Eingabeaufforderung aus: ServerManagerCMD –i PowerShell (für alle Serverrollen) Zur Installation der benötigten Komponenten führen Sie die folgenden Befehle in dieser Reihenfolge aus, da einige Komponenten voneinander abhängig sind. Befehl
Benötigt für Serverrolle
ServerManagerCMD –i RSAT-ADDS
Alle Serverrollen
ServerManagerCMD –i PowerShell
Alle Serverrollen
ServerManagerCMD –i Web-Server
ClientAccess/Mailbox
ServerManagerCMD –i Web-ISAPI-Ext
ClientAccess/Mailbox
ServerManagerCMD –i Web-Metabase
ClientAccess/Mailbox
ServerManagerCMD –i Web-Lgcy-Mgmt-Console
ClientAccess/Mailbox
ServerManagerCMD –i Web-Basic-Auth
ClientAccess/Mailbox
ServerManagerCMD –i Web-Digest-Auth
ClientAccess
ServerManagerCMD –i Web-Windows-Auth
ClientAccess/Mailbox
ServerManagerCMD –i Web-Dyn-Compression
ClientAccess
ServerManagerCMD –i Failover-Clustering
Postfach (mit CCR oder SCC)
ServerManagerCMD –i Desktop-Experience
Unified Messaging
ServerManagerCMD –i ADLDS
Edge-Transport
Tabelle 2.47: Installation unter Windows Server 2008
77
Kapitel 2 Die Installation von Exchange Server 2007
Nach der erfolgreichen Installation der benötigten Komponenten können Sie den Exchange Server 2007 SP1 über die oben beschriebenen Installationsarten installieren.
2.2.5
Überprüfen der Installation
Exchange Server 2007 bietet Ihnen eine Vielzahl an Protokolldateien und Ereignismeldungen zur Überprüfung der Installation an. Um sicherzustellen, dass Ihre Installation erfolgreich durchgeführt wurde, sollten Sie diese Protokolldateien und Ereignismeldungen sichten, um eventuelle Fehler zu finden und zu beseitigen. Im Falle von Fehlern bei der Installation geben die Protokolldateien wichtige Hinweise. Auch der Produkt-Support von Microsoft wertet diese Dateien aus. Microsoft stellt einen kostenpflichtigen Produkt-Support zur Verfügung. Dieser wird unter der Bezeichnung MS PSS geführt, was Microsoft Product Support Services bedeutet. Weitere Informationen zu MS PSS erhalten Sie unter der folgenden Internetadresse: http://blogs.technet.com/dmelanchthon/archive/2006/07/19/ was-bedeutet-ms-pss.aspx Der erste Schritt nach einer Installation sind das Aufrufen der PowerShell und die Eingabe des Befehls get-ExchangeServer. Dieser Befehl liefert Ihnen eine Liste der installierten Serverrollen. Während der Installation schreibt Exchange Meldungen in die Ereignisanzeige. Überprüfen Sie bitte die Ereignisanzeige auf Fehlermeldungen hin, die durch die Installation eingefügt wurden. Weiter erstellt der Exchange Server 2007 während der Installation Protokolldateien, die wichtige Informationen zur Fehlersuche enthalten. Diese Protokolldateien liegen bei einer Standardinstallation auf dem Systemlaufwerk unter <Systemlaufwerk>\ExchangeSetupLog\ExchangeSetup.log und <Systemlaufwerk>\ExchangeSetupLog\ExchangeSetup.msilog. ExchangeSetup.log In dieser Protokolldatei werden alle Informationen der Exchange-Installation erfasst und protokolliert. Dies umfasst die Überprüfung der Installationsvoraussetzungen, die Installationsprotokollierung der einzelnen Serverrollen und alle Veränderungen, die am System vorgenommen wurden.
78
Die Installation einer Exchange Server 2007-Organisation
ExchangeSetup.msilog In dieser Protokolldatei wird das Auspacken der Installationsdateien protokolliert. Exchange Server 2007 bietet Ihnen ein Skript an, mit dem Sie die ExchangeSetup.log-Protokolldatei auf aufgetretene Fehler hin überprüfen können. Dieses Skript befindet sich nach einer Standardinstallation im Verzeichnis <Systemlaufwerk>\Programme\Microsoft\Exchange Server\Scripts. Wechseln Sie in der Exchange Management Shell in dieses Verzeichnis und führen Sie die nachfolgenden Befehle aus: Auflisten aller Einträge in der Datei ExchangeSetup.log. Falls Sie keine Datei angeben, sucht das Skript im Standardpfad nach der Protokolldatei. .\get-Setuplog.ps1 C:\ExchangeSetupLogs\ExchangeSetup.log Auflisten aller Ereignisse in der Datei ExchangeSetup.log in einer Baumstruktur: .\get-Setuplog.ps1 C:\ExchangeSetupLogs\ExchangeSetup.log –tree Auflisten aller Fehler in der Datei ExchangeSetup.log: .\get-Setuplog.ps1 C:\ExchangeSetupLogs\ExchangeSetup.log –error In der Standardeinstellung wird das Skript automatisch mit den beiden Schaltern –tree und –error ausgeführt. Um dies zu verhindern, geben Sie den Befehl folgendermaßen an: .\get-Setuplog.ps1 C:\ExchangeSetupLogs\ExchangeSetup.log –error:$false –tree:$false Beachten Sie beim Überprüfen der Protokolldatei, dass neue Einträge an das Ende der Datei angehängt werden. Daher können Fehler einer früheren Installation mit angezeigt werden. Sie können sich außerdem auch die Fehler der Log-Dateien im HTML-Format ausgeben lassen. Kopieren Sie dazu die PowerShell-Skripte Out-html.ps1 und out-IE.ps1 aus dem Internet in den Script-Ordner des Exchange Servers 2007. Die beiden PowerShell-Skripte können Sie unter folgendem Link herunterladen: http://www.viveksharma.com/TECHLOG/archive/2006/12/21/announcing-theexchange-2007-powershell-scriptacular-demo-pack.aspx Die beiden Skripte müssen in den Script-Ordner des Exchange Servers bzw. des Verwaltungs-Computer kopiert werden, auf dem sie ausgeführt werden sollen. Der Standardpfad ist C:\Programme\Microsoft\Exchange Server\Scripts. Über
79
Kapitel 2 Die Installation von Exchange Server 2007
folgenden PowerShell-Befehl können Sie dann eine Ausgabe im HTML-Format erreichen: .\Get-SetupLog –tree:$false –error:$false | Where { $_.status –eq "Error" } | select datetime, depth, description, status | Out-HTML | Out-IE
Abbildung 2.10: Ausgabe der Installationsfehler als HTML-Seite
Alle oben angegebenen PowerShell-Befehle werden in einer Zeile eingegeben. Aufgrund der Zeilenumbrüche werden die Befehle in diesem Buch teilweise in mehreren Zeilen dargestellt.
2.2.6
Aktualisieren auf Service Pack 1
Mit der Einführung von SP1 für den Exchange Server 2007 steht Ihnen eine Vielzahl an Erweiterungen und Verbesserungen zur Verfügung. Daher sollten Sie, sofern Sie bereits eine Exchange Server 2007-Organisation betreiben, auf das Service Pack 1 aktualisieren. Sollten Sie vor der Neuinstallation stehen, empfehlen wir Ihnen, direkt den Exchange Server 2007 inklusive SP1 zu installieren. Wie führen Sie aber nun so eine Aktualisierung durch und welche Punkte müssen
80
Die Installation einer Exchange Server 2007-Organisation
Sie dabei beachten? Lesen Sie in jedem Fall (wie bei jedem Update oder Service Pack) die Datei ReadMe des Service Packs oder des Updates, um festzustellen, ob Einstellungen in Ihrer Umgebung existieren, die durch diese Aktualisierung beeinträchtigt werden könnten. Das Service Pack 1 für den Exchange Server 2007 bringt außerdem Schema- und Active Directory-Erweiterungen mit, die Sie separat über die Installationsschalter setup.com/PrepareSchema und setup.com/PrepareAD installieren können. Dafür benötigen Sie Schema-Admin-Berechtigungen zur Erweiterung des Schemas und Domain-Admin-Berechtigungen zur Erweiterung des Active Directory. Alternativ können Sie die Erweiterung bei der Ausführung von SP1 mit installieren. Achten Sie dabei darauf, dass der Account, mit dem Sie die Installation durchführen, über die oben genannten Berechtigungen verfügt. Sollten Sie sich für eine separate Erweiterung entschieden haben, steht nun noch die Installation des Service Packs 1 selbst an. Das Konto, mit dem Sie die erste SP1-Installation vornehmen, muss über die Berechtigung Exchange Organization Administrators verfügen und Mitglied der lokalen Administratoren-Gruppe sein. Alle weiteren SP1-Installationen auf weiteren Exchange Server 2007-Computern müssen über die Berechtigung Exchange Server Administrator verfügen und Mitglied der lokalen Administratoren-Gruppe sein. Um einen Computer unter Windows XP SP2 mit der installierten Exchange Management Console zu aktualisieren, müssen Sie Mitglied in der lokalen administrativen Gruppe sein, um das Service Pack 1 ausführen zu können. Sollten Sie in Ihrer Umgebung die Serverrollen auf unterschiedliche Server aufgeteilt haben, empfehlen wir, zunächst die Server mit der Serverrolle ClientAccess zu aktualisieren. Sollten Sie mehrere ClientAccesss-Server haben, aktualisieren Sie bitte erst den ClientAccesss-Server, der mit dem Internet verbunden ist. Eine Deinstallation des Service Packs 1 ist nicht möglich! Wenn Sie das SP1 deinstallieren, deinstallieren Sie zugleich den gesamten Exchange Server. Wir empfehlen Ihnen, vor dem Ausführen des SP1 den Remoteregistrierungsdienst zu beenden. Starten Sie den Dienst nach der Installation wieder manuell. Führen Sie folgende Schritte aus, um das SP1 über den Installationsassistenten zu installieren: 1. Legen Sie die DVD mit dem SP1 in das DVD-Laufwerk Ihres Servers oder stellen Sie die Daten über das Netzwerk zur Verfügung. 2. Sollte der Installationsassistent nicht automatisch starten, klicken Sie doppelt auf die Datei Setup.exe aus dem Installationsverzeichnis der DVD oder der Netzwerkressource.
81
Kapitel 2 Die Installation von Exchange Server 2007
3. Auf der ersten Seite des Assistenten klicken Sie unter Installieren auf Installiert Exchange Server 2007 SP1. 4. Auf der nächsten Seite klicken Sie auf Weiter und akzeptieren Sie die Lizenzvereinbarungen. Klicken Sie auf Weiter. 5. Es wird eine Überprüfung durchgeführt, ob alle Voraussetzungen vorliegen, um das SP1 zu installieren. Ist dies der Fall, klicken Sie auf Aktualisieren. Sollten gewisse Voraussetzungen noch nicht zutreffen, wird das Setup-Programm Sie auf die entsprechenden Einstellungen hinweisen. Beheben Sie die angegebenen Einstellungen und starten Sie das Setup erneut. Um eine Aktualisierung im unbeaufsichtigten Modus durchzuführen, starten Sie über die Eingabeaufforderung den folgenden Befehl: 1. Wechseln Sie in der Eingabeaufforderung in das Verzeichnis der DVD oder der Netzwerkressource, in der Sie die SP1-Installation bereitgestellt haben. 2. Geben Sie den Befehl setup.com/mode:upgrade ein. Dies startet die Installation des Service Packs 1. Verwenden Sie die gleichen Verfahren zur Überprüfung der Installation des Service Packs 1 wie für eine normale Exchange Server 2007-Installation. Wie Sie dies tun, haben Sie bereits zu Beginn des Kapitels erfahren. Zur Aktualisierung eines Exchange Servers 2007 mit einer CCR- oder SCC-Konfiguration können Sie nicht den Installationsassistenten verwenden. Lesen Sie weiter unten, wie Sie eine Exchange Server 2007CCR- und -SCC-Umgebung auf Service Pack 1 aktualisieren. Verwenden Sie die folgenden Schritte nur zur Aktualisierung einer CCR-Konfiguration. Zum Aktualisieren einer SCC-Konfiguration lesen Sie bitte die weiter unten beschriebenen Schritte. Bei einer Aktualisierung eines CCR-Clusters kommt es zu kurzfristigen und geplanten Ausfällen, da die Cluster-Knoten „geschwenkt“ werden müssen. Verwenden Sie die Schalter setup.com/m:upgrade und setup.com/UpgradeCMS, um jeweils den passiven Knoten zu aktualisieren. Eine Aktualisierung kann nur auf dem passiven Knoten erfolgen, und die Installation muss auf beiden bzw. allen Knoten durchgeführt werden. Der Betrieb eines CCR-Clusters mit unterschiedlichen Versionsständen der Cluster-Knoten wird nicht unterstützt. Führen Sie folgende Schritte aus, um einen CCR-Cluster auf das Service Pack 1 zu aktualisieren:
82
Die Installation einer Exchange Server 2007-Organisation
1. Verschieben Sie alle Cluster-Ressourcen auf einen aktiven Knoten, sodass der zu aktualisierende Knoten keine Online-Ressourcen mehr hält. 2. Starten Sie den Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung. Der Dienst ist in der Standardeinstellung auf die Startart Deaktiviert gesetzt. Ändern Sie die Startart auf Manuell oder Automatisch und starten Sie den Dienst. Der Dienst kann nach der Aktualisierung beendet und wieder auf Deaktiviert gestellt werden. Das Starten des Dienstes ist notwendig, damit während der Aktualisierung die entsprechenden Ausnahmen in der Firewall eingestellt werden. 3. Beenden Sie alle Dienste, die eine Überwachung ausführen. Dies können zum Beispiel der Dienst Leistungsprotokolle und Warnungen oder Microsoft Operation Manager-Dienste sein. 4. Stoppen und starten Sie den Dienst Remoteregistrierungsdienst. 5. Öffnen Sie die Eingabeaufforderung und wechseln Sie in das Installationsverzeichnis der DVD oder der Netzwerkressource, auf der Sie das SP1 bereitstellen. Rufen Sie den Befehl setup.com /m:upgrade über die Eingabeaufforderung auf. 6. Starten Sie den Cluster-Knoten neu, nachdem die Aktualisierung abgeschlossen ist. 7. Nachdem der Cluster-Knoten wieder gestartet ist, melden Sie sich an und öffnen Sie die Exchange Management Shell. Beenden Sie den Cluster-Dienst über den Befehl Stop-ClusteredMailboxServer. 8. Verschieben Sie die Cluster-Ressourcen über den eben aktualisierten ClusterKnoten. Verwenden Sie dazu die Exchange Management Shell mit dem Befehl Move-ClusteredMailboxServer. 9. Nachdem die Cluster-Ressourcen erfolgreich verschoben wurden, wechseln Sie wieder in die Eingabeaufforderung und führen den Befehl setup.com /upgradecms aus. 10. Wechseln Sie auf den anderen Cluster-Knoten und starten Sie den Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung. Ändern Sie auch hier die Startart auf Automatisch oder Manuell. Sie können den Dienst nach der Aktualisierung wieder auf seine ursprüngliche Einstellung ändern. 11. Beenden Sie alle Dienste, die eine Überwachung ausführen. 12.Stoppen und starten Sie den Dienst Remoteregistrierungsdienst.
83
Kapitel 2 Die Installation von Exchange Server 2007
13.Öffnen Sie die Eingabeaufforderung und wechseln Sie in das Installationsverzeichnis der DVD oder der Netzwerkressource, auf der Sie das SP1 bereitstellen. Rufen Sie den Befehl setup.com /m:upgrade über die Eingabeaufforderung auf. 14.Starten Sie den soeben aktualisierten Cluster-Knoten neu. 15.Stellen Sie den Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung wieder auf beiden Cluster-Knoten auf die ursprüngliche Einstellung zurück. Mit diesen Schritten haben Sie einen CCR-Cluster auf SP1 für den Exchange Server 2007 aktualisiert. Sollten Sie die Cluster-Ressourcen wieder auf den anderen Cluster-Knoten schwenken wollen, verwenden Sie dazu den Befehl Move-ClusteredMailboxServer in der Exchange Management Shell. Verwenden Sie die folgenden Schritte nur zur Aktualisierung einer SCC-Konfiguration. Bei einer Aktualisierung eines SCC-Clusters kommt es zu kurzfristigen und geplanten Ausfällen, da die Cluster-Knoten geschwenkt werden müssen. Wir gehen in diesem Beispiel von einem zwei Knoten-Cluster aus. Sollten Sie mehrere Knoten haben, wiederholen Sie bitte Schritt 12 für jeden passiven Knoten im Cluster. 1. Verschieben Sie alle Cluster-Ressourcen auf einen aktiven Knoten, sodass der zu aktualisierende Knoten keine Online-Ressourcen mehr hält. 2. Starten Sie den Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung. Der Dienst ist in der Standardeinstellung auf die Startart Deaktiviert gesetzt. Ändern Sie die Startart auf Manuell oder Automatisch und starten Sie den Dienst. Der Dienst kann nach der Aktualisierung beendet und wieder auf Deaktiviert gestellt werden. Das Starten des Dienstes ist notwendig, damit während der Aktualisierung die entsprechenden Ausnahmen in der Firewall eingestellt werden. 3. Beenden Sie alle Dienste, die eine Überwachung ausführen. Dies können zum Beispiel der Dienst Leistungsprotokolle und Warnungen oder Microsoft Operation Manager-Dienste sein. 4. Beenden und starten Sie den Dienst Remoteregistrierungsdienst. 5. Öffnen Sie die Eingabeaufforderung und wechseln Sie in das Installationsverzeichnis der DVD oder der Netzwerkressource, auf der Sie das Service Pack 1 bereitstellen. Rufen Sie den Befehl setup.com /m:upgrade über die Eingabeaufforderung auf. 6. Starten Sie den Cluster-Knoten neu, nachdem die Aktualisierung abgeschlossen ist.
84
Die Installation einer Exchange Server 2007-Organisation
7. Nachdem der Cluster-Knoten wieder gestartet ist, melden Sie sich an und öffnen Sie die Exchange Management Shell. Beenden Sie den Cluster-Dienst über den Befehl Stop-ClusteredMailboxServer. 8. Verschieben Sie die Cluster-Ressourcen über den eben aktualisierten ClusterKnoten. Verwenden Sie dazu die Exchange Management Shell mit dem Befehl Move-ClusteredMailboxServer. 9. Nachdem die Cluster-Ressourcen erfolgreich verschoben wurden, wechseln Sie wieder in die Eingabeaufforderung und führen Sie den Befehl setup.com /upgradecms aus. 10. Wechseln Sie auf den anderen Cluster-Knoten und starten Sie den Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung. Ändern Sie auch hier die Startart auf Automatisch oder Manuell. Sie können den Dienst nach der Aktualisierung wieder auf seine ursprüngliche Einstellung ändern. 11. Beenden Sie alle Dienste, die eine Überwachung ausführen. 12.Öffnen Sie die Eingabeaufforderung und wechseln Sie in das Installationsverzeichnis der DVD oder der Netzwerkressource, auf der Sie das Service Pack 1 bereitstellen. Rufen Sie den Befehl setup.com /m:upgrade über die Eingabeaufforderung auf. 13.Starten Sie den soeben aktualisierten Cluster-Knoten neu. 14.Stellen Sie den Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung wieder auf beiden Cluster-Knoten auf die ursprüngliche Einstellung zurück.
85
3 3.1
Serverrollen Serverrollen
Exchange Server 2007 bietet als erster Exchange Server eine funktions-basierende Installation, bestehend aus fünf verschiedenen Serverrollen, an. Diese auf Serverrollen basierende Installation ermöglicht es, einzelne Aufgabenbereiche des Exchange Servers 2007 zu trennen und auf voneinander unabhängiger Hardware zu betreiben. Unten aufgeführt finden Sie die einzelnen Serverrollen, die bei einer Installation zur Verfügung stehen. Die verschiedenen Serverrollen können aber auch gemeinsam auf einer Hardware installiert werden. Eine Ausnahme ist die Serverrolle Edge-Transport. Diese lässt sich nur getrennt von allen anderen Serverrollen installieren. In diesem Kapitel werden die einzelnen Serverrollen vorgestellt und ihre Aufgaben im Detail erklärt. Es stehen Ihnen folgende Serverrollen bei der Installation zur Verfügung: 왘
ClientAccess
왘
Mailbox
왘
Hub-Transport
왘
Unified Messaging
왘
Edge-Transport
87
Kapitel 3 Serverrollen
3.2
Serverrolle „ClientAccess“
Sie werden wahrscheinlich aus früheren Exchange Server-Versionen die Trennung in eine Frontend- und eine Backend-Server-Konstellation kennen. Ziel dieser Konfiguration war unter anderem, einen einheitlichen Namensbereich zu verwirklichen, über den mit Outlook Web Access (OWA) zugegriffen werden sollte, falls es mehrere Backend-Server gab. Somit mussten die Benutzer sich nicht mehr den Namen ihres Backend-Servers merken, auf dem ihr Postfach abgelegt war, sondern es stand für jeden Benutzer ein allgemein gültiger Exchange Server-Name zur Verfügung. Dabei war es die Aufgabe des Frontend-Servers, die OWA-Anfragen an den entsprechenden Backend-Server weiterzuleiten und somit Last von den Backend-Servern zu nehmen. Der Frontend-Server wurde sehr oft in einem Perimeter-Netzwerk aufgestellt, um so die Verbindung zum Internet zu erleichtern. Die Aufgaben der Serverrolle ClientAccess im Exchange Server 2007 wurden erweitert. Die Rolle übernimmt nun auch Aufgaben, die vorher von einem Backend-Server verarbeitet wurden. Die Installation der Serverrolle ClientAccess in einem Perimeter-Netzwerk wird von Microsoft nicht unterstützt. Für die Installation in einem Perimeter-Netzwerk wurde die Serverrolle Edge-Transport entwickelt. Weitere Informationen zur Absicherung des Exchange Servers 2007 finden Sie in Kapitel 7, „Absichern einer Exchange Server 2007 Organisation“. Weiterhin ist es nicht möglich, die Serverrolle ClientAccess auf einem Cluster zu installieren. Weitere Information zur Verfügbarkeit finden Sie in Kapitel 10, „Hochverfügbarkeit“. Im Folgendem werden die Aufgaben der Serverrolle ClientAccess aufgeführt und erläutert. 왘
Outlook Web Access (OWA)
왘
Outlook Anywhere (ehemals RPC über http(s))
왘
Exchange ActiveSync
왘
POP3 und IMAP4
왘
AutoErmittlungsdienst
왘
Webdienste
88
Serverrolle „ClientAccess“
3.2.1
Outlook Web Access (OWA)
OWA bietet Ihnen die Möglichkeit, auf ein Exchange-Postfach über einen Webbrowser von intern oder extern zuzugreifen. Unterstützt werden dabei alle Webbrowser, die HTML 3.2 und das ECMA-Format bereitstellen (ECMA steht für European Computers Manufacturers Association). Unter anderem unterstützen die Webbrowser Internet Explorer, Mozilla Firefox 1.8, Opera 7.54, Safari 1.2 die eben genannten (und weitere) Formate. Exchange Server 2007 stellt zwei Versionen von OWA bereit, die nur dann in vollem Umfang zur Verfügung stehen, wenn Sie eine Exchange Server 2007-Serverrolle ClientAccess in Verbindung mit einer Exchange Server 2007-Serverrolle Mailbox verwenden. Beim Aufrufen der OWA-URL im Webbrowser erhalten Sie eine Auswahl, in welcher Version Outlook Web Access gestartet werden soll. Diese beiden Versionen nennen sich Outlook Web Access Premium und Outlook Web Access Light. Outlook Web Access Light Outlook Web Access Light stellt Ihnen erweiterte Funktionen zur Verfügung, die das Arbeiten für blinde oder sehbehinderte Menschen erleichtern. Die LightVersion weist eine vereinfachte grafische Gestaltung auf und funktioniert unter fast allen Webbrowsern. Funktionen wie die Rechtschreibprüfung oder die Unified Messaging-Unterstützung stehen in der Light-Version allerdings nicht zur Verfügung. Mit Service Pack 1 für den Exchange Server 2007 ist ein Feature hinzugekommen, das die Aktivität des Benutzers überwacht und verhindert, dass die Sitzung beendet wird, während der Benutzer eine längere Eingabe (beispielsweise das Schreiben einer E-Mail) vornimmt. Outlook Web Access Premium Mit der Version Outlook Web Access Premium stehen Ihnen alle OWA-Funktionen zur Verfügung, die ein Exchange Server 2007 bietet. Die Version Outlook Web Access Premium erfordert den Internet Explorer ab der Version 6.x. Weitere Informationen zu den einzelnen Funktionen finden Sie in Kapitel 5, „ClientZugriff auf den Server“. Für den Zugriff via OWA auf ein Postfach verwenden Sie die folgende URL: https://servername/owa
89
Kapitel 3 Serverrollen
Für den Zugriff auf öffentliche Ordner per Webbrowser: https://servername/public Für den Zugriff auf ein Postfach auf einem früheren Exchange Server: https://servername/exchange Wie Sie oben sehen, hat sich die URL für den Zugriff auf ein Postfach auf einem Exchange Server 2007 geändert. Sollten Sie weiterhin Postfächer auf einem Exchange Server unter den Versionen 2000 oder 2003 betreiben, bleiben die URLs für diese Benutzer unverändert. Dabei spielt es keine Rolle, ob auf die Postfächer des Exchange Servers 2000 bzw. 2003 über die Serverrolle ClientAccess von Exchange Server 2007 zugegriffen wird. Neu mit SP1 sind einige Funktionen, die es zwar unter Exchange Server 2003 gab, aber in der RTM-Version des Exchange Servers 2007 nicht mehr zur Verfügung standen. Zusätzlich sind auch neue Funktionen hinzugekommen. Hierzu zählen unter anderem: 왘
Bearbeiten eigener Verteilerlisten über OWA
왘
Kalenderansicht im Monatsformat
왘
Erstellen und Bearbeiten von servergespeicherten Regeln
왘
Zugriff auf den Papierkorb, um gelöschte Dateien wiederherzustellen
왘
WebReady-Dokumentenanzeige für einige Office 2007-Formate
왘
Zugriff auf öffentliche Ordner über OWA
왘
S/MIME-Unterstützung
3.2.2
Outlook Anywhere
Dieser Name wurde mit der Einführung von Exchange Server 2007 neu vergeben und bezeichnet die Verbindung eines Outlook-Clients via RPC über HTTPS (RPC = Remote Procedure Call, „Prozedur-Fernaufruf“, HTTPS = HyperText Transfer Protocol Secure). Unter Exchange Server 2003 wurde dieser Zugriff als RPC über HTTPS bezeichnet. Bei dieser Art der Verbindung wird eine HTTPSVerbindung zur Serverrolle ClientAccess aufgebaut, durch die dann die RPCAnfragen des Outlook-Clients an den Mailbox-Server weitergegeben werden. Somit ist es möglich, einen Zugriff auf das Postfach mit Outlook zu verwirklichen, ohne eine VPN-Verbindung (VPN = Virtual Private Network) zu haben.
90
Serverrolle „ClientAccess“
3.2.3
Exchange ActiveSync
Mit Exchange ActiveSync haben Sie die Möglichkeit, einen direkten E-Mail-Austausch mit mobilen Endgeräten vorzunehmen, die mit einem Webbrowser, Windows Mobil 5 oder aktuelleren Windows Mobile-Versionen ausgestattet sind. Ein Liste einiger mobiler Endgeräte finden Sie in Kapitel 5, „Client-Zugriff auf den Server“. Dabei können E-Mail-Nachrichten, Kontakte, Aufgaben und Kalenderinformationen mit dem mobilen Endgerät synchronisiert werden. Zusätzlich steht ein Zugriff auf die firmeninternen Adressbücher zur Verfügung. Eine Ausnahme bilden die Outlook-Ordner Entwürfe und Postausgang. Die Inhalte dieser Ordner können nicht über ActiveSync mit dem mobilen Endgerät synchronisiert werden. Weitere Informationen über die genaue Funktionsweise und Konfiguration von ActiveSync lesen Sie ebenfalls in Kapitel 5, „Client-Zugriff auf den Server“.
3.2.4
POP3 und IMAP4
Wie in vorherigen Exchange Server-Versionen bietet auch der Exchange Server 2007 die Möglichkeit, über die Protokolle POP3 (POP3 = Post Office Protocol Version 3) und IMAP4 (IMAP4 = Internet Message Access Protocol Version 4) auf ein Postfach zuzugreifen. Die Voraussetzungen dafür werden bereits bei der Installation einer ClientAccess-Serverrolle geschaffen. Alles, was Sie zur Nutzung der POP3oder IMAP4-Funktionalitäten tun müssen, ist, die entsprechenden Dienste in der Microsoft Management Console (MMC) zu starten. Diese Dienste sind in der Standardinstallation nicht gestartet. Weitere Informationen zur Einrichtung von POP3 und IMAP4 finden Sie ebenfalls in Kapitel 5, „Client-Zugriff auf den Server“.
3.2.5
AutoErmittlungsdienst
Bei dem AutoErmittlungsdienst (engl.: AutoDiscovery Services) handelt es sich um einen Web-Ordner auf dem ClientAccess-Server. Damit ist eine automatische Konfiguration von Outlook 2007, benutzerdefinierten Programmen sowie einigen mobilen Endgeräten möglich, die auf einen Exchange Server 2007 zugreifen möchten. Der Zugriff auf den AutoErmittlungsdienst erfolgt dabei über HTML auf die URLs: https://autodiscover./autodiscover/ autodiscover.xml https:///autodiscover/ autodiscover.xml
91
Kapitel 3 Serverrollen
Dabei wird vom Client eine XML-Anfrage, welche die E-Mail-Adresse des Benutzers enthält, an einen Exchange Server 2007 mit der ClientAccess-Serverrolle gesendet. Dieser stellt die Informationen für den entsprechenden Benutzer über den Web-Ordner Autodiscover zur Verfügung. Um diese Funktion nutzen zu können, müssen die Einstellungen im AutoErmittlungsdienst richtig gesetzt sein, damit ein Outlook 2007-Client, eine benutzerdefinierte Applikation oder ein mobiles Endgerät automatisch die Informationen über den entsprechenden Postfach-Server, die Einstellungen des OAB, die Unified Messaging- Konfiguration und den Verfügbarkeitsdienst zur Verfügung gestellt bekommt. Weitere Informationen zur Konfiguration des AutoErmittlungsdienstes finden Sie in Kapitel 5, „Client-Zugriff auf den Server“.
3.2.6
Webdienste
Die Exchange Server 2007-Webdienste stellen eine Schnittstelle für weitere Programme da, um auf einige Informationen zugreifen zu können, auf die auch ein Outlook-Client zugreifen kann. Folgende Funktionen stehen Ihnen über die Webdienste zur Verfügung: 왘
Zugriff auf Frei/Gebucht-Zeiten
왘
Zugriff auf Inhalte in Kalendern, E-Mail-Ordnern, Aufgaben und Kontakten
왘
Benachrichtigungen über Ereignisse in Postfächern der Benutzer
왘
Synchronisation von Informationen, um die Inhalte von Postfächern zu synchronisieren
왘
Aufschlüsselung von Verteilerlisten
왘
Auflösung mehrdeutiger Namen
Dabei nutzen die Exchange Server 2007-Webdienste den AutoErmittlungsdienst, um die benötigten Zugriffsinformationen abzurufen. Weitere Informationen zu den Webdiensten finden Sie in Kapitel 5, „Client-Zugriff auf den Server“. Es muss mindestens eine ClientAccess-Serverrolle pro Active Directory-Standort existieren, in der eine Mailbox-Serverrolle installiert ist. Die ClientAccess-Serverrolle kann mit anderen Serverrollen kombiniert werden. Eine Ausnahme ist die Serverrolle Edge-Transport. Diese kann nur getrennt von allen anderen Serverrollen installiert werden. Abbildung 3.1 zeigt die mögliche physikalische Position eines ClientAccess-Servers in einer Exchange-Organisation.
92
Serverrolle „Mailbox“
Abbildung 3.1: Serverrolle „ClientAccess“
3.3
Serverrolle „Mailbox“
Für die Bereitstellung von Postfächern und öffentlichen Ordnern in einer Exchange Server 2007-Organisation wird die Serverrolle Mailbox benötigt. Bevor ein MailboxServer bereitgestellt wird, sollte man sich Gedanken über die Anforderungen an die Postfächer und die öffentlichen Ordner machen. Hierbei sind insbesondere folgende Punkte zu berücksichtigen: 왘
Dimensionierung der Datenbank(en)
왘
Bereitstellung von öffentlichen Ordnern
왘
Koexistenz mit weiteren Serverrollen
왘
Bereitstellung eines Mailbox-Clusters
3.3.1
Dimensionierung der Datenbanken
Bei der Dimensionierung der Datenbanken können Sie Beschränkungen der Postfachgrößen in Betracht ziehen. Die nachfolgenden Punkte sind ausschlaggebend für eine Begrenzung der Postfachgrößen und somit für eine Begrenzung des Datenbankwachstums.
93
Kapitel 3 Serverrollen
3.3.2
Sicherung und Wiederherstellung
Sollten Sie zur Sicherung ihrer Exchange-Datenbanken keine Virtual Snapshot Services Kopie-Software verwenden, müssen Sie darauf achten, dass die zu sichernde Datenmenge nicht das zur Verfügung stehende Sicherungszeitfenster überschreitet. Exchange Server 2007 bietet zur Optimierung des Sicherungszeitfensters und zur schnelleren Wiederherstellung die Möglichkeiten der Local Continuous Replication (LCR, dt.: fortlaufende lokale Replikation), der Cluster Continuous Replikation (CCR, dt.: fortlaufende Cluster-Replikation) oder ab Service Pack 1 der Standby Continuous Replication (SCR) an. Eine genaue Beschreibung dieser Verfahren finden Sie in Kapitel 10, „Hochverfügbarkeit“.
3.3.3
Online- und Offline-Wartung oder Reparatur der Datenbank
Weiter sollten Sie bei der Dimensionierung darauf achten, dass Vorgänge wie die Offline- und die Online-Wartung der Datenbank in einem überschaubaren Zeitfenster durchgeführt werden können. So wird beispielsweise eine Offline-Wartung bzw. Reparatur der Datenbank mit dem Tool ESEUTIL.exe stets mehr Zeit in Anspruch nehmen, sobald die Datenbank größer wird. Auch eine Online-Wartung nimmt mehr Zeit in Anspruch, je größer eine Datenbank wird. Es wird empfohlen, eine Online-Wartung mindestens alle zwei Wochen durchzuführen. Die OnlineWartung erfolgt in der Standardinstallation täglich zwischen 23:00 und 03:00 Uhr. Dieser Zeitraum ist allerdings frei wählbar. Microsoft empfiehlt, mindestens vier Stunden für diesen Vorgang einzuplanen. Sollte während einer laufenden OnlineWartung eine Sicherung beginnen, wird die Online-Wartung abgebrochen.
3.3.4
Bereitstellen von öffentlichen Ordnern
Überlegen Sie vor der Bereitstellung der Mailbox-Serverrolle, ob Sie eine öffentliche Ordner-Struktur benötigen. Outlook 2007 benötigt im Unterschied zu allen vorherigen Outlook-Versionen keine öffentlichen Ordner und keine öffentliche Ordner-Struktur mehr für die Veröffentlichung der Frei/Gebucht-Zeiten oder die Bereitstellung des Offline-Adressbuches (OAB). Diese beiden Aufgaben werden ab Exchange Server 2007 über die Webdienste umgesetzt. Gründe für die Bereitstellung einer öffentlichen Ordner-Struktur können sein:
94
Serverrolle „Mailbox“
Verwendung von Outlook 2003/2002 Outlook 2003/2002 (Outlook 2002 = Outlook XP) verwendet zur Veröffentlichung seiner Frei/Gebucht-Zeiten einen Systemordner in der öffentlichen Ordner-Struktur. Daher ist es notwendig, diese unter Exchange Server 2007 weiterhin zur Verfügung zu stellen, damit Outlook 2003/2002-Clients diese abrufen und veröffentlichen können. Auch wird das OAB über die öffentlichen Ordner zur Verfügung gestellt. Outlook 2003/2002-Clients laden dieses von dort herunter.
Outlook 2000 und ältere Versionen werden unter Exchange Server 2007 von Microsoft nicht mehr unterstützt. Koexistenz mit einem Lotus Domino-Server Bei der Koexistenz mit einem Lotus Domino-Server werden die Frei/GebuchtZeiten über eine öffentliche Ordner-Struktur dem Lotus Domino-Server bereitgestellt. Dieser ruft die Frei/Gebucht-Zeiten von Exchange-Benutzern aus den öffentlichen Ordnern ab und veröffentlicht die Frei/Gebucht-Zeiten von Lotus Notes-Benutzern dort. Weitere Informationen zur Migration von Lotus Domino oder zur Koexistenz finden Sie in Kapitel 6, „Migration auf Exchange Server 2007“. Vorhandene öffentliche Ordner-Struktur Sollten Sie eine bestehende Exchange Server 2000- oder Exchange Server 2003Organisation mit einer öffentlichen Ordner-Struktur haben und diese nicht vorher in eine Share Point-Umgebung migrieren wollen oder können, so kann die öffentliche Ordner-Struktur übernommen werden. Die Funktionalität der Bereitstellung von Frei/Gebucht-Zeiten und der Bereitstellungspunkt für das OAB wurden bei Exchange Server 2007 so verändert, dass Outlook-Versionen ab 2007 keine öffentliche Ordner-Struktur mehr benötigen. Ab Outlook 2007 werden diese beiden Funktionen über die Webdienste der ClientAccess-Serverrolle bereitgestellt. Der Vorteil bei dieser Änderung ist unter anderem, dass für den Download des OAB die BITS-Funktion (BITS = Background Intelligent Transfer Service, dt.: intelligenter Hintergrund-Übertragungsdienst) zur Verfügung gestellt wurde.
95
Kapitel 3 Serverrollen
Weitere Informationen über BITS und seine Funktionsweise finden Sie unter anderem auf folgender Webseite in englischer Sprache: http://www.microsoft.com/windowsserver2003/techinfo/overview/ bits.mspx Für Outlook 2003/2002 wird weiterhin eine öffentliche Ordner-Struktur für die Bereitstellung der Frei/Gebucht-Zeiten und das OAB benötigt. Exchange Server 2007 ersetzt daher nicht die Funktion der öffentlichen Ordner-Struktur, sondern kann diese zusätzlich zur Verfügung stellen.
3.3.5
Koexistenz mit weiteren Serverrollen
Die Serverrolle Mailbox kann mit allen Serverrollen von Exchange Server 2007 gemeinsam auf einer Hardware installiert werden. Eine Ausnahme ist dabei die Serverrolle Edge-Transport. Diese kann nur getrennt von allen anderen Serverrollen installiert werden. Bei der gemeinsamen Installation mit weiteren Serverrollen sollten Sie eine genaue Planung der Auslastung, Verfügbarkeit und der Sicherheitsanforderungen an die Serverrolle Mailbox vornehmen. Weitere Informationen zur Planung der Server-Dimensionierung finden Sie in Kapitel 9, „Serverkonzeption und Dimensionierung“.
3.3.6
Bereitstellung eines Mailbox-Clusters
Die einzige Serverrolle, die in einem Microsoft-Cluster installiert werden kann, ist die Serverrolle Mailbox. Hierfür ist es erforderlich, dass die Mailbox-Serverrolle getrennt von allen anderen Serverrollen installiert wird. Exchange Server 2007 stellt dabei zwei Arten der Cluster-Installation zur Verfügung: 왘
Cluster Continuous Replication (CCR)
왘
Single Copy Cluster (SCC)
Weitere Informationen zur Cluster-Installation und zur Hochverfügbarkeit finden Sie in Kapitel 10, „Hochverfügbarkeit“. Abbildung 3.2 zeigt die mögliche physikalische Position eines Mailbox-Servers in einer Exchange-Organisation.
96
Serverrolle „Hub-Transport“
Abbildung 3.2: Serverrolle „Mailbox“
3.4
Serverrolle „Hub-Transport“
Bei der Serverrolle Hub-Transport handelt es sich um die Serverrolle des Exchange Servers 2007, die für den gesamten internen Transfer der E-Mails zuständig ist. Dabei ist es wichtig zu wissen, dass jede gesendete und empfangene E-Mail über diese Serverrolle geleitet wird. Auch jene E-Mails, die zwischen Postfächern innerhalb eines Postfachspeichers gesendet werden, werden über die Hub-Transport- Serverrolle geleitet. Der Grund für diese Funktionsweise liegt in der Möglichkeit, Nachrichtenregeln und Übermittlungsrichtlinien auf einer Hub-Transport-Serverrolle zu bestimmen. Sollten Sie in Ihrer Umgebung einen oder mehrere Active Directory-Standorte eingerichtet haben, so muss jeder Standort, in der eine Exchange Server 2007-Mailbox-Serverrolle bereitgestellt wird, auch über eine HubTransport-Serverrolle verfügen. Die Hub-Transport-Serverrolle bildet in diesem Fall auch die Bridgehead-Funktion zwischen den Active Directory-Standorten und bereits vorhandenen Exchange Servern 2003/2000. Die Konfigurationseinstellungen der Hub-Transport-Serverrolle werden dabei in der Konfigurationspartition des Active Directory gespeichert und sind somit organisationsweit gültig. Bei der Bereitstellung von mehreren Hub-Transport-Serverrollen pro Active Directory-Standort (um die Ausfallsicherheit zu erhöhen) werden alle Verbindungen automatisch auf die pro Active Directory-Standort vorhandenen Hub-TransportServer verteilt. Informationen zur Ausfallsicherheit und hohen Verfügbarkeit finden Sie in Kapitel 10, „Hochverfügbarkeit“. 97
Kapitel 3 Serverrollen
Folgende Funktionen stellt Ihnen die Serverrolle Hub-Transport zur Verfügung: 왘
Transportrichtlinien und -kompatibilität
왘
Nachrichtenübermittlung
왘
Anti-Spam- und Anti-Virus-Funktionen
3.4.1
Transportrichtlinien und -kompatibilität
Mehrere Transporter-Agenten geben Ihnen die Möglichkeit, eine Vielzahl von Regeln und Einstellungen zu treffen, die auf E-Mail-Nachrichten angewendet werden, die von extern oder nach extern gesendet werden. Um zu gewährleisten, dass festgelegte Transportregeln und Übermittlungsrichtlinien auf jede E-Mail angewendet werden, wird jede E-Mail über die Hub-Transport-Serverrolle geleitet. Ebenso ist es möglich, Übermittlungsrichtlinien festzulegen, die den Anforderungen Ihres Unternehmens in Bezug auf Nachrichtenaufbewahrung, Journalregeln und Compliance entsprechen.
3.4.2
Nachrichtenübermittlung
Wie schon erwähnt, werden alle E-Mail-Nachrichten über die Serverrolle HubTransport verarbeitet. Es gibt drei Möglichkeiten, eine E-Mail der Serverrolle HubTransport zur Verfügung zu stellen. Diese sind: 왘
Nachrichtenübermittlung über SMTP
왘
Bereitstellung in einem Aufnahmeverzeichnis
왘
Aufnahme über den Informationsspeichertreiber
Nachrichtenübermittlung über SMTP Die Exchange Server 2007-Serverrolle Hub-Transport verwendet zum Empfangen und Senden von Nachrichten Sende- und Empfangs-Connectoren. Nachrichten, die von der Serverrolle Edge-Transport von extern empfangen oder von einem weiteren Hub-Transport-Server aus einem anderen Standort übermittelt werden, nimmt der Hub-Transport-Server mit einem Empfangs-Connector entgegen und verarbeitet diese Nachricht mit dem Kategorisierungsmodul. Nachdem das Kategorisierungsmodul festgestellt hat, ob diese Nachricht einem Postfach im eigenen Standort zugestellt werden soll, wird die Nachricht über einen Sende-Connector an den Mailbox-Server übermittelt. Ist die Nachricht für einen Empfänger außerhalb der Exchange-Organisation bestimmt, übermittelt der HubTransport-Server diese Nachricht über einen Sende-Connector an einen EdgeTransport-Server. Sollten Sie keine Serverrolle Edge-Transport in Ihrer Organisation einsetzen, wird die Nachricht an den im Sende-Connector definierten Server gesendet. Dies kann entweder ein SMTP-Relay-Agent sein oder ein E-Mail-Ser98
Serverrolle „Hub-Transport“
ver im Internet, der über die DNS-Informationen gefunden wurde. Ist die Nachricht für einen Empfänger innerhalb der Exchange-Organisation bestimmt, übermittelt der Hub-Transport-Server diese Nachricht über den Sende-Connector an den Hub-Transport-Server, der sich im gleichen Standort wie der Mailbox-Server des Empfängers befindet. Weitere Informationen zur Transportarchitektur finden Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer ExchangeUmgebung“. Für alle oben beschriebenen Transportaufgaben verwendet der Hub-Transport-Server das Protokoll Simple Mail Transfer Protocol (SMTP). Bereitstellung im Aufnahmeverzeichnis Ordnungsgemäß formatierte Nachrichtendateien können auf einem Hub-Transport-Server in das Wiederaufnahmeverzeichnis oder in das Abholverzeichnis abgelegt werden. Bei diesen beiden Verzeichnissen handelt es sich um Verzeichnisse, die nur auf einem Hub-Transport-Server existieren. Nachrichtendateien, die in diesen Verzeichnissen abgelegt werden, werden über das Kategorisierungsmodul ausgewertet und an die entsprechende Zustellungswarteschlange übermittelt. Auf einem Edge-Transport-Server stehen diese Aufnahmeverzeichnisse nicht zur Verfügung. Dort werden alle Nachrichten über einen Sende-Connector übermittelt. Weitere Informationen hierzu finden Sie ebenfalls in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“. Aufnahme über den Informationsspeichertreiber Bei dem Informationsspeichertreiber handelt es sich um eine Softwarekomponente, die auf einem Hub-Transport-Server installiert ist und Nachrichten aus dem Postausgang eines Absenders entnimmt. Diese Nachrichten werden an den Exchange-Informationsspeicher übergeben und somit an die Datenbank übermittelt, welche die Informationsspeicher der öffentlichen Ordner oder Postfachspeicher enthält. Weitere Informationen hierzu finden Sie ebenfalls in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“.
3.4.3
Anti-Spam und Anti-Virus
Ebenso kann die Hub-Transport-Serverrolle Anti-Spam- und Anti-Virus-Funktionen umsetzen. Diese Funktionen sind allerdings bei einer Standardinstallation nicht aktiv und sollten von der Edge-Transport-Serverrolle übernommen werden. Dennoch können die Anti-Spam- und Anti-Virus-Funktionen über ein mitgeliefertes PowerShell-Skript auf der Hub-Transport-Serverrolle aktiviert werden. Dies ist zum Beipiel in kleineren Umgebungen erforderlich, in der keine Edge-TransportServerrolle eingesetzt werden soll, oder bei einer mehrfachen Absicherung des E-Mail-Verkehrs gegen Spam- und Viren-Bedrohungen. Eine Anleitung zur Akti-
99
Kapitel 3 Serverrollen
vierung und Konfiguration der Anti-Spam- und Anti-Virus-Funktionen auf der Hub-Transport-Serverrolle finden Sie in Kapitel 4, „Anti-Spam und Anti-Virus“.
Abbildung 3.3: Serverrolle „Hub-Transport“
Abbildung 3.3 zeigt die mögliche physikalische Position eines Hub-TransportServers in einer Exchange-Organisation.
3.5
Serverrolle „Unified Messaging“
Mit der Einführung der Serverrolle Unified Messaging schließt Microsoft teilweise eine Lücke in der Kommunikationsebene. Die betroffenen Funktionen wurden vorher gar nicht oder nur von Drittanbieter-Software angeboten. Durch die Tatsache, dass ein Exchange Server 2007 mit der Serverrolle Unified Messaging mit einer Telefonanlage (TK-Anlage) gekoppelt werden kann, erschließen sich dem Anwender eine Vielzahl von vereinfachten Zugriffsmöglichkeiten auf Informationen im Datenbestand des Exchange Servers 2007. Es handelt sich dabei nicht nur um E-Mail-Nachrichten, Termine und Aufgaben, sondern die Verbindung zur TKAnlage erlaubt auch den Empfang von Fax-Nachrichten und Sprachnachrichten im Postfach des Benutzers.
100
Serverrolle „Unified Messaging“
Abbildung 3.4: Kommunikationswege: Serverrolle „Unified Messaging“
In Abbildung 3.4 sehen Sie eine Darstellung der Anbindung des Unified Messaging-Servers an die TK-Anlage. In diesem Kapitel werden wir Ihnen die Eigenschaften und Anforderungen der Serverrolle Unified Messaging darstellen. Da der Bereich Telefonie für viele Administratoren neu ist und oft in Unternehmen getrennt von der E-Mail-Server-Verwaltung durchgeführt wird, ist es sehr wichtig, dass Sie sich mit dem Thema Telefonie und Telefonanlagen auseinandersetzen oder einen Spezialisten zu diesem Thema hinzuziehen. Folgende Punkte werden genauer erläutert:
101
Kapitel 3 Serverrollen 왘
Eigenschaften der Serverrolle Unified Messaging
왘
Anforderungen der Serverrolle Unified Messaging
왘
Verwendete Protokolle
왘
Komponenten der Serverrolle Unified Messaging
3.5.1
Eigenschaften der Serverrolle „Unified Messaging“
Zu den Eigenschaften der Serverrolle Unified Messaging zählen unter anderem folgende Möglichkeiten: Zugriff eines Teilnehmers: Als Teilnehmer werden bei Exchange Server 2007 diejenigen Personen bezeichnet, die auf das Unified Messaging-System des Exchange Servers 2007 zugreifen. Dabei wird noch einmal unterschieden zwischen externen und internen Teilnehmern. Externe Teilnehmer sind Personen, die kein Postfach oder Konto mit Informationen zur Telefonnummer oder E-Mail-Adresse im Active Directory-Verzeichnis haben. Diese externen Teilnehmer stellen eine Verbindung über das Telefonnetz mit dem Server her und können Informationen abrufen, sich mit einem internen Teilnehmer verbinden lassen oder eine Person in der Telefonzentrale um Hilfe bitten. Interne Teilnehmer sind all jene Benutzer, die über ein Postfach und/oder per Unified Messaging aktivierte Konten im Active Directory-Verzeichnis verfügen. Zusätzlich zu den Möglichkeiten der externen Teilnehmer haben die internen Teilnehmer die Möglichkeit, sich mit ihrem Postfach zu verbinden, Informationen über E-Mail- und Sprachnachrichten, Kontakte und Kalenderinformationen abzurufen sowie persönliche Einstellungen im Postfach zu verändern. Weiter haben interne Teilnehmer die Möglichkeit, Abwesenheitsnachrichten aufzuzeichnen und Besprechungsanfragen anzunehmen, abzulehnen oder zu verschieben. Beim Verschieben handelt es sich lediglich um die Möglichkeit, Verspätungen zu einem Termin anzukündigen. Es können allerdings keine alternativen Termine vorgeschlagen werden. Über die Text-to-Speech-Engine („Text zu Sprache“) wird der Inhalt des Postfachs am Telefon wiedergegeben. Dabei ist es unbedeutend, ob von einem festen Telefonanschluss oder von einem mobilen Endgerät aus angerufen wird.
102
Serverrolle „Unified Messaging“
Mailbox-Ansage: Bei der Mailbox-Ansage hat der Benutzer die Möglichkeit, über den PC oder ein Telefon eine Ansage einzurichten, die Anrufer im Falle der Nichterreichbarkeit des Benutzers angesagt bekommen. Dafür muss das Telefon des Benutzers auf das Postfach umgeleitet werden. Es können außerdem Sprachnachrichten entgegengenommen werden, die dann an das Postfach des Benutzers übermittelt werden. Fax-Empfang: Mit der Serverrolle Unified Messaging können Sie Ihren Benutzern den Fax-Empfang ermöglichen. Dabei werden eingehende Fax-Nachrichten von der TK-Anlage entgegengenommen und an den Unified Messaging-Server über das Protokoll T.38 weitergeleitet. Die Fax-Nachrichten werden als Anhang im .tif-Dateiformat in das Postfach des Benutzers übermittelt. Der Exchange Server 2007 mit der Serverrolle Unified Messaging kann Faxe lediglich empfangen. Der Versand von Faxen ist nicht möglich und muss weiterhin über Software von Drittanbietern erfolgen oder über den Fax-Dienst von Windows Server. Automatische Telefonzentrale: Durch den Einsatz eines Exchange Servers 2007 mit der Serverrolle Unified Messaging können Sie in Ihrem Unternehmen eine automatische Telefonzentrale zur Verfügung stellen. Diese automatische Telefonzentrale kann internen Teilnehmern sowie externen Teilnehmern angepasste Ansagen anbieten und ein Auswahlmenü über die Eingabe an der Telefontastatur bereitstellen, in dem die Benutzer nach internen Teilnehmern suchen können. Diese Suche wird vom Exchange Server gegen das Active Directory-Verzeichnis durchgeführt und kann somit eine große Anzahl an Informationen bereitstellen. Nach der Suche im Verzeichnis können Anrufer sich mit internen Teilnehmern oder über eine vordefinierte Durchwahl mit einer Person in der Telefonzentrale verbinden lassen, um Unterstützung zu erhalten. Außerdem können Sie Urlaubs- und Betriebszeiten definieren, zu denen unterschiedliche Ansagen oder Menüs zur Auswahl bereitgestellt werden. Der Exchange Server stellt dazu eine Vielzahl an vordefinierten Sprachaufzeichnungen bereit. Durch die Aufnahme eigener Sprachaufzeichnungen und Menüsteuerungen können Sie die Ansagen und Menüs beliebig erweitern. Wie die anderen Serverrollen auch lassen sich die Konfigurationen der Serverrolle Unified Messaging sowie die Verwaltung komplett über die PowerShell durchführen.
103
Kapitel 3 Serverrollen
3.5.2
Anforderungen an die Serverrolle „Unified Messaging“
Die Bereitstellung der Serverrolle Unified Messaging stellt vor allem Anforderungen an die Planung. Bevor Sie mit der Installation eines Unified Messaging-Servers beginnen, sollten Sie sich Gedanken machen, in welcher Form Sie die Eigenschaften der Serverrolle Unified Messaging nutzen wollen. Dazu zählen vor allem folgende Punkte: 왘
Die Anforderungen Ihres Unternehmens an die Serverrolle
왘
Ihr aktuelles TK-Anlagen-Netzwerk und seine Voraussetzungen
왘
Die Anzahl der zu unterstützenden Benutzer
왘
Die Speicheranforderungen der Benutzer
왘
Die Anzahl der benötigten Unified Messaging-Server
왘
Ihre aktuelle Active Directory-Struktur
왘
Ihre aktuelle Netzwerk- und Verkabelungsstruktur
왘
Die strategische Platzierung der IP/VoIP-Gateways, Telefonendgeräte und der Unified Messaging-Server Beachten Sie bitte, dass der Einsatz von Unified Messaging den Platzbedarf der Benutzer in den Postfächern erhöhen wird, da Sprachnachrichten mehr Speicherplatz benötigen als einfache E-Mail-Nachrichten.
Bei der Anbindung der Serverrolle Unified Messaging stehen Ihnen zwei Möglichkeiten zur Verfügung. IP/VoIP-TK-Anlage Eine Möglichkeit ist die direkte Verbindung zur TK-Anlage, sofern Ihre TKAnlage eine sogenannte IP/VoIP-TK-Anlage ist und bereits über die benötigten Anschlüsse und Protokolle verfügt. Dabei wird Ihre IP/VoIP-TK-Anlage an das LAN angeschlossen und kann somit eine IP-Verbindung mit dem Exchange Server 2007 und dem Domänen-Controller aufbauen. Die englische Bezeichnung für eine Telefonanlage lautet PBX (Private Branche eXchange) oder IP PBX (Internet Protocol Private Branch eXchange).
104
Serverrolle „Unified Messaging“
IP/VoIP-Gateway Die zweite Möglichkeit ist, eine nicht IP/VoIP-fähige TK-Anlage über ein sogenanntes VoIP-Gateway mit der TK-Anlage zu koppeln. Es gibt bereits jetzt schon eine Vielzahl an Anbietern, die VoIP-Gateways anbieten. Diese Gateways stellen eine Schnittstelle zu einer nicht IP/VoIP-fähigen TK-Anlage dar, indem sie das IPProtokoll in ein von der TK-Anlage unterstütztes Protokoll umsetzen. Dabei wird die Kommunikation von der TK-Anlage über das VoIP-Gateway in das IP-Protokoll übersetzt, damit der Exchange Server 2007 dieses verarbeiten kann. Eine Liste von Anbietern mit zu Exchange Server 2007 kompatiblen TK-Anlagen und VoIP-Gateways finden Sie unter den folgenden Links. VoIP-Gateways: http://technet.microsoft.com/de-de/library/bb123948.aspx http://www.msxfaq.net/e2007/um.htm IP/VoIP-TK-Anlagen: http://technet.microsoft.com/de-de/library/aa996831.aspx http://www.microsoft.com/technet/prodtechnol/exchange/pbx-partners.mspx
3.5.3
Verwendete Protokolle
Die Basis für die Kommunikation der Serverrolle Unified Messaging mit einer IP/ VoIP-TK-Anlage oder einem IP/VoIP-Gateway sind die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol). Diese beiden Protokolle bilden die Transportschicht der Kommunikation. Aufbauend auf diesen Protokollen stellt der Exchange Server 2007 eine Verbindung über SIP über TCP (Session Initiation Protocol over Transmission Control Protocol) her. Dies ist zu beachten, da viele IP/VoIP-TK-Anlagen oder IP/VoIP-Gateways eine Verbindung mit SIP über UDP (Session Initiation Protocol over User Datagram Protocol) verwenden und somit nicht für den Einsatz mit einem Exchange Server 2007 geeignet sind. Der Exchange Server 2007 mit der Unified Messaging-Serverrolle verfügt nach der Installation über zwei Dienste, welche für die Verarbeitung und Ausführung der Unified Messaging-Komponenten zuständig sind.
105
Kapitel 3 Serverrollen
Abbildung 3.5: Exchange Server 2007 – Unified Messaging-Dienste
Der Microsoft Exchange Speech Engine-Dienst (SpeechService.exe) ist für die Umsetzung der Nachrichten in Sprache verantwortlich. Auch verarbeitet dieser Dienst die Befehle, die über DTMF (Dual Tone Multi-Frequency) oder über ASR (Automatic Speech Recognition) eingegeben werden. Beim DTMF-Verfahren handelt es sich um die Eingabe über die Tastatur eines Telefons, beim ASR-Verfahren über die Spracheingabe über das Telefon. Der Microsoft Exchange Unified Messaging-Dienst (UMService.exe) ist für die Verarbeitung der Sprachnachrichten und Fax-Nachrichten zuständig und sorgt für die Zustellung an die entsprechenden Postfächer. Außerdem ist dieser Dienst für den Sprachzugriff auf Inhalte der Postfächer, Kontakte und Kalender zuständig. ASR steht Ihnen beim Exchange Server 2007 zurzeit nur in englischer Sprache zur Verfügung. Microsoft plant, sprachgesteuerte Menüeingaben in zukünftigen Versionen von Exchange Server auch in anderen Sprachen anzubieten. Weitere Informationen hierzu erhalten Sie in diesem Kapitel im Abschnitt „Einschränkungen“. Beide Dienste müssen aktiviert und gestartet sein, damit Sprachnachrichten und Fax-Nachrichten vom Unified Messaging-Server angenommen und verarbeitet werden können. Verarbeitung eingehender Sprachnachrichten Eingehende Gespräche für die Serverrolle Unified Messaging auf der TK-Anlage werden durch die IP/VoIP-TK-Anlage oder das IP/VoIP-Gateway in das SIP über TCP-Protokoll übersetzt und an den Unified Messaging-Server weitergegeben. Dies erfolgt über den TCP-Anschluss 5060 oder 5061, sofern eine TLS(Transport Layer Security-)Verschlüsselung verwendet wird. Nachdem eine Verbindung über SIP mit dem Exchange Server hergestellt wurde, werden die Daten vom Unified Messaging-Server in das Protokoll RTP (Real-time Transport Protocol) umgewandelt und an den Sprachdienst weitergegeben. Dazu wird ein dynamischer UDP-Anschluss zwischen 1024 und 65535 verwendet. Der Sprachdienst verarbeitet dann die Daten und gibt diese an den Postfachserver weiter, der die Nachricht an die Postfachdatenbank übermittelt.
106
Serverrolle „Unified Messaging“
Verarbeitung eingehender Fax-Nachrichten Eingehende Fax-Nachrichten werden von der IP/VoIP-TK-Anlage oder dem IP/ VoIP-Gateway in das T.38-Protokoll übersetzt und an den Unified Messaging-Server übergeben. Dieser stellt die Fax-Nachricht dem Postfach als Anlage in einer E-Mail im .tif-Dateiformat zu. Benutzer können das Fax über ein Programm zur Anzeige von Bildformaten öffnen und sich anzeigen lassen. Weitere Informationen zu den einzelnen Protokollen finden Sie unter den folgenden URLs: http://technet.microsoft.com/de-de/library/aa998265.aspx http://technet.microsoft.com/en-us/library/aa998265.aspx
3.5.4
Komponenten der Serverrolle „Unified Messaging“
In diesem Abschnitt werden die einzelnen Komponenten der Serverrolle Unified Messaging beschrieben. Dabei handelt es sich unter anderem um logische Objekte im Active Directory, die physikalische Komponenten der IP/VoIP-TK-Anlage oder des IP/VoIP-Gateways darstellen. Weiter sind es Active Directory-Objekte, die Sie benötigen, um den Unified Messaging-Server konfigurieren zu können. Zu diesen Objekten gehören: 왘
Automatische Telefonzentralenobjekte
왘
Sammelanschlussobjekte
왘
IP-Gateway-Objekte
왘
Postfachrichtlinien
왘
Wählplanobjekte
Automatische Telefonzentralenobjekte Sie können auf dem Unified Messaging-Server ein oder mehrere automatische Telefonzentralenobjekte erstellen. Diese werden als Objekt im Active Directory gespeichert und stehen somit jedem Unified Messaging-Server in der Gesamtstruktur zur Verfügung. Dabei handelt es sich um eine Sammlung von Ansagen, die Sie beliebig erweitern können. Ein interner oder externer Anrufer bekommt diese Ansagen zu hören, sobald er die zentrale Rufnummer des Unified Messaging-Servers anwählt. Sie können die automatische Telefonzentrale auch so konfigurieren, dass der Benutzer über die Eingabe des Nummernblocks auf
107
Kapitel 3 Serverrollen
dem Telefon durch das Menü geführt wird. Ebenso ist es auch möglich, lediglich eine einfache Ansage abspielen zu lassen, die den Anrufer über die Geschäftsoder Urlaubszeiten Informiert. Sammelanschluss Bei dem Begriff „Sammelanschluss“ muss man unterscheiden zwischen der Bedeutung eines Sammelanschlusses für die TK-Anlage und der Bedeutung für den Unified Messaging-Server bei Exchange Server 2007. Auf einer TK-Anlage werden Sammelanschlüsse definiert, um die Erreichbarkeit einer Gruppe von Nebenstellen zu erhöhen. Dabei werden mehrere Rufnummern zu einer Gruppe zusammengefasst und über eine Pilotnummer identifiziert. Als Beispiel bestehe die Abteilung „Marketing“ aus fünf Personen, die jeweils eine Nebenstelle besitzen. Diese Nebenstellen mögen 101, 102, 103, 104 und 105 lauten. Dann können diese Rufnummern auf einer TK-Anlage zusammengefasst und unter einer nicht verwendeten Rufnummer, die als Pilotnummer dient, zur Verfügung gestellt werden. Dies bedeutet in unserem Beispiel, dass der Sammelanschluss über die nicht verwendete Rufnummer 100, welche die Pilotnummer darstellt, die anderen fünf Rufnummern vereint. Somit wären alle anderen fünf Rufnummern 101, 102, 103, 104 und 105 unter dieser Pilotnummer zu erreichen. Die Verteilung eingehender Anrufe auf den Sammelanschluss kann auf unterschiedliche Weise erfolgen: 왘
Round Robin
왘
Beginnend mit dem Anschluss, der am wenigsten ausgelastet ist
왘
Beginnend mit der niedrigsten Rufnummer
Durch eine solche Zusammenfassung der Rufnummern zu einem Sammelanschluss erhöhen Sie die Erreichbarkeit der Teilnehmer innerhalb des Sammelanschlusses. Sammelanschlüsse bei einem Unified Messaging-Server dienen als logische Verbindung zwischen dem IP-Gateway-Objekt und dem Wählplan. Dabei wird auf dem Sammelanschluss die Pilotnummer des Sammelanschlusses aus der TKAnlage definiert, damit die Weitergabe der Anrufe vom IP-Gateway an den Wählplan erfolgen kann. Sammelanschlüsse sind mit einem IP-Gateway-Objekt und einem Wählplan verlinkt, um die Verbindung herzustellen. Bei der Erstellung eines IP-Gateway-Objekts wird automatisch ein Standard-Sammelanschluss mit erstellt. Sie können zusätzlich noch weitere Sammelanschlüsse für ein IP-Gateway-Objekt erstellen.
108
Serverrolle „Unified Messaging“
IP-Gateway-Objekte Das IP-Gateway-Objekt stellt das physikalische IP-Gateway im Active Directory als logisches Objekt dar, damit eine Verknüpfung des Wählplans und dem UMSammelanschluss erfolgen kann. Nur durch ein IP-Gateway-Objekt kann eine Übermittlung der eingehenden Anruf- und Fax-Verbindungen erfolgen. Dem IP-Gateway-Objekt sind immer ein oder mehrere Sammelanschlüsse zugeordnet. Außerdem wird ein IP-Gateway-Objekt einem oder mehreren Wählplänen zugeordnet. Erst durch diese Verbindungen ist der Unified Messaging-Server in der Lage, eine durchgehende Verbindung zwischen einer TK-Anlage und einem Exchange Server 2007 herzustellen. Postfachrichtlinie Unified Messaging-Postfachrichtlinien sind eine Sammlung von Einstellungen und Sicherheitsvorgaben, die auf einen per Unified Messaging aktivierten Benutzer angewendet werden müssen. So können Sie in einer Unified Messaging-Postfachrichtlinie zum Beispiel festlegen, wie die PIN-Richtlinie eines Benutzers definiert sein soll, oder welchen Wählbeschränkungen der Benutzer unterliegt. Dabei wird beispielsweise festgelegt, ob ein Benutzer internationale Anrufe tätigen darf oder nicht. Eine Unified Messaging-Postfachrichtlinie wird bei jedem Erstellen eines Wählplans mit erstellt. Sie können weitere Unified Messaging-Postfachrichtlinien erstellen und diese unterschiedlichen Benutzergruppen zuweisen. Wichtig ist hierbei, dass jedem UM-aktivierten Benutzer eine Unified Messaging-Postfachrichtlinie zugewiesen wird, damit der Benutzer mit den Funktionen des Unified MessagingServers arbeiten kann. Sie können ebenso auch nur eine Unified Messaging-Postfachrichtlinie pro Benutzer zuweisen. Wählplan Unter einem Wählplan versteht man in Exchange Server 2007 mit der Serverrolle Unified Messaging ein Active Directory-Objekt, welches eine logische Verbindung zwischen der Durchwahlnummer auf der TK-Anlage und dem Exchange Server ermöglicht. Dabei werden auf der TK-Anlage eine oder mehrere Durchwahlnummern definiert, unter denen der Exchange Server zu erreichen ist. Im Wählplan werden diese Durchwahlnummern angegeben, und somit weiß der Exchange Server, dass er auf Anrufe unter diesen Nummern antworten muss. Es ist zwingend notwendig, einen oder mehrere Wählpläne auf einem Unified Messaging-Server zu konfigurieren, damit die Unified Messaging-Funktion genutzt werden kann. Weiter werden in einem Wählplan die Durchwahlnummern der Teilnehmer hinterlegt. So können Benutzer mit gleicher Durchwahl auf unterschiedlichen TK-Anlagen getrennt werden und weiterhin ihre Durchwahl verwenden. Der oder die Wählpläne werden dann mit einem IP-Gateway-Objekt verknüpft, damit die Ver-
109
Kapitel 3 Serverrollen
bindung zur TK-Anlage auch physikalisch durchgeführt werden kann. Bei der Erstellung eines Wählplans wird immer auch eine Standard-Unified MessagingPostfachrichtlinie erstellt. Sie können auch weitere Unified Messaging-Postfachrichtlinien einrichten und mit diesen mehrere Wählpläne verknüpfen. Um die Abhängigkeiten der einzelnen Objekte besser verstehen zu können, beschreiben wir nun an einem Beispiel eines eingehenden Anrufes die Schritte und Funktionen der Objekte Schritt für Schritt. Für dieses Beispiel gehen wir von einer auf der TK-Anlage definierten Durchwahlnummer aus, die 100 lautet. Diese Nummer wurde auf der TK-Anlage zur Weiterleitung an ein IP-Gateway konfiguriert. Durch den vorher definierten Wählplan weiß der Unified Messaging-Server, dass er eingehende Anrufe auf der Durchwahl 100 entgegenzunehmen hat. Das IP-Gateway-Objekt, das mit dem Wählplan verknüpft wurde, übermittelt daraufhin den Anruf an den Server.
Abbildung 3.6: Abhängigkeiten der Unified Messaging-Objekte
Schritt 1: Ein eingehender Anruf auf der Durchwahl 100 – unabhängig ob von extern oder intern – geht auf der TK-Anlage ein. Schritt 2: Der Anruf wird von der TK-Anlage an das IP-Gateway weitergeleitet. Schritt 3: Das IP-Gateway-Objekt weiß über den Unified Messaging-Sammelanschluss, mit welchem Wählplan es verknüpft ist und wohin der Anruf weitergegeben werden muss.
110
Serverrolle „Unified Messaging“
Schritt 4: Der Wählplan nimmt das Gespräch entgegen und bietet dem Anrufer die im Wählplan definierten Menüoptionen an. Diese Optionen können sein: 왘
Eine Verbindung mit einem internen Teilnehmer herzustellen. Dafür wurde im Wählplan die Nebenstelle des internen Teilnehmers hinterlegt, und der Teilnehmer wurde Unified Messaging aktiviert.
왘
Das Active Directory nach Unified Messaging-aktivierten Teilnehmern zu durchsuchen.
왘
Eine Sprachnachricht für einen Unified Messaging-aktivierten Benutzer zu hinterlassen.
왘
Informationsansagen abzuhören, die über den Wählplan definiert wurden.
왘
Sich mit einem Teilnehmer in der Telefonzentralle verbinden zu lassen, um Hilfe zu bekommen.
왘
Eine Verbindung mit dem eigenen Postfach herzustellen.
Schritt 5: Der Anruf wird gemäß den vom Anrufer bestimmten Optionen weitergegeben. Schritt 6: Der Anrufer ist ein Unified Messaging-aktivierter Teilnehmer und will Zugriff auf sein Postfach erlangen. Dabei folgt er Schritt 1 bis Schritt 4 und wählt dabei die Option „Verbindung mit dem eigenen Postfach herstellen“. Schritt 7: Der Teilnehmer gibt die Nummer seiner Nebenstelle ein und authentifiziert sich mit seiner PIN. Über die in der Unified Messaging-Postfachrichtlinie definierten Einstellungen ergeben sich zum Beispiel die Komplexität der PIN sowie weitere Optionen, die der Teilnehmer durchführen kann. Dabei können folgende Wählplan-Topologien bereitgestellt werden: 왘
Ein Wählplan, der eine Untermenge von Rufnummern für Nebenstellen oder alle Rufnummern für Nebenstellen einer TK-Anlage konfiguriert hat
왘
Ein Wählplan, der eine Untermenge von Rufnummern für Nebenstellen oder alle Rufnummern für Nebenstellen mehrerer TK-Anlage konfiguriert hat
왘
Mehrere Wählpläne, die eine Untermenge von Rufnummern für Nebenstellen oder alle Rufnummern für Nebenstellen einer TK-Anlage konfiguriert haben
왘
Mehrere Wählpläne, die eine Untermenge von Rufnummern für Nebenstellen oder alle Rufnummern für Nebenstellen mehrerer TK-Anlage konfiguriert haben
111
Kapitel 3 Serverrollen
Jeder Wählplan muss mit mindestens einem oder kann mit mehreren IP-Gateway-Objekten verknüpft sein. Weiterhin muss jeder Wählplan mindestens eine Unified Messaging-Postfachrichtlinie enthalten. Sie können jedoch mehrere unterschiedliche Unified Messaging-Postfachrichtlinien einem Wählplan zuordnen. Nach dem Erstellen der oben genannten Active Directory-Objekte müssen Sie einem Wählplan noch einen Unified Messaging-Server zuordnen. Ohne diese Zuordnung wäre der Wählplan nicht aktiv. Eine automatische Ausfallsicherheit erhalten Sie, wenn Sie einem oder mehreren Wählplänen mindestens zwei IP-Gateway-Objekte zuweisen. Dann wird über die TK-Anlage der Anruf oder das eingehende Fax bei Nichterreichbarkeit eines IP-Gateways automatisch an das andere IP-Gateway umgeleitet. Genauso verhält es sich auch mit zwei oder mehreren Unified Messaging-Servern in einer Organisation. Ordnen Sie Wählpläne am besten mehreren Unified MessagingServern zu, um eine Ausfallsicherheit zu erreichen.
Abbildung 3.7: Serverrolle „Unified Messaging“
Abbildung 3.7 zeigt die mögliche physikalische Position eines Unified MessagingServers in einer Exchange-Organisation.
112
Serverrolle „Edge-Transport“
3.6
Serverrolle „Edge-Transport“
Bei dem Edge-Transport-Server handelt es sich um die einzige Serverrolle, die nur getrennt von allen anderen Serverrollen installiert werden kann. Die Serverrolle wurde entwickelt, um einen besseren Viren- und Spamschutz für die ExchangeOrganisation zu bieten. Die Serverrolle Edge-Transport tätigt keine Abfragen gegen das Active Directory oder einen globalen Katalogserver, um die Angriffsfläche gegenüber dem Internet zu verringern. Sie ist daher für die Installation in einem Perimeter-Netzwerk zwischen der internen und der externen Firewall vorgesehen. Eine gewissenhafte Planung der Platzierung und Konfiguration der Serverrolle Edge-Transport ist dennoch erforderlich, um ihre Funktionen in vollem Umfang nutzen zu können. In diesem Abschnitt stellen wir Ihnen die Funktionen und Konfigurationsmöglichkeiten des Edge-Transport-Servers vor. Weiter ist der Edge-Transport-Server diejenige Komponente, die eingehende E-Mails aus dem Internet entgegennimmt, mit den Anti-Spam- und Anti-Viren-Agenten und Transport-Agenten analysiert und an den Hub-Transport-Server weitergibt. Ebenfalls leitet der Edge-Transport-Server alle E-Mails aus der Exchange-Organisation in das Internet weiter und kann als SMTP-Relay-Server oder Smart-Host konfiguriert werden. Sie haben die Möglichkeit, auf dem Edge-Transport-Server die Weitergabe der E-Mails über DNS-Anfragen zur Auflösung der MX-Ressourcenanfragen (MX = Mail Exchange) für externe SMTP-Domänen oder zur Verwendung eines Smart-Hosts zur Weitergabe der externen E-Mail Nachrichten zu konfigurieren. Falls mehrere Edge-Transport-Server in einem Perimeter-Netzwerk installiert werden, kann über die DNS-Round-Robin-Funktion eine Ausfallsicherheit einzelner Edge-Transport-Server erreicht werden. Dabei stellt die DNS-Round-Robin-Funktion eine einfache Funktion dar, die von DNS-Servern verwendet wird, um Lasten von Netzwerkressourcen freizugeben und zu verteilen. Weitere Informationen zur Konfiguration der DNS-Round-Robin-Funktion finden Sie in Kapitel 7, „Absicherung einer Exchange Server 2007-Organisation“. Damit der Edge-Transport-Server Empfänger- und Konfigurationsinformationen aus dem Active Directory verwenden kann, verwendet die Serverrolle EdgeTransport den ADAM-Verzeichnisdienst (ADAM = Active Directory Application Mode). Dabei werden nur die notwendigen Empfänger- und Konfigurationsinformationen über eine unidirektionale Verbindung aus dem Active Directory in das ADAM-Verzeichnis eines Edge-Transport-Servers repliziert. Die replizierten Informationen beschränken sich auf die zur Durchführung der Anti-Spam- und Anti-Virus-Funktionen sowie für Transportregeln notwendigen Informationen.
113
Kapitel 3 Serverrollen
Mit dem EdgeSync-Dienst werden die oben genannten Informationen sowie die Informationen der Connector-Konfiguration des Hub-Transport-Servers auf einen Edge-Transport-Server repliziert. Die Connector-Konfigurationen des Hub-Transport-Servers werden vom Edge-Transport-Server für einen funktionierenden Endezu-Ende-Nachrichtenfluss benötigt. Dabei werden vom Edge-Transport-Server die notwendigen Sende- und Empfangs-Connectoren erstellt. Der Microsoft-ExchangeEdgeSync-Dienst gewährleistet dabei durch eine geplante Aktualisierung, dass die Informationen im ADAM-Verzeichnis aktuell bleiben. Folgende Aufgaben können von einem Edge-Transport-Server wahrgenommen werden: 왘
Anti-Spam- und Anti-Viren-Schutz
왘
Umschreiben von Adressen
왘
Edge-Transport-Regeln
3.6.1
Anti-Spam- und Anti-Viren-Schutz
Da die Serverrolle Edge-Transport als zentrale Stelle für eingehende Nachrichten aus dem Internet konzipiert wurde, stellt sie eine optimale Möglichkeit dar, das Aufkommen von Spam, Viren und anderen nicht erwünschten kommerziellen Nachrichten zu reduzieren, bevor diese die Exchange-Organisation erreichen. Dabei verwendet der Edge-Transport-Server einen siebenstufigen Anti-Spamund Anti-Viren-Mechanismus, der folgende Filtermöglichkeiten beeinhaltet: 1. Verbindungsfilterung 2. Absenderfilterung 3. Empfängerfilterung 4. Sender-ID-Filterung (Sender-ID = Absenderidentität) 5. Inhaltsfilterung 6. Anlagenfilterung 7. Virenüberprüfung Verbindungsfilterung Bei der Verbindungsfilterung handelt es sich um die erste Stufe der Anti-Spamund Anti-Virus-Filterungsmethode in Exchange Server 2007. Die Verbindungsfilterung erlaubt es Ihnen, auf der Serverrolle Edge-Transport IP-Sperrlisten, IP-Zulassungslisten, Anbieter für IP-Sperrlisten und Anbieter für IP-Zulassungslisten zu führen. Dadurch haben Sie die Möglichkeit, bereits bei der SMTP-Verbindung aus
114
Serverrolle „Edge-Transport“
dem Internet zum Edge-Transport-Server eine Überprüfung der IP-Adresse der SMTP-Verbindung gegen die IP-Zulassungslisten bzw. IP-Sperrlisten vorzunehmen und die Verbindung gegebenenfalls zu beenden. Dies geschieht, bevor die Nachricht an den Edge-Transport-Server übermittelt wird. Absenderzuverlässigkeit/Absenderfilterung Bei der Absenderfilterung handelt es sich um die zweite Stufe der Anti-Spamund Anti-Virus-Filterungsmethode. Dabei besteht die Absenderfilterung aus zwei Komponenten, um den Schutz vor ungewollten Nachrichten zu erhöhen. Absenderzuverlässigkeit Die Absenderzuverlässigkeitsüberprüfung ist ein Agent, der auf dem Edge-Transport-Server installiert ist und E-Mail-Nachrichten bei deren Ankunft analysiert. Dabei wird der SMTP-Befehl HELO oder EHLO ausgewertet. Dieser SMTP-Befehl beinhaltet die IP-Adresse des absendenden SMTP-Servers sowie die AbsenderSMTP-Domäne. Es wird überprüft, ob die SMTP-Domäne des Absenders eine der SMTP-Domänen ist, für die der Edge-Transport-Server zuständig ist. Sollte dies der Fall sein, erhöht dies den Absenderzuverlässigkeitsgrad SRL (Sender Reputation Level). Weiter führt der Absenderzuverlässigkeits-Agent eine Rückwärts-(Reverse-) DNS-Lookup-Anfrage mit der IP-Adresse aus dem SMTP-Befehl EHLO oder HELO durch und vergleicht den zurückgegebenen Domänennamen mit dem Domänennamen aus dem SMTP-Befehl EHLO oder HELO. Sollten diese Domänennamen nicht übereinstimmen, erhöht der Absenderzuverlässigkeits-Agent den SRL-Wert des Absenders. Sollte keine Rückwärts-DNS-Lookup-Anfrage möglich sein (es wurde beispielsweise kein Reverse-DNS-Eintrag für die entsprechende Domäne registriert), wird ein SRL-Wert von 0 für diesen Absender festgelegt. Beachten Sie, dass diese Informationen aus dem SMTP-Befehl EHLO oder HELO gefälscht werden können (Spoofing). Daher kann die Absenderzuverlässigkeitsfilterung alleine keinen ausreichenden Schutz gegen Spam bieten. Die SCL-Werte der Inhaltsfilterung sind auf einem Edge-Transport-Server für jeden Absender vorhanden und fließen für die Bewertung des SRL-Wertes mit ein. Sollte also ein Absender durchschnittlich eine hohe SCL-Bewertung bekommen haben (was auf eine höhere Spam-Wahrscheinlichkeit hinweist), wird die SRL-Bewertung erhöht. Im umgekehrten Fall wird die SRL-Bewertung heruntergestuft – wenn also der Absender durchschnittlich eine niedrige SCL-Bewertung erhalten haben sollte.
115
Kapitel 3 Serverrollen
Als letzte Maßnahme prüft der Absenderzuverlässigkeits-Agent, ob ein Open Proxy (offener Proxy) vom Absender verwendet wurde. Ein offener Proxy ist ein Server, der Verbindungen von anderen Servern (zum Beispiel von SMTP-Servern) akzeptiert und die Anfragen dieser Server weiterleitet. Somit ist es möglich, die Absenderadresse hinter solchen offenen Proxys zu verbergen. Beim offenen Proxy-Test sendet der Edge-Transport-Server eine entsprechende SMTPAnforderung an den SMTP-Server des Absenders. Sollte der Edge-Transport-Server eine entsprechende Antwort auf seine SMTP-Anforderung erhalten, erkennt er, dass es sich um einen offenen Proxy handelt und aktualisiert daraufhin die Statistik des offenen Proxy-Servers des Absenders. Für jeden Absender führt der Absenderzuverlässigkeits-Agent eine Statistik und berechnet nach mindestens 20 Nachrichten pro Absender an Hand der oben genannten Bewertungen einen SRL-Wert. Sie können auf dem Edge-Transport-Server festlegen, wie mit einem Absender verfahren werden soll, der einen bestimmten SRL-Wert erreicht hat. Weitere Informationen zur Konfiguration der Absenderfilterung und der Absenderzuverlässigkeitsüberprüfung finden Sie in Kapitel 4, „Anti-Spam und Anti-Virus“. Absenderfilterung Die Absenderfilterung besteht zum einem aus einer fest definierten SMTP-Adressliste von Absendern, denen es nicht gestattet ist, E-Mail-Nachrichten an Ihre Exchange-Organisation zu senden. Diese werden in der Konfiguration des Absenderfilter-Agenten angegeben. Bei einer SMTP-Anfrage wird der SMTP-Befehl EHLO oder HELO auf die angegebenen SMTP-Absenderadressen hin überprüft. Im Falle einer Übereinstimmung wird die SMTP-Verbindung beendet. Zum zweiten fließen die SRL-Bewertungen der Absenderzuverlässigkeitsüberprüfungen mit ein, um einen Absender ab einem gewissen Grenzwert für einen definierten Zeitraum in die SMTP-Adressenliste der Absenderfilterung hinzuzufügen. Weitere Informationen zur Konfiguration der Absenderfilterung und der Absenderzuverlässigkeitsüberprüfung finden Sie in Kapitel 4, „Anti-Spam und Anti-Virus“. Empfängerfilterung Bei der Empfängerfilterung handelt es sich um die dritte Stufe der Anti-Spamund Anti-Virus-Filterungsmethode. Durch die Konfiguration der Empfängerfilterung auf einem Edge-Transport-Server haben Sie die Möglichkeit, Nachrichten nur für Benutzer entgegenzunehmen, die in Ihrer Exchange-Organisation im globalen Adressbuch aufgeführt werden. Weiter kann eine Empfängerliste gepflegt werden, die Benutzer aus Ihrer Exchange-Organisation enthält, denen
116
Serverrolle „Edge-Transport“
die Übermittlung von Nachrichten aus dem Internet untersagt sein soll. Damit die Serverrolle Edge-Transport die benötigten Informationen für die Empfängerfilterung aus dem Active Directory bekommen kann, wird der ADAM-Verzeichnisdienst auf dem Edge-Transport-Server abgefragt. Durch eine regelmäßige Aktualisierung des ADAM-Verzeichnisses durch den EdgeSync-Vorgang werden dem Edge-Transport-Server die hierfür notwendigen Informationen bereitgestellt. Ein Konfigurationsmöglichkeit des Exchange Servers 2007 besteht darin, die sogenannte Teergruben-Funktion (engl.: Tarpitting) zu nutzen. Bei einer regulären SMTP-Anfrage eines E-Mail-Servers antwortet der Exchange Server mit der SMTP-Antwort „250 2.1.5 Recipient OK“ (gültiger Empfänger), sofern der Empfänger in der Exchange-Organisation existiert. Sollte der Empfänger nicht in der Exchange-Organisation vorhanden sein, wird der Exchange Server die SMTPAnfrage mit der SMTP-Antwort „550 5.1.1 User unknown“ (unbekannter Benutzer) beantworten. Bei einer konfigurierten Teergruben-Funktion wird ein Zeitintervall festgelegt, währenddessen der Exchange Server 2007 wartet, bis er die SMTP-Antwort „550 5.1.1 User unknown“ (unbekannter Benutzer) an den anfragenden SMTP-Server zurückgibt. Somit wird es für Spammer unattraktiv, eine massenhafte Spam-Attacke gegen Ihre SMTP-Domänen-Adresse zu fahren, da sich der Zeitaufwand und somit die Kosten um ein Vielfaches erhöhen. Das Zeitintervall wird über die Exchange-Verwaltungs-Shell auf dem EmpfangsConnector festgelegt. Der entsprechende Wert lautet „TarpitInterval“, er beträgt standardmäßig fünf Sekunden. Weitere Informationen zur Empfängerfilterung und zum Konfigurieren der Teergruben-Funktion finden Sie in Kapitel 4, „AntiSpam und Anti-Virus“. Sender-ID-Filterung Bei der Sender-ID-Filterung handelt es sich um die vierte Stufe der Anti-Spamund Anti-Virus-Filterungsmethode. Die Sender-ID-Filterung hat den Zweck, die Fälschung der Absenderadresse (Spoofing) zu erschweren und somit das SpamAufkommen zu verringern. Beim Spoofing wird in der Kopfzeile einer E-MailNachricht das Feld „Von“ mit einer Adresse versehen, die nicht der wirklichen Von-Adresse des Absenders entspricht. Das Zustellen solcher Nachrichten war in der Vergangenheit recht einfach, da eine Überprüfung der Von-Adresse nicht stattgefunden hat. Über die Aktivierung der Sender-ID-Filterung prüft der EdgeTransport-Server anhand einer DNS-Abfrage gegen einen DNS-Servers des Absenders, ob die IP-Adresse des absendenden SMTP-Servers für die Absender-SMTP-Domäne autorisiert ist. Die IP-Adresse des autorisierten absendenden SMTP-Servers ist Bestandteil der Header-Informationen einer E-Mail und wird als PRA (Purported Responsible Address) bezeichnet. Damit eine solche
117
Kapitel 3 Serverrollen
Abfrage erfolgreich durchgeführt werden kann, muss der zuständige Administrator der Absender-SMTP-Domäne einen sogenannten SPF-Datensatz (SPF = Sender Policy Framework) auf seinem bzw. auf dem DNS-Server des entsprechenden Internet Service Providers veröffentlichen. In diesem SPF-Datensatz ist hinterlegt, für welche SMTP-Domänen ein entsprechender E-Mail-Server autorisiert ist. Anhand dieser SPF-Datensatzabfrage bewertet der Sender-ID-Agent auf dem Edge-Transport-Server die Nachricht und gibt den Wert als Bewertungskriterium zum SCL-Wert einer Nachricht hinzu. Bei der Abfrage liefert der Sender-ID-Agent folgende mögliche Antworten: Pass – Die IP-Adresse für diesen PRA ist Bestandteil des SPF-Datensatzes. Neutral – Die Absender-ID ist ausdrücklich nicht aussagekräftig. Soft fail – Die IP-Adresse für diesen PRA ist möglicherweise nicht im SPFDatensatz enthalten. Fail – Die IP-Adresse für diesen PRA ist nicht im SPF-Datensatz enthalten. None – Es konnte kein SPF-Datensatz gefunden werden. TempError – Ein vorübergehender Fehler liegt vor. Es wurde beispielsweise kein DNS-Server gefunden. PermError – Es liegt ein dauerhafter Fehler vor, beispielsweise ein fehlerhafter SPF-Datensatz. Sie können über die Exchange-Verwaltungskonsole oder die Exchange-Verwaltungs-Shell festlegen, welche Aktionen der Edge-Transport-Server durchführt, falls die Sender-ID-Filterung eine gefälschte Absenderadresse feststellt. Folgende Aktionen stehen Ihnen dabei zur Verfügung: Nachricht ablehnen – Dabei wird die Nachricht zurückgewiesen und mit einer SMTP-Fehlerantwort versehen. Diese SMTP-Fehlerantwort beinhaltet einen 5xxFehlercode und die Antwort des Sender-ID-Agenten. Nachricht löschen – Dabei wird die Nachricht gelöscht, ohne dass der Absender darüber informiert wird. Exchange Server 2007 sendet daher den falschen SMTPBefehl „Nachricht OK“. Stempeln des Status – Dabei wird der Nachricht das Ergebnis der Prüfung in den Metadaten mitgegeben und für eine SCL-Bewertung berücksichtigt. Dies ist die Standardkonfiguration auf einem Edge-Transport-Server.
118
Serverrolle „Edge-Transport“
Abbildung 3.8: Sender-ID-Filterung auf einem Egde-Transport-Server (Standardeinstellung)
Wir empfehlen Ihnen – unabhängig vom Einsatz der Sender-ID-Filterung – einen eigenen SPF-Datensatz Ihrer autorisierten SMTP-Domänen zu erstellen und auf Ihrem DNS-Server bzw. auf dem DNS-Server Ihres Internet Service Providers zu veröffentlichen. So verringern Sie das Spoofing von SMTP-Adressen und erschweren Spammern die Arbeit. Weitere Informationen zur Sender-IDFilterung und zum Konfigurieren eines SPF-Datensatzes finden Sie in Kapitel 4, „Anti-Spam und Anti-Virus“. Inhaltsfilterung Bei der Inhaltsfilterung handelt es sich um die fünfte Stufe der Anti-Spam- und Anti-Virus-Filterungsmethode. Die Inhaltsfilterung ist bereits aus dem Exchange Server 2003 SP2 oder der vorherigen Version 1.0 des Intelligent Messaging Filters (IMF) bekannt und baut auf der von Microsoft patentierten SmartScreen-Technologie für maschinelles Lernen auf. Dabei werden eingehende Nachrichten nach ihrem Inhalt bewertet und die Wahrscheinlichkeit bestimmt, dass es sich bei einer Nachricht um eine nichtgewollte E-Mail handelt. Diese Wahrscheinlichkeit wird mit einer Zahl zwischen 0 und 9 als Spam Confidence Level (SCL) festgelegt. Diese Zahl wird in die Header-Informationen der E-Mail geschrieben. Es lassen sich dadurch weitere Aktionen auf diese Nachricht anwenden. Je höher der SCLWert in einer Nachricht ist, desto wahrscheinlicher ist es, dass es sich bei dieser Nachricht um Spam handelt. Eine Erweiterung des Exchange Servers 2007 gegenüber dem Exchange Server 2003 mit SP2 ist die Möglichkeit, drei anstelle von nur zwei Einstellungen zu treffen, die eine Aktion auf eine Nachricht durchführt, die einen bestimmten SCL-Wert
119
Kapitel 3 Serverrollen
erreicht hat. In Abbildung 3.9 sehen Sie die SCL-Einstellungsmöglichkeiten für einen Exchange Server 2007 und in Abbildung 3.10 die SCL-Einstellungsmöglichkeiten für einen Exchange Server 2003 mit SP2.
Abbildung 3.9: SCL-Einstellungen im Exchange Server 2007
Abbildung 3.10: SCL-Einstellungen im Exchange Server 2003 mit SP2
120
Serverrolle „Edge-Transport“
Weiter können Sie Zulassungs- und Blockierungs-Ausdrücke definieren, die den SCL-Wert beeinflussen. So werden benutzerdefinierte Ausdrücke in der Zulassungsliste durch den Inhaltsfilter-Agenten dafür sorgen, dass einer Nachricht, die diesen Ausdruck beinhaltet, ein SCL-Wert von 0 zugewiesen wird. Umgekehrt wird einer Nachricht, die einen benutzerdefinierten Ausdruck aus der Blockliste beinhaltet, der SCL-Wert 9 zugewiesen. Der Exchange Server 2007 erlaubt es Ihnen, eine benutzerdefinierte Zurückweisungsantwort zu erstellen, die vom Edge-Transport-Server versendet wird, falls die Zurückweisung im Inhaltsfilter definiert wurde. Wird keine benutzerdefinierte Zurückweisungsantwort definiert, verwendet der Exchange Server 2007 eine Standardantwort. Weitere Informationen zur Inhaltsfilterung und zum Definieren einer benutzerdefinierten Zurückweisungsantwort finden Sie in Kapitel 4, „AntiSpam und Anti-Virus“. Anlagenfilterung Die Anlagenfilterung ist die sechste Stufe der Anti-Spam- und Anti-Virus-Filterungsmethode. Durch die Anlagenfilterung haben Sie die Möglichkeit, E-MailAnlagen anhand der Dateiendung oder des MIME-Inhaltstyps am Edge-TransportServer zu filtern. Es stehen Ihnen auch bei dieser Art der Filterung unterschiedliche Aktionen zur Verfügung, wie auf eine Anlage in einer E-Mail reagiert werden soll. Auf dem Edge-Transport-Server wird eine Liste von MIME-Inhaltstypen und Dateiendungen gepflegt, die nur über die Exchange-Management-Shell verwaltet werden kann. Sie können diese Liste um weitere Anlagenamen wie zum Beispiel Trojaner.exe oder erweiterte Anlage-Dateiendungen wie *.exe erweitern. Mit den MIME-Inhaltstypen wird bei einer Anlage angezeigt, um was für eine Art Datei es sich handelt. Zum Beispiel wird mit dem MIME-Inhaltstyp image/ jpeg angegeben, dass es sich um eine jpeg-Bilddatei handelt. MIME-Inhaltstypen werden immer im Format type/subtype angegeben. Dadurch ist es möglich, auch solche Anlagen zu filtern, die durch eine Umbenennung der Dateiendung nicht mehr die ursprüngliche Dateiendung aufweisen. So weist zum Beispiel die Datei Trojaner.exe nach der Umbenennung in Trojaner.txt immer noch den MIME-Inhaltstyp application/exe auf. In Abbildung 3.11 finden Sie die Liste der Anlagetypen, die auf einem EdgeTransport-Server in der Standardeinstellung vorhanden sind.
121
Kapitel 3 Serverrollen
Abbildung 3.11: Anlagenfilterungstypen im Edge-Transport-Server
In der Standardeinstellung auf dem Edge-Transport-Server wird bei der Anlagenfilterung die Aktion „Anlage entfernen und Nachricht passieren lassen“ ausgeführt. Dabei wird die entfernte Anlage durch eine Textdatei ersetzt, in welcher der Grund für die Entfernung der Anlage aufgeführt wird. Diese Aktion wird auf alle Anlagen angewandt, die in der obigen Tabelle zu sehen sind.
122
Serverrolle „Edge-Transport“
Eine weitere konfigurierbare Aktion ist das „Blocken der gesamten Nachricht inkl. der Erstellung eines NDR“. NDR steht für Non Delivery Report und meint einen Bericht, der den Absender darüber informiert, warum seine Nachricht nicht zugestellt werden konnte. Der Inhalt des NDR kann von Ihnen über die Exchange Management Shell selbst definiert werden. Die dritte konfigurierbare Aktion ist das „Löschen der Nachricht inkl. Anlage“, ohne dass eine Benachrichtigung an den Absender oder den Empfänger erzeugt wird. Beachten Sie bitte, dass gelöschte oder geblockte Nachrichten bzw. Anhänge nicht auf dem Exchange Server gespeichert und somit auch nicht überprüft werden können. Die von Ihnen vorgenommen Einstellungen der Filterungsaktionen und der Anlagenfilterungsliste gelten pro Edge-Transport-Server und müssen daher auf jedem Edge-Transport-Server durchgeführt werden. Auch gelten diese Einstellungen für alle Benutzer in der Exchange-Organisation und können nicht benutzerbezogen angepasst werden. Sollten Sie dennoch eine benutzerbezogene Anlagenfilterung vornehmen wollen, so empfehlen wir Ihnen, dies über die Anlageneinschränkung in Outlook 2007 zu tun. Die Konfiguration kann über Einstellungen in den Gruppenrichtlinien für Benutzergruppen oder einzelne Benutzer umgesetzt werden. Informationen in englischer Sprache hierzu finden Sie auf der Internetseite: http://technet2.microsoft.com/Office/en-us/library/bc667b4c-1645-42be-8dc0af56dc11ef5b1033.mspx?mfr=true Der Anlagenfilterungs-Agent steht im Gegensatz zu einigen anderen Anti-Spam- und Anti-Virus-Agenten nicht auf der Serverrolle HubTransport zur Verfügung. Das Einrichten und Konfigurieren dieses Agenten auf einem Hub-Transport-Server wird von Microsoft auch nicht unterstützt. Beachten Sie weiter, dass die Anlagenfilterung auf digital signierte oder verschlüsselte E-Mail-Nachrichten nicht angewendet werden sollte, da das Entfernen der Anlage die digitale Signatur der Nachricht verändern würde. Damit wäre die Überprüfung der digitalen Signatur nicht mehr möglich. Weitere Informationen zur Konfiguration der Anti-Spam- und Anti-Virus-Filterungs-Agenten finden Sie in Kapitel 4, „Anti-Spam und Anti-Virus“. Ebenso finden Sie dort Informationen zur Einrichtung der Anti-Spam- und Anti-Virus-Filterungs-Agenten auf einem Hub-Transport-Server.
123
Kapitel 3 Serverrollen
Virenüberprüfung Für die erweiterte Virenüberprüfung bietet der Exchange Server 2007 keine integrierte Anti-Virus-Komponente an. Microsoft stellt für die Erweiterung der Sicherheit gegen Spam- und Viren-Befall ein Produkt zur Verfügung, das unter der Bezeichnung „Microsoft Forefront Security für Exchange Server“ bekannt ist. Dieses Produkt erweitert die Anti-Spam- und Anti-Virus-Funktionen des Microsoft Exchange Servers 2007 um eine Vielzahl von Einstellungen und Schutzkonfigurationen. Dazu zählen unter anderem: 왘
Erweiterungen für die Anlagenfilterung
왘
Mehrere Anti-Viren-Engins in einem Produkt
왘
E-Mail-Benachrichtigungen bei Viren-Befall
왘
Echtzeitüberprüfungen
왘
Report- und Analyseauswertungen
왘
Stündliche Aktualisierung der Anti-Spamund Anti-Virus-Erkennungsdateien
Weitere Informationen zur Installation, Konfiguration und Lizensierung der Microsoft Forefront Security für Exchange Server-Produkte finden Sie in Kapitel 4, „Anti-Virus und Anti-Spam“. Unabhängig vom oben genannten Produkt besteht auch die Möglichkeit, ein AntiVirus-Programm eines Drittanbieters zu verwenden. Derzeitige Anbieter von AntiSpam- und Anti-Virus-Programmen für den Exchange Server 2007 sind unter anderem TrendMicro, GFI und F-Secure.
3.6.2
Umschreiben von Adressen
Beim Umschreiben von Adressen werden Informationen in der SMTP-Kopfzeile nach einer von Ihnen definierten Regel verändert, um E-Mail-Nachrichten aus oder in Ihre Exchange-Organisation anders darzustellen, als diese ursprünglich waren. Dies kann beispielsweise notwendig werden, wenn Sie mit mehreren Support-SMTP-Adressen arbeiten, aber nur mit einer SMTP-Adresse nach außen auftreten möchten. Ein weiterer Grund für das erneute Schreiben von Adressen kann die Übernahme einer E-Mail-Organisation mit einem einheitlichen E-Mail-Auftritt nach außen sein. Das Umschreiben von Adressen wird nur auf einem Edge-Transport-Server durch einen Transport-Agenten durchgeführt. Dabei führt der Transport-Agent bei der Ankunft einer Nachricht eine Überprüfung der Nachricht durch, die anhand einer
124
Serverrolle „Edge-Transport“
von Ihnen definierten Regel erfolgt. Danach verändert der Transport-Agent die SMTP-Kopfzeile in eine Adresse, die Sie zuvor in einer Regel definiert haben. In Tabelle 3.1 finden Sie die SMTP-Kopfzeilen, die der Transport-Agent auf dem Edge-Transport-Server für eingehende und ausgehende Nachrichten umschreiben kann.
SMTP-Kopfzeile
Ausgehende Nachricht
Eingehende Nachricht
Envelope From (MAIL FROM)
Erneut geschrieben
Nicht erneut geschrieben
Envelope To (RCPT TO)
Nicht erneut geschrieben
Erneut geschrieben
Body To
Erneut geschrieben
Nicht erneut geschrieben
Body cc
Erneut geschrieben
Nicht erneut geschrieben
Body From
Erneut geschrieben
Nicht erneut geschrieben
Body Sender
Erneut geschrieben
Nicht erneut geschrieben
Body Reply-To
Erneut geschrieben
Nicht erneut geschrieben
Body Return-Receipt-To
Erneut geschrieben
Nicht erneut geschrieben
Body DispositionNotification-To
Erneut geschrieben
Nicht erneut geschrieben
Body resent-From
Erneut geschrieben
Nicht erneut geschrieben
Body Resent-Sender
Erneut geschrieben
Nicht erneut geschrieben
Tabelle 3.1: SMTP-Kopfzeilen für das erneute Schreiben von Adressen
Es können nicht für alle SMTP-Kopfzeilen Informationen neu geschrieben werden, da dies sonst die SMTP-Funktionalität zerstören würde und eine SMTPZustellung nicht mehr möglich wäre. Folgende SMTP-Kopfzeilen können nicht neu geschrieben werden:
125
Kapitel 3 Serverrollen 왘
Return-Path
왘
Message-ID
왘
X-MS-TNEF-Correlator
왘
Content Type Boundary = string
왘
Kopfzeilen, die sich im MIME-Nachrichtentext befinden
Außerdem ist es nicht möglich, SMTP-Domänen in einer Transport-Regel für das Umschreiben der Adressen anzugeben, für die der Hub-Transport-Server nicht autorisiert ist. Auf die meisten digital signierten oder verschlüsselten E-Mail-Nachrichten sollte sich das Umschreiben der Adressen nicht auswirken, da dies die digitale Signatur verändern und somit ungültig machen würde. Verschlüsselte Nachrichten würden ebenfalls verändert und somit nicht mehr lesbar sein. Der Transport-Agent für das Umschreiben von Adressen steht nur auf der Serverrolle Edge-Transport zur Verfügung. Eine Einrichtung und Konfiguration auf einem Hub-Transport-Server wird von Microsoft nicht unterstützt. Die Konfiguration des Transport-Agenten zum Umschreiben von Adressen ist nur über die Exchange Management Shell möglich.
3.6.3
Edge-Transport-Regeln
Ähnlich wie bei den Transport-Regeln auf einem Hub-Transport-Server können Sie auf einem Edge-Transport-Server Regeln definieren, die eine weitere Verarbeitung der eingehenden und ausgehenden Nachrichten beeinflussen. Hierzu zählt unter anderem das Einfügen von sogenannten Disclaimer-Informationen unter jede ausgehende E-Mail-Nachricht. Hierfür verwendet der Edge-Transport-Server einen Transport-Agenten, der die Nachrichten anhand von Regeln, die Sie über die Exchange Management Console oder die Exchange Management Shell konfigurieren können, untersucht und daraufhin entsprechende Aktionen durchführt. Beachten Sie bitte dabei, dass Transport-Regeln auf einem Edge-Transport-Server immer nur für den Edge-Transport-Server gelten, auf dem diese konfiguriert wurden. Sollen mehrere Edge-Transport-Server eingesetzt werden, so müssen die Transport-Regeln auf allen Servern eingerichtet werden, sofern die Regeln auch auf allen Edge-Transport-Servern angewendet werden sollen. Diese Mehrfachkonfiguration liegt daran, dass die Konfigurationen der Transport-Regeln lokal auf einem Edge-Transport-Server gespeichert werden und nicht wie bei einem HubTransport-Server in der Konfigurationspartition des Active Directory gespeichert sind. Durch das Speichern der Transport-Regeln des Hub-Transport-Servers in der
126
Serverrolle „Edge-Transport“
Konfigurationspartition stehen die Konfigurationsinformationen organisationsweit für jeden Hub-Transport-Server zur Verfügung. Der Einsatz der Serverrolle Edge-Transport in einer Exchange Server 2007-Organisation ist optional und somit für den funktionierenden Betrieb einer ExchangeOrganisation nicht zwingend erforderlich. Wie Sie aber anhand der oben aufgeführten Punkte sehen können, erleichtert der Einsatz eines Edge-Transport-Servers nicht nur die Konfiguration der Ende-zu-Ende-E-Mail-Übertragung durch die automatische Konfiguration der Sende- und Empfangs-Connectoren, sondern liefert Ihnen auch eine Vielzahl von Schutzmechanismen gegen Spam- und VirusAngriffe. Unternehmen, die auf einen Edge-Transport-Server verzichten wollen, aber dennoch einige Vorteile der Serverrolle Edge-Transport in Anspruch nehmen möchten, können dies über die Installation und Konfiguration der Anti-Spam- und Anti-Virus-Agenten auf der Serverrolle Hub-Transport tun. Weiter stellt Microsoft einen Service zur Verfügung, der einige der oben genannten sowie zusätzliche Funktionen anbietet. Dieser Service wird unter dem Begriff „Exchange Hosted Services“ bereitgestellt und von einer Vielzahl von Drittdienstleistern angeboten. Abbildung 3.12 zeigt die mögliche physikalische Position eines Edge-TransportServers in einer Exchange-Organisation.
Abbildung 3.12: Serverrolle „Edge-Transport“
127
Kapitel 3 Serverrollen
Wie Sie in diesem Kapitel sehen konnten, bieten Ihnen die einzelnen Serverrollen des Exchange Servers 2007 eine Vielzahl von neuen Funktionen sowie auch einige schon bekannte Eigenschaften aus dem Exchange Server-Versionen 2003 und 2000 an. Durch die Aufteilung in die gezeigten fünf Serverrollen gewinnen Sie eine wesentlich höhere Flexibilität, um Ihre Exchange-Organisation im Hinblick auf Ihre Anforderungen und standortbedingten Voraussetzungen anzupassen. Dabei erreichen Sie durch eine Trennung der einzelnen Serverrollen eine optimale Auslastung der Hardware hinsichtlich ihres Einsatzbereichs oder können in kleineren Umgebungen vier der fünf Serverrollen auf einer Hardware betreiben, um somit ein optimales Kosten/Nutzen-Ergebnis zu erzielen. Weitere Informationen zur Lizensierung und zu den Unterschieden der Exchange Server 2007-Versionen (Standard vs. Enterprise) finden Sie in Kapitel 2, „Die Installation von Exchange Server 2007“.
128
4
Anti-Spam und Anti-Virus
Die Tatsache, dass das Versenden von sehr vielen Nachrichten so preisgünstig für die Auftraggeber ist, und dass es meist nur eines ganz kleinen Bruchteils von Antworten auf die vielen versendeten E-Mails bedarf, um Gewinn zu erzielen, macht das Versenden von unerwünschter Werbung so attraktiv. Denn selbst wenn ein Anwender nur wenige Spam-E-Mails erhalten, so ist doch sein täglicher Arbeitsablauf gestört. Der marktwirtschaftliche Schaden durch Spam sehr hoch. Bei einer Firma mit 100 Mitarbeitern und geschätzten fünf Minuten täglich, die auf das Sortieren der E-Mails verwendet werden, entstehen pro Tag bereits 500 Minuten Schaden. Im Monat sind das über 10.000 Minuten oder 166 Stunden. Im weiteren Verlauf dieses Kapitels werden wir Ihnen zeigen, mit welchen Maßnahmen Sie die Menge an unerwünschten Werbenachrichten in Ihrem Unternehmen so gering wie möglich halten.
4.1
Vermeiden von unerwünschten Nachrichten
Die sicherste Methode, Werbe-E-Mails zu vermeiden, ist auch die am wenigsten sinnvollste: Vermeiden Sie es, Ihre E-Mail-Adresse herauszugeben. Je mehr eine Adresse im Internet kursiert, desto höher ist die Wahrscheinlichkeit, dass diese früher oder später in der Datenbank eines Spammers landet. Da E-Mails nun aber der Kommunikation dienen, sollten Sie Ihre Anwender zumindest darauf hinweisen, niemals auf eine unerwünschte Nachricht zu antworten.
129
Kapitel 4 Anti-Spam und Anti-Virus
Ein weiterer Fall, wie Sie in die Datenbank eines Spammers geraten könnten, ist von Ihrer Seite aus leider nicht beeinflussbar. Ein Rechner, in dessen OutlookProgramm der Anwender als Kontakt eingetragen ist, wird von einem Virus verseucht. Dieser sendet das Adressbuch an einen Server im Internet. Wenn Sie nun denken, dass dieses Szenario nicht so häufig vorkommt, so muss ich Sie leider enttäuschen. Virus-Programmierer arbeiten sehr eng mit den Spam-Versendern zusammen, und beide Parteien versuchen, daraus ihren Nutzen zu ziehen. Häufig wird mit einem Virus ein SMTP-Server installiert, der von den Versendern der Massen-E-Mails genutzt werden kann. Damit vermeiden die Versender der unerwünschten Massen-Mailings es, ihre eigenen Mail-Server, die bereits nach kurzer Zeit als Versender bekannt und vom Empfang von Mails ausgeschlossen wären, zu verwenden. Bitte sorgen Sie daher dafür, dass Ihr Anti-Viren-Programm stets dem Stand der Technik entspricht. Richten Sie auch Ihre Internet-Firewall so ein, dass nur Ihr Mail-Server E-Mails versenden darf und andere Clients daran gehindert werden. Auf diese Weise verhindern Sie wenigstens Ärger mit anderen MailServer-Betreuern, falls einmal einer Ihrer Clients infiziert sein sollte. Eine weitere Quelle für neue Mail-Adressen sind Webseiten, die von so genannten Spidern automatisch durchsucht werden. Auf diesen Webseiten werden dann die dort im Text bzw. im HTML-Format vorhandene E-Mail-Adressen extrahiert und an den Versender der Massen-Mails übermittelt. Müssen Sie aus irgendwelchen Gründen, sei es gesetzlich wegen des Impressums oder aus anderen Gründen ihre Adresse veröffentlichen, dann können Sie diese mittels JavaScript verschlüsseln. Der Browser des Surfers wird die Angaben richtig zusammensetzen – ein Spider kann das (noch) nicht. Sollten Ihre Anwender trotz dieser Maßnahmen bereits zu Beginn, also wenn die E-Mail-Adresse noch relativ neu ist, sehr viel Spam erhalten, so besteht eine hohe Wahrscheinlichkeit, dass ein Händler diese weiterverkauft. Gültige E-Mail-Adressen sind inzwischen ein sehr begehrtes Handelsgut. Im nächsten Abschnitt gehen wir auf die technischen Möglichkeiten ein, die Ihnen Exchange Server 2007 bietet, um das Spam- und Viren-Aufkommen auf Ihrem System zu reduzieren.
4.2
Technische Möglichkeiten der SpamBekämpfung unter Exchange Server 2007
4.2.1
Hub-Transport oder Edge-Transport?
Mit Ausnahme der Filterung von Attachments stehen Ihnen grundsätzlich alle Möglichkeiten der Filterung sowohl auf der Serverrolle Edge-Transport als auch auf Hub-Transport zur Verfügung. Sie müssen lediglich auf dem Hub-Transport das 130
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
mitgelieferte Skript install-AntispamAgents.ps1, welches sich nach der Installation im Verzeichnis C:\Program Files\Microsoft\Exchange Server\Scripts befindet, in der PowerShell ausführen. Die Anti-Spam-Agenten werden der Rolle Hub-Transport hinzugefügt und sind dort aktiv. Welche Vorteile ergeben sich nun aus einer Installation auf der Edge-TransportRolle, und welchen Nutzen kann eine Installation auf einem Hub-Transport haben? Bei der Edge-Transport-Rolle verlagern Sie gerade bei einem hohen Aufkommen an E-Mails die große Belastung der Spam-Prüfung auf einen dezidierten Host. Es gibt inzwischen sogar Exchange Server-Hosting-Anbieter, die Ihnen für Ihre Umgebung einen Exchange Server 2007 in der Edge-Transport-Rolle zur Verfügung stellen. In diesem Fall brauchen Sie sich um die Verwaltung der AntiSpam-Maßnahmen nicht mehr zu kümmern, da dies von dem Drittanbieter vorgenommen wird. Gerade in Unternehmen mit viel E-Mail-Verkehr, aber wenig Handlungsspielraum im IT-Bereich ist das eine Möglichkeit, eine rechenintensive Aufgabe auszulagern. Selbst wenn Sie die Edge-Transport-Rolle bei sich im Unternehmen selbst einsetzen und hosten, haben Sie den Vorteil, dass Sie den oder die nachfolgenden Hub-Transport-Server etwas kleiner dimensionieren können. Bitte bedenken Sie, dass jede E-Mail auch intern über einen Server mit einer HubTransport-Rolle verteilt wird, und es, wenn der Server zusätzlich noch zur Bekämpfung von Spam eingesetzt wird, zu Kapazitätsengpässen bei der internen MailZustellung kommen könnte. In kleineren Betrieben mit einem Mail-Aufkommen von weniger als 20000 E-Mails pro Tag reicht in der Regel eine Hub-Transport-Rolle. Bitte betrachten Sie die Anzahl der E-Mails in diesem Fall nicht als pauschale Aussage. Sie ist eine aufgrund der mit Exchange Server 2007 gemachten Erfahrungen. Sollten in Ihrem Unternehmen sehr große Mails versendet werden oder ein hoher Bedarf an zusätzlicher Absicherung bestehen, dann spricht nichts dagegen, auch bei kleineren Größenordnungen einen zusätzlichen Server einzusetzen. Zudem wird beim Einsatz der Edge-Transport-Rolle auch ihre Active Directory-Infrastruktur entlastet, da das intensive Befragen von globalen Katalogservern durch Exchange beim Einsatz der Empfängerprüfung entfällt. Die Edge-Transport-Rolle nutzt für diesen Fall Active Directory Application Mode (ADAM) und bezieht Updates über Edge-Sync von einem Server mit der Hub-Transport-Rolle.
4.2.2
Neue Möglichkeiten unter Exchange Server 2007
Beim Versand von E-Mails im Internet gibt es festgelegte Standards. Diese Standardregeln wurden schriftlich festgehalten und sind nicht zwangsläufig technische Einschränkungen. Viele Spammer halten sich jedoch nicht an die im Internet geltenden Standards. Darüber hinaus können Filterregeln festgelegt werden. Der Standard wird in sogenannten RFCs festgehalten. RFC bedeutet Request for Comment. Der für SMTP im Augenblick gültige RFC hat die Nummer 2821. Sie finden ihn unter: ftp://ftp.rfc-editor.org/in-notes/rfc2821.txt
131
Kapitel 4 Anti-Spam und Anti-Virus
Wichtig für eine erfolgreiche Spam-Bekämpfung ist, die technischen Hintergründe zu verstehen, damit Mails, die sich nicht an die RFC-Regeln halten, leicht aussortiert werden können. Wir werden in diesem Kapitel auch den Hintergrund der Datenübertragung bei E-Mails und die Reihenfolge der Anti-Spam-Maßnahmen beleuchten und warum diese gerade in der vorliegenden Reihenfolge aufgebaut sind. Anti-Spam- Maßnahmen greifen in die SMTP-Kommunikation ein. Auch aus diesem Grund ist es für eine erfolgreiche Anti-Spam-Bekämpfung wichtig, die grundlegende SMTP-Kommunikation zu verstehen.
Abbildung 4.1: Anti-Spam-Maßnahmen in Exchange Server 2003 Service Pack 2
132
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Die in Exchange Server 2003 Service Pack 2 vorhandenen Maßnahmen wurden verbessert und in einigen Punkten verfeinert. Wenngleich die Maßnahmen in Exchange Server 2003 Service Pack 2 schon sehr ausgereift und mächtig waren, fehlte doch eine Dynamik, die beispielsweise verdächtige Hosts in eine zeitweilige Sperrliste mit aufnimmt. Oder die Möglichkeit, die von den Benutzern in Outlook bestimmten Spammer oder als sicherer Absender gekennzeichneten Adressen bereits am Server abzulehnen oder bevorzugt zu behandeln. Dies gab es in Exchange Server 2003 Service Pack 2 noch nicht. In der Abbildung sehen Sie, wie unter Exchange Server 2003 die Reihenfolge der Vorkehrungen gegen unerwünschte Mails lautete. Dies hat sich unter Exchange Server 2007 nicht geändert. Es sind lediglich einige weitere Maßnahmen hinzugekommen. Zu den oben erwähnten Filtern kommt noch das Filtern von Anhängen, welches aber leider nur auf einem Edge-Transportund nicht auf einem Hub-Transport-Server verfügbar ist. Für das Filtern von Anhängen können Sie in den meisten Fällen auch die auf Ihrem Server vorhandene AntiViren-Software nutzen oder den SMTP-Message Screener des ISA Servers 2004 bzw. 2006 verwenden. Von Microsoft wird die Verwendung des Message Screeners zwar nicht empfohlen, im alltäglichen Betrieb haben wir jedoch noch keine nachteiligen Auswirkungen damit erlebt. Die Reihenfolge der Filter können Sie nach der Installation der Anti-Spam-Agenten auf einer Hub-Transport-Serverrolle zwar nicht ablesen, aber die Priorität anhand der dort abgebildeten Zahlen nachvollziehen.
Abbildung 4.2: Anti-Spam-Priorität unter Exchange Server 2007
133
Kapitel 4 Anti-Spam und Anti-Virus
Abbildung 4.3: Anhänge filtern mit ISA Server 2004
Der bisher vorhandene intelligente Nachrichtenfilter aus Exchange Server 2003 wurde durch den verfeinerten Inhaltsfilter ersetzt. Von diesem Agenten kann auch die sogenannte Outlook-Briefmarken-Validierung eingesetzt und überprüft werden. Ebenfalls neu ist die Anbieter-Zuverlässigkeitsprüfung. In den folgenden Abschnitten gehen wir anhand der Reihenfolge der Prüfung, die eine E-Mail beim Empfang in der Exchange-Organisation durchläuft, auf die eingebauten Möglichkeiten der Spam-Abwehr ein. Folgende technische Anti-Spam-Maßnahmen können Sie mit Exchange Server 2007 in der Reihenfolge einsetzen, die in der Grafik dargestellt ist: Anti-Spam-Verbindungsfilterung
Exchange Server 2007 enthält IP-Block- oder IPWhitelisten, die über den Administrator gepflegt werden können. Daneben wird an dieser Stelle die Sender-Reputationsliste geführt.
Anti-Spam: Sender and Recipient Filtering
Die Sender-Reputationsliste und der Empfängerfilter greifen an dieser Stelle in die SMTP-Zustellung ein.
Anti-Spam: Safe Sender List Aggregation
Eine in Outlook 2003 und 2007 gepflegte Liste von sicheren Empfängern wird auf dem Exchange Server zusammengefasst hinterlegt, um die sogenannten False-Positives bei der Filterung herauszufiltern.
134
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Anti-Spam: Sender ID
An dieser Stelle greift der Sender-ID-Schutz, der prüft, ob der sendende Mail-Server einen gültigen SPF-Eintrag in der DNS-Zone der Domäne hat.
Anti-Spam: Inhaltsfilter
Der Inhaltsfilter des Exchange Servers, genannt Intelligent Message Filter oder IMF, kommt an dieser Stelle zum Tragen, falls die E-Mail komplett angenommen wurde.
Anti-Spam: Outlook E-Mail-Briefmarke
Exchange Server 2007 überpüft, ob eine „elektronische Briefmarke“ des Absenders vorhanden ist. Diese kostet kein Geld, aber Rechenzeit und macht diese Art der Kennzeichnung für die Massensendungen der Spammer unattraktiv.
Tabelle 4.1: Spam Abwehr unter Exchange Server 2007
4.2.3
Die Reihenfolge der Anti-Spam-Maßnahmen im Exchange Server 2007
Wichtig für eine erfolgreiche Spam-Abwehr ist auch, dass Sie die Reihenfolge der vom Exchange Server 2007 verwendeten Anti-Spam-Mechanismen kennen. Nur dann können Sie im Fall einer notwendigen Änderung oder im Fall einer Spam-Attacke die richtigen Maßnahmen ergreifen. Die Möglichkeiten, welche Ihnen als Administrator offenstehen, müssen Sie kennen, wenn einige E-Mails irrtümlich als Spam erkannt werden, oder Sie den Eindruck haben, dass noch immer zu viele unerwünschte Nachrichten im Postfach des Anwenders landen. Sehr wichtig für die Auslegung der Server-Dimensionierung (von Microsoft wird der englische Begriff „Serversizing“ verwendet) ist zu wissen, wo welche Anti-Spam-Tests wie viel Rechenkapazität erfordern. Die Rechenkapazität ist eine der beiden Einflussgrößen auf die Reihenfolge der technischen Möglichkeiten. Außerdem wird der Ablauf der Prüfung noch durch die technischen Gegebenheiten der SMTP-Zustellung vorgegeben.
4.2.4
Wie meldet sich mein Exchange Server 2007?
Sie können die SMTP-Konfiguration Ihres Exchange Servers 2007 auf der Kommandozeile betrachten. Sie sehen dort, wie sich die Mail-Server „unterhalten“, um E-Mails zuzustellen. Das Wissen darüber, wie dies passiert, verschafft Ihnen Vorteile im Kampf gegen Spam. Die Mail-Zustellung ist ohne besondere Konfiguration immer eine Übertragung im Klartext. In besonderen Fällen findet die Übertragung verschlüsselt über Transport Layer Security statt. Dieses Verfahren wird in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer ExchangeUmgebung“, erläutert. Die Kommunikation der Mail-Server kann über die
135
Kapitel 4 Anti-Spam und Anti-Virus
Kommandozeile nachgestellt werden. Ebenso findet auch ein Teil des FehlerDebuggings darüber statt. Insofern können Sie zumindest teilweise die getroffenen Spam-Maßnahmen testen. Öffnen Sie doch einmal eine Kommandozeile auf Ihrem Exchange Server. Dies können Sie am schnellsten mit der Tastenkombination (Ä) + (R) für das Ausführen-Feld und der Eingabe cmd mit einer anschließenden Bestätigung auf OK erreichen. Geben Sie nun auf der Kommandozeile telnet 25 ein, um sich mit dem Port 25 des Exchange Servers bzw. mit dem SMTP-Connector zu verbinden.
Abbildung 4.4: Aufrufen der Kommandozeile
Abbildung 4.5: Telnet-Session mit dem Exchange Server
Mithilfe des Telnet-Befehls können Sie auch Verbindungen zu anderen Mail-Servern einer Fehlersuche unterziehen, da Sie dort genau sehen, welche Fehlermeldung der Exchange Server während der Kommunikation zurückerhält. In diesem Kapitel erhalten Sie einen Überblick über die SMTP-Kommandos. Die Telnet-Sitzung zu Ihrem (oder zu einem beliebigen anderen Mail-Server) sollte Ihnen schon einige Informationen zu dem Server zurückliefern. Wenn Sie die Meldung des Exchange Servers 2007 genauer betrachten, erkennen Sie Folgendes: 136
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
An erster Stelle meldet sich der Server mit einem Statuscode. Hier sollte 220 stehen. Andere Werte würden einen codierten Fehlerwert darstellen. Wie sich dieser zusammensetzt, ist in RFC 2821 erläutert. Am Ende des Kapitels finden Sie eine Zusammenfassung über die wichtigsten Statuscodes. Weiter finden Sie den Namen des Exchange Servers als Rückgabewert. Hier sollte, wenn Sie mit diesem SMTP-Server sowohl senden als auch empfangen, den A-Record Eintrag lesen können auf den der oder die Mail-Exchanger Einträge der Domäne verweisen. In einigen Servern sind Prüfungen eingebaut, welche testen, ob der A-Eintrag im DNS mit dem vom Exchange Server 2007 gemeldeten Namen übereinstimmt. Unter Exchange Server 2007 richten Sie den Namen unter ORGANISATIONSKONFIGURATION, HUB-TRANSPORT, SENDECONNECTOREN ein. Wählen Sie die Eigenschaften desjenigen Connectors aus, der die Mails in das Internet versendet. Auf der ersten Registerkarte finden Sie das Feld für den Namen, mit dem sich der Exchange Server 2007 melden sollte.
Abbildung 4.6: SMTP-Connector richtig einrichten unter Exchange Server 2007
Damit die Änderung sofort wirksam wird, müssen Sie den Dienst MICROSOFT EXCHANGE-TRANSPORT neu starten. Das können Sie wie folgt tun. Die Konsole für Dienste finden Sie unter START • SYSTEMSTEUERUNG • VERWALTUNG • DIENSTE. Markieren Sie dort den betreffenden Dienst und wählen Sie über die Befehlsleiste in der oberen Reihe oder das Kontextmenü auf der rechten Seite der ManagementKonsole NEU STARTEN.
137
Kapitel 4 Anti-Spam und Anti-Virus
Den Namen, mit dem sich Exchange Server 2007 meldet, können Sie auch über die PowerShell beeinflussen. Geben Sie dort einfach folgenden Befehl ein: Get-SendConnector | Set-SendConnector -Fqdn mail.exchange2007-buch.de. Sollten Sie über mehr als einen Connector verfügen, so geben Sie noch den Parameter – Identity an – dort steht der Name des Connectors. Bitte ersetzten Sie mail.exchange2007-buch.de durch den Eintrag Ihrer Domäne. Ihr Exchange Server 2007 sollte sich von nun an mit dem richtigen Eintrag melden. Auch der Exchange Server nimmt an dieser Stelle eine Prüfung vor. Bereits in diesem Stadium wird vom Exchange Server 2007 geprüft, ob sich der gegenüberliegende Server in der IP-Sperrliste oder in der IP-Zulassungsliste der Exchange-Organisation befindet. In der Regel sind die meisten IP-Adressen weder in der IP-Sperrliste noch in der IP-Zulassungsliste aufgenommen. Über eine grafische Oberfläche können Sie IP-Adressen in die IP-Sperr- bzw. Zulassungsliste aufnehmen. Sie finden diese Möglichkeit unter ORGANISATIONSKONFIGURATION • HUB-TRANSPORT, Registerkarte ANTISPAM • IP-SPERRLISTEN oder IP-ZULASSUNGSLISTEN. Bei installiertem Service Pack 1 finden Sie die IP-Sperrund Zulassungslisten unterhalb der Serverkonfiguration HUB TRANSPORT in der mittleren Spalte auf dem Reiter ANTI-SPAM.
Abbildung 4.7: IP-Sperrlistenkonfiguration Exchange Server 2007 SP 1
138
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Das Problem bei der Konfiguration von Sperrlisten oder Zulassungslisten ist deren Fehleranfälligkeit. Stellen Sie sich vor, Sie haben einige Geschäftspartner, denen Sie vertrauen und von denen Sie niemals Spam erwarten. Nehmen Sie weiter an, dass dort ein Virus eingeschleppt oder gar der dortige Mail-Server in Mitleidenschaft gezogen wird. Im Ernstfall passiert das möglicherweise nachts, und bis Sie den Schaden bemerkt haben, ist Ihre Warteschlange im Exchange Server 2007 bereits mit unerwünschten Angeboten überfüllt. Im Gegenzug können Sie einige IP-Adressen, die Ihnen in der Vergangenheit Spam zugestellt haben, sperren. Leider wird Ihnen diese Maßnahme außer einem mehr an Arbeitszeit und Aufwand realistisch gesehen nicht viel bringen, da die großen Spam-Versender versuchen, die E-Mails über verschiedene Mail-Server zu versenden. Diese sind zahlreich und ändern sich ständig, sodass sich ein Eintrag in der IP-Sperrliste nur bei einem von Ihnen bemerkten erhöhten Spam-Aufkommen von einer IPAdresse für einen vorübergehenden Zeitraum lohnt. Sollten Sie von der eingetragenen IP-Adresse keine unerwünschten Nachrichten mehr erhalten, sollten Sie die Adresse aus der Sperrliste wieder löschen. Der Platz in der IP-Sperrliste und in der IP-Zulassungsliste ist beschränkt. Zudem erhöht sich mit jedem Eintrag der Replikationsanteil im Active Directory. Trotzdem sollte man die Prüfung der IP-Listen nicht außer Acht lassen. Die Prüfung der Liste dauert auch bei mehreren hundert Einträgen nur den Bruchteil einer Sekunde, und die Prüfung beansprucht nur sehr wenige Systemressourcen. Später erklären wir, wie Sie auf im Internet verfügbare sogenannte RealTime-Blacklisten zurückgreifen können.
4.2.5
helo und ehlo – die Unterschiede
Wie bereits erwähnt, handelt es sich bei SMTP um ein relativ altes und einfaches Protokoll. Es hat aber schon Überarbeitungen erfahren und unterstützt die sogenannte ehlo- oder 8-Bit-Erweiterungen. Mail-Server, die nur mit dem 7-Bit-Übertragungsmodus auskommen, sollten Sie eigentlich nicht mehr antreffen. Mit den Erweiterungen des SMTP-Protokolls können Mail-Server bereits vor der Übermittlung der eigentlichen E-Mail bestimmte Informationen an den sendenden Mail-Server übermitteln, die sich teilweise zur Bekämpfung von Spam nutzen lassen. In der Standardeinstellung melden sich Exchange Server seit der Version 2000 mit ehlo. Das ältere helo wird auf allen uns bekannten Mail-Servern aus Gründen der Abwärtskompatibilität beibehalten. Folgende Erweiterungen bringt ehlo mit sich: 왘
Größenbeschränkungen auf SMTP-Ebene werden vor dem Senden einer E-Mail übermittelt.
왘
E-Mails lassen sich mit Transport Layer Security verschlüsselt übermitteln.
139
Kapitel 4 Anti-Spam und Anti-Virus
Abbildung 4.8: Ausgabe der installierten SMTP-Erweiterungen mit der Kommandozeile
Die ehlo-Erweiterungen der SMTP-Schnittstelle können, dadurch dass die Größenbeschränkung genutzt wird, also dazu genutzt werden, um den Empfang von großen E-Mails gleich bei der Kontaktaufnahme zu unterbinden. Voraussetzung ist allerdings, dass der sendende Mail-Server ebenfalls die ehlo-Verben versteht. Ist das der Fall, können die Größenbeschränkungen in gewissem Rahmen auch einen erweiterten Spam-Schutz bilden. Dadurch dass die Mail-Server vor der Übermittlung der Nachricht die voraussichtliche Größe mit dem empfangenden Mail-Server abgleichen, ist es nicht notwendig, die E-Mail komplett zu übertragen. Der übermittelnde Mail-Server erkennt daher sofort bei der Kontaktaufnahme, dass die zuzustellende E-Mail zu groß ist, verwirft diese und generiert eine sogenannte Unzustellbarkeitsnachricht. In diesem Zusammenhang werden Sie auch oft von Non delivery notifications oder NDRs hören. Nehmen wir an, jemand versucht, Ihnen eine Nachricht mit einer Größe von 20 MB zuzustellen. Aufgrund der Beschränkung Ihrer Bandbreite wollen Sie lediglich 10 MB zulassen. Haben Sie nun im Empfangs-Connector diese 10 MB als maximale Größe definiert, wird die Mail bereits bei der Kontaktaufnahme verworfen. Ist dagegen im Empfangs-Connector keine Größenbeschränkung hinterlegt, wird die Mail solange übertragen, bis 10 MB erreicht sind. In der Folge wird die Kommunikation zwischen den Mail-Servern abgebrochen. Die Größenbeschränkung für Mails am Exchange Server 2007 wird wie folgt eingerichtet: In der grafischen Oberfläche der Exchange Management Console werden Sie diese Einstellung nicht finden. Diese kann lediglich über die Exchange Management Shell ausgelesen oder verändert werden. Geben Sie an der Exchange Management ShellKommandozeile bitte Folgendes ein: Get-ReceiveConnector | Set-ReceiveConnector -MaxMessageSize 10MB
140
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Die Kommandozeile schaltet auf allen Empfangs-Connectoren die maximale Größe der übertragenen Nachrichten auf 10 MB. Stellen Sie ein globales Limit ein, welches kleiner als die Limitierungen der SMTP-Schnittstelle bzw. des Connectors ist, würde dies hier greifen, allerdings erst, nachdem die E-Mail so weit übertragen wurde, bis die globale Einschränkung erreicht ist. Unser Tipp ist daher, die Einschränkungen der Mail-Größe auf globaler Ebene immer gleich oder größer als das Limit des SMTP-Empfangs-Connectors anzupassen. Vor Exchange Server 2007 Service Pack 1 müssen Sie, sofern Sie eine grafische Oberfläche verwenden wollen, ADSIEdit aus den Support Tools installieren. Die Support Tools finden Sie auf jeder Windows Server 2003 CD im Ordner Support\Tools. Installieren Sie von dort die Datei SUPTOOLS.MSI. Nach der Installation können Sie ADSIEdit in einer Konsole hinzufügen. Die Support Tools sind unabhängig von der von Ihnen verwendeten Sprache immer nur auf Englisch verfügbar. Übrigens ist der sendende Mail-Server immer für die Erstellung des Unzustellbarkeitsberichts zuständig, solange der Teil Data noch nicht mit einem Punkt auf einer einzelnen Zeile abgeschlossen wurde. Das kann unter Umständen für die Abwehr von unerwünschten Nachrichten sehr wichtig sein und reduziert die übertragene Datenmenge enorm. So sparen Sie Bandbreite für die wirklich wichtigen E-Mails und können möglicherweise auf eine größere Leitung verzichten.
4.2.6
Sender Policy Framework
Sender Policy Framework (SPF) steht für ein Verfahren, das die einliefernde IPAdresse gegen eine DNS-Abfrage prüft. Der DNS-Server gibt einen DNS-Eintrag zurück, sofern ein SPF-Eintrag in der zuständigen Zone hinterlegt ist. Der SPFEintrag sollte alle für die abgefragte Zone zuständigen Mail-Server enthalten. Sie können den SPF-Eintrag für Ihre Zone mittels nslookup abfragen. Dazu öffnen Sie mit START AUSFÜHREN CMD eine Kommandozeile und geben dort nslookup – type=txt exusg.de ein. Ersetzen Sie den Domänennamen an dieser Stelle durch denjenigen, den Sie abfragen möchten. Sender Policy Framework wurde entwickelt, um die Anzahl der Mail-Server, die E-Mails an andere Server einliefern dürfen, zu begrenzen. Das Verfahren ist nicht aufwendig und kostet nur wenig Last auf dem Server, scheitert in der Praxis jedoch häufig daran, dass es keinen SPF-Eintrag für die jeweilige Zone gibt. Sofern Sie diese Prüfung anwenden, werden Sie zu7mindest keine Absenderfälschungen von großen Providern wie yahoo.de oder web.de erleben, da diese einen SPF-Eintrag pflegen. Spammer, welche diese Domänen als Absender benutzen, werden an dieser Stelle bei Ihnen scheitern.
141
Kapitel 4 Anti-Spam und Anti-Virus
In Ihrer Exchange-Konfiguration werden Sie Sender Policy Framework nicht finden. Das liegt daran, dass Microsoft dieses Verfahren als Sender-ID in die ExchangeKonfiguration eingebaut hat.
Abbildung 4.9: Abfrage des SPF-Eintrags
Wie reagiert der Exchange Server 2007 nun auf die SPF-Einstellungen? Wie die Organisation auf die Sender-ID-Einstellungen reagiert, können Sie über die Exchange Management-Erweiterung auf der Hub-Transport-Serverrolle oder der Edge-Transport-Serverrolle beeinflussen. Wählen Sie unter ORGANISATIONSKONFIGURATION • HUB-TRANSPORT (oder EDGE) die Registerkarte ANTI-SPAM aus. Dort finden Sie den Eintrag SENDER ID. Unter der Registerkarte AKTION können Sie nun festlegen, ob bei einer ankommenden Nachricht mit falscher Sender-ID die Nachricht gelöscht, mit einem höheren Spam-Wert markiert und weiterverarbeitet werden soll, oder ob der einliefernde Mail-Server zur Erstellung einer Unzustellbarkeitsmeldung veranlasst wird. Da die Kontrolle des SPF-Eintrags noch während der Verbindungsaufnahme geschieht, ist ihr Mail-Server nicht für die Erstellung der Unzustellbarkeitsbenachrichtigung verantwortlich. Wir empfehlen Ihnen, immer die Option NACHRICHT ABLEHNEN auszuwählen. Dies ist aus unserer Sicht grundsätzlich die bessere Konfiguration, da eine Ablehnung aufgrund eines falschen SPF-Eintrags normalerweise nur bei wirklichem Spam zustandekommt. Nur in seltenen Fällen werden die SPF-Einträge von den Administratoren der Domain Name Server falsch hinterlegt.
142
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Abbildung 4.10: Sender-ID-Konfiguration
4.2.7
Die Empfängerfilterung
Nach der erfolgreichen Übermittlung der Daten des sendenden Servers übermittelt der Exchange Server 2007 den Statuscode 250. Das bedeutet: Der Server ist für den Empfang des nächsten Kommandos bereit. Die Kommandoabfolge ist in RFC 2128 festgelegt. Dort ist beschrieben, dass an dieser Stelle das rctp toKommando erfolgen muss. Dieses gilt für alle Mail-Server, die über das SMTPProtokoll miteinander kommunizieren. Über das rcpt to-Kommando werden alle Empfänger übermittelt, welche diese Mail erhalten sollen. Für jeden Empfänger wird eine eigene Zeile im rcpt to verwendet. Haben Sie wie in der nachstehenden Abbildung die Empfängerprüfung aktiviert, und ist ein Empfänger in Ihrer Organisation nicht vorhanden, so wird die Annahme der Mail verweigert.
143
Kapitel 4 Anti-Spam und Anti-Virus
Abbildung 4.11: Die Empfängerfilterung
Das Gleiche gilt für ungültige SMTP-Adressen. Richtige und gültige SMTP-Adressen bestehen aus einem sogenannten Localpart und der Domäne. Beide werden durch ein @-Zeichen voneinander getrennt. Der Exchange Server 2007 versucht, die Annahme der Mail zu verweigern und sendet 550, User unknown an den sendenden Mail-Server, der daraufhin den Unzustellbarkeitsbericht erstellen muss. Voraussetzung ist, dass Sie die Prüfung der vorhandenen Empfänger bzw. die Gültigkeit der SMTP-Adressen aktivieren. Wenn Sie das Häkchen nicht setzen, werden E-Mails mit nicht gültigen Localparts, d.h. Mails, von denen zwar die Domäne, aber nicht der Teil vor dem @-Zeichen bekannt ist, angenommen. Die Exchange Server 2007-Organisation, genauer gesagt die Hub-Transport- oder die Edge-Transport-Rolle, versucht dann, nach der kompletten Annahme der E-Mail selbst eine Unzustellbarkeitsnachricht zu generieren. Häufig trifft diese dann entweder Unschuldige, deren Absendeadresse vom spammenden Server gefälscht wurde, oder Ihr Mail-Server kann die Nachrichten nicht absetzen, weil die Absenderadresse gar nicht existiert. In diesem Fall sind Sie dann einem NDR-Spammer zum Opfer gefallen. Leider ist es schwer, in einer überfüllten Nachrichtenwarteschlange mit mehreren Tausenden Mails die Unzustellbarkeitsbenachrichtigungen von den richtigen Mails zu unterscheiden. Sehr wahrscheinlich ist es in diesem Fall die einfachste Möglichkeit, die E-Mails komplett zu löschen, auch wenn dann einige
144
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
wenige echte Nachrichten dadurch mit verlorengehen. Ansonsten müssten Sie unter Umständen tagelang warten, bis die Mail-Warteschlange sich wieder leert. Unsere Empfehlung lautet daher, auf jeden Fall die Empfängerprüfung zu aktivieren.
4.2.8
Die Real-Time-Blocklist-Provider
Die Verwendung von Real-Time-Blocklist-Providern (auch Blacklists oder „Anbieter von IP-Sperrlisten“ genannt) wird unseres Erachtens oft überschätzt. In einer von uns durchgeführten Untersuchung war dieses Verfahren lediglich zu weniger als 30 Prozent an der Abwehr von Spam-Nachrichten beteiligt. Allein auf diese Technologie kann man sich also leider nicht verlassen. Oft wird auch diskutiert, ob der Einsatz von Blacklist-Providern noch sinnvoll ist. Einige Unternehmen stellen fest, dass die Anzahl an durch Blacklist-Provider blockierten E-Mails keine große Rolle mehr spielt. Ob dies nun an der Qualität der Blacklisten liegt oder an der geringeren Anzahl an offenen Relays, kann nicht definiert werden. Im Internet ist es aber wegen seiner Effizienz und der preiswerten und aktuellen Abfragen als System sehr geschätzt, Blacklist-Provider zu nutzen. Die Listen funktionieren nach folgendem Prinzip: Offene Relays, also Mail-Server, die Nachrichten ohne Authentifizierung weiterleiten und so den Spam-Versendern als Nachrichtenübermittler dienen, werden den Anbietern für die geblockten IP-Adressen gemeldet. Die Betreiber der Listen geben diese dann in ihre DNS-Zone ein, und der DNS-Server des Blacklist-Providers liefert den für Exchange erkennbaren Rückgabecode. Die Anbieter dieser Dienste sind nicht immer ganz unumstritten, wie der Fall Spamhaus in jüngerer Vergangenheit zeigt („Spamhaus entfernt zwei nic.at Einträge“, siehe http://www.heise.de/newsticker/meldung/91642). Hin und wieder geben Provider aus verschiedensten Gründen auch einfach auf. Einer der größeren Anbieter, der in letzter Zeit seinen Dienst eingestellt hat, war Ordb.org.
145
Kapitel 4 Anti-Spam und Anti-Virus
Unser Tipp: Behalten Sie die Anbieter der Dienste immer im Auge und sehen Sie sich gegebenenfalls nach anderen Anbietern um. Oft dauert bei einigen Anbietern die Löschung etwas länger, wenn der Mail-Server bereits kein Offenes Relay mehr ist oder abgeschaltet wurde. Wie funktionieren Real-Time-Blocklisten? Beim Erhalt einer Nachricht erfolgt eine DNS-Abfrage bei einem der Real-TimeBlocklist-Provider. Wird die IP-Adresse in dem dort aufgeführten Verzeichnis gefunden, wird der sendende Host als Spam-Versender eingestuft. Dies hat zur Folge, dass der Exchange Server 2007 die Nachricht ablehnt, und zwar bereits auf SMTP-Ebene. Auch hier wird die Nachricht nur teilweise übertragen – und Sie sparen eine Menge an Leitungskapazität. Wie konfiguriere ich die Anbieter in der Exchange Server 2007-Organisation? In der deutschen Fassung des Exchange Servers 2007 wird der Punkt, in dem Sie die Anbieter für die Anti-Spam-Bekämpfung eintragen können, übrigens ANBIETER FÜR GEBLOCKTE IP-ADRESSEN genannt. Hier können Sie Ihre bevorzugten Provider für DNS-basierte Spam-Abwehr eintragen. Auf der Webseite des Providers finden Sie in der Regel die einzutragende URL. Diese fügen Sie unter ORGANISATIONSKONFIGURATION • HUB-TRANSPORT, Registerkarte ANTI-SPAM ANBIETER FÜR GEBLOCKTE IP-ADRESSEN, Registerkarte ANBIETER hinzu. In die LookupDomäne tragen Sie die Angaben des Providers ein. Wir haben in unserem Beispiel Spamcop gewählt. Sie können, falls Sie Interesse haben, die Administratoren der betroffenen Mail-Server besonders zu informieren, auch einen eigenen Statuscode eintragen. Dieser Statuscode kann dann eventuell leichter von den Administratoren der betroffenen Server gelesen werden, sodass diese dann das offene Relay schließen oder andere Maßnahmen ergreifen können. Im Reiter AUSNAHMEN werden die E-Mail-Adressen Ihrer Organisation eingeben, die nicht von dieser Prüfung betroffen sein sollen. Besondere Vorteile außer der Konfiguration einzelner E-Mail-Adressen als sogenannter Honeypot sehen wir hier nicht. Es ist übrigens nicht möglich, für die Zustellversuche eine Art höhere SpamBewertung einzugeben. Die betroffenen Mail-Server werden komplett von der Zustellung ausgeschlossen. Die Ablehnung der Nachricht können Sie im Transport-Log des SMTP Receive Connectors sehen. Der Exchange Server 2007, genauer gesagt der SMTP-Connector, gibt an den sendenen MTA die Meldung 550 5.7.1 Recipient not authorized, your IP has been found on a block list zurück. Leider wird weder in der Log-Datei noch in der Statusmeldung an den Sender mitgeteilt, in welcher der vielen Blocklisten sich seine IP-Adresse zurzeit befindet. Dadurch wird es schwieriger, wenn man selbst betroffen ist, das Wiederaustra-
146
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
gen zu erwirken. Die Log-Datei des Connectors finden Sie in der Standardkonfiguration unter C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ ProtocolLog\SmtpReceive. Für Troubleshootings ist es immer gut, einen Blick in die Log-Dateien werfen zu können. Zu diesem Zweck müssen Sie die SMTP-LogDateien in Exchange Server 2007 getrennt für das Senden und Empfangen aktivieren. Auch in größeren Unternehmen mit mehr als 1000 Mitarbeitern werden diese Log-Dateien normalerweise nicht sehr groß, da es sich um reine Text-Dateien handelt. Die Aktivierung der Log-Datei für den Sende-Connector erfolgt auf der Hub-Transport-Serverrolle in der ExchangeVerwaltungskonsole unter OGANISATIONSKONFIGURATION • HUB-TRANSPORT • SENDECONNECTOR • EIGENSCHAFTEN DES SENDECONNECTORS. Stellen Sie den Protokollierungsgrad auf den Wert AUSFÜHRLICH. Die Protokollierung ist für jeden Connector gesondert einzuschalten. Für den Empfang von Mails gehen Sie in die Exchange-Verwaltungskonsole unter SERVERKONFIGURATION • HUBTRANSPORT • EMPFANGSCONNECTOREN und rufen dort Ihren Connector (oder einen der Connectoren) auf. Auch hier stellen Sie den Protokollierungsgrad auf AUSFÜHRLICH. Fortan werden in dem oben angesprochenen Verzeichnis die Log-Dateien mit einem täglichen Rollover angelegt.
Abbildung 4.12: Anbieter von Real-Time-Blacklisten
147
Kapitel 4 Anti-Spam und Anti-Virus
Abbildung 4.13: Anbieter der Listen eintragen und konfigurieren
4.2.9
Die Absenderfilterung
Die Absenderfilterung finden Sie unter ORGANISATIONSKONFIGURATION • HUBTRANSPORT • ANTISPAM • ABSENDERFILTERUNG. Hinterlegen Sie dort Domänen oder SMTP-Adressen, die Ihnen in der Vergangenheit aufgefallen sind und Spam in Ihrer Organisation verursacht haben. Auch diese Liste will gepflegt werden. Mit einem einfachen Einsetzen der Einträge ist es aus unserer Sicht nicht getan. Bei gefälschten Absendern laufen Sie außerdem Gefahr, die falsche Domäne auszusperren. Durch die zu leistende Handarbeit ist dieser Schritt auch sehr arbeitsintensiv. In der Kombination Exchange Server 2007 und Outlook 2007 können Sie sich allerdings von den Mitarbeitern des Unternehmens, für das Sie arbeiten, bei der Spam-Bekämpfung helfen lassen. Vielleicht ist Ihnen selbst ja die Möglichkeit, unter Outlook unerwünschte Nachrichten zu markieren, bekannt. Dazu wählen Sie die Nachricht aus, klicken mit der rechten Maustaste darauf und wählen aus dem Kontextmenü JUNKMAIL ABSENDER ZUR LISTE DER BLOCKIERTEN ABSENDER HINZUFÜGEN aus. Unter demselben Menü können Sie auch Absender zu den sicheren Absendern oder die Empfänger zu den sicheren Empfängern hinzufügen. Diese beiden Listen bilden im Postfach des Outlook 2007-Benutzers die sogenannte Safelist. Auf Ihrem Exchange Server 2007 wurde mit der Installation das Cmdlet Update-Safelist hinterlegt. Dieses müssen Sie für jede Mailbox ausführen und bekommen so eine Safelist-Aggregation, das heißt eine Zusam-
148
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
menfassung der sicheren Empfänger und Sender in Ihrem Active Directory. Durch die Speicherung der Daten im Active Directory wird sichergestellt, dass die Daten an jedem Hub-Transport-Server verfügbar sind.
4.2.10
Intelligenter Nachrichtenfilter
Um kein Anti-Spam-Feature des Exchange Servers seit der Version 2003 gibt es wohl eine solch große Diskussion wie um den intelligenten Nachrichtenfilter, auf Englisch: Intelligent Messaging Filter (IMF). Der IMF wurde von Microsofts Research-Abteilung entwickelt. Microsoft nutzt dabei die Spam-Charakterisierung der damaligen Hotmail-, heute Live Mail-Konten. Spam-Mails haben sehr oft eine für andere Spam-Filter nicht erkennbare Charakteristik. Eine SpamWelle hatte die Eigenschaft, Texte von oben nach unten anstatt von rechts nach links darzustellen. Mit dem IMF war eine Erkennung möglich, da dieser nicht nur auf der Basis von Texterkennung funktioniert. Die genaue Funktionsweise wird von Microsoft unter Verschluss gehalten und ist nur wenigen bekannt. Vielleicht sorgt gerade das für die Diskussionen um IMF. Mit den unter Exchange Server 2007 eingeführten täglichen Updates ist der IMF allerdings besonders wirkungsvoll. Bereits unter Exchange Server 2003 Service Pack 2 sind Updates für den IMF beispielsweise über WSUS oder Microsoft Windows Update erhältlich, aber diese erscheinen lediglich im monatlichen Abstand. Bei den Updates handelt es sich um eine Art Pattern-Update, wie man es bereits von seinem Viren-Scanner gewohnt ist. Unter Exchange Server 2007 finden Sie den Punkt INTELLIGENTER NACHRICHTENFILTER nicht mehr. Er wurde in INHALTSFILTER umgetauft und ist wie die anderen Anti-Spam-Features in Exchange Server 2007 unter der Registerkarte ANTI-SPAM in der Hub-TransportKonfiguration zu finden. Updates für den Inhaltsfilter können Sie über Windows Server Update Services Version 3.0, nachfolgend kurz WSUS 3.0 genannt, oder direkt von der MicrosoftUpdate-Seite beziehen. Nachfolgend erläutern wir, wie Sie Ihren WSUS 3.0-Server konfigurieren müssen, um die Updates von dort automatisiert zu beziehen.
4.2.11
Installation der WSUS 3.0
Nachfolgend möchten wir Ihnen eine Installation und Konfiguration der Windows Update Services 3.0 vorschlagen, die die Anti-Spam-Signaturen Ihrer Exchange Server 2007-Organisation automatisch einem regelmäßigen täglichen Update unterzieht. Wie bereits erwähnt, wird die genaue Funktionsweise des intelligenten Nachrichtenfilters von Microsoft unter Verschluss gehalten. Ähnlich wie bei Viren-Scannern können Sie aber auch hier die Wirkung erhöhen, indem Sie regelmäßig die Signaturen einem Update unterziehen. Gerade in grö-
149
Kapitel 4 Anti-Spam und Anti-Virus
ßeren Organisationen mit mehr als einem Server, der die Hub-Transport-Rolle oder die Edge-Transport-Rolle inne hat, wäre dies ohne einen Automatismus allerdings sehr aufwendig. Auch in kleineren Organisationen mit nur einem MailServer muss der Administrator nicht täglich Updates einspielen. Hierzu kann der Automatismus der Exchange-Engines und der WSUS genutzt werden. Wir verwenden die Installation der WSUS 3.0 auf einer einzelnen Maschine. Die Installationsanleitung mit Trennung der Datenbank auf einem gesonderten Server würde den Rahmen dieses Buches sprengen. Weitere Tipps und Tricks zu Windows Server Update Services erhalten Sie auf der Internetseite: www.wsus.de Voraussetzungen für die Installation Für die Installation von WSUS 3.0 benötigen Sie BITS, eine SQL-Datenbank, .NET Framework 2.0 und einen IIS 6.0 auf Ihrem Server. Der Download von WSUS 3.0 steht unter http://technet.microsoft.com/de-de/wsus/bb466193.aspx zur Verfügung; das Paket ist zum gegenwärtigen Zeitpunkt etwa 81 MB groß. Die Komponenten des IIS können Sie über SYSTEMSTEUERUNG • SOFTWARE • WINDOWS-KOMPONENTEN hinzufügen. Setzen Sie einen Haken bei ANWENDUNGSSERVER, wie auf dem nachfolgenden Bild zu sehen. Nach einem Klick auf die Schaltfläche Weiter werden Sie eventuell zum Einlegen der CD von Ihrem Windows-Betriebssystem aufgefordert – halten Sie diese daher bereit.
Abbildung 4.14: Installieren Sie den IIS als Voraussetzung für WSUS
150
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Nach der Installation des Internet Information Servers auf dem Windows Server 2003-Betriebssystem können Sie die zuvor von Microsoft heruntergeladene Datei ausführen. Nach dem Entpacken der Dateien startet die Installation mit einem Assistenten. Im zweiten Schritt des Assistenten wählen Sie – sollte dies Ihre erste Installation von WSUS 3.0 sein – bitte den Punkt VOLLSTÄNDIGE INSTALLATION aus. Die Administrator-Konsole selbst können Sie später auf einem Administrator-PC oder Terminal-Server einbinden und mit der Management-Konsole aufrufen und bedienen.
Abbildung 4.15: Start der WSUS 3.0-Installation
Abbildung 4.16: Wählen Sie die vollständige Installation aus
151
Kapitel 4 Anti-Spam und Anti-Virus
Nach dem Klick auf die Schaltfläche FERTIG STELLEN werden Sie im nächsten Schritt dazu aufgefordert, den Endbenutzer-Lizenzvertrag (EULA) anzuerkennen. Ohne diese Bestätigung kann das Produkt nicht installiert werden.
Abbildung 4.17: Bestätigen Sie den Endbenutzer-Lizenzvertrag
Eventuell werden Sie dazu aufgefordert, den Microsoft Report Viewer 2005 Redistributable zu installieren. Diesen erhalten Sie unter folgender URL: http://www.microsoft.com/downloads/details.aspx?familyid=8A166CAC-758D-45C8B637-DD7726E61367&displaylang=de
Abbildung 4.18: Der Report Viewer ist notwendig für den WSUS 3.0.
152
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Die Installation kann auch nachgeholt werden. Der nächste Schritt fordert Sie zur Angabe eines lokalen Aufbewahrungsortes für die heruntergeladenen Updates auf. Bitte achten Sie darauf, dass je nach den installierten Produkten und Sprachvarianten viel Platz benötigt wird. Für zwei Sprachen haben wir 27 Gigabyte Speicherplatz benötigt.
Abbildung 4.19: Wählen Sie den Speicherort aus.
Nach der Auswahl des Speicherortes für die Daten werden Sie noch gefragt, ob die Datenbank lokal oder auf einem Datenbankserver liegen soll. Bitte beachten Sie, dass noch weitere Schritte für die Installation der Datenbank auf einem entfernten System erforderlich sind. Wir verbleiben in unserer Installation allerdings auf dem lokalen Pfad. Nach der Auswahl des Datenbankpfads werden Sie in einem weiteren Schritt nach der bevorzugten Webseite gefragt.
Abbildung 4.20: Auswahl des Pfads für die Datenbank
153
Kapitel 4 Anti-Spam und Anti-Virus
Wenn Sie die Installation von WSUS 3.0 auf dem gleichen Computer wie Exchange Server verwenden wollen, raten wir Ihnen dazu, den alternativen Port 8530, also die zweite Option, auszuwählen.
Abbildung 4.21: Auswahl der Webseite
Im letzten Schritt erhalten Sie eine Zusammenfassung, anschließend startet die Installation von WSUS 3.0. Sofern Sie etwas Geduld haben mit den SQL-Abfragen, können Sie die Installation von WSUS auch auf einer durchschnittlichen Workstation installieren. Die vorhandene Performance eines heute erhältlichen Prozessors sowie 1 GB RAM sollten für mindestens 500 Clients ausreichen. In einer uns bekannten Umgebung sind mehr als 200 Clients vorhanden. Dort ist WSUS in einer virtuellen Maschine installiert und hat 500 MB RAM zur Verfügung. Da die Updates jederzeit wieder bei Microsoft heruntergeladen werden können, und Bandbreite heute in den meisten Firmen keine Rolle mehr spielt, ist ein Ausfall eines WSUS-Servers in der Regel unkritisch. Am Ende der Installation werden Sie von einem Assistenten noch gefragt, ob Sie die Updates direkt bei Microsoft herunterladen oder von einem anderen WSUS 3.0-Server beziehen möchten. Ihre Wahl hängt davon ab, ob dies Ihr erster WSUS 3.0-Server im Netzwerk ist oder nicht. In der Regel werden Sie lediglich einen WSUS-Server installieren. Firmen mit sehr vielen Clients benutzen meist eine andere Strategie zur Installation von Software. Im nun folgenden Abschnitt erläutern wir die Konfiguration, um mithilfe von Exchange Server 2007 automatisch Updates für den intelligenten Nachrichtenfilter einzuspielen.
154
Technische Möglichkeiten der Spam-Bekämpfung unter Exchange Server 2007
Konfiguration des WSUS 3.0 zur Verwendung mit Exchange Server 2007 Nach der Installation fügen Sie einer Management-Konsole das Snap-in Update Services hinzu. Wenn Sie nun das Menü unterhalb des Servers aufklappen, gelangen Sie zum Punkt OPTIONEN. Wählen Sie dort auf der rechten Seite den Punkt PRODUKTE UND KLASSIFIZIERUNGEN aus. Sie werden bemerken, dass dort unmittelbar nach der Installation der Punkt EXCHANGE SERVER 2007 nicht vorhanden ist. WSUS fügt – sofern vorhanden – von sich aus neue Punkte hinzu. Dies geschieht bei jedem Abgleich mit dem Microsoft-Update-Server. Nach dem ersten Update sollten Sie die Punkte EXCHANGE SERVER 2007 und EXCHANGE SERVER 2007 ANTI-SPAM vorfinden. Wählen Sie diese bitte aus. Auch Ihren Exchange Server 2007 müssen Sie noch entsprechend konfigurieren. Am einfachsten geht dies über eine Gruppenrichtlinie. Öffnen Sie die Gruppenrichtlinien-ManagementKonsole und erstellen Sie eine neue Computerrichtlinie. Grundsätzlich ist in jedem Windows-Rechner ein rudimentäres Werkzeug zur Bearbeitung von Gruppenrichtlinien vorhanden: der Gruppenrichtlinien-Editor. Leider ist die Verwendung des Gruppenrichtlinien-Editors nicht sehr übersichtlich. Mit der Gruppenrichtlinien-Management-Konsole haben Sie deutlich mehr Übersicht und Möglichkeiten, sodass wir Ihnen dringend dazu raten, sie zu installieren. In Windows Vista RTM ist sie bereits enthalten.
Abbildung 4.22: Auswahl der Exchange Server 2007-Updates
155
Kapitel 4 Anti-Spam und Anti-Virus
Bitte vergewissern Sie sich, dass der oder die Server mit Exchange Server 2007 im Bereich der von Ihnen erstellten Richtlinie liegen. Die Einstellungen für die Update-Services finden Sie im Bereich COMPUTERKONFIGURATION • ADMINISTRATIVE VORLAGEN • WINDOWS-KOMPONENTEN • WINDOWS UPDATE. Die von uns vorgeschlagene Konfiguration können Sie der Abbildung unten entnehmen. Wie sie bemerken werden, stehen die Updates dort nicht auf AUTOMATISCHES INSTALLIEREN, das halten wir im Serverbereich für zu kritisch. Mit den hier getroffenen Einstellungen sollten Sie regelmäßig Updates für den IMF erhalten, wenn Sie diese im WSUS noch freigeben. Dies ist sehr einfach möglich, indem Sie den Rechner in der WSUS-Konsole markieren und unter BENÖTIGTE UPDATES klicken. In der aufgehenden Übersichtsseite können Sie leicht alle Updates auswählen und freigeben.
Abbildung 4.23: Gruppenrichtlinie für ein Update von Exchange Server 2007
156
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
4.3
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Unter Exchange Server 2007 können nicht mehr die gleichen Anti-Viren-Lösungen eingebunden werden wie unter den Vorgängerversionen. Das ist zum einen auf die geänderte Architektur, die ganz auf 64 Bit ausgerichtet wurde, zurückzuführen. Zudem wurden die von Microsoft verwendeten Schnittstellen umgeschrieben, und die alten APIs und Ereignissenken (englisch: eventsinks) wie unter Exchange Server 2003 sind nicht mehr vorhanden. Es haben sich allerdings einige nachhaltige Verbesserungen im Echtzeit-Scan-Verhalten ergeben. So werden Dateianlagen und größere Mails jetzt nicht erst auf die Festplatte gespoolt, was unter den Anti-Viren-Lösungen von bisherigen Exchange-Versionen noch durchgängig der Fall war. Die neuen APIs zielen darauf ab, den ScanVorgang direkt im RAM abzubilden. Dadurch erzielen Sie eine höhere Geschwindigkeit beim Scannen. Zusätzlich zu den in Kapitel 1, „Was hat sich geändert?“, angegebenen Voraussetzungen für die Serverrollen müssen Sie für jeden Thread der Anti-Virus-Lösung noch etwa 100 bis 250 MB RAM hinzurechnen. Die tatsächliche Größe ist stark von Ihrer Umgebung und der Größe der E-Mails, die in Ihrer Umgebung empfangen und versendet werden, abhängig. Die empfohlene Anzahl von Threads ist vier, kann aber auf eins bis zehn umgestellt werden, beispielsweise im Programm Forefront, der Anti-Viren-Lösung von Microsoft. Welche Anzahl für Sie die richtige ist, hängt stark von der von Ihnen eingesetzten CPU ab. Multiprozessor-Rechnern oder CPUs mit mehreren Kernen können Sie auch mehr Threads abverlangen, die Rechenleistung sollte sich hier gleichmäßig verteilen. Rechnen Sie daher mit 1 GB RAM mehr in mittleren Umgebungen für jeden Server mit installiertem Viren-Scanner. Viren-Scanner-Lösungen für Exchange Server 2007 müssen immer die API benutzen. Vermeiden Sie einen direkten Scan der Datenbanken. Nachfolgend wollen wir Ihnen anhand eines Beispiels zeigen, wie Sie einen Exchange Server 2007 mit der Hub-Transport- sowie mit der Mailbox-Rolle mittels des Anti-Viren-Produkts Forefront von Microsoft schützen können.
4.3.1
Installation von Forefront auf Exchange Server 2007
Forefront von Microsoft gibt es nicht im Laden zu kaufen. Es ist nur bei Softwarehändlern als Software-Abonnement erhältlich. Nach Erhalt der CD wählen Sie die Datei Setup.exe aus, sie werden anschließend assistentengestützt durch das Setup-Programm geführt.
157
Kapitel 4 Anti-Spam und Anti-Virus
Abbildung 4.24: Forefront-Installationsstart
Im nächsten Schritt werden Sie zur Bestätigung der Vertragsbedingungen aufgefordert. Sie können sich diese mittels DRUCKEN ausdrucken.
Abbildung 4.25: Bestätigen Sie die Vertragsbedingungen.
158
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Im nächsten Schritt werden Sie zur Eingabe eines Benutzernamens und Ihres Firmennamens aufgefordert.
Abbildung 4.26: Geben Sie den Benutzer- und Firmennamen an.
Wenn Sie diesen Schritt vollendet haben, können Sie im nächsten auswählen, ob Sie die Installation lokal, also auf dem Server, an dem Sie gerade angemeldet sind, oder auf einem Remote-Server vornehmen wollen. Mit der Remote-Installation können Sie die Installation sehr leicht auf mehrere Server hintereinander übertragen, ohne sich jedes Mal neu anmelden zu müssen. Die Remote-Installation bietet jedoch nicht wie die lokale Installation die Möglichkeit, lediglich die Administrations-Konsole zu installieren. Diese Auswahlmöglichkeit bietet sich gleich im nächsten Schritt an. Wir haben für unseren Testserver die vollständige Installation ausgewählt.
Abbildung 4.27: Hier ist die lokale oder die Remote-Installation auszuwählen.
159
Kapitel 4 Anti-Spam und Anti-Virus
Abbildung 4.28: Installieren Sie vollständig oder nur die Administrations-Konsole.
Im nächsten Auswahlmenü wird es etwas kniffliger. Hier haben Sie die Möglichkeit, einen sicheren Modus oder einen sogenannten Kompatibilitätsmodus auszuwählen. Der sichere Modus sorgt dafür, dass auch nach einer Freigabe eines Anhangs oder einer Datei diese noch einmal die von Ihnen angelegten Filterregeln durchläuft. Für unsere Installation (und weil wir viel Wert auf eine sichere Umgebung legen) stellen wir den Modus auf SICHERER MODUS ein.
Abbildung 4.29: Auswahlmenü für den sicheren und den Kompatibilitätsmodus
160
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Sie können den Modus nach der Installation wieder wechseln. Es gibt keine Einschränkungen, dass der gewählte Modus nicht wieder geändert werden könnte. In der nächsten Auswahl können Sie die Anti-Viren-Hersteller auswählen, von welchen Sie die Pattern-Updates beziehen wollen. Sie können fünf Hersteller aktivieren. Leider nehmen Sie mit jedem ausgewählten Viren-Scanner auch in Kauf, das die Performance insbesondere bei der Hub-Transport-Rolle abnimmt. Die Auswirkungen bei der Mailbox-Rolle sind weit weniger gravierend, da die Scans der Mailboxen in der Regel nachts erledigt werden. Wir raten Ihnen jedenfalls, nicht zu viele Anti-Viren-Hersteller auszuwählen. In der Praxis hat sich gezeigt, dass zwei oder drei völlig ausreichen. Je nachdem, welcher Hersteller gerade schneller mit der Entwicklung neuer Patterns ist, kann das von Zeit zu Zeit differieren. Zudem ist es wenig sinnvoll, denselben Hersteller zu verwenden, den Sie bereits auf ihren Workstations im Unternehmen einsetzen. Würde ein Virus wirklich einmal durch die Maschen am Exchange Server schlüpfen, dann sollten Sie noch etwas in der Hinterhand haben. Eine Engine eines anderen Herstellers kann hier Gold wert sein. Die Microsoft eigene Malware Engine ist übrigens nicht abwählbar.
Abbildung 4.30: Wählen Sie Ihre Anti-Virus-Engines aus.
Im nächsten Abschnitt werden Sie darauf hingewiesen, dass für eine vollständige Funktionsweise die Anti-Viren-Pattern heruntergeladen werden müssen. Dazu können Sie im nächsten Schritt einen Proxy-Server angeben. In unseren Tests hat das leider nicht funktioniert. Wir mussten das Ziel in der Firewall für den Exchange
161
Kapitel 4 Anti-Spam und Anti-Virus
Server 2007 freischalten, da der Proxy-Server trotz eines Eintrags nicht verwendet wurde. In einer der nächsten Updates für die Download-Engine soll der Fehler aber behoben sein.
Abbildung 4.31: Download der Pattern über einen Proxy-Server
Im nächsten Schritt ist die Auswahl des Installationsverzeichnisses möglich. Bitte denken Sie daran, dass es auf der Partition, auf der Sie den Viren-Scanner für Exchange installieren, auch Platz für Updates und den Download von Virenpattern vorhanden sein muss. Bemessen Sie den Platz nicht zu knapp!
Abbildung 4.32: Auswahl des Installationsverzeichnisses
162
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Abschließend werden Sie nach dem Namen des Programmverzeichnisses gefragt und erhalten eine Zusammenfassung. Danach startet die Installation. Während der Installation werden Sie darauf hingewiesen, dass der Hub-Transport-Dienst angehalten werden muss. Dies erledigt die Installationsroutine für Sie.
4.3.2
Konfiguration von Microsoft Forefront
Nach der Installation von Forefront können Sie die Administrationsoberfläche über das Startmenü aufrufen. Wählen Sie unter START • PROGRAMME • MICROSOFT FOREFRONT SERVER SECURITY • EXCHANGE SERVER den Eintrag FOREFRONT SERVER SECURITY ADMINISTRATOR aus. Die Administrationsoberfläche von Forefront sollte dann nach der Auswahl des zu administrierenden Servers starten.
Abbildung 4.33: Auswahl von Forefront über das Startmenü
163
Kapitel 4 Anti-Spam und Anti-Virus
Abbildung 4.34: Die Forefront-Verwaltungskonsole
Auf der linken Seite der Konsole sehen Sie die Auswahlmenüs für die Einstellungen, die Filter, den Betrieb und die Berichte. Jedes dieser Menüs hat seine eigenen Unterpunkte. Sie werden vielleicht bemerken, dass die Menüs nicht den typischen Microsoft-Menüs entsprechen. Das liegt daran, dass das Produkt erst vor Kurzem von Microsoft aufgekauft wurde.
4.3.3
Generelle Einstellungen in Forefront
Unter den EINSTELLUNGEN (Settings) finden Sie vier weitere Menüpunkte. Wenn Sie den ersten auswählen, haben Sie Zugriff auf den Echtzeit-Scan, den Transport-Scanner und Optionen für einen manuellen Scan. Beim Transport-Scanner haben Sie die Möglichkeit, Mails von intern und extern oder auch nur interne Mails zu scannen. Diese Unterscheidung kann getroffen werden, weil ja alle Mails, auch diejenigen, welche in der gleichen Datenbank liegen, über die HubTransport-Rolle versendet werden. Ob Sie E-Mails von intern nach extern scannen, hängt von Ihrer Infrastruktur ab. Wenn Sie Ihrer internen, an den ClientRechnern installierten Anti-Virus-Lösung vertrauen, so können Sie eventuell diesen Scan abschalten. Eine weitere Überlegung sind natürlich Performance-
164
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Gründe, je nachdem, wie gut Ihre Hardware im Verhältnis zu der Anzahl Ihrer Mitarbeiter und E-Mails ausgestattet ist. Auf die Performance einzelner Server gehen wir in Kapitel 9, noch genauer ein. In den Einstellungen für den Echtzeit-Scan können Sie auswählen, ob beziehungsweise welche Mailboxen und öffentliche Ordner gescannt werden sollen. Dieser Scan-Prozess findet im Hintergrund mit nur wenigen Systemressourcen statt, belastet aber gerade in größeren Umgebungen die Server mit der MailboxRolle ganz erheblich mehr. Wie Sie den Scan-Umfang weiter einschränken können, verraten wir Ihnen später in diesem Kapitel. Im manuellen Scan-Job haben Sie die gleichen Einstellmöglichkeiten wie für den Echtzeit-Scan. Der manuelle Scan ist in erster Linie dafür da, nach einem wichtigen Update mögliche virenverseuchte E-Mails so schnell als möglich aus den Mailboxen zu löschen. Häufig kommen die ersten Viren ja bereits vor dem PatternUpdate.
Abbildung 4.35: Einstellen der Scan-Engines
In der Anti-Virus-Einstellung können Sie getrennt für jede Art des Scans festlegen, was mit den gefundenen Viren passieren soll. Ob eine Quarantäne bei Viren wirklich Sinn macht, möchten wir hier nicht beurteilen – fälschlicherweise
165
Kapitel 4 Anti-Spam und Anti-Virus
für Viren gehaltene Dateien haben wir nur selten gesehen. Wir haben daher die Einstellungen ohne Quarantäne festgelegt. Ebenfalls an dieser Stelle können Sie die für die Scans benötigten Systemressourcen einstellen. Verwenden Sie nicht zu viele Ressourcen für das Scannen von Mails nach Viren, insbesondere dann nicht, wenn Sie mehrere Rollen auf einem Server installiert haben. Sollten Sie mehr Performance für das Scannen benötigen, so lagern Sie die Viren-Scan-Engine am besten auf einen Server mit der Rolle Edge-Transport aus. Auf der internen Hub-TransportRolle können Sie dann das Scannen von Mails von extern entfallen lassen. Mit dem nächsten Button können Sie die Update-Häufigkeit für jede Engine beeinflussen und den aktuellen Stand ablesen. Weniger als eine Stunde ist übrigens nicht sinnvoll, da Microsoft die Updates über die im mittleren Abschnitt erkennbare URL nicht in kürzeren Zeitabständen bereitstellt. Sollten Sie eine E-Mail-Benachrichtigung für die Updates eingestellt haben, dürfen Sie sich auf eine wahre Flut von E-Mails freuen. Wir haben daher die Benachrichtigung in ein gesondertes administratives Postfach laufen lassen, das den E-Mail-Administratoren zugänglich gemacht wurde.
Abbildung 4.36: Bestimmen Sie die Häufigkeit der Updates.
166
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Unter dem nächsten Button können Sie Vorlagen für die Scan-Optionen anlegen. In der Regel werden Sie aber mit den im Programm vorhandenen Möglichkeiten auskommen. Sehr interessant wird es im nächsten Abschnitt: den allgemeinen Optionen. Dieser wird unterteilt in mehrere Teile. Im oberen Bereich können Sie die Diagnoseprotokollierung aktivieren. Das ist insbesondere im Fehlerfall nützlich, oder wenn Sie einen Supportfall mit dem Microsoft-Support-Team eruieren müssen. Der nächste Abschnitt bestimmt, welche Protokollierungen Sie im laufenden Betrieb aktivieren. Schalten Sie hier nicht zu viel ein. Je nachdem, wie viele Mails bei Ihnen täglich gescannt werden, ist die Flut an Informationen in den einzelnen Log-Dateien möglicherweise zu hoch. Ans Herz legen wollen wir Ihnen aber das Einschalten der Log-Dateien für die VORFALLPROTOKOLLIERUNG. Damit haben Sie im Ernstfall, beispielsweise wenn Sie gerade sehr viele Viren abwehren müssen, einen genauen Nachweis, woran das liegt. Die übrigen Punkte in diesem Abschnitt würden wir nur zu Diagnosezwecken aktivieren. Zum nächsten Abschnitt müssen Sie bereits ein wenig nach unten scrollen, falls Sie keine sehr große Bildschirmauflösung haben. Hier sind verschiedene Punkte für das Update konfigurierbar.
Abbildung 4.37: Konfigurieren Sie die Updates in Forefront.
167
Kapitel 4 Anti-Spam und Anti-Virus
Bei einem NEUVERTEILUNGSSERVER (Redistribution Server) handelt es sich um eine Installation von Forefront, welche die Updates an weitere Forefront-Installationen verteilen darf. Gerade wenn Sie mehrere Server mit Forefront im Einsatz haben, schont der Einsatz dieser Option die Bandbreite. Die anderen Server müssen dann statt des Downloadlinks von Microsoft, den Sie unter EINSTELLUNGEN • SCANNERUPDATES • NETZWERK-AKTUALISIERUNGSPFAD finden, den Link zu Ihrem zentralen Hub-Transport-Server für Forefront-Updates erhalten. Setzen Sie in Ihrem Unternehmen einen Proxy-Server ein, dann können Sie in diesem Abschnitt auch noch die Anmeldedaten für diesen angeben. Wie bereits in der Installationsanleitung angegeben, ist bei einigen früheren Forefront-Versionen dieser Eintrag allerdings missachtet worden, und das Update ist nicht erfolgt. Des Weiteren ist ein Update über einen UNC-Pfad möglich. Das heißt, die Updates können auch manuell in einem Netzlaufwerk bereitgestellt und von dort automatisiert bezogen werden. Im Abschnitt „Scanvorgang läuft“ werden noch verschiedene Optionen für den Scan-Vorgang hinterlegt. In der Abbildung sehen Sie, welche Optionen wir Ihnen empfehlen. Verschiedene Gegebenheiten können natürlich zu einer Änderung der einen oder anderen Option bei Ihnen führen. Beispielsweise wenn Sie korrupte Dateien noch gesondert behandeln möchten.
Abbildung 4.38: Unsere Empfehlungen für die Scan-Optionen
Im nächsten Teil der Scan-Optionen haben wir für unsere kleine Umgebung wieder ein paar Abstriche machen müssen. Wir haben weniger parallele Ausführungsfäden (Threads) eingestellt und die Performance auf GERING eingestellt. In größeren Umgebungen sollten Sie entsprechend mehr nehmen. Sehr wahrscheinlich werden Sie dort einen oder mehrere separate Server mit der Edge-Transport-Rolle installieren. Dort können Sie je nach Ausstattung des Servers bis zu zehn Mails gleichzeitig scannen. Unsere Einstellungen sehen Sie in Abbildung 4.39.
168
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Abbildung 4.39: Einstellungen für die Scan-Engine in kleinen Umgebungen
Im letzen Bereich der Optionen stehen Ihnen noch die Aktivierung des Hintergrund-Scans, das Scannen von Nachrichten nur mit Attachments und die Option, einmal gescannte Nachrichten auszunehmen, zur Verfügung. Wir würden die ersten beiden Optionen aktivieren. Das Scannen von bereits überprüften Nachrichten auszunehmen, ist jedoch ein mitunter ernsthafter Sicherheitsverlust. Nur so können Sie eine Virusinfektion, mit einem aktualisierten Pattern-Update das genau diesen Virus erkennen würde, feststellen und eventuell noch Schlimmeres verhindern. Da Viren-Pattern-Updates in der Regel nach relativ kurzer Zeit zur Verfügung gestellt werden, kann der Zähler auch aus Performance-Gründen auf zwei Tage verbleiben. Leidet ihre Performance sehr darunter und haben Sie viele Scan-Engines aktiviert, versuchen Sie es mit einem Tag. Allerdings ist hiermit das Risiko eines unentdeckten Virus etwas höher.
Abbildung 4.40: Die Optionen des Hintergrund-Scans
169
Kapitel 4 Anti-Spam und Anti-Virus
4.3.4
Die Filteroptionen
Über die nächste Schaltfläche der Navigationsleiste erreichen Sie die beim Filtern einstellbaren Optionen. Diese variieren je nachdem, welche der Scan-Optionen Sie ausgewählt haben. Eine kleine Tabelle gibt Ihnen einen Überblick, welche Optionen bei welchem Job zur Verfügung stehen.
Filteroption
Transport-ScanAuftrag
Inhaltsfilter
Echtzeit-ScanAuftrag
Manueller ScanAuftrag
X
X
Schlüsselwort
X
Datei
X
X
X
Zulässige Absender
X
X
X
Filterlisten
X
X
X
Tabelle 4.2: Die Filteroptionen
Der Inhaltsfilter unterscheidet nach Sender-Domänen und dem Betreff. Sollten Sie also mit unerwünschten Nachrichten, deren Betreff sich stark ähnelt, überhäuft werden, so können Sie eventuell diese E-Mails an dieser Stelle blocken. Die Suche nach Schlüsselwörtern erfordert aufwendige manuelle Handarbeit, ist sehr umständlich und kostet viele Ressourcen, da hier die komplette E-Mail gescannt wird. Einfacher und mit wenig Ressourcenaufwand ist es dagegen, den Dateifilter einzusetzen. So gibt es immer wieder Sicherheitslücken in PDFoder Office-Dokumenten. Eventuell verbieten Sie zumindest, bis die Sicherheitslücken geschlossen sind, den Empfang. Mithilfe des Dateifilters können Sie auf einfache Weise E-Mails mit bestimmten Dateiendungen ausschließen. Sehr gefährlich aus unserer Sicht ist es, E-Mails von bestimmten Absendern nicht zu scannen. Wer garantiert Ihnen denn, dass aus der von Ihnen gewählten Domäne keine virenverseuchten Mails versendet werden? Das kann immer wieder einmal passieren, wenn Viren-Pattern zu spät eingespielt werden. Mithilfe der Filterlisten können Sie einfach und schnell ganze Listen aufstellen, mit deren Hilfe Sie nach Wörtern, Anhängen oder Betreffzeilen filtern können. Der Vorteil dieser Listen ist, dass diese exportiert und an anderen Servern mit Forefront Server Security eingesetzt werden können. Die Listenexporte können Sie durchführen, indem Sie eine Liste markieren und die Schaltfläche BEARBEITEN auswählen. Im nächsten Fenster wählen Sie dann EXPORTIEREN aus. Auf dieser Schaltfläche finden Sie auch die Importmöglichkeit von vorher exportierten Filterlisten.
170
Installation einer Anti-Viren-Lösung unter Exchange Server 2007
Abbildung 4.41: Import und Export der Filterlisten
Microsoft stellt zum Migrieren der Anti-Spam Einstellungen ein Tool zur Verfügung. Mit diesem Tool können Sie Ihrer Einstellungen von einem Exchange Server 2003 auf einen Exchange Server 2007 übernehmen. Weiter Informationen zu dem Tool finden Sie auf der Website http://www.microsoft.com/downloads/details.aspx?FamilyId=805EAF35-EBB343D4-83E4-A4CCC7D88C10&displaylang=en
4.3.5
Der Betrieb
Auf dem Button BETRIEB in der Navigationsleiste stehen Ihnen folgende Optionen zur Verfügung. 왘
Art des Virus-Scans (Echtzeit, Transport oder manuell)
왘
Filteroptionen (Viren-Scanning, Datei, Schlüsselwort oder Inhalt)
Da die Anti-Viren-Filter so weit als möglich im vorhandenen RAM arbeiten und so nur wenige Daten ausgelagert werden, sollte die Performance bei einem einigermaßen guten Ausbau des RAM-Speichers im Server ausreichend für alle Optionen sein. Unser Tipp daher: Schalten Sie alle Optionen ein. Neben AUFTRAG AUSFÜHREN haben Sie noch die Möglichkeit, zwischen AUFTRAG PLANEN und SCHNELLER SCAN auszuwählen. Damit können Sie zeitgesteuert (zum Beispiel nach einem Pattern-Update) gezielt nach unerwünschten Eindringlingen in Ihrem Netz suchen. Beim SCHNELLEN SCANVORGANG haben Sie noch die Möglichkeit auszuwählen, in welchen Mailboxen oder öffentlichen Ordner und mit welcher Scan-Engine Sie arbeiten wollen. Auch eine Benachrichtigungsfunktion ist vorhanden.
171
Kapitel 4 Anti-Spam und Anti-Virus
Manuelles Scannen belastet die Server mit der Mailbox-Rolle stark. Versuchen Sie daher, die Last auf Zeiten geringer Auslastung zu legen (zum Beispiel am Wochenende), wenige Scan-Engines zu verwenden und die Einstellung der Performance nicht auf MAXIMAL zu stellen. Etwas kritisch könnte es werden, die Scans auf NACHTS zu stellen. In dieser Zeit finden Wartungen an den Datenbanken statt (Online-Defragmentierung, Entfernen der gelöschten Elemente, welche die Aufbewahrungsfrist überschritten haben). Ein Scan mit dem Viren-Scanner könnte die Wartungsarbeiten so stark einschränken, dass kein vollständiger Durchlauf mehr möglich ist. Sehr häufig versagen diese Datenbanken dann nach einiger Zeit und müssen aufwendig wiederhergestellt werden. Das bedeutet, dass kein Backup mehr erstellt werden kann. Interne Inkonsistenzen sind die Folge.
4.3.6
Die Berichte
Unter den Berichten finden Sie Möglichkeiten, sich per E-Mail über Vorfälle informieren zu lassen. Klicken Sie hierzu auf das Symbol BENACHRICHTIGUNG. Die Einstellmöglichkeiten sind sehr vielfältig und beinhalten die Möglichkeit, eigene Nachrichtentexte für verseuchte Viren zu generieren. Aber auch die vorgegebenen Texte sind bereits sehr umfassend. Über welche Ereignisse Sie informiert werden wollen, müssen Sie im Laufe der Zeit selbst feststellen. Eine allgemeine Empfehlung möchten wir hier nicht geben. Die Berichte werden jeweils sofort nach dem Auftreten des Ereignisses ausgelöst. Bei einem erstmaligen manuellen Scan, der in der Zeit weit zurückreicht, erhalten Sie unter Umständen sehr viele neue Benachrichtigungen. Hier ist es daher besser, die Benachrichtigungsfunktion aus dem manuellen Scan zu benutzen. Unter dem Symbol VORFÄLLE erhalten Sie eine detaillierte Statistik zu den gefundenen Viren bzw. Daten. Sie können dafür sorgen, dass die Liste nicht zu lang wird, indem Sie eine Aufbewahrungsfrist für das Protokoll angeben und die Daten somit nicht zu lange aufbewahren. Wir sehen 60 Tage als ausreichend an. Zu guter Letzt erhalten Sie mit dem Symbol QUARANTÄNE einen Überblick über die Daten, die in der Quarantäne gelandet sind. Auch hier sollten Sie einen Zeitraum für die Aufbewahrung angeben. 30 Tage ist für die meisten Unternehmen ausreichend. Auch diese Liste ist nach verschiedenen Kriterien sortierbar. Durch einen Filter können Sie für die Liste festlegen, dass Ihnen nur relevante Elemente angezeigt werden. Auf der rechten Seite haben Sie dann die Möglichkeit, die E-Mail zustellen zu lassen. Ebenso können Sie an dieser Stelle das Protokoll löschen oder das in Quarantäne befindliche Element an einen anderen Ort speichern, um es dort eventuell noch einmal von einem anderen Viren-Scanner prüfen zu lassen. Im nächsten Kapitel erfahren Sie, welche Möglichkeiten unter Exchange Server 2007 bestehen, um auf E-Mails, Kalendereinträge und Aufgaben zuzugreifen.
172
5
Client-Zugriff auf den Server
5.1
Einleitung
Bevor wir in diesem Kapitel auf die einzelnen Zugriffsmöglichkeiten eines Exchange Servers 2007 eingehen wollen, möchten wir Ihnen das geänderte Zugriffskonzept näherbringen. Wie Sie schon in den vorherigen Kapiteln erfahren haben, baut der Exchange Server 2007 auf einem Rollenkonzept auf. Entscheidend für den Client-Zugriff ist die Serverrolle ClientAccess. Der ClientAccess-Server stellt die Komponenten zur Verfügung, die für eine erfolgreiche Verbindung der Clients zum Postfach-Server benötigt werden. Dazu sollte bei mehreren Active Directory-Standorten, in der sich Server mit der Rolle Mailbox befinden, auch immer eine ClientAccess-Serverrolle installiert werden. Der Grund dafür ist, dass der Server mit der ClientAccess-Serverrolle viele Funktionen übernommen hat, die unter früheren Exchange-Versionen von einem Postfach-Server ausgeführt wurden. Dazu gehören unter anderem die folgenden Funktionen: 왘
Exchange Active Sync-Postfach-Richtlinien
왘
Outlook Web Access-Segmentierung
왘
Autodiscover-Dienst
왘
Exchange-Webdienste
173
Kapitel 5 Client-Zugriff auf den Server
Der ClientAccess-Server ist daher kein 1:1-Ersatz für den unter Exchange Server 2003 bekannten Frontend-Server. Microsoft empfahl eine gewisse Zeit lang, einen Exchange 2000-Frontend-Server in einem Perimeter-Netzwerk zwischen dem Internet und der internen Firewall zu platzieren. Von dieser Empfehlung ist Microsoft selbst aber schon wieder abgekommen, da zu viele Ports geöffnet werden müssten (in der internen Firewall), damit der Exchange 2000-FrontendServer mit den Exchange 2000-Backend-Servern und dem Active Directory kommunizieren kann. Diese geöffneten Ports würden ein Sicherheitsrisiko darstellen und werden daher nicht mehr empfohlen. Die Kommunikation zwischen Frontend- und Backend-Server findet über das Protokoll RPC statt. Dieses verbindet sich über Port 135 mit dem Zielsystem und handelt dann einen oder mehrere Ports über den Port 1024 aus, um die eigentliche Kommunikation aufrechtzuerhalten. Ein Microsoft Exchange Server 2007-ClientAccess-Server darf nicht in einem Perimeter-Netzwerk positioniert werden, da er ebenfalls mit dem Exchange Server 2007-Mailbox-Server über das RPC-Protokoll kommuniziert und Abfragen an das Active Directory stellt. Weiter handelt es sich dabei um eine von Microsoft nicht unterstützte Installationsart. Der ClientAccess-Server muss Mitglied einer Domäne sein und kann mit den anderen Exchange-Serverrollen gemeinsam auf einer Hardware kombiniert werden. Eine Ausnahme ist die Serverrolle Edge-Transport, die nur alleine installiert werden kann. Gleichwohl kann der ClientAccess-Server mit Boardmitteln abgesichert werden. Das genaue Verfahren beschreiben wir in Kapitel 7, „Absicherung einer Exchange Server 2007-Organisation“. Die beiden neuen Aufgaben eines ClientAccess-Servers wie Autodiscover-Dienst und Exchange Webdienste entlasten die Mailbox-Serverrolle und stellen eine bedeutende Vereinfachung der ClientAccess-Konfiguration dar. Die ClientAccessServerrolle benötigt insgesamt am wenigsten Ressourcen. Bei einer Verteilung der Rollen sollten Sie die ClientAccess-Rolle auf einem eigenen Server oder auf dem Hub-Transport installieren. In der Regel reicht ein ClientAccess-Server pro Standort aus. Fälschlicherweise wird häufig angenommen, das auch Outlook sich über diese Rolle mit der Mailbox verbindet. Das ist nicht der Fall – Outlook verbindet sich für die Kommunikation mit dem Postfach direkt mit der MailboxServerrolle.
5.1.1
Autodiscover-Dienst
Der Autodiscover-Dienst im Exchange Server 2007 ist eine Komponente, die es Ihnen ermöglicht, Outlook 2007 und einige unterstützte mobile Endgeräte mit einer automatischen Konfiguration zu versorgen. Dazu muss der Benutzer nur noch seine E-Mail-Adresse und sein Passwort bei der Erstkonfiguration angeben. Alle weiteren Profil-Informationen werden über den Autodiscover-Dienst zur Verfügung gestellt. Sollten sich im Laufe der Zeit Einstellungen im Profil des
174
Einleitung
Benutzers ändern, wie zum Beispiel der Umzug auf einen anderen Server, so befragt Outlook den Autodiscover-Dienst erneut und erhält die aktuellen Informationen zurück. Daraufhin wird das Profil des Benutzers angepasst. Wir gehen in diesem Abschnitt etwas genauer auf die Funktionsweise des Dienstes Autodiscover ein. Dies wird Ihnen das Verständnis für die nachfolgenden Themen erleichtern. Outlook 2007 stellt zwei Möglichkeiten zur Verfügung, die Einrichtung und Konfiguration zu erleichtern. Dabei wird zum einem auf die Autodiscover-Funktion zugegriffen, die in Verbindung mit einem Firmen-Exchange Server 2007 funktioniert und zum anderen die Allgemeine Einstellungs-Konfiguration. Diese ist hauptsächlich für die Verwendung von Outlook 2007 mit den meisten Internet Service Providern (ISP) gedacht. Dabei wird Outlook üblicherweise über POP3 oder IMAP4 mit dem E-Mail-Server des ISP verbunden. Die Allgemeine Einstellungs-Konfiguration ist eine Funktion von Outlook 2007, bei der lokale XML-Dateien ausgelesen werden, die bei der Installation von Outlook 2007 in dem Verzeichnis C:\Programme\Microsoft Office\Office12\OutlookAutoDiscover abgelegt werden. Anhand der E-Mail-Adresse, die der Benutzer bei der Konfiguration angibt, wird entschieden, welche XML-Datei angewendet werden soll. Gibt der Benutzer beispielsweise eine Adresse an wie max.mustermann @yahoo.de, so wird die XML-Datei YAHOO.DE.XML angewendet. Sollte es für Ihren ISP keine fertige XML-Datei geben und der ISP keinen Exchange Server 2007 mit Autodiscover-Funktion zur Verfügung stellen, so schaltet Outlook automatisch auf die manuelle Konfiguration zurück. Sie werden dann aufgefordert, die erforderlichen Angaben wie zum Beispiel POP3-Ausgangs-Server oder SMTP-Eingangs-Server einzugeben. Weitere Informationen zur Allgemeinen Einstellungs-Konfiguration finden Sie in dem Dokument Outlook Automatic Account Configuration in englischer Sprache. Das Dokument können Sie unter folgender URL herunterladen: http://office.microsoft.com/download/afile.aspx?AssetID=AM102105061033 Die Funktion von Autodiscover ist zwar eine Funktion von Exchange Server 2007, wird aber von Outlook 2007 initialisiert. Wir müssen bei der Autodiscover-Funktion unterscheiden, ob der Outlook-Client Mitglied einer Domäne ist und mit dieser eine direkte Verbindung hat, oder ob er nicht Domänen-Mitglied ist und eine Verbindung zum Exchange Server 2007 über das Internet aufbauen möchte.
175
Kapitel 5 Client-Zugriff auf den Server
Auf dem Exchange Server 2007 mit der Serverrolle ClientAccess steht ein virtuelles Verzeichnis im IIS unter der Standard-Website mit dem Namen Autodiscover zur Verfügung. Dort befindet sich eine Datei autodiscover.xml, die als Platzhalter für die dynamische Generierung benötigt wird. Der Inhalt wird vom ClientAccess-Server dynamisch, abhängig von den Informationen, die der Benutzer bei der Erstkonfiguration von Outlook angibt, gefüllt. Outlook-Clients, die Mitglieder einer Domäne und mit der Domäne verbunden sind, verwenden zur Suche des virtuellen Verzeichnisses keine Namensauflösung über DNS, sondern fragen das Active Directory nach einem Service Connection Point (SCP) ab. Der SCP ist in der Konfigurations-Partition des Active Directory bei der Installation von Exchange Server 2007 erzeugt worden und enthält den Pfad zum virtuellen Verzeichnis eines ClientAccess-Servers. Sie können den Eintrag mit dem Tool ADSIEdit aus den Support Tools des Windows Server 2003 anzeigen lassen oder über die Exchange Management Shell ändern.
Abbildung 5.1: SCP über ADSIEdit
176
Einleitung
Sollte es notwendig werden, diesen Wert zu ändern, führen Sie bitte die Änderung nur über die Exchange Management Shell durch. Rufen Sie dazu mit dem Befehl get-ClientAccessServer | fl die Konfiguration des Servers auf. Setzten Sie die Konfiguration mit dem Befehl Set-ClientAccessServer –AutodiscoverInternalURL ”https:///autodiscover/autodiscover.xml“
Abbildung 5.2: Anzeige des SCP über die Exchange Management Shell
Die folgende Abbildung zeigt die Anfragen eines Outlook-Clients innerhalb einer Domäne.
Abbildung 5.3: Abfrage des SCP im Active Directory
Punkt 1: Outlook fragt im AD den SCP ab.
177
Kapitel 5 Client-Zugriff auf den Server
Punkt 2: Outlook erhält die URL des ClientAccess-Servers, der im SCP hinterlegt ist. Punkt 3: Outlook sendet eine Anfrage an den ClientAccess-Server, die es über den SCP erhalten hat. Punkt 4: Der ClientAccess-Server sendet dem Client eine XML-Datei mit den erforderlichen Informationen. Bei dieser Konstellation ist es wichtig, dass der Name im SSL-Zertifikat mit dem Namen des Service Connection Points übereinstimmt. Andernfalls erhalten die Clients eine Zertifikatswarnung. Bei der Konstellation ohne direkte Domänen-Mitgliedschaft und einer Verbindung über das Internet verwendet Outlook wieder die E-Mail-Adresse des Benutzers, um über eine DNS-Namensauflösung das virtuelle Verzeichnis auf einem ClientAccess-Server zu finden. Dazu wird der Teil aus der E-Mail-Adresse hinter dem @-Symbol verwendet, um nach dem Autodiscover-Verzeichnis unter folgenden URLs zu suchen. (Dabei steht domäne.de für Ihre SMTP-Domäne.) https://domäne.de/autodiscover/autodiscover.xml https://autodiscover.domäne.de/autodiscover/autodiscover.xml http://autodiscover.domäne.de/autodiscover/autodiscover.xml SRV-Anfrage: _autodiscover._tcp.domäne.de (nur mit Hotfix KB939184) Damit Outlook 2007-Clients, die nicht mit der Domäne verbunden sind, unter einem der oben genannten Pfade Ihren Exchange-ClientAccess-Server erreichen können, müssen Sie einen A-Record-Eintrag auf einem aus dem Internet zugänglichen DNS-Server registrieren, um die Adresse https://autodiscover.domäne.de/ autodiscover/autodiscover.xm aufzulösen, oder einen Eintrag für domäne.de, um die Adresse https://domäne.de/autodiscover/autodiscover.xml aufzulösen. Sollten Sie die externen DNS-Server Ihrer Domäne nicht selbst betreiben, wird Ihr ISP diesen Eintrag für Sie vornehmen. Dieser A-Record- bzw. SRV-Eintrag sollte den Namen enthalten (autodiscover.domäne.de oder domäne.de) und auf eine Ihrer öffentlichen IP-Adresse zeigen, unter der Ihre Firewall oder der ClientAccess-Server zu erreichen ist. Sollte Ihre Firewall unter der öffentlichen IPAdresse zu erreichen sein, so leiten Sie die Anforderung an den ClientAccess-Server weiter.
178
Einleitung
Die Verbindung zum Autodiscover-Verzeichnis wird über HTTPS aufgebaut. Achten Sie daher darauf, dass der Name domäne.de bzw. autodiscover.domäne.de in einem gültigem Zertifikat zur Verfügung steht. Ansonsten erhalten Sie Fehler bei der Konfiguration oder bei der Verwendung von Outlook. Diese können sich unter anderem in Problemen bei Download des Offline-Adressbuches äußern. Bei einer Konfiguration, bei der Sie nicht die Möglichkeit haben, den zusätzlichen Namen für Autodiscover im SSL-Zertifikat zu hinterlegen, werden Anfragen immer mit einer Zertifikatswarnung beantwortet. Dazu gibt es ab dem Update Rollup Hotfix (KB939184) für Outlook 2007 eine Lösung. Nachdem Sie das Hotfix auf dem Outlook-Client installiert haben, wird eine weitere DNSAbfrage an den DNS-Server nach einem SRV-Eintrag gesendet. Auf dem DNSServer, der über das Internet erreichbar ist, haben Sie einen SRV-Eintrag gesetzt oder von Ihrem ISP setzen lassen, der auf die externe URL des ClientAccess-Servers zeigt. Schlagen alle anderen Anfragen fehl, da diese nicht erreichbar sind, gibt der SRV-Eintrag die externe URL des ClientAccess-Servers zurück, und Outlook sendet die Autodiscover-Anfrage an diese URL. Auf den folgenden Abbildungen sehen Sie eine erfolgreiche Anfrage eines Outlook-Clients aus dem Internet an einen Autodiscover-Eintrag auf einem DNS-Server.
Abbildung 5.4: Autodiscover-HTTPS-Anfrage
179
Kapitel 5 Client-Zugriff auf den Server
Punkt 1: Outlook fragt im Active Directory den SCP ab. Das Active Directory ist über das Internet nicht verfügbar und die Anfrage schlägt fehl. Punkt 2: Outlook fragt die URL https://autodiscover.domäne.de ab. Punkt 3: Outlook erhält die URL des ClientAccess-Servers von einem DNS-Server im Internet, auf dem der Eintrag hinterlegt ist. Punkt 4: Outlook sendet eine Anfrage an den ClientAccess-Server, die es über den DNS-Server erhalten hat. Punkt 5: Der ClientAccess-Server sendet dem Client eine XML Datei mit den erforderlichen Informationen. Sie sehen nun eine Anfrage des Outlook-Clients mit Hotfix KB939184 an den SRV-Eintrag auf dem DNS-Server.
Abbildung 5.5: Autodiscover-SRV-Anfrage
Punkt 1: Outlook fragt im Active Directory den SCP ab. Das Active Directory ist über das Internet nicht verfügbar und die Anfrage schlägt fehl. Punkt 2: Outlook fragt die URL https://domäne.de/autodiscover ab. Der Eintrag ist auf keinem DNS-Server hinterlegt und die Anfrage schlägt fehl. Punkt 3: Outlook fragt die URL https://autodiscover.domäne.de ab. Der Eintrag ist auf keinem DNS-Server hinterlegt und die Anfrage schlägt fehl. Punkt 4: Outlook fragt den SRV-Eintrag _autodiscover._tcp.domäne.de ab.
180
Einleitung
Punkt 5: Outlook erhält die URL des ClientAccess-Servers von einem DNS-Server im Internet, auf dem der SRV-Eintrag hinterlegt ist. Punkt 6: Outlook sendet eine Anfrage an den ClientAccess-Server, die es über den DNS-Server erhalten hat. Punkt 7: Der ClientAccess-Server sendet dem Client eine XML-Datei mit den erforderlichen Informationen. Sollten Sie in Ihrer Exchange-Organisation mehrere SMTP-Domänen bereitstellen, müssen Sie für nicht für jede SMTP-Domäne einen ARecord-Eintrag veröffentlichen. Richten Sie dafür eine Weiterleitung auf dem virtuellen Verzeichnis von Autodiscover ein. Weitere Informationen über die Einrichtung der Weiterleitung für die Autodiscover-Anfragen finden Sie in englischer Sprache unter der folgenden Internetadressse: http://technet.microsoft.com/en-us/library/bb310764.aspx Sollten Sie mehrere DNS-Zonen haben, die einen entsprechenden SMTPDomänen-Namen darstellen, müssen Sie bei der Verwendung von SRV-Einträgen in jeder DNS-Zone den SRV-Eintrag setzen. Weitere Informationen, wie Sie einen SRV-Eintrag für den Autodiscover-Dienst vornehmen, finden Sie im Artikel KB940881. Nachdem Sie einen Überblick über die Funktion von Autodiscover bekommen haben, erleichtert dies, die Konfigurationen der einzelnen Zugriffsmethoden im weiteren Verlauf dieses Kapitels zu verstehen. Für weiterführende Informationen zum Thema Autodiscover und zum Einsatz in unterschiedlichen Szenarien lesen Sie bitte das Microsoft-Whitepaper zu diesem Thema unter der Adresse: http://technet.microsoft.com/en-us/library/59adba4e-44e1-4aa2-b09d06988cbeab2d.aspx
5.1.2
Exchange-Webdienste
Die Exchange-Webdienste stellen die Nachfolge der unter früheren ExchangeVersionen verwendeten Programmierschnittstellen wie ExoleDB, WebDAV und CDOEx dar und liefern den Anwendungsapplikationen die Möglichkeit, mit dem Exchange Server 2007 zu kommunizieren. Dabei können diese Anwendungen auch auf die automatische Bereitstellung der Profil-Informationen aus dem Autodiscover-Dienst zurückgreifen. Es stehen Ihnen ab SP1 für den Exchange Server 2007 einige Erweiterungen und Funktionen zur Verfügung, die für die Anbindung an einen Exchange Server 2007 über die Webdienste vorteilhaft sind. Ab SP1 ist es möglich, über die Webdienste
181
Kapitel 5 Client-Zugriff auf den Server
auf Inhalte der öffentlichen Ordner zuzugreifen. Weiter können Berechtigungen auf Ordnerebene gesetzt werden, und eine Proxy-Funktion zum nächst verfügbaren ClientAccess-Server wurde eingebaut. Für weitere Informationen zur Verwendung der Webdienste und zum Zugriff über die Webdienste für Applikationen lesen Sie bitte die Inhalte unter dem Link zum Exchange Server Developer Center: http://msdn2.microsoft.com/en-us/exchange/default.aspx Für die bekannten Client-Zugriffsformen wie OWA, Active Sync, POP3 und IMAP4 oder Outlook Anywhere (ehemals RPC über HTTPS) wird die Serverrolle ClientAccess benötigt. Sie werden in dieser Aufzählung sicherlich den Zugriff über Outlook vermisst haben. Dieser stellt eine Ausnahme dar und kommuniziert direkt mit der Mailbox-Serverrolle. Aber auch für Outlook wird der ClientAccess-Server benötigt, da dieser Informationen wie das Offline-Adressbuch, Frei/Gebucht-Zeiten oder Abwesenheitsbenachrichtigungen bereitstellt. Details zu den einzelnen ClientZugriffsarten und deren Konfiguration finden Sie in den nächsten Abschnitten dieses Kapitels.
5.2
Client-Zugriff mit Outlook
Der Zugriff über Outlook ist wie bei früheren Versionen des Exchange Servers möglich. Es wird weiterhin das MAPI-Protokoll verwendet, das über RPC Anfragen dynamische Ports auf dem Exchange Server verwendet, um eine Verbindung herzustellen. Microsoft unterstützt den Zugriff auf den Exchange Server 2007 mit den Outlook-Versionen 2002, 2003 und 2007. Eine technische Anbindung von Outlook 2000 ist zwar möglich, wird aber von Microsoft nicht unterstützt, und einige Erfahrungen in diesem Bereich haben gezeigt, dass auf Seiten des Outlook-Clients unerwartete Verhaltensweisen auftreten können. Daher auch von uns nochmals der Hinweis: Betreiben Sie bitte keine Outlook-Version älter als Outlook 2002 mit einem Exchange Server 2007. Unter früheren Versionen des Exchange Servers stand Ihnen über EINTRÄGE in der Registry die Möglichkeit zur Verfügung, gewisse Outlook-Versionen zu sperren. Einen entsprechenden Tipp hat auch der Exchange Best Practices Analyzer (ExBPA) vorgeschlagen. Eine etwas gefährliche Konfiguration war dies allerdings schon, da man sich damit schnell die Verwaltungskonsole des Exchange Servers (Exchange Management Console) aussperren konnte. Diese verwendet auch eine Datei MAPI.dll. Hatte man nun nicht genau diese Version zugelassen, so war der ESM nicht mehr zu verwenden, solange diese Einstellung aktiv war. Unter Exchange Server 2007 kann dies nicht mehr passieren, da die Verwaltung über eine Microsoft Management Console (MMC) durchgeführt und keine Datei MAPI.dll mehr verwendet wird. Sie können ab
182
Client-Zugriff mit Outlook
Exchange Server 2007 den Zugriff per MAPI pro Benutzer blockieren. Sollten gewisse Benutzer nur über OWA, Active Sync, POP3 oder IMAP4 auf ihr Postfach zugreifen können, so deaktivieren Sie einfach die MAPI-Funktion über die Eigenschaften des Benutzers oder über die Exchange Management Shell.
Abbildung 5.6: Deaktivieren von MAPI über die GUI
Wollen Sie diesen Vorgang für eine Vielzahl von Benutzern durchführen, ist es einfach, dies über die Exchange Management Shell zu erledigen. Mit dem folgendem Befehl wird für alle Benutzer, die mit dem Buchstaben T beginnen, der Zugriff auf MAPI blockiert: Get-mailbox | where { $_.Name –like „T*“ } | set-CASMailbox –MapiEnabled:$false Schauen Sie sich den Befehl Set-CASMailbox einmal in der Hilfe mit dem Befehl help set-CASMailbox –full an. Dort finden Sie noch viele weitere Konfigurationsmöglichkeiten, die Ihnen über die GUI nicht zur Verfügung stehen. Unter anderem auch die Funktion, gewisse Outlook-Versionen pro Benutzer zu sperren. Einige Features und Funktionen aus älteren Outlook-Versionen stehen Ihnen ab Outlook 2007 nicht mehr zur Verfügung bzw. wurden geändert. Eigener E-Mail-Editor für Outlook. Outlook 2007 verwendet einen eigenen auf Microsoft Word 2007 basierenden Editor zum Erstellen von E-Mails. Unter älte-
183
Kapitel 5 Client-Zugriff auf den Server
ren Outlook-Versionen konnten Sie Word als E-Mail-Editor abschalten und stattdessen den Outlook-E-Mail-Editor verwenden. Das persönliche Adressbuch. Das persönliche Adressbuch aus Outlook 97 wird in dieser Form nicht mehr unterstützt. Alle persönlichen Kontakte wurden bereits in früheren Versionen von Outlook in den Kontakten gespeichert; es konnte aber immer noch die PAB-Datei des persönlichen Adressbuches eingebunden werden. Über Outlook 2007 steht Ihnen das persönliche Adressbuch nicht mehr zur Verfügung. Aufgabenblock. Der Aufgabenblock wird nicht mehr im Kalender angezeigt. Das Menü ist nicht mehr unter ANSICHT zu finden. Es wird ersetzt durch die neue Aufgabenleiste. Eine Liste aller nicht mehr vorhandenen Features und geänderten Funktionen unter Outlook 2007 finden Sie auf folgender Internetseite: http://office.microsoft.com/de-de/outlook/ HA100926831031.aspx?pid=CH101535021031 Viele der neuen Funktionen von Outlook 2007 können Sie in Verbindung mit dem Exchange Server 2007 am effektivsten nutzen. Neue Funktionen sind unter anderem: Sofortsuche. Mit der Sofortsuche steht Ihnen eine leistungsstarke Suchfunktion in Outlook 2007 zur Verfügung, mit der Sie Ihr gesamtes Postfach durchsuchen können. Anlagenvorschau. Mit der Anlagenvorschau können Sie sich Anlagen in einer E-Mail im Lesebereich anzeigen lassen, ohne die Anlage öffnen zu müssen. Dies funktioniert für die meisten Office-Anlagen. Einige Add-ins werden mittlerweile zur Erweiterung der Anlagenvorschau angeboten. So steht beispielsweise für PDF-Dateien ein solches Add-in zur Verfügung. Verbesserte Planungsmöglichkeiten. Mit Outlook 2007 und Exchange Server 2007 steht Ihnen ein Termin-Assistent zur Verfügung, der Ihnen während der Eingabe der Teilnehmer und Ressourcen farblich den optimalen Zeitpunkt für den Termin kennzeichnet. Freigabe von Kalenderinformationen. Sie können mit Outlook 2007 eine Freigabe des Kalenders einer anderen Person anfordern. Dies geschieht über eine E-Mail. Die Person muss in dieser E-Mail nur die Freigabe bestätigen. Speichern als PDF oder XPS. Outlook 2007 ermöglicht es Ihnen, Dateien als PDF- oder XPS-Dateien zu speichern.
184
Client-Zugriff mit Outlook
Abbildung 5.7: Protokolle der Serverkommunikation
185
Kapitel 5 Client-Zugriff auf den Server
Auf folgender Internetseite finden Sie eine komplette Liste der neuen Funktionen, die Ihnen ab Outlook 2007 zur Verfügung stehen und mit Exchange Server 2007 in vollen Umfang genutzt werden können: http://office.microsoft.com/de-de/outlook/ HA100743061031.aspx?pid=CH101535021031 Der Zugriff auf ein Postfach über Outlook (nicht mit Outlook Anywhere) stellt die einzige Verbindungsart dar, bei der eine direkte Kommunikation des Outlook-Clients direkt mit dem Postfachserver über das MAPI-Protokoll hergestellt wird. Alle anderen Zugriffsarten werden über den ClientAccess-Server an den Mailbox-Server weitergeleitet. In der folgenden Abbildung sehen Sie eine Darstellung der Kommunikationswege zwischen den Servern. Dabei erkennen Sie, dass der ClientAccess-Server eine maßgebliche Kommunikationsrolle in der Exchange-Organisation spielt.
5.2.1
Nachrichten-Limits und mehr
Ein sehr wichtiger Punkt für viele Administratoren ist die Größenlimitierung der ein- und ausgehenden E-Mails, die in der Organisation zugelassen ist. Da zu diesem Thema sehr häufig Fragen in der Exchange Newsgroup auftauchen, wollen wir die Limitierungsmöglichkeiten hier etwas genauer darstellen und Ihnen zeigen, an welchen Stellen Sie Limits setzen können und wie diese in Ihrer Organisation wirken. Weiter sollten Sie die Standardlimitierungen von Exchange Server 2007 kennen, um auf entsprechende Anrufe Ihrer Benutzer vorbereitet zu sein. Für die einzelnen Limits, die Sie mit einem Exchange Server 2007 setzen können, müssen Sie zwischen den Limitarten unterscheiden. So gibt es beispielsweise das Empfänger-Limit, das die Anzahl der Empfänger in einer E-Mail überprüft und auswertet. Dabei werden alle Empfänger in den Feldern AN:, CC: und BCC: aufgeführt und in das Umschlagsfeld RCPT TO: der E-Mail geschrieben. Die Anzahl im Feld RPCT TO: wird gegen das bestehende Limit geprüft. Überschreitet die Anzahl der Empfänger das eingestellte Limit auf dem Exchange Server, erhält der Absender eine entsprechende Nachricht.
Eine Verteilerliste wird in diesem Fall als ein einzelner Empfänger angesehen.
186
Client-Zugriff mit Outlook
Der Standardwert für die ausgehende Empfängeranzahl ist bei einem Exchange Server 2007 auf UNLIMITIERT gesetzt. Sie können diese Einstellung mit dem Exchange Management Shell-Befehl Set-TransportConfig organisationsweit ändern. Für die eingehende Empfängeranzahl ist der entsprechende Empfangs-Connector zuständig. Den Wert können Sie über den Exchange Management Shell-Befehl SetReceiveconnector ändern. Der Standardwert liegt hier bei 5000 Empfängern und kann einen Wert von 1 bis 512.000 haben. Für die meisten Umgebungen sollten die Standardwerte ausreichen. Weitaus interessanter ist aber sicher das Limit der Nachrichtengröße. Dafür gibt es beim Exchange Server 2007 auch einige voreingestellte Werte und unterschiedliche Konfigurationsbereiche. Folgende Konfigurationsbereiche und Standardwerte sind bei einem Exchange Server 2007 möglich: Konfigurationsbereich
Standardwert
Organisationslimit
max. 10 MB (Senden/Empfangen)
Globales Limit
max. 10 MB (Senden/Empfangen)
Connector-Limit
max. 10 MB (Sende-Connector/Empfangs-Connector)
Server-Limit
kein Limit
Benutzer-Limit
kein Limit
OWA-Limit
max. 30 MB (Größe des Dateianhangs)
Tabelle 5.1: Standardwerte für Nachrichten-Größenlimits
Beim globalen Limit sollten Sie Folgendes beachten: Das globale Limit gibt es in dieser Form nicht mehr. Es wurde durch das Organisationslimit ersetzt. Der Standardwert von 10 MB wird bei einem Exchange Server 2007 über den Exchange Management Shell-Befehl Set-TransportConfig gesetzt. Dabei sind die Werte MaxReceiveSize und MaxSendSize für das Senden und Empfangen zuständig. Unter Exchange Server 2000/2003 wurden die globalen Limits im Exchange System Manager (ESM) festgelegt und im Active Directory gespeichert. Dort waren es die Werte delivContLenght und submissionContLenght. Daher unterscheiden sich die Werte nach Einführung von Exchange Server 2007 von den Standardwerten. Somit sind alle vier Werte von Bedeutung. Erst ab SP1 des Exchange Servers 2007 werden die Werte des globalen Limits mit den Einstellungen des Organisationslimits mit konfiguriert. Ohne SP1 müssen Sie alle vier Werte konfigurieren. Im Folgenden finden Sie eine Auflistung, in welcher Situation die globalen Limits gesetzt bzw. berücksichtigt werden müssen.
187
Kapitel 5 Client-Zugriff auf den Server
Die Werte delivContLenght und submissionContLenght sind auf 10240 kB (10 MB) festgelegt, wenn 왘
eine Exchange Server 2000/2003-Organisation auf Exchange Server 2007 aktualisiert und der Wert der globalen Einstellungen unter Exchange Server 2000/2003 auf kein Limit gesetzt wurde, oder
왘
eine neue Exchange Server 2007-Organisation implementiert und der Exchange Server 2007 (RTM) ohne SP1 eingesetzt wird.
Die Werte delivContLenghtundsubmissionContLenght bleiben unverändert, wenn unter Exchange Server 2000/2003 das globale Limit auf einen Wert festgelegt wurde und wenn, 왘
eine Exchange Server 2007-Organisation auf Exchange Server 2007 SP1 aktualisiert und die Werte MaxReceiveSize und MaxSendSize über den Exchange Management Shell-Befehl Set-TransportConfig vorher auf unlimited festgelegt wurden, oder
왘
eine Exchange Server 2000/2003-Organisation auf Exchange Server 2007 aktualisiert wurde.
Die Werte delivContLenght und submissionContLenght werden an die Werte MaxReceiveSize und MaxSendSize angepasst, wenn alle folgenden Bedingungen zutreffen: 왘
Eine Exchange Server 2007-Organisation wird auf Exchange Server 2007 SP1 aktualisiert.
왘
Die Werte MaxReceiveSize und MaxSendSize werden mit einem Wert festgelegt.
왘
Es existieren unterschiedliche Werte für die globalen Limits in den Werten delivContLenght und submissionContLenght und für die Organisationslimits in den Werten MaxReceiveSize und MaxSendSize. Die Organisationslimits überschreiben in diesem Fall die globalen Limits.
Die globalen Limits können erst mit SP1 für den Exchange Server 2007 über die Exchange Management Shell bearbeitet werden. Dafür verwenden Sie den Befehl Set-TransportConfig. Sie setzen damit die Organisationslimits, die ab SP1 auch die globalen Limits festlegen. Vor SP1 für den Exchange Server 2007 können Sie die globalen Limits nur über den Exchange System Manager von Exchange Server 2000/2003 anpassen oder über das Tool ADSIEdit aus den Support Tool der Windows Server-CD verändern. Um das globale Limit mit dem Tool ADSIEdit anzupassen, installieren Sie die Support Tools auf dem Exchange Server 2007. Die Support Tools finden Sie auf der Windows Server 2003-CD. Befolgen Sie folgende Schritte:
188
Client-Zugriff mit Outlook
1. Klicken Sie auf Start Ausführen und geben Sie mmc ein. Klicken Sie auf OK. 2. In der leeren MMC klicken Sie auf Datei und Snap-In hinzufügen/entfernen. Klicken Sie auf Hinzufügen und markieren Sie ADSIEdit. Klicken Sie auf Hinzufügen. 3. Klicken Sie auf Schließen und dann auf OK. 4. Klicken Sie mit der rechten Maustaste auf ADSIEdit und auf connect to. Wählen Sie unter Select a well known Naming Context den Wert Configuration aus und klicken Sie auf OK. 5. Erweitern Sie den Pfad CN=Configuration, CN=Services, CN=Microsoft Exchange, CN=, CN=Global Settings und öffnen Sie die Eigenschaften von CN=Message Delivery. 6. In den Eigenschaften finden Sie die Werte delivContLenght, submissionContLenght und msExchRecipLimit. Passen Sie die Werte Ihren Bedürfnissen an.
Abbildung 5.8: Globale Limitierungen im Active Directory
Dieses Vorgehen ist nur für die Version Exchange Server 2007 RTM notwendig. Ab Exchange Server 2007 SP1 werden die oben genannten Werte an die Organisationslimits angepasst und nur noch über den Exchange Management Shell-Befehl Set-TransportConfig festgelegt.
189
Kapitel 5 Client-Zugriff auf den Server
Damit Sie verstehen, wo und wie Sie die Limits passend für Ihre Anforderungen setzen sollten, haben wir Ihnen in der Abbildung unten dargestellt, wie und wann die unterschiedlichen Limits angewendet werden. Grundsätzlich gilt, dass das Organisationslimit für alle E-Mail Gültigkeit hat und immer die maximale Größe der Limitierung darstellen sollte.
Abbildung 5.9: Nachrichtengrößen-Limits
Betrachten wir drei Beispiele, in denen eine E-Mail durch die entsprechenden Limitüberprüfungen geleitet wird. Beispiel 1: Exchange Server 2007 SP1 (Globales Limit entspricht dem Organisationslimit) 왘
Das Empfangs-Connector-Limit ist auf 10 MB festgelegt.
왘
Das Organisationslimit ist auf 20 MB festgelegt.
왘
Das Server-Limit ist auf 5 MB festgelegt.
왘
Der Benutzer hat ein Limit von 2 MB pro empfangener E-Mail.
190
Client-Zugriff mit Outlook
Eine E-Mail wird von extern an den Benutzer gesendet und hat eine Größe von 3 MB. Diese E-Mail passiert in folgender Reihenfolge die Limits. 1. Empfangs-Connector (10 MB): erfolgreich 2. Organisationslimit (20 MB): erfolgreich 3. Server-Limit (5 MB): erfolgreich 4. Benutzer-Limit (2 MB): E-Mail wird abgelehnt. Beispiel 2: Exchange Server 2007 RTM (Globales Limit unterscheidet sich vom Organisationslimit) 왘
Das Sende-Connector-Limit ist auf 15 MB festgelegt.
왘
Das Organisationslimit ist auf 50 MB festgelegt.
왘
Das globale Limit ist auf 10 MB festgelegt.
왘
Das Server-Limit ist auf 25 MB festgelegt.
왘
Der Benutzer hat kein ein Limit für ausgehende E-Mails.
Eine E-Mail wird vom Benutzer gesendet und hat eine Größe von 12 MB. Diese E-Mail passiert in folgender Reihenfolge die Limits. 1. Benutzer-Limit (nicht festgelegt): erfolgreich 2. Server-Limit (25 MB): erfolgreich 3. Globales Limit (10 MB): Die E-Mail wird nicht versendet. Der Benutzer erhält eine Benachrichtigung. Wie Sie an diesem Beispiel sehen können, wird die E-Mail gar nicht gegen das Organisationslimit geprüft, da sie schon am globalen Limit scheitert. Dieses Beispiel ist nur für die Version Exchange Server 2007 RTM gültig. Im folgenden Beispiel werden die gleichen Einstellungen verwendet, allerdings ist die verwendete Version nun Exchange Server 2007 SP1. Beispiel 3: Exchange Server 2007 SP1 (Globales Limit entspricht dem Organisationslimit) 왘
Das Sende-Connector-Limit ist auf 15 MB festgelegt.
왘
Das Organisationslimit ist auf 50 MB festgelegt.
왘
Das Server-Limit ist auf 25 MB festgelegt.
왘
Der Benutzer hat kein ein Limit für ausgehende E-Mails.
191
Kapitel 5 Client-Zugriff auf den Server
Eine E-Mail wird vom Benutzer gesendet und hat eine Größe von 12 MB. Diese E-Mail passiert in folgender Reihenfolge die Limits. 1. Benutzer-Limit (nicht festgelegt): erfolgreich 2. Server-Limit (25 MB): erfolgreich 3. Organisationslimit (50 MB): erfolgreich 4. Sende-Connector-Limit (15 MB): erfolgreich In diesem Beispiel wird die E-Mail erfolgreich versendet, da keine Limitierung unterhalb der Größe der E-Mail vorhanden ist. Sollten Sie E-Mails intern versenden, gelten die entsprechenden Limitierungen der verwendeten Begrenzungen. Dies bedeutet, dass das Server-Limit nur dann überprüft wird, wenn die E-Mail den Server verlässt. Ebenso verhält es sich mit den Sende- und Empfangs-Connectoren. Die Limits dort werden nur angewendet, sollte eine E-Mail über diese Connectoren versendet bzw. empfangen werden. Mehr zu diesem Thema erfahren Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“.
5.3
Outlook Anywhere
Outlook Anywhere wurde unter Exchange Server 2003 noch als RPC über HTTP(S) bezeichnet. Aber was ist das und wofür ist es gut? Diese Fragen stellen Sie sich sicherlich, wenn Sie noch nie mit einem Exchange Server zu tun hatten, oder bei Ihnen noch nicht die Anforderung gegeben war, von außerhalb der Firma mit Outlook auf ein Exchange-Postfach zuzugreifen. Outlook verwendet das MAPI-Protokoll, um mit einem Exchange Server zu kommunizieren. Dazu wird über den RPC-Dienst des Outlook-Clients eine dynamische Port-Aushandlung durchgeführt, damit der Server und der Outlook-Client miteinander kommunizieren können. Nun ist eine dynamische Port-Aushandlung über das Internet und durch Ihre Firmen-Firewall nicht unbedingt das, was Sie haben wollen oder sollten. Daher wurden viele externe Outlook-Clients über VPN-Verbindungen angeschlossen, damit die dynamische Port-Aushandlung innerhalb des VPN-Tunnels durchgeführt wird und somit kein großes Problem mehr für die Firmen-Firewall bedeutet. Mit der Einführung von RPC über HTTP(S) ab Exchange Server 2003 steht Ihnen die Möglichkeit zur Verfügung, über einen Outlook-Client auf Ihren Exchange Server zuzugreifen, ohne eine VPN-Verbindung vorher aufgebaut zu haben. Um dies zu ermöglichen, werden die RPC-Anfragen über das HTTP(S)-Protokoll getunnelt und an den RPC-ProxyServer in Ihrer Umgebung übermittelt. Dieser handelt innerhalb dieses HTTP(S)Verbindungsaufbaus einen Port mit dem Exchange Server aus und kann dann durch die HTTP(S)-Session mit dem Outlook-Client kommunizieren. 192
Outlook Anywhere
Eine Verbindung von RPC über HTTP ist möglich, Sie sollten aber immer eine Verbindung über HTTPS aufbauen. Das liegt daran, dass die Anmeldeinformationen bei einem Anmeldevorgang des OutlookClients unverschlüsselt und im Klartext übermittelt werden. Daher ist es immer vorzuziehen, das Protokoll zu verschlüsseln (in diesem Fall HTTPS), um eine einfaches Mitlesen der Anmeldeinformationen zu unterbinden. Durch diesen HTTPS-Tunnel wird die Kommunikation des Outlook-Clients mit dem Exchange Server ausgehandelt. Somit müssen für die Kommunikationsart nur HTTP Port 80 bzw. HTTPS Port 443 in der Firmen-Firewall geöffnet werden. Diese beiden Ports sind sehr oft schon geöffnet, da über sie der Zugriff auf das Internet erfolgt. Ihnen steht dann eine Verbindung zur Ihrem Exchange Server mit einem Outlook-Client zur Verfügung, ohne einen VPN-Client zu verwenden. In Abbildung unten sehen Sie eine Darstellung der Verbindung von Outlook Anywhere.
Abbildung 5.10: RPC-Verbindung von Outlook Anywhere
Der RPC-Proxy-Dienst muss nicht zwingend auf einem separaten Server ausgeführt werden, sondern kann auch auf einem Exchange Server installiert sein. Der RPC-Proxy-Dienst erfordert den IIS-Dienst auf dem Server, da ein virtuelles Verzeichnis \RPC angelegt wird. Outlook-Clients, die mit RPC über HTTP(S) mit dem Exchange Server kommunizieren wollen, müssen mindestens die Outlook-Version 2003 oder höher haben und Windows XP SP2 ausführen. Bei älteren Outlook-Versionen steht die Funktion nicht zur Verfügung. Windows XP SP1 unterstützt die Funktion mit einem Hotfix (KB331320). Die Konfiguration unter einem Exchange Server 2003 war nicht ganz trivial. Nachdem der RPC-Proxy-Dienst über die Systemsteuerung installiert war, mussten noch einige Registry-Schlüssel auf dem Exchange Server und dem Domänen-Controller angepasst werden. Erst danach konnte man diese Art des Zugriffs mit Outlook verwenden. Die Zugriffsart Outlook Anywhere steht Ihnen nach einer Exchange Server 2007-Installation ebenfalls noch nicht direkt zur Verfügung. Sie müssen dazu erst ein paar Schritte durchführen, bevor Sie die Funktion nutzen
193
Kapitel 5 Client-Zugriff auf den Server
können. Diese sind aber bei weitem nicht mehr so aufwendig wie die Konfiguration unter Exchange Server 2003 SP2. Zur Aktivierung von Outlook Anywhere unter Exchange Server 2007 gehen Sie folgendermaßen vor: 1. Öffnen Sie auf dem Exchange Server oder auf einem anderen Server, den Sie als RPC-Proxy-Server verwenden wollen, die Systemsteuerung und klicken Sie auf Software. Der IIS-Dienst muss auf dem Server installiert sein, um die RPCProxy-Funktion verwenden zu können. Installieren Sie diese gegebenenfalls über die Softwareverwaltung. 2. In der Softwareverwaltung klicken Sie auf Windows-Komponenten hinzufügen/ entfernen und wählen Sie die Netzwerkdienste aus. Klicken Sie dort auf Details. 3. In den Netzwerkdiensten aktivieren Sie den Haken vor RPC-über-http-Proxy und klicken auf OK und Weiter. Sie werden möglicherweise aufgefordert, die Windows Server-Installations-CD einzulegen. Klicken Sie nach Abschluss der Installation auf Fertig.
Abbildung 5.11: Installieren der RPC-Proxy-Komponente
Danach finden Sie in der Standard-Website des IIS das virtuelle Verzeichnis \RPC vor. 4. Wechseln Sie in die Exchange Management Console und navigieren Sie zum Bereich Serverkonfiguration und markieren Sie den Eintrag Clientzugriff. – , der die Funktion Outlook Anywhere zur Verfügung stellen soll.
194
Outlook Anywhere
5. Klicken Sie im Aktionsbereich auf Outlook Anywhere aktivieren.
Abbildung 5.12: Aktivieren von Outlook Anywhere über die GUI
6. Im Fenster Outlook Anywhere aktivieren geben Sie den externen Hostnamen an, über den die Benutzer auf diesen ClientAccess-Server zugreifen können. Dieser Hostname muss über das Internet auflösbar sein und im SSL-Zertifikat des ClientAccess-Servers hinterlegt sein. Aktivieren Sie die Authentifizierungsmethode, die Sie für Ihr Unternehmen einsetzen wollen beziehungsweise welche über eine Firewall unterstützt wird.
Abbildung 5.13: Konfiguration des Outlook Anywhere-Verzeichnisses
195
Kapitel 5 Client-Zugriff auf den Server
Sollten Sie Ihren Exchange Server 2007 über einen ISA Server 2006 veröffentlichen und bei der Veröffentlichung die Option ZUSÄTZLICHE ORDNER AUF EXCHANGE SERVER FOR OUTLOOK 2007-CLIENTS VERÖFFENTLICHEN gewählt haben, müssen Sie als Authentifizierungsmethode STANDARDAUTHENTIFIZIERUNG wählen. Die Option ZUSÄTZLICHE ORDNER AUF EXCHANGE SERVER FOR OUTLOOK 2007-CLIENTS VERÖFFENTLICHEN erlaubt es Ihnen, über den Outlook-Client auf Ordner und SharePoint-Webseiten innerhalb Ihrer Organisation zuzugreifen. Weitere Informationen zur Konfiguration von ISA Server 2006 mit Exchange Server 2007 finden Sie unter der folgenden URL: http://www.microsoft.com/technet/isa/2006/deployment/exchange.mspx 7. Die Option SSL-Verschiebung (Secure Channel) zulassen verwenden Sie nur, wenn Sie eine Hardwarekomponente verwenden, die in Ihrer Umgebung ein SSL-Verschlüsselung oder SSL-Entschlüsselung vornimmt. Weitere Informationen hierzu finden Sie in der Hilfe des Exchange Servers. Klicken Sie dazu im Fenster Outlook Anywhere aktivieren auf Hilfe. 8. Klicken Sie auf Aktivieren und schließen Sie das Fenster danach über Fertig stellen.
Abbildung 5.14: Fertigstellen der Outlook Anywhere-Aktivierung
196
Outlook Anywhere
Sie erhalten im letzten Fenster den Exchange Management ShellBefehl angezeigt, den Sie alternativ zur Aktivierung von Outlook Anywhere in der Exchange Management Shell eingeben können. Bei der Aktivierung von Outlook Anywhere unter der RTM-Version von Exchange Server 2007 wird die Authentifizierungsmethode im virtuellen Verzeichnis /rpc für zwei Authentifizierungsarten freigegeben. Diese sind Standardauthentifizierung und integrierte WindowsAuthentifizierung. Ab Service Pack 1 für Exchange Server 2007 wird nur noch eine Authentifizierungsmethode auf dem virtuellen Verzeichnis aktiviert. Dies ist die Authentifizierungsart, die Sie bei der Aktivierung von Outlook Anywhere angegeben haben. Mit den Schritten 1 bis 8 haben Sie Outlook Anywhere auf dem Exchange Server 2007-ClientAccess-Server aktiviert und konfiguriert. Alle Benutzer mit Postfächern auf einem Exchange Server 2007 müssen für die Verwendung von Outlook Anywhere nicht mehr aktiviert werden, da diese in der Standardeinstellung aktiv sind. Benutzer mit Postfächern auf Exchange Server 2003 müssen erst noch für die Verwendung aktiviert werden. Führen Sie die Aktivierung in den Eigenschaften der Benutzer über das Snap-in Active Directory Benutzer und Computer auf einem Exchange Server 2003 durch. Sollten Sie in Ihrer Organisation noch Exchange Server 2003-Mailbox-Server einsetzen, können diese in Verbindung mit einem Exchange Server 2007-ClientAccess-Server ebenfalls mit Outlook Anywhere betrieben werden. Ein Exchange Server 2003 ohne SP1 muss allerdings über eine Änderung in der Registry konfiguriert werden, damit er mit Outlook Anywhere funktioniert. Zur Konfiguration von Outlook Anywhere in Verbindung mit einem Exchange Server 2007-ClientAccess-Server und einem Exchange Server 2003-Mailbox-Server mit SP1 aktivieren Sie den RPC-Proxy-Dienst, wie in den Schritten a bis e beschrieben. Installieren Sie ein gültiges Zertifikat auf der Standardwebsite des ClientAccess-Servers und aktivieren Sie zusätzlich die Funktion RPC über HTTP auf dem Exchange Server 2003 über die Eigenschaften des Servers im Exchange System Manager. Der ClientAccess-Server findet automatisch das Postfach des Benutzers auf dem Exchange Server 2003. Es wird empfohlen, Ihre Exchange Server 2003-Postfach-Server mindestens mit SP1 zu betreiben, um keine Änderung in der Registry durchführen zu müssen.
197
Kapitel 5 Client-Zugriff auf den Server
Für die Verwendung von Outlook Anywhere mit einem Exchange Server 2003Postfach-Server ohne SP1 müssen Sie folgenden Registry-Schlüssel auf dem ClientAccess-Server ändern: 1. Öffnen Sie den Registry-Editor (regedit.exe) mit einem Konto, welches über lokale administrative Berechtigungen und Exchange Server-AdministratorBerechtigungen für den ClientAccess-Server verfügt. 2. Öffnen Sie jetzt den Pfad HKLM\ System\CurrentControlSet\Services\ MSExchangeServiceHost\RpcHttpConfigurator\. 3. Klicken Sie mit der rechten Maustaste auf den DWORD-Wert PeroiodicPollingMinutes und klicken Sie auf Ändern. 4. Setzen Sie den Wert auf 0. 5. Klicken Sie auf OK und schließen Sie den Registry-Editor. Weiter müssen Sie die Konfiguration des Domänen-Controllers und des Exchange Servers 2003 anpassen. Die Konfiguration dieser beiden Server entspricht der Konfiguration von RPC über HTTP in einer reinen Exchange Server 2003-Umgebung und wird daher an dieser Stelle nicht beschrieben. Weiterführende Informationen finden Sie unter folgender URL: http://technet.microsoft.com/De-DE/library/ee9b228f-db48-4860-8bfd-3195881b8980.aspx Sollten Sie die Funktion von Outlook Anywhere auf einem Server nicht mehr benötigen oder gar nicht mehr verwenden wollen, können Sie diese über die Exchange Management Shell mit dem Befehl Disable-OutlookAnywhere –Server deaktivieren. Dieser Schritt ist auch über den EMC möglich, indem Sie in die Serverkonfiguration und auf CLIENTZUGRIFF wechseln und den ClientAccess-Server auswählen, auf dem die Funktion deaktiviert werden soll. Klicken Sie im Aktionsbereich auf OUTLOOK ANYWHERE DEAKTIVIEREN.
Abbildung 5.15: Deaktivieren von Outlook Anywhere
Da wir Outlook Anywhere jetzt aber nicht deaktivieren, sondern den OutlookClient für den Zugriff über Outlook Anywhere konfigurieren wollen, stehen uns mehrere Möglichkeiten zur Verfügung.
198
Outlook Anywhere
Die Konfiguration bei der Verteilung von Outlook bzw. Office erfolgt über die Anpassung der Office-Installation mit dem Office Customization Tool (OCT). Dabei wird mit dem OCT eine Antwortdatei (MSP-Datei) erstellt, die in den Update-Ordner des Netzwerk-Installationspunktes von Office 2007 abgelegt wird. Während der Office-Installation werden die voreingestellten Informationen aus der MSPDatei gelesen und in die Office-Installation integriert. Da die Beschreibung des OCT über den Rahmen dieses Buches hinausginge, haben wie Ihnen einige Links zu weiterführenden Informationen angegeben. Hinweise zu OCT Einige dieser Informationen sind nur in englischer Sprache verfügbar. Konfigurieren von Outlook Anywhere mit OCT: http://technet2.microsoft.com/Office/en-us/library/5aa9e3f8-c784-41ce-a2add6bee5f699441033.mspx?mfr=true Anpassen einer Office 2007-Installation mit OCT: http://technet2.microsoft.com/Office/en-us/library/8faae8a0-a12c-4f7b-839c24a66a531bb51033.mspx?mfr=true Einige weitere Einstellungen von Outlook 2003 können nach der angepassten Installation über die Gruppenrichtlinien vorgenommen werden. Über die Gruppenrichtlinien lassen sich sehr viele Einstellungen organisationsweit verteilen und regeln. Zur einfacheren Verwaltung der Gruppenrichtlinien stellt Microsoft eine Verwaltungskonsole zur Verfügung. Diese können Sie aus dem Internet herunterladen und auf einem Domänen-Controller oder auf jeder beliebigen Arbeitsstation in Ihrer Domäne installieren. Nach der Installation der Datei GPMC.msi steht Ihnen eine Microsoft Management Console zur Verfügung, mit der Sie alle Gruppenrichtlinien in Ihrer Domäne verwalten können. Für die Verwaltung einiger Outlook 2007-Einstellungen integrieren Sie bitte die Datei Outlk12.adm in eine neue oder in eine bereits vorhandene Gruppenrichtlinie. Die Datei Outlk12.adm kann von folgender Website heruntergeladen werden: http://www.microsoft.com/downloads/details.aspx?displaylang= de&FamilyID=92d8519a-e143-4aee-8f7a-e4bbaeba13e7 Den Download für die GPMC finden Sie unter folgender URL: http://www.microsoft.com/downloads/details.aspx?familyid=f39e9d60-7e41-494782f5-3330f37adfeb&displaylang=de
199
Kapitel 5 Client-Zugriff auf den Server
1. Zum Einbinden der Outlook 2007-Einstellungen in eine Gruppenrichtlinie laden Sie bitte die Datei Outlk12.adm aus dem Internet herunter und speichern Sie sie auf Ihrer Festplatte. Führen Sie die Datei AdminTemplate.exe aus, um die .adm-Vorlagen zu entpacken. 2. Extrahieren Sie die Datei in einen neuen Ordner, zum Beispiel C:\Office12ADM. Es befinden sich nach dem Extrahieren dann einige .adm-Dateien für Office 2007 in diesem Ordner. 3. Öffnen Sie die GPMC und navigieren Sie zu der Gruppenrichtlinie, in die Sie die Einstellungen integrieren möchten. Alternativ können Sie eine neue Gruppenrichtlinie anlegen. 4. Öffnen Sie die Gruppenrichtlinie und klicken Sie mit der rechten Maustaste auf Administrative Vorlagen und Benutzerkonfiguration. 5. Klicken Sie auf Vorlagen hinzufügen/entfernen und anschließend auf Hinzufügen. 6. Wählen Sie den Ordner aus, in dem Sie die .adm-Dateien extrahiert haben und markieren Sie die Datei Outlk12.adm. Klicken Sie auf Öffnen. 7. Danach stehen Ihnen unter Administrative Vorlagen im Ordner Microsoft Office Outlook 2007 eine Vielzahl von Richtlinien zur Verfügung, mit deren Hilfe Sie Outlook weiter konfigurieren können. Zusätzliche Informationen zu Gruppenrichtlinien erhalten Sie auf der folgenden Internetseite: http://www.Gruppenrichtlinien.de Beachten Sie bitte die Einschränkungen bzw. die Konfigurationen, die notwendig sind, falls ein Client-Computer nicht Mitglied der Domäne ist und Outlook-Einstellungen über Gruppenrichtlinien konfiguriert werden sollen. Einige Informationen dazu finden Sie auf der oben genannten Internetseite http://www.Gruppenrichtlinien.de. Die eben genannte Konfigurationsmöglichkeit steht Ihnen auch mit Outlook 2003 zur Verfügung. Dabei müssen Sie nur die entsprechende .adm-Datei verwenden. Ältere Outlook-Versionen (Outlook 2002) stellen die Funktion Outlook Anywhere (ehemals RPC über HTTP) nicht zur Verfügung. Die automatische Konfiguration mit Webdienste Autodiscover stellt eine weitere Möglichkeit dar, Outlook 2007 für den Zugriff über Outlook Anywhere zu konfigurieren. Dabei ist die Autodiscover-Funktion nicht nur für die Verwendung von Outlook Anywhere gedacht, sondern kann Outlook auch ohne die notwendigen Einstellungen für Outlook Anywhere konfigurieren. Ziel ist es, einem Benutzer zu ermöglichen, nur mit dem Wissen seines Benutzernamens und seines Passwortes Outlook zu konfigurieren bzw. automatisch konfigurieren zu
200
Outlook Anywhere
lassen. Dabei steht natürlich weiterhin die manuelle Konfiguration zur Verfügung. Für die Konfiguration mit dem Autodiscover-Dienst wird eine XML-Datei zur Verfügung gestellt, in der die Einstellungswerte vorgegeben werden. Dabei unterscheidet die Konfiguration drei mögliche Vorgehensweisen. 왘
Bereitstellen einer lokalen XML-Datei auf dem Client-Computer: Dies ist für Client-Computer sinnvoll, die nicht zu einer Domäne gehören und keine Verbindung zum Autodiscover-Dienst herstellen können.
왘
Die Verwendung einer statischen XML-Datei auf dem ClientAccess-Server oder einem anderen Webserver: Sie gibt Ihnen die Möglichkeit, feste Vorgaben für alle Client-Computer zu erstellen. Dabei wird in der XML-Datei festgelegt, wie und über welche Verbindungen sich Outlook mit dem Exchange Server 2007 zu verbinden hat. Diese Möglichkeit wird sehr oft von Internet Service Providern verwendet, die Internet-E-Mail-Konten zur Verfügung stellen.
왘
Die dynamische Erstellung der XML-Datei: Dies ist die wohl am häufigsten genutzte Variante und benötigt die wenigsten Eingriffe. Diese Variante wird in den meisten Exchange Server 2007-Organisationen ausreichen und steht Ihnen in der Standardkonfiguration zur Verfügung. Dabei baut der OutlookClient eine Internetverbindung zum ClientAccess-Server auf und sucht nach dem Verzeichnis autodiscover\autodiscover.xml.
Wir empfehlen Ihnen, die Verbindung von Outlook Anywhere immer über eine HTTPS-Verbindung aufzubauen. Es ist auch möglich, eine HTTP-Verbindung zu verwenden. Sobald Sie aber die Standardauthentifizierung verwenden, werden Benutzername und Passwort im Klartext über die Internetverbindung übertragen. Daher sollte diese Verbindung immer mit SSL abgesichert werden.
5.3.1
Anmelden bei Outlook Anywhere
Bei der Verwendung von Outlook Anywhere werden Sie beim Start von Outlook nach Ihrem Benutzernamen und Ihrem Passwort gefragt. Dies erfolgt über ein Pop-up-Fenster, in dem Sie die Anmeldedaten in Form von Domäne\Benutzername und Passwort eingeben müssen. Damit Ihre Benutzer die Anmeldung ohne die Angabe der Domäne durchführen können, können Sie im virtuellen Verzeichnis für Outlook Anywhere eine Standard-Anmeldedomäne hinterlegen. Danach können sich die Benutzer bei Outlook Anywhere einfach mit ihrem Benutzernamen und ihrem Passwort anmelden. Öffnen Sie zur Festlegung der Standard-Anmeldedomäne den INTERNETINFORMATIONSDIENSTE-MANAGER auf dem ClientAccess-Server und öffnen Sie die Eigenschaften des Verzeichnisses RPC unterhalb der STANDARDWEBSITE. Wechseln Sie auf die Registerkarte VERZEICHNISSICHERHEIT und klicken Sie auf BEARBEITEN unter AUTHENTIFIZIERUNG UND ZUGRIFFSSTEUERUNG. Geben Sie im Feld STAN-
201
Kapitel 5 Client-Zugriff auf den Server DARDDOMÄNE Ihre Domäne an oder suchen Sie nach dieser über die Schaltfläche AUSWÄHLEN. Klicken Sie abschließend auf OK, um die Einstellungen zu überneh-
men.
Abbildung 5.16: Standarddomäne für Outlook Anywhere
Für das virtuelle Verzeichnis muss die Authentifizierung INTEGRIERTE WINDOWS-AUTHENTIFIZIERUNG aktiviert sein. Outlook Anywhere sowie Outlook müssen auf die externe Authentifizierungsmethode NTLM eingestellt sein.
5.4
Outlook Web Access
Outlook Web Access, das auch schon in früheren Versionen des Exchange Servers zur Verfügung stand, hat einige sehr gute Verbesserungen erfahren. Allein über die optische und funktionale Annäherung an den Outlook-Client ist es nun komfortabler, mit Outlook Web Access als E-Mail-Client zu arbeiten. Bei der Installation des ClientAccess-Servers werden die folgenden virtuellen Verzeichnisse erstellt: /owa ist das virtuelle Verzeichnis, über das auf Outlook Web Access in Exchange Server 2007 zugegriffen wird. Unter Exchange Server 2003 war dies das Verzeichnis /Exchange.
202
Outlook Web Access
/Public ist das virtuelle Verzeichnis, mit dem auf öffentliche Ordner zugegriffen werden kann, die sich noch auf einem Exchange Server 2000 oder 2003 befinden. Ab Exchange Server 2007 SP1 ist der Zugriff über Outlook Web Access auch auf öffentliche Ordner möglich, die sich auf einem Exchange Server 2007 befinden und nicht über die Erweiterung /Public in der URL von Outlook Web Access verfügen.
Abbildung 5.17: Das virtuelle Verzeichnis „Public“
/Exchweb wird für die Abwärtskompatibilität zu Exchange Server 2000 und 2003 verwendet. /Exchange wird für die Abwärtskompatibilität zu Exchange Server 2000 und 2003 verwendet. In Umgebungen, in denen sich noch Postfächer auf Exchange Servern 2000 oder 2003 befinden und über einen Exchange ClientAccess-Server zugegriffen wird, müssen die Benutzer weiterhin die URL https://mail.ihredomain.de/exchange verwenden, um mit den Postfächern auf einem Exchange Server 2000 oder 2003 verbunden zu werden. Benutzer mit Postfächern auf einem Exchange Server 2007 werden dagegen automatisch an die URL https://mail.ihredomain.de/owa umgeleitet. Falls Sie die Serverrollen ClientAccess und Mailbox auf dem gleichen Server installiert haben, werden diejenigen Benutzer, die die URL https://mail.ihredomain.de/exchange verwenden, alle zur URL https:// mail.ihredomain.de/owa umgeleitet. Daher wird der Zugriff auf einen Exchange Server 2000/2003 nicht funktionieren. Sollten Sie noch Exchange Server 2000/2003 über Outlook Web Access erreichen wollen, so installieren Sie bitte die Serverrollen ClientAccess und Mailbox getrennt voneinander.
203
Kapitel 5 Client-Zugriff auf den Server
/Exadmin ist das virtuelle Verzeichnis, das zum Ändern von administrativen Einstellungen verwendet werden kann. Nur Benutzer mit administrativen Berechtigungen haben Zugriff auf dieses virtuelle Verzeichnis. Außerdem wird es für die Abwärtskompatibilität zu Exchange Server 2000 und 2003 verwendet. Für den Exchange Server 2007 und den Zugriff über Outlook Web Access ist nur noch das virtuelle Verzeichnis mit dem Namen /owa von Bedeutung. Über dieses Verzeichnis werden die Informationen und Konfigurationen bereitgestellt, die Sie mit Outlook Web Access verwenden können. Mit SP1 für den Exchange Server 2007 ändern sich die Zugriffsorte für die oben genannten virtuellen Verzeichnisse. In der folgenden Tabelle sehen Sie, wo Sie die Verzeichnisse in der EMC finden können. Serverrolle
Zugriffsort
ClientAccess ohne Mailbox- Serverrolle
Alle virtuellen Verzeichnisse unter SERVERKONFIGURATION • CLIENTZUGRIFF • REGISTERKARTE OUTLOOK WEB ACCESS
ClientAccess mit Mailbox-Serverrolle
/owa unter SERVERKONFIGURATION • CLIENTZUGRIFF • REGISTERKARTE OUTLOOK WEB ACCESS Alle anderen virtuellen Verzeichnisse unter: SERVERKONFIGURATION • MAILBOX • REGISTERKARTE WEBDAV
Mailbox ohne ClientAccess-Serverrolle
/Exchange, /Public, /Exchweb, /Exadmin unter SERVERKONFIGURATION • MAILBOX • REGISTERKARTE WEBDAV
Tabelle 5.2: Zugriffsorte ab SP1 für virtuelle Verzeichnisse
Beachten Sie die oben gezeigte Tabelle, da die Verzeichnisse in der RTM-Version des Exchange Severs 2007 alle über den Zugriffsort SERVERKONFIGURATION • CLIENTZUGRIFF • OUTLOOK WEB ACCESS über die EMC erreichbar sind. Die unterschiedlichen Einstellungen für dieses virtuelle Verzeichnis werden über unterschiedliche Verwaltungsoberflächen durchgeführt. Sie können über die Exchange Management Console (EMC) eine Vielzahl von Einstellungen durchführen. Dabei liefer diese grafische Oberfläche aber nicht alle Konfigurationsmöglichkeiten. Mit der Exchange Management Shell lassen sich so gut wie alle Einstellungen durchführen. Dies beinhaltet auch die Einstellungen, die Sie über die EMC durchführen können.
204
Outlook Web Access
Mit dem Internetinformationsdienste-Manager können Sie Authentifizierungsund Berechtigungseinstellungen für das virtuelle Verzeichnis /owa setzen. Weiter können darüber die Einstellungen zur Absicherung des Zugriffs mit HTTPS durchgeführt werden. In der Datei Web.config können Sie die Größenbeschränkungen der E-Mails, die in Outlook Web Access gesendet und empfangen werden, definieren. Bearbeiten Sie diese Datei nur mithilfe eines Texteditors wie zum Beispiel das Programm Notepad. Sollten Sie die Datei über den Internetinformationsdienste-Manager bearbeiten, kann das dazu führen, dass die Datei zerstört wird. Der Registry-Editor vervollständigt die Verwaltungsprogramme für Outlook Web Access und muss dazu noch genannt werden, da Sie nur über die RegistryEinstellungen beeinflussen können, wie beispielsweise die Time-out-Intervalle für die Einstellung als öffentlicher oder privater Computer beim Anmelden über Outlook Web Access. Im Folgendem beschreiben wir, wie Sie die einzelnen Verwaltungsprogramme für unterschiedliche Aufgaben verwenden können, um damit folgende Aufgaben umzusetzen: 왘
Vereinfachen der Outlook Web Access-URL
왘
Bearbeiten der Einstellungen, wie Anhänge in Outlook Web Access behandelt werden sollen
왘
Bearbeiten der Authentifizierungsmethoden
왘
Anpassen der Sprache und der Umgebungseinstellungen für Outlook Web Access
왘
Konfigurieren der Segmentierungseinstellungen
왘
Zugriff auf Windows SharePoint-Seiten und Netzwerkfreigaben
5.4.1
Vereinfachte Outlook Web Access-URL
Über die Vereinfachung der Outlook Web Access-URL haben Sie die Möglichkeit, die URL, welche für den Aufruf der Outlook Web Access-Webseite verwendet wird, zu kürzen. Somit ist es für Ihre Benutzer leichter, sich diese URL zu merken. Beispiel: URL für Outlook Web Access: https://mail.ihreDomain.de/owa
205
Kapitel 5 Client-Zugriff auf den Server
Vereinfachte URL für Outlook Web Access: https://mai.ihredomain.de Sollten Sie den Zugriff auf Outlook Web Access nur über eine gesicherte Verbindung mit HTTPS zulassen (was wir empfehlen), so können Sie zusätzlich noch eine Umleitung konfigurieren, damit ein Benutzer nach Eingabe von http:// mail.ihreDomain.de auf https://mail.ihreDomain.de geleitet wird. Somit vermeiden Sie, dass der Benutzer eine Fehlermeldung bekommt und stellen sicher, dass ausschließlich sichere Verbindungen verwendet werden. In der Standardeinstellung ist der Zugriff auf das virtuelle Verzeichnis /owa per SSL und der formularbasierten Authentifizierung abgesichert. Sollten Sie ein neues virtuelles Verzeichnis über die Exchange Management Shell New-OWAVirtualDirectory erstellen, ist dies nicht über SSL und die formularbasierte Authentifizierung abgesichert. 1. Erstellen Sie eine Datei in Notepad und geben Sie den nachfolgenden Text in diese Datei ein. Ersetzen Sie dabei den Wert <Servername> durch den FQDN Ihres ClientAccess-Servers. Speichern Sie die Datei unter dem Namen SSLUmleitung.htm im Verzeichnis C:\Inetpup\wwwroot ab.
Abbildung 5.18: SSL-Umleitung und Kürzen der URL
2. Öffnen Sie den IIS Manager und erweitern Sie die Ordner Website und Standardwebsite. Klicken Sie mit der rechten Maustaste auf die Standardwebsite und dann auf Eigenschaften. 3. Wechseln Sie auf die Registerkarte Basisverzeichnis und setzen Sie ein Häkchen bei Eine Umleitung zu dieser URL. 4. Geben Sie im Feld Umleitung zu: den Wert /owa ein. Sollten Sie noch Postfächer auf einem Exchange Server 2000 oder 2003 haben, so geben Sie anstelle des Wertes /owa den Wert /Exchange ein. Führen Sie auch diese Änderungen in der oben erzeugten Datei SSLUmleitung.htm durch. Beachten Sie außerdem den Hinweis weiter oben zu den Serverrollen ClientAccess und Mailbox auf einem Server.
206
Outlook Web Access
5. Setzen Sie den Haken bei Ein Verzeichnis unterhalb der angegebenen URL. 6. Wechseln Sie auf die Registerkarte Benutzerdefinierte Fehler und suchen Sie den Fehler HTTP Error 403.4. Markieren Sie diesen Eintrag und klicken Sie auf Bearbeiten. 7. Klicken Sie auf Durchsuchen und wählen Sie die Datei aus, die Sie oben erstellt haben. Klicken Sie auf OK, um die Einstellungen zu speichern. 8. Öffnen Sie die Eingabeaufforderung und geben Sie den Befehl iisreset /noforce ein. Damit starten Sie den Dienst des IIS neu; die Einstellungen werden angewendet. Um Ihre Einstellungen zu überprüfen, rufen Sie im Internet Explorer die vereinfachte URL für den Zugang für Outlook Web Access auf, ohne dabei HTTPS zu verwenden. Sie werden auf eine HTTPS-Seite umgeleitet, und die Anmeldeseite für Outlook Web Access wird Ihnen angezeigt. Mit dem Einrichten der expliziten Anmeldung in Outlook Web Access erlauben Sie es Benutzern, über Outlook Web Access Postfächer anderer Benutzer oder Ressourcen-Postfächer zu öffnen. Derjenige Benutzer, der auf ein anderes Postfach zugreifen will, benötigt das Recht VOLLZUGRIFF auf das entsprechende Postfach. In unserem Beispiel soll der Benutzer DANP auf das Postfach von Benutzer WALTERS über Outlook Web Access zugreifen dürfen. 1. Öffnen Sie dazu die Exchange Management Console und geben Sie den Befehl Add-Mailboxpermission WalterS –User DanP –AccessRights FullAccess ein. 2. Der Benutzer DanP kann jetzt über die Eingabe von /[email protected] das Postfach öffnen. Sollte der Benutzer WalterS über mehrere gültige E-Mail-Adressen verfügen, so kann über jede dieser E-Mail-Adressen zugegriffen werden. 3. DanP kann das Postfach von WalterS auch über Outlook Web Access öffnen, indem er in Outlook Web Access seines eigenen Postfaches auf die Schaltfläche DanP klickt und im Feld Anderes Postfach öffnen das Alias von WalterS eingibt.
Abbildung 5.19: Weiteres Postfach über Outlook Web Access öffnen
207
Kapitel 5 Client-Zugriff auf den Server
Mit SP1 für den Exchange Server 2007 steht Ihnen in der EMC eine grafische Oberfläche zu Verfügung, um das Recht VOLLZUGRIFF zu setzen.
Abbildung 5.20: Postfächer „Senden“ und „Vollzugriff“ als GUI-Steuerung
Beachten Sie bitte, dass die Berechtigung VOLLZUGRIFF nicht das Recht SENDEN ALS beinhaltet! Daher ist es mit der Berechtigung VOLLZUGRIFF nicht möglich, im Namen einer anderen Person zu senden. Dazu müssen Sie das Recht SENDEN ALS über die Exchange Management Console mit dem folgenden Befehl zuweisen: Add-ADPermission WalterS –User DanP –AccessRights ExtendedRight –ExtendedRights SendAs Die Funktion, unter einem anderen Namen E-Mails zu versenden, steht unter Outlook Web Access nicht auf die gleiche Weise zur Verfügung wie unter Outlook, da Sie sich das Feld VON nicht einblenden können. Um im Namen einer anderen Person mit Outlook Web Access eine E-Mail zu versenden, öffnen Sie das Postfach derjenigen Person, unter deren Namen Sie eine E-Mail versenden wollen. Senden Sie dann von dort aus die E-Mail. Beachten Sie dabei, dass die gesendete E-Mail nur im Ordner GESENDETE OBJEKTE des geöffneten Postfaches zu finden ist und nicht in Ihrem Postfach.
208
Outlook Web Access
Mit dem SP1 steht Ihnen auch für diese Rechtevergabe eine grafische Oberfläche in der EMC zur Verfügung.
5.4.2
Dateianhänge in Outlook Web Access
Die Einstellung, wie Anhänge in Outlook Web Access behandelt werden, ist beim Exchange Server 2007 in die grafische Oberfläche der EMC gewandert. Über die Exchange Management Shell sind diese Einstellungen ebenfalls konfigurierbar, und Sie müssen nicht mehr wie unter Exchange Server 2003 ein zusätzliches Tool installieren, welches über eine Weboberfläche verwendet wurde (OWAAdmin). Mit dieser Einstellungskonfiguration regeln Sie die Zugriffsmöglichkeiten auf Dateianhänge in Outlook Web Access. Dazu wird zwischen den beiden Anmeldungsmöglichkeiten ÖFFENTLICHER COMPUTER und PRIVATER COMPUTER unterschieden. Mit einem öffentlichen Computer sind Computer gemeint, die öffentlich zugänglich sind und für mehrere Benutzer zur Verfügung stehen. Solche Computer befinden sich oft in Internetcafés oder an anderen öffentlichen Orten. Diese Computer stehen in der Regel nicht unter der Kontrolle Ihrer IT-Abteilung. Daher ist es oft nicht gewünscht, dass Benutzer Dateien auf dieser Art von Computern herunterladen oder öffnen können.
Abbildung 5.21: Log-in-Seite für Outlook Web Access
Bei einem privaten Computer handelt es sich dagegen sehr oft um einen Computer, der nur von einem Benutzer verwendet wird und nicht an einem öffentlichen Ort steht. Dies kann zum Beispiel der Heimcomputer eines Benutzers sein.
209
Kapitel 5 Client-Zugriff auf den Server
Da zwar auch diese Computer nicht unter der Kontrolle Ihrer IT-Abteilung stehen werden, aber dem Benutzer bei der Verwendung seines privaten Computers mehr vertraut werden kann, können hier weniger restriktive Einstellungen für den Zugriff auf Dateianhänge gelten. Ob dies aber auf Ihre Organisation und Ihre Sicherheitsrichtlinien zutrifft, müssen Sie selbst entscheiden. Ein Benutzer hat bei der Anmeldung über Outlook Web Access die Möglichkeit, eine entsprechende Auswahl zu treffen, um welche Art von Computer es sich handelt. Die Standardeinstellung ist auf ÖFFENTLICHER COMPUTER voreingestellt, um die Sicherheit zu erhöhen. Generell sind in der Standardeinstellung gewisse Dateianhänge über Outlook Web Access gesperrt und können nur geöffnet werden, wenn diese vorher auf den Computer heruntergeladen wurden. In der folgenden Tabelle finden Sie eine Liste der Dateiformate, die in der Standardeinstellung definiert sind. Diese Tabelle gilt in der Standardeinstellung – unabhängig davon, ob ÖFFENTLICHER COMPUTER oder PRIVATER COMPUTER. Sie können die Liste individuell für jede Computer-Zugriffsart definieren. Standardwert
Dateierweiterungen
MIME-Typen
Zulassen
rpmsg, .xlsx, .xlsm, .xlsb, .pptx, .pptm, .ppsx, .ppsm, .docx, .docx, .docm, .xls, .wmv, .wma, .wav, vsd, .txt, .tif, .rtf, .pub, .ppt, .png, .pdf, .one, .mp3, .jpeg, .gif, .doc, .bmp, .avi
image/jpeg, image/png, image/gif, image/bmp
Blockieren
.ade, .adp, .asx, .app, .asp, .aspx, .asx, .asx, .bas, .bat, .cer, .chm, .cmd, .com, .cpl, .crt, .csh, .dir, .dcr, .der, .exe, .fxp, .hlp, .hta, .inf, .ins, .isp, .its, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc,.msh, .msh1, .mshxml, .msh1xml, .msi, .msp,.mst, .ops, .pcd, .pif, .plg, .prf,.prg, .ps1, .ps2, .psc1, .psc2, .ps1xml, .ps2xml, .pst, .reg, .scf, .scr, .sct, .shb, .shs, .spl, .swf, .tmp, .url, .vb, .vbe, .vbs, .vsmacros, .vss, .vst, .vsw, .ws, .wsc, .wsf, .wsh, .xml
application/x-javascript, application/javascript, application/msaccess, x-internet-signup, text/ javascript, application/ prg, application/hta, text/scriptlet
Tabelle 5.3: Standardwerte der vordefinierten Dateierweiterungen
210
Outlook Web Access
Standardwert
Dateierweiterungen
Speichern erzwingen .vsmacros, .mshxml, .aspx, .xml, .wsh, .wsf, .wsc, .vsw, .vst, .vss, .vbs, .vbe, .url, .tmp, .swf, .spl, . shs, .shb, .sct, .scr, .scf, .reg, .pst, .prg, .prf, .plg, .pif, .pcd, .ops, .mst, .msp, .msi, .msh, .msc, .mdz, .mdw, .mdt, .mde, .mdb, .mda, .maw, .mav, .mau, .mat, .mas, .mar, .maq, .mam, .mag, .maf, .mad, .lnk, .ksh, .jse, .its, .isp, .ins, .inf, .hta, .hlp, .fxp, .exe, .dir, .dcr, .csh, .crt, .cpl, .com, .cmd, .chm, .cer, .bat, .bas, .asx, .asp, .app, .adp, .ade, .ws, .vb, .js
MIME-Typen Application/x-shockwave-flash, Application/ octet-stream, Application/futuresplash, Application/x-director, Application/xml, text/ xml
Tabelle 5.3: Standardwerte der vordefinierten Dateierweiterungen (Forts.)
Ihnen stehen zur Festlegung der Dateiformate die folgenden drei Möglichkeiten 1. Zulassen 2. Blockieren 3. Speichern erzwingen zur Verfügung. Dabei können Sie entscheiden, ob es sich um einen öffentlichen Computer oder einen privaten Computer handelt. Alle Dateiformate, die nicht in der Tabelle oben aufgeführt wurden, werden als unbekannte Dateien definiert. Auch für diese unbekannten Dateiformate können Sie festlegen, wie in Outlook Web Access damit umgegangen werden soll. Der Standartwert steht auf SPEICHERN ERZWINGEN. Um diese Einstellungen auf die Bedürfnisse Ihrer Organisation anzupassen, befolgen Sie bitte folgende Schritte: 1. Öffnen Sie in der EMC die Serverkonfiguration und klicken Sie auf Clientzugriff. 2. Öffnen Sie die Eigenschaften des Verzeichnisses OWA (Standardwebsite). 3. Wählen Sie die Registerkarte, für die Sie die Einstellungen vornehemen möchten. Also die Registerkarte Dateizugriff für private Computer für die Einstellungen von privaten Computern beziehungsweise die Registerkarte Dateizugriff für öffentliche Computer für die Einstellungen von öffentlichen Computern.
211
Kapitel 5 Client-Zugriff auf den Server
4. Klicken Sie unter Direkter Dateizugriff auf Anpassen. 5. Wählen Sie die Einstellung, für die Sie Dateiformate hinzufügen oder entfernen möchten und klicken Sie auf den entsprechenden Button bzw. treffen Sie die gewünschte Auswahl für die Unbekannten Dateien. Beachten Sie die Reihenfolge, in der die Zugriffsberechtigungen angewendet werden! Sie sollten die gleichen Dateiformate nicht gleichzeitig zulassen und blockieren oder in der Liste mit der Einstellung SPEICHERN ERZWINGEN aufführen. Das ZULASSEN von Dateien wirkt vor dem BLOCKIEREN von Dateien und der Einstellung SPEICHERN ERZWINGEN. Außerdem wirkt das BLOCKIEREN von Dateiformaten vor SPEICHERN ERZWINGEN. Um ein Dateiformat über die Exchange Management Shell hinzufügen, können Sie beispielsweise den folgenden Befehl eingeben: Set-OWAVirtualDirectory OWA (Standardwebsite) –AlowedFileTypes .xlsx, .xls, .pdf Dieser Befehl setzt die erlaubten Dateiformate auf .xlsx-, .xls- oder .pdf-Dateien fest. Beachten Sie dabei, dass nur die angegebenen Dateitypen erlaubt werden. Sollte schon eine Liste mit Dateiformaten existieren, so würde diese überschrieben. Daher müssen Sie immer die gesamte Liste der Dateiendungen angeben, die Sie in die jeweilige Liste hinzufügen wollen. Möchten Sie Dateiformate entfernen, so geben Sie eine Liste der Dateiendungen an, ohne dabei das zu entfernende Format mit in der Liste aufzuführen. Weitere Informationen zur Verwendung des Befehls Set-OWAVirtualDirectory erhalten Sie, wenn Sie den Befehl help set-owavirtualdirectory -full in der Exchange Management Shell eingeben. Neu unter Exchange Server 2007 und OWA ist die sogenannte WebReady-Dokumentenansicht. Dabei stellt der Exchange Server eine Ansicht von einigen Office-Dokumenten in einer Internet Explorer-Seite zur Verfügung. Sollten Sie auf einem Rechner, der beispielsweise kein Microsoft Excel installiert hat, eine .xls-Datei über Outlook Web Access öffnen wollen, wird der Exchange Server 2007 diese Datei konvertieren und Ihnen als HTML-Seite anzeigen. Beachten Sie dabei, dass in diesem Fall nur ein lesender Zugriff gestattet ist. Auch wird die Excel-Datei dabei nicht verändert, sondern es wird lediglich eine temporäre Webansicht erstellt.
212
Outlook Web Access
Abbildung 5.22: WebReady-Ansicht in Outlook Web Access
Die folgenden Dateiformate können zurzeit über die WebReady-Dokumentenansicht dargestellt werden: 왘
.doc
왘
.dot
왘
.docx (erst ab Exchange Server 2007 SP1)
왘
.pdf
왘
.ppt
왘
.pps
왘
.pptx (erst ab Exchange Server 2007 SP1)
왘
.rtf
왘
.xls
왘
.xlsx (erst ab Exchange Server 2007 SP1)
213
Kapitel 5 Client-Zugriff auf den Server
MIME-Typen: 왘
application/pdf
왘
application/vnd.ms-excel
왘
application/vnd.ms-powerpoint
왘
application/msword
왘
application/x-mspowerpoint
왘
application/x-msexcel
왘
application/vnd.openxmlformats-officedocument.presentationml.presentation (erst ab Exchange Server 2007 SP1)
왘
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet (erst ab Exchange Server 2007 SP1)
왘
application/vnd.openxmlformats-officedocument.wordprocessingml.document (erst ab Exchange Server 2007 SP1)
Sie können diese Funktion über die EMC oder die Exchange Management Shell deaktivieren bzw. aktivieren, sollten Sie dies wünschen. In der Standardeinstellung ist die Funktion aktiviert. Über die EMC wechseln Sie in die SERVERKONFIGURATION und wählen CLIENTZUGRIFF. Wechseln Sie in die Eigenschaften des Verzeichnisses OWA (STANDARDWEBSITE) und klicken Sie auf die Registerkarte DATEIZUGRIFF FÜR ÖFFENTLICHE COMPUTER oder auf DATEIZUGRIFF FÜR PRIVATE COMPUTER – je nachdem, für welche Zugriffsart Sie die WebReady-Dokumentenansicht definieren wollen. Setzen bzw. entfernen Sie den Haken bei WEBREADY DOCUMENT VIEWING AKTIVIEREN. Mit dem Haken bei BEI VORHANDENEM KONVERTER WEBREADY DOCUMENT VIEWING ERZWINGEN legen Sie fest, dass Dokumente in den oben genannten Formaten zunächst im Browser angezeigt werden. Klicken Sie auf den Button UNTERSTÜTZT, um sich die für die WebReady-Dokumentenansicht unterstützten Dateiendungen und MIME-Typen anzeigen zu lassen bzw. um diese einzuschränken. Um die WebReady-Dokumentenansicht für die öffentlichen Computer über die Exchange Management Shell zu deaktivieren, geben Sie bitte folgenden Befehl ein: Set-OWAVirtualDirectory OWA (Standardwebsite) –WebReadyDocumentViewingPublicComputerEnabled:$false Beachten Sie, dass aufgrund der Zeilenumbrüche in diesem Buch die Befehle auf mehrere Zeilen aufgeteilt sein können. Die hier gezeigten Exchange Management Shell-Befehle werden immer – sofern nicht anders beschrieben – in eine Zeile geschrieben!
214
Outlook Web Access
Abbildung 5.23: Einstellungen für die WebReady-Dokumentenansicht
Wie schon in der Einleitung zu diesem Kapitel erwähnt, spielt auch die Datei web.config eine wichtige Rolle bei der Konfiguration von Outlook Web Access. Sie haben in der Standardeinstellung des Exchange Servers 2007 eine Größenbeschränkung für Dateianhänge, die mit OWA versendet bzw. empfangen werden können. Dieses Limit liegt bei 30000 kB (30 MB) und kann nur über die Datei Web.config angepasst werden. Bevor Sie die Datei Web.config verändern, sollten Sie sich eine Sicherungskopie der Originaldatei erstellen, damit Sie im Fehlerfall diese Sicherungskopie verwenden können. Beachten Sie außerdem, dass die Größenlimitierung von Outlook Web Access nicht die einzige Limitierung in Ihrer Organisation sein kann. Berücksichtigen Sie daher noch die Limitierungen auf Organisationsebene, Postfach- und Datenbankebene. So ändern Sie das Größenlimit für Dateianhänge in Outlook Web Access: 1. Öffnen Sie auf Ihrem ClientAccess-Server den Windows Explorer und wechseln Sie in das Verzeichnis C:\Programme\Microsoft\ Exchange Server\ClientAccess\OWA. Sollten Sie den Exchange Server nicht im Standardverzeichnis oder Laufwerk installiert haben, wechseln Sie in das Verzeichnis, das Sie bei der Installation angegeben haben. 2. Erstellen Sie eine Sicherungskopie der Datei web.config.
215
Kapitel 5 Client-Zugriff auf den Server
3. Öffnen Sie die Originaldatei mit dem Programm Notepad. Öffnen oder bearbeiten Sie die Datei nicht mit dem Internetinformationsdienste-Manager, da dies zu einem Defekt in der Datei führen kann. 4. Suchen Sie nach dem Eintrag maxRequestLenght und ändern Sie diesen in die von Ihnen gewünschte Größe. Beachten Sie dabei, dass Sie den Wert in kB angeben.
Abbildung 5.24: Größenlimit für Dateianhänge in Outlook Web Access
5. Speichern und schließen Sie die Datei. Die Einstellung für den Wert MAXREQUESTLENGHT gilt pro Anhang, den Sie in einer E-Mail über Outlook Web Access versenden oder empfangen. Versenden Sie beispielsweise eine E-Mail mit zwei Dateianhängen zu je 25 MB, so wird diese E-Mail nicht über den Wert MAXREQUESTLENGHT geblockt, da die einzelne Datei unter dem Standardwert von 30 MB liegt. Beachten Sie im Zusammenhang mit der Größenlimitierung unter Outlook Web Access auch die Einstellungen der restlichen Größenlimitierungen des Exchange Servers 2007 – weiter oben in diesem Kapitel unter Client-Zugriff mit Outlook beschrieben.
5.4.3
Authentifizierungsmethoden
Für Outlook Web Access werden Ihnen zwei Authentifizierungsmethoden angeboten. Dabei handelt es sich um die Standardauthentifizierung sowie die formularbasierte Authentifizierung. Beide Authentifizierungsmethoden beinhalten mehrere Arten der Authentifizierung.
216
Outlook Web Access
Diese sind: 왘
Standardauthentifizierung – nur sicher mit SLL-Verschlüsselung, da die Informationen im Klartext übertragen werden.
왘
Integrierte Windows-Authentifizierung – nur sicher mit SLL-Verschlüsselung, da der verwendete Hash-Algorithmus leicht zu entschlüsseln ist.
왘
Digest-Authentifizierung (mittlere Sicherheit durch MD5-Hash-Verschlüsselung)
왘
Formularbasierte Authentifizierung (Hohe Sicherheit durch Verschlüsselung und Verwendung von Cookies. SSL wird zum Sichern der Cookies empfohlen.)
Je nach eingestellter Authentifizierungsmethode versucht der Server, die sicherste Art der Authentifizierung zu verwenden. Schlägt dies fehl, weil der Client diese Art der Authentifizierung beispielsweise nicht unterstützt, wird die nächst sichere Art verwendet. Dies geschieht solange, bis eine Authentifizierungsart gefunden wurde, die sowohl vom Client als auch vom Server unterstützt wird. Können sich Server und Client auf keine Authentifizierungsart einigen, schlägt die Anmeldung fehl. Die Standardauthentifizierungsmethode wird von jedem Browser unterstützt. Sie sehen nach dem Aufruf der Outlook Web Access-URL ein Pop-up-Fenster, in das Sie Ihre Anmeldedaten eingeben müssen. Dabei sollten Sie in der Standardeinstellung im Feld BENUTZERNAME immer den Benutzernamen in Form von DOMÄNE\BENUTZERNAME angeben. Diese Art der Schreibweise nennt sich FullDomain.
Abbildung 5.25: Anmeldefenster der Standardauthentifizierung
217
Kapitel 5 Client-Zugriff auf den Server
Die Standardauthentifizierung funktioniert auch über die Eingabe des sogenannten User Principal Name (UPN) im Feld BENUTZERNAME. Der UPN setzt sich aus dem Benutzernamen (Präfix) und der Domäne (Suffix) zusammen, dabei werden die beiden Teile mit einem @-Zeichen miteinander verbunden. Der UPN entspricht in vielen Fällen auch der E-Mail-Adresse eines Benutzers und ist daher für einen Benutzer oft leichter zu merken. So lautet ein UPN dann Präfix@Suffix. Beispiel: Benutzername: MarcJ Domäne: Exchange2007.de UPN: [email protected] oder Benutzername: MarcJ Domäne: Exchange2007.local UPN: [email protected] Eine weitere Möglichkeit der Anmeldung ist die ausschließliche Verwendung des Benutzernamens und des Passwortes. Damit Sie diese Anmeldemöglichkeit unter Outlook Web Access unabhängig von der Authentifizierungsmethode nutzen können, müssen weitere Einstellungen getroffen werden. Welche Einstellungen das sind, erfahren Sie weiter unten in diesem Kapitel bei der Konfiguration der formularbasierten Authentifizierung. Die formularbasierte Authentifizierung (FBA) unter Exchange Server 2007 ist die voreingestellte Authentifizierungsmethode. Dabei wird Ihnen eine Anmeldeseite im Browser-Fenster dargestellt, in der Sie Ihre Anmeldedaten in Form von FULLDOMAIN oder UPN eingeben können. Weiter können Sie festlegen, ob der Computer, den Sie verwenden, als ÖFFENTLICHER COMPUTER oder PRIVATER COMPUTER definiert werden soll. Sie können auf die Authentifizierungsmethode STANDARD umschalten, indem Sie entweder die EMC oder die Exchange Management Shell verwenden. In der EMC wechseln Sie in die Eigenschaften des virtuellen Verzeichnisses OWA (Standardwebsite) unter SERVERKONFIGURATION und CLIENTZUGRIFF, Registerkarte OUTLOOK WEB ACCESS (ab SP1). Wechseln Sie auf die Registerkarte AUTHENTIFIZIERUNG und klicken Sie dort auf MINDESTENS EIN STANDARDAUTHENTIFIZIERUNGSVERFAHREN VERWENDEN. Wählen Sie eines der Standardauthentifizierungsverfahren aus und klicken Sie auf OK.
218
Outlook Web Access
Abbildung 5.26: Deaktivieren der FBA-Anmeldung in Outlook Web Access
Die Anmeldedaten bei der FBA werden mit einem sogenannten Hash Message Authentication Code (HMAC) verschlüsselt. Diese Verschlüsselung verwendet einen 160-Bit-Schlüssel, der vom ClientAccess-Server bereitgestellt wird. Die Anmeldedaten werden auf dem Client-Computer in Form eines verschlüsselten Cookies gespeichert. Die Ver- und Entschlüsselung geschieht nur über den ClientAccess-Server, daher besitzt auch nur der ClientAccess-Server die entsprechenden Schlüssel. Je nachdem, ob Sie die Auswahl auf ÖFFENTLICHER COMPUTER oder PRIVATER COMPUTER festgelegt haben, werden unterschiedliche Cookies gespeichert. Diese Behandlung der Cookies lässt sich über den ClientAccess-Server definieren, wobei festgelegt wird, wann eine OWA-Sitzung einen Time-out erhält und auf die Anmeldeseite zurückgesetzt wird. Dies beendet eine OWASitzung automatisch und verhindert, dass an Computern eine nicht geschlossene OWA-Sitzung geöffnet bleibt. Eine Sitzung wird automatisch beendet, wenn diese eine gewisse Zeit ohne Benutzerinteraktionen bleibt. Als Interaktion werden beispielsweise das Öffnen, Senden oder Speichern von Objekten, das Wechseln zwischen Ordnern oder das Aktualisieren des Browsers angesehen. Nicht als Interaktion werden Aktionen angesehen, die vom Server ausgeführt werden, zum Beispiel Erinnerungsfester oder Benachrichtigungen über neue Nachrichten. Die Standardwerte für das Cookie TIME-OUT finden Sie in der folgenden Tabelle.
219
Kapitel 5 Client-Zugriff auf den Server
Anmeldung
Standard für das Cookie Time-Out
öffentlicher Computer
15 Minuten
privater Computer
4 Stunden
Tabelle 5.4: Standardwerte des Cookies Time-Out in OWA
Sie können die Standardwerte des Cookies TIME-OUT über die Registry mit einem Registry-Editior oder über die Exchange Management Shell verändern. Es können dabei Werte zwischen einer Minute und 30 Tagen gewählt werden. So ändern Sie den Wert über die Registry: 1. Klicken Sie auf dem ClientAccess-Server auf Start Ausführen. Geben Sie regedit ein und klicken Sie auf OK. 2. Navigieren Sie zu folgendem Registry-Schlüssel: HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\MSExchange OWA. 3. Erstellen Sie einen neuen DWORD-Wert und nennen Sie diesen PublicTimeOut zur Festlegung des Cookies Time-Out für öffentliche Computer. 4. Geben Sie einen Wert zwischen 1 bis 43.200 an. Dies ist die maximale Timeout-Zeit von 30 Tagen. Der Wert muss in Minuten angegeben werden. 5. Klicken Sie auf OK Zur Festlegung des Cookies TIME-OUT für PRIVATE COMPUTER befolgen Sie die Schritte 1 und 2 und geben bei Schritt 3 anstelle von PUBLICTIMEOUT den Namen PRIVATETIMEOUT an. Führen Sie danach die Schritte 4 und 5 aus. Sie müssen den IIS-Dienst neu starten, damit die neuen Werte angewendet werden. Verwenden Sie dazu den Befehl iisreset /noforce über die Eingabeaufforderung. Um Werte in der Registry mit der Exchange Management Shell zu setzen, verwenden Sie die folgenden Befehle: Öffentliche Computer: Set-ItemProberty HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA -Name PublicTimeOut –Value -Type dword Private Computer: Set-ItemProberty HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA -Name PrivatTimeOut –Value -Type dword
220
Outlook Web Access
Mit dem folgendem Befehl können Sie sich den Wert anzeigen lassen: Set-ItemProberty HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA -Name Sollten bei Ihnen die Time-out-Zeiten von den oben genannten oder von Ihnen definierten Werten etwas abweichen, müssen Sie verstehen, wie die Cookie-Verschlüsselung funktioniert und die Time-outs berechnet werden. Der ClientAccess-Server erstellt nach dem Start des virtuellen Verzeichnisses drei HMACSchlüssel. Es werden immer jeweils drei Schlüssel für die Verschlüsselung des Cookies für öffentliche Computer und drei Schlüssel für die Verschlüsselung des Cookies für private Computer erstellt. Diese Schlüssel werden im Wechsel zur Verschlüsselung der Anmeldedaten im Cookie verwendet. Ein Wechsel des aktuellen Schlüssels findet immer nach Ablauf der halben Zeit statt, die als Time-out-Zeit definiert wurde. Sollte beispielsweise ein Time-out von 15 Minuten für öffentliche Computer festgelegt worden sein, so wird nach 7,5 Minuten der HMAC-Schlüssel ablaufen und der nächste Schlüssel verwendet. Erfolgt nach Ablauf der 7,5 Minuten eine Interaktion des Benutzers, so wird das Cookie mit dem neuen HMAC-Schlüssel verschlüsselt. Sobald einer der Schlüssel abgelaufen ist, wird dieser vom ClientAccess-Server gelöscht, und es wird ein neuer HMAC-Schlüssel erstellt. Aufgrund dieses Verhaltens kann es beim Ablauf einer OWA-Sitzung schon mal zu Time-out-Werten kommen, die innerhalb des festgelegten Wertes plus der Hälfte des Wertes liegen. Um Ihren Benutzer die Anmeldung an Outlook Web Access zu erleichtern, indem der Benutzer nur noch den oben schon erwähnten USERNAME eingeben muss, müssen Sie im virtuellen Verzeichnis von Outlook Web Access den StandardDomänenamen hinterlegen und auf das Anmeldeformat USERNAME umschalten. Führen Sie diese Schritte für Outlook Web Access über die Exchange Management Shell durch, indem Sie folgenden Befehl verwenden: Set-OWAVirtualDirectory OWA (Standardwebsite) LogonFormat Username DefaultDomain Um das Anmeldeformat über die EMC zu verändern, wechseln Sie in die Eigenschaften des virtuellen Verzeichnisses OWA (Standardwebsite) unter SERVERKONFIGURATION und CLIENTZUGRIFF, Registerkarte OUTLOOK WEB ACCESS. Wechseln Sie auf die Registerkarte AUTHENTIFIZIERUNG. Sie müssen den IIS-Dienst neu starten, damit die Änderungen ausgeführt werden. Verwenden Sie dazu den Befehl iisreset /noforce über die Eingabeaufforderung.
221
Kapitel 5 Client-Zugriff auf den Server
Abbildung 5.27: Anmeldeformat „Nur Benutzername“ in Outlook Web Access
Informationen über weitere Authentifizierungsmethoden sind unter anderem: 왘
formularbasierte Authentifizierung mit einem ISA Server
왘
zertifikatbasierte Authentifizierung mit Smart Cards
왘
Authentifizierung mit RSASecureID
5.4.4
Sprache und Umgebungseinstellungen
Das Anpassen der Sprach und Umgebungseinstellungen für Outlook Web Access erlaubt es Ihnen, Ihren Benutzer eine Outlook Web Access-Oberfläche zu bieten, die der Sprache des Benutzers entspricht. Unter älteren Exchange-Versionen wurde Outlook Web Access in der Standardeinstellung, das heißt in der Sprache des Client-Computers, geöffnet, die auf dem Client-Computer installiert war. Dies stellte immer dann ein Problem dar, wenn Benutzer beispielsweise im Ausland über öffentliche Computer (Internetcafé o.Ä.) Zugriff auf ihre Firmen-E-Mails haben wollten. Da nicht jeder Kenntnisse beispielsweise des asiatischen Zeichensatzes besitzt, war ein Zugriff über einen asiatischen Client-Computer oft schon ein großes Problem – abgesehen davon, dass es schon schwierig genug ist, mit einer asiatischen Tastatur die Outlook Web Access-URL einzugeben. Im Exchange Server 2007 müssen Sie nun zwischen drei Spracheinstellungen unterscheiden.
222
Outlook Web Access 왘
Zum einen ist es die Spracheinstellung der Anmeldeseite und der Fehlermeldungen. Diese steuert die Sprache, in der einem Benutzer beispielsweise die FBAAnmeldeseite angezeigt wird. Der Standardwert für diese Einstellung ist nicht gesetzt und steht somit auf 0. Der Wert 0 bedeutet, dass die Sprache des Internet Explorers verwendet wird, auf dem Outlook Web Access aufgerufen wurde. Erkennt Outlook Web Access die Sprache des Internet Explorers nicht, oder wird diese von Outlook Web Access nicht unterstützt, so wird die Sprache des ClientAccess-Servers verwendet.
왘
Zum zweiten ist es die Standardeinstellung der Clientsprache, die für die Anzeige der Inhalte und Ordner in Outlook Web Access zuständig ist. Der Wert für die Standardeinstellung der Client-Sprache kann vom Benutzer jederzeit über die beiden Einstellungen Optionen und Ländereinstellungen in Outlook Web Access geändert werden. Die Einstellung gilt jeweils für ein virtuelles Verzeichnis und für alle Benutzer, die über dieses Verzeichnis auf Outlook Web Access zugreifen. Der Standardwert für diese Einstellung ist 0 und bedeutet, dass ein Benutzer bei der ersten Anmeldung in Outlook Web Access eine Abfrage zur Festlegung der Standardeinstellung erhält.
Abbildung 5.28: Abfrage der Standardeinstellung der Client-Sprache
223
Kapitel 5 Client-Zugriff auf den Server
Wenn Sie den Wert für die Standardeinstellung der Client-Sprache definieren, bekommen die Benutzer bei der ersten Anmeldung keine Abfrage zur Festlegung der Standardeinstellung (siehe Abbildung 5.28). Es wird dem Benutzer die vorher festgelegte Sprache angezeigt, und als Zeitzone wird die Zeitzone des ClientAccess-Servers festgelegt. 왘
Zuletzt gibt es noch die Einstellung der Clientsprache, die es individuell pro Postfach erlaubt, eine Client-Sprache festzulegen. Diese Einstellung betrifft diejenigen Sprachen, die in Outlook und in Outlook Web Access verwendet werden. Sollten mehrere Sprachen festgelegt worden sein, wird die erste Sprache für Outlook Web Access verwendet, die der Browser unterstützt.
Zum Festlegen der SPRACHE FÜR DIE ANMELDESEITE UND FEHLERMELDUNGEN können Sie lediglich die Exchange Management Shell verwenden. Geben Sie folgenden Befehl ein, um die Sprache festzulegen: Set-OWAVirtualDirectory OWA (Standardwebsite) –LogonandErrorLanguage <Sprachcode> Zum Festlegen der Standard-Client-Sprache können Sie nur die Exchange Management Shell verwenden. Geben Sie folgenden Befehl ein, um die Sprache festzulegen: Set-OWAVirtualDirectory OWA (Standardwebsite) –DefaultClientLanguage <Sprachcode> Zum Festlegen der CLIENTSPRACHEN für individuelle Postfächer können Sie nur die Exchange Management Shell verwenden. Geben Sie folgenden Befehl ein, um die Sprache festzulegen: Set-Mailbox -languages <Sprachcode, Sprachcode,…> Eine Tabelle mit den Sprachcodes finden sie in Anhang B.
5.4.5
Segmentierung
Unter der SEGMENTIERUNG DER FEATURES IN OWA versteht man die Möglichkeit, einzelne Optionen in Outlook Web Access auf Serverebene oder Benutzerebene zu deaktivieren oder zuzulassen. Die Segmentierung der Outlook Web Access-Optionen konnten Sie schon unter Exchange Server 2000 bzw. 2003 durchführen. Da war es aber eine etwas aufwendige Methode, über die Registrierung bzw. mit ADSIEdit die entsprechenden Werte zu setzen. Mit Exchange Server 2003 und dem ZusatzTool OWA Admin stand Ihnen eine Weboberfläche zur Verfügung, welche die Umsetzung etwas erleichterte, aber immer noch nicht komplett in die Exchange Server-Verwaltung integrierte. Sie können die Segmentierung der Outlook Web Access-Optionen individuell pro Benutzer festlegen und für jedes einzelne virtuelle Verzeichnis. Dazu verwenden Sie die Exchange Management Shell und nicht
224
Outlook Web Access
Exchange ActiveSyncIntegrationEnabled ActiveSync-Integration
OWAActiveSyncIntegration Enabled
Alle Adresslisten
AllAddressListsEnabled
OWAAllAddress ListsEnabled
Kalender
CalendarEnabled
OWACalendarEnabled
Erläuterung
Parameter für die Benutzerebene in der Exchange Management Shell (Set-CASMailbox)
Parameter für die Verzeichnisebene in der Exchange Management Shell (Set-OWAVirtualDirectory)
Parameter für die Verzeichnisebene in der EMC
mehr wie in alten Exchange Server-Versionen die Registry. Trotzdem werden die Einstellungen weiterhin in die Registrierung bzw. für Benutzereinstellungen in das Attribut MSEXCHMAILBOXFOLDERSET des Benutzerobjekts geschrieben. In der Standardeinstellung sind alle Optionen für Outlook Web Access aktiviert bzw. im Benutzerattribut MSEXCHMAILBOXFOLDERSET nicht gesetzt. In der nachfolgenden Tabelle 5.6 haben wir Ihnen alle konfigurierbaren Outlook Web Access-Optionen aufgelistet. Sie können diese über die Exchange Management Console oder über die Exchange Management Shell konfigurieren. Für die Konfiguration auf Benutzerebene steht Ihnen nur die Exchange Management Shell zur Verfügung.
Aktiviert: Erlaubt das Verwalten von mobilen Endgeräten über die OPTIONEN in Outlook Web Access. Deaktiviert: Die Verwaltung steht über die OPTIONEN nicht zur Verfügung. Aktiviert: Erlaubt den Zugriff auf alle Adresslisten in der Exchange-Organisation. Deaktiviert: Erlaubt nur den Zugriff auf die globale Standardadressliste. Aktiviert: Erlaubt den Zugriff auf den Kalender. Deaktiviert: Entfernt den Kalender aus Outlook Web Access. Der Kalender ist über Outlook weiterhin sichtbar.
Tabelle 5.5: Segmentierungswerte für Outlook Web Access
225
ContactsEnabled
Journal
JournalEnabled
JunkE-MailFilterung
JunkEmailEnabled
Erläuterung
Parameter für die Verzeichnisebene in der Exchange Management Shell (Set-OWAVirtualDirectory)
Kontakte
Parameter für die Benutzerebene in der Exchange Management Shell (Set-CASMailbox)
Parameter für die Verzeichnisebene in der EMC
Kapitel 5 Client-Zugriff auf den Server
OWAContactsEnabled
Aktiviert: Erlaubt den Zugriff auf den KONTAKTE-Ordner. Deaktiviert: Entfernt den KONTAKTE-Ordner aus Outlook Web Access. Der KONTAKTE-Ordner ist über Outlook weiterhin sichtbar. OWAJournalAktiviert: Erlaubt den Zugriff Enabled auf den JOURNAL-Ordner. Deaktiviert: Entfernt den JOURNAL-Ordner aus Outlook Web Access. Der JOURNALOrdner ist über Outlook weiterhin sichtbar. OWAJunkEmail- Aktiviert: Erlaubt die VerwalEnabled tung der Junk-E-Mail-Einstellungen des Postfaches über Outlook Web Access. Deaktiviert: Unterbindet die Verwaltung der Junk-E-MailEinstellungen über Outlook Web Access. Einstellungen, die durch den Administrator oder über Outlook festgelegt wurden, werden weiterhin angewendet.
Tabelle 5.5: Segmentierungswerte für Outlook Web Access (Forts.)
226
ErinneRemindersAndrungen NotificationsEnabled und Benachrichtigungen
Notizen
NotesEnabled
PremiumClient
PremiumClientEnabled
Suchordner
SearchFoldersEnabled
Erläuterung
Parameter für die Benutzerebene in der Exchange Management Shell (Set-CASMailbox)
Parameter für die Verzeichnisebene in der Exchange Management Shell (Set-OWAVirtualDirectory)
Parameter für die Verzeichnisebene in der EMC
Outlook Web Access
OWAReminders- Aktiviert: Die Benutzer erhalAndNotifications ten Benachrichtigungen über Enabled Termine, Aufgaben und neue Nachrichten. Deaktiviert: Es werden keine Benachrichtigungen angezeigt. Die Funktion steht unter Outlook Web Access Light nicht zur Verfügung. OWANotesAktiviert: Erlaubt den Zugriff Enabled auf den NOTIZEN-Ordner über Outlook Web Access. In Outlook Web Access sind Notizen nur im lesenden Zugriff möglich. OWAPremium- Aktiviert: Der Outlook Web ClientEnabled Access Premium Client steht zur Verfügung. Deaktiviert: Nur der Light Client von Outlook Web Access steht zur Verfügung. OWASearchAktiviert: Erlaubt den Zugriff FoldersEnabled auf alle Suchordner, die auf dem Server zur Verfügung stehen. Deaktiviert: Entfernt nicht den Ordner Suchordner, aber der Zugriff steht nicht zur Verfügung.
Tabelle 5.5: Segmentierungswerte für Outlook Web Access (Forts.)
227
E-MailSignatur
SignaturesEnabled
Rechtschreibprüfung
SpellCheckerEnabled
Aufgaben TasksEnabled
Designauswahl
ThemeSelectionEnabled
Unified Messaging-Integration Kennwort ändern
UMIntegrationEnabled
ChangePasswordEnabled
Erläuterung
Parameter für die Benutzerebene in der Exchange Management Shell (Set-CASMailbox)
Parameter für die Verzeichnisebene in der Exchange Management Shell (Set-OWAVirtualDirectory)
Parameter für die Verzeichnisebene in der EMC
Kapitel 5 Client-Zugriff auf den Server
OWASignatures Enabled
Aktiviert: Erlaubt Benutzern das Erstellen einer E-MailSignatur für ausgehende Nachrichten. OWASpellAktiviert: Erlaubt die VerwenCheckerEnabled dung der Rechtschreibprüfung über Outlook Web Access. Diese Funktion steht unter Outlook Web Access Light nicht zur Verfügung. OWATasksAktiviert: Erlaubt die VerwenEnabled dung der Aufgaben über Outlook Web Access. Diese Funktion steht unter Outlook Web Access Light nicht zur Verfügung. OWAThemeAktiviert: Erlaubt die VerwenSelectiondung der Designauswahl Enabled über Outlook Web Access. Diese Funktion steht unter Outlook Web Access Light nicht zur Verfügung. OWAUMInteAktiviert: Erlaubt Benutzern grationEnabled die Steuerung ihrer UM-Einstellungen über Outlook Web Access. OWAChangeErlaubt Benutzern, ihr PasswordPasswort über Outlook Enabled Web Access zu ändern.
Tabelle 5.5: Segmentierungswerte für Outlook Web Access (Forts.)
228
PublicFoldersEnabled
OWAPublicFoldersEnabled
WiederRecoverDeletedherstelItemsEnabled lung Gelöschte Elemente
OWARecoverDeletedItemsEnabled
Regeln
RulesEnabled
OWARulesEnabled
S/MIME
SMimeEnabled
OWASMimeEnabled
Erläuterung
Parameter für die Benutzerebene in der Exchange Management Shell (Set-CASMailbox)
Öffentliche Ordner
Parameter für die Verzeichnisebene in der Exchange Management Shell (Set-OWAVirtualDirectory)
Parameter für die Verzeichnisebene in der EMC
Outlook Web Access
Aktiviert: Erlaubt das Durchsuchen und Lesen von Inhalten in öffentlichen Ordnern. Dieses Feature steht erst ab SP1 zur Verfügung. Aktiviert: Erlaubt den Zugriff auf Objekte, die aus dem Ordner GELÖSCHTE OBJEKTE entfernt wurden. Dieses Feature steht erst ab SP1 zur Verfügung. Aktiviert: Erlaubt den Zugriff und die Verwaltung von servergespeicherten Regeln über Outlook Web Access. Dieses Feature steht erst ab SP1 zur Verfügung. Aktiviert: Erlaubt den Zugriff auf das S/MIME-Add-in zum Signieren und Verschlüsseln von Nachrichten. Dieses Feature steht erst ab SP1 zur Verfügung.
Tabelle 5.5: Segmentierungswerte für Outlook Web Access (Forts.)
Zur Verwaltung der Einstellungen auf Verzeichnisebene über die Exchange Management Console öffnen Sie in der EMC die SERVERKONFIGURATION und klicken auf CLIENTZUGRIFF. Öffnen Sie die Eigenschaften des virtuellen Verzeichnisses OWA (STANDARDWEBSITE). Wechseln Sie auf die Registerkarte SEGMENTIERUNG und deaktivieren bzw. aktivieren Sie die Features, die Sie für alle Benutzer dieses Verzeichnisses sperren bzw. freigeben wollen.
229
Kapitel 5 Client-Zugriff auf den Server
Abbildung 5.29: Segmentierung der Outlook Web Access-Features über die GUI
Zur Verwaltung der Einstellungen über die Exchange Management Shell verwenden Sie den Befehl Set-OWAVirtualDirectory. Zur Konfiguration auf Benutzerebene müssen Sie die Exchange Management Shell verwenden. Es steht Ihnen dafür keine grafische Oberfläche zur Verfügung. Setzen Sie die Einstellungen bitte mit dem Befehl Set-CASMailbox. Die Einstellungen, die Sie für einen Benutzer treffen, haben Vorrang vor den Einstellungen des virtuellen Verzeichnisses. In der Standardeinstellung sind alle Optionen auf Verzeichnisebene aktiviert. Sämtliche Optionen auf Benutzerebene sind nicht gesetzt. Die konfigurierten Optionen auf Benutzerebene haben Vorrang vor den Werten der Verzeichnisebene. Auch müssen Sie darauf achten, dass beim Setzen der ersten Option auf Benutzerebene alle nicht definierten Optionen von NICHT GESETZT auf FALSE geändert werden. Dies hat zur Folge, dass einige Optionen dem Benutzer in Outlook Web Access nicht mehr zur Verfügung stehen. Setzen Sie daher auf Benutzerebene immer alle segmentierbaren Optionen auf die von Ihnen gewünschten Werte. Verwenden Sie die Segmentierung auf Benutzerebene nur bei Bedarf.
230
Outlook Web Access
Sollten Sie den ClientAccess-Server in Verbindung mit einem Exchange Server 2000/2003-Mailbox-Server (Backend) verwenden, sind für den Parameter KENNWORT ÄNDERN weitere Einstellungen notwendig. Damit Benutzer ihr Kennwort ändern können, wenn dies bereits abgelaufen oder im Active Directory die Einstellung BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN gesetzt ist, beachten Sie bitte die Hinweise auf folgenden Webseiten: http://technet.microsoft.com/de-de/libary/bb684904.apx http://support.microsoft.com/ ?kbid=297121
5.4.6
Dateifreigaben und SharePoint-Seiten
Eine weitere Zugriffsmöglichkeit auf Dateifreigaben und Windows SharePointSeiten bietet Outlook Web Access über den Dokumentenzugriff. Dabei können Sie Server angeben, auf die Benutzer mit Outlook Web Access zugreifen dürfen. Beachten Sie, dass die Zugriffsrechte auf den lesenden Zugriff beschränkt sind. In der Verwaltungskonsole des Exchange Servers 2007 werden die Server aufgeführt, auf die ein Benutzer mit Outlook Web Access zugreifen darf. Am anschaulichsten wird dies mit einem Beispiel. Wir haben in unserer Organisation einen Server, der einen Freigabenamen FILES$ besitzt. Damit diese Freigabe und die darin enthaltenen Verzeichnisse und Dateien einem Benutzer lesend zugänglich gemacht werden können, befolgen Sie bitte folgende Schritte: Der Zugriff auf SharePoint-Seiten ist nur über die Verbindung mit Outlook Web Access Premium unter Exchange Server 2007 möglich. Außerdem muss die Authentifizierungsmethode STANDARD oder FORMULARBASIERTE AUTHENTIFIZIERUNG verwendet werden. 1. Wechseln Sie in die EMC und wählen Sie SERVERKONFIGURATION • CLIENTZUGRIFF und öffnen Sie die Eigenschaften des Verzeichnisses OWA (Standardwebsite). 2. Wechseln Sie auf die Registerkarte Remotedateiserver. Wählen Sie unter Zulassungsliste den Button Zulassen.
231
Kapitel 5 Client-Zugriff auf den Server
Abbildung 5.30: Die Zulassungsliste des Remotedateiservers
3. Geben Sie den Servernamen des Servers an, auf den über Outlook Web Access zugegriffen werden darf, und klicken Sie auf Hinzufügen. Sie haben zusätzlich die Möglichkeit, eine Liste von blockierten Servern anzugeben oder zu definieren, wie mit nicht angegebenen Servern umgegangen werden soll. Solange die Standardeinstellung UNBEKANNTE SERVER • BLOCKIEREN eingestellt ist, müssen Sie Server, auf die zugegriffen werden soll, in der Zulassungsliste definieren. Umgekehrt verhält es sich, wenn Sie die Einstellung für UNBEKANNTE SERVER auf ZULASSEN festlegen. Dann kann auf jede Freigabe zugegriffen werden, solange der Server nicht in der Liste der blockierten Server aufgeführt ist. In Outlook Web Access wechseln Sie auf die Seite DOKUMENTE und klicken auf PFAD ÖFFNEN. Geben Sie den Servernamen des Servers ein, auf den Sie zugreifen möchten. Wenn Sie auf ÖFFNEN klicken, bekommen Sie eine Liste aller Freigaben auf diesem Server angezeigt. Wählen Sie die Freigabe, die Ihre Dateien enthält, und klicken Sie auf die Freigabe. Es öffnet sich die Freigabe. Ihnen werden daraufhin die Dateien und Unterordner der Freigabe angezeigt.
232
Outlook Web Access
Abbildung 5.31: Dateifreigabe in Outlook Web Access
Um nicht jedesmal den Server neu hinzufügen zu müssen, können Sie die Freigabe zu Ihren Favoriten hinzufügen. Sie wird Ihnen dann beim nächsten Aufruf von Outlook Web Access unter den Favoriten in Outlook Web Access angezeigt.
Abbildung 5.32: Dateifreigabe: Hinzufügen zu den Favoriten
233
Kapitel 5 Client-Zugriff auf den Server
Sie können den Benutzern von Outlook Web Access nur den Zugriff auf Server gestatten, die als intern angesehen werden. Als interner Server wird ein Server von Exchange Server 2007 angesehen, wenn bei der Eingabe des Pfades wie auf Abbildung 5.31 der Servername keinen . (Punkt) enthält. Damit Server mit einem anderen Domänensuffix als intern betrachtet werden, müssen Sie diese Domänensuffixe auf dem ClientAccess-Server definieren. Wechseln Sie dafür wieder in die SERVERKONFIGURATION und auf CLIENTZUGRIFF. Öffnen Sie die Eigenschaften des Verzeichnisses OWA (STANDARDWEBSITE) und wechseln Sie auf die Registerkarte REMOTEDATEISERVER. Klicken auf KONFIGURIEREN unter GEBEN SIE DIE DOMÄNENSUFFIXE EIN, DIE ALS INTERN BEHANDELT WERDEN SOLLEN. Geben Sie hier alle Domänensuffixe ein, die für Dateifreigaben benötigt werden. Werden jetzt bei der Pfadeingabe in Outlook Web Access (Abbildung 5.31) FQDNs verwendet, enthalten diese Punkte im Namen. Diese werden dann nur als intern angesehen, falls das angegebene Domänensuffix vorher wie in Abbildung 5.33 definiert wurde.
Abbildung 5.33: Domänensuffixe für die Remotedateiserver
Um eine Liste von Domänensuffixe über die Exchange Management Shell zu erstellen, führen Sie bitte folgenden Befehl aus: Set-OWAVirtualDirectory OWA (Standardwebsite –RemoteDocumentsInternalDomainSuffixList domainname.com, subdomain.domainname.com
234
OMA, Active Sync und Direct Push
Sollten Sie diese Art des Zugriffs über die Remotedateiserver nicht wünschen, können Sie die Einstellung über die EMC oder die Exchange Management Shell deaktivieren. Führen Sie in der Exchange Management Shell für das Deaktivieren von SharePoint-Seiten und Dateifreigaben auf öffentlichen Computern folgenden Befehl aus: Set-OWAVirtualDirectory OWA (Standardwebsite) –WSSAccessOnPublicComputersEnabled:$false –UNCAccessOnPublicComputersEnabled:$false Beachten Sie, dass aufgrund der Zeilenumbrüche in diesem Buch die Befehle auf mehrere Zeilen aufgeteilt sein können. Die hier gezeigten Exchange Management Shell-Befehle werden immer – sofern nicht anders beschrieben – in eine Zeile geschrieben.
5.5
OMA, Active Sync und Direct Push
Zur Zugriffsmöglichkeit von Outlook Mobile Access (OMA) ist nicht mehr viel zu sagen. Es wurde ersatzlos gestrichen und steht unter Exchange Server 2007 nicht mehr zur Verfügung. Outlook Mobile Access war für einen Zugriff mit mobilen Endgeräten entwickelt worden, wobei die Endgeräte über einen Browser eine spezielle URL für den Zugriff für OMA aufrufen konnten. Dieser Webzugriff stellte eine Optimierung für mobile Endgeräte zur Verfügung, da der Zugriff auf Outlook Web Access nicht für den Zugriff mit mobilen Endgeräten konzipiert war. Anstelle von OMA ist die Funktion ActiveSync getreten, die es aber auch schon unter Exchange Server 2003 gab. Dabei wird mit ActiveSync kein Zugriff auf ein Postfach über einen Browser des mobilen Endgeräts durchgeführt. Vielmehr ist es möglich, ein Postfach auf dem mobilen Endgerät einzurichten und mit einem Exchange Server zu synchronisieren.
5.5.1
Exchange ActiveSync und Direct Push
Bereits der Exchange Server 2003 SP2 ermöglichte es Benutzern, mit einer Vielzahl an unterstützten mobilen Endgeräten auf die Daten ihres Postfachs zuzugreifen und die Funktion Direct Push zu verwenden. Diese Möglichkeit ist auch weiterhin unter Exchange Server 2007 verfügbar und hat sich in vielen Bereichen deutlich verbessert. Unter anderem ist die Administration vereinfacht worden. Ebenso die Möglichkeit, mehrere und granulare Sicherheitsrichtlinien für die mobilen Endgeräte zu definieren. Der Exchange Server verwendet dabei das Protokoll ActiveSync, welches auf Basis von HTTP und XML aufgebaut ist. Die Verbindung wird über das HTTP-Protokoll hergestellt. Die Konfigurationseinstellungen werden dabei in XML-Dateien zur Verfügung gestellt.
235
Kapitel 5 Client-Zugriff auf den Server
Sie sollten auch bei ActiveSync eine sichere Verbindung über HTTPS verwenden, da auch hier die Anmeldedaten des Benutzers über das Internet gesendet werden. In der Standardeinstellung wird die Standardauthentifizierung benutzt, die die Anmeldedaten im Klartext übermittelt. Daher ist es sicherer, diese Daten sowie die E-Mail-Informationen, die synchronisiert werden, über einen SSL-Tunnel zu verschlüsseln. Direct Push bezeichnet den Benachrichtigungsprozess, den der Exchange Server verwendet, um die Daten auf dem mobilen Endgerät und dem Exchange-Postfach synchron zu halten. Dabei wird nicht – wie oft angenommen – vom Exchange Server eine Verbindung initialisiert, sobald eine neue Nachricht im Postfach des Benutzers zur Verfügung steht, sondern eine Verbindungsanfrage vom mobilen Endgerät an den Exchange Server gesendet. Daher sollten Sie darauf achten, dass Sie die Datentarif-Option Ihres Mobilfunkvertrags auf ein unbeschränktes Datenvolumen oder ein entsprechend ausreichendes Datenvolumen anpassen. Sollten Sie ein Zeitvolumen für die Übertragung der Daten abgeschlossen haben, kann dies sehr schnell teuer werden. Auf der nachfolgenden Abbildung 5.34 sehen Sie den Verbindungsversuch eines mobilen Endgeräts, das Daten mit dem Exchange Server austauschen möchte.
Abbildung 5.34: Direct Push-Abfrage
236
OMA, Active Sync und Direct Push
1. In Schritt 1 startet das mobile Endgerät eine HTTP-Anfrage an den Exchange Server über das Mobilfunknetz. In der Anfrage ist ein Zeittakt hinterlegt, den der Server abwarten soll, bis er eine HTTP 200-Antwort (OK) sendet. Sollten in dieser Zeit Änderungen auf dem Exchange Server stattfinden, wie beispielsweise neue eingegangene Nachrichten, werden diese direkt über die Anfrage übermittelt. 2. Sollten keine Änderungen stattfinden, sendet der Exchange Server in Schritt 2 nach Ablauf von 15 Minuten die HTTP 200-Antwort. Diese wird sehr wahrscheinlich vom Client nicht mehr empfangen, da der Netzbetreiber oder eine zwischengeschaltete Firewall eine derart lange Verbindung nicht offen halten. 3. Nach Ablauf der 15 Minuten wartet das mobile Endgerät eine Minute auf die Antwort des Exchange Servers und erhält diese nicht. Daraufhin sendet das mobile Endgerät in Schritt 3 erneut eine Anfrage, nun aber mit einer Zeittaktung von nur noch acht Minuten. 4. Findet innerhalb dieser acht Minuten keine Änderung am Exchange Server statt, und erhält das mobile Endgerät keine HTTP 200-Meldung, wird es eine neue Anfrage in Schritt 4 senden, die eine Zeittaktung von –1 Minute enthält. Das bedeutet, dass die dritte Anfrage eine Zeittaktung von sieben Minuten hätte. 5. Erhält das mobile Endgerät nach Ablauf der acht Minuten die HTTP 200-Antwort des Exchange Servers, wird in Schritt 5 eine neue Anfrage mit einem Zeittakt von 12 Minuten gesendet. Auf diese Art ermittelt das mobile Endgerät die optimale Zeittaktung, die vom Netzanbieter oder einer Firewall zugelassen wird. Je länger ein solches Zeitfenster ist, desto höher ist die Akkulaufzeit eines mobilen Endgeräts, da es sich während der Zeitfenster in den Wartemodus schaltet. Beachten Sie, dass die Funktion von Direct Push nur über das Mobilfunknetz funktioniert. Direct Push funktioniert nicht über WLANInternetverbindungen. Der Abgleich von Informationen zwischen dem mobilen Endgerät und dem Exchange-Postfach kann auch weiterhin über eine Desktop-Verbindung mit einem Kabel, Infrarot oder Bluetooth über den Outlook-Client durchgeführt werden. Verwenden Sie ab Windows Vista das in das Betriebssystem integrierte WINDOWS MOBILE GERÄTECENTER. Für ältere Betriebssysteme steht Ihnen die Software ActiveSync 4.5 zum Download auf den Microsoft-Seiten zur Verfügung. Achten Sie darauf, dass Sie jeweils die aktuelle Version von ActiveSync verwenden.
237
Kapitel 5 Client-Zugriff auf den Server
Die Desktop-Software ActiveSync ist eine eigene Software zum Synchronisieren der mobilen Endgeräte mit Outlook. Sie darf nicht mit der ActiveSync-Funktion des Exchange Servers verwechselt werden. Nach der Installation der ClientAccess-Serverrolle ist die Funktion von ActiveSync für jeden Benutzer mit einem Postfach aktiviert. Sie können dies natürlich für einzelne oder alle Benutzer wieder deaktivieren. Verwenden Sie dazu entweder die Exchange Management Console oder die Exchange Management Shell. Zur Deaktivierung von ActiveSync für einzelne Benutzer steht Ihnen die Benutzerverwaltung in der EMC zur Verfügung. In den Eigenschaften des Postfachs können Sie unter POSTFACHFEATURES die Exchange ActiveSync deaktivieren. Wollen Sie diese Aufgabe für mehrere Benutzer durchführen, verwenden Sie dazu die Exchange Management Shell mit dem Befehl Set-CASMailbox. Die Funktion des Exchange ActiveSync wird über das virtuelle Verzeichnis Microsoft-Server-ActiveSync bereitgestellt, das bei der Installation der ClientAccess-Serverrolle unterhalb der Standard-Website angelegt wird. Möchten Sie die gesamte Funktion von ActiveSync für einen ClientAccess-Server abschalten, tun Sie dies bitte über den INTERNETINFORMATIONSDIENSTE-MANAGER. Öffnen Sie diesen und erweitern Sie den Order Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool mit der Bezeichnung MSEXCHANGESYNCAPPPOOL und klicken Sie anschließend bitte auf Beenden. Damit deaktivieren Sie Exchange ActiveSync für diesen ClientAccess-Server komplett.
Abbildung 5.35: Deaktivieren von ActiveSync für den gesamten Server
238
OMA, Active Sync und Direct Push
5.5.2
Postfachrichtlinien für Exchange ActiveSync
Eine Verbesserung haben die Postfachrichtlinien für ActiveSync erfahren. Ihnen stehen nun viel mehr Einstellungen in den Postfachrichtlinien zur Verfügung. Mit SP1 für den Exchange Server 2007 wird auch eine Standard-Postfachrichtlinie für ActiveSync eingeführt, die jedem neu angelegten Postfach zugeordnet wird. Sie können pro Postfach eine Richtlinie für ActiveSync zuordnen. Es können zwar mehrere Richtlinien existieren, aber einem Postfach kann immer nur eine Richtlinie zugeordnet werden.
Abbildung 5.36: Zuordnen einer ActiveSync-Postfachrichtlinie
In der RTM-Version des Exchange Servers 2007 existiert keine Postfachrichtlinie für ActiveSync. Erst mit SP1 wird eine Standardrichtlinie erstellt, die jedem neuen Postfach zugeordnet wird. Die Standardeinstellungen dieser Richtlinie sehen Sie in Tabelle 5.7.
239
Kapitel 5 Client-Zugriff auf den Server
Einstellung
Standardwert
Nicht bereitstellbare Geräte zulassen
Aktiviert (True)
Einfaches Kennwort zulassen
Deaktiviert (False)
Alphanumerisches Kennwort anfordern
Deaktiviert (False)
Das Herunterladen von Anlagen auf das Gerät zulassen
Aktiviert (True)
Verschlüsselung auf dem Gerät anfordern
Deaktiviert (False)
Kennwort anfordern
Deaktiviert (False)
Kennwortablauf (Tage)
Unbegrenzt
Kennwortverlauf erzwingen
0
Policy-Aktualisierungsintervall (erst ab SP1)
Unbegrenzt
Maximale Anlagengröße (KB)
Unbegrenzt
Anzahl zulässiger fehlerhafter Versuche (Passworteingaben)
4
Zeitraum ohne Benutzereingabe, bis das Kennwort erneut eingegeben werden muss (in Minuten)
15
Minimale Kennwortlänge
4
Kennwortwiederherstellung aktivieren
Deaktiviert (False)
Windows-Dateifreigabe
Aktiviert (True)
Windows SharePoint Services
Aktiviert (True)
Tabelle 5.6: Einstellungen der ActiveSync-Standardrichtlinie ab SP1
Neu mit SP1 für den Exchange Server 2007 sind zusätzliche Konfigurationsmöglichkeiten für Windows Mobile 6.0-Endgeräte. Diese unterstützen die Konfigurationsmöglichkeiten beispielsweise zur Festlegung von Infrarot-Schnittstellen oder Bluetooth am Endgerät oder das Löschen des Endgeräts inklusive externer Speicherkarten (die zu diesem Zeitpunkt im Endgerät eingesteckt sind). Weiterhin neu mit SP1 sind das Erlauben oder Verbieten der Kamera am Endgerät sowie einige Einstellungen zur Nutzung von Applikationen auf dem Endgerät. Zur Verwaltung der einzelnen mobilen Endgeräte können Sie ab Exchange Server 2007 auch die EMC oder die Exchange Management Shell benutzen. Unter Exchange Server 2003 musste ein Administrator auf das Zusatz-Tool MobileAdmin zurückgreifen, welches eine zusätzliche Weboberfläche zur Verfügung stellte. Um sich die einzelnen Geräte eines Benutzers anzeigen zu lassen, öffnen Sie über die EMC die Empfängerkonfiguration und wählen den Ordner POSTFACH. Klicken Sie mit der rechten Maustaste auf den Benutzer, dessen mobile Endgeräte Sie verwalten wollen. Wählen Sie MOBILES GERÄT VERWALTEN.
240
OMA, Active Sync und Direct Push
Abbildung 5.37: Verwalten von mobilen Endgeräten eines Benutzers
Informieren Sie sich über die einzelnen Endgeräte und treffen Sie eine Auswahl zum Löschen oder Zurücksetzen eines Endgeräts.
Abbildung 5.38: Eigenschaften und Informationen zum Endgerät
241
Kapitel 5 Client-Zugriff auf den Server
Sollte es vorkommen, dass ein Benutzer sein Endgerät verliert oder es entwendet wurde, steht dem Benutzer über Outlook Web Access eine eigene Oberfläche zur Verfügung, über die er sein mobiles Endgerät löschen kann. Somit werden beim nächsten Synchronisationsvorgang alle Daten auf dem Endgerät entfernt. Damit ist es nicht erforderlich, dass ein Serviceanruf in der IT-Abteilung erfolgen muss, um den Löschvorgang durchführen zu lassen. Der Benutzer erreicht die Option in Outlook Web Access unter dem Optionsmenüpunkt MOBILE ENDGERÄTE.
Abbildung 5.39: Benutzeroptionen zur Verwaltung der Endgeräte
Ab SP1 erhalten der Administrator und der Benutzer eine Bestätigungs-E-Mail über das erfolgreiche Zurücksetzen des Endgeräts. Microsoft bezeichnet den Vorgang des Zurücksetzens als Remote Wipe-Funktion. Nachdem ein Benutzer oder ein Administrator ein Gerät über den Remote Wipe-Vorgang zurückgesetzt hat, muss das Gerät aus der Liste des Benutzers entfernt werden. Würde das Gerät nicht entfernt werden, so würde nach jeder Neukonfiguration des Endgeräts mit dem Server der Remote Wipe-Vorgang erneut ausgeführt werden. Direct Push wird mittlerweile von einer Vielzahl von unterschiedlichen Endgeräten unterstützt. In der unten aufgeführten Tabelle finden Sie einige dieser Endgeräte. Beachten Sie bitte, dass die Tabelle keinen Anspruch auf Vollständigkeit erhebt. Sicherlich werden auch in Zukunft Anbieter diese Funktion in ihre Endgeräte integrieren und zur Verfügung stellen.
242
OMA, Active Sync und Direct Push
Hersteller
Endgerät
Software
Nokia
E-Serie und N-Serie
Nokia Mail for Exchange 2.0
Palm
Treo 750p, 700p, 680
Versamail for Palm
Sony Ericsson
Z750
Inklusive
Alle Hersteller von auf Alle auf Windows Mobile 5 Windows Mobile 5 inkl. Windows Mobile 5 basie- basierende Endgeräte MSFP-Update renden Endgeräten Alle Hersteller von auf Alle auf Windows Mobile 6 Windows Mobile 6 Windows Mobile 6 basie- basierende Endgeräte renden Endgeräten Alle Hersteller von auf Helio (Betriebsystem) basierenden Endgeräten
Alle auf Helio (Betriebsys- Mail for Microsoft tem) basierende EndExchange geräte
Tabelle 5.7: Auswahl von Exchange ActiveSync-kompatiblen Geräten
Weitere Informationen, ob Ihr Endgerät für Exchange ActiveSync vorbereitet ist, oder ob es ein Update für Ihr Gerät gibt, erhalten Sie auf den Internetseiten Ihres Geräteherstellers.
5.5.3
Bereitstellen von Exchange ActiveSync
Wie bereits schon erwähnt, steht die Funktion von ActiveSync nach der Installation des ClientAccess-Servers zur Verfügung. Einige wenige wichtige Schritte, die Sie zur Absicherung noch durchführen sollten, sind das Einbinden eines gültigen SSL-Zertifikats sowie die Anpassung der externen URL für den ClientAccessServer. Da eine Anmeldung am Exchange Server vom mobilen Endgerät erforderlich ist und die Standardauthentifizierungsmethode auf STANDARD festgelegt ist, werden die Anmeldedaten bei einer HTTP-Verbindung im Klartext übertragen. Verwenden Sie daher immer eine gesicherte Verbindung über HTTPS, um diese Daten verschlüsselt zu übertragen. Zur erfolgreichen Einrichtung einer HTTPS-Verbindung muss das mobile Endgerät in der Lage sein, das SSL-Zertifikat, welches vom Exchange Server verwendet wird, zu bestätigen. Sie werden sicherlich die Zertifikatswarnungen kennen, wenn Sie eine Internetseite aufrufen und Ihnen angezeigt wird, dass dem verwendeten Zertifikat nicht vertraut wird. Im Browser können Sie diese Warnung lesen und mit einem Klick übergehen. Das mobile Endgerät zeigt Ihnen aber keine Warnung an und übergeht
243
Kapitel 5 Client-Zugriff auf den Server
eine solche Warnung auch nicht automatisch. Daher werden Verbindungsversuche mit nicht vertrauenswürdigen Zertifikaten immer fehlschlagen. Damit ein Zertifikat als vertrauenswürdig eingestuft wird, müssen drei Punkte erfüllt sein: Zum einem muss das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt worden sein. Microsoft stellt in seinen Betriebssystemen einige Stammzertifikate zur Verfügung, damit diese Geräte automatisch allen weiteren Zertifikaten dieser Zertifizierungsstellen vertrauen. Dazu zählen auch die Betriebssysteme Windows Mobile 5 und Windows Mobile 6. Verwenden Sie nun in Ihrer Umgebung eine eigene Zertifizierungsstelle oder haben Sie ein Zertifikat einer kommerziellen Zertifizierungsstelle erworben, die nicht über ein Stammzertifikat im Zertifikatsspeicher des Endgeräts verfügt, würde dieses Zertifikat zunächst nicht als vertrauenswürdig eingestuft werden, und die Verbindung würde fehlschlagen. Um zu erreichen, dass Ihr Zertifikat auf dem Exchange Server als vertrauenswürdig eingestuft wird, müssen Sie daher ein Stammzertifikat oder den öffentlichen Teil Ihres Zertifikats auf dem Endgerät installieren. Dazu exportieren Sie entweder den öffentlichen Teil Ihres Stammzertifikats Ihrer eigenen Zertifizierungsstelle und kopieren diese Zertifikatsdatei beispielweise über eine externe Speicherkarten oder eine Kabelverbindung auf das mobile Endgeräte oder exportieren das kommerziell erworbene Zertifikat vom ClientAccess-Server. Kopieren Sie es gegebenenfalls ebenso auf das mobile Endgerät wie vorher beschrieben. Die zweite Möglichkeit, warum ein Zertifikat als nicht vertrauenswürdig eingestuft werden könnte, kann der Fall sein, dass es auf einen anderen Namen ausgestellt wurde als der in der Verbindung angegebene Name. Nehmen wir an, Ihr Exchange Server hat den internen FQDN EX07.Ihredomain.local. Ihre Outlook Web Access-Seite erreichen Sie extern über die Angabe des FQDN des Servers mail.ihredomain.de. Sollte jetzt der angegebene Name im Zertifikat auf den FQDN EX07.Ihredomain.local lauten, sehen Sie über den Aufruf von Outlook Web Access eine entsprechende Zertifikatswarnung im Browser. Für das mobile Endgerät haben wir wieder das gleiche Problem, wie oben schon beschrieben. Es wird die Zertifikatswarnung nicht verarbeiten können. Achten Sie daher darauf, dass der Name, für den das Zertifikat ausgestellt wurde, immer Ihrem externen Namen entspricht, mit dem Sie Ihren Exchange Server erreichen. Sie können bei der Konfiguration des virtuellen Verzeichnisses für Exchange ActiveSync über die EMC oder die Exchange Management Shell den externen FQDN für das Verzeichnis festlegen. Verwenden Sie in der Exchange Management Shell dazu den Befehl Set-ActiveSyncvirtualDirectory Microsoft-Server-ActiveSync (Standardwebsite) –externaleURL <externer FQDN Ihres Servers>/Microsoft-
244
OMA, Active Sync und Direct Push
Server-ActiveSync. Über die EMC öffnen Sie die Serverkonfiguration und den Clientzugriff. Wechseln Sie auf die Registerkarte EXCHANGE-ACTIVESYNC und öffnen Sie die Eigenschaften des Verzeichnisses MICROSOFT-SERVER-ACTIVESYNC (STANDARDWEBSITE). Dort können Sie auf der Registerkarte ALLGEMEIN die externe URL festlegen. Weiter steht Ihnen die Registerkarte AUTHENTIFIZIERUNG zur Verfügung, auf der Sie die Authentifizierungsart festlegen. Ebenso ermöglicht die Registerkarte REMOTEDATEISERVER, Datei-Server-Freigaben und SharePoint-Seiten über die mobilen Endgeräte verfügbar zu machen. Auch hier gelten dieselben Konfigurationsmöglichkeiten wie für Outlook Web Access und einen rein lesenden Zugriff auf die Freigaben der Server- und SharePoint-Seiten. Die dritte, aber meist unwahrscheinlichste Zertifikatswarnung betrifft den Fall, dass das Zertifikat keine Gültigkeit mehr hat. Dies kann eintreten, wenn das Ablaufdatum des Zertifikats überschritten oder das Zertifikat aus irgendwelchen Gründen von der Stammzertifizierungsstelle zurückgerufen wurde. Gründe hierfür können sein, dass der private Teil des Zertifikats verlorengegangen ist, und es daher als nicht mehr sicher eingestuft werden kann. Um sicherzustellen, dass Sie keinerlei Probleme mit Zertifikatswarnungen für Exchange ActiveSync haben, ist es vorteilhaft, denselben FQDN für Outlook Web Access wie für ActiveSync zu verwenden. Wenn Sie beim Aufruf von Outlook Web Access keinerlei Warnungen angezeigt bekommen, können Sie davon ausgehen, dass es auch mit ActiveSync keine Probleme geben wird. Beachten Sie, dass Sie über das gültige Stammzertifikat im Zertifikatsspeicher für vertrauenswürdige Stammzertifikate auf dem mobilen Endgerät verfügen müssen. Haben Sie alle oben genannten Voraussetzungen erfüllt, können Sie die Konfiguration Ihres mobilen Endgeräts durchführen. Für auf Windows Mobile 6 basierende Geräte gehen Sie folgendermaßen vor: 1. Klicken Sie auf START • PROGRAMME und ActiveSync. 2. Klicken Sie auf Das Gerät für die Synchronisierung mit diesem Server einrichten. Geben Sie den externen FQDN Ihres ClientAccess-Servers an.
245
Kapitel 5 Client-Zugriff auf den Server
Abbildung 5.40: FQDN des ClientAccess-Servers
3. Aktivieren Sie das Kästchen Server erfordert eine verschlüsselte (SSL) Verbindung und klicken Sie auf weiter. 4. Geben Sie auf der nächsten Seite Ihren Benutzernamen, Ihr Passwort und den Namen Ihrer Domäne an. Über die Schaltfläche Erweitert können Sie weitere Einstellungen vornehmen – wie die Art der Verbindung oder der Ordnersynchronisation. Mit ActiveSync können Sie E-Mail-Nachrichten, Kalendereinträge sowie Aufgaben synchronisieren. Was Sie nicht synchronisieren können, sind Notizen. Außerdem kann ActiveSync alle Ordner in einem Postfach synchronisieren, die auf dem Exchange Server abgelegt sind. Ausnahmen bilden die Ordner ENTWÜRFE und POSTAUSGANG. 5. Sollten Sie eine ActiveSync-Postfach-Richtlinie festgelegt haben, müssen Sie diese akzeptieren, bevor der Synchronisationsvorgang ausgeführt wird. Klicken Sie dafür in der entsprechenden Meldung auf OK. 6. Die Synchronisation der einzelnen Ordner wird durchgeführt. Je nach den gewählten Einstellungen für die Synchronisation kann dieser Vorgang etwas Zeit in Anspruch nehmen.
246
OMA, Active Sync und Direct Push
Abbildung 5.41: Die Synchronisation wird durchgeführt.
7. Beim ersten Synchronisieren werden die Objekte der Ordner auf oberster Ebene sowie die Ordnerstruktur Ihres Postfachs synchronisiert. Um Nachrichten oder andere Objekte in Unterordnern oder in den Ordnern Gesendete Objekte oder Junk-E-Mail mit zu synchronisieren, müssen Sie diese zuvor konfigurieren.
Abbildung 5.42: Synchronisationseinstellungen für weitere Ordner
247
Kapitel 5 Client-Zugriff auf den Server
Nach Abschluss dieser Schritte haben Sie das mobile Endgerät erfolgreich zur Synchronisation mit Ihrem Exchange Server konfiguriert. Eventuell haben Sie nicht nur ein Endgerät, das konfiguriert werden muss, sondern Hunderte oder sogar Tausende. Sie können jetzt jedem Ihrer Benutzer eine Anleitung an die Hand geben, damit diese ihr eigenes Endgerät mit den entsprechenden Informationen konfigurieren können. Eine weitere Möglichkeit zur Automatisierung der Konfiguration liefert der System Center Configuration Manager 2007 (SCCM) von Microsoft. Damit können Sie die Konfiguration für viele hundert oder tausend mobile Endgeräte komplett automatisieren. Ein Benutzer wird nur noch zur Eingabe seines Passwortes aufgefordert. Mehr Informationen zum SCCM 2007 erhalten Sie auf folgender Internetseite: http://technet.microsoft.com/en-us/library/bb735860.aspx Eine weitere halbautomatische Konfigurationsmöglichkeit der Endgeräte ist die Bereitstellung einer XML-Datei, welche die benötigten Konfigurationsinformationen beinhaltet. Diese Datei wird zu einer ausführbaren .CAB-Datei gepackt und kann auf dem Endgerät ausgeführt werden. Weitere Informationen zur Erstellung einer XML-Datei für die automatische Konfiguration sowie eine Liste der in Windows Mobile 5 und Windows Mobile 6 enthaltenen Stammzertifikate finden Sie in englischer Sprache unter der folgenden Internetadresse: http://www.microsoft.com/technet/solutionaccelerators/mobile/maintain/ SecModel/bd8cc6b6-0038-4e56-b1d4-b7b9af9ea6ef.mspx?mfr=true
5.5.4
CAS und Migration der Mailboxen
Bei der Migration von Mailboxen zwischen verschiedenen Servern mit der Mailbox-Rolle werden Sie im Augenblick noch feststellen, dass die Zugriffe von mobilen Clients mit Windows Mobile 5 oder Windows Mobile 6 nicht mehr funktionieren. Das liegt daran, dass es keine Umleitung für diese Art von Clients gibt, die über die ClientAccess-Rolle mit den Mailboxen verbunden werden. Derzeit müssen Sie die Clients manuell neu verbinden, das heißt, Sie müssen auf dem mobilen Client den Server- und Benutzernamen noch einmal eintragen. In einigen Fällen wird dann der Client komplett neu synchronisiert, was bei einer hohen Anzahl von Elementen einige Zeit in Anspruch nehmen kann. Bei einer Migration einer Mailbox auf einen anderen Server nach dem Einspielen von Service Pack 1 für Exchange Server 2007 auf der ClientAccess-Rolle ist ein automatischer Redirect der mobilen Clients möglich.
248
IMAP4 und POP3
5.6
IMAP4 und POP3
Der Zugriff auf Postfächer über die Protokolle POP3 und IMAP4 ist auch weiterhin mit dem Exchange Server 2007 möglich. Diese Dienste werden mit der Installation der ClientAccess-Serverrolle installiert, aber nach der Installation als deaktivierte Dienste bereitgestellt. Wollen Sie diese Dienste nutzen, müssen Sie zuerst die Dienste über die Dienste-Verwaltung des Servers aktivieren und gegebenenfalls die Startart der Dienste von MANUELL auf AUTOMATISCH ändern. Klicken Sie dazu auf START AUSFÜHREN und geben Sie SERVICES.MSC ein. Klicken Sie auf OK. Die Verwaltungskonsole der Systemdienste wird geöffnet. Starten Sie den entsprechenden Dienst oder rufen Sie die Eigenschaften des Dienstes auf, um die Startart festzulegen. Mit der Startart AUTOMATISCH werden die Dienste nach einem Neustart des Systems automatisch mit gestartet.
Abbildung 5.43: POP3- und IMAP4-Dienst
Die Verwaltung der Einstellungen für die Dienste wie zum Beispiel die Verbindungslimits, IP- und Port-Einstellungen, Time-out-Limits und Kalender-Optionen für den IMAP4-Dienst steuern Sie in der RTM-Version des Exchange Servers 2007 nur über die Exchange Management Shell mit den folgenden Befehlen: 왘
Verwaltung von POP3-Einstellungen pro Server: Set-POPSettings
왘
Anzeigen der POP3-Einstellungen pro Server: Get-POPSettings
왘
Verwaltung von IMAP4-Einstellungen pro Server: Set-IMAPSettings
왘
Anzeigen der IMAP4-Einstellungen pro Server: Get-IMAPSettings
Weitere Einstellungen für POP3 und IMAP4 können Sie pro Benutzer festlegen, indem Sie den Befehl Set-CASMailbox verwenden. Über den Befehl help full erhalten Sie Hilfestellung zu den einzelnen Schaltern, wie diese verwendet werden.
249
Kapitel 5 Client-Zugriff auf den Server
Falls Sie einen ClientAccess-Server verwenden und auf Postfächer mit POP3 oder IMAP4 auf einem Exchange Server 2003 zugreifen wollen, so müssen Sie die Authentifizierungsmethode STANDARD verwenden. Auch ist es in dieser Konstellation nicht möglich, den Zugriff auf die Postfächer über POP3 oder IMAP4 mit SSL abzusichern. Verschieben Sie dazu die Postfächer erst auf einen Exchange Server 2007 mit der Rolle Mailbox. Ab SP1 steht Ihnen eine grafische Oberfläche zur Verfügung, mit der Sie einige Aufgaben bei der Verwaltung des POP3-Dienstes und des IMAP4-Dienstes durchführen können. Sie können über die GUI die folgenden Aufgaben erledigen: 왘
Port-Einstellungen
왘
Ändern der Authentifizierung
왘
Definieren und Anpassen der Verbindungseinstellungen
왘
Definieren und Anpassen der Nachrichten- und Kalender-Einstellungen
Abbildung 5.44: IMAP4-Verwaltung über die GUI ab SP1
250
Zusammenfassung
Abbildung 5.45: POP3-Verwaltung über die GUI ab SP1
Sollten Sie darüber hinaus Konfigurationen an den Diensten POP3 bzw. IMAP4 vornehmen wollen, so müssen Sie dazu weiterhin die Exchange Management Shell Console verwenden.
5.7
Zusammenfassung
In diesem Kapitel haben wir Ihnen einige Funktionen und Aufgaben des ClientAccess-Servers aufgezeigt. Sie haben die Neuigkeiten von SP1 kennengelernt, die für den ClientAccess-Server eine Rolle spielen, und viele weiterführende Links genannt bekommen, um weitere Details zu erfahren. Leider können wir Ihnen nicht alle Features des ClientAccess-Servers im Detail erklären, da dies über den Rahmen dieses Buches hinausginge. Verwenden Sie daher bitte die eingefügten Links, um sich zusätzliche Informationen zum ClientAccess-Server zu beschaffen.
251
6
Migration auf Exchange Server 2007
Viele von Ihnen werden nicht die Möglichkeit haben, eine neue Exchange Server 2007-Organisation zu installieren. Oft ist es einfach so, dass von einer älteren Version aktualisiert wird oder von einem Nicht-Microsoft-E-Mail-System zu einer Exchange Server 2007-Organisation migriert werden soll. Daher werden wir Ihnen in diesem Kapitel die unterschiedlichen Möglichkeiten aufzeigen, wie Sie von einer bestehenden Exchange 2000- oder Exchange Server 2003-Organisation sowie einer Nicht-Microsoft-E-Mail-Umgebung zu einer Exchange Server 2007Organisation migrieren können. Es gibt keinen direkten Aktualisierungspfad von Exchange 2000 bzw. 2003 auf Exchange Server 2007. Sie müssen immer einen Exchange Server 2007 in die vorhandene Exchange 2000- oder Exchange Server 2003-Organisation installieren und die vorhanden Exchange Server dann ablösen. Bei einer solchen Migration spricht Microsoft von einer „Single Forest to Single Forest Transition“. Dies ist aber bei Weitem nicht das einzige Migrationsszenario, das Sie vorfinden können. Weitere Szenarien könnten sein: 왘
Single Forest zu Single Forest – auch IntraOrg Transition genannt.
왘
Gesamtstrukturübergreifende Transition
왘
Ressourcenstruktur Transition
왘
Migration von Lotus Notes nach Exchange Server 2007
왘
Migration von einem anderen E-Mail-Programm nach Exchange Server 2007 über IMAP4
253
Kapitel 6 Migration auf Exchange Server 2007
6.1
IntraOrg Transition
Bei der IntraOrg Transition haben Sie eine bestehende Exchange 2000- oder Exchange Server 2003-Organisation, die Sie in eine Exchange Server 2007-Organisation überführen wollen. Wir werden Ihnen hier eine Schritt-für-SchrittAnleitung aufzeigen. Im Falle der hier gezeigten Anleitung handelt es sich um eine recht simple Exchange Server 2003-Organisation. Sie können die Schritte parallel auch auf eine Exchange 2000-Organisation anwenden. Sie sollten bei einer größeren Exchange 2000- oder Exchange Server 2003-Organisation mit mehreren Exchange Servern, Routing-Gruppen und administrativen Gruppen darauf achten, dass Sie die Reihenfolge der Ablösung der Exchange Server einhalten. Es wird empfohlen, immer erst diejenigen Exchange Server auszutauschen, die für das Routing und den Versand der E-Mails zuständig sind. Aufgrund des geänderten Routing-Verhaltens von Exchange Server 2007 zu seinen Vorgängerversionen ist es sehr wichtig, eine funktionierende Umgebung auch während einer Umstellung zu behalten. Weitere Informationen zum Routing-Verhalten finden Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Organisation“. Wir haben eine Windows Server 2003-Domäne, in der ein Domänen-Controller existiert. Dieser ist gleichzeitig auch globaler Katalogserver und wird mit Windows Server 2003 SP2 ausgeführt. SP1 muss mindestens auf einem Domänen-Controller und globalem Katalogserver ausgeführt werden, der in der Domäne steht, in die der Exchange Server 2007 installiert werden soll, oder für alle Domänen, in der Exchange Server 2000 oder Exchange Server 2003 aktivierte Objekte, wie z.B. E-Mail aktivierte Benutzer, Kontakte usw. existieren. Dies gilt auch für einen Standort innerhalb einer Domäne. Wir haben aber die Erfahrung gemacht, dass es zu Problemen bei der Installation kommen kann, wenn nicht alle Domänen-Controller und globalen Katalogserver mindestens SP1 installiert haben. Dieser Fehler soll mit dem SP1 für den Exchange Server 2007 behoben werden. Daher empfehlen wir Ihnen, alle Ihre Domänen-Controller und globalen Katalogserver mit mindestens SP1 zu aktualisieren, bevor Sie mit der Installation des ersten Exchange Servers 2007 beginnen. Weiter existiert ein Exchange Server 2003 mit SP2 und allen aktuellen Patches. Für den Zugriff auf Outlook wird ein Windows XP-Rechner mit Office 2003 verwendet. Außerdem wird in unserer Umgebung noch Outlook 2003 verwendet, was wir bei unserer Transition zu berücksichtigen haben. Eine weitere Aufgabe ist es, den Outlook 2003-Client gegen einen Outlook 2007-Client zu aktualisieren, um die Datenbank für öffentliche Ordner zu deinstallieren.
254
IntraOrg Transition
Die Datenbank für öffentliche Ordner wird in unserer ExchangeOrganisation für keine weiteren Zwecke verwendet. Das bedeutet, es existieren keine öffentlichen Ordner mit Inhalten wie Kalender, Adressbüchern oder Nachrichten. Sollten Sie noch Datenbanken mit öffentlichen Ordner im Einsatz haben, stellt das für die Transition in unserem Beispiel kein Problem dar, da die Datenbanken für öffentliche Ordner unter Exchange Server 2007 auch weiterhin unterstützt werden. Folgende Struktur und Namen haben wir für unsere Umgebung verwendet:
Abbildung 6.1: Umgebung für die Transition von Exchange Server 2003 nach Exchange Server 2007
255
Kapitel 6 Migration auf Exchange Server 2007
Domänen-Controller und globaler Katalogserver: DC01-FFM Exchange Server 2003: EX01-FFM Exchange Server 2007: EX02-FFM Windows XP-Computer: XP01-FFM Wir zeigen Ihnen in dieser Anleitung beide Wege der Exchange Server 2007Installation. Es werden die Installation und die notwendigen Schritte über die grafische Oberfläche dargestellt sowie die unbeaufsichtigte Installation über die PowerShell. Da einige Konfigurationsschritte nur über die PowerShell möglich sind, haben wir uns für diesen parallelen Weg entschieden.
6.1.1
Schritt 1: Die Installation
1. Nachdem Sie einen Windows Server 2003 (in unserem Fall Windows Server 2003 R2) mit mindestens Service Pack 1 und die benötigten Komponenten als Mitglieds-Server in die Domäne gebracht haben, legen Sie die InstallationsDVD für den Exchange Server 2007 (SP1) in das DVD-Laufwerk ein oder stellen die Installationsdateien über das Netzwerk zur Verfügung. Sollten Sie die Installationsdateien über das Netzwerk zur Verfügung stellen oder den Inhalt der DVD auf den Server kopieren, können Sie alle vorhandenen Updates für den Exchange Server 2007 in den Ordner Updates kopieren. Bei der Installation prüft die Installationsroutine, ob in den Ordner Updates Software-Updates abgelegt wurden und integriert diese automatisch bei der Installation. Die benötigten Komponenten zur Installation des Exchange Servers 2007 und die auszuführenden Punkte zur Erweiterung des Schemas sowie die Erweiterung der Domäne finden Sie in Kapitel 2 „Die Installation von Exchange Server 2007“. 2. Überprüfen Sie, ob der Betriebsmodus der Exchange-Organisation auf Einheitlicher Modus (keine Exchange Server vor Version 2000) steht und der Betriebsmodus der Windows-Gesamtstruktur und Domäne mindestens auf Windows 2000 einheitlich gesetzt wurde. 3. Das Willkommensfenster der Exchange Server 2007-DVD begrüßt Sie:
256
IntraOrg Transition
GUI:
Abbildung 6.2: Willkommensfenster bei der GUI-Installation
Klicken Sie auf SCHRITT 4: MICROSOFT EXCHANGE INSTALLIEREN PowerShell: Starten Sie in der Eingabeaufforderung die Vorbereitung zur Installation in eine vorhandene Exchange Server 2003- oder Exchange 2000-Organisation über den Befehl Laufwerk:\:setup.com /pl, wobei Laufwerk hier für den Buchstaben Ihres DVDLaufwerks steht.
Abbildung 6.3: Vorbereiten der Installation zu einer bestehenden Exchange-Organisation
257
Kapitel 6 Migration auf Exchange Server 2007
Zum Ausführen des Befehls setup.com /pl muss das Konto, mit dem der Befehl ausgeführt wird, Mitglied der Gruppe Organisations-Admins sein. Rufen Sie den Befehl am einfachsten mit runas auf, um das benötigte Benutzerkonto anzugeben. Der Befehl würde dann so lauten: D:\runas /user:Domäne\Administrator setup.com /pl 4. Starten der Installation: GUI:
Abbildung 6.4: Informationen zur Einführung von Exchange Server 2007
Lesen Sie die Informationen und klicken Sie auf WEITER, um fortzufahren.
258
IntraOrg Transition
Abbildung 6.5: Exchange Server 2007-Lizenzbestimmungen
Lesen Sie die Lizenzbestimmungen und bestätigen Sie diese. Fahren Sie dann mit einem Klick auf WEITER fort.
Abbildung 6.6: Fehlerberichterstattung
259
Kapitel 6 Migration auf Exchange Server 2007
Klicken Sie auf WEITER, falls Sie keine automatische Fehlerberichterstattung an Microsoft wünschen. Dies ist die Standardeinstellung. Ändern Sie dieses Verhalten gegebenenfalls auf JA und klicken Sie dann auf WEITER.
Abbildung 6.7: Auswahl zwischen der typischen bzw. benutzerdefinierten Installation
Für unsere Umgebung wird die TYPISCHE INSTALLATION gewählt. Dabei befinden sich die Server-Rollen Mailbox, Hub-Transport und ClientAccess alle auf einem Server. Weiter werden bei dieser Installation die Exchange Management Tools (Exchange Management Console) installiert. Ab Exchange Server 2007 SP1 kann die Exchange Management Console auch auf einem Windows Vista-Computer oder einem Windows Server 2008 installiert werden. In der RTM-Version ist dies nicht möglich. Weitere Informationen zur Kompatibilität mit Windows Vista und Windows Server 2008 finden Sie in Kapitel 1 „Was hat sich geändert?“ und auf dem Exchange-Team-Blog unter der Internetadresse: http://msexchangeteam.com/archive/2007/08/16/446709.aspx
260
IntraOrg Transition
Sie können hier den Pfad zu dem Installationsverzeichnis der Exchange Server 2007-Installationsdateien anpassen. Auch hier belassen wir die Einstellungen für unsere Umgebung auf dem Standardwert C:\Programme\Microsoft\Exchange Server. Klicken Sie auf WEITER.
Abbildung 6.8: Legacy Exchange Server
Geben Sie nun einen Exchange Server 2003 oder Exchange Server 2000 an, mit dem der Exchange Server 2007 eine Verbindung herstellen soll. Dadurch wird ein Routing-Gruppen-Connector angelegt, der den E-Mail-Fluss zwischen den Exchange Servern 2003 oder Exchange Servern 2000 und dem Exchange Server 2007 sicherstellt. Der hier angegebene Exchange Server 2003 und der Exchange Server 2007 werden in diesen Routing-Gruppen-Connector eingetragen. Sie erhalten eine Zusammenfassung der Installationseinstellungen und starten mit einem Klick auf INSTALLIEREN die Installation. PowerShell: Die oben gezeigten Schritte können Sie auch über die Kommandozeile ausführen. Starten Sie dazu die Eingabeaufforderung und geben Sie folgenden Befehl ein: D:\setup.com /r:h,c,m /LegacyRoutingServer:EX01-FFM
261
Kapitel 6 Migration auf Exchange Server 2007
Abbildung 6.9: Unbeaufsichtigte typische Installation
Mit dem Schalter /LegacyRoutingServer geben Sie den Exchange Server 2000 oder den Exchange Server 2003 an, den Sie auch in Abbildung 6.8 konfigurieren konnten. Sollten Sie diesen Schalter nicht angeben, schlägt die Installation über die PowerShell fehl. GUI: Nach Abschluss der Installation können Sie im Exchange System Manager des Exchange Servers 2003 die Routing-Gruppen-Connectoren sehen.
Abbildung 6.10: Legacy Routing-Gruppen-Connectoren
262
IntraOrg Transition
6.1.2
Schritt 2: Das E-Mail-Routing
Nachdem die Installation des ersten Exchange Servers 2007 in der vorhanden Exchange Server 2003-Organisation abgeschlossen ist, sollte der Exchange Server 2007 noch konfiguriert werden. Bei einer größeren Exchange Server 2000-/ 2003-Organisation (mehr als eine Routing-Gruppe) sollte das Link State-Update von Exchange Server 2000/2003 unterdrückt werden. Da Exchange Server 2007 nicht mehr mit Link State Routing-Tabellen arbeitet, sondern die Site Links von Active Directory verwendet, kann es zu E-Mail-Schleifen kommen. Daher sollte das Site Link-Update im Exchange Server 2000/2003 abgeschaltet werden. Diese Änderung muss auf jedem Exchange Server 2000/2003 durchgeführt werden. In der Registry des Exchange Servers 2000/2003 wird folgender Key erstellt: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RESvc\ Parameters Typ: DWORD Name: SuppressStateChanges Wert: 1 Nach dem Erstellen des Registry Keys müssen folgende Dienste auf dem Exchange Server 2000/2003 neu gestartet werden: SMTP-Service: net stop SMTPSVC && net start SMTPSVC Exchange-Routing-Modul: net stop RESvc && net start RESvc Exchange-MTA-Stack: net stop MSExchangeMTA && net start MSExchangeMTA 5. Berechtigungen für den E-Mail-Eingang Jetzt kann die weitere Konfiguration des Exchange Servers 2007 in Angriff genommen werden. Bevor Sie die Benutzerpostfächer verschieben, sollten Sie den E-Mail-Verkehr sicherstellen. Solange auf dem Exchange Server 2007 noch keine produktiven Postfächer abgelegt sind, können Sie diesen leicht neu starten, um den E-Mail-Verkehr zu testen. Damit der Exchange Server 2007 E-Mails entgegennehmen kann, muss auf dem Exchange Server 2007 mit der ServerFunktion Hub-Transport der anonyme Benutzer auf dem Empfangs-Connector aktiviert werden. Dies ist notwendig, da wir in unserer Umgebung (noch) keinen EdgeTransport-Server einsetzen. Bei der Konfiguration eines Edge-Transport-Servers wird die Konfiguration der Sende- und Empfangs-Connectoren automatisch vorgenommen.
263
Kapitel 6 Migration auf Exchange Server 2007
GUI:
Abbildung 6.11: Standard-Empfangs-Connector
PowerShell: Setzen der Berechtigung der anonymen Benutzer über die PowerShell:
Abbildung 6.12: Standard-Empfangs-Connector über die PowerShell konfigurieren
6. Konfiguration für den E-Mail-Ausgang Zum Senden von E-Mails ins Internet über den neuen Exchange Server 2007 mit der Server-Funktion Hub-Transport muss ein neuer Sende-Connector auf der Server-Funktion Hub-Transport erstellt werden. Gleichzeitig wird dort auch der Exchange Server 2000/2003-SMTP-Connector angezeigt (MJochems – Internet).
264
IntraOrg Transition
GUI:
Abbildung 6.13: Einen neuen Sende-Connector erstellen
Klicken Sie zum Erstellen eines neuen Sende-Connectors im rechten Aktionsbereich auf NEUER SENDECONNECTOR.
Abbildung 6.14: Neuer Sende-Connector über den Exchange Server 2007
265
Kapitel 6 Migration auf Exchange Server 2007
Vergeben Sie hier einen aussagekräftigen Namen und wählen Sie INTERNET im Verwendungsbereich des Connectors. Klicken Sie auf WEITER.
Abbildung 6.15: Zustellungsbereich des Sende-Connectors
Klicken Sie auf HINZUFÜGEN und geben Sie einen * (Stern) ein, um dem SendeConnector mitzuteilen, dass er für alle externen Domänen zuständig ist. Wollen Sie dedizierte Sende-Connectoren für einzelne SMTP-Domänen verwenden, müssen Sie diese SMTP-Domänen hier im jeweiligen Sende-Connector angeben. Es muss aber ein Sende-Connector mit dem Bereich * (Stern) existieren, um ausgehende E-Mails zu verarbeiten. Über den Menüpunkt WEITER gelangen Sie auf die nächste Konfigurationsseite.
266
IntraOrg Transition
Abbildung 6.16: Zustellungsart definieren
Definieren Sie im Fenster NETZWERKEINSTELLUNGEN die Art der Zustellung. Hier können Sie als Anhaltspunkt die Konfiguration Ihres SMTP-Connectors im Exchange System Manager unter Exchange Server 2003 auslesen.
Abbildung 6.17: Zuständiger Server für den Sende-Connector
267
Kapitel 6 Migration auf Exchange Server 2007
Im Fenster QUELLSERVER ist der Exchange Server 2007eingetragen, auf dem Sie den Sende-Connector installieren. Belassen Sie diese Einstellungen und klicken Sie auf WEITER.
Abbildung 6.18: Zusammenfassung: Der neue Sende-Connector
Überprüfen Sie die Zusammenfassung der Konfiguration und klicken Sie auf NEU, um den Sende-Connector zu erstellen.
Abbildung 6.19: Fertigstellung des neuen Sende-Connectors
268
IntraOrg Transition
Klicken Sie auf FERTIG STELLEN, um die Installation des Sende-Connectors abzuschließen. Auf dieser Seite sehen Sie auch den PowerShell-Befehl, der für die Erstellung des Sende-Connectors vom Exchange Server ausgeführt wurde. Sie können diese Befehlszeile in die Zwischenablage kopieren und sie als Vorlage für weitere Sende-Connectoren oder zur Dokumentation verwenden. PowerShell: Einrichten eines Sende-Connector über die PowerShell.
Abbildung 6.20: Erstellen eines Sende-Connectors mittels PowerShell
7. Nach der Umstellung des MX-Records oder der Einstellung auf einem Gateway kann der SMTP-Connector des Exchange Servers 2000/2003 gelöscht werden. Ab diesem Zeitpunkt kommen alle eingehenden E-Mails über den neuen Exchange Server 2007 in die Exchange-Organisation. Weiter wird der neu erstellte Sende-Connector des Exchange Servers 2007 verwendet, um ausgehende E-Mails zu verarbeiten. Testen Sie die Funktionsweise ausgiebig, um sicherzustellen, dass Ihre Exchange-Organisation E-Mails empfangen und senden kann.
Vergessen Sie nicht, in Ihrer Firewall den Exchange Server 2007 für den Port 25 freizuschalten.
269
Kapitel 6 Migration auf Exchange Server 2007
6.1.3
Schritt 3: Die Replikation der öffentlichen Ordner
8. Replikation der öffentlichen Ordner Zu Beginn der Migration hatten wir gesagt, dass wir in unserer Umgebung keine öffentlichen Ordner verwenden. Das stimmt auch, allerdings verwenden der Exchange Server 2003 und Exchange Server 2000 Systemordner, die in der Datenbank für öffentliche Ordner abgelegt werden. Diese Systemordner werden auf den Exchange Server 2007 repliziert, damit die Informationen der Frei/Gebucht-Zeiten und die Inhalte der Offline-Adressbücher auch auf dem Exchange Server 2007 zur Verfügung stehen. Solange Sie eine frühere Version als Outlook 2007 verwenden, werden die oben genannten Informationen aus den Systemordnern der Frei/ Gebucht-Zeiten und der Offline Adressbuches (OAB) benötigt. Ab Outlook 2007 wird dazu eine Webverteilung verwendet, welche die Systemordner überflüssig macht. Weitere Informationen zur Verteilung der Frei/Gebucht-Zeiten und der OABs unter Exchange Server 2007 mit Outlook 2007 erfahren Sie in Kapitel 5, „Client-Zugriff auf den Server“. Die Systemordner werden automatisch als Replikate auf dem Exchange Server 2007 angelegt. Sie können dies mithilfe des PowerShellBefehls get-publicfolder “\non_ipm_subtree“ –recurse überprüfen.
Abbildung 6.21: Replikation der Systemordner
Wie Sie in der Abbildung sehen können, sind die Systemordner des Exchange Servers 2003 (EX01-FFM) auch als Replikate auf dem Exchange Server 2007 (EX02-FFM) vorhanden.
270
IntraOrg Transition
Wir haben zur Vollständigkeit das Verschieben aller öffentlichen Ordner in diese Schritt-für-Schritt-Anleitung mit aufgenommen, falls Sie auch öffentliche Ordner in Ihrer Umgebung einsetzen. Nun kann auf dem Exchange Server 2007 ein Replikat bzw. das Verschieben der öffentlichen Ordner eingerichtet werden. Der einfachste Weg, alle öffentlichen Ordner zu verschieben, ist, im ESM auf die Datenbank für öffentliche Ordner mit der rechten Maustaste zu klicken und im Menü den Punkt ALLE REPLIKATE VERSCHIEBEN zu wählen. Im anschließend sich öffnenden Fenster wählen Sie den Exchange Server 2007 aus, auf den die öffentlichen Ordner (inklusive Systemordner) verschoben werden sollen.
Abbildung 6.22: Verschieben der Replikate von Exchange Server 2003 nach 2007
Sollte nur ein Replikat der öffentlichen Ordner auf dem Exchange Server 2007 erstellt werden, können Sie dies auch sehr leicht mittels ein PowerShell-Skripts, das bei Exchange Server 2007 mitgeliefert wird, erreichen. Das Skript heißt AddReplicaToPFRecursive.ps1 und liegt bei einer Standardinstallation im Pfad C:\ Programme\Microsoft\Exchange Server\Scripte. In diesem Skript müssen die Parameter –TopPublicFolder “\PublicFolderName“ und -ServerToAdd Servername angegeben werden. Das Skript muss für jeden Top Level-Ordner ausgeführt werden.
271
Kapitel 6 Migration auf Exchange Server 2007
Den Pfad zum Exchange Server 2007 kann man in der Exchange Management Shell über die Variable $exscripts erreichen. Somit muss nicht immer der gesamte Pfadname angegeben werden. PowerShell:
Abbildung 6.23: Replikations-Skript für öffentliche Ordner
Beachten Sie, dass die Replikation der öffentlichen Ordner und deren Inhalte über SMTP-E-Mails zwischen den Exchange Servern durchgeführt wird. Daher muss eventuell die Aufbewahrungsfrist der E-Mails im servergespeicherten Papierkorb für den Zeitpunkt der Replikation auf 0 gesetzt werden. Hierdurch wird verhindert, dass die System-Postfächer auf den Exchange Servern 2000/2003 und 2007 mit diesen Replikations-E-Mails überfüllt werden. Außerdem verhindert dies eine zulange Aufbewahrung der Transaktionsprotokolle, die durch die Replikation stark anwachsen können. Achten Sie daher auf ausreichend freien Speicherplatz auf der Festplatte, auf der die Transaktionsprotokolle abgelegt sind. Nach dem Einrichten des Exchange Servers 2007 als Replikations-Server kann dieser mit dem Tool pfmigrate.wsf aus dem Microsoft-Artikel KB822895 getestet werden. Nachdem Sie sichergestellt haben, dass Ihre Replikation der öffentlichen Ordner funktioniert, können Sie mit dem nächsten Schritt fortfahren.
6.1.4
Schritt 4: Umzug der Postfächer
9. Verschieben der Postfächer auf den Exchange Server 2007 Im nächsten Schritt werden die Postfächer der Benutzer und die Ressourcen-Postfächer auf den neuen Exchange Server 2007 verschoben. Dazu müssen die GUI des Exchange Servers 2007 oder die PowerShell verwendet werden. Ein Verschieben der Postfächer über den Migrationsassistenten unter Exchange Server 2003 wird nicht unterstützt.
272
IntraOrg Transition
GUI:
Abbildung 6.24: Verschieben der Postfächer über die GUI
Wechseln Sie im EMC in die EMPFÄNGERKONFIGURATION und wählen Sie ein oder alle zu verschiebenden Postfächer aus. Klicken Sie dann im rechten Aktionsbereich auf POSTFACH VERSCHIEBEN. Über die rechte Maustaste auf das oder die markierten Postfächer können Sie den Kontext POSTFACH VERSCHIEBEN ebenfalls auswählen.
Abbildung 6.25: Auswahl des Exchange Servers 2007 (EX02-FFM)
273
Kapitel 6 Migration auf Exchange Server 2007
Wählen Sie im Fenster EINFÜHRUNG den Exchange Server 2007 aus, auf den Sie das oder die Postfächer verschieben wollen. Zusätzlich können Sie hier die Speichergruppe und die Datenbank angeben, in die verschoben werden soll. Klicken Sie anschließend auf WEITER.
Abbildung 6.26: Fehlerbehandlung beim Verschieben
Ähnlich wie beim Migrationsassistenten von Exchange Server 2003 können Sie im Fenster VERSCHIEBEOPTIONEN die Fehlerbehandlung definieren. Treffen Sie Ihre Auswahl und klicken Sie dann auf WEITER. Geben Sie im Fenster ZEITPLAN FÜR VERSCHIEBEVORGÄNGE eine Zeit an, falls Sie den Vorgang nicht sofort ausführen wollen. Klicken Sie auf WEITER, um fortzufahren. Über die Schaltfläche HILFE öffnen Sie die Hilfefunktion des Exchange Servers 2007. Sie erhalten dann weiterführende Informationen zum Kontextmenü angezeigt, in dem Sie sich gerade befinden. Dies ist hilfreich, falls Ihnen die unterschiedlichen zur Auswahl stehenden Optionen nicht ganz klar sind.
274
IntraOrg Transition
Abbildung 6.27: Zeitplan für die Verschiebevorgänge
Abbildung 6.28: Zusammenfassung des Verschiebevorgangs
275
Kapitel 6 Migration auf Exchange Server 2007
Überprüfen Sie im Fenster POSTFACH VERSCHIEBEN, ob alle Informationen korrekt aufgeführt werden. Klicken Sie anschließend auf VERSCHIEBEN, um den Vorgang zu starten.
Abbildung 6.29: Das Postfach wird verschoben.
Das Verschieben findet nun statt. In der GUI werden gleichzeitig bis zu vier Postfächer verschoben. Sollten Sie mehrere Postfächer ausgewählt haben, werden diese in jeweils Vierer- Blöcken verschoben. Der Vorgang kann nach Dateninhalt des einzelnen Postfachs etwas länger dauern. Um den Vorgang zu beschleunigen, haben Sie die Möglichkeit, die Exchange Management Console mehrfach zu öffnen und mehrere Verschiebevorgänge auszuführen. Achten Sie darauf, dass Sie dabei keine Postfächer gleichzeitig in mehreren Vorgängen angeben.
276
IntraOrg Transition
Abbildung 6.30: Fertigstellen des Verschiebevorgangs
Nachdem der Vorgang abgeschlossen wurde, wird Ihnen dies im letzten Fenster FERTIGSTELLUNG angezeigt. Sie sehen wieder den PowerShell-Befehl, der vom Exchange Server ausgeführt wurde. Klicken Sie auf FERTIG STELLEN, um das Menü zu schließen. PowerShell: Über die PowerShell lassen sich die Postfächer mit wesentlich mehr Optionen verschieben als über die GUI. In unserem Beispiel werden wir nur eine Filterung auf alle Postfächer auf dem Exchange Server 2003 (EX01-FFM) durchführen und diese verschieben. Weitere Filtermöglichkeiten sind natürlich möglich, wie beispielsweise nach dem Namen, der Postfachgröße oder der Abteilung. Mit dem PowerShell-Befehl get-mailbox –server EX01-FFM | move-Mailbox –TargetDatabase “Mailbox Database“ –confirm:$false sind alle notwendigen Eingaben durchgeführt, um alle Postfächer auf dem Exchange Server 2003 (EX01-FFM) in die Postfach-Datenbank Mailbox Database auf dem Exchange Server 2007 (EX02-FFM) zu verschieben.
277
Kapitel 6 Migration auf Exchange Server 2007
Mit dem Schalter -confirm:$False am Ende des Befehls wird die Abfrage nach einer Bestätigung unterdrückt.
Abbildung 6.31: Verschieben der Postfächer über die PowerShell
Nachdem die Postfächer verschoben wurden, wird Ihnen dies in der PowerShell angezeigt. Kontrollieren Sie anschließend, ob der Vorgang erfolgreich abgeschlossen wurde. Auch in der PowerShell werden gleichzeitig maximal nur vier Postfächer verschoben. Alle anderen Postfächer werden hinten angestellt und verschoben, sobald ein Vorgang abgeschlossen wurde. Auch hier können Sie wieder mit dem Trick der mehrfach geöffneten PowerShell-Konsole arbeiten. Achten Sie aber auch hier darauf, dass Sie ein Postfach nicht mehrfach verschieben, da es sonst zu Fehlermeldungen kommt. GUI: Über die Exchange Management Console können Sie sehen, auf welchem Server sich die Postfächer befinden. Nach dem Verschieben der Postfächer können die Benutzer sich wieder an ihrem Outlook-System anmelden. Auswirkungen auf den Benutzer hat das Verschieben keine und der Benutzer sollte dies auch gar nicht bemerken.
278
IntraOrg Transition
Abbildung 6.32: Postfächer auf dem Exchange Server 2007 (EX02-FFM)
6.1.5
Schritt 5: Aktualisieren der Adresslisten und Adressrichtlinien
Um die Adresslisten, das globale Adressbuch, das Offline-Adressbuch und die E-Mail-Adressrichtlinien vom Exchange Server 2007 aus verwalten zu können, müssen die verwendeten Filter in diesen Listen bzw. Richtlinien an Exchange Server 2007 angepasst werden. Das ist ein kleiner, aber sehr wichtiger Unterschied zu früheren Versionen des Exchange Servers. Es wird beim Filtern der Adresslisten nicht mehr ein Active Directory-Filter auf Basis eines LDAP-Filters verwendet, sondern eine Filterungssyntax, die sich ObjectspacePATH (OPATH) nennt und von der PowerShell als Suchsyntax verwendet wird. Damit Sie die Adresslisten über den Exchange Server 2007 verwalten können, müssen die LDAP-Filter an die Syntax des OPATH-Filters angepasst werden. Sobald Sie versuchen, eine Adressliste, die noch nicht an den OPATH-Filter angepasst wurde, über die Exchange Management Console zu verwalten, erhalten Sie eine Fehlermeldung. Auch können Sie die Version einer Adressliste mit der PowerShell auslesen, um zu prüfen, ob diese schon für die Verwendung und Exchange Server 2007 angepasst wurde. Mit dem Befehl get-Addresslist | fl Name,*RecipientFilter,ExchangeVersion können Sie sich alle Adresslisten anzeigen lassen. Im Feld ExchangeVersion muss die Versionsnummer 0.1 zu sehen sein, damit diese Adressliste über die Exchange Management Console verwaltet werden kann.
279
Kapitel 6 Migration auf Exchange Server 2007
Abbildung 6.33: Versionsnummer der Adressliste
Sollten bei Ihnen – wie in unserer Umgebung auch – noch einige Adresslisten die Versionsnummer 0.0 aufweisen, so stellen Sie bitte die Adresslisten wie folgt um. Für die im Exchange Server verwendeten Standardadresslisten 왘
Alle Benutzer
왘
Alle Gruppen
왘
Alle Kontakte
왘
Globale Standardadressliste
왘
Öffentliche Ordner
existiert ein fertiges Skript, um die verwendeten LDAP-Filter auf einen OPATHFilter zu aktualisieren.
280
IntraOrg Transition
Das Skript finden Sie auf der Internetseite des Exchange-Team-Blogs: http://msexchangeteam.com/archive/2007/01/11/432158.aspx Für alle weiteren von Ihnen angelegten Adresslisten und Offline-Adressbücher müssen Sie die Syntax manuell analysieren und anpassen. Weitere Informationen zur Syntax des OPATH-Filters und wie Sie eigene Adresslisten anpassen finden Sie auf den Internetseiten des Exchange-Team-Blogs sowie auf dem Blog von Evan Dodds. Exchange Team Blog: http://msexchangeteam.com/search/SearchResults.aspx?q=Opath Blog Evan Dodds: http://blogs.technet.com/evand/search.aspx?q=Opath&p=1 PowerShell: Beginnen wir mit den E-Mail-Adressrichtlinien. Um herauszufinden, welche Richtlinien umgestellt werden müssen, geben Sie folgenden Befehl in der PowerShell ein: get-EmailAddresspolicy | where { $_.RecipientFilterType –eq „Legacy“ } Sie erhalten als Ergebnis alle E-Mail-Adressrichtlinien, die noch einen Exchange Server 2000/2003-(Legacy-)Filter haben.
Abbildung 6.34: Legacy-E-Mail-Adressrichtlinien
Wie Sie sehen, haben wir in unserer Umgebung zwei Adressrichtlinien. Diese stellen wir im nächsten Schritt auf einen OPATH-Filter um. Beginnen wir mit der Default Policy. Geben Sie dazu folgenden Befehl in der PowerShell ein: Set-EmailAddressPolicy “Default Policy“ –IncludedRecipients AllRecipients. Bestätigen Sie die Abfrage mit A und drücken Sie die Taste EINGABE.
281
Kapitel 6 Migration auf Exchange Server 2007
Abbildung 6.35: Umstellen der Standardadressrichtlinie
Im nächsten Schritt wird die Adressrichtlinie mjochems.de umgestellt. In den beiden gezeigten Adressrichtlinien wurde jeweils der Standardfilter in Exchange Server 2003 beim Erstellen verwendet. Daher reicht es aus, bei der Umstellung den Schalter -IncludedRecipients AllRecipients zu verwenden. Sollten Sie einen angepassten Filter in Ihren Adressrichtlinien verwenden, müssen Sie diesen natürlich auch hier wieder anpassen. Führen Sie die gleichen Schritte für die Adressrichtlinie MJochems.de wie für Default Policy durch.
Abbildung 6.36: Umstellen der weiteren Adressrichtlinien
Überprüfen Sie die Versionsnummer der Adressrichtlinien, indem Sie den Befehl get-EmailAddressPolicy “Default Policy“ | fl eingeben und sich den Wert im Feld ExchangeVersion ansehen. Dieser sollte jetzt auf 0.1 stehen. Nachdem die E-Mail-Adressrichtlinien umgestellt wurden, können diese nur noch über die Exchange Server 2007-GUI (Exchange Management Console) oder über die PowerShell verwaltet werden. Angewendet werden die Richtlinien aber weiterhin auch auf dem Exchange Server 2000/2003 über den Recipient Update Service (RUS). Gleiches gilt nach der Umstellung auch für die Adresslisten.
282
IntraOrg Transition
Weiter geht es nun mit den Adresslisten. Dazu rufen Sie über die PowerShell mit dem Befehl get-Addresslist | fl Name,*RecipientFilter,ExchangeVersion alle Adresslisten auf, die auf dem Exchange Server 2007 bereitgestellt werden.
Abbildung 6.37: Standardadresslisten des Exchange Servers 2007
Um alle Adresslisten mit der Versionsnummer 0.0 umzustellen, verwenden Sie das bereits oben erwähnte Skript. # Globales Standardadressbuch Set-GlobalAddressList "Globale Standardadressliste" -RecipientFilter {(Alias -ne $null -and (ObjectClass -eq 'user' -or ObjectClass -eq 'contact' -or ObjectClass -eq 'msExchSystemMailbox' -or ObjectClass -eq 'msExchDynamicDistributionList' -or ObjectClass -eq 'group' -or ObjectClass -eq 'publicFolder'))} # Alle Benutzer Set-AddressList "Alle Benutzer" –IncludedRecipients MailboxUsers
283
Kapitel 6 Migration auf Exchange Server 2007
# Alle Kontakte Set-AddressList "Alle Kontakte" –IncludedRecipients MailContacts # Alle Gruppen Set-AddressList "Alle Gruppen" –IncludedRecipients MailGroups # Öffentliche Ordner Set-AddressList "Öffentliche Ordner" –RecipientFilter { RecipientType -eq 'PublicFolder' }
Nachdem Sie das Skript von der Internetseite des Exchange-Team-Blogs heruntergeladen und als UpgradeDefaultFilters.ps1-Datei auf Ihrem Exchange Server 2007 gespeichert haben, rufen Sie es über die PowerShell wie folgt auf.
Abbildung 6.38: Skript zum Anpassen der Adresslisten
Bestätigen Sie jede Aufforderung mit A. Sollten Sie das Skript von der Internetseite heruntergeladen haben, beachten Sie bitte, dass Sie für einen deutschen Exchange Server 2007 die Bezeichnungen der Adresslisten noch anpassen müssen. So lautet beispielsweise die englische Bezeichnung DEFAULT GLOBAL ADDRESS LIST auf Deutsch GLOBALE STANDARDADRESSLISTE. Sie können die Befehle aus der Umstellung der E-Mail-Adressrichtlinien auch in das Skript schreiben. Überprüfen Sie die Adresslisten nach der Umstellung, indem Sie sich erneut die Version anzeigen lassen. Zu diesem Zeitpunkt haben Sie alle Ihre Adresslisten auf ein Exchange Server 2007-kompatibles Niveau gebracht. Im nächsten Schritt befassen wir uns mit dem Offline-Adressbuch und seinen Eigenschaften bei der Umstellung.
284
IntraOrg Transition
Abbildung 6.39: Überprüfen der Adresslisten
Schritt 5.1: Das Offline-Adressbuch Eine etwas genauere Betrachtung erfordern die Offline-Adressbücher. Da es, wie vorher schon erwähnt, ab Exchange Server 2007 eine Änderung der Verteilung der Offline-Adressbücher gegeben hat, müssen Sie hier die Client-Seite betrachten. Sollten Sie in Ihrem Unternehmen noch Outlook 2003 oder und frühere Versionen einsetzen, so muss eine Verteilung über die System-Ordner erfolgen. Sollten Sie keine Clients mit Outlook 2003 oder früheren Versionen – also nur noch Outlook 2007 oder aktueller – verwenden, können Sie die Verteilung der Offline-Adressbücher so wie in dieser Anleitung beschrieben umstellen. Dazu trennen wir den Vorgang in zwei Teile auf:
285
Kapitel 6 Migration auf Exchange Server 2007
Der erste Teil beschäftigt sich mit dem Verschieben der Offline-AdressbuchGenerierung auf den Exchange Server 2007, der auch mit Outlook 2003 oder früheren Versionen durchgeführt werden kann. Der zweite Teil beschäftigt sich mit dem Ablösen der öffentlichen Ordner bzw. des System-Ordners, da wir in unserer Umgebung keine älteren Clients als Outlook 2007 mehr verwenden. Teil 1: Das Offline-Adressbuch wird zu diesem Zeitpunkt noch vom Exchange Server 2000/2003 erzeugt und muss auf den Exchange Server 2007 umgestellt werden. Für diese Umstellung rufen Sie zunächst die Konfiguration des OfflineAdressbuches auf, indem Sie den folgenden Befehl in der PowerShell eingeben: get-OfflineAddressbook | fl
Abbildung 6.40: Aufrufen der Eigenschaften des Offline-Adressbuches
Verschieben Sie nun das Offline-Adressbuch auf den Exchange Server 2007 (EX02-FFM). Rufen Sie in der PowerShell dazu den Befehl get-OfflineAddressbook | move-OfflineAddressbook –Server EX02-FFM auf und bestätigen Sie die Abfrage mit A.
286
IntraOrg Transition
Abbildung 6.41: Verschieben des Offline-Adressbuches
Nach dem Verschieben des Offline-Adressbuches kann dieses nicht mehr aus dem Exchange System Manager des Exchange Servers 2003/2000 verwaltet werden. Dies ist dann nur noch über die EMC oder die PowerShell möglich. Teil 2: Erst wenn es keine älteren Outlook-Versionen (vor Outlook 2007) mehr gibt, sollte das Offline-Adressbuch auf eine reine Webverteilung umgestellt werden. Eine Aktivierung der Webverteilung ist aber dennoch möglich. Dazu müssen Sie zunächst den Namen des virtuellen Verzeichnisses des Offline-Adressbuches ermitteln und diesen Namen dann bei der Aktivierung der Webverteilung des Adressbuches mit angeben. Zum Ermitteln des Namens des Offline-Adressbuches aus dem virtuellen Verzeichnis geben Sie den Befehl get-OABVirtualDirectory | fl Server,Name in der PowerShell ein.
Abbildung 6.42: Auslesen des Namens des Offline-Adressbuches
Nachdem Sie nun den Namen des Offline-Adressbuches aus dem Verzeichnis kennen, können Sie seine Webverteilung aktivieren. Geben Sie dazu folgenden Befehl ein: get-OfflineAddressbook | set-OfflineAddressbook –VirtualDirectories OAB (StandardWebSite)
287
Kapitel 6 Migration auf Exchange Server 2007
Abbildung 6.43: Setzen des Offline-Adressbuches zur Webverteilung
Überprüfen Sie nun, ob alles nach Ihren Vorgaben umgesetzt wurde. Mit dem PowerShell-Befehl get-OfflineAddressbook | fl können Sie in den Eigenschaften des Offline-Adressbuches sehen, wie die Verteilung eingerichtet ist und welche Versionen zur Verfügung gestellt werden.
Abbildung 6.44: Eigenschaften des Offline-Adressbuches
Wiederholen Sie diesen Schritt für jedes Offline-Adressbuches, sofern Sie eigene Offline-Adressbücher erstellt haben. Da wir in unserer Umgebung keinen Client mit Outlook vor Outlook 2007 verwenden, stellen wir nun noch die Verteilung über öffentliche Ordner ein und lassen nur noch die Offline-Adressbuch-Version 4 zu, die lediglich noch von Outlook 2007 verwendet wird. Dazu wird folgender Befehl in der PowerShell
288
IntraOrg Transition
eingegeben: get-OfflineAddressbook | set-OfflineAddressbook –PublicFolderDistributionEnabled:$False –Versions “Version4“
Abbildung 6.45: Vorbereiten des Offline-Adressbuches zur reinen Outlook 2007-Verwendung
6.1.6
Schritt 6: Entfernen der öffentlichen Ordner (Teil 1)
Da mit dem Abschalten des Offline-Adressbuches für die Verteilung der öffentlichen Ordner der erste Schritt zu einer reinen Outlook 2007-Umgebung getätigt wurde, können jetzt die nächsten Schritte erfolgen, um die öffentlichen Ordner abzuschalten. Dafür müssen die Replikate der öffentlichen Ordner vom Exchange Server 2007 entfernt werden. Vorher ist ein Löschen der Datenbank für öffentliche Ordner auf dem Exchange Server 2007 nicht möglich. Entfernen Sie den Exchange Server 2007 aus der Liste der Replikate aller öffentlichen Ordner, die auf den Exchange Server 2007 repliziert werden. Entweder über den ESM im Exchange Server 2003 oder mithilfe des Skripts RemoveReplicaFromPFRecursive.ps1 aus dem Exchange-Installationsordner (Standardpfad: C:\Programme\Microsoft\Exchange Server\Scripts).
Abbildung 6.46: Entfernen der Replikationspartnerschaft
Diesen Befehl führen Sie für jeden öffentlichen Ordner aus, für den eine Replikation eingerichtet wurde. Bis der Exchange Server 2007 aus der Liste der replizierenden Server entfernt worden ist, kann es etwas dauern. Lassen sie daher der Replikation etwas Zeit, wir empfehlen mindestens 24 Stunden. Nach dem Entfernen der Replikationseinträge auf dem Server müssen die Replikate der System-Ordner verschoben werden. Dazu gibt es auf dem Exchange Server 2007 ebenfalls ein eignes Skript. Es heißt MoveAllReplicas.ps1 und befindet sich im gleichen Pfad wie das oben genannte Skript. Bei diesem Skript müssen die Parameter –Server alterServer und –NewServer neuerServer angegeben werden.
289
Kapitel 6 Migration auf Exchange Server 2007
Abbildung 6.47: Verschieben der öffentlichen Ordner von EX02-FFM nach EX01-FFM
Nun haben wir den Exchange Server 2007 soweit, dass er keine Replikationspartnerschaft mehr mit einem anderen Exchange Server besitzt, und eventuell noch vorhandene öffentliche Ordner verschoben werden. Es befinden sich jetzt nur noch die System-Ordner in der Datenbank für öffentliche Ordner.
6.1.7
Schritt 7: Die finalen Schritte zur Deinstallation des Exchange Servers 2003
Unter Exchange Server 2000/2003 war der Recipient Update Service (RUS) (deutsch: Empfängeraktualisierungsdienst) für dase Stempeln der E-Mail-Adressen an das Benutzerobjekt zuständig und übernahm noch zusätzliche Aktualisierungsaufgaben. Diese werden vom Exchange Server 2007 mit einer anderen Vorgehensweise wahrgenommen, somit fällt die Notwendigkeit des RUS komplett weg. Um nun aber den alten Exchange Server 2000 oder 2003 deinstallieren zu können, müssen die beiden RUS-Komponenten entfernt werden. Öffnen Sie dazu den ESM auf dem Exchange Server 2000 oder 2003 und wechseln Sie in den Pfad <EXCHANGEORGANISATION> EMPFÄNGER EMPFÄNGERAKTUALISIERUNGSDIENSTE. Klicken Sie dort mit der rechten Maustaste auf den Empfängeraktualisierungsdienst für die Domäne und dann auf ENTFERNEN.
Abbildung 6.48: Entfernen der benutzerdefinierten RUS-Einträge
290
IntraOrg Transition
Der Empfängeraktualisierungsdienst für die Organisation lässt sich nicht über die GUI entfernen. Dazu müssen Sie das Tool ADSIEdit verwenden, welches in den Support Tools für Windows Server 2003 zu finden ist. Öffnen Sie die ADSIEDIT MMC und wechseln Sie in den Pfad Configuration – Services – Microsoft Exchange – – Address List Container – Reciepient Update Service. Löschen Sie dort den Recipient Update Service (Enterprise Configuration).
Abbildung 6.49: Entfernen des Enterprise-RUS über ADSIEdit
PowerShell: Nachdem Sie nun den RUS gelöscht haben, wird der Routing-Gruppen-Connector zwischen dem Exchange Server 2003 (EX01-FFM) und dem Exchange Server 2007 (EX02-FFM) nicht mehr benötigt. Entfernen Sie diesen Connector nun über die PowerShell mit dem Befehl get-RoutingGroupConnector | Remove- RoutingGroupConnector und bestätigen Sie die Abfrage mit A.
291
Kapitel 6 Migration auf Exchange Server 2007
Abbildung 6.50: Entfernen des Routing-Gruppen-Connectors
GUI: Jetzt steht der Deinstallation des Exchange Servers 2000/2003 nichts mehr im Wege. Über SYSTEMSTEUERUNG • SOFTWARE wird der Exchange Server 2000/2003 deinstalliert.
Abbildung 6.51: Entfernen des Exchange Servers 2003 (EX01-FFM)
Nachdem Sie den letzten Exchange Server 2000/2003 aus der Exchange-Organisation entfernt haben, kann auch die öffentliche-Ordner-Datenbank vom Exchange Server 2007 entfernt werden. Die Voraussetzung dafür ist, das Sie weder öffentliche Ordner noch Outlook-Clients vor der Version Outlook 2007 verwenden.
292
IntraOrg Transition
6.1.8
Schritt 8: Entfernen der öffentlichen Ordner (Teil 2)
Mit den nun folgenden PowerShell-Befehlen löschen Sie die noch verbleibenden System-Ordner aus der Datenbank für öffentliche Ordner. Dies ist notwendig, um die Datenbank entfernen zu können. PowerShell: Öffnen Sie auf dem Exchange Server 2007 die PowerShell und geben Sie den Befehl get-publicfolder “\non_ipm_subtree“ –recurse | Remove-publicFolder –recurse ein. Bestätigen Sie die Abfrage mit A.
Abbildung 6.52: Entfernen der System-Ordner
Sie werden beim Ausführen des Befehls einige rote Fehlermeldungen angezeigt bekommen. Diese weisen Sie darauf hin, dass einige System-Ordner nicht gelöscht werden konnten. Sie können sich über die PowerShell mit dem Befehl get-publicfolder “\non_ipm_subtree“ –recurse ein Liste der noch vorhanden Ordner anzeigen lassen. Wie Sie dort erkennen, ist diese Liste schon kleiner als vor dem Ausführen des Befehls aus Abbildung oben. Nun sollten Sie in der Lage sein, die Datenbank für öffentliche Ordner zu löschen. Führen Sie dazu den Befehl get-PublicFolderDatabase | Remove-PublicFolderDatabase –RemoveLastAllowed in der PowerShell aus. Bestätigen Sie die Abfrage mit A.
Abbildung 6.53: Entfernen der letzten öffentliche-Ordner-Datenbank
293
Kapitel 6 Migration auf Exchange Server 2007
Wie Sie der Warnung unter dem Befehl entnehmen können, müssen Sie noch die Datenbankdatei manuell löschen, da der Befehl die physikalische Datei nicht entfernt. In dieser Schritt-für-Schritt-Anleitung haben Sie die Transition einer einfachen Exchange Server 2003-Umgebung zu einer einfachen Exchange Server 2007Umgebung nachvollzogen. Unsere Exchange-Umgebung stellt nur eine einfache Umgebung dar, die mit Ihrer Umgebung eventuell nicht in allen Punkten übereinstimmt. Daher sollten Sie, bevor Sie die Transition Ihrer Exchange-Umgebung durchführen, eine genaue Analyse Ihrer Exchange Server und deren Konfiguration erstellen. Überprüfen Sie danach, ob Sie alle erforderlichen Anforderungen aus Ihrer Exchange-Organisation mit einem Exchange Server 2007 abdecken können, und planen Sie die Transition im Detail. Führen Sie eine Transition in einer Testumgebung durch, um sich mit eventuell auftretenden Schwierigkeiten vertraut zu machen, um diese bei Ihrer Transition zu vermeiden oder darauf reagieren zu können. Wir können Ihnen in diesem Buch leider nicht für jede Möglichkeit der Transition oder Migration eine ausführliche Schritt-für-Schritt-Anleitung geben, da dies über den Umfang des Buches hinausinge. Daher werden die nächsten Punkte einige wichtige Erläuterungen und Punkte zum Vorgehen beinhalten, aber nicht detailiert erklären, wie die entsprechende Umstellung durchzuführen ist. Weitere Informationen zur Migration auf eine Exchange Server 2007Umgebung finden Sie unter folgender Adresse: http://technet.microsoft.com/de-de/library/bb124008.aspx
6.2
Das Attribut „exchangeLegacyDN“
In diesem Abschnitt werden wir viel mit ADSIEdit arbeiten. Dieses Werkzeug finden Sie unter den Support Tools von Windows Server 2003. Wenn Sie es installiert haben, können Sie sich mit den verschiedenen Partitionen, die es im Active Directory gibt, verbinden. Ausschlaggebend für diesen Abschnitt sind die Container für die Domain und der Configuration-Partition. Die ADMINISTRATIVEN GRUPPEN finden sie in der Konfigurations-Partition unter SERVICES, MICROSOFT EXCHANGE, ADMINISTRATIVE GROUPS. Bitte seien Sie vorsichtig im Umgang mit ADSIEdit. Einmal gelöschte Werte sind unwiderruflich gelöscht. In der Konfigurationspartition gelöschte Werte können nur sehr aufwendig bis gar nicht wiederhergestellt werden.
294
Das Attribut „exchangeLegacyDN“
Im Prinzip sind Sie mit der Migration fertig, wenn Sie die in Teil 1 angegebenen Schritte ausgeführt haben. Einige von Ihnen werden möglicherweise noch den Exchange System Manger von Exchange Server 2003 installiert haben. Diesen sollten Sie dann deinstallieren. Sie werden die Anwesenheit der bisherigen administrativen Gruppen bemerken. Exchange Server 2007 verwendet zwar keine administrativen Gruppen mehr, also wäre der richtige Schluss, dieselben mit ADSIEdit zu entfernen. Leider ist dies ein Trugschluss, und es wird auch nur ungenügend darauf hingewiesen. Steigen wir nun ein wenig tiefer ein in die Active DirectoryAttribute und die Erklärung, warum die alten administrativen Gruppen wie ERSTE ADMINISTRATIVE GRUPPE noch bleiben sollten.
6.2.1
Zweck der bisherigen administrativen Gruppen
Die bisherigen administrativen Gruppen verbleiben wie oben angemerkt im Active Directory und werden nicht gelöscht. Microsoft hat ja des Öfteren angegeben, dass es unter Exchange Server 2007 keine administrativen Gruppen mehr geben wird. Für die Migration wurde aber eine administrative Gruppe mit einem kryptischen Kürzel, welches EXCHANGE 12 ROCKS lautet, erstellt. Die administrativen Gruppen tauchen auch bei den Benutzerobjekten noch auf. Diese bemerken Sie, wenn Sie ein Benutzerobjekt mit ADSIEdit betrachten und dort den Wert legacyExchangeDN auswählen. (Wir haben absichtlich diese Schreibweise gewählt. In LDAP wird – im Gegensatz zu vielen anderen Stellen in Windows – zwischen Groß- und Kleinschreibung unterschieden. Deshalb müssen Sie bei der Verwendung des Attributs in Skripten auch genau diese Schreibweise verwenden.) Sie werden feststellen, dass das oben angeführte Attribut noch immer auf die bisherige administrative Gruppe zeigt (/O=TEST/OU=ERSTE ADMINISTRATIVE GRUPPE/ CN=RECIPIENTS/CN=WSTEIN). Kommen Sie bitte nicht auf die Idee, dieses Attribut anzupassen! Wir kommen später noch darauf zu sprechen, warum dies keine gute Idee wäre. Microsoft passt den Wert legacExchangeDN absichtlich nicht an. Wenn Sie eine Testumgebung haben und dort einmal die administrative Gruppe mittels ADSIEdit herauslöschen, werden Sie zunächst keinen Unterschied feststellen. Verbinden Sie sich aber mit Outlook 2003 zu diesem Postfach, so erhalten Sie die Meldung, dass die Frei/Gebucht-Zeiten nicht aktualisiert werden können. Was genau ist hier passiert? Outlook bis zur Version 2003 veröffentlicht seine Frei/Gebucht-Zeiten in öffentlichen Ordnern. Diese werden über das Attribut legacyExchangeDN des Benutzerobjekts ermittelt und dem Server, der in dieser administrativen Gruppe für die Frei/Gebucht-Zeiten zuständig ist, übermittelt. Outlook 2007 an Exchange Server 2007 funktioniert etwas anders. Hier werden die Frei/GebuchtZeiten in den Postfächern selbst vorgehalten. Sollten Sie also nur noch über Outlook 2007-Versionen verfügen, dann können Sie den Rest des Kapitels getrost überspringen.
295
Kapitel 6 Migration auf Exchange Server 2007
Um die Frei/Gebucht-Zeiten nach einer abgeschlossenen Migration noch korrekt darstellen zu können, benötigen Sie die administrativen Gruppen weiterhin. Ist die alte administrative Gruppe nicht mehr vorhanden (wenn dort kein Server mehr vorhanden ist), werden die Frei/Gebucht-Zeiten nicht mehr veröffentlicht. Das bedeutet: Die Benutzer von Exchange Server 2007 können Terminanfragen nur noch „blind“ übermitteln. Eine genaue technische Begründung, warum das so ist oder warum der Wert LEGACYEXCHANGEDN nicht angepasst wird, bleibt Microsoft schuldig. Wenn Sie bereits Benutzer auf dem Exchange Server 2007 direkt angelegt oder dort E-MAIL AKTIVIERT, also ein Postfach zugewiesen haben, werden Sie merken, dass diese Benutzer mit ihrem LEGACYEXCHANGEDN-Wert auf die neue administrative Gruppe zeigen.
6.2.2
Eine versehentlich gelöschte administrative Gruppe
Nach dem Lesen des letzten Absatzes werden Sie sich vermutlich denken: Oh je, zu spät! Ich habe die administrative Gruppe bereits gelöscht. Das Kind ist jetzt zwar schon in den Brunnen gefallen, aber mit ein wenig Arbeitsaufwand ist auch das wieder zu lösen. Der Kauf dieses Buches soll sich für Sie ja schließlich auszahlen. Sollten Sie tatsächlich die administrative Gruppe der vorherigen Exchange Server 2003-Installation vermissen, und melden Ihre Benutzer, dass Sie keine Frei/ Gebucht-Zeiten mehr einsehen können, dann wird es Zeit zu handeln. Wie Sie bereits wissen, ändert der Eintrag des „richtigen“ Wertes im Feld EXCHANGELEGACYDN nichts. Ihre Benutzer werden weiter das gleiche Problem haben. Sie werden sogar noch eines dazu bekommen, das sie unter Umständen auf alte Kalendereinträge oder E-Mails nicht mehr antworten können. Passen Sie also niemals und unter gar keinen Umständen das Attribut LEGACYEXCHANGEDN manuell an. Für die Frei/Gebucht-Zeiten muss es dennoch auf einen neuen Stand gebracht werden. Ein Widerspruch in sich eigentlich, aber dennoch lösbar. Umstellen der Benutzer auf den neuen Wert Zunächst müssen Sie dafür sorgen, dass Ihre Benutzer auch nach der Umstellung alte E-Mails beantworten können. Dazu kopieren Sie den Inhalt des Attributs LEGACYEXCHANGEDN in eine x500-Adresse. Am einfachsten erledigen Sie dies mit dem Werkzeug ADModify oder mithilfe eines Skripts. In der Hilfe von ADModify steht beschrieben, wie es funktioniert. ADModify erhalten Sie unter folgender URL zum Download angeboten: ftp://ftp.microsoft.com/pss/tools/exchange%20support%20tools/admodify
296
Das Attribut „exchangeLegacyDN“
Abbildung 6.54: Hinzufügen der x500-Adresse
Das Hinzufügen der x500-Adresse bewirkt, dass auf alte E-Mails noch geantwortet werden kann. Outlook bzw. der Exchange Server durchsuchen zuerst den LEGACYEXCHANGEDN-Wert, dann das Feld proxyAddresses beim Antworten. Wenn diese Aktion erfolgreich verlaufen ist, leeren Sie bitte das Feld LEGACYEXCHANGEDN. In ADSIEdit können Sie dies beim Benutzerobjekt einfach ausführen, indem Sie auf das Feld CLEAR drücken. Der Wert sollte auf gestellt werden. Sobald Sie dies bei allen relevanten Benutzern erledigt haben, öffnen Sie bitte auf dem Exchange Server 2007 die PowerShell. Geben Sie dort den folgenden Befehl ein: Get-mailbox | Set-mailbox -ApplyMandatoryProperties Dieser Befehl setzt verschiedene Werte bei allen Benutzern mit einem Postfach. Unter anderem wird ein neuer Wert für LEGACYEXCHANGEDN eingetragen. Leider sind Sie damit noch nicht am Ende. An dieser Stelle sollten Sie das OfflineAdressbuch neu erstellen. Das kann je nach Größe der Umgebung ein wenig dauern. Bei 100 Benutzern mit Zertifikaten haben wir einen Wert von drei Minuten ermittelt. Der PowerShell-Befehl für das Update lautet: Get-OfflineAddressBook | Update-OfflineAddressBook
297
Kapitel 6 Migration auf Exchange Server 2007
In der Ereignisanzeige des Exchange Servers können Sie die Fertigstellung sehen. Der Server protokolliert diese mit dem EVENT 9107. Wenn der Benutzer das nächste Mal Outlook öffnet, wird ihm irgendwann auffallen, dass er keinerlei Verbindung zum Server hat. In seinem Outlook-Profil, welches Sie über START • EIGENSCHAFTEN VON EMAIL (oder über SYSTEMSTEUERUNG • MAIL) erreichen, tragen Sie den Exchange Server neu ein. Löschen Sie den Server einmalig aus dem Profil. Den Servernamen des Exchange Servers finden sie unter dem Button ÄNDERN, wenn das Profil ausgewählt ist. Geben Sie den Namen des Servers nochmals ein. Drücken Sie danach den Button NAMEN AUFLÖSEN – und schon ist der Benutzer wieder mit seinem Postfach verbunden. Leider müssen Sie den Benutzer bitten, Outlook wieder zu schließen und zweimal neu zu starten, einmal mit dem Schalter Outlook.exe /cleanfreebusy und ein zweites Mal mit dem Schalter Outlook.exe /cleanreminders. Dann sollte alles wieder klappen, wie gewohnt. Leider ist die Anpassung sehr aufwendig. Bitte löschen Sie daher niemals die alten administrativen Gruppen. Auch wenn Microsoft bestätigt, dass diese in einer reinen Exchange Server 2007-Umgebung nicht mehr benötigt werden. Solange noch Outlook-Versionen älter als Outlook 2007 im Einsatz sind, werden die administrativen Gruppen aufgrund der Abwärtskompatibilität für die Frei/Gebucht-Zeiten verwendet.
6.3
Gesamtstrukturübergreifende Transition
Bei einer die gesamte Struktur übergreifenden Migration steht meist im Hintergrund eine Ressourcen-Gesamtstruktur, die eine Trennung zwischen den Benutzerkonten und der Exchange-Umgebung gewährleisten soll. Eine weitere Möglichkeit ist ein Zusammenschluss mehrerer Unternehmen, die bis jetzt eigene Gesamtstrukturen betrieben haben und nun konsolidiert werden sollen. Ein sehr wichtiger Punkt bei solchen Migrationen oder dem Betreiben einer RessourcenGesamtstruktur ist die Berechtigung der Exchange-Administratoren. Hierbei muss berücksichtigt werden, dass Administratoren in der Benutzer-Gesamtstruktur keine Berechtigungen haben, Exchange Objekte zu erstellen oder zu verwalten. Da zum Betrieb einer Ressourcen-Gesamtstruktur nur eine einseitige Vertrauensstellung notwendig ist (Die Exchange-Gesamtstruktur vertraut der BenutzerGesamtstruktur), muss jede Art von Berechtigung aus der Benutzer-Gesamtstruktur an die Administratoren dieser Gesamtstruktur delegiert werden. Damit in einer Ressourcen-Geamtstruktur Informationen ausgetauscht werden können (z.B. Frei/Gebucht-Zeiten in Kalendern), sind weitere Einstellungen not-
298
Gesamtstrukturübergreifende Transition
wendig. Für eine reibungslose Verwaltung empfehlen wir den Einsatz des Identity Lifsycle Managers inklusive Feature Pack 1 (ILM FP1). Dieser regelt automatisch das Erstellen von entsprechenden Kontakten sowie die Zugehörigkeit in den jeweiligen Verteilerlisten, sobald diese in der Benutzer-Gesamtstruktur erstellt werden. Das Tool Active Directory Migration Tool 3.0 (ADMT 3.0) ist auch weiterhin das geeignete Produkt, um Benutzerkonten zwischen Gesamtstrukturen zu migrieren. Das Verschieben der Postfächer von einer Gesamtstruktur in eine andere geschieht mit dem Kommando Move-Mailbox über die PowerShell. Dies ist auch der einzige Weg, einen solchen Vorgang durchzuführen. Eine GUI-Oberfläche für diesen Vorgang steht Ihnen leider nicht zur Verfügung. Damit der Vorgang erfolgreich abgeschlossen werden kann, müssen die Konto-Informationen eines Benutzers angegeben werden, der in beiden Gesamtstrukturen über die Berechtigung des Exchange-Empfänger Administrator verfügt. Über den Aufruf help move-mailbox -full können Sie sich die Hilfe und Schalter zu diesem Kommando anzeigen lassen. Damit Sie die Funktion von Autodiscover auch in der Benutzer-Gesamtstruktur verwenden können, müssen Sie in der Exchange-Gesamtstruktur den Service Connection Point (SCP) über den Befehl Export-AutodiscoverConfig exportieren. Hintergrund dieser Aktion ist, dass Outlook-Clients, die auf einem DomänenMitglieds-Computer installiert sind, nach diesem SCP im Active Directory suchen und von dort die notwendigen Informationen auslesen, um das Postfach des Benutzers zu finden. Da es in einer Benutzer-Gesamtstruktur aber keinen SCP gibt (dieser wird über die Installation des Exchange Servers eingerichtet), ist es der Autodiscover-Funktion zunächst nicht möglich, einen SCP zu finden. Nachdem Sie diesen SCP in der Benutzer-Gesamtstruktur (mit dem Befehl Export-AutodiscoverConfig) angelegt haben, sollten Sie die Benutzer-Objekte in der BenutzerGesamtstruktur noch mit entsprechenden Werten im Attribut E-Mail versehen. Über diese Attribut ist es möglich, eine Übereinstimmung mit dem entsprechenden deaktivierten Benutzerkonto in der Ressourcen-Gesamtstruktur zu erreichen und damit auch Details zu den Frei/Gebucht-Zeiten im Kalender anzeigen zu lassen. Andernfalls werden Ihnen nur die Standardinformationen im Kalender anderer Benutzer angezeigt. Sollten Sie Änderungen an der Einstellung der akzeptierten Domänen im Exchange Server 2007 durchführen, sprich weitere SMTP-Domänen hinzufügen oder entfernen, müssen Sie den Befehl Export-AutodiscoverConfig erneut ausführen, um den SCP in der Benutzer-Gesamtstruktur zu aktualisieren. Andernfalls sind die Benutzer nicht in der Lage, Informationen für diese neue SMTP-Domäne zu erhalten.
299
Kapitel 6 Migration auf Exchange Server 2007
Sie sehen, der Betrieb in einer Ressourcen-Gesamtstruktur ist weit aus komplexer als der Betrieb in einer einfachen Gesamtstruktur. Daher empfehlen wir Ihnen, sich vor Inbetriebnahme einer solchen Umgebung alle möglichen Informationen einzuholen und sich entsprechend vorzubereiten. Da dieser Teil des Kapitels alleine auch wieder ein ganzes Buch füllen könnte, haben wir uns auf einige wichtige Punkte beschränkt. Wir wollen Ihnen aber gerne einige weitere Ressourcen nennen. Unter den folgenden Adressen finden Sie eine Vielzahl an Informationen zu diesem Thema. Planung für eine komplexe Exchange-Organisation: http://technet.microsoft.com/de-de/library/aa996010(EXCHG.80).aspx Bereitstellen von Exchange Server 2007 in einer Ressourcen-Gesamtstruktur: http://technet.microsoft.com/de-de/library/aa998031(EXCHG.80).aspx
6.4
Migration von POP3- oder IMAP4-Postfächern
Bei der Migration von POP3- oder IMAP4-Postfächern handelt es sich sehr oft um eine Migration aus Nicht-Microsoft-E-Mail-Systemen, die den Anwendern Postfächer über IMAP4 oder POP3 zur Verfügung stellen. Außerdem können über diesen Weg auch Migrationen durchgeführt werden, für die der Exchange Server keine eigenen Connectoren mehr mitbringt, wie es der Exchange Server 2003 noch getan hat. Sollte Ihr E-Mail-System einen Zugriff über POP3 oder IMAP4 anbieten, können Sie über das weiter unten aufgeführte Tool Transporter diese Migration durchführen. Der Transporter stellt dazu nicht nur einen Connector zu Lotus Domino-Systemen zur Verfügung, sondern bietet auch eine POP3- und eine IMAP4-Schnittstelle an. Weitere Informationen zum Transporter entnehmen Sie bitte den unten aufgeführten Migrationsschritten bzw. der Hilfe zum Transporter.
6.5
Migration von Lotus Notes nach Exchange Server 2007
Da der Domino-Server weit mehr als nur E-Mail-Postfächer, Kalender- und Verfügbarkeitsinformationen bereitstellt, ist diese Migration mit sehr viel Planung und Vorbereitungen verbunden. Funktionalitäten des Domino-Servers wie Workflows oder ganze Datenbankanwendungen können in einem Exchange Server 2007 nicht ohne Weiteres bis gar nicht umgesetzt werden. Dafür sind der Microsoft Office
300
Migration von Lotus Notes nach Exchange Server 2007
SharePoint Server 2007 oder die Microsoft Windows SharePoint-Dienste zu verwenden. Wir wollen in diesem Abschnitt nur auf die Migration der Benutzer sowie ihrer Postfach- und Kalenderinformationen eingehen. Mit der Software Transporter Suite für Lotus Domino, im Folgendem kurz Transporter genannt, steht Ihnen ein umfangreiches und kostenloses Programm zur Verfügung, das Sie von der Microsoft-Internetseite herunterladen können. Den Transporter gibt es nur in englischer Sprache. Er kann aber auch auf einem deutschsprachigen System eingesetzt werden. Microsoft-Transporter-Suite für Lotus Domino: http://www.microsoft.com/downloads/details.aspx?familyid=35FC4205-792B-43068E4B-0DE9CCE72172&displaylang=en Der Transporter ist eine Applikation, die Ihnen wie der Exchange Server 2007 auch mit einer GUI und einer Management Shell-Konsole angeboten wird. Sie können alle Migrations- und Synchronisationsvorgänge per PowerShell durchführen, um den Migrationsvorgang zu automatisieren. Sollten Sie lieber eine manuelle Migration vornehmen wollen, so können Sie diese über die GUI erledigen. Einige erweiterte Migrationseinstellungen und Protokollierungseinstellungen sind allerdings nur mithilfe der PowerShell-Befehle möglich. Folgende Aufgaben können Sie mit dem Transporter durchführen: Mit der Verzeichnissynchronisierung stellen Sie eine Verbindung zwischen dem Active Directory, in dem sich die Exchange Server 2007-Organisation befindet, und dem Lotus Domino-Verzeichnis (names.nsf) her. Der Austausch von Frei/Gebucht-Zeiten zwischen dem oder den Lotus DominoServern und dem Exchange Server 2007 ermöglicht es Ihnen, Kalender- und Verfügbarkeitsinformationen zwischen den beiden Umgebungen zur Verfügung zu stellen und somit einen parallel Betrieb zu erreichen. Der E-Mail-Austausch über das SMTP-Routing des Transporters ermöglicht es Ihnen, den Datenverkehr zwischen den beiden Umgebungen aufrechtzuerhalten. Durch die Verzeichnismigration können Sie Postfächer migrieren, ohne dafür einen neuen Benutzer im Active Directory anzulegen oder ein Postfach auf dem Exchange Server 2007 zu erstellen. Diese Aufgaben werden vom Transporter durchgeführt.
301
Kapitel 6 Migration auf Exchange Server 2007
Die Postfachmigration ist derjenige Vorgang, bei dem Sie die Inhalte eines jeden Postfachs von Lotus Domino nach Exchange Server 2007 migrieren. Dabei stellt Ihnen der Transporter eine Vielzahl an Filtern und Zusammenführungsmöglichkeiten bereit. Mit der Applikationsmigration können Sie Lotus Domino-Datenbankapplikationen über den Transporter in einen Office SharePoint Server 2007 oder die Windows SharePoint-Dienste migrieren. Lotus Domino-Applikationen, die einen komplexen Workflow darstellen, müssen Sie genauer analysieren. Möglicherweise können solche Applikationen nicht 1:1 übernommen werden oder müssen auf SharePoint-Seite angepasst werden. Da dieses Thema ein komplettes Buch füllen würde, gehen wir in diesem Abschnitt nur auf die Migration der Benutzerinformationen und der Postfächer ein. Die Installation des Transporters können Sie entweder auf einem Windows XPClient oder auf einem Exchange Server 2007 mit den Serverrollen Mailbox oder Hub-Transport durchführen. Auf Seiten des Lotus Domino-Servers muss für den Austausch der Frei/Gebucht-Zeiten die Komponente Free/Busy Connector des Transporters auf dem Lotus Domino-Server installiert werden. Daher steht Ihnen der Transporter sowohl als 32-Bit- als auch als 64-Bit-Installationspaket zur Verfügung.
Abbildung 6.55: Frei/Gebucht-Connector auf dem Domino-Server
Sie werden sich jetzt sicher die Frage stellen, welche Lotus Domino-Versionen unterstützt werden. Dazu haben wir eine kleine Tabelle erstellt. Grundsätzlich gilt, dass alle Lotus Domino-Server von Version 5.x bis 7.x migriert werden können. Einschränkungen gibt es bei der Koexistenz mit der Version 5.x, da diese noch keine ausreichende Unterstützung für HTML und iCal bietet.
302
Migration von Lotus Notes nach Exchange Server 2007
Vorgang
Notes-Version
Domino-Version
Verzeichnis-Verbindungen
Notes 6.x oder 7.x
Domino 6.x oder 7.x
Austausch Frei/Gebucht-Zeiten
Notes 6.x oder 7.x
Domino 6.x oder 7.x
SMTP-Routing
Notes 6.x oder 7.x
Domino 6.x oder 7.x
Verzeichnis-Migration
Notes 6.x oder 7.x
Domino 5.x, 6.x oder 7.x
Postfach-Migration
Notes 6.x oder 7.x
Domino 5.x, 6.x oder 7.x
Applikations-Migration
Notes 6.x oder 7.x
Domino 5.x, 6.x oder 7.x
Tabelle 6.1: Transporter: Kompatibilitäts-Tabelle
Beachten Sie bitte die folgenden Installationsvoraussetzungen, um den Transporter bzw. die Komponenten des Transporters zu installieren.
Komponente
Lotus Domino- Exchange Server Server 2007
.NET Framework 2.0
Nein
Ja
.NET Hotfix KB926776
Nein
Ja
MMC 3.0
Nein
Ja
PowerShell 1.0
Nein
Ja
Lotus Notes Client 6.x oder 7.x
Nein
Ja
Transporter Tools
Nein
Ja
Free/Busy Connector
Ja
Nein
Exchange MAPI Client CDO 1.2.1
Nein
Ja
Tabelle 6.2: Transporter: Installationsvoraussetzungen
In der folgenden Tabelle haben wir die Berechtigungen zusammengefasst, die dem Konto zugewiesen werden müssen, mit dem der Transporter ausgeführt wird.
Berechtigung
Lotus Domino
Exchange Server 2007
Lokaler Administrator
Nein
Ja
Exchange Server-Administrator
Nein
Ja
Editor auf die Datei names.nsf
Ja
Nein
UserCreator auf die Datei names.nsf
Ja
Nein
UserModifier auf die Datei names.nsf
Ja
Nein
Konto-Operator auf eine Import OU im AD
Nein
Nein
Leseberechtigung auf die Datei Busytime.nsf
Ja
Nein
Tabelle 6.3: Transporter: Benutzerberechtigungen
303
Kapitel 6 Migration auf Exchange Server 2007
Die oben beschriebenen Berechtigungen werden für die Koexistenz sowie für die Migration selbst benötigt. So sind die Berechtigungen auf das Lotus Domino-Verzeichnis names.nsf notwendig, um die erforderlichen Informationen auszulesen und gegebenenfalls Kontakte im Domino-Verzeichnis für Benutzer anzulegen, die es nur im Active Directory gibt. Dieser Schritt ist optional im Fall, dass die Koexistenzphase über einen längeren Zeitraum Bestand haben muss. Die Berechtigungen als Konten-Operator oder entsprechend delegierte Berechtigungen auf eine Organisationseinheit im Active Directory wird benötigt, um Kontakte von Benutzern, die aus dem Lotus Domino-Verzeichnis kommen und kein äquivalentes Benutzerobjekt im Active Directory haben, anlegen zu können. Lokale administrative Berechtigungen auf dem Exchange Server und dem Exchange ServerAdministrator werden für die E-Mail-Aktivierung dieser Kontakte bzw. zur Migration der Postfächer benötigt. Nachdem eine Verzeichnissynchronisation stattgefunden hat, werden Ihnen die Benutzer aus dem Domino-Verzeichnis angezeigt. Sollte es Übereinstimmungen mit Benutzern aus dem Active Directory-Verzeichnis geben, werden diese als mögliche Active Directory-Benutzer angezeigt.
Abbildung 6.56: Transporter Suite für eine Domino-Migration
304
Migration von Lotus Notes nach Exchange Server 2007
Sie müssen die Benutzer im ersten Schritt in das Active Directory-Verzeichnis migrieren, um im zweiten Schritt die Postfächer migrieren zu können. Es ist nicht möglich, Postfächer zu migrieren, die keinem Benutzer im Active Directory zugeordnet sind. Daher erstellt der Transporter Benutzerobjekte im Active Directory, sofern es für den Domino-Benutzer keinen Active Directory-Benutzer gibt. Sollte der Transporter – wie hier gezeigt – keine Übereinstimmung finden können, Sie aber die entsprechenden Benutzer im Active Directory bereithaben, ist es auch möglich, eine manuelle Übereinstimmungsprüfung durchzuführen. Einige wichtige Informationen und Einschränkungen gibt es allerdings bei der Verwendung des Transporters. Unter anderem muss der Domino-Server als Windows-Dienst und nicht als Applikation gestartet sein, damit ein Frei/Gebucht-Abgleich erfolgen kann. Lesen Sie sich die Hilfe-Datei (MTHelp.chm) des Transporters gründlich durch. Dort finden Sie alle weiteren Informationen, die Sie zur Migration von Lotus Domino nach Exchange Server 2007 benötigen. Leider gibt es die Datei MTHelp.chm nicht als einzelnen Download bei Microsoft. Daher haben Sie zwei Möglichkeiten, um die Datei zu erhalten. Die erste Möglichkeit ist, den Transporter zu installieren und dann im Installationsverzeichnis oder im Programm selbst auf die Datei zuzugreifen. Bei der zweiten Möglichkeit extrahieren Sie die Dateien aus der Installations-MSI-Datei auf Ihrer Festplatte und können dann auf die Datei MTHelp.chm zugreifen. Laden Sie die Datei Transporter32.msi oder Transporter.msi herunter und speichern Sie diese auf der Festplatte. Öffnen Sie die Eingabeaufforderung und geben Sie den folgenden Befehl ein: Msiexec /a /qb TARGETDIR= In unserem Beispiel haben wir die Datei Transporter32.msi unter dem Verzeichnispfad C:\Transporter\Transporter32.msi gespeichert. Wir wollen den Inhalt nach C:\Transporter\MSI entpacken. Daher geben wir folgenden Befehl in der Eingabeaufforderung ein: Msiexec /a C:\Transporter\Transporter32.msi /qb TARGETDIR=C:\Transporter\MSI Nach dem Ausführen dieses Befehls finden wir die Datei MTHelp.chm im Verzeichnis C:\Transporter\MSI\MTHelp.chm. Planen Sie die Migration gewissenhaft und ausreichend! Beachten Sie alle Einschränkungen, die in der Datei MTHelp.chm aufgeführt werden und testen Sie die Migration erst in einer Testumgebung oder zumindest bei Testbenutzern. Weitere Informationen, Tipps und eine kleine Anleitung finden Sie auf den folgenden Internetseiten:
305
Kapitel 6 Migration auf Exchange Server 2007
Skript zur Automatisierung der Migration: http://msexchangeteam.com/archive/2007/09/24/447091.aspx Anleitung zur Migration: http://www.microsoft.com/downloads/details.aspx?FamilyID=72a947d9-e75f-4eaeb153-e0b4a16442d9&displaylang=en http://www.msexchange.org/articles_tutorials/exchange-server-2007/migrationdeployment/migrating-domino-exchange-2007-part1.html
Die in diesem Buch angegebenen Internetseiten können sich verändern, daher haben die Links keinen Anspruch auf dauerhaften Bestand.
306
7
Absichern einer Exchange Server 2007-Organisation
Wir wollen Ihnen in diesem Kapitel die Möglichkeiten aufzeigen, wie Sie Ihre Exchange Server 2007-Organisation sicherer gestalten können. Dazu beginnen wir bereits bei der Installation der Exchange Server und gehen dann weiter zur sicheren Konfiguration und Absicherung der Kommunikationswege. Folgende Punkte werden Ihnen in diesem Kapitel näher erläutert: 왘
Delegierung der Exchange Server 2007-Installation
왘
Sicherheit der Serverrollen
왘
Der Sicherheitskonfigurationsassistent
왘
TLS bei der Serverkonfiguration
왘
S/MIME in OWA ab Service Pack 1
307
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
7.1
Welchen Sicherheitsanforderung steht meine Exchange Server 2007Organisation gegenüber?
Bevor Sie mit der Konfiguration der Sicherheitsfunktionen des Exchange Servers beginnen, sollten Sie sich etwas Zeit nehmen und darüber nachdenken, welchen Gefahren Ihr Exchange Server ausgesetzt ist. Erst wenn Sie diese Gefahren erkannt haben, können Sie effektive Gegenmaßnahmen umsetzen. Anforderung: Sie trennen in Ihrer Organisation die Administration des Active Directory und der Exchange-Administration. Dabei dürfen bereits bei der Installation dem ExchangeAdministrator nicht zu hohe Berechtigungen erteilt werden! 왘
Lösungsweg: Um dieses Ziel zu erreichen, verwenden Sie die delegierte Installation. Dabei werden dem Exchange-Administrator nur diejenigen Berechtigungen zugeteilt, die er benötigt.
Anforderung: Sie haben eine sehr große Exchange-Organisation und möchten die Konfiguration der einzelnen Serverrollen einheitlich gestalten. 왘
Lösungsweg: Verwenden Sie Installations-Skripte und wenden Sie den SicherheitskonfigurationsAssistenten in regelmäßigen Abständen an.
Anforderung: Ihre Exchange-Organisation ist über große WAN-Strecken verteilt und Sie wollen die Kommunikation der Server untereinander sicher gestalten. 왘
Lösungsweg: Verwenden Sie zwischen allen Servern eine TLS-Verschlüsselung.
Dies sind nur wenige Beispiele für die Vorüberlegungen, die für die Absicherung einer Exchange Server 2007-Organisation zu berücksichtigen sind.
308
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
7.1.1
Delegieren der Exchange Server 2007-Installation
Das Berechtigungsmodell von Exchange Server 2007 hat sich im Vergleich zum Berechtigungsmodell des Exchange Server 200x geändert. Unter Exchange Server 200x hatten Sie drei Berechtigungsrollen, die Ihnen keine besonders tiefe und granulare Aufteilung der Berechtigung erlaubt haben. Entweder hatte der Administrator zu viele Berechtigungen (Exchange-Administrator – Vollständig) oder oft zu wenige Berechtigungen (Exchange-Administrator – Nur Ansicht). Die folgenden Berechtigungen standen Ihnen unter Exchange Server 200x zur Verfügung. 왘
Exchange-Administrator – Vollständig
왘
Exchange-Administrator
왘
Exchange-Administrator – Nur Ansicht Mit Exchange Server 200x ist hier immer Exchange Server 2000 oder Exchange Server 2003 gemeint. Der Exchange Server 2007 wird immer ausgeschrieben.
Diese Berechtigungsrollen waren keine universellen Sicherheitsgruppen im Active Directory, sondern nur eine Sammlung von Standardberechtigungen, die auf Benutzer oder Gruppen im Active Directory angewendet wurden. Unter Exchange Server 2007 stehen Ihnen dagegen universelle Sicherheitsgruppen zur Verfügung. Bei der Installation (genauer: bei der Ausführung des Schalters /PrepareAD) werden die folgenden universellen Sicherheitsgruppen angelegt. 왘
Exchange-Organisationsadministratoren
왘
Exchange-Empfängeradministratoren
왘
Exchange-Serveradministrator
왘
Exchange-Administrator mit Leseberechtigungen
왘
Exchange-Administratoren – öffentliche Ordner (diese Gruppe ist neu ab SP1)
Mit dieser weitaus genaueren Berechtigungsstruktur ist es möglich, auch kleine administrative Berechtigungen über die Gruppenmitgliedschaft zu ermöglichen. In der folgenden Abbildung sehen Sie eine Gegenüberstellung der Berechtigungen unter Exchange Server 200x und Exchange Server 2007.
309
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Abbildung 7.1: Administrative Rollen in Exchange Server 200x und Exchange Server 2007
Bei der Delegierung der Installation eines Exchange Servers 2007 weisen Sie einem Benutzerkonto die Berechtigung zu, einen weiteren Exchange Server 2007 in Ihrer Exchange-Organisation zu installieren. Im einzelnen werden dem delegierten Konto folgende Berechtigungen zugewiesen: 왘
Mitgliedschaft der Serverfunktion Exchange-Organisationsadministratoren mit Leserechten
왘
Vollzugriff auf das Serverobjekt und seine untergeordneten Objekte
왘
Zugriffsrecht Verweigern auf die Berechtigung Empfangen als
왘
Zugriffsrecht Verweigern auf die Berechtigung Senden als
왘
Zugriffsrecht Verweigern auf die Berechtigungen CreateChild und DeleteChild für Objekte des öffentlichen Ordner-Informationsspeichers.
310
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Der erste Exchange Server 2007 kann nicht über eine Delegierung installiert werden! Der Administrator, der den ersten Exchange Server 2007 in Ihrer Exchange-Organisation installiert, muss über die Berechtigungen Exchange-Organisationsadministrator und lokaler Serveradministrator verfügen. Weiter muss das Serverobjekt bereits im Active Directory vorhanden sein, und der zu delegierende Benutzer muss als Mitglied der lokalen Administratoren-Gruppe auf dem zu installierenden Server eingetragen sein. Kommen wir nun zur Praxis und damit zur Vorbereitung und Umsetzung der delegierten Installation. 1. Öffnen Sie auf einem bereits installierten Exchange Server 2007 die Eingabeaufforderung und wechseln Sie in das Verzeichnis C:\Programme\Microsoft\ Exchange Server\bin. 2. Führen Sie den folgenden Befehl aus: exsetup.exe /NewProvisionedServer:<Servername> /Serveradmin
Abbildung 7.2: Delegierung der Serverinstallation
Mit <Servername> ist der Hostname des Exchange Servers 2007 gemeint, den Sie neu installieren wollen und der bereits als Serverobjekt im Active Directory existiert. Mit ist das Benutzerkonto gemeint, dem Sie die Berechtigungen zur Installation des weiteren Exchange Servers 2007 erteilen wollen. Geben Sie dabei das Benutzerkonto im sAMAccountName-Format (Domäne\Benutzername) an. Beispiel: exsetup.exe /NewProvisionedServer:MJ-E12-HM-CON /Serveradmin contoso\MarcJ
311
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
3. Nach dem Setup kontrollieren Sie bitte die Einstellung in der Exchange Management Console (EMC). Öffnen Sie dafür die EMC und navigieren Sie zum Pfad Serverkonfiguration. 4. Dort sollten Sie den Server MJ-E12-HM-CON finden.
Abbildung 7.3: Bereitgestellter Server für die delegierte Installation
Der Server ist zu diesem Zeitpunkt noch nicht installiert. Lediglich ein Platzhalterobjekt wurde im Active Directory erstellt, um die Installation vorzubereiten. Im einzelnen führt der Schalter /NewProvisionedServer folgende Aufgaben durch. 왘
Es wird ein Serverobjekt innerhalb der Konfigurationspartition unter CN= Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN= Administrative Groups,CN=,CN=Microsoft Exchange, CN=Services,CN=Configuration,DC= angelegt.
왘
Der Computer wird zur Gruppe der Exchange Server hinzugefügt.
왘
Der Server wird als bereitgestellter Server in die EMC hinzugefügt.
왘
Die oben genannten Berechtigungen werden dem delegierten Konto hinzugefügt.
Sollten Sie sich dazu entschließen, den soeben bereitgestellten Server doch nicht oder unter einem anderen Namen zu installieren, so können Sie ihn mit dem Befehl exsetup.com /RemoveProvisionedServer:<Servername> wieder entfernen. Weiterführende Informationen zur Bereitstellung und zur Delegierung von Berechtigungen finden Sie in der technischen Dokumentation zum Exchange Server 2007 unter: http://technet.microsoft.com/de-de/library/bb201741(EXCHG.80).aspx http://technet.microsoft.com/en-us/library/bb944789(EXCHG.80).aspx http://technet.microsoft.com/de-de/library/aa996881(EXCHG.80).aspx
312
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
7.1.2
Exchange Server 2007: Sicherheit der Serverrollen
Da der Exchange Server 2007 als modulare Installation entwickelt wurde, installieren Sie nur noch diejenigen Serverrollen auf einem Server, die Sie tatsächlich benötigen. Sie müssen daher keine unnötigen Dienste oder Ports abschalten. Weitere Sicherheitsfunktionen nach einer Standardinstallation sind: 왘
Optionale Funktionen wie zum Beispiel der POP3- oder IMAP4- Dienst werden als Deaktiviert installiert und müssen manuell gestartet werden, das heißt, die Startart muss manuell geändert werden.
왘
Administrative Konten verfügen nur über die minimale Berechtigung, die zur Ausführung einer Tätigkeit notwendig ist.
왘
Die internen, standardmäßigen Kommunikationswege sind verschlüsselt.
왘
Der Security Configuration Wizard (SCW) kann zur Absicherung und Konsistenz der Konfiguration angewendet werden. (Mehr zum SCW erfahren Sie weiter unten in diesem Kapitel.)
Lassen Sie regelmäßig einige Tools zur Überprüfung der Sicherheit auf Ihrem Server laufen, die Ihnen Microsoft oder Ihr Hardware-Hersteller zur Verfügung stellen. Als Beispiel können wir hier folgende Tools nennen: Der Microsoft Exchange Best Practices Analyzer (ExBPA) ist wohl das bekannteste Tool hierfür. Vorteil unter Exchange Server 2007 ist, dass der ExBPA in die Exchange-Installation integriert wurde und nicht mehr als separates Tool heruntergeladen und installiert werden muss. Sie finden den ExBPA in der Exchange Management Console (EMC) unter dem Punkt TOOLBOX.
Abbildung 7.4: ExBPA in Exchange Server 2007
313
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Der ExBPA gibt Ihnen die Möglichkeit, Ihre Umgebung regelmäßig zu analysieren und zu dokumentieren. Sie können aus unterschiedlichen Reports wählen, um Informationen zu Ihrer Exchange-Organisation zu erhalten. Es werden Ihnen beispielsweise Veränderungen seit dem letzten Report dokumentiert. Ebenso ist er eine sehr gute Hilfe, um Ihre Organisation zu dokumentieren. Wie Sie einen Report als HTML-Datei erstellen, beschreiben wir in den nächsten Schritten. 1. Öffnen Sie die TOOLBOX in der EMC und starten Sie durch einen Doppelklick auf BEST PRACTICES ANALYZER den ExBPA. 2. Falls Ihr Server über eine Internetverbindung verfügt, können Sie den ExBPA jetzt aktualisieren. Andernfalls klicken Sie auf ZUM WILLKOMMENSFENSTER WECHSELN.
Abbildung 7.5: Aktualisieren des ExBPA
3. Wählen Sie OPTIONEN FÜR NEUE ÜBERPRÜFUNG AUSWÄHLEN, falls Sie noch keine Optionen festgelegt haben oder ändern wollen. 4. Im Fenster MIT ACTIVE DIRECTORY VERBINDEN wählen Sie einen DomänenController aus. Geben Sie hier den Hostnamen eines Domänen-Controllers ein, der über eine gute Verbindung zum Exchange Server verfügt. Unter ERWEITERTE OPTIONEN können Sie noch Anmeldeinformationen angeben, sofern das Benutzerkonto, mit dem Sie den ExBPA ausführen, nicht über die erforderlichen Berechtigungen verfügt. 5. Klicken Sie auf MIT ACTICE DIRECTORY-SERVER VERBINDEN. 6. Vergeben Sie im Fenster NEUE BEWÄHRTE METHODEN-ÜBERPRÜFUNG STARTEN einen Namen für Ihren Report und wählen Sie die Server und Optionen aus, die Sie im Report erfassen möchten. 314
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Abbildung 7.6: Auswahl der ExBPA-Überprüfung
7. Klicken Sie auf ÜBERPRÜFUNG STARTEN, um die Überprüfung zu beginnen oder auf ÜBERPRÜFUNG PLANEN, um die Überprüfung auf einen anderen Zeitpunkt festzulegen. 8. Klicken Sie nach Abschluss der Überprüfung auf BERICHT FÜR DIESE BEWÄHRTE METHODEN-ÜBERPRÜFUNG ANZEIGEN. Beachten Sie, dass die Überprüfung je nach Anzahl der Server und der Verbindungen zu den Servern unterschiedlich viel Zeit in Anspruch nehmen kann. 9. Nachdem Ihnen der Report angezeigt wurde, klicken Sie bitte auf BERICHT EXPORTIEREN und wählen Sie als Dateityp HTML. Klicken Sie auf SPEICHERN.
315
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Abbildung 7.7: ExBPA-Report im HTML-Format
10.Der Report wird bei einer Standardinstallation im Ordner C:\Dokumente und Einstellungen\ \Anwendungsdaten\Microsoft\ExBPA abgelegt. Wechseln Sie im Windows Explorer zu diesem Verzeichnis und öffnen Sie die .html-Datei.
Abbildung 7.8: ExBPA-Report-Dateien im Windows Explorer
316
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Je nachdem, welche Registerkarte Sie im ExBPA angewählt haben, wird der HTMLReport aus dieser Ansicht erzeugt. Verwenden Sie in regelmäßigen Abständen den Microsoft Baseline Security Analyzer (MBSA), um zu überprüfen, ob Ihr Server über alle notwendigen Sicherheitsaktualisierungen verfügt. Den MBSA können Sie auch remote gegen den Exchange Server 2007 laufen lassen. Die Systemvoraussetzungen und Komponenten, die Sie für die Analyse mit dem MBSA benötigen, sowie den MBSA als Download finden Sie unter: http://technet.microsoft.com/de-de/security/cc184923(en-us).aspx
Abbildung 7.9: Überprüfung durch den MBSA
7.1.3
Der Sicherheitskonfigurations-Assistent
Was ist der Sicherheitskonfigurations-Assistent? Der SicherheitskonfigurationsAssistent (Security Configuration Wizard, SCW) wurde mit dem Service Pack 1 für Windows Server 2003 eingeführt und ist kein Programm, um ausschließlich Exchange Server zu sichern. Da aufgrund vieler installierter Applikationen ein
317
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Server unterschiedlichen Sicherheitsanforderungen entsprechen muss, wurde der Sicherheitskonfigurations-Assistent auf einer rollenbasierten Konfiguration aufgebaut. Somit gibt es auch für eine Serverrolle mit Exchange Server 2007 eine Konfigurationsdatei, um den Windows Server als Exchange-Rolle zu sichern. Folgende Einstellungen können Sie mit dem SCW vornehmen: 왘
Legen Sie fest, welche Überwachungsrichtlinien auf den Server angewendet werden, um Erfolgs- und/oder Fehlerereignisse über den Zugriff auf Dateisystemobjekte im Ereignisprotokoll anzuzeigen.
왘
Legen Sie fest, welche Protokolle zur Kommunikation mit anderen Servern verwendet werden sollen.
왘
Definieren Sie über die Netzwerksicherheit, welche Ports für die einzelnen Netzwerkschnittstellen geöffnet oder geschlossen werden sollen.
왘
Definieren Sie Client-Funktionen, die nur auf die Rolle des Servers zutreffen, für die er installiert wurde. Alle nicht benötigten Funktionen werden deaktiviert.
왘
Mit der Server-Funktion können Sie Port- und Firewall-Einstellungen festlegen, die auf Ihrem Server gelten sollen.
왘
Nicht benötigte Dienste können Sie mit dem SCW auf deaktiviert setzen und somit verhindern, dass diese Dienste beim Starten des Servers mit gestartet werden.
Die Informationen, die Sie für den SCW bestimmen, werden in einer Konfigurationsdatei gespeichert. Diese Datei kann als Vorlage für weitere Server mit gleichen Serverrollen verwendet werden. Installation des SCW Bei der Standardinstallation von Windows Server 2003 mit SP1 ist der SCW zwar mit dabei, wird aber nicht mit installiert. Führen Sie folgende Schritte aus, um den SCW zu installieren: 1. Öffnen Sie auf Ihrem Server die SYSTEMSTEUERUNG und klicken Sie auf SOFTWARE. 2. Klicken Sie auf WINDOWS-KOMPONENTEN HINZUFÜGEN /ENTFERNEN. 3. Aktivieren Sie im Fenster WINDOWS-KOMPONENTEN das Kästchen SICHERHEITSKONFIGURATIONS-ASSISTENT und klicken Sie auf WEITER.
318
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Abbildung 7.10: Installation des SCW
4. Klicken Sie nach der Installation des SCW auf FERTIG STELLEN. 5. Den SCW finden Sie nach der Installation unter START • ALLE PROGRAMME • VERWALTUNG • SICHERHEITSKONFIGURATIONS-ASSISTENT.
Abbildung 7.11: Starten des SCW
319
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Mit den oben genannten Schritten ist der SCW auf dem Exchange Server installiert. Damit aber auch die Exchange-spezifischen Rollen gehärtet werden können, gibt es einzelne XML-Dateien, die bei der Installation des Exchange Servers 2007 mit auf die Festplatte kopiert werden: 왘
Exchange2007.xml – SCW-Erweiterungen für die Serverrollen Mailbox, HubTransport, ClientAccess und Unified Messaging
왘
ExchangeEdge2007.xml – SCW-Erweiterung für die Serverrolle Edge-Transport
Beide Dateien liegen bei einer Standardinstallation im Verzeichnis C:\Programme\ Microsoft\Exchange Server\Scripts.
Abbildung 7.12: Exchange Server 2007: SCW-Erweiterungsdateien
320
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Sollten Sie in Ihrer Exchange Server 2007-Umgebung noch Outlook 2003-Clients verwenden, beachten Sie bitte die Probleme, die bei Verbindungsversuchen von Outlook 2003-Clients auftreten können. Eine Lösung für dieses Problem finden Sie im Artikel KB896742 unter: http://support.microsoft.com/?kbid=896742 Zur Registrierung der Datei Exchange2007.xml auf einem Server mit der Serverrolle Mailbox, Hub-Transport, ClientAccess oder Unified Messaging gehen Sie wie folgt vor: 1. Öffnen Sie die Eingabeaufforderung und geben Sie folgenden Befehl ein: scwcmd register /kbname:Ex2007KB /kbfile:“%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007.xml
Abbildung 7.13: Registrierung der SCW-Erweiterungen
Der Befehl scwcmd steht Ihnen nur zur Verfügung, sofern auf dem Server der SCW installiert wurde.
Sollten Sie folgende Fehlermeldung erhalten, wechseln Sie in der Eingabeaufforderung in ein Verzeichnis, welches nicht das Wurzelverzeichnis ist. Beispiel: Wechseln Sie von C:\ nach C:\temp.
Abbildung 7.14: Fehlermeldung bei der Registrierung der SCW-Erweiterungen
Führen Sie den Befehl oben erneut aus, wenn Sie die Fehlermeldung der obigen Abbildung bekommen haben.
321
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
2. Überprüfen Sie die erfolgreiche Registrierung in der Datei SCWRegistrar_ log.xml unter %windir%\security\msscw\logs.
Abbildung 7.15: Überprüfen der Registrierung
Fehlgeschlagene Registrierungen werden im gleichen Verzeichnis in der Datei scwcmdLog.xml festgehalten. Zur Registrierung der Datei Exchange2007Edge.xml auf einem Server mit der Serverrolle Edge-Transport gehen Sie folgendermaßen vor: 1. Öffnen Sie die Eingabeaufforderung und geben Sie folgenden Befehl ein: scwcmd register /kbname:Ex2007EdgeKB /kbfile:“%programfiles%\Microsoft\Exchange Server\scripts\Exchange2007Edge.xml 2. Überprüfen Sie die erfolgreiche Registrierung in der Datei SCWRegistrar_ log.xml unter %windir%\security\msscw\logs. Führen Sie die Registrierung der SCW-Erweiterung auf jedem Exchange Server 2007 aus, auf dem Sie den SCW ausführen möchten. Nach der Registrierung stehen die Serverrollen des Exchange Servers 2007 zur Auswahl im SCW bereit. Erstellen einer Richtlinie für den SCW Folgende Berechtigungen benötigen Sie um, eine SCW-Richtlinie auf einem Exchange Server 2007 zu erstellen. Serverrolle
Berechtigung
Mailbox
Exchange-Serveradministrator Mitglied in der lokalen Administratoren-Gruppe des Servers
ClientAccess
Exchange-Serveradministrator Mitglied in der lokalen Administratoren-Gruppe des Servers
Unified Messaging Exchange-Serveradministrator Mitglied in der lokalen Administratoren-Gruppe des Servers Tabelle 7.1: Berechtigungen zur Erstellung einer SCW-Richtlinie
322
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Serverrolle
Berechtigung
Hub-Transport
Exchange-Serveradministrator Mitglied in der lokalen Administratoren-Gruppe des Servers
Edge-Transport
Mitglied in der lokalen Administratoren-Gruppe des Servers
Tabelle 7.1: Berechtigungen zur Erstellung einer SCW-Richtlinie (Forts.)
Da der SCW nicht nur für die Exchange-Serverrollen konstruiert wurde, zeigt der Assistent zur Erstellung einer SCW-Richtlinie weitere Konfigurationsseiten an, die für das Betriebssystem Windows Server gelten. Sollten Sie unsicher sein, welche Einstellungen Sie dort vornehmen sollen, so belassen Sie die Einstellungen auf den Standardwerten. Weiterführende Informationen zur Verwendung des SCW finden Sie in der Hilfe des SCW oder unter der Adresse: http://technet2.microsoft.com/windowsserver/en/technologies/scw.mspx Führen Sie folgende Schritte durch, um eine SCW-Richtlinie für die Serverrolle ClientAccess zu erstellen. 1. Öffnen Sie den Sicherheitskonfigurations-Assistenten über START • ALLE PROGRAMME • VERWALTUNG und klicken Sie auf SICHERHEITSKONFIGURATIONSASSISTENT. 2. Klicken Sie auf dem Begrüßungsbildschirm auf WEITER. 3. Wählen Sie NEUE SICHERHEITSRICHTLINIE ERSTELLEN, um eine neue Richtlinie zu erzeugen, und klicken Sie auf WEITER.
Abbildung 7.16: Erstellen einer SCW-Richtlinie
323
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Zusätzlich können Sie auf dieser Seite eine zugewiesene Richtlinie bearbeiten, eine vorhandene Richtlinie auf diesen Server anwenden oder eine benutzte Richtlinie wieder deaktivieren, indem Sie wieder zur vorherigen Konfiguration zurückkehren. 4. Wählen Sie den Server aus, für dessen Serverrolle Sie die Richtlinie erstellen wollen, und klicken Sie auf WEITER. 5. Nach dem Auslesen der SCW-Datenbank klicken Sie auf WEITER. Sie können sich die Konfigurationsdatenbank des SCW über KONFIGURATIONSDATENBANK ANZEIGEN anzeigen lassen. Darin sehen Sie alle Serverkonfigurationen und Serverrollen, die der SCW abdeckt. 6. Klicken Sie auf der Seite ROLLENBASIERTE KONFIGURATION auf WEITER. 7. Wählen Sie auf der Seite SERVERFUNKTION AUSWÄHLEN die Serverrolle aus, die auf Ihren Server zutrifft, und klicken Sie dann auf WEITER. Der SCW wählt bereits einige Serverrollen aus, die er während der Analyse in Schritt d. ausgelesen hat. Sollte die Serverrolle bereits ausgewählt sein, so belassen Sie diese Einstellung.
Abbildung 7.17: Auswahl der SCW-Rollen unter Exchange Server 2007
324
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
8. Auf der Seite CLIENTFUNKTIONEN AUSWÄHLEN wählen Sie die Client-Funktion für die Exchange-Serverrolle aus bzw. belassen die Einstellungen auf den bereits ausgewählten Werten. Klicken Sie auf WEITER. 9. Wählen Sie auf der Seite VERWALTUNGS- UND WEITERE OPTIONEN AUSWÄHLEN die benötigten Optionen aus bzw. belassen die Einstellungen auf den bereits ausgewählten Werten. Klicken Sie auf WEITER.
Um mehr über die einzelnen Optionen zu erfahren, klicken Sie auf den Link, der Ihnen in den jeweiligen Fenstern angezeigt wird.
Abbildung 7.18: Weiterführende Informationen im SCW
10. Auf der Seite ZUSÄTZLICHE DIENSTE AUSWÄHLEN markieren Sie alle Dienste, die Sie auf diesem Server zusätzlich ausführen wollen. Klicken Sie auf WEITER. 11. Wählen Sie aus, wie die Dienste gestartet werden sollen, die nicht im SCW angegeben wurden. Wählen Sie dazu auf der Seite NICHT ANGEGEBENE DIENSTE VERWENDEN die entsprechende Option aus. Klicken Sie dann auf WEITER.
325
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Bei den nicht angegebenen Diensten handelt es sich um alle Dienste, die Sie auf der Seite ZUSÄTZLICHE DIENSTE AUSWÄHLEN nicht markiert haben. Alle markierten Dienste sowie die Dienste, die für die einzelnen Server- und Funktionsrollen benötigt werden, werden hierdurch nicht beeinflusst. 12.Auf der Seite SERVICEÄNDERUNGEN BESTÄTIGEN überprüfen Sie bitte alle Dienste, die eine geänderte Startart durch den SCW erhalten, und klicken Sie dann auf WEITER. 13.Klicken Sie im Fenster NETZWERKSICHERHEIT auf WEITER. Beachten Sie, dass der Haken bei DIESEN ABSCHNITT AUSLASSEN nicht gesetzt ist. 14.Überprüfen Sie auf der Seite EINGEHENDE PORTS ÖFFNEN UND ANWENDUNGEN GENEHMIGEN die Ports und Anwendungen, die auf diesem Server verwendet werden dürfen. Fügen Sie gegebenenfalls weitere Ports oder Anwendungen mittels HINZUFÜGEN hinzu. Klicken Sie auf WEITER. Auf einem Edge-Transport-Server müssen Sie hier weitere Ports hinzufügen, damit die Replikation zwischen dem Active Directory (AD) und ADAM funktioniert. Auch muss Port 25 hinzugefügt werden, damit der SMTP-Verkehr funktioniert. Folgende Ports müssen Sie auf einem Edge-Transport-Server hinzufügen. 왘
Port-Nummer: 50389/TCP (LDAP)
왘
Port-Nummer: 50636/TCP (LDAP)
왘
Port-Nummer: 25/TCP (SMTP)
Nachdem Sie die Ports hinzugefügt haben, markieren Sie Port 25 und wählen Sie ERWEITERT. Klicken Sie auf der Seite BESCHRÄNKUNG FÜR PORT auf die Registerkarte BESCHRÄNKUNGEN DER LOKALEN SCHNITTSTELLE und bestimmen Sie mit ÜBER DIE FOLGENDEN LOKALEN SCHNITTSTELLEN die interne und externe Netzwerkkarte. Damit gestatten Sie den SMTP-Verkehr über Port 25 an beiden Netzwerkkarten. Wiederholen Sie diese Schritte auch für die Ports 50389 und 50636. Wählen Sie hierbei aber bei ÜBER DIE FOLGENDEN LOKALEN SCHNITTSTELLEN nur die interne Netzwerkkarte aus.
326
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Abbildung 7.19: SCW-Konfiguration (Serverrolle Edge-Transport) der Netzwerkschnittstellen
15.Überprüfen Sie die Konfiguration der Ports und Anwendungen auf der Seite PORTKONFIGURATION BESTÄTIGEN und klicken Sie auf WEITER. 16.Auf der Seite REGISTRIERUNGSEINSTELLUNGEN können Sie den Haken bei DIESEN ABSCHNITT AUSLASSEN setzen und auf WEITER klicken. Sollten Sie Einstellungen im Bereich REGISTRIERUNGSEINSTELLUNGEN vornehmen wollen, so entfernen Sie den Haken bei DIESEN ABSCHNITT AUSLASSEN und klicken Sie auf WEITER. 17. Wiederholen Sie den letzten Schritt auch für die Seiten ÜBERWACHUNGSRICHTLINIEN und INTERNET INFORMATION SERVICES (IIS) und klicken Sie jeweils auf WEITER. 18.Klicken Sie im Fenster SICHERHEITSRICHTLINIE SPEICHERN auf WEITER. 19.Auf der Seite NAME DER SICHERHEITSRICHTLINIENDATEI vergeben Sie einen Namen für Ihre Richtlinie. Optional können Sie hier auch noch eine Beschreibung Ihrer Richtlinie hinterlegen. Klicken Sie dann auf WEITER.
327
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Abbildung 7.20: Speichern der SCW-Richtlinie
20.Sie erhalten eine Warnung, die Sie darauf hinweist, dass das Anwenden der Richtlinie einen Neustart des Servers benötigt. Klicken Sie in der Warnung auf OK. Wählen Sie den Punkt SPÄTER ANWENDEN oder JETZT ANWENDEN im Fenster SICHERHEITSRICHTLINIE ANWENDEN, je nachdem ob Sie den Server später oder jetzt neu starten möchten.
Abbildung 7.21: Warnung vor dem Anwenden der SCW-Richtlinie
21.Klicken Sie auf der letzten Seite auf FERTIG STELLEN.
328
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Mit diesen Schritten haben Sie eine SCW-Richtlinie für Ihren ClientAccess-Server erstellt. Testen Sie die Einstellungen bitte, bevor Sie diese in einer produktiven Umgebung einsetzten. Weitere Informationen zu den Ports und Anwendungen. die bei der SCW-Erweiterung für Exchange Server 2007 verwendet werden, finden Sie unter: http://technet.microsoft.com/de-de/library/bb397223(EXCHG.80).aspx Die Sicherheitsreferenz für den Exchange Server 2007 finden Sie unter: http://technet.microsoft.com/de-de/library/bb331973(EXCHG.80).aspx Verwenden einer SCW-Richtlinie auf einem anderen Server Sie können eine SCW-Richtlinie auf anderen Servern mit der gleichen Rolle anwenden, indem Sie die Richtlinien-Datei auf die Server kopieren und dort mit dem SCW anwenden. Achten Sie dabei darauf, dass Sie wirklich nur gleiche Serverrollen verwenden, auf die Sie die gleiche SCW-Richtlinie anwenden. Kopieren Sie die Richtlinien-Datei (in unserem Beispiel die Datei CAS-SCWPolicy.xml), welche Sie im Verzeichnis %windir%\security\msscw\Policies\CASSCW-Policy.xml finden, auf den zweiten Server in das gleiche Verzeichnis.
Abbildung 7.22: Speicherpfad der SCW-Richtlinie im Windows Explorer
1. Öffnen Sie den SCW über START • ALLE PROGRAMME • VERWALTUNG • SICHERHEITSKONFIGURATIONS-ASSISTENT. 2. Klicken Sie auf der Begrüßungsseite auf WEITER.
329
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
3. Klicken Sie auf der Seite KONFIGURATIONSVORGANG auf VORHANDENE SICHERHEITSRICHTLINIE ANWENDEN. Klicken Sie auf DURCHSUCHEN und wählen Sie die XML-Datei Ihrer Richtlinie aus. Klicken Sie auf ÖFFNEN und anschließend auf WEITER.
Abbildung 7.23: Auswahl der SCW-Richtlinie
4. Stellen Sie sicher, dass auf der Seite SERVER AUSWÄHLEN der richtige Servername angezeigt wird. Klicken Sie auf WEITER. 5. Auf der Seite SICHERHEITSRICHTLINIE ANWENDEN klicken Sie auf SICHERHEITSRICHTLINIE ANZEIGEN, um sich die Details der Richtlinie anzeigen zu lassen. Klicken Sie dann auf WEITER. 6. Sobald der Status DIE RICHTLINIE WURDE ANGEWENDET auf der Seite SICHERHEITSRICHTLINIE WIRD ÜBERNOMMEN angezeigt wird, klicken Sie auf WEITER. 7. Schließen Sie den Import der SCW-Richtlinie über FERTIG STELLEN ab. Sie können den SCW auch über die Kommandozeile benutzen, indem Sie den Befehl scwcmd verwenden. Weitere Informationen zur Verwendung des Befehls scwcmd finden Sie, indem Sie scwcmd /? über die Eingabeaufforderung eingeben.
330
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Um die SCW-Richtlinie regelmäßig anzuwenden, müssen Sie die Policy in eine Gruppenrichtlinie umwandeln und über die lokalen Richtlinien anwenden. Das Umwandeln der SCW-Richtlinie in eine Gruppenrichtlinie erfolgt über den folgenden Befehl: scwcmd transform /p:“C:\Windows\security\msscw\Policies\ /g: Beispiel: scwcmd transform /p:“C:\Windows\security\msscw\Policies\CAS-SCW-Policy.xml” /g:“CAS Policy”
Abbildung 7.24: Umwandeln der SCW-Richtlinie in eine Gruppenrichtlinie
Beachten Sie, dass der Windows-Firewall-Dienst vor dem Umwandeln gestartet ist, sofern Sie in der Policy der SCW eine Windows-FirewallKonfiguration definiert haben. Andernfalls wird die Transformation mit einer Fehlermeldung abgebrochen, die Sie dazu auffordert, den Windows-Firewall-Dienst zu starten. Über die Management-Konsole der Gruppenrichtlinie können Sie die Gruppenrichtlinie CAS Policy dann auf den Server anwenden.
Abbildung 7.25: SCW-Richtlinie als Gruppenrichtlinie
331
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
7.1.4
TLS bei der Serverkommunikation
Bei der Installation des Exchange Servers 2007 wird unabhängig von der installierten Serverrolle immer ein selbst signiertes Zertifikat mit installiert. Dieses Zertifikat verwendet der Exchange Server 2007 für die Absicherung der virtuellen Verzeichnisse, damit ein Zugriff über den Port 443 (SSL) für die ClientAnwendungen wie OWA, ActiveSync und Outlook Anywhere möglich ist. Die in der Standardeinstellung deaktivierten Zugriffsarten POP3 und IMAP4 werden nicht verschlüsselt. Es besteht aber die Möglichkeit, auch diese Zugriffsarten zu sichern. Der Zugriff über SSL auf die oben genannten Verzeichnisse ist zwar mit dem selbst signierten Zertifikat möglich, Sie sollten aber dennoch ein kommerzielles Zertifikat von einer öffentlichen CA (engl.: Certificate Authority) oder Ihrer eigenen CA verwenden, da das selbst signierte Zertifikate von keiner vertrauenswürdigen CA ausgestellt wurde und daher nicht in allen Punkten vertraut wird. Dieses Zertifikat wird gleichzeitig auch dazu verwendet, alle internen Kommunikationswege über die TLS (Transport Layer Security) zu verschlüsseln. Was aber genau ist TLS und wie funktioniert es? TLS ermöglicht sichere Webkommunikationsverbindungen zwischen Servern im Internet oder Intranet. Dabei wird das SSL-Zertifikat auf dem jeweiligen Server verwendet, um den Empfangs-Server zu authentifizieren und damit seine Identität sicherzustellen. Der Microsoft Exchange Server 2007 verwendet darüber hinaus MTLS (Mutal Transport Layer Security) – auf Deutsch: gegenseitige Authentifizierung mit TLS. Dabei wird nicht nur der empfangende Server auf seine Identität hin geprüft, sondern auch der sendende Server muss seine Identität mit seinem Zertifikat bestätigen. Dieser Vorgang wird ausgeführt, bevor eine Datenkommunikation zwischen den beiden Servern stattfindet. Da dabei eine direkte Vertrauensstellung zwischen dem sendenden und empfangenden Server verwendet wird, werden die Zertifikate aus dem Active Directory gelesen und nicht wie bei X.509-Gültigkeitsprüfungen gegen eine CA geprüft. Somit ist es möglich, diese MTLS-Authentifizierung auch mit selbst signierten Zertifikaten durchzuführen. Um diesen Vorgang etwas zu veranschaulichen, betrachten Sie bitte folgendes Beispiel.
332
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Die direkte Vertrauensstellung wird nur bei internen TLS-Verbindungen verwendet. Bei einer Domänensicherheit mit externen Partnern wird die X.509-Gültigkeitsprüfung weiterhin gegen eine CA durchgeführt. Somit besteht die Anforderung, dass die Zertifikate durch eine öffentlich erreichbare CA validiert werden können. Diese kann eine CA eines Drittanbieters sein, der Ihnen ein Zertifikat zur Verfügung gestellt hat, oder eine CA, die Sie über das Internet erreichen. Bei der Abfrage der Online-CA wird abgefragt, ob das verwendete Zertifikat noch gültig ist oder von der CA zurückgerufen wurde. Andere Überprüfungen werden gegen die Online-CA nicht durchgeführt, da alle anderen Informationen im Root Zertifikat auf dem Windows Server zur Verfügung stehen. Dies sind das Ablaufdatum und die ausstellende Root-CA. Auf Ihrem Hub-Transport-Server haben Sie durch die Standardinstallation ein selbst signiertes Zertifikat erhalten. Dieses Zertifikat wird durch den Exchange Server im Active Directory bekanntgegeben und steht somit im Active Directory zur Verfügung. Auf Ihrem Edge-Transport-Server wird ebenfalls ein selbst signiertes Zertifikat installiert. Durch das Edge-Abonnement werden diese Zertifikate zwischen dem Active Directory, in dem sich der Hub-Transport-Server befindet, und dem Active Directory Application Mode (ADAM) bei Windows Server 2003 bzw. dem Active Directory Lightweight Directory Services (AD LDS) ausgetauscht. Die Server können somit ihre Identität bestätigen. Auf die gleiche Weise funktioniert auch die TLS-Kommunikation zwischen den anderen Serverrollen. Ebenso ist es auch möglich, diese TLS-Kommunikation nicht nur zwischen den Servern zu ermöglichen, sondern auch auf die Clients auszuweiten und somit eine gesicherte Ende-zu-Ende-Verbindung vorzunehmen. Dieses Verfahren nennt sich Domänensicherheit und wird auch von Outlook-Clients unterstützt. Bei der Verwendung von Domänensicherheit mit selbst signierten Zertifikaten sollten Sie nur den internen E-Mail-Verkehr absichern. Für die Domänensicherheit mit externen Partnern über das Internet empfehlen wir Ihnen, Zertifikate von einer öffentlichen PKI (Public Key Infrastructur) zu verwenden oder eine eigene PKI aufzubauen. Die Domänensicherheit stellt eine relativ kostengünstige Alternative zur Absicherung des E-Mail-Verkehrs gegenüber der Verwendung von S/MIME dar. Mehr zum Thema S/MIME und Signaturen erfahren Sie weiter unten in diesem Kapitel.
333
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Folgende Punkte müssen Sie berücksichtigen, wenn Sie Domänensicherheit mit externen Partnern einrichten: 왘
Der Server, der die E-Mails aus dem Internet empfängt und ins Internet sendet, muss direkt mit dem Internet verbunden sein. Er darf also nicht hinter einem SMTP-Gateway stehen, welches das SMTP-Protokoll verändert. Das bedeutet, dass der Absender als letzte Header-Information im SMTP-Protokoll zu finden sein muss.
Sie können für die Domänensicherheit einen Hub-Transport-Server verwenden. Wir empfehlen Ihnen aber einen Edge-Transport-Server dafür einzusetzen, damit Sie eine weitere Sicherheitsbarriere in Ihrem Unternehmen haben. Beachten Sie dabei, dass zwischen dem Edge-Transport-Server und dem Hub-Transport-Server ein Edge-Abonnement verwendet werden muss. Wie Sie ein Edge-Abonnement einrichten, zeigen wir weiter unten in diesem Kapitel. Beim Thema Domänensicherheit gehen wir im weiteren Verlauf dieses Kapitels davon aus, dass der Edge-Transport-Server zur Konfiguration der Zertifikate und Connectoren verwendet wird. 왘
Die Zertifikate für die Domänensicherheitskonfiguration müssen auf dem Edge-Transport-Server installiert werden.
왘
Die entsprechenden Einstellungen müssen auf den Sende- und EmpfangsConnectoren durchgeführt werden.
Einrichten eines Edge-Abonnements Nachdem Sie Ihren Hub-Transport-Server sowie den Edge-Transport-Server installiert haben, führen Sie bitte die folgenden Schritte aus, um ein Edge-Abonnement zwischen dem Hub-Transport-Server und dem Edge-Transport-Server einzurichten. 1. Stellen Sie sicher, dass die Ports 50389/TCP und 50636/TCP zwischen Ihrem Hub-Transport-Server und dem Edge-Transport-Server ausgehend zum EdgeTransport-Server freigeschaltet sind. Bei der Edge-Transport-Server-Installation konnten Sie die Ports verändern. Sollten Sie dies getan haben, so stellen Sie bitte sicher, dass die angepassten Ports freigeschaltet sind und eine Kommunikation vom Hub-Transport-Server zum Edge-Transport-Server durchgeführt werden kann.
334
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
2. Öffnen Sie auf dem Edge-Transport-Server die Exchange Management Shell und führen Sie folgenden Befehl aus: New-EdgeSubscription –Filename C:\EdgeSubscription.xml
Abbildung 7.26: Edge-Abonnement über die PowerShell
Mit diesem Schritt exportieren Sie die Abonnementinformationen des EdgeTransport-Servers in die Datei C:\EdgeSubscription.xml. 3. Kopieren Sie diese Datei auf Ihren Hub-Transport-Server. 4. Öffnen Sie auf Ihrem Hub-Transport-Server die EXCHANGE MANAGEMENT CONSOLE (EMC) und erweitern Sie die ORGANISATIONSKONFIGURATION. Wählen Sie HUB-TRANSPORT aus. Klicken Sie im Ergebnisbereich auf die Registerkarte EDGEABONNEMENTS. 5. Klicken Sie auf NEUES EDGE-ABONNEMENT.
Abbildung 7.27: Erstellen eines Edge-Abonnements auf dem Hub-Transport-Server
335
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
6. Wählen Sie im Fenster NEUES EDGE-ABONNEMENT aus der Dropdown-Liste den Active Directory-Standort aus, dem der Hub-Transport-Server zugeordnet ist.
Abbildung 7.28: Auswahl der Edge-Abonnementdatei
7. Kicken Sie dann auf DURCHSUCHEN und wählen Sie die Edge-Abonnementdatei, die Sie vom Edge-Transport-Server auf Ihren Hub-Transport-Server kopiert haben. Klicken Sie auf ÖFFNEN. 8. Klicken Sie auf NEU und danach auf FERTIG STELLEN. Mit diesem Vorgang haben Sie den Edge-Transport-Server dem Hub-Transport-Server bekannt gemacht. Es werden jetzt automatisch entsprechende Sende- und Empfangs-Connectoren zwischen den beiden Serven eingerichtet. Eine Kommunikation wird nun über die Ports 50389/TCP sowie 50636/TCP erfolgen. Alternativ können Sie die Edge-Abonnementdatei auch über die Exchange Management Shell auf den Hub-Transport-Server importieren, indem Sie folgenden Befehl auf dem Hub-Transport-Server verwenden:
336
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
New-EdgeSubscription –filename „.xml -CreateInternetSendConnector $true –CreateInboundSendConnector $true –site “
Abbildung 7.29: Edge-Abonnement über die PowerShell registrieren
Über das Edge-Abonnement werden regelmäßig Informationen aus dem Active Directory an das ADAM-Verzeichnis unter Windows Server 2003 bzw. dem AD LDS unter Windows Server 2008 auf den Edge-Transport-Server synchronisiert. Diese Informationen beinhalten: Synchronisationstyp Empfängerinformationen
Inhalt der Synchronisation
Intervall
Empfänger
Alle vier Stunden ab Start des Dienstes MS Exchange Edge Sync oder manuell über die PowerShell
Proxy-Adressen Liste der sicheren Absender und Empfänger Anti-Spam-Einstellungen pro Empfänger
Konfigurations- Hub-Transport-Server informationen Nachrichtenklassifikation Akzeptierte Domänen Remote-Domänen
Alle 60 Minuten ab Start des Dienstes MS Exchange Edge Sync oder manuell über die PowerShell
Sende-Connectoren Interne SMTP-Server Liste der sicheren Domänen Tabelle 7.2: Synchronisation des Edge-Abonnements
337
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Synchronisationstyp
Inhalt der Synchronisation
Intervall
TopologieInformationen
Neue- bzw. entfernte EdgeAbonnements
Alle fünf Minuten ab dem Start des Dienstes MS Exchange Edge Sync oder manuell über die PowerShell
Edge-Abonnementinformationen
Anmeldeinformationen für das Abonnement
Alle fünf Minuten ab dem Start des Dienstes MS Exchange Edge Sync oder manuell über die PowerShell
Sperr- und Freigabeinformationen für das Abonnement
Tabelle 7.2: Synchronisation des Edge-Abonnements (Forts.)
Über die Exchange Management Shell können Sie die Synchronisation des EdgeAbonnements testen oder manuell starten. Folgende Befehle stehen Ihnen dafür zur Verfügung. Funktion
Befehl
Testen der Synchronisation
Test-EdgeSynchrionization
Manuelles Starten der Synchronisation
Start-EdgeSynchronization
Anzeigen des Abonnements
Get-EdgeSynchronization
Tabelle 7.3: Synchronisationsbefehle für das Edge-Abonnement
Weitere Informationen zum Edge-Abonnement und zur Synchronisation finden Sie in der technischen Online-Dokumentation unter: http://technet.microsoft.com/de-de/library/aa997438(EXCHG.80).aspx Installieren der Zertifikate auf dem Edge-Transport-Server Auf Ihrem Edge-Transport-Server benötigen Sie ein Zertifikat, welches den Namen Ihres Servers beinhaltet, unter dem der Server von außen angesprochen werden kann. Dies ist normalerweise der gleiche Name wie der Ihres MX-Records. Um ein Zertifikat für die Domänensicherheit anzufordern, können Sie den nachfolgenden Befehl verwenden. In diesem Beispiel fordern wir ein Zertifikat für einen Server an, der den Hostnamen Edge1 hat und über den MX-Record mail.ex2007buch.de zu erreichen ist.
338
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
New-ExchangeCertificate –GenerateRequest –FriendlyName „DomainSec Zertifikat“ –Path “C:\DomSecZertReq.req“ –Subjectname “DC=de,DC=ex2007buch,CN=edge1 .ex2007buch.de” –Domainname mail.ex2007buch.de Diese Zertifikatanforderung erstellt eine Datei C:\DomSecZertReq.req, die Sie verwenden können, um ein Zertifikat eines Drittanbieters oder Ihrer eigenen CA zu beantragen. Nachdem Sie das Zertifikat von der Drittanbieter-CA oder Ihrer eigenen CA erhalten haben, importieren Sie bitte dieses Zertifikat auf Ihren EdgeTransport-Server, indem Sie folgende Schritte durchführen. 1. Kopieren Sie die .pfx-Datei Ihres Zertifikats auf den Edge-Transport-Server. 2. Öffnen Sie die Exchange Management Shell und geben Sie folgenden Befehl zum Importieren und Aktivieren des Zertifikats ein: Import-ExchangeCertificate –Path <“Pfad zur .pfx-Datei“> | Enable-ExchangeCertificate –Services SMTP
Mit dem Befehl get-ExchangeCertificate | FL können Sie sich die Details des Zertifikats anzeigen lassen. Nun haben Sie das Zertifikat auf Ihrem Edge-Transport-Server installiert und für den Dienst SMTP aktiviert. Konfigurieren der Sende- und Empfangs-Connectoren Mit den nächsten Schritten konfigurieren Sie noch die Sende- und EmpfangsConnectoren, um die Funktion der Domänensicherheit zu unterstützen. Dazu verwenden Sie die Befehle Set-TransportConfig, Set-SendConnector und Set-ReceiveConnector – jeweils auf einem internen Hub-Transport-Server. Die Konfiguration wird dann über das Edge-Abonnement auf den Edge-Transport-Server synchronisiert und steht dort zur Verfügung. Um die Domäne des externen Partners, mit dem Sie eine Domänensicherheit konfigurieren möchten, hinzuzufügen, verwenden Sie bitte folgenden Befehl auf einem internen Hub-Transport-Server: Set-TransportConfig TLSsendDomainSecureList und Set-TransportConfig TLSReceiveDomainSecureList . Der Name der externen Domäne kann dann beispielsweise Contoso.com lauten, sofern der externe Partner die Domäne contos.com hat. Um den Internet-Sende-Connector für die Funktion der Domänensicherheit zu aktivieren, verwenden Sie folgenden Befehl: Set-SendConnector -DomainSecureEnabled:$true
339
Kapitel 7 Absichern einer Exchange Server 2007-Organisation
Um den Internet-Empfangs-Connector für die Funktion der Domänensicherheit zu aktivieren, verwenden Sie bitte folgenden Befehl: Set-ReceiveConnector –DomainSecureEnabled:$true –AuthMechanism TLS Weitere Informationen zur Konfiguration der Domänensicherheit finden Sie in der technischen Online-Dokumentation in englischer Sprache unter: http://technet.microsoft.com/en-us/library/bb266978.aspx
7.1.5
S/MIME in OWA ab SP1
S/MIME steht für Secure/Multipurpose Internet Mail Extensions und ermöglicht es, E-Mails digital zu signieren und zu verschlüsseln. Unter Exchange Server 2007 haben Sie im Gegensatz zur RTM-Version von Exchange Server 2007 auch die Möglichkeit, S/MIME bei der Verwendung von OWA zu nutzen. Was macht S/MIME eigentlich? Um diese Frage zu erläutern, teilen wir die beiden Einsatzmöglichkeiten von S/MIME auf. Zum einem erlaubt es uns, E-Mails auf Seite des Clients digital zu signieren, zum anderen können wir E-Mails digital verschlüsseln. Die digitale Signatur ermöglicht eine Authentifizierung des Absenders. Da der Absender seine E-Mail mit einer Signatur versieht, die mit einem persönlichen Zertifikat verschlüsselt wurde, kann der Empfänger diese Signatur überprüfen und sicherstellen, dass die E-Mail von dem vorgegebenen Absender stammt. Um die Signatur zu überprüfen, wird beim Versenden der E-Mail eine weitere Signatur für die ursprüngliche Nachricht der E-Mail verwendet. Der Empfänger vergleicht die Signatur des Absenders und die Signatur in der Nachricht miteinander. Stimmen die Signaturen überein, ist die Identität des Absenders sichergestellt. Eine Veränderung des Absenders würde die digitale Signatur verändern und eine fehlerfreie Authentifizierung beim Empfänger verhindern. Mit der digitalen Verschlüsselung kann der Inhalt einer E-Mail verschlüsselt werden. Nur der Besitzer des privaten Schlüssels kann dann die E-Mail wieder entschlüsseln. Mit diesem Verfahren können Veränderungen des Inhalts einer E-Mail sowie das Lesen des Inhalts durch unberechtigte Personen unterbunden werden. Bei diesem Verfahren wird nach dem Schreiben der E-Mail der Inhalt mit dem öffentlichen Teil des Schlüssels des Empfängers verschlüsselt und an den Empfänger übermittelt. Der Empfänger ist mit seinem privaten Teil des Schlüssels in der Lage, die E-Mail zu entschlüsseln und wieder in lesbaren Text zu konvertieren.
340
Welchen Sicherheitsanforderung steht meine Organisation gegenüber?
Weitere Informationen über die genaue Vorgehensweise bei der digitalen Signatur und der digitalen Verschlüsselung finden Sie unter: http://technet.microsoft.com/de-de/library/aa995740(EXCHG.65).aspx Um in OWA das S/MIME-Add-in zu verwenden, müssen Sie den Internet Explorer Version 7.x verwenden. Verwenden Sie dagegen eine ältere Version des Internet Explorers, erhalten Sie eine Warnung. Weitere Informationen zu S/MIME und Exchange Server 2007 finden Sie auf dem Exchange-Team-Blog unter den folgenden Adressen: http://msexchangeteam.com/archive/2007/08/20/446760.aspx http://msexchangeteam.com/archive/2008/04/23/448761.aspx Fazit Alle diese Sicherheitsfunktionen vermitteln uns das Gefühl, mit dem Exchange Server 2007 ein sicheres Produkt im Einsatz haben. Dies trifft auch zu. Sie sollten aber dennoch nie vergessen, dass eine Software nie zu hundert Prozent sicher sein kann. Daher ist es für Sie als Administrator umso wichtiger, bewusst und sorgfältig mit den Einstellungen, die Sie auf dem Exchange Server 2007 tätigen, umzugehen. Dokumentieren Sie Ihre Schritte und testen Sie alle Sicherheitseinstellungen ausgiebig in einer Testumgebung. Der Exchange Server 2007 verwendet eine Vielzahl an Standards, die in RFC-Dokumenten definiert wurden. Sie können diese Standards als Referenz nehmen, um die Sicherheit Ihres Exchange Servers 2007 bei einem Vergleich mit anderen E-Mail-Servern zu dokumentieren. Eine komplette Liste aller RFC-Standards, die der Exchange Server 2007 erfüllt, finden Sie unter der folgenden Adresse: http://technet.microsoft.com/en-us/library/cc540463(EXCHG.80).aspx
341
8
Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Exchange Server werden aufgrund ihrer hervorragenden Eigenschaften bei der Nachrichtenübermittlung sowie der hervorragenden Integration der Clients seit jeher nicht nur in kleineren, sondern auch in sehr großen Unternehmen eingesetzt. Exchange Server-Organisationen variieren in ihrer Größe von wenigen Anwendern in einem kleinen Unternehmen bis hin zu vielen Tausend in internationalen Konzernen. In diesem Kapitel erläutern wir, wie beim Wachstum des Unternehmens die Leistungsfähigkeit durch eine einfache Skalierung der Exchange-Umgebung erhalten und ausgebaut werden kann. Dabei müssen wir unterschiedliche Varianten der Aufteilung von Exchange-Topologien unterscheiden.
8.1
Der Aufbau einer Exchange ServerOrganisation
Microsoft unterteilt Unternehmen in vier verschiedene Typen von Exchange Server-Organisationen. 왘
Einfache Exchange Server-Organisationen – Exchange Server-Organisationen mit einem Exchange Server 2007, auf dem alle Serverrollen ausgeführt werden (Ausnahme ist die Edge-Serverrolle), und bis zu 1000 Postfächern.
왘
Standard Exchange Server-Organisationen – Exchange Server-Organisationen mit mehreren Exchange Server-Installationen auf Mitgliedsservern und über 1000 Postfächern in einer Active Directory-Gesamtstruktur mit weniger als fünf Standorten.
343
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung 왘
Große Exchange Server-Organisationen – Exchange Server-Organisation mit mehreren Exchange Server-Installationen auf Mitgliedsservern in einer Active Directory-Gesamtstruktur mit mehr als fünf Standorten.
왘
Komplexe Exchange Server-Organisationen – Exchange Server-Organisation mit mehreren Active Directory-Gesamtstrukturen und mehreren Exchange Server-Organisationen, die sich über mehrere Standorte verteilen.
8.1.1
Die einfache Exchange Server-Organisation
Viele kleinere Unternehmen mit bis zu 75 Mitarbeitern können auf ein preiswertes Gesamtpaket, den Microsoft Small Business Server, zurückgreifen. Dieser beinhaltet eine spezielle Windows Server-Lizenz und neben einigen weiteren Tools (je nachdem, ob Sie die Standard- oder die Enterprise-Version wählen) auch eine Exchange Server-Version. Zum derzeitigen Zeitpunkt wird der Small Business Server 2008 mit Exchange Server 2007 noch entwickelt und ist noch nicht verfügbar. Der Vorteil der Small Business-Version ist ihr geringer Preis. Allerdings gibt es auch einige Nachteile. So müssen Sie beispielsweise die Softwarepakete auf einer einzigen Hardware installieren. Als weitere Alternative steht Ihnen der EBS 2008 (Essential Business Server 2008) zur Verfügung, der bereits über Exchange Server 2007 verfügt und für bis zu 300 Benutzer lizenziert werden kann. Weiterführende Informationen zum Thema Small Business Server (SBS) oder auch Essential Business Server (EBS) finden Sie auf folgenden Webseiten. Small Business Server: http://dnn.mssbsfaq.de/Default.aspx Essential Business Server: http://dnn.ebsfaq.com/ http://www.microsoft.com/germany/server/essential/sbs/default.mspx Sie können bei Hardware-Knappheit aber durchaus auch eine normale Windows Server-Version nehmen und dort Active Directory und Exchange Server installieren. Da Exchange Server meist sehr performance- und lastintensiv sind, sollten Sie bei einer derartigen Installation einige Punkte beachten: 왘
Die Last auf einem Exchange Server hängt im Wesentlichen von der Größe und Menge der E-Mails ab, die über diesen empfangen und verschickt werden.
왘
Um eine schnelle Abarbeitung der E-Mails zu gewährleisten, sollten die Transaktionsprotokolle auf schnellen Festplatten mit kurzen Reaktionszeiten liegen.
344
Der Aufbau einer Exchange Server-Organisation 왘
Mehr RAM bedeutet gerade unter Exchange Server 2007 mehr Speicher, und dies bedeutet in den meisten Fällen mehr Datendurchsatz. Bei Exchange Server 2003 ist für den RAM bei maximal 4 GB leider Schluss, da Exchange Server 2003 nur auf 32-Bit-Systemen installiert werden kann.
왘
Fällt Ihr Server aus, so fällt Ihr komplettes System aus. Da Sie dann alles (Active Directory, Fileservices, Exchange usw.) wieder herstellen müssen, benötigen Sie für die Wiederherstellung der Daten mehr Zeit. Wie viel genau, hängt von Ihrer Sicherungsstrategie und im Wesentlichen davon ab, wie oft Sie den Eintritt und die Behebung von Fehlern bzw. ein vollständiges Disaster Recovery üben.
왘
Der auf einem Domänen-Controller installierte Exchange Server 2007 wird weder aus Gründen des Lastausgleichs noch wenn dieser ausfällt einen anderen Domänen-Controller auswählen, um mit diesem zu kommunizieren.
왘
Installierte Viren-Scanner und Anti-Spam-Tools (auch die in Kapitel 4 beschriebenen Exchange Server-eigenen Möglichkeiten) kosten sehr viel Rechenzeit auf dem Server. Bei nur einem installierten Server haben Sie allerdings keine andere Wahl.
Wenn Sie Ihren Exchange Server, der auf einer kleinen Hardware installiert ist, womöglich noch mit einem Domänen-Controller zusammen arbeiten lassen wollen, können die nachfolgend genannten Maßnahmen helfen. Verkleinern Sie die E-Mail-Größe Durch eine Verringerung der Größe von E-Mail-Objekten erreichen Sie wahrscheinlich die größten Einsparungen bei der Performance. Es gibt Unternehmen, in denen der Versand großer E-Mails unumgänglich ist. In diesem Fall müssen Sie unter Umständen eine andere, geeignetere Methode auswählen, um die Daten zu versenden. Beliebt sind zum Beispiel FTP-Server mit Passwortschutz, SharePoint-Lösungen oder ein Peer-to-Peer-Client, zum Beispiel Groove von Microsoft. Die Beschränkungen der E-Mail-Größe können Sie an verschiedenen Stellen vornehmen. Einstellungen Global: In der Exchange Management Console unter ORGANISATIONSKONFIGURATION • HUB TRANSPORT • GLOBALE EINSTELLUNGEN • TRANSPORTEINSTELLUNGEN • EIGENSCHAFTEN. Hier können Sie die globale Nachrichtengröße hinterlegen. Das an dieser Stelle hinterlegte Limit gilt für alle Nachrichten, also auch für Replikationsnachrichten zwischen öffentlichen Ordnern.
345
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Achtung: Die Einstellung in der grafischen Oberfläche ist in der RTM-Version noch nicht möglich. Wenn Sie noch nicht auf Service Pack 1 umgestellt haben, können Sie den Wert über ADSIEdit anpassen. Gute Kenntnisse des Active Directory-Schemas sind hier allerdings Voraussetzung, und wir möchten Ihnen dieses Vorgehen auch nicht empfehlen.
Abbildung 8.1: Größenbeschränkungen in den globalen Transporteinstellungen
Einstellungen pro Benutzer: In den Eigenschaften des Benutzers in den Eigenschaften der Empfänger unter NACHRICHTENÜBERMITTLUNGSEINSTELLUNGEN • EINSCHRÄNKUNGEN FÜR DIE NACHRICHTENGRÖSSE. An dieser Stelle können die Größenbeschränkungen pro Benutzer vergeben werden. Das ist insbesondere dann nützlich, falls Sie unterschiedliche Größenbeschränkungen vergeben wollen – zum Beispiel wenn Sie für alle Benutzer aus dem Management ein höheres Limit setzen wollen. Beachten Sie bitte dabei, dass restriktivere Einstellungen an globaler Stelle Vorrang haben. Das globale Limit wird zuerst geprüft.
346
Der Aufbau einer Exchange Server-Organisation
Abbildung 8.2: Beschränkung der Nachrichtengröße pro Benutzer
Einstellungen am SMTP-Connector: In der grafischen Oberfläche finden Sie diesen unter SERVERKONFIGURATION • HUB TRANSPORT • EIGENSCHAFTEN DES EMPFANGSKONNEKTORS. Die nach der Installation eingestellte Größe beträgt 10240 Kilobyte, was 10 MB entspricht.
Abbildung 8.3: Beschränkung der Nachrichtengröße auf SMTP-Ebene
347
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Aspekte bei Größenbeschränkungen Bei den Einstellungen zur Größenbeschränkung müssen Sie Folgendes beachten: Die globale Größenbeschränkung wird vor der Beschränkung auf den Mailboxen geprüft. Insofern hat es wenig Sinn, eine kleinere, globale Größe anzugeben und diejenige auf den Mailboxen größer zu setzen. Vorteil ist, dass für die Mailboxen unterschiedliche Beschränkungen angegeben werden können. Möglicherweise haben Sie einige VIP-Mailboxen, die größere E-Mails senden können. Bitte machen Sie sich aber ein Bild davon, ob es nicht zur Verwirrung einiger Benutzer beiträgt, wenn diese eine große E-Mail nicht an alle Empfänger schicken oder darauf antworten können, an andere Empfänger dagegen durchaus. Beschwerden sind Ihnen in diesem Fall sicher, auch wenn die Verteilung der Limits mit der Geschäftsleitung vereinbart wurde. Sie können auch das Limit am SMTP-Connector niedrig und intern höher einstellen, sofern Sie eine kleine Leitung, aber intern eine hohe Kapazität haben. Intern können Ihre Mitarbeiter dann durchaus große E-Mails versenden und empfangen, nur von extern eben nicht. Das Limit im SMTP-Connector bietet große Vorteile. Wie bereits in Kapitel 4, „AntiSpam und Anti-Virus“, erläutert, schützt eine niedrige Einstellung am Empfangsconnector vor zu großen E-Mails. Wenn die sendende Gegenstelle dann auch noch die EHLO-Erweiterungen des Protokolls SMTP benutzt, wird schon vor dem Senden die zu erwartende Größe der E-Mail geschätzt und der Datenverkehr bereits nach dem Header unterbrochen. Versteht der sendende Mail-Server die EHLOErweiterungen nicht, wird die E-Mail inklusive Anhang übertragen, bis ihre Grenze erreicht ist. Erst dann wird die Verbindung gekappt. Da es noch immer Mail-Server an ISDN-Leitungen gibt, kann das dazu führen, dass Ihr Mail-Server bzw. Ihre Leitung für einige Zeit ausgelastet ist. Schnelle Festplatten für die Transaktions-Log-Dateien Bei der Installation der Exchange-Umgebung mit noch anderen Diensten auf dem gleichen Server sind oft die Festplatten ausgelastet. Ein gutes Beispiel ist ein mit bis zu 75 Benutzern benutzbarer Small Business Server. Hier können Sie die beiliegenden CDs (in der 2008er-Version die DVDs) nur auf einem Server installieren. (Es sei denn, Sie kaufen ein spezielles Paket von Microsoft, das wiederum mit zusätzlichen Kosten verbunden ist.) Gerade in größeren Small Business Server-Umgebungen kommt es immer wieder vor, dass die Benutzer Fehlermeldungen oder Hinweise der Art „Outlook ruft Daten vom ExchangeServer ab“ in Outlook erhalten. Wenn Sie an den Gruppenrichtlinien hierzu nichts geändert haben, sollte diese Meldung immer nach einer Verzögerung von mehr als 0,5 Sekunden auftreten. Gute Hinweise hierzu („Retrieving Data from Exchange Server“) erhalten Sie unter der folgenden Internetadresse: http://msexchangeteam.com/archive/2005/05/25/405353.aspx 348
Der Aufbau einer Exchange Server-Organisation
Die häufigste Ursache dürften zu stark ausgelastete Festplatten sein. Die Daten gelten als für den Benutzer sichtbar, wenn diese in den Transaktions-LogDateien abgelegt wurden. Sollten Sie einen stark ausgelasteten Server benutzen und die Vermutung haben, dass die Festplattengeschwindigkeit nicht ausreicht, müssen Sie hier unbedingt Abhilfe schaffen. Nehmen Sie dazu den Performance-Monitor (START • AUSFÜHREN • PERFMON), und sehen Sie sich die Daten der Warteschlange des betreffenden Datenträgers an. Haben Sie hier ständig hohe Werte, so legen Sie die Daten auf ein anderes Disk-Array (sofern das möglich ist). Aber hier lauern verschiedene Stolperfallen. Die erste wäre, ein RAID-5Stripeset mit vielen Festplatten zu erstellen. Eine RAID-5-Konfiguration ist in den allermeisten Fällen einer RAID-1- oder RAID-10-Konfiguration bei den Schreibzugriffen unterlegen, insbesondere dort, wo der Controller für die Festplatten die Berechnung der Parität nicht mit beinhaltet. An dieser Stelle wäre dann die CPU des Servers gefordert, was oft höhere Latenzen beim Schreiben bewirkt. Welche RAID-Konfiguration Sie wählen, hängt natürlich auch davon ab, welche Hardware Ihnen zur Verfügung steht. In den meisten kleineren Firmen ist bei einer Beschränkung der E-Mail-Größe die Konfiguration von RAID 1 für die Transaktions-Log-Dateien durchaus ausreichend. Eine generelle Empfehlung abzugeben, fällt jedoch schwer. Das Exchange-Team stellt dazu einige Planungshilfen zur Verfügung. Einen guten Einstieg erhalten Sie unter „A few basic concepts in disk sizing“ unter: http://msexchangeteam.com/archive/2004/10/11/240868.aspx Weitere Schlussfolgerungen können Sie aus „Some more thoughts on disk IO and calculations …“ ziehen: http://msexchangeteam.com/archive/2004/11/03/251743.aspx Erfahren Sie mehr zur einfachen Exchange-Organisation auf folgender Webseite: http://technet.microsoft.com/de-de/library/aa998891(EXCHG.80).aspx
8.1.2
Die Standard Exchange Server-Organisationen
Eine Standard Exchange Server-Organisation zeichnet sich durch die verteilte Installation der Exchange Server 2007-Serverrollen aus. Dabei beschränkt sich die Bereitstellung der Exchange-Dienste auf weniger als vier Standorte, und nur einer der Standorte stellt die Verbindung zum Internet zur Verfügung. Somit wird die externe E-Mail-Übermittlung zentral gesteuert. Dies ist sicherlich eine der häufigsten Exchange Server-Organisationen in mittelständischen Unternehmen.
349
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
In Betrieben, die größer werden, muss auch die Infrastruktur mitwachsen. Die Datenmenge wurde gerade im E-Mail-Bereich in den letzten Jahren sehr groß. Viele Organisationen nutzen das Mail-System oftmals großzügig als Datenablage oder Archiv oder leiden unter der Last von Spam und Viren. In diesem Abschnitt wollen wir Ihnen einige Hinweise geben, wie Sie Ihre Exchange 2007Infrastruktur an die wachsende Größe Ihres Unternehmens anpassen und die damit verbundenen steigenden Anforderungen erfüllen können. Mittelgroße Betriebe und Spam In wachsenden Unternehmen besteht oft das Problem, dass wegen des größer werdenden Bekanntheitsgrades Spammer auf das Unternehmen aufmerksam werden. Dem Thema Spam-Bekämpfung haben wir ja bereits das vierte Kapitel gewidmet. In diesem Kapitel wollen wir darauf eingehen, welche Möglichkeiten Sie haben, um die Last, die Ihr Exchange Server zur Spam-Bekämpfung benötigt, zu erkennen. Außerdem möchten wir Ihnen unterstützende Hinweise geben, wie Sie die Last besser verteilen können. Zunächst sollten Sie bei der Vermutung oder der Rückmeldung von Benutzern, dass viel Spam zugestellt wird, die Tipps aus Kapitel 4, „Anti-Spam und AntiVirus“, beherzigen. Wenn Ihr Exchange Server danach noch weiterhin stark ausgelastet ist, müssen Sie, um die richtigen Maßnahmen zu ergreifen, erkennen, an welcher Stelle das Problem entsteht. Hierzu stellt Ihnen der Exchange Server verschiedene Performance-Counter zur Verfügung.
Abbildung 8.4: Performance-Monitor mit den Anti-Spam-Filterlisten
Wie Sie sehen, gibt es eine große Auswahl an Überprüfungsmöglichkeiten. Je schneller die Anzahl der überprüften Einträge ansteigt, desto höher ist auch die Anzahl der Zustellversuche und der Anti-Spam-Maßnahmen, die Ihr Exchange Server 2007 durchführt. IP-Blocklisten und IP-Blocklist-Provider sowie SenderID benötigen dabei noch relativ wenig Rechenleistung; für den InhaltsfilterAgenten wird dagegen bereits sehr viel Rechenleistung benötigt, da hier die E-Mails insgesamt überprüft werden. 350
Der Aufbau einer Exchange Server-Organisation
Überwachen Sie neben der CPU-Last und der Festplatten-Performance auch die Anti-Spam-Agenten, so erhalten Sie ein Gefühl dafür, wo viel Rechenlast benötigt wird. An dieser Stelle ist es eventuell sinnvoll, die Anti-Spam- und Anti-Virus-Maßnahmen auf einen gesonderten Server zu verlegen. Sie können dazu einen Edge-Transport-Server installieren. Eine weitere Möglichkeit besteht darin, diese Prüfungen an externe Partner zu vergeben. Microsoft selbst sowie auch weitere Partnerunternehmen bieten diese Dienste unter dem Namen „Hosted Services“ an und halten somit Spam und Viren von Ihren Servern fern. Eine Beurteilung, ab welcher Größe oder Mitarbeiterzahl sich die Inanspruchnahme der externen Dienste lohnt, kann an dieser Stelle nicht abschließend gegeben werden. Verschiedene Faktoren spielen hier eine Rolle: angefangen von der zur Verfügung stehenden Bandbreite bis zum Personal und dem Betreuungsaufwand für den zusätzlichen Server. Anbindung von Außenstellen an die Zentrale In wachsenden Strukturen einer Organisation findet oft eine räumliche Trennung statt, etwa weil am ursprünglichen Standort keine Büroräume mehr angemietet werden können oder an anderen Standorten ein Teil der Firma wegen der Nähe zu den Lieferanten besser untergebracht werden kann. Oft stellt sich an dieser Stelle die Frage, ob man für die Mitarbeiter am externen Standort einen eigenen Exchange Server 2007 betreiben muss. Einer der Vorteile ist, dass eine E-Mail an mehrere Empfänger auf den gleichen Server nur einmal übermittelt werden muss. Das wirkt sich gerade bei vielen E-Mails mit Anhängen sehr stark auf die benötigte Bandbreite aus. Ein weiterer Exchange Server kostet aber wiederum zusätzliches Geld für die Hardware und erfordert zusätzliche Datensicherung und Wartung. Nicht immer lohnt sich daher an einem neuen Standort ein eigener Server. In diesem Abschnitt wollen wir Ihnen einige Berechnungsgrößen an die Hand geben, falls Sie Outlook ohne Exchange Server an einem externen Standort betreiben wollen. Ein wichtiger Faktor ist die Bandbreite, mit der beide Standorte verbunden werden. Um die Beispiele zu vereinfachen, werden wir bei der Berechnung nur den Datenverkehr zwischen dem Exchange Server und den Clients berücksichtigen. Bitte beachten Sie, dass die verfügbare Bandbreite durch andere Faktoren erheblich geschmälert werden kann, zum Beispiel durch im Internet surfende Mitarbeiter, große Downloads oder replizierende File-Server. Je nach Größe des Standortes und der Anzahl der Mitarbeiter wollen Sie dort eventuell auch einen eigenen Active DirectoryDomänen-Controller aufstellen.
351
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Der Replikationsverkehr zwischen Domänen-Controllern ist, sofern es sich nicht um eine ISDN-Leitung handelt, beinahe vernachlässigbar klein. Bei standortübergreifenden Topologien wird außerdem mit einer Komprimierung gearbeitet. Auf die Einrichtung einer Standortanbindung mittels einer Firewall wollen wir an dieser Stelle nicht eingehen. Die Bandbreite Um Ihre Benutzer zufriedenzustellen, sollte eine E-Mail zügig ankommen. E-Mail ist keine Echtzeitkommunikation, leider wird sie aber von vielen Mitarbeitern in Unternehmen so verstanden. Die allermeisten E-Mails werden wahrscheinlich auch relativ schnell innerhalb weniger Sekunden zugestellt. E-Mails enthalten zuweilen aber auch Anhänge. Im Zeitalter der Kommunikation werden diese immer größer und nehmen Leitungskapazitäten in Anspruch. Wie lange eine E-Mail von 10 MB Größe (wir haben mit 10240 KB gerechnet) für die Übertragung benötigt, sehen Sie aus der angefügten Tabelle. Bandbreite
Dauer in Sekunden
512
160
1024
80
2048
40
8196
10
16000
5
Tabelle 8.1: E-Mail-Übertragungsraten
Angenommen, Sie haben einen externen Standort mit 50 Benutzern und einem täglichen E-Mail-Volumen von 1 GB bei 512 KB Bandbreite. Dann dauert die Übertragung der E-Mails zu den dort angeschlossenen Benutzern bereits mehr als vier Stunden. Ein weiterer Nachteil dabei ist, dass es sehr häufig zu Engpässen kommt, weil es Spitzenzeiten und weniger frequentierte Zeiten gibt. Montagmorgens, wenn viele Benutzer ihr Outlook-Programm gleichzeitig einschalten, oder gleich nach der Mittagspause sind die Leitungen wegen des vermehrten E-MailAbrufs vermutlich stärker beansprucht als am Abend. In dieser Zeit müssten Ihre Mitarbeiter dann länger auf die E-Mails warten. Im Idealfall fällt dies allerdings nicht auf. Ein anderes Beispiel wäre ein Mitarbeiter, der nach seinem Urlaub wieder an seinen Arbeitsplatz zurückkehrt. Sein Outlook-Programm wird längere Zeit benötigen, um die Offline-Datei zu synchronisieren. Leider verursacht diese Synchronisierung auch auf einem neueren Rechnermodell sehr viel Last. Selbst mit einer 16-MB-Leitung, die gerade besonders stark beworben wird, benötigt eine 10 MB große E-Mail noch mehr als fünf Sekunden. Hinzu kommt noch, dass
352
Der Aufbau einer Exchange Server-Organisation
Sie sehr oft bei höheren Bandbreiten wegen der nicht optimalen Leitungsqualität Einbußen in der Geschwindigkeit hinnehmen müssen. Häufig haben Sie nur eine tatsächliche Bandbreite von 10 Mbit/s oder weniger. Am gleichen Standort haben Sie dagegen bei einer modernen Verkabelung bereits 100 Mbit/s oder mehr zur Verfügung, was sich deutlich auf die Geschwindigkeit, mit der die E-Mails abgerufen werden, auswirkt. Zusätzlich benötigen Sie etwas Bandbreite für den Download des Offline-Adressbuches, das auf jede Outlook-Installation seit der Version 2003 automatisch heruntergeladen wird. Da meist nur die Änderungen und nicht das vollständige Adressbuch heruntergeladen werden, lässt sich auch hier Bandbreite sparen, sofern Sie einige Punkte berücksichtigen. Ein vollständiger Download auf den Client erfolgt nur in folgenden Fällen: 왘
Auf dem Client ist kein Offline-Adressbuch vorhanden.
왘
Auf dem Server fehlt ein inkrementelles Update.
왘
Auf dem Client fehlt ein inkrementelles Update.
왘
Der Download eines Updates wurde unterbrochen, und Outlook muss den Download erneut von vorne starten. Der Benutzer entschließt sich, das Adressbuch manuell vollständig herunterzuladen.
왘
Es wurde mehr als ein Achtel des vollständigen Adressbuches geändert.
Bei sehr vielen Änderungen im Active Directory an den Benutzerkonten oder an den E-Mail-Adressen werden die am externen Standort gelegenen Outlook-Clients also ein vollständiges Adressbuch herunterladen. Mehr zum Offline-Adressbuch können Sie unter „Das Offline-Adressbuch“ unter dem Link http://www.faq-o-matic.net/2005/10/12/das-offline-adressbuch-teil-1/ nachlesen. Ein vollständiger Download ist aber manchmal erwünscht. Diesen kann der Benutzer in Outlook unter EXTRAS • SENDEN UND EMPFANGEN • ADRESSBUCH HERUNTERLADEN auslösen. Die Größe des Offline-Adressbuches wird von mehreren Faktoren bestimmt. Zum einen ist das die Gesamtzahl an E-Mail-aktivierten Objekten, die Sie in Ihrem Verzeichnisdienst pflegen. Zum anderen spielen Zertifikate eine Rolle, da auch diese für die Verschlüsselung und Signierung im Adressbuch hinterlegt werden. Warum der Download des Adressbuches unter Umständen problematisch sein kann, insbesondere für nicht so gut angebundene Außenstellen, verdeutlicht das folgende Beispiel: Angenommen, Sie haben eine Zentrale mit 3000 E-Mail-aktivierten Benutzern. Am Freitag ändern Sie mehr als ein Achtel der Daten im Active Directory, sodass am Montag ein vollständiger Download des ca. 2 MB großen Offline-Adressbuches ansteht. Wenn Sie Pech haben, schalten alle Benutzer Outlook relativ
353
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
zeitgleich ein, sodass die Leitung voll ausgelastet wird. Bei einhundert Benutzern am Außenstandort summiert sich das bereits auf 200 MB, die von Outlook heruntergeladen werden müssen. Wie Sie sehen, können Sie auch durch Ihr Verhalten dazu beitragen, die Leitungskapazität zu schonen.
Abbildung 8.5: Download des Adressbuches in Outlook
Abbildung 8.6: Das Adressbuch wird von Outlook heruntergeladen.
Die Ausführungen zu einer Außenstelle ohne eigenen Exchange Server sollen Sie aber nicht davon abhalten, Ihre Server-Landschaft zentral zu betreiben. Die Vorteile wie eine zentrale Datensicherung, weniger Personalaufwand und geringere Raumkosten sprechen für sich. Auch Microsoft betreibt seine Exchange Server 2007Umgebung zentral, das heißt, die Mitarbeiter aus Unterschleißheim greifen auf einen Server in Irland zu. Ausreichende Bandbreite ist allerdings die ausschlaggebende Größe für einen reibungslosen Betrieb.
354
Der Aufbau einer Exchange Server-Organisation
Outlook ohne Cache Mode Microsoft hat für die Outlook-Versionen ab 2003 den sogenannten Cache Mode eingeführt. Das spart gegenüber früheren Versionen von Outlook erheblich an Bandbreite, da Outlook weniger häufig mit dem Server kommuniziert und deutlich weniger Daten überträgt. Zusätzlich werden die Daten ein wenig komprimiert. Outlook 2003 im Cache Mode sorgt so für eine Entlastung um fast 75 Prozent gegenüber dem Online-Modus. Außerdem werden Sie den Hinweis „Outlook ruft Daten vom Exchange Server ab“ deutlich weniger häufig erhalten, gerade bei geringer Bandbreite. Die Performance und die Datenablage auf dem Exchange Server in mittleren Unternehmen Auf einem Exchange Server 2007 können Sie bedingt durch die x64-Architektur mehr RAM einbauen. Das führt zu einer höheren Lese-Performance, weil mehr Daten im Speicher bereitstehen und nicht erst von der Festplatte gelesen werden müssen. Wie viele Benutzer Sie auf einem Server mit der Mailbox-Serverrolle unterbringen, hängt wiederum stark von der Größe der E-Mails und der Postfächer ab, die Sie in Ihrem Unternehmen zulassen. Auf einem gut ausgebauten Server mit mehr als 8 GB RAM können meist mehrere Tausend Benutzer ohne Probleme ein Postfach bekommen. Für Unternehmen mittlerer Größe sollte es möglich sein, alle Benutzer auf einem Exchange Server 2007 zu betreiben – schnelle Festplatten für die Transaktions-Log-Dateien vorausgesetzt. Das eigentliche Problem stellt sich wahrscheinlich erst bei einem Ausfall. Die Benutzer wollen möglichst schnell wieder arbeiten. Auch einem Administrator kann hin und wieder ein Fehler unterlaufen, oder ein Virus könnte die ExchangeDatenbank zerstören. Insofern sollten Sie sich Gedanken über ein Disaster-Recovery-Konzept für Ihre Exchange-Umgebung machen. Die Verfügbarkeit von Mail-Servern ist auch in kleineren und mittleren Betrieben immer wichtiger, denn oft werden Aufträge oder Bestellungen per E-Mail aufgegeben. Ein unvorhergesehener Ausfall von mehr als 30 Minuten kann dann durchaus zu einem finanziellen Schaden führen. Um diesem Problem aus dem Wege zu gehen, sollten Sie bei steigender Abhängigkeit von Ihrem Mail-Server dringend ein Disaster-Recovery-Konzept entwerfen und dieses auch üben. Der erste Schritt sollte der Weg zur Geschäftsleitung sein. Mit dieser sollte eine Verfügbarkeit der MailServer-Dienste vereinbart werden. Je niedriger die maximal tolerierbare Ausfallzeit ist, desto eher sollten Sie sich überlegen, einen Cluster einzusetzen. Die generellen Informationen, wie ein Exchange Server 2007 gesichert werden kann, entnehmen Sie bitte Kapitel 7.
355
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Wenn Sie im Notfall den Server nicht erst mühsam wieder installieren wollen, können Sie einen Stand-by-Server mit der gleichen Konfiguration wie der installierte Exchange Server bereithalten. Die Installation des Exchange Servers 2007 nehmen Sie dann einfach mit dem Befehl Setup /M:RecoverServer vor und stellen die Datenbank wieder her. Bitte beachten Sie, ausreichend Platz für die Datenbank zu haben. Ein LTO3-Bandlaufwerk kann bis zu 80 MB in der Sekunde lesen oder schreiben. Über Ihr Netzwerk werden Sie wahrscheinlich weniger schaffen. Zudem müssen Sie genau wissen, welches Backup Sie zurückspielen können bzw. müssen. Diese hierfür erforderliche Zeit müssen Sie zu der reinen Recovery-Zeit hinzurechnen. Das Recovery testen Wenn Sie wirklich wissen wollen, wie schnell Sie beim Disaster Recovery sind, sollten Sie es testen. Installieren Sie eine Testumgebung, und stellen Sie den Exchange Server dort wieder her. Das trägt wesentlich dazu bei, dass Sie im Ernstfall die Schritte kennen und auf etwaige Fallstricke vorbereitet sind. Wenn Sie in einem Unternehmen mittlerer Größe arbeiten, kann es beispielsweise der Fall sein, dass Sie nicht für alle Teile der Infrastruktur zuständig sind, die für einen reibungslosen Betrieb der Exchange 2007-Umgebung benötigt werden. In diesem Fall müssen Sie zum Beispiel auch einen engen Kontakt zu den Betreuern des Active Directory halten. Ein reibungsloser Betrieb des Active Directory ist unerlässlich für den Betrieb von Exchange. Erfahren Sie mehr zur Standard-Exchange-Organisation auf folgender Webseite. http://technet.microsoft.com/de-de/library/bb124367(EXCHG.80).aspx
8.1.3
Die große Exchange-Organisation
Exchange und das Active Directory Sie dürfen Ihre Exchange Server-Organisation als große Exchange Server-Organisation betreiben, wenn Sie mehr als fünf Standort haben und oder mehrere Domänen innerhalb einer Active Directory-Gesamtstruktur. In größeren Umgebungen wird oft die Abhängigkeit der Exchange 2007-Organisation vom Active Directory deutlich. Meist findet man getrennte Administrationsteams vor: Eines betreut das Active Directory, das andere die E-Mail-Infrastruktur. Ein Auge sollten Sie auch auf den Helpdesk richten, der häufig für das Einrichten von E-Mail-Konten oder das Setzen von Limits zuständig ist. Wir erklären Ihnen, wie Sie die Berechtigungen vergeben und Teilaufgaben delegieren können. In diesem Abschnitt wollen wir aber auch auf die Änderungen eingehen, die Exchange 2007 beim Routing von Nachrichten erfahren hat. 356
Der Aufbau einer Exchange Server-Organisation
Das Routen von Nachrichten Unter früheren Exchange Server-Organisationen bis einschließlich zur Version 2003 ist der Administrator des Exchange Servers zuständig für das Einrichten von Routen, welche die Nachrichten zwischen den Exchange Servern einzelner Standorte und den Routing-Gruppen nehmen. Unter Exchange 2007 müssen Sie sich auf ein völlig neues Administrationskonzept einstellen. Die Routing-Gruppen sind weggefallen. Die Verteilung der Nachrichten richtet sich nach dem Standortkonzept des Active Directory. Für Sie als Exchange 2007-Administrator bedeutet dies, dass Sie, um den Weg einer Nachricht nachvollziehen zu können, sich auch mit dem Active Directory beschäftigen müssen. Active Directory-Standorte werden im MMC-Snap-in ACTIVE DIRECTORY STANDORTE UND DIENSTE verwaltet. Nachfolgend erklären wir Ihnen, wie die Dienste zusammenspielen und wie Exchange 2007 berechnet, an welchen DomänenController die notwendigen Abfragen gerichtet werden. Öffnen Sie zunächst das bereits erwähnte Snap-in in einer Konsole. Um einen Standort neu einzurichten, wählen Sie bitte auf dem Reiter SITES mit der rechten Maustaste NEUER STANDORT aus. Geben Sie dem Standort einen aussagekräftigen Namen. Ebenfalls wichtig ist die Vergabe eines IP-Adresskreises für diesen Standort. Tragen Sie das an dem Standort anliegende Subnetz an der dafür vorgesehenen Stelle ein, und weisen Sie das Subnetz einem Standort zu. Ein Standort kann natürlich aus mehreren verschiedenen Subnetzen bestehen. Wichtig ist an dieser Stelle, alle Subnetze zu erfassen, damit sich die Clients und auch die Server der Exchange 2007-Infrastruktur am richtigen Domänen-Controller anmelden. Anmeldungen über eine schmalbandige Leitung wegen eines falsch zugewiesenen Subnetzes führen zu langen Anmeldezeiten und eventuell sogar zu Verbindungsabbrüchen. Benötige ich einen WINS-Server für meine Exchange-Infrastruktur? Diese Frage wird in Newsgroups sehr häufig gestellt. Exchange und Outlook – und davon sind auch die neuesten Versionen nicht ausgenommen – machen regen Gebrauch von Kurznamen. Wenn Sie lediglich ein Subnetz betreiben, haben Sie meist einen Master-Browser, den das aktuelle Betriebssystem an sich zieht (derzeit wäre das Windows Vista). Ein Master-Browser kann aber die Daten nicht zwischen Subnetzen austauschen, da hier kein Replikationsmechanismus eingebaut ist. Sobald Sie mehr als ein Subnetz haben, sollten Sie pro Active Directory-Standort mindestens einen Server, der für die WINS-Auflösung zuständig ist, betreiben. Der Knowledge-Base-Artikel „Exchange Server 2003 and Exchange Server 2000 require NetBIOS name resolution for full functionality“ gilt übrigens uneingeschränkt auch für Exchange Server 2007. Sie finden ihn unter der folgenden URL: http://support.microsoft.com/kb/837391/en-us
357
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Abbildung 8.7: Active Directory-Standorte und -Dienste: Hier eine Umgebung mit vier Standorten
Abbildung 8.8: Zuweisen eines IP-Adresskreises an einen Standort
358
Der Aufbau einer Exchange Server-Organisation
Die Standorte werden über sogenannte Site-Links miteinander verbunden. Diese Verbindungen enthalten immer mindestens zwei Standorte und ein Replikationsintervall, das nach dem Anlegen immer auf drei Stunden eingestellt ist; die Kosten der Verbindung sind auf den Wert 100 eingestellt. Die Kosten sollen ausdrücken, wie „teuer“ die Übertragung von Daten zwischen den in der Verbindung eingetragenen Standorten ist. In der Angabe der Höhe der Kosten sind Sie völlig frei. Sie sollten sich hier für ein für Sie geeignetes Schema entscheiden. Zum Beispiel könnten Sie Verbindungen mit einer T1-Leitung mit 10 angeben, während schwächer angebundene Standorte, zum Beispiel mit einer SDSL-Leitung mit 1024 Kbit, den Wert 300 als Kostenfaktor erhalten. Anhand der Höhe der eingetragenen Kosten wird später das Routing der Nachrichten innerhalb der Organisation bestimmt. Sollten Sie auf diesen Punkt in Ihrem Unternehmen keinen Einfluss haben, da die Erstellung der Active Directory-Standorte nicht in Ihrem Team geschieht, sollten Sie einen engen Kontakt mit der dafür zuständigen Abteilung halten. Die Kosten zwischen den Standorten haben, wie bereits erwähnt, direkten Einfluss auf das Routing der E-Mails. Die Replikationsverknüpfungen zwischen den Standorten, die unterhalb der Active Directory-Domänen-Controller angelegt werden, sind bei standortübergreifenden Domänen manuell anzulegen. Sobald Sie an einem solchen Standort einen Domänen-Controller installieren, wird dies in den sogenannten Service Records im Active Directory hinterlegt.
Abbildung 8.9: Der Service Record für einen Server im DNS
359
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Sollten Sie am Standort keinen Domänen-Controller haben, wird ein DomänenController eines benachbarten Standortes als zuständig für diesen Standort eingetragen. Der Eintrag kann jederzeit wieder gelöscht werden. Sie sollten dies tun, sobald ein Domänen-Controller an diesem Standort installiert wurde. Löschen von Domänen-Controllern Bitte beachten Sie beim Umzug an einen anderen Standort oder beim Löschen von Domänen-Controllern aus dem Active Directory, dass die SRV-Einträge im DNS erhalten bleiben. Die Clients versuchen dann fatalerweise, den nicht erreichbaren Domänen-Controller weiterhin zu kontaktieren. Die Anmeldung erfolgt immer über einen Domänen-Controller am Standort. Da dies über den DNS-Service erkannt wird, ist die Pflege der Namenserkennung in Unternehmen mit mehreren Standorten ein wichtiger Bestandteil der Administrationsaufgaben. Implementieren Sie einen Prozess, der auch die Kontrolle der Einträge im DNS-Server bei Löschung oder bei einem Umzug vorsieht. Über die Einträge in den Service Records des DNS lässt sich auch ganz gezielt steuern, an welchem Standort sich PCs anmelden sollen, die wegen ihrer geringen Anzahl eventuell ganz ohne eigenen Domänen-Controller auskommen müssen. Der globale Katalog Ebenfalls in den Standorten und Diensten des Active Directory können Sie einen Domänen-Controller zum sogenannten globalen Katalogserver machen. Die Konfiguration erfolgt unterhalb der eingetragenen Domänen-Controller in den NTDSEinstellungen. Der globale Katalogserver besitzt, vor allem in einer Umgebung mit mehreren Domänen, mehr Informationen als ein normaler Domänen-Controller. Zum Beispiel ist er für die Informationen über die Mitgliedschaft in universellen Gruppen zuständig. Universelle Gruppen können Mitglieder unterschiedlicher Domänen einer Umgebung enthalten, daher ist die Aufgabe eines globalen Katalogservers in einer Umgebung mit mehreren Domänen anspruchsvoller als in einer SingleDomänen-Umgebung. Grundsätzlich spricht bei einer Single-Domänen-Umgebung dagegen, alle Domänen-Controller zu globalen Katalogen zu machen. Bei einer Umgebung mit mehreren Domänen hingegen sieht dies anders aus. Hier müssen Sie beachten, dass der Domänen-Controller mit der sogenannten Infrastruktur-Masterrolle kein globaler Katalogserver wird.
360
Der Aufbau einer Exchange Server-Organisation
Abbildung 8.10: An dieser Stelle bestimmen Sie, ob ein Domänen-Controller globaler Katalogserver wird.
Der Infrastruktur-Master darf kein globaler Katalogserver sein Die Ursache liegt darin begründet, dass bei Objekten mit Mitgliedschaften in Gruppen vertrauenswürdiger Domänen sogenannte Phantom-Objekte auf einem Domänen-Controller gespeichert werden, sofern es sich bei diesem nicht um einen globalen Katalog handelt. In einem globalen Katalogserver sind noch mehr Eigenschaften der Objekte vertrauenswürdiger Domänen gespeichert, welche die Speicherung von Phantom-Objekten überflüssig machen. Diese Phantom-Objekte enthalten zum Beispiel die GUID des Benutzers, nach der er im Active Directory aufgelöst werden kann. Die Bereinigung der PhantomObjekte findet in einem Forest mit mehreren vertrauenswürdigen Domänen (Child-Domänen) durch den Infrastruktur-Master statt. Ist der InfrastrukturMaster nur ein globaler Katalogserver, können die Phantom-Objekte nicht bereinigt oder gelöscht werden, da diese dort wegen des globalen Katalogs nicht vorhanden sind. Machen Sie also in Forests mit mehr als einer Domäne niemals den Infrastruktur-Master zu einem globalen Katalog! Aufgrund der domänenübergreifenden Speicherung, die viele von Exchange benötigte Daten wie zum Beispiel die SMTP-Adressen (SMTP-Adressen dürfen
361
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
nur einmal pro Domäne vorkommen!) enthält, verwendet Exchange bereits seit der Version Exchange Server 2000 intensiv globale Katalogserver. Die Auswahl, welcher Server an welchem Standort verwendet wird, erfolgt dabei nach einem komplizierten Punkteschema, das im Microsoft-Team-Blog (Exchange Server 2003 Service Pack 2 DSProxy Referral Process Changes) einmal beschrieben wurde. Sie können es unter folgendem Link nachlesen: http://msexchangeteam.com/archive/2005/11/04/413669.aspx Nach diesem Schema können Sie auswählen, aus welcher Domäne Sie am besten einen globalen Katalog am Standort bereitstellen. Generell sollten an einem Standort mit einer Exchange 2007-Rolle mindestens zwei globale Katalogserver vorhanden sein, damit kein unnötiger Datenverkehr über WLAN-Leitungen (engl.: Wireless Local Area Network, also kabelloses lokales Netzwerk) entsteht, falls einer der Domänen-Controller-Server ausfällt. Wie kommen die Nachrichten von einem Standort an den anderen? Beim Routen der Nachrichten an den Exchange Server innerhalb Ihrer Organisation richtet sich der Exchange Server 2007 nach den Kosten, die innerhalb der Standort-Replikationsverknüpfungen angegeben sind. Wenn Sie wie unten gezeigt drei Standorte haben und die Verbindung zwischen den Standorten A und B sowie A und C mit Kosten von 10 belegen, die Verbindung zwischen Standort B und C jedoch mit Kosten von 50, dann werden – solange die Verbindung zwischen den Standorten besteht – die Nachrichten nicht direkt von B nach C versendet, sondern über A. Diese Strecke ist dann laut den Eintragungen im Active Directory billiger, denn 10 + 10 ergibt ja nur 20. Voraussetzung ist allerdings, dass an jedem Standort ein Server mit der Rolle Hub-Transport eingesetzt wird.
Abbildung 8.11: Eine mögliche Standortkonfiguration im Active Directory mit den zugehörigen Kosten
362
Der Aufbau einer Exchange Server-Organisation
Unter Umständen, zum Beispiel wenn die Betreuung des Active Directory nicht durch Sie selbst erfolgt, erhalten Sie keine Informationen zu den Kosten. Sie werden sich dann sehr wahrscheinlich wundern, wenn Sie im Nachrichten-Tracking feststellen, dass die Nachrichten einen Umweg gehen. Soll das nicht so sein, müssen Sie sich mit dem Active Directory-Team auseinandersetzen; möglicherweise gibt es von deren Seite aus zwingende Gründe, die Topologie so zu bauen. Wenn Sie am Standort A die meisten Postfächer haben, ist dieses Verhalten vielleicht sogar sinnvoll. Die Nachrichten würden dann sternförmig immer über Standort A geroutet. Erst dort würde ein Aufsplitten erfolgen, und die E-Mails würden nach dem günstigsten Routing weitergeleitet werden. Vergabe von Berechtigungen innerhalb der Exchange 2007-Organisation In größeren Organisationen werden meist Spezialisten für spezielle Aufgaben benötigt. Das Active Directory und Exchange 2007-Organisationen unterstützen die Verteilung von Berechtigungen über Rollen. Denkbar wäre zum Beispiel, die Überwachung der SMTP-Warteschlange an einen Spezialisten zu delegieren. Dieser benötigt dann keine vollständigen Administratorrechte, sondern lediglich die Berechtigung, die SMTP-Warteschlange auszulesen. Einige Rollen sind bereits vorhanden, für andere speziellere Aufgaben müssen Sie eventuell zunächst eine Gruppe erstellen. Die einfachsten Berechtigungsvergaben bietet die Exchange Management-Konsole. Die Berechtigungen werden organisationsweit vergeben, dementsprechend finden Sie den dazugehörigen Assistenten unter ORGANISATIONSKONFIGURATION. Fügen Sie einfach einen Benutzer oder eine Active Directory-Gruppe einer eingebauten Rolle hinzu, wenn Sie den Assistenten gestartet haben. Diesen finden Sie auf der rechten Seite der Exchange Management-Konsole unter „ExchangeAdministrator hinzufügen“.
Abbildung 8.12: Zu Beginn vorhandene Rollen
Um einem Benutzer das Auslesen der Warteschlange zu ermöglichen, benötigt er View-only-Berechtigungen.
363
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Abbildung 8.13: Erteilen von Leserechten in der Organisation
Auch in der nächsten Version des Exchange Servers werden öffentliche Ordner von Microsoft noch unterstützt. Eventuell wollen Sie gezielt diese Aufgabe an einen Mitarbeiter abgeben. Auch diese Aufgabe ist über den vorhandenen Assistenten leicht delegierbar. Geben Sie dazu dem Benutzer die Berechtigung, öffentliche Ordner zu administrieren.
Abbildung 8.14: Das Verwalten öffentlicher Ordner kann delegiert werden.
364
Der Aufbau einer Exchange Server-Organisation
Nachdem die administrativen Gruppen unter Exchange 2007 weggefallen sind (aus Kompatibilitätsgründen gibt es noch die „Exchange 12 rocks-Gruppe“), müssen Sie administrative Exchange-Berechtigungen für Server auf ServerEbene zuweisen. Der Benutzer hat dann auch nur auf dem ihm zugewiesenen Server Exchange-Administratorberechtigungen. Sollten Sie in einem Standort sehr viele Server haben, bietet es sich natürlich an, die Berechtigungen einmal an eine Gruppe zu delegieren und später die Benutzer nur dieser Gruppe hinzuzufügen. „Ich bin schon in einer Gruppe, es funktioniert aber nicht!“ Diese Aussage kann man sehr oft hören im IT-Bereich. Der Grund dafür ist, dass Berechtigungen aus dem Kerberos-Ticket entnommen werden, das der Benutzer bei der Anmeldung erhalten hat. Dieses Ticket wird aber nicht online neu geschrieben, falls eine Gruppenmitgliedschaft geändert wird. Die Änderung erfolgt nur bei einer Neuanmeldung am Rechner. Wenn Sie sicher sind, dass Sie sich am gleichen Domänen-Controller bzw. am gleichen Standort anmelden, an dem auch die Änderungen durchgeführt wurden, dann sollte es nach einer Neuanmeldung klappen. Aber: Auch innerhalb eines Standortes dauert es bis zu 15 Sekunden für die Replikation zwischen den Domänen-Controllern. Auf einem schnellen Rechner ist man oft schon wieder angemeldet, ehe die Änderung auf dem richtigen Domänen-Controller angekommen ist. In größeren Unternehmen mit mehreren Standorten kann die Replikation der Gruppenmitgliedschaften ebenfalls etwas Zeit in Anspruch nehmen. Möglicherweise gibt es auch keinen direkten Datenaustausch, dann müssen Sie eventuell auch einmal länger warten. Beim längsten uns bekannten Fall hat es mehr als 24 Stunden gedauert, bis ein global operierendes Unternehmen die Änderungen in einen Domänen-Controller in Deutschland eingetragen hatte. Der Benutzer befand sich aber in Hongkong, und die Replikation lief über die USA über verschiedene Standorte. Sehr wichtig, da sehr arbeitsintensiv, ist die Administratorrolle für die Verwaltung der Mailboxen. Diese Rolle kann durch Auswählen des Punktes EXCHANGE-EMPFÄNGERADMINISTRATOR-ROLLE an andere Benutzer weitergegeben werden. Sie kann allerdings nicht nur die Exchange-Mailbox verwalten, sondern auch alle anderen Empfänger wie Kontakte oder Verteilerlisten.
365
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Abbildung 8.15: Zuweisen von Exchange-Administratorberechtigungen auf einzelnen Servern
Versteckte Verteilerlisten Verteilerlisten sind grundsätzlich nichts anderes als Gruppen mit einer E-MailAdresse. Verteilerlisten und andere Empfänger können aus dem globalen Adressbuch ausgeblendet werden. Versteckte Verteilerlisten haben im Active Directory das sogenannte Hidden-Attribut. Leider können diese Listen durch den Exchange Server nicht mehr bearbeitet werden. Es kann also unter Umständen passieren, dass die Liste keine E-Mail-Adresse automatisch zugewiesen bekommt oder beim Senden von E-Mails an diese von Outlook aus nicht auflösbar ist.
366
Der Aufbau einer Exchange Server-Organisation
Abbildung 8.16: Lassen Sie die Mailboxen, Verteilerlisten und Kontakte durch andere Mitarbeiter verwalten.
Anstatt weitere Gruppen oder Berechtigungen über den Assistenten zu vergeben, kann auch die Mitgliedschaft in einer der vorhandenen Gruppen genutzt werden. Diese Gruppen finden Sie im Active Directory unter MICROSOFT EXCHANGE SECURITY GROUPS im Stamm der Domäne. In diese Gruppen können Sie (beispielsweise bei standortübergreifenden Berechtigungskonzepten) auch verschiedene Gruppen aufnehmen und diese verschachteln. Vergabe von Berechtigungen Wir empfehlen Ihnen sehr, die vorhandenen Gruppen zu benutzen. Eine Vergabe von Einzelberechtigungen führt früher oder später zu einer unübersichtlichen Verwaltung. Zudem ist es einfacher, einen Benutzer aus vorhandenen Gruppen zu löschen, anstatt diejenigen Bereiche zu suchen, für die er Rechte besitzt. Dieses Vorgehen vereinfacht die Administration und schafft Transparenz in der IT-Abteilung.
367
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
Abbildung 8.17: Die Exchange Server 2007-Sicherheitsgruppen im Active Directory
Erfahren Sie mehr über die große Exchange Server-Organisation auf folgender Webseite. http://technet.microsoft.com/de-de/library/bb123567(EXCHG.80).aspx
8.1.4
Die komplexe Exchange Server-Organisation
Wenn Sie Exchange Administrator eines weltweit agierenden Unternehmens sind und mehrere Tausende von Postfächern in mehr als einer Active DirectoryGesamtstruktur und in mehr als einer Exchange Server-Organisation verwalten, betreiben Sie eine komplexe Exchange Server-Organisation aus Sicht von Microsoft. Aber auch schon kleinere Unternehmen mit einer Ressourcengesamtstruktur fallen unter die Bezeichnung komplexe Exchange Server-Organisation. Die Ressourcengesamtstruktur Bei einer Ressourcengesamtstruktur betreiben Sie zwei oder mehrere getrennte Active Directory-Gesamtstrukturen, in der nur eine die Exchange-Dienste bereitstellt. Alle anderen Active Directory-Gesamtstrukturen haben keinen Exchange Server installiert und auch keine Erweiterung des Schemas, der Domäne und der Gesamtstruktur erfahren. Diese Gesamtstrukturen und ihre Domänen (Benutzerdomänen) stellen die Benutzerkonten zur Verfügung, mit denen Ihrer Benutzer
368
Der Aufbau einer Exchange Server-Organisation
täglich arbeiten und in der ihren Netzwerkressourcen wie Drucker, Daten und andere Applikationen bereitgestellt werden. Die Ressourcengesamtstruktur ist in der Regel eine Gesamtstruktur mit einer Domäne, die über die Schema-, Domänen- und Gesamtstrukturerweiterung für die Installation des Exchange Server 2007 vorbereitet wurde. In dieser Domäne befinden sich die Exchange Server sowie Benutzerkonten mit aktivierten Postfächern, die eine Referenz der Benutzerkonten in den anderen Benutzerdomänen darstellen. Synchronisieren der Benutzerkonten Bei einer solchen Konstellation mit einer dedizierten Exchange-Gesamtstruktur stehen Sie natürlich vor der Aufgabe, alle Ihre Benutzerkonten aus den Benutzerdomänen in der Exchange-Domäne abzubilden und auch aktuell zu halten. Jetzt können Sie natürlich jedes Benutzerkonto per Hand in der Benutzerdomäne erstellen und konfigurieren. Diese Einstellungen müssen Sie dann in der Exchange-Domäne wiederholen und das Benutzerkonto in der Benutzerdomäne auf das Exchange-Domänenkonto referenzieren. Stellen Sie sich aber diese Aufgabe mal bei Tausenden von Benutzerkonten vor. Bei jeder Änderung müssten die Anpassungen in beiden Domänen durchgeführt werden. Um dies zu automatisieren, stellt Microsoft Ihnen zwei bzw. drei Tools zur Verfügung. 왘
MIIS – Microsoft Identity Information Server
왘
IIFP – Identity Integration Feature Pack
왘
IORepl – Inter-Organization Replication Tool
MIIS Der MIIS ist ein Serverprodukt, das eine komplette Synchronisierung zwischen zwei solchen Gesamtstrukturen übernehmen kann und dabei die Informationen aus der Benutzerdomäne verwendet, um ein Benutzerkonto in der ExchangeDomäne zu erstellen und bei Änderungen zu aktualisieren. Weiterhin kann mit dem MIIS eine Synchronisierung zweier oder mehrerer Exchange 2007-Organisationen erreicht werden. Dieses Tool ist kostenpflichtig und nicht unbedingt als günstig einzustufen. Für sehr komplexe Organisationen kann sich der Kostenaufwand aber lohnen, da der administrative Aufwand diese Kosten übersteigen könnte. Da eine detaillierte Beschreibung des MIIS ein weiteres Buch füllen würde, möchten wir Ihnen nur einen Link zu Hand geben, um weiter Informationen und Leistungen des MIIS zu erfahren. http://technet.microsoft.com/de-de/miis/default(en-us).aspx
369
Kapitel 8 Konzepte und Überlegungen zum Aufbau einer Exchange Server-Umgebung
IIFP Das IIFP ist eine kostenlose, aber im Leistungsumfang eingeschränkte Version des MIIS. Sie können damit Ihre Benutzerinformationen zwischen der Benutzerdomäne und der Exchange-Domäne synchronisieren und auch Frei- und GebuchtZeiten unterschiedlicher Exchange Server-Organisationen abgleichen. Diese gilt aber wiederum nur für reine Exchange 2007-Organisationen bzw. Organisationen, in denen keine Outlook-Versionen älter als Outlook 2007 verwendet werden. Dies liegt daran, dass bei älteren Outlook-Versionen die Frei- und Gebucht-Zeiten von Outlook in öffentliche Ordner veröffentlicht werden und diese öffentlichen Ordner dann zwischen den Exchange Server-Organisationen synchronisiert werden müssen. Diesen Vorgang kann das IIFP leider nicht ausführen. Erfahren Sie mehr über das IIFP auf der folgenden Webseite. http://www.microsoft.com/downloads/details.aspx?FamilyID=d9143610c04d-41c4-b7ea-6f56819769d5&displaylang=en IORepl Dieses Tool stand schon unter den Vorgängerversionen des Exchange Server 2007 zur Verfügung und ist für die Replikation öffentlicher Ordner zwischen ExchangeGesamtstrukturen zuständig. Da bei einer reinen Exchange Server 2007-Organisation mit nur Outlook 2007-Clients keine öffentlichen Ordner mehr für die Veröffentlichung der Frei- und Gebucht-Zeiten mehr benötigt werden, ist dieses Tool in einer solchen Organisation nicht mehr notwendig. Sollten Sie aber wie oben schon beschrieben ältere Outlook-Versionen einsetzen und daher öffentliche Ordner für die Veröffentlichung der Frei- und Gebucht-Zeiten verwenden oder aber zwischen einer Exchange 2003-Organisation und einer Exchange 2007-Organisation die entsprechenden Verfügbarkeitsinformationen synchronisieren wollen, ist dieses Tool weiterhin für Sie eine geeignete Lösung. Beachten Sie dabei aber die Limitierungen, die dieses Tool mit sich bringt, wenn Sie es in einer Exchange 2007Organisation einsetzen wollen. Wenn Sie das IORepl einsetzen wollen, müssen Sie beachten, dass das Tool nur auf einem Server mit Windows Server 2003 installiert werden kann. Sollten Sie das Tool auf einem Server mit Exchange Server 2007 installieren wollen, darf auf diesem Server nur die Exchange Management-Konsole installiert und die Exchange-MAPI-Clientbibliotheken müssen vorhanden sein. Dies liegt daran, dass das IORepl ein MAPI-Tool ist, das über MAPI die Verbindung zum Exchange Server aufbaut.
370
Der Aufbau einer Exchange Server-Organisation
Erfahren Sie mehr zum Tool IORepl und zu den Exchange-MAPIClientbibliotheken unter den folgenden Webseiten: IORepl: http://support.microsoft.com/kb/238573 http://www.microsoft.com/downloads/details.aspx?FamilyId=E7A951D71559-4F8F-B400-488B0C52430E&displaylang=en Exchange-MAPI-Clientbibliotheken: http://www.microsoft.com/downloads/details.aspx?FamilyID=E17E7F31079A-43A9-BFF2-0A110307611E&displaylang=en In diesem Kapitel haben Sie einen Überblick über die unterschiedlichen Exchange Server-Organisationsformen bekommen und welche weiterführenden Aufgaben damit verbunden sind. Nutzen Sie die Links zu weiterführenden Informationen in diesem Kapitel für die Exchange Server-Organisation, die Sie administrieren.
371
9
Serverkonzeption und Dimensionierung
In diesem Kapitel beschäftigen wir uns mit dem aus unserer Sicht wichtigsten Teil der Änderungen innerhalb von Exchange Server 2007. Die Tatsache, dass ein gut geplanter und ausreichend dimensionierter Server Ihnen und Ihren Anwendern das Arbeiten mit und auf den Servern angenehmer macht und somit zu einer höheren Akzeptanz führt, sollten Sie bei jeder Einführung neuer Hardware und Technologien berücksichtigen. Wie wir schon mehrfach in diesem Buch erwähnt haben, ist die Verfügbarkeit der 64-Bit-Technologie für den Exchange Server 2007 eine wichtige Verbesserung und sorgt für deutliche Leistungssteigerungen. Um dies zu verdeutlichen, wollen wir vorab noch einmal auf die Limitierungen der 32-Bit-Technologie eingehen, damit Ihnen deutlich wird, inwieweit die Umstellung auf die 64-Bit-Technologie Auswirkungen auf alle Komponenten von Exchange Server hat.
9.1
Was macht den Exchange Server langsam?
Um zu verstehen, welche Komponenten auf die Performance eines Exchange Servers Einfluss haben, betrachten wir die folgenden Komponenten und erläutern deren Zusammenspiel am Beispiel „Informationsverarbeitung“ (z.B. dem Eintreffen einer E-Mailnachricht): 왘
Speicher (RAM)
왘
Festplatte
왘
CPU
373
Kapitel 9 Serverkonzeption und Dimensionierung
Das folgende Beispiel zur Informationsverarbeitung ist stark vereinfacht. Es soll verdeutlichen, dass auf die drei genannten Komponenten großer Wert bei der Dimensionierung gelegt werden sollte, da jede dieser Komponenten für einen Engpass (engl.: bottleneck) in der Verarbeitung der Informationen verantwortlich sein kann. Je besser die Komponenten aufeinander abgestimmt und für ihre entsprechende Aufgabe konzipiert sind, desto performanter wird der Server arbeiten. Beispiel „Informationsverarbeitung“ Speicher (RAM): Im Speicher (RAM) wird die Information festgehalten, dass eine neue Nachricht für ein Postfach eingetroffen ist. Je größer die E-Mail ist, desto mehr Speicher wird benötigt, um alle Informationen schnell verarbeiten zu können. Festplatte: Nachdem die Informationen im Speicher festgehalten wurden, werden diese als Transaktionsprotokoll auf die Festplatte geschrieben und später in die Exchange-Datenbank. Der Zugriff auf die Festplatte stellt im Vergleich zum Speicher (RAM) eine sehr langsame Art von Zugriff dar. Je höher die Schreib-/ Lesevorgänge (engl.: Input/Output, I/O) sind, desto langsamer antwortet der Exchange Server. CPU: Mit der Geschwindigkeit der CPU des Rechners wird die Information verarbeitet und verändert. Mit diesen Informationen könnten wir schlussfolgern dass: 왘
Je mehr RAM Sie haben, desto mehr Informationen können Sie innerhalb sehr kurzer Zugriffszeiten abrufen.
왘
Je schneller Ihre Festplatten sind, desto schneller kann der Server die Informationen in den Speicher laden.
왘
Je schneller die CPU ist, desto schneller erfolgen die Berechnungen.
Im Grunde stimmt dies – aber auch hier gibt es einige Einschränkungen hinsichtlich der möglichen Speicherverwaltung, der Kosten und der Hardware. Betrachten wir zunächst einmal die Speicherverwaltung.
374
Was macht den Exchange Server langsam?
Speicherverwaltung unter einem 32-Bit-System Bei einem 32-Bit-Prozessor und einer 32-Bit-Anwendung, die der Exchange Server 2003 darstellt, ist es nicht möglich, mehr als 4 GB RAM zu adressieren. Somit stellt es keinen Gewinn dar, mehr als 4 GB in einen Server mit einem 32-Bit-Prozessor, einem 32-Bit-Betriebssystem und einer 32-Bit-Anwendung einzubauen. Ein 32-Bit-Prozessor stellt 32 Bits zur Verfügung, die Adressen beinhalten können. Somit bestehen 232 mögliche Werte, sodass also ein maximal adressierbarer Bereich von 4 GB (232 bytes = 4.294.967.296 bytes = 4 GB) zustande kommt. Unter dem Betriebssystem Windows Server wird der Speicherbereich je zur Hälfte auf das Betriebssystem (Kernel-Mode-Speicher) und die Applikationen (User-Mode-Speicher) aufgeteilt. Daraus ergibt sich ein adressierbarer Speicherbereich für Exchange Server von 2 GB. Ab Windows Server 2003 steht Ihnen der /3GB-Schalter in der Datei Boot.ini zur Verfügung. Mit diesem Schalter wird die Aufteilung des Speichers zwischen Betriebssystem und Anwendungen auf das Verhältnis 1:3 verändert. Das bedeutet, dass das Betriebssystem nur noch 1 GB des verfügbaren RAM verwendet und daher 3 GB der Anwendung zur Verfügung stehenDies ist wiederum nur möglich mit Anwendungen, die diesen /3GB Schalter unterstützen und der Exchange Server 2003 ist so eine Anwendung. Weitere Informationen zum /3GB-Schalter und zur Speicherverwaltung unter Exchange Server 2003 finden Sie unter folgenden Adressen: http://support.microsoft.com/kb/823440 http://support.microsoft.com/kb/815372 http://msexchangeteam.com/archive/2005/12/07/415733.aspx Weitere Informationen zum Thema Kernel-Mode und User-Mode finden Sie unter der Adresse: http://en.wikipedia.org/wiki/Kernel_mode#Supervisor_mode Speicherverwaltung unter einem 64-Bit-System Mit einem 64-Bit-Prozessor, einem 64-Bit-Betriebssystem sowie einer 64-BitAnwendung (Exchange Server 2007) stehen Ihnen theoretisch für den RAMSpeicher bis zu 16 EB (Exabyte) (264 Bytes = 18.446.744.073.709.551.616 Bytes = 16 EB) zur Verfügung. Die aktuelle 64-Bit-Version von Windows Server 2003 verwendet 44-Bit-Adressbereiche, was eine maximale RAM-Adressierung von 16 TB
375
Kapitel 9 Serverkonzeption und Dimensionierung
(244 Bytes = 17.592.186.044.416 Bytes = 16 TB) ermöglicht. Somit stehen bei einer 50:50-Aufteilung 8 TB Kernel-Mode-Speicher und 8 TB User-Mode-Speicher zur Verfügung. Durch diese Erhöhung auf mögliche 8 TB an Daten im Speicher reduzieren Sie die Notwendigkeit von Schreib- und Lesevorgängen auf die Festplatte. Auswirkungen auf die Festplatten Da wir jetzt bei einem 64-Bit-System nicht mehr so hohe Anforderungen an die große Anzahl an I/O-Operationen auf die Festplatten haben, können wir somit größere Datenmengen auf den Festplatten ablegen, um die Einsparungen sinnvoll zu nutzen. Daraus ergibt sich im Vergleich zwischen einem Exchange Server 2003 und einem Exchange Server 2007 die Möglichkeit, entweder mehr Postfächer auf einem Server zu pflegen oder die Postfachgröße pro Benutzer zu erhöhen. CPU Microsoft hat festgestellt, dass die Verwendung von Multi-Core-Prozessoren die beste Leistungssteigerung für auf Exchange Server darstellt. Sie finden dazu in englischer Sprache eine Untersuchung für den Exchange Server 2003 unter der Internetadresse: http://technet.microsoft.com/de-de/library/cc507123(en-us).aspx Eine Untersuchung für Exchange Server 2007 ist noch in Arbeit. Bei der Auswahl von Multi-Core-Prozessoren spielt das Preis-Leistungs-Verhältnis eine große Rolle. Welche Prozessoren Sie für welche Serverrolle verwenden sollten, sagen wir Ihnen später in diesem Kapitel. Mehr Informationen zur Auswirkung eines 64-Bit-Betriebssystems und die Reduzierung der I/Os sowie der CPU-Last finden Sie unter folgendem Link: http://msexchangeteam.com/archive/2006/09/08/428860.aspx Nachdem wir nun einen kleinen Ausflug in den Bereich der wichtigsten Komponenten gemacht haben, ist es jetzt an der Reihe zu erfahren, welche der Komponenten für welche Serverrolle geeignet istum eine ausreichende Performance zur Verfügung stellen. Leider müssen wir dabei ganz klar darauf hinweisen, dass es hierfür keinen 100%tige Aussage geben kann, da jede Exchange Umgebung Ihrer eigene Anforderung hat. Es liegt an Ihnen als Administrator, die Anforderungen Ihrer Umgebung aufzunehmen. Mit den Ergebnissen können Sie dann die Auswahl der Komponenten für Ihren Server treffen. Microsoft stellt dafür Rahmenparameter zur Verfügung, anhand derer Sie Ihre Parameter vergleichen können.
376
Was macht den Exchange Server langsam?
9.1.1
Das Benutzerprofil
Bei dem Benutzerprofil handelt es sich um die Einschätzung, wie ein Benutzer über Outlook mit Exchange Server 2007 arbeitet. Anhand dieses Profils können Sie Berechnungen anstellen, wie Ihr Server ausgelegt werden sollte. Um eine große Anzahl an Benutzern zu berücksichtigen, hat Microsoft vier unterschiedliche Benutzerprofile als Beispiel veröffentlicht. Verwenden Sie diese Benutzerprofile als Basis für Ihre Berechnungen. Anzahl der gesendeten/empfangenen Nachrichten Benutzerprofil pro Tag von ca. 50 kB Größe pro Nachricht Niedrig
5 gesendet / 20 empfangen
Mittel
10 gesendet / 40 empfangen
Hoch
20 gesendet / 80 empfangen
Sehr hoch
30 gesendet / 120 empfangen
Tabelle 9.1: Benutzerprofile zur Berechnung der Serverdimensionierung
Solche Beispielprofile sind recht nett, aber nutzen Ihnen als Administrator wenig, wenn Sie nicht wissen, wie Sie Ihre Benutzer bewerten sollen. Um dies zu tun steht, Ihnen mit dem Systemmonitor ein Werkzeug zur Verfügung, welches Ihnen eine solche Auswertung erlaubt. Sollten Sie kein E-Mail-Programm von Microsoft wie zum Beispiel Exchange Server 2000 oder 2003 verwenden, überprüfen Sie, ob eine ähnliche Auswertung über das von Ihnen verwendete Programm möglich ist. Der Systemmonitor ist zwar kein Tool des Exchange Servers, aber der Exchange Server liefert dem Systemmonitor Leistungsindikatoren, um die Daten zu sammeln. Weitere Hilfe bei der Analyse Ihrer Benutzerprofile gibt Ihnen der Microsoft Exchange Server Profil Analyzer. Das Tool finden Sie unter: http://www.microsoft.com/downloads/details.aspx?familyid=C009C0499F4C-4519-A389-69C281B2ABDA&displaylang=en Informationen zum Tool finden Sie auf dem Exchange-Team-Blog unter: http://msexchangeteam.com/archive/2005/12/27/416524.aspx
377
Kapitel 9 Serverkonzeption und Dimensionierung
Systemmonitor Der Systemmonitor ist auf jedem Windows Server 2003 verfügbar und wird bei der Installation mit installiert. Um an die Information zu gelangen, wie viele E-Mails Ihre Benutzer in der Regel pro Tag versenden und empfangen, öffnen Sie den Systemmonitor und erstellen eine Sammlung der eingehenden und ausgehenden E-Mails auf Ihrem Server. Lassen Sie diese Sammlung über einen Zeitraum von etwa 24 bis 48 Stunden laufen und analysieren Sie dann die Daten. 1. Öffnen Sie den Systemmonitor über START • VERWALTUNG • LEISTUNG.
Abbildung 9.1: Aufrufen des Tools Perfmon
2. Nachdem der Systemmonitor gestartet ist, wechseln Sie auf den Ordner Leistungsindikatorprotokolle und klicken Sie mit der rechten Maustaste auf diesen Ordner.
378
Was macht den Exchange Server langsam?
Abbildung 9.2: Einrichten eine neuen Protokolleinstellung
3. Wählen Sie NEUE PROTOKOLLEINSTELLUNGEN und vergeben Sie einen Namen für die neue Einstellung, z.B. SMTP-BENUTZERPROFIL. Klicken Sie auf OK, um den Namen zu übernehmen. 4. Es öffnet sich das Fenster der neuen Protokolleinstellung mit der Bezeichnung SMTP-BENUTZERPROFIL. 5. Klicken Sie auf INDIKATOREN HINZUFÜGEN und wählen Sie als Leistungsobjekt MSEXCHANGE TRANSPORT SMTPSEND aus. 6. Wählen Sie unter LEISTUNGSINDIKATOREN WÄHLEN den Punkt GESENDETE NACHRICHTEN GESAMT. 7. Wählen Sie als Instanz _TOTAL.
Klicken Sie auf ERKLÄRUNG, um sich eine Erklärung für den jeweiligen Leistungsindikator anzeigen zu lassen.
379
Kapitel 9 Serverkonzeption und Dimensionierung
Abbildung 9.3: Leistungsindikatoren zur Ermittlung von Benutzerprofilen
8. Klicken Sie auf HINZUFÜGEN. Wiederholen Sie diese Schritte für das Leistungsobjekt MSEXCHANGE TRANSPORT SMTPRECEIVE und fügen Sie dort den Leistungsindikator EMPFANGENE NACHRICHTEN GESAMT hinzu. 9. Nach dem Hinzufügen klicken Sie im Fenster LEISTUNGSINDIKATOREN HINZUFÜGEN auf SCHLIESSEN. Um die durchschnittliche Größe einer gesendeten/empfangenen Nachricht zu ermitteln, können Sie noch den Leistungsindikator DURCHSCHNITTLICHE ANZAHL BYTES/NACHRICHT unter den Leistungsobjekten MSEXCHANGE TRANSPORT SMTPSEND und DURCHSCHNITTLICHE ANZAHL BYTES/NACHRICHT MSEXCHANGE TRANSPORT SMTPRECEIVE hinzufügen. 10.Auf der Registerkarte ALLGEMEIN können Sie das Intervall der Protokollierung angeben und ein Benutzerkonto wählen, falls das angemeldete Konto nicht über die erforderlichen Berechtigungen verfügt.
380
Was macht den Exchange Server langsam?
Abbildung 9.4: Eigenschaften der Protokolleinstellung
11. Auf der Registerkarte PROTOKOLLDATEIEN können Sie noch den Typ der Protokolldatei ändern sowie den Pfad, unter dem die Datei gespeichert werden soll. 12. Wechseln Sie auf die Registerkarte ZEITPLAN und geben Sie ein Zeitfenster an, während dessen die Daten gesammelt werden sollen.
Abbildung 9.5: Zeitplan der Protokolleinstellung
381
Kapitel 9 Serverkonzeption und Dimensionierung
13.Klicken Sie auf OK, um die Einstellungen zu übernehmen. Sollten Sie ein Warnung angezeigt bekommen, die Sie darauf hinweist, dass der Ordner, in dem die Protokolldatei erstellt werden soll, nicht existiert, so klicken Sie auf JA, um den Ordner zu erstellen.
Das Ausführen des Systemmonitors benötigt Systemressourcen. Beachten Sie dies bitte bei der Ausführung auf stark ausgelasteten Servern. 14.Nachdem die Datensammlung abgeschlossen ist, öffnen Sie wieder den Systemmonitor. Klicken das Symbol für PROTOKOLLDATEI ANZEIGEN an oder verwenden Sie das Tastenkürzel ((Strg)+(L)). 15.Wählen Sie im Fenster EIGENSCHAFTEN DES SYSTEMMONITORS den Punkt HINZUFÜGEN und suchen Sie die Protokolldatei, die Sie erstellt haben.
Abbildung 9.6: Öffnen der Protokolldatei im Systemmonitor
16.Wechseln Sie auf die Registerkarte DATEN und klicken Sie auf HINZUFÜGEN. Wählen Sie unter LEISTUNGSOBJEKTE jeweils den Wert MSEXCHANGE TRANSPORT SMTPSEND und MSEXCHANGE TRANSPORT SMTPRECEIVE. 17.Über die jeweiligen Leistungsindikatoren sowie durch HINZUFÜGEN im Fenster LEISTUNGSINDIKATOREN HINZUFÜGEN wählen Sie die verwendeten Leistungsindikatoren zur Anzeige im Protokoll aus.
382
Was macht den Exchange Server langsam?
Abbildung 9.7: Hinzufügen der Leistungsindikatoren zur Ansicht
18.Klicken Sie anschließend auf SCHLIESSEN und auf OK. 19.Wechseln Sie im Systemmonitor auf die Ansicht BERICHT.
Abbildung 9.8: Leistungsreport für die Berechnung der Benutzerprofile
In unserem Beispielreport haben wir zwei empfangene Nachrichten mit einer durchschnittlichen Größe von 20 kB pro Nachricht. Falls Ihre Datensammlung über 24 Stunden gelaufen ist, können Sie daraus ein Benutzerprofil mit der folgenden Formel errechnen.
383
Kapitel 9 Serverkonzeption und Dimensionierung
Empfangene Nachrichten pro Benutzer und pro Tag: (Empfangene Nachrichten gesamt / Anzahl der Postfächer) = Empfangene Nachrichten pro Benutzer und pro Tag Gesendete Nachrichten pro Benutzer und pro Tag: (Gesendete Nachrichten gesamt / Anzahl der Postfächer) = Gesendete Nachrichten pro Benutzer und pro Tag In einigen Unternehmen fallen diese Erhebungen der Benutzerdaten schon in den Bereich der personenbezogenen Daten. Die Erhebung bedarf dann einer Zustimmung des Betriebsrates. Vergewissern Sie sich daher vor der Datensammlung, ob Sie diese Art von Daten verwenden dürfen. Der Rechtsbeistand oder der Betriebsrat Ihrer Firma wären in diesem Fall Ihr nächster Ansprechpartner. Warum sind aber diese Benutzerprofile für Sie wichtig? Antwort: Sie bekommen anhand dieser Daten ein Gefühl dafür, wie viele E-Mails Ihr Edge-Transport- und Hub-Transport-Server verarbeiten müssen und wie groß die Datenmengen sein können, die auf Ihrem Mailbox-Server abgelegt werden könnten.
9.1.2
Dimensionierung eines Hub-Transport-Servers und eines Edge-Transport-Servers
Prozessoren Als Basis für die Anzahl der Prozessoren können Sie die folgende Tabelle verwenden. Microsoft nimmt bei 1 x- Prozessor-Core einen AMD Option 275 2.2 GHZ dual-core an. Serverrolle
Minimum
Empfohlen
Maximum
Edge-Transport
1 x Prozessor-Core
2 x Prozessor-Core
4 x Prozessor-Core
Hub-Transport
1 x Prozessor-Core
4 x Prozessor-Core
8 x Prozessor-Core
Tabelle 9.2: Prozessoren bei Edge-Transport- und Hub-Transport-Servern
Bei der Edge-Transport-Serverrolle werden Sie sehr wahrscheinlich in den meisten Fällen mit der empfohlenen Anzahl von zwei der oben genannten Prozessoren auskommen. Um die Serverrolle redundant zu gestalten, können Sie zwei
384
Was macht den Exchange Server langsam?
Edge-Transport-Server parallel betreiben und verteilen somit die Last auf beide Server. Verwenden Sie vier Prozessoren auf Ihren Edge-Transport-Servern, wenn Sie bereits wissen, dass Ihre Server eine sehr hohe Anzahl an ein- und ausgehenden E-Mails zu verarbeiten haben und Sie auf den Servern Anti-Spam- und Anti-Virus-Filter betreiben. Auch Applikationen von Drittanbietern können eine Begründung für vier Prozessoren auf einem Edge-Transport-Server sein. Für die Serverrolle Hub-Transport verwenden Sie vier Prozessoren, um mehrere Mailbox-Server mit mehreren tausend Postfächern zu betreiben. Sollten Sie auf Ihrem Hub-Transport-Server zusätzlich auch Anti-Spam- und Anti-Virus-Filter betreiben sowie Transport-Agenten (Transport-Regeln) einrichten wollen, ist dies ein Grund für acht Prozessoren. In kleinen bis mittleren Umgebungen sind aber schon ein bis zwei Prozessoren ausreichend. Speicher (RAM) Auch bei der Speichervergabe hat Microsoft eine Tabelle als Richtline zur Verfügung gestellt. Dabei richtet sich der Wert des Speichers nach der Anzahl der Cores eines Prozessors. Bei einem Dual-Core aus unserem Beispiel wären dies dann 1 GB pro Core und somit bei einem Dual-Core-Prozessor 2 GB. Serverrolle
Minimum
Empfohlen
Maximum
Edge-Transport 2 GB pro Server 1 GB pro Core / Minimum 2 GB 16 GB pro Server Hub-Transport 2 GB pro Server 1 GB pro Core / Minimum 2 GB 16 GB pro Server Tabelle 9.3: Speicher bei Edge-Transport- und Hub-Transport-Servern
Beide Serverrollen verwalten Ihren Speicher sehr effektiv und benötigen in der Regel nur die empfohlene Speicherkonfiguration von 1 GB pro Core (pro virtuellem Core). Eine Ausnahme bilden sehr lange Nachrichten-Warteschlangen. Wenn Sie in Ihrem Unternehmen sehr viele und sehr große E-Mails versenden, hat das Auswirkungen auf die Nachrichten-Warteschlangen der beiden Server. Um die Nachrichten schnell an die SMTP-Engine übergeben zu können, versuchen die Server, die Nachrichten in der Nachrichten-Warteschlange im Speicher zu halten. Dies erfordert einen Speicherbedarf von der Größe einer Nachricht plus zusätzlichen 3 kB pro Nachricht. Weiter muss etwa 1 kB pro Empfänger und pro Nachricht in der Warteschlange hinzugerechnet werden.
385
Kapitel 9 Serverkonzeption und Dimensionierung
9.1.3
Dimensionierung eines Mailbox-Servers
In diesem Abschnitt richten wir unsere Aufmerksamkeit auf den Festplattenspeicherbereich. Die meisten Performance-Probleme bei einem Mailbox-Server haben ihre Ursache in zu langsamen Festplatten. Weniger wichtig sind zu wenig RAM oder zu langsame CPUs. Zwei wichtige Punkte bei der Planung der Festplatten sind die Kapazität sowie die Performance. Bei der Planung der Kapazität sollten Sie nicht nur die Anzahl der Benutzer und das Postfachgrößenlimit berücksichtigen, sondern auch folgende Punkte: 왘
Konfiguration des serverseitigen Papierkorbes (Standard 14 Tage)
왘
Content Index (ca. 5% Overhead)
왘
Freie Bereiche in der Datenbank beim Verschieben der Datenbanken (ca. 10% Overhead)
왘
Zukünftiges Wachstum
왘
Single Instanz Store (SIS) nur noch für Dateianhänge und nicht mehr für Nachrichteninhalte
Als guter Wert gilt eine durchschnittliche Datenbankgröße von 50 GB. Die maximale Größe einer Datenbank sollte bei 100 GB liegen; bei der Verwendung von CCR etwa bei 200 GB. Diese Zahlen sollten natürlich immer an Ihren Service Level Agreements (SLAs) ausgerichtet sein. Bei der Performance kommt es auf die Lese-Schreib-Anforderungen (Input/ Output) der Festplatte an. Dabei sollten Sie zwei unterschiedliche Formen eines Exchange Servers berücksichtigen. 왘
Mit transaktionellem I/O
왘
Mit nichttransaktionellem I/O
Beim transaktionellen I/O handelt es sich um alle Lese-Schreib-Vorgänge, die durch das Lesen und Schreiben der Transaktionsprotokolle oder das Lesen und Schreiben in eine Postfachdatenbank erzeugt werden. Beim nichttransaktionellen I/O handelt es sich um Lese-Schreib-Vorgänge, die durch regelmäßig auftretende Aufgaben des Exchange Servers verursacht werden und in den meisten Fällen eine gleichbleibende I/O-Last erzeugen. Dies sind unter anderem die Online-Wartung, die Sicherung der Daten mithilfe der unterschiedlichen Sicherungsprogramme sowie Content Indexing und Message Records Management.
386
Was macht den Exchange Server langsam?
Weiterführende Informationen zu diesem Thema finden Sie unter: http://technet.microsoft.com/de-de/library/bb738147(EXCHG.80).aspx
Prozessoren Als Basis für die Anzahl der Prozessoren können Sie die folgende Tabelle verwenden. Microsoft geht bei 1 x Prozessor-Core von einem AMD Option 275 2.2 GHZ dual-core aus. Serverrolle
Minimum
Empfohlen
Maximum
Mailbox
1 x Prozessor-Core
4 x Prozessor-Core
8 x Prozessor-Core
Tabelle 9.4: Prozessoren bei Mailbox-Servern
Die Skalierung der Prozessoren bei einem Mailbox-Server richtet sich nach der Anzahl der Benutzer und den oben aufgelisteten Benutzerprofilen. Außerdem spielt es eine Rolle, ob Sie einen Mailbox-Server mit fortlaufender lokaler Replikation (LCR) verwenden, ob Sie eine Anti-Viren-Software auf dem Mailbox-Server betreiben und ob die Benutzer online mit Outlook auf den Exchange Server zugreifen oder im Cached Mode mit Outlook arbeiten. Verwenden Sie die folgende Tabelle als Richtschnur für Ihre Serverausstattung. Um den HardwareAnforderungen Ihres Unternehmens gerecht zu werden, bedarf es natürlich einer genaueren Analyse. Beispielsweise mit dem Mailbox Server Role Storage Requirements Calculator, auf den wir in diesem Kapitel noch eingehen werden. Prozessoren
Verwendung
Benutzer
1 x Prozessor-Core
Mailbox
1000 (mittel)
1 x Prozessor-Core
Mailbox mit LCR
800 (mittel)
1 x Prozessor-Core
Mailbox
500 (hoch)
Tabelle 9.5: Verhältnis der Anzahl von Prozessoren zur Anzahl der Benutzer
Beachten Sie, dass mehr als acht Prozessoren keinen wesentlichen PerformanceVorteil liefern.
387
Kapitel 9 Serverkonzeption und Dimensionierung
Speicher (RAM) Verwenden Sie die folgenden Tabellen zur Orientierung für einen Server mit der Serverrolle Mailbox. Serverrolle Minimum
Empfohlen
Maximum
Mailbox
2 GB/Server (Dies variiert mit der Anzahl der Speichergruppen) + Benutzerprofil RAM
32 GB/Server
2 GB/Server (Dies variiert mit der Anzahl der Speichergruppen.)
Tabelle 9.6: Speicher bei Mailbox-Servern
Zusätzliche RAM-Anforderung je nach Benutzerprofil. Benutzerprofil
Empfehlung zur RAM-Berechnung
Niedrig
2 GB + 2 MB pro Postfach
Mittel
2 GB + 3,5 MB pro Postfach
Hoch
2 GB + 5 MB pro Postfach
Sehr hoch
2 GB + 6,5 MB pro Postfach
Tabelle 9.7: Zusätzlicher Speicherbedarf je Benutzerprofil
Empfohlener Speicher ja nach Anzahl der Speichergruppen: Anzahl der Speichergruppen
Empfehlung für den Arbeitsspeicherausbau
1–4
2 GB
5–8
4 GB
9–12
6 GB
13–16
8 GB
17–20
10 GB
21–24
12 GB
25–28
14 GB
29–32
16 GB
33–36
18 GB
37–40
20 GB
41–44
22 GB
45–48
24 GB
49–50
26 GB
Tabelle 9.8: Speicherempfehlung je nach Anzahl der Speichergruppen
388
Was macht den Exchange Server langsam?
Um dies in einem Beispiel zu verdeutlichen, nehmen wir einen Server mit 500 Benutzern und einem durchschnittlichen Benutzerprofil (mittel) an. Die Benutzer sollen auf sechs Speichergruppen aufgeteilt sein. Daraus ergibt sich folgende Anfordeung für den Speicher (RAM): Sechs Speichergruppen = 4 GB + (500 * 3,5 MB) = 6 GB Damit Sie diese Art von Berechnungen nicht mehr durchführen müssen, hat das Exchange-Team einen Mailbox-Anforderungs-Rechner auf Basis einer ExcelTabelle erstellt. Mailbox Server Role Storage Requirements Calculator Mit dem Mailbox Server Role Storage Requirements Calculator, kurz CalcSheet, hat das Exchange-Team eine aus unserer Sicht sehr gute Hilfe geschaffen, um die Hardware-Anforderungen einer Exchange-Organisation abzubilden. Wir wollen in diesem Teil des Kapitels auf die Funktionsweise von CalcSheet eingehen.
Abbildung 9.9: Exchange Mailbox Server Role Storage Requirements Calculator
389
Kapitel 9 Serverkonzeption und Dimensionierung
Das CalcSheet ist eine Excel-Tabelle, die im Hintergrund Berechnungen durchführt. Die Berechnungen werden aus Ihren Eingaben bzw. Ihrer Auswahl im ersten Tabellenblatt berechnet und spiegeln Ihre Anforderungen an den Exchange Server 2007 mit der Serverrolle Mailbox wider. Ab der Version 13.8 von CalcSheet steht dies nur noch in der Version für Excel der Version Office 2007 zur Verfügung. Dies liegt an einzelnen Formeln, die zur Berechnung verwendet werden. Informationen und eine Download-Möglichkeit des CalcSheets finden Sie auf der Seite des Exchange-Team-Blogs unter: http://msexchangeteam.com/files/12/attachments/entry438481.aspx http://msexchangeteam.com/archive/2007/01/15/432207.aspx Leider existiert das CalcSheet nur in englischer Sprache, daher können wir Ihnen keine deutschen Abbildungen anbieten. Die Eingabe Das CalcSheet gliedert sich auf der Eingabeseite in drei notwendige Bereiche und einen optionalen Bereich. Geben Sie auf dem ersten Blatt für alle Bereiche, die einen blauen Wert haben, Ihre individuellen Anforderungen ein. Alle Bereiche, die einen roten Wert haben, können über die Dropdown-Boxen ausgewählt werden und enthalten vordefinierte Werte. Auf dem ersten Tabellenblatt Teil des CalcSheetes geben Sie die Informationen ein, die eine grundsätzliche Konfiguration des Exchange Servers 2007 betreffen. 왘
Verwendung von Exchange Server 2007 RTM oder Exchanger Server 2007 SP1
왘
Anzahl der Mailbox-Server, auf die die Postfächer verteilt werden sollen
왘
Verwendung einer fortlaufenden Replikation
왘
Verwendung des Content Index
왘
Administrative Tätigkeiten wie das Verschieben von Postfächern oder der Zeitraum für das Löschen des servergespeicherten Papierkorbes
390
Was macht den Exchange Server langsam?
Abbildung 9.10: Schritt 1: Serverkonfiguration
Sollten bestimmte Konfigurationen nicht auf Sie zutreffen (beispielsweise wenn Sie keine SCR-Konfiguration verwenden), so setzen Sie den Wert von NUMBER OF SCR TARGEST auf 0. Dies bewirkt, dass keine SCR-Konfiguration mehr bei der Berechnung berücksichtigt wird, und kann im Ergebnisblatt zu einigen nicht ausgefüllten Bereichen führen. Diese spielen dann für Ihre Konfiguration keine Rolle. Im zweiten Teil der Eingabeseite definieren Sie die Art Ihrer Benutzer. Dabei ist wieder das Benutzerprofil gemeint, welches Sie schon weiter oben kennengelernt haben. Auch definieren Sie hier, wie viele Benutzer gleichzeitig auf den Servern arbeiten. Sie können in diesem Teil bis zu drei unterschiedliche Benutzerprofile definieren.
391
Kapitel 9 Serverkonzeption und Dimensionierung
Abbildung 9.11: Schritt 2: Definieren der Benutzerprofile
Im dritten Teil des CalcSheets definieren Sie die Art der Datensicherung und die Geschwindigkeit, mit der Daten gesichert und wiederhergestellt werden. Das CalcSheet liefert Ihnen einen Vorschlag, wie Sie Ihre Datensicherung für die Mailbox-Daten staffeln können.
Abbildung 9.12: Komponenten der Sicherung und Wiederherstellung
Der vierte und optionale Teil der Eingabeseite ermöglicht es Ihnen, detailierte Informationen über die Anzahl der Transaktionsprotokolle anzugeben, die von Ihrem Exchange Server erzeugt werden. Diese Informationen können Sie leider aus keinem Teil des Exchange Servers entnehmen. Stattdessen ist eine vorherige Analyse – z.B. mit dem VBS-Skript Collectlogs“ – erforderlich. Diese Informationen, verbunden mit der Angabe Ihrer Netzwerkgeschwindigkeit, sind wichtig für die Konfiguration der fortlaufenden Replikationsmöglichkeiten (LCR, CCR oder SRC).
392
Was macht den Exchange Server langsam?
Abbildung 9.13: Anzahl der Protokolldateien für die Replikation
Das VBS-Skript Collectlogs können Sie auf der Website des Team-Blogs herunterladen. http://msexchangeteam.com/files/12/attachments/entry445789.aspx Die Ergebnisse Die Ergebnisse des CalcSheets gliedern sich in unterschiedliche Teile: Das Blatt STORAGE REQUIREMENTS RESULTS PANE gibt Ihnen einen Überblick, wie Sie Ihren Server hinsichtlich des Speichers (RAM), der Festplattenkapazität, der Anzahl der Postfächer pro Server und der Speichergruppe konfigurieren sollten, sowie zu Performance-Anforderungen an Ihre Festplatten.
393
Kapitel 9 Serverkonzeption und Dimensionierung
Abbildung 9.14: Empfehlung für die Konfiguration der Festplatten
Das Blatt LUN REQUIREMENTS RESULTS PANE liefert Ihnen einen Vorschlag, wie Sie die Aufteilung der Datenbanken, der Transaktionsprotokolle sowie der Speichergruppen vornehmen.
394
Was macht den Exchange Server langsam?
Abbildung 9.15: Datenbank und Speichergruppen
Das Blatt BACKUP REQUIREMENTS RESULTS PANE liefert Ihnen einen Vorschlag zur Konfiguration Ihrer Sicherungen.
Abbildung 9.16: Vorschlag zur Konfiguration der Sicherung
Auf dem Blatt LOG REPLICATION REQUIREMENTS RESULTS PANE finden Sie Informationen zur Konfiguration der fortlaufenden Replikation, die Sie vorher definiert haben. Auch finden sich hier Vorschläge für die Konfiguration der Netzwerkkarten und der TCP/IP-Einstellungen.
395
Kapitel 9 Serverkonzeption und Dimensionierung
Abbildung 9.17: Informationen und Anforderungen zur Replikation
Auf dem letzten Blatt VERSION CHANGES finden Sie Informationen zur Versionshistorie. Machen Sie sich mit dem CalcSheet vertraut, da es Ihnen sehr viel Arbeit hinsichtlich der Berechnung eines oder mehrerer Mailbox-Server abnehmen kann.
9.1.4
Dimensionierung eines ClientAccess-Servers
Auch für die Serverrolle ClientAccess existiert eine Tabelle mit Informationen über die Prozessor- und Speicher-Konfiguration. Da ein ClientAccess-Server die Aufgaben des Client-Zugriffs übernimmt, werden auf diesem Server keine Postfachdatenbanken zu finden sein. Ein normal ausgelasteter ClientAccess-Server wird in der Regel mit ein bis zwei Prozessoren über ausreichend Kapazität verfügen. Falls Sie aber planen, sehr viele Ihrer Clients per POP3 oder IMAP4 mit dem ClientAccess-Server Server zu verbinden, können bereits vier Prozessoren erforderlich sein. Serverrolle
Minimum
Empfohlen
Maximum
ClientAccess
1 x Prozessor-Core
4 x Prozessor-Core
4 x Prozessor-Core
Tabelle 9.9: Prozessoren eines ClientAccess-Servers
Der benötigte Speicher eines ClientAccess-Servers steigt mit der Anzahl der Benutzer, die über ihn auf ihre Postfächer zugreifen. Dabei kann man in der Regel von 1 GB pro Prozessor ausgehen. Werden viele Zugriffe über Outlook Anywhere durchgeführt, sollten Sie 2 GB pro Prozessor einplanen. Serverrolle
Minimum
Empfohlen
Maximum
ClientAccess 2 GB pro Server 1 GB pro Core / Minimum 2 GB 8 GB pro Server Tabelle 9.10: Speicher (RAM) eines ClientAccess-Servers
396
Was macht den Exchange Server langsam?
In mittleren bis sehr großen Umgebungen werden bisweilen mehrere Server installiert. Damit Sie ein Gefühl dafür bekommen, in welchem Verhältnis in so einer Umgebung die Mailbox-Server zu der notwendigen Anzahl an ClientAccess-Servern und Hub-Transport-Servern stehen, haben wir Ihnen auch hierfür eine Tabelle zusammengestellt. Relation Serverrollen
Prozessor Relation der Serverrollen
Mailbox : Hub-Transport 7 : 1 (ohne Anti-Spam bzw. Anti-Virus auf dem Hub-Transport) Mailbox : Hub-Transport 5 : 1 (mit Anti-Spam bzw. Anti-Virus auf dem Hub-Transport) Mailbox : Client Access
2:1
Exchange Server : globaler Katalogserver
4 : 1 (bei x86 Prozessoren des Global Katalog Server)
Exchange Server : globaler Katalogserver
8 : 1 (bei x64 Prozessoren des Global Katalog Server)
Tabelle 9.11: Verhältnis: Anzahl der Serverrollen zu Anzahl der Prozessoren
Beachten Sie, dass Sie pro Active Directory-Standort, in dem sich ein Mailbox-Server befindet, mindestens einen Hub-Transport-Server sowie einen ClientAccess-Server benötigen. Weitere Informationen zu diesem Thema finden Sie unter: http://technet.microsoft.com/de-de/library/bb738159(EXCHG.80).aspx
9.1.5
Dimensionierung eines Unified Messaging-Servers; Server mit mehreren Serverrollen
Die hauptsächliche Aufgabe eines Servers mit der Serverrolle Unified Messaging ist das Konvertieren der Sprachnachrichten. Die hierfür empfohlene Anzahl an Prozessoren beträgt vier. Sollten Sie in Ihrer Umgebung nur wenige Benutzer für den Dienst des Unified Messagings aktiviert haben, können auch schon ein bis zwei Prozessoren ausreichend sein. Um aber die Leistung und die Wiedergabe bei der Konvertierung sowie der Wiedergabe der Sprachnachrichten nicht zu beeinträchtigen kann es durchaus sinnvoll sein vier Prozessoren für einen Unified Messaging Server zu verwenden.
397
Kapitel 9 Serverkonzeption und Dimensionierung
Serverrolle
Minimum
Empfohlen
Maximum
Unified Messaging
1 x Prozessor-Core
4 x Prozessor-Core
4 x Prozessor-Core
Tabelle 9.12: Prozessoren für einen Unified Messaging-Server
Die Speicheranforderungen an einen Unified Messaging-Server sind im Vergleich zu den anderen Serverrollen eher gering. Daher werden Sie mit der empfohlen Menge an RAM (1 GB pro Prozessor-Core) auskommen. Serverrolle
Minimum
Empfohlen
Maximum
Unified Messaging
2 GB pro Server 1 GB pro Core / Minimum 2 GB 4 GB pro Server
Tabelle 9.13: Speicher für einen Unified Messaging-Server
In kleinen und mittleren Umgebungen wird es sicher sehr häufig vorkommen, dass Sie mehrere Serverrollen auf einer Hardware installieren. Beachten Sie dabei das die Serverrolle Edge-Transport nicht mit einer der anderen Serverrollen kombiniert werden kann und das die Cluster-Konfigurationen wie Cluster Continuos Replikation (CCR) und Single Copy Cluster (SCC) nur auf einen Server mit der einzigen Serverrolle Mailbox installiert werden können. Bei mehren Serverrollen auf einem Server sollten Sie immer die maximale Anzahl an Prozessoren und Speicher (RAM) für die einzelnen Serverrollen beachten. Die Serverrolle mit der niedrigsten maximalen Anzahl an Komponenten schreibt dann die maximale Anzahl an Prozessoren und Speicher (RAM) vor. So ist beispielsweise die maximale Anzahl an Prozessoren auf einem Server mit den Serverrollen Mailbox, Hub-Transport, ClientAccsess und Unified Messaging vier. Dies liegt daran, dass für die Serverrolle Unified Messaging eine maximale Anzahl von vier Prozessoren empfohlen wird. Folgende Tabellen zeigen nochmal die Empfehlungen für Prozessoren und Speicher (RAM) der Serverrollen inklusive eines Servers mit mehreren Serverrollen. Serverrolle
Minimum
Empfohlen
Maximum
Edge-Transport
1 x Prozessor Core
2 x Prozessor Core
4 x Prozessor Core
Hub-Transport
1 x Prozessor Core
4 x Prozessor Core
8 x Prozessor Core
Mailbox
1 x Prozessor Core
4 x Prozessor Core
8 x Prozessor Core
ClientAccess
1 x Prozessor Core
4 x Prozessor Core
4 x Prozessor Core
Unified Messaging
1 x Prozessor Core
4 x Prozessor Core
4 x Prozessor Core
Mehrere Rollen
1 x Prozessor Core
4 x Prozessor Core
4 x Prozessor Core
Tabelle 9.14: Empfehlungen für Prozessoren und Speicher in der Übersicht
398
Was macht den Exchange Server langsam?
Serverrolle
Minimum
Empfohlen
Maximum
Edge-Transport 2 GB pro Server
1 GB / Core (2 GB Minimum)
16 GB pro Server
Hub-Transport
2 GB pro Server
1 GB / Core (2 GB Minimum)
16 GB pro Server
Mailbox
2 GB pro Server 2 GB plus 2 / 3,5 / Anhängig von der 5 / 6,5 MB je nach Anzahl an Speicher- Benutzerprofil gruppen
32 GB pro Server
ClientAccess
2 GB pro Server
1 GB / Core (2 GB Minimum)
8 GB pro Server
Unified Messaging
2 GB pro Server
1 GB / Core (2 GB Minimum)
4 GB pro Server
Mehrere Rollen 2 GB pro Server 2 GB plus 2 / 3,5 / Abhängig von der 5 / 6,5 MB je nach Anzahl an Speicher- Benutzerprofil gruppen
8 GB pro Server
Tabelle 9.15: Speicherübersicht über alle Serverrollen
9.1.6
Testen der Hardware
Nachdem Sie einige Mindestanforderungen an die Hardware kennengelernt haben, sollten Sie nach Erhalt neuer Hardware diese zunächst testen. Konfigurieren Sie Ihre Umgebung in einem Testlabor und verwenden Sie die Tools, die Microsoft für solche Zwecke anbietet. 1. Exchange Server Jetstress 2. Exchange Load Generator 3. Exchange Server-Belastung und -Leistung Die Tools und weitere Informationen dazu finden Sie auf der Website: http://technet.microsoft.com/de-de/exchange/bb330849.aspx Die Tools stehen Ihnen in einer 32-Bit- sowie in einer 64-Bit-Variante zur Verfügung.
399
Kapitel 9 Serverkonzeption und Dimensionierung
Exchange Server Jetstress Verwenden Sie Jetstress, um die Performance und die Skalierbarkeit Ihres Festplattensystems zu testen. Mit Jetstress simulieren Sie I/O-Belastungen auf den Festplatten und testen somit die Belastung der Festplatten hinsichtlich der ExchangeDatenbanken und der Transaktionsprotokolle. Verwenden Sie weitere Tools wie den Systemmonitor, das Ereignisprotokoll und ESEUTIL, um die Performance der Festplatten bei der Verwendung mit Jetstress zu dokumentieren. Um das Tool Jetstress zu verwenden, muss Exchange nicht installiert sein. Es benötigt nur einige Exchange-Dateien von der Installations-CD. Wie Sie das Tool installieren und welche Dateien benötigt werden, erfahren Sie beim Setup des Tools. Was Sie von Jetstress erwarten können: 왘
Angaben zur Festplatten-Performance
왘
Angaben zur Zuverlässigkeit Ihres Festplattensubsystems
왘
Einen End-to-End-Test aller beteiligten Komponenten im Festplattensubsystem
Was können Sie von Jetstress nicht erwarten: 왘
Wiedergabe des Client-Verhaltens bei diesen Tests
왘
Integration von Drittanbieter-Produkten auf einem Exchange Server
Abbildung 9.18: Die grafische Oberfläche von Jetstress
400
Was macht den Exchange Server langsam?
Exchange Load Generator Mit dem Tool Load Generator simulieren Sie die Last, die MAPI-Zugriffe auf einem Exchange Server verursachen. Um die Performance eines Clients zu messen, verwenden Sie Load Generator auf einem Client-Computer.
Abbildung 9.19: Die grafische Oberfläche von Load Generator
401
Kapitel 9 Serverkonzeption und Dimensionierung
Exchange Server-Belastung und -Leistung Mit diesem Tool simulieren Sie unterschiedliche Zugriffarten auf einen Exchange Server und können somit das Verhalten des Exchange Servers unter Last messen.
Abbildung 9.20: Die grafische Oberfläche von ESP
402
10
Hochverfügbarkeit
Mit dem Begriff Hochverfügbarkeit verbindet man beim Thema Exchange Server natürlich gleich die Installation in einem Cluster. Dass dieses Thema einen wesentlich größeren Umfang als nur die Installation eines Exchange Servers in einem Cluster hat, wollen wir Ihnen in diesem Kapitel zeigen. So erhalten Sie einen guten Überblick über alle Abhängigkeiten, die für eine echte Hochverfügbarkeit eines Exchange Servers notwendig sind. Der Exchange Server 2007 stellt zwei neue Funktionen zur Verfügung, die weitere Cluster-Konfigurationen erlauben. Diese Funktionen sind: 왘
Fortlaufende lokale Replikation (Local Continuous Replication, LCR) Hierbei wird eine Kopie der Datenbank auf einer weiteren lokalen Festplatte erzeugt. Die Kopie kann im Fehlerfall der produktiven Datenbank manuell oder per Skript aktiviert werden.
왘
Fortlaufende Cluster-Replikation (Cluster Continuous Replication, CCR) Hierbei wird, wie bei der LCR-Konfiguration, eine Kopie der Datenbank erzeugt. Diese wird aber nicht auf einer zweiten lokalen Festplatte abgelegt, sondern auf einem weiteren Exchange Server 2007 mit der Server-Funktion Mailbox. Auf Basis des Windows Server-Cluster-Dienstes wird dieser zweite Mailbox-Server als passiver Cluster-Knoten vorgehalten, der eine Kopie der produktiven Datenbank hält. Im Fehlerfall des aktiven Cluster-Knotens wird der passive Cluster-Knoten automatisch zum aktiven Cluster-Knoten.
403
Kapitel 10 Hochverfügbarkeit
Weitere Informationen zur Installation und zur Konfiguration des LCR und des CCR sowie weitere Hochverfügbarkeitsmethoden finden Sie im weiteren Verlauf dieses Kapitels.
10.1 Definieren der geschäftskritischen Anforderungen Bei der Planung einer Hochverfügbarkeit ist es sehr wichtig, die geschäftskritischen Anforderungen genau zu definieren. Nur nachdem die Anforderungen exakt festgestellt wurden, können Sie eine passende Lösung planen. Oft bestehen die Anforderungen aus einer hundertprozentigen Verfügbarkeit. Weiter sollen aber auch alle sicherheitsrelevanten Aktualisierungen eingespielt werden, um die Systeme vor aktuellen Bedrohungen zu schützen und um Sicherheitslücken zu schließen. Auch muss der Kostenfaktor bei der Planung berücksichtigt werden. Diese Anforderungen stehen sehr oft schon in einem Wiederspruch zueinander oder lassen sich nur durch Kompromisse bewerkstelligen. Sammeln Sie daher alle notwendigen Anforderungen an Ihre hochverfügbare Umgebung und wählen Sie dann die für die Umsetzung geeignete Methode aus. Beachten Sie bei Ihrer Planung auch, dass es Abhängigkeiten gibt, die für den Betrieb einer Exchange Server 2007-Organisation notwendig sind. Bei der Bereitstellung einer hochverfügbaren Exchange-Installation ist es sehr wichtig, auch diese Dienste und Komponenten ausfallsicher und/oder redundant zu betreiben. Eine hochverfügbare Umgebung ist immer nur in dem Maße verfügbar wie ihre schwächste Komponente. Beachten Sie daher, dass Ihre Exchange-Verfügbarkeitsanforderungen nicht höher sind als die Anforderungen an die unten genannten Komponenten. Denn Sie können die Verfügbarkeit Ihrer ExchangeUmgebung nicht erreichen, wenn die benötigten Dienste und Komponenten nicht dementsprechend ausgelegt sind. Weiter können Sie durch eine proaktive Überwachung die Verfügbarkeit Ihrer Umgebung erhöhen. Durch aktives Einwirken auf auftretende Warnungen und Überwachungsmeldungen (beispielsweise der Festplattenkapazitäten) können Ausfälle vermieden werden.
404
Definieren der geschäftskritischen Anforderungen
10.1.1
Dienste und Komponenten, von denen eine Exchange Server-Organisation abhängig ist
왘
Active Directory
왘
Domain Name System (DNS)
왘
TCP/IP-Netzwerk
왘
Überwachungsdienste (z.B. MOM)
왘
Speicher-Subsysteme
왘
Sicherungs- und Wiederherstellungs-Dienste
왘
Datencenter-Infrastruktur (Stromversorgung, Klimatisierung usw.)
Nachdem Sie alle Anforderungen und Abhängigkeiten identifiziert haben, sollten Sie sich Gedanken über mögliche Komponenten machen, die ausfallen bzw. verlorengehen können, und wie Sie auf einen eventuellen Ausfall oder Verlust reagieren.
10.1.2
Mögliche Komponenten, die ausfallen bzw. verlorengehen können
왘
Verlust einer einzelnen E-Mail-Nachricht
왘
Verlust eines gesamten Postfachs
왘
Verlust oder Beschädigung einer Datenbank
왘
Beschädigung einer Festplatte
왘
Beschädigung des Speichersystems
왘
Ausfall eines Servers
왘
Ausfall des Netzwerks
왘
Ausfall eines Rechenzentrums
Diese Aufzählung ist sicherlich nicht vollständig, zeigt aber schon einige wichtige Komponenten auf, die bei einem Ausfall oder Verlust erhebliche Kosten verursachen können. Daher ist es wichtig, diese Punkte zu identifizieren und entsprechende Anforderungen an eine vorbeugende Maßnahme gegen einen solchen Ausfall oder Verlust zu erarbeiten.
405
Kapitel 10 Hochverfügbarkeit
10.1.3
Hochverfügbarkeit ist mehr als nur Technik
Je höher Sie ihre Anforderungen an die Verfügbarkeit der einzelnen Komponenten oder an das ganze System setzen, desto mehr spielen auch nichttechnische Belange eine Rolle. Es ist zwar nie möglich, mit einer rein technischen Lösung die Ausfallgefahr zu neutralisieren, aber sie trägt schon zu einem hohen Prozentsatz dazu bei. In der unten gezeigten Abbildung sehen Sie einige Punkte, die aus unserer Sicht maßgeblich dazu beitragen, die Verfügbarkeit zu erhöhen.
Abbildung 10.1: Hochverfügbarkeit – mehr als nur Technik
Die in der Abbildung dargestellten Punkte erklären sich wie folgt:
406
Definieren der geschäftskritischen Anforderungen
Wissen: Aufgrund von immer komplexeren Technologien und Applikationen sind wir der Meinung, dass nur gut geschultes Personal auch fachgerecht mit diesen Produkten umgehen und den vollen Nutzen daraus ziehen kann. Überwachung: Durch eine fortlaufende Überwachung der Systeme und Applikationen ist es möglich, proaktiv auf auftretende Veränderungen zu reagieren und Schäden frühzeitig abzuwenden (zum Beispiel das Überlaufen einer Festplatte). Hardware: Planen Sie die einzusetzende Hardware gewissenhaft und ausreichend dimensioniert. Nur dann können Sie sicher sein, dass Sie auf auftretende Ausnahmen vorbereitet sind. Außerdem sollten Sie Hardware einsetzen, die dem aktuellen Stand der Technik entspricht und im Fehlerfall ausreichende Unterstützung vom Hersteller oder Lieferanten bietet. Service Level: Definieren Sie Service Level, damit für alle Beteiligten klar ersichtlich ist, in welcher Zeit und in welchem Umfang zu reagieren ist. Nur dann können Sie klare Abläufe definieren, die im Fehlerfall durchgeführt werden müssen. Ein weiterer Vorteil von Service Levels ist die Messbarkeit ihrer Ergebnisse. Testen: Führen Sie vor jeder Einführung neuer Komponenten, seien es Hardware, Software, Aktualisierungen oder auch nur Veränderungen am System oder an der Applikation, ausreichende Tests durch. Dadurch können Sie schon vorher feststellen, ob Fehler zu vermeiden sind. Partner: Arbeiten Sie eng mit Hardware-, Software- und Dienstleistungspartnern zusammen. Diese können Sie unterstützen, um im Fehlerfall Ihre Service Levels einzuhalten und Ausfallzeiten zu minimieren. Rechenzentrum: Planen und dimensionieren Sie Ihr Rechenzentrum ausreichend und flexibel. Darunter fallen Punkte wie beispielsweise Klimatisierung, Stromversorgung, Brandschutz oder Zugangsbeschränkungen. Richtlinien: Definieren Sie Richtlinien im Umgang mit Hardware, Software und anderen Komponenten in Ihrer Umgebung. Durch Richtlinien wird jedem klar, was er zu tun hat, das heißt, wie Änderungen, Anpassungen oder Erneuerungen durchzuführen und zu dokumentieren sind. Dadurch erhalten Sie eine einheitliche Struktur, die es für jeden Mitarbeiter einfach macht, damit umzugehen. Nach so vielen theoretischen Möglichkeiten, Ihre Hochverfügbarkeit mit nichttechnischen Mitteln zu steigern, kommen wir in den nachfolgenden Abschnitten dieses Kapitels aber wieder auf die technischen Möglichkeiten des Exchange Servers 2007 zurück und gehen auf die einzelnen Funktionen ein.
407
Kapitel 10 Hochverfügbarkeit
10.2 Möglichkeiten der Hochverfügbarkeit des Exchange Servers 2007 Um die nachfolgenden Hochverfügbarkeitsmöglichkeiten genauer verstehen zu können, ist es notwendig, die Funktionsweise der Exchange-Datenbank zu kennen und zu verstehen.
10.2.1
Exchange Server 2007 und die Transaktionsprotokolle
Die Exchange Server 2007-Datenbank ist, wie bei früheren Exchange-Versionen auch, eine transaktionsorientierte Datenbank und besteht aus einer Extensible Storage Engine-Datenbank (ESE-Datenbank). Der Unterschied zu den Exchange Server-Versionen 2000/2003 ist, dass es keine Datenbank-Datei *.stm mehr gibt, sondern ähnlich wie schon bei Exchange Server 5.5 nur noch eine *.edb-Datei. Diese Datei ist die Exchange Server-Datenbank, in der die Inhalte der Postfächer gespeichert werden. Die Exchange Server 2007-Datenbank ist eine transaktionsorientierte Datenbank, deren erstes Ziel es ist, bei einer Transaktion diese in ein Transaktionsprotokoll auf die Festplatte zu schreiben, um den Vorgang festzuhalten. In einem zweiten Schritt wird diese Transaktion in die Datenbank-Datei geschrieben und gilt danach als abgeschlossener Vorgang. Damit die ESE-Datenbank weiß, welche Transaktionsprotokolle bereits in die Datenbank geschrieben wurden, wird eine Enn.chk-Datei verwendet. Dabei stehen die Buchstaben nn für eine eindeutige Kennung der Datei. In den meisten Fällen lautet der Dateiname E00.chk. In der nachfolgenden Abbildung sehen Sie die Schritte des Transaktionsprotokolls in einer ESE-Datenbank grafisch dargestellt. Das Eintreffen einer neuen E-Mail oder eines anderen Objekts (zum Beispiel ein Kalendereintrag) sorgt für das Auslösen dieses Vorgangs. Die Transaktionsprotokolle des Exchange Servers 2007 sind im Unterschied zu älteren Exchange Server-Versionen von 5 MB auf 1 MB verkleinert worden. Das bedeutet: Sobald ein Transaktionsprotokoll die Größe von 1 MB erreicht, wird es umbenannt, und ein neues Transaktionsprotokoll wird geschrieben. Das Transaktionsprotokoll, das der Exchange Server aktuell verwendet, trägt immer die Bezeichnung E00.log.
408
Möglichkeiten der Hochverfügbarkeit des Exchange Servers 2007
Abbildung 10.2: Transaktionen einer ESE-Datenbank
Auch die Länge des Dateinamens der Transaktionsprotokolle wurde verändert. Ab Exchange Server 2007 besteht der Name nicht mehr aus 8-3-Zeichen, sondern wurde auf elf Zeichen plus Dateiendung erweitert. Somit ist es möglich, bis zu zwei Milliarden Protokolldateien zu je 1 MB zu erzeugen. Vorausgesetzt natürlich, Ihre Festplattenkapazität lässt eine solche Datenmenge zu. Die Transaktionsprotokolle werden nicht automatisch gelöscht, nachdem der Inhalt des Transaktionsprotokolls in die Datenbank geschrieben wurde. Das Löschen der bereits in die Datenbank geschriebenen Transaktionsprotokolle wird durch die Sicherungssoftware durchgeführt.
409
Kapitel 10 Hochverfügbarkeit
Daher ist es unbedingt notwendig, eine für Exchange Server geeignete Sicherungssoftware zu verwenden. Das von Windows Server 2003 mitgelieferte Sicherungsprogramm NTBACKUP wird durch die Installation eines Exchange Servers um die Funktionen für die Exchange Server-Sicherung erweitert und kann für die Sicherung des Exchange Servers verwendet werden. Weitere Informationen zur Sicherung und Wiederherstellung finden Sie in Kapitel 8 „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“. Nachdem Sie eine Einführung in die transaktionsorientierte Datenbanktechnologie des Exchange Servers 2007 erhalten haben, wird Ihnen das Verständnis der nachfolgenden Themen leichter fallen. Weitere Informationen zur Datenbanktechnologie des Exchange Servers finden Sie in englischer Sprache unter folgender Adresse: http://technet.microsoft.com/en-us/library/aa996118.aspx
10.3 Standby-Szenarien Die sogenannten Standby-Szenarien können in zwei Kategorien eingeteilt werden. Man unterscheidet das Cold Standby-Szenario und das Warm Standby-Szenario. Beide Szenarien verbindet das Vorhandensein einer zweiten Hardware, die im Ausfall des Exchange Servers 2007 Hardwareaufgaben übernehmen kann. Diese Szenarien eigenen sich für Umgebungen, in denen durch die Service Level Agreements (SLAs) festgelegte Wiederherstellungszeiten bzw. die Widerbereitstellung des E-Mail-Dienstes nicht ganz so hoch angesetzt wurden. Als Zeitrahmen können Sie sich ungefähr die Zeit vorstellen, die es erfordert, einen Windows Server inklusive Exchange Server 2007-Software zu installieren. Einen weiteren Vorteil stellen die Kosten für ein solches Szenario dar. Eine Hardware, die nur zur Bereitschaft zur Verfügung steht, unterliegt natürlich nicht den Anforderungen einer ständig verfügbaren Cluster-Konfiguration. Durch die bei Exchange Server 2007 verbesserte Datenbankportabilität, darunter versteht man die Bereitstellung der Postfach-Datenbank auf einem anderen Server, ist es wesentlich einfacher geworden, ein Standby-Szenario produktiv einzusetzen. Unter Exchange Server 2000/2003 gab es eine Vielzahl von Einschränkungen, die man berücksichtigen musste, um eine Postfach-Datenbank auf einem anderen Exchange Server bereitzustellen. Diese waren unter anderem:
410
Standby-Szenarien 왘
Der Name des Exchange Servers musste gleich sein.
왘
Der Name der Speichergruppe und der Datenbank mussten gleich sein.
왘
Der Pfad zur Speichergruppe und zur Datenbank musste gleich sein.
왘
Der neue Server musste sich in der gleichen administrativen Gruppe befinden.
Ab Exchange Server 2007 bestehen diese Einschränkungen nicht mehr! Die einzige Einschränkung, die Sie jetzt noch haben, ist, dass die Datenbank nur auf einem Server innerhalb der gleichen Exchange-Organisation wiederhergestellt werden kann. Die Datenbankportabilität beschränkt sich auf Postfach-Datenbanken. Datenbanken für öffentliche Ordner können mit dieser Funktionalität auf anderen Servern nicht wiederhergestellt werden. Dies liegt an dem Replikationsverfahren der öffentlichen Ordner zwischen mehreren Servern. Jede öffentliche-Ordner-Datenbank steuert ihre Replikation und ist mit einem anderen Server verknüpft. Daher kann eine Datenbank für öffentliche Ordner nicht auf einem anderen Server bereitgestellt werden. Sie können aber öffentliche Ordner über die Replikation auf anderen Servern zur Verfügung stellen. In den folgenden beiden Abschnitten werden wir Ihnen die Standby-Szenarien etwas genauer darstellen. Eine Beschreibung der Wiederherstellung mit einem Standby-Szenario finden Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“.
10.3.1
Cold Standby
Beim Cold Standby-Szenario haben Sie parallel zu Ihrem produktiven Exchange Server 2007 eine Hardware zur Verfügung – wenn möglich, eine baugleiche Hardware zu Ihrem produktiven System. Diese Hardware wird ausgeschaltet und nicht konfiguriert bereitgehalten. Im Idealfall haben Sie in Ihrer ServerLandschaft mehrere baugleiche oder ähnliche Hardware, damit dieser Cold Standby-Server für mehrere Server als Ersatzmaschine dienen kann. Wir beschränken uns in diesem Szenario nur auf die Verfügbarkeit der ErsatzHardware für den Einsatzzweck als Exchange Server. Mit folgenden Schritten stellen Sie die E-Mail-Dienste auf einem Cold Standby-Server wieder her:
411
Kapitel 10 Hochverfügbarkeit
1. Installieren des Betriebssystems 2. Installieren der Exchange Server 2007-Software mit dem Schalter /m:RecoverServer 3. Wiederherstellen der Systemstatus-Sicherung 4. Wiederherstellen der Exchange-Sicherung 5. Bereitstellen der Exchange-Datenbanken
10.3.2
Warm Standby
Beim Warm Standby-Szenario wird eine weitere Hardware mit installiertem Betriebssystem und konfigurierter Exchange Server 2007-Software parallel zum produktiven System vorgehalten. Dieser Warm Standby-Server kann im Falle eines Defekts des produktiven Servers die Bereitstellung der Postfach-Datenbanken übernehmen. Dazu müssen mehrere administrative Aufgaben durchgeführt werden: 1. Erstellen von Postfach-Datenbanken auf dem Warm Standby-Server 2. Sofern verfügbar, Kopieren der Datenbank-Dateien 3. Bei nicht Verfügbarkeit – Wiederherstellen durch ein Backup in einem alternativen Bereich 4. Überprüfen der Konsistenz der Datenbank-Dateien 5. Bereitstellen der Datenbank(en) 6. Aktualisieren der Postfach-Konfigurationen für den Client-Zugriff 왘
Über die Exchange Management Shell bei Outlook 2007
왘
Und zusätzlich über das Tool Exprofre.exe bei Outlook-Versionen, die älter als Outlook 2007 sind Weitere Informationen zum Programm Exprofre.exe finden Sie unter folgender Adresse: http://www.microsoft.com/downloads/details.aspx?displaylang= de&FamilyID=56f45ac3-448f-4ccc-9bd5-b6b52c13b29c.
412
Die fortlaufende Replikation
Darüber hinaus kann der Standby-Server auch alle anderen Exchange Server 2007-Serverrollen übernehmen, sofern Sie ihn dafür konfiguriert haben. Weitere Informationen zur Verwendung und zur Konfiguration eines Standby-Servers finden Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer ExchangeUmgebung“.
10.4 Die fortlaufende Replikation Bei der fortlaufenden Replikation handelt es sich um ein neues Feature des Exchange Servers 2007. Dabei wird eine Kopie der Datenbank(en) entweder auf einem weiteren Festplattenbereich des Exchange Servers selbst erzeugt (LCR) oder auf einem zweiten Exchange Server vorgehalten (CCR). Durch das Kopieren und Wiedereinspielen der Transaktionsprotokolle wird die Datenbankkopie auf einem fast aktuellen Stand gehalten. Beachten Sie bitte, dass die fortlaufende lokale Replikation (LCR) mit beiden Exchange Server 2007-Versionen (Standard und Enterprise) umzusetzen ist. Die fortlaufende Cluster-Replikation (CCR) sowie die klassische Cluster-Konfiguration erfordern allerdings die Enterprise-Version von Exchange Server 2007.
10.4.1
Die fortlaufende lokale Replikation (LCR)
Die fortlaufende lokale Replikation (Local Continuous Replication, LCR) ist eine der beiden neuen Replikations-Funktionen des Exchange Servers 2007. Sie können die LCR-Funktion nur auf Speichergruppen anwenden, in denen sich nur ein Postfachspeicher befindet. Dies liegt daran, dass sich alle Postfachspeicher in einer Speichergruppe die Transaktionsprotokolle teilen. Damit der Replikationsvorgang und der Vorgang des Wiedereinspielens der Protokolle in die passive Kopie des Postfachspeichers durchgeführt werden können, muss dieser die Transaktionsprotokolle exklusiv verwenden. Weiter können Sie LCR nur auf der öffentliche-Ordner-Datenbank anwenden, falls es die einzige öffentliche-OrdnerStruktur in der Exchange-Organisation ist. Sollten mehrere Exchange-PostfachServer existieren, die auch öffentliche-Ordner-Datenbanken vorhalten, verwenden Sie die Replikation der öffentlichen Ordner, um eine Ausfallsicherheit bei den öffentlichen Ordnern zu ermöglichen.
413
Kapitel 10 Hochverfügbarkeit
Die Funktion der fortlaufenden lokalen Replikation Bei LCR wird eine passive Kopie der Transaktionsprotokolle asynchron auf einem zweiten Speicherbereich des lokalen Servers abgelegt und in einer Kopie des Postfachspeichers wiedergegeben. Die folgende Abbildung zeigt diesen Vorgang:
Abbildung 10.3: LCR-Funktion
Sie legen bei der Aktivierung von LCR für einen Postfachspeicher den Pfad zur passiven Kopie des Postfachspeichers sowie den Pfad für die Kopie der Transaktionsprotokolle fest. Nachdem der Exchange Server ein weiteres Protokoll der aktiven Kopie auf die Festplatte geschrieben hat, wird durch den ReplikationsDienst eine Kopie in dem vorher festgelegten Festplattenbereich erstellt. Diese Kopie wird auf Konsistenz hin geprüft und in die passive Kopie der Postfachspeicher-Datenbank geschrieben. Somit wird sichergestellt, dass nicht beide Kopien des Postfachspeichers inkonsistent werden. Stellt der Exchange Server bei der Kopie des Transaktionsprotokolls eine Inkonsistenz fest, werden das Protokoll und alle nachfolgenden Protokolle nicht mehr in die passive Datenbank geschrieben. Daher müssen Sie eine aktive Überwachung des LCR-Vorgangs durchführen, um solche Vorfälle zu bemerken und manuell zu beheben. Weitere Informationen zum Überwachen von LCR und zur Fehlerbehebung finden Sie weiter unten in diesem Kapitel.
414
Die fortlaufende Replikation
Anforderungen an LCR Postfachspeicher: Verwenden Sie nur einen Postfachspeicher pro Speichergruppe, auf der LCR aktiviert werden soll. Andernfalls lässt sich LCR nicht aktivieren. Öffentliche Ordner: Verwenden Sie LCR für öffentliche Ordner nur dann, wenn es nur eine öffentliche-Ordner-Datenbankstruktur in der Exchange-Organisation gibt. Bereitstellungspunkte: Verwenden Sie NTFS-Bereitstellungspunkte als Speicherort der passiven Kopie. Wenn Sie Laufwerksbuchstaben als Bereitstellungspunkte verwenden, stoßen Sie in größeren Umgebungen schnell an die Grenze durch die 26 Buchstaben des Alphabets. Wie Sie NTFS-Bereitstellungspunkte verwenden, erfahren Sie weiter unten in diesem Kapitel. Festplatten: Teilen Sie die Festplatten in sinnvolle Partitionen auf, damit die Schreib-Lese-Zugriffe auf die Daten optimiert werden. Die nachfolgende Aufteilung stellt eine optimale Zugriffsgeschwindigkeit und Ausfallsicherheit für Server mit lokalen Festplatten dar. Dabei ist jeder nachfolgend genannte Teil auf einer eigenen Festplatte abgelegt: 왘
Windows-Betriebssystem
왘
Exchange-Installationsdateien
왘
Aktive Postfachspeicher-Datenbanken
왘
Aktive Transaktionsprotokolle
왘
Passive Postfachspeicher-Datenbanken
왘
Passive Transaktionsprotokolle
In kleineren Umgebungen können Sie die Transaktionsprotokolle und die Datenbanken der Speichergruppen der jeweiligen aktiven Kopie bzw. passiven Kopie gemeinsam auf einer Festplatte speichern. Achten Sie allerdings darauf, dass Sie die aktiven und passiven Komponenten nicht auf einer gemeinsamen Festplatte ablegen, da sonst im Fehlerfall beide Kopien verlorengehen würden. Kapazität: Planen Sie für den Speicherplatz der passiven Kopie mindestens genauso viel Platz ein wie für die aktive Kopie. Planen Sie ausreichend, um ein unvorhergesehenes Datenbankwachstum zu gewährleisten. Sie haben die Möglichkeit, eine größere Datenbank vorzuhalten, wenn Sie diese im LCR-Modus betreiben. Der Grund dafür ist, dass nicht mehr die Sicherung auf Band oder Festplatte Ihr erster Anlaufpunkt für eine Wiederherstellung ist, sondern die LCR-Kopie auf der Festplatte. Microsoft empfiehlt, die Datenbankgröße eines einzelnen Postfachspeichers ohne LCR nicht größer als 100 GB werden zu lassen. Mit LCR sollte die Datenbank des Postfachspeichers die Größe von 200 GB nicht überschreiten.
415
Kapitel 10 Hochverfügbarkeit
Die wirkliche Größe Ihrer Datenbanken richtet sich aber nach den festgelegten SLAs in Ihrem Unternehmen und der Zeit, die Sie benötigen, um die Datenbanken zu sichern und im Fehlerfall wiederherzustellen. LCR stellt keinen Ersatz für eine regelmäßige Sicherung dar. Die Notwendigkeit regelmäßiger Sicherungen ist nach wie vor gegeben. LCR stellt nur den ersten Wiederherstellungspunkt bei einem Ausfall der aktiven Daten dar. Sollten beide Kopien der Postfachspeicher-Datenbanken ausfallen, müssen Sie weiterhin auf Ihre Sicherung zurückgreifen können. Weitere Informationen zur Sicherung und Wiederherstellung finden Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“. RAM und CPU: Sie sollten beim geplanten Einsatz von LCR auf Ihrem Exchange Server ausreichend RAM und CPU-Leistung vorsehen. Beim Einsatz von LCR benötigt der Exchange Server etwa 20 Prozent mehr CPU-Leistung und etwa 1 GB mehr RAM. Dies liegt unter anderem an dem Kopiervorgang, der lokal auf dem Server ausgeführt wird, um die Transaktionsprotokolle zu kopieren. Zusätzlich wird 1 GB mehr RAM benötigt, um die Wiedergabe der Transaktionsprotokolle in die passive Datenbank zu gewährleisten. Weitere Serverrollen: Sie können die Postfach-Serverrolle mit aktivem LCR mit weiteren Exchange Serverrollen betreiben. Dabei unterliegt der Server nur den Limitierungen, die Sie in Kapitel 2, „Die Installation von Exchange Server 2007“, kennengelernt haben. Beachten Sie dabei die erweiterten RAM- und CPUAnforderungen. Bereitstellen von LCR LCR können Sie für neue Speichergruppen bzw. Postfachspeicher direkt beim Erstellen aktivieren. Alternativ aktivieren Sie LCR für eine bereits bestehende Speichergruppe. Achten Sie beim Aktivieren von LCR für eine bestehende Speichergruppe darauf, dass sich nur ein Postfachspeicher in der Speichergruppe befinden darf. Andernfalls schlägt die Aktivierung mit einer Fehlermeldung fehl. Sollten Sie bereits mehrere Postfachspeicher in einer Speichergruppe eingerichtet haben, für die Sie die LCR-Funktion aktivieren wollen, so entfernen Sie bitte alle bestehenden Postfachspeicher – bis auf den einen, der für die LCRFunktion vorgesehen ist. Wenn die Speichergruppe nur noch einen Postfachspeicher beinhaltet, können Sie LCR über die GUI der Exchange Management Console oder über die Exchange Management Shell mit den folgenden Befehlen aktivieren:
416
Die fortlaufende Replikation
Enable-DatabaseCopy –Identity -CopyEDBFilePath: Enable-StorageGroupCopy –Identity -CopyLogFolderPath: -CopySystemFolderPath: Führen Sie zuerst den Befehl Enable-DatabaseCopy aus und danach den Befehl Enable-StorageGroupCopy. Sollten Sie die Befehle in der anderen Reihenfolge ausführen, wird die Aktivierung von LCR fehlschlagen. Wenn Sie LCR gleich bei der Erstellung einer neuen Speichergruppe aktivieren möchten, geben Sie in der Exchange Management Shell nachfolgenden Befehl ein oder erstellen Sie eine Speichergruppe und einen Postfachspeicher über die Exchange Management Console. Erstellen einer neuen Speichergruppe mit aktiviertem LCR: New-StorageGroupe -Server -LogFolderPath -SystemFolderPath -HasLocalCopy:$True –CopyLogFolderPath -CopySystemFolderPath Erstellen eines neuen Postfachspeichers mit aktiviertem LCR in der Speichergruppe: New-MailboxDatabase -StorageGroup -EDBFilePath -HasLocalCopy:$True –CopyEDBFilePath Bereitstellen des Postfachspeichers: Mount-Database -Force Nachdem Sie den Postfachspeicher bereitgestellt haben, beginnt der Exchange Server mit dem Erzeugen der Kopie des Postfachspeichers an dem von Ihnen definierten Speicherplatz. Die Systemordner und Protokolldateien werden kopiert und es wird mit dem Wiedergeben der Protokolldateien in die Datenbankkopie begonnen.
417
Kapitel 10 Hochverfügbarkeit
Aussetzen von LCR Für Wartungszwecke oder zur Fehlerbehebung kann es notwendig werden, dass Sie den Kopiervorgang und das Wiedergeben der Protokolldateien anhalten müssen. Dies kann über die Exchange Management Console oder die Exchange Management Shell geschehen. Ein Beispiel für die Notwendigkeit, den LCR-Vorgang auszusetzen, finden Sie in diesem Kapitel unter „Überwachung und Fehlerbehebung“. Führen Sie folgenden Befehl in der Exchange Management Shell aus, um den LCR-Vorgang anzuhalten. Aussetzen von LCR via Shell: Suspend-StorageGroupCopy Dieser Vorgang wird in der Ereignisanzeige unter ANWENDUNGEN mit der Ereigniskennung 2083 protokolliert.
Abbildung 10.4: Anhalten des LCR-Vorgangs
Mit folgendem Befehl nehmen Sie den LCR-Vorgang wieder auf. Alternativ können Sie dies auch über die Exchange Management Console durchführen. Wiederaufnahme des LCR-Vorgangs: Resume-StorageGroupCopy
418
Die fortlaufende Replikation
Sie finden die Wiederaufnahme des LCR-Vorgangs ebenfalls in der Ereignisanzeige. Dies wird mit der Ereigniskennung 2084 protokolliert.
Abbildung 10.5: Wiederaufnahme des LCR-Vorgangs
Aufheben von LCR Sie können eine Speichergruppe und den darin enthaltenen Postfachspeicher von dem LCR-Vorgang entbinden, indem Sie über die Exchange Management Console die fortlaufende lokale Replikation auf der Speichergruppe deaktivieren oder über die Exchange Management Shell folgenden Befehl ausführen. Disable-StorageGroupCopy Entfernen Sie bitte die Kopie der Postfachspeicher-Datenbank und die Protokolldateien sowie die Systemordner manuell. Diese werden nicht automatisch beim Deaktivieren von LCR gelöscht. Nachdem Sie die fortlaufende lokale Replikation für die Speichergruppe deaktiviert haben, können Sie diese und den darin enthaltenen Postfachspeicher wie vor der Aktivierung für LCR verwenden.
419
Kapitel 10 Hochverfügbarkeit
Überwachung und Fehlerbehebung Bei der Verwendung von LCR sollten Sie ein proaktives Überwachen der Konfiguration und der Replikation durchführen. Da die Replikation bzw. die Wiedergabe der Transaktionsprotokolle in die LCR-Kopie des Postfachspeichers angehalten wird, sobald Inkonsistenzen in den Log-Dateien festgestellt werden, Sie aber über diesen Zustand nicht automatisch informiert werden, ist es umso wichtiger, diese zu überwachen. Für die Überwachung eines einzelnen Servers haben Sie die Möglichkeit, über die Leistungsindikatoren der Leistungsüberwachung die Replikation, die Wiedergabe und einiges mehr zu erfassen und zu bewerten. Dabei stellen die Leistungsindikatoren COPYQUEUELENGHT und REPLAYQUEUELENGHT eine wichtige Informationsquelle dar. Ein Wert von etwa 5 für die Länge der COPYQUEUELENGHT und ein Wert von etwa 25 für die REPLAYQUEUELENGHT werden noch als akzeptabel angesehen. Bei dauerhaften Werten darüber sollten Sie sich benachrichtigen lassen und die Konfiguration prüfen. So richten Sie die Leistungsüberwachung für die LCR-Überwachung ein: 1. Klicken Sie auf Start Ausführen und geben Sie perfmon ein. 2. Es öffnet sich der Leistungsüberwachungsmonitor. Klicken Sie auf das PlusSymbol, um weitere Indikatoren hinzuzufügen. 3. Wählen Sie Lokale Leistungsindikatoren verwenden, falls Sie eine Überwachung auf dem Server durchführen. Oder wählen Sie Leistungsindikatoren auswählen von und geben den LCR-Server an, falls Sie einen Remote-Computer überwachen wollen. 4. Unter dem Punkt Leistungsobjekte wählen Sie MSExchange-Repliaktion. 5. Wählen Sie Alle Leistungsindikatoren und Alle Instanzen. 6. Klicken Sie auf Hinzufügen und auf Schließen. 7. Über die Ansicht Bericht anzeigen (Strg+R) können Sie die Liste der verfügbaren Leistungsindikatoren sehr gut überblicken. Sie können mit den oben genannten Informationen auch Warnungen konfigurieren, die Sie informieren, sobald die Werte der oben genannten Warteschlangen überschritten werden.
420
Die fortlaufende Replikation
Konfiguration von LCR-Datenbanken Weitere Informationen zur Überwachung der LCR-Konfiguration finden Sie unter folgenden Internetadressen: http://technet.microsoft.com/de-de/library/aa998823.aspx http://technet.microsoft.com/en-us/library/aa998823.aspx Wir empfehlen Ihnen für die Überwachung mehrerer Server den Einsatz eines Überwachungsprogramms, wie zum Beispiel den Microsoft Operations Manager. Dieser bietet Ihnen Agenten an, die Sie auf dem Exchange Server installieren, und Ihnen eine zentrale Überwachung der Server erlaubt. Mit den Agenten werden unter anderem die oben genannten Leistungsindikatoren überwacht. Es wird Ihnen zusätzlich noch eine Vielzahl weiterer Leistungsüberwachungsoptionen angeboten. Weitere Informationen zu MOM finden Sie unter: http://www.microsoft.com/germany/mom/default.mspx Sollten Sie feststellen, dass die Replikation und/oder die Wiedergabe der Transaktionsprotokolle gestört ist, ist es empfehlenswert, sich den Status der fortlaufenden lokalen Cluster-Replikation anzusehen. Über den Exchange Management Shell-Befehl Get-StorageGroupCopyStatus identity | fl wird Ihnen der Status der angegebenen Speichergruppe ausgegeben. Der Wert im Feld SUMMARYCOPYSTATUS gibt Ihnen Aufschluss über den Zustand der LCR-Speichergruppe. Folgende Werte kann das Feld SUMMARYCOPYSTATUS haben: Wert
Beschreibung
Healthy
Es wurde kein Fehler festgestellt.
Suspended
Das Kopieren und Wiedergeben der Transaktionsprotokolle in der LCR-Kopie wurde angehalten.
Seeding
Es wird eine Kopie der Speichergruppe am angegebenen Speicherpfad für die LCR-Kopie erstellt.
Failed
Die Überprüfung ist fehlgeschlagen. Die Protokolldateien oder die Datenbank weisen Unstimmigkeiten auf, oder LCR wurde fehlerhaft konfiguriert.
Disabled
LCR ist für diese Speichergruppe nicht aktiviert.
Not Supported Die aktuelle Konfiguration unterstützt keine LCR-Aktivierung. Tabelle 10.1: LCR-Statuswerte
421
Kapitel 10 Hochverfügbarkeit
Mit dem Tool ESEUTIL, welches bei der Installation von Exchange Server 2007 mit installiert wird und im Verzeichnis C:\Programme\Microsoft\Exchange Server\ Bin zu finden ist, können Sie die Datenbank und die Protokolldateien auf Fehler hin überprüfen. Dazu muss die LCR-Replikation angehalten werden. Führen Sie folgende Schritte aus, um die Datenbank und/oder die Protokolldateien zu überprüfen. 1. Halten Sie mit dem Exchange Management Shell-Befehl suspend-StorageGroupCopy den LCR-Vorgang an. 2. Überprüfen Sie für die Speichergruppe, ob der LCR-Vorgang angehalten wurde. Führen Sie den Exchange Management Shell-Befehl get-StorageGroupCopyStatus | fl aus und überprüfen Sie den Wert SummaryCopyStatus. Dieser muss Suspended lauten. 3. Öffnen Sie die Eingabeaufforderung und rufen Sie ESEUTIL auf. 4. Zum Überprüfen eines Transaktionsprotokolls: 왘 Eseutil /k
Abbildung 10.6: ESEUTIL-Protokolldatei-Überprüfung
5. Zum Überprüfen der Datenbank: 왘
Eseutil /k
Abbildung 10.7: ESEUTIL-Datenbank-Überprüfung
422
Die fortlaufende Replikation
Je nachdem, wie das Ergebnis der Überprüfung ausfällt, führen Sie die nachfolgenden Schritte durch. 6. Die Überprüfung hat Fehler ergeben: 왘
Deaktivieren Sie LCR, löschen Sie die beschädigte Datei und aktivieren Sie LCR wieder.
7. Die Überprüfung hat keine Fehler ergeben: 왘
Führen Sie folgenden Exchange Management Shell-Befehl aus, um LCR fortzusetzen. resume-StorageGroupCopy –identity .
왘
Überprüfen Sie, ob der LCR-Vorgang erfolgreich fortgesetzt wird. Führen Sie dazu den Exchange Management Shell-Befehl get-StorageGroupCopyStatus | fl aus und überprüfen Sie den Wert SummaryCopyStatus. Dieser muss Healthy lauten.
LCR und Datenverlust Die fortlaufende lokale Replikation ist natürlich kein Ersatz für eine Online-Sicherung der Exchange Server-Datenbanken. LCR bietet Ihnen nur die Möglichkeit, die Kopie der Datenbank als erste Anlaufstelle zur schnellen Wiederaufnahme des produktiven Betriebs zu nutzen. Da das Kopieren der Transaktionsprotokolle asynchron vonstatten geht, entsteht natürlich immer eine gewisse Differenz zwischen der produktiven Datenbank und der passiven Datenbankkopie. Diese Differenz stellt immer die Menge des Datenverlustes dar, daher sollten Sie die Datenbank und die Protokolldateien der produktiven sowie der passiven Datenbank auf getrennten Festplatten ablegen. So gewährleisten Sie im Falle eines Defekts der Festplatte der produktiven Datenbank die Verfügbarkeit der noch offenen Transaktionsprotokolle für die passive Datenbankkopie. Weiter haben Sie die Möglichkeit, bei der fortlaufenden lokalen Replikation die Online-Sicherung der Exchange Server-Datenbank auf der passiven Datenbankkopie auszuführen. Dies nimmt I/O-Last von der Festplatte der produktiven Datenbank und erlaubt eine Sicherung auch während des Betriebs. Durch die Online-Sicherung werden die nicht mehr benötigten Transaktionsprotokolle gelöscht. Auch wenn Sie nur eine Sicherung auf die passive Datenbankkopie durchführen, wird vom Exchange Server geprüft, ob die Transaktionsprotokolle in der produktiven und passiven Datenbank nicht mehr benötigt werden, und es werden beide Transaktionsprotokolle gelöscht. Weitere Informationen zur Sicherung und Wiederherstellung finden Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“. Da die LCR-Funktion nur eine Absicherung der Datenbestände, nicht aber der Exchange-Dienste darstellt, ist diese Funktion nicht für jede Umgebung bzw. Anforderung geeignet. Für eine Absicherung der Datenbestände und der ExchangeDienste lesen Sie bitte die beiden folgenden Abschnitte.
423
Kapitel 10 Hochverfügbarkeit
10.4.2
Die fortlaufende Cluster-Replikation (CCR)
Die fortlaufende Cluster-Replikation (Cluster Continuous Replication, CCR) verwendet die Cluster-Technologie von Windows Server 2003 und stellt einen Active/Passive-Cluster mit zwei Knoten zur Verfügung. Dabei müssen Sie beachten, dass für die Bereitstellung des CCR-Clusters nur die Rollen des Postfach-Servers mit einem Windows-Cluster installiert werden können. Somit müssen alle anderen Serverrollen wie die Hub-Transport, ClientAccess sowie Unified Messaging auf weiterer Hardware installiert werden. Informationen zur Hochverfügbarkeit der anderen Serverrollen finden Sie weiter unten in diesem Kapitel. Die Funktion der fortlaufenden Cluster-Replikation Hierbei ist jeder der Knoten ein Exchange Server 2007 mit eigener Datenbank oder Datenbanken, die auf den lokalen Festplatten oder einem Festplatten-Subsystem abgelegt sind. Für CCR ist kein gemeinsames Quorum auf einer geteilten (englisch: shared) Festplatte notwendig. Daher wird dies auch als Shared Nothing Cluster bezeichnet. Weitere Informationen zum Begriff Quorum finden Sie in Kapitel 10.5. Jeder der beiden Cluster-Knoten hält eine eigene Kopie der PostfachspeicherDatenbank(en), wobei die Clients nur auf die Datenbank(en) des aktiven ClusterKnotens zugreifen. Über die Technologie der Replikation und die Wiedergabe der Transaktionsprotokolle (englisch: Log Shipping) wird die Kopie der Datenbank(en) auf dem passiven Knoten aktuell gehalten. Wie Sie weiter oben in diesem Kapitel erfahren haben, wird die Datenbank des Exchange Servers 2007 durch die Wiedergabe der Transaktionsprotokolle in die Datenbank mit Informationen gefüllt. Beim CCR-Cluster wird die vom aktiven Knoten geschriebene Transaktionsprotokolldatei auf del passiven Knoten kopiert und dabei auf Konsistenz hin geprüft. Wenn die Prüfung erfolgreich war, wird die Transaktionsprotokolldatei in die Datenbank auf den passiven Knoten geschrieben. Somit existiert auf dem passiven Knoten eine Kopie der Datenbank(en) des aktiven Knotens. Der Transportmülleimer Wie Sie aus dem oben genannten Vorgehen vielleicht erahnen können, wird die Transaktionsprotokolldatei immer nur auf den passiven Knoten kopiert; die auf dem aktiven Knoten gilt als abgeschlossen. Dies ist also diejenige Datei, die vom Exchange Server nicht mehr mit einem Schreibvorgang belegt wird und einen eigenen Dateinamen bekommen hat. Dadurch entstehen natürlich Differenzen in den Datenbanken der jeweiligen Knoten. Damit diese Differenzen so gering wie möglich gehalten werden, wird bei einem CCR-Cluster der Transportmüll-
424
Die fortlaufende Replikation
eimer (englisch: Transport Dumpster) auf dem Server mit der Hub-TransportRolle aktiviert. Da jede E-Mail über den Hub-Transport-Server geleitet wird, stellt dieser eine geeignete Stelle dar, um E-Mails zwischenzuspeichern und im Bedarfsfall wiederzugeben. Es wird empfohlen, die Größe des Transportmülleimers auf die 1,5-fache Größe der möglichen E-Mail-Übermittlungsgröße festzulegen. Beispiel: Sie legen die Übermittlungsgröße für E-Mails auf 10 MB fest. Dann sollten Sie den Transportmülleimer auf mindestens 15 MB festlegen, um ausreichend viele E-Mails wiedergeben zu können. Der Transportmülleimer kann in der Exchange-RTM-Version nur über die Exchange Management Shell konfiguriert werden. Ab SP1 steht dafür eine GUI in der Organisation KONFIGURATION unter den globalen Einstellungen zur Verfügung. So legen Sie die Größe des Transportmülleimers fest: Set-TransportConfig –MaxDumpsterSizePerStorageGroup 15 MB Sollte der Exchange Server 2007 bei einem Ausfall feststellen, dass nicht alle Transaktionsprotokolle auf dem passiven Knoten zur Verfügung stehen, veranlasst der Server den Transportmülleimer, alle E-Mails erneut an den PostfachServer zuzustellen. Dabei wird anhand der Nachrichten-ID festgestellt, welche E-Mails bereits zugestellt wurden. Die fehlenden E-Mails werden in die Transaktionsprotokolle und danach in die Datenbank auf dem vorher passiven und jetzt aktiven Knoten geschrieben. Mit SP1 steht der Transportmülleimer auch in der LCR-Konfiguration auf einem einzelnen Server zur Verfügung.
Die Datenbank-Bereitstellung Außerdem stellen Sie für den Postfach-Server ein, wie hoch die Quote des Datenverlustes sein darf. Dazu existieren drei Einstellungen im Postfach-Server. Verlustfrei (englisch: Lossless): Kein Transaktionsprotokoll darf verlorengehen. Gute Verfügbarkeit (englisch: Good Availability): Bis zu drei Transaktionsprotokolle dürfen verlorengehen. Beste Verfügbarkeit (englisch: Best Availability): Bis zu sechs Transaktionsprotokolle dürfen verlorengehen.
425
Kapitel 10 Hochverfügbarkeit
Dabei regelt diese Einstellung die Bereitstellung des Postfachspeichers im Falle eines Ausfalles des aktiven Knotens. Sollte der aktive Knoten ausfallen und stehen die Einstellungen auf „Best Availability“, wird der Postfachspeicher automatisch bereitgestellt, sofern nicht mehr als sechs Transaktionsprotokolle auf dem passiven Knoten fehlen. Sollten mehr Transaktionsprotokolle fehlen, wird der Postfachspeicher nicht bereitgestellt, und ein Exchange-Administrator muss manuell eine Bereitstellung durchführen. Dabei muss der Administrator entscheiden, ob es möglich ist, auf die Daten in den fehlenden Transaktionsprotokollen zu verzichten, oder solange auf die Bereitstellung gewartet werden kann, bis der ausgefallenen Knoten wieder repariert wurde. So legen Sie die Bereitstellungseinstellungen für die Postfachspeicher fest: Set-MailboxServer –identity -AutoDatabaseMountDial GoodAvailability
Die Bereitstellungskonfiguration kann nur über die Exchange Management Shell konfiguriert werden.
Die Standardeinstellung nach der Installation eines CCR-Clusters liegt bei dem Transportmülleimer auf 18 MB, und die Konfiguration des Postfach-Servers ist auf „Best Availability“ festgelegt. MNS und FSW Mit Einsatz des Patches KB921181 für den Windows Server 2003, der für eine Cluster-Konfiguration vorgesehen ist, benötigen Sie keine dedizierte QuorumFestpatte mehr. Die Quorum-Festplatte war ein gemeinsam von jedem Knoten genutzter Bereich, auf dem die Informationen abgelegt wurden, welcher Knoten die aktive Rolle hält und welcher Knoten sich als passiver Knoten in den Cluster-Verbund einbringen kann. Dabei war es wichtig, dass die Quorum-Festplatte zu jeder Zeit von jedem Knoten aus erreichbar war, um fehlerhafte Aktivierungen des aktiven Knotens zu vermeiden.
Das Patch KB921181 ist im Windows Server 2003 SP2 bereits enthalten und muss daher nicht eigens eingespielt werden.
426
Die fortlaufende Replikation
Mit der Einführung des oben genannten Patchs KB921181 wurde die Konfiguration verändert. Jetzt ist es möglich, einen Cluster ohne Quorum-Festplatte zu betreiben. Dazu wird auf einem dritten Server, der nicht Bestandteil der ClusterKnoten ist, eine Freigabe auf ein Verzeichnis erstellt. Dieses Verzeichnis wird bei der Cluster-Konfiguration als gemeinsam genutzter Bereich definiert. Diese Art der Freigabe wird als Hauptknotensatz (Majority Node Set, MNS) bezeichnet. Außerdem wird in diesem Verzeichnis die Information eines Cluster-Dateifreigabezeugen (File Share Witness, FSW) abgelegt. Der FSW wird in einem ZweiKnoten-Cluster benötigt, um zu definieren, welcher Knoten als aktiver Knoten gestartet wird. Damit ein Knoten sich als aktiver Knoten definieren darf, und alle entsprechenden Ressourcen online geschaltet werden können, benötigt er eine Stimmenmehrheit im Cluster-Verbund. Da bei einem Zwei-Knoten-Cluster eine Stimmenmehrheit nicht zu erreichen ist, wird der erste Knoten, der sich mit dem FSW in Verbindung setzen kann, diesen als zweite Stimme für sich beanspruchen. Somit existiert eine Stimmenmehrheit von 2:1, und der Knoten wird als aktiver Knoten gestartet. Der zweite Knoten erkennt, dass er überstimmt wurde und wird sich als passiver Knoten in den Cluster-Verbund einbringen. Im Falle eines Defekts des aktiven Knotens ermittelt der passive Knoten durch die Nichterreichbarkeit des aktiven Knotens diesen Zustand und wird die Stimme des FSW mit seiner Stimme nutzen, um sich selbst als aktiven Knoten zu definieren und eine Übernahme der Ressourcen durchzuführen. Da der erste Knoten defekt ist und sich gegen die Übernahme der FSW-Stimme nicht zur Wehr setzen kann, werden die Ressourcen auf den zweiten Konten übertragen. Im Falle eines CCR-Clusters bestehen die Ressourcen hauptsächlich aus dem Cluster-Namen und der IP-Adresse, da der passive Knoten bereits eine Kopie der Datenbank besitzt, und es keinen gemeinsam genutzten Festplattenbereich gibt. Es wird empfohlen, das MNS-Verzeichnis auf einem Hub-TransportServer im gleichen Standort wie die Postfach-Server einzurichten. Der Hub-Transport-Server ist für eine Verfügbarkeit der ExchangeOrganisation notwendig und stellt daher eine Ressource dar, die durchgehend zur Verfügung steht. Zusätzlich wird empfohlen, die Freigabe des FSW auf ein Alias (CNAME) im DNS zu konfigurieren, da dieses die Übernahme auf eine andere Maschine im Fehlerfall sehr erleichtert.
427
Kapitel 10 Hochverfügbarkeit
Bereitstellen eines CCR-Clusters Für die Bereitstellung eines CCR-Clusters wird eine fehlerfrei funktionierende Active Directory-Struktur benötigt. Außerdem sollten die DNS- und WINS-Dienste fehlerfrei im Netzwerk zur Verfügung stehen. Ebenso sollte Ihre Umgebung wie in Kapitel 2, „Die Installation von Exchange Server 2007“, beschrieben vorbereitet sein. Ein Exchange Server 2007 mit den Rollen Hub-Transport und ClientAccess ist bereits in Ihrer Umgebung vorhanden und fehlerfrei konfiguriert. Nach Abschluss der unten aufgeführten Schritte besitzen Sie einen funktionierenden CCR-Cluster nach folgendem Prinzip.
Abbildung 10.8: Cluster Continuous Replication
Installieren Sie das Patch KB921181 oder das Service Pack 2 für Windows Server 2003 auf den Rechnern, die als Cluster-Knoten installiert werden sollen.
428
Die fortlaufende Replikation
Führen Sie folgende Schritte aus, um die Netzwerkkarten-Konfiguration auf ihren Cluster-Knoten A und B zu überprüfen: 1. Rufen Sie die NETZWERKVERBINDUNG über START AUSFÜHREN und die Eingabe von NCPA.CPL auf und prüfen Sie, ob Ihr Server über mindestens zwei Netzwerkkarten verfügt. 2. Diese Netzwerkkarten sollten über aussagekräftige Namen verfügen. Nennen Sie die Netzwerkkarte für das öffentliche Netzwerk, das mit den Clients verbunden ist, beispielsweise PublicLan. Das private Netzwerk, das mit dem Cluster-Netzwerk oder über ein gedrehtes Kabel direkt mit dem zweiten Cluster-Knoten verbunden ist, beispielsweise PrivatLan. 3. Im Fenster der Netzwerkverbindungen klicken Sie auf Erweitert und auf Erweiterte Einstellungen. Überprüfen Sie, ob in der Registerkarte Netzwerkkarten und Bindungen die Reihenfolge der Verbindungen korrekt gesetzt ist. An erster Stelle sollte die Netzwerkkarte mit der Bezeichnung PublicLan stehen und an zweiter Stelle die Netzwerkkarte mit der Bezeichnung PrivatLan. Sollte dies nicht der Fall sein, korrigieren Sie dies über die Pfeil-Buttons an der linken Seite, indem Sie den Pfeil nach oben oder unten anklicken, um die Position der jeweiligen Netzwerkkarte zu verschieben. Alle weiteren Netzwerkkarten, die hier aufgelistet werden, sollten nach der PrivatLan- Netzwerkkarte angeordnet sein. 4. Überprüfen Sie die IP-Konfiguration der Öffentlichen Netzwerkkarte. Diese muss eine feste IP-Adresse aus Ihrem internen Adressbereich besitzen. Die DNS-Einstellungen auf der Registerkarte DNS unter dem Punkt Erweitert auf den Eigenschaften der Netzwerkkarte müssen einen DNS-Server eingetragen haben, der Ihre internen Adressen auflösen kann. Weiter sollte der Haken bei Adressen dieser Verbindung in DNS registrieren gesetzt sein. Der Punkt Primäre und verbindungsspezifische DNS-Suffixe anhängen sowie der Haken bei Übergeordnete Suffixe des primären DNS-Suffix anhängen müssen gesetzt sein. 5. Überprüfen Sie auf der Registerkarte WINS unter dem Punkt Erweitert auf den Eigenschaften der Netzwerkkarte, dass der Punkt NetBIOS über TCP/IP deaktivieren gesetzt ist. 6. Überprüfen Sie die IP-Konfiguration der Privaten Netzwerkkarte. Diese muss eine feste IP-Adresse aus einem privaten Adressbereich besitzen. Es sollte keine Adresse aus Ihrem öffentlichen Adressbereich sein. Die DNS-Einstellungen auf der Registerkarte DNS unter dem Punkt Erweitert auf den Eigenschaften der Netzwerkkarte dürfen keinen Eintrag enthalten. Auch sollte kein Eintrag im Feld Gateway existieren. Der Haken bei Adressen dieser Verbindung in DNS registrieren muss deaktiviert sein.
429
Kapitel 10 Hochverfügbarkeit
7. Überprüfen Sie auf der Registerkarte WINS unter dem Punkt Erweitert auf den Eigenschaften der Netzwerkkarte, ob der Punkt NetBIOS über TCP/IP deaktivieren gesetzt ist und kein WINS Server aufgelistet wird. 8. Wiederholen Sie die Schritte 3 bis 6 für den zweiten Cluster-Knoten. Führen Sie folgende Schritte aus, um den Cluster-Dienst auf dem Windows Server 2003-Cluster-Knoten zu aktivieren: 1. Starten Sie den Cluster-Installationsassistenten über Start Ausführen und die Eingabe von cluster /create /wizard. 2. Geben Sie auf der Seite Clustername und Domäne Ihre Domäne und den Namen des Clusters an. In unserem Beispiel trägt der Cluster den Namen „E2007CCR“. Klicken Sie auf weiter. 3. Geben Sie den Namen des ersten Cluster-Knotens an. In unserem Fall ist dies der Hostname „KnotenA“. Der Installationsassistent überprüft die Cluster-Bereitstellung. Es wird Ihnen ein Fehler angezeigt, der ignoriert werden kann. Dieser Fehler wird durch das Nichtvorhandensein eines Quorum-Datenträgers verursacht.
Abbildung 10.9: Erwarteter Fehler bei der Cluster-Installation
430
Die fortlaufende Replikation
4. Geben Sie auf der Seite IP-Adresse eine IP-Adresse ein, mit der die ClusterVerwaltungsprogramme eine Verbindung zu diesem Cluster-Knoten herstellen können. Diese IP-Adresse ist keine Adresse von der öffentlichen- oder privaten Netzwerkkarte und auch nicht die Adresse des Cluster-SMTP-Servers. Die IP-Adresse kann nur zu Verwaltungsaufgaben genutzt werden. Es sollte eine IP-Adresse aus Ihrem öffentlichen Adressbereich sein, damit Sie für die Verwaltung den Cluster über diese Adresse ansprechen können. 5. Geben Sie den Namen und das Passwort des Cluster-Dienstkontos an. Das Konto, welches Sie an dieser Stelle angeben, muss über die Berechtigung verfügen, Exchange-Datenbanken bereitstellen zu dürfen. Bei der Installation ist es erforderlich, dass Sie ein Konto angeben, das über AdministratorRechte der Exchange-Organisation verfügt. Sie können das Dienstkonto nach der Installation der Mailbox-Serverrolle einschränken. Die benötigten Berechtigungen sind: 왘
Lokale Administratorrechte
왘
Exchange-Server Administrator auf dem Cluster-Knoten
Da die Gruppe der Exchange Server-Administratoren erst nach der Installation der Mailbox-Serverrolle zur Verfügung steht, sind die oben genannten Berechtigungen für die Cluster-Installation notwendig. 6. Klicken Sie auf der Seite Vorgeschlagene Clusterkonfiguration auf Quorum und wählen Sie als Typ Hauptknotensatz aus.
Abbildung 10.10: Hauptknotensatz
431
Kapitel 10 Hochverfügbarkeit
7. Nach erfolgreichem Abschluss der Konfiguration starten Sie die Installation auf dem zweiten Knoten über Start Ausführen und die Eingabe von cluster / cluster: /add /wizard. 8. Konfigurieren Sie den Cluster-Knoten wie in Punkt 9 bis 12. Führen Sie folgende Schritte aus, um das Verzeichnis für den MNS und den FSW zu erstellen: 1. Setzen Sie auf dem Rechner, auf dem das Verzeichnis für den MNS und das FSW erstellt werden soll, nachfolgenden Registry-Schlüssel. Dieser RegistrySchlüssel ermöglicht den Zugriff auf eine Freigabe auf einem Server, der über ein Alias (CNAME) im DNS angesprochen wird. Im Artikel KB281308 wird dies detailliert erklärt. 왘
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ Lanmanserver\Parameters
왘
Daten Type: REG_DWORD
왘
Daten Name: DisableStrictNameChecking
왘
Daten Wert: 1 (Dezimal)
Mit der Einführung von SP1 für den Exchange Server 2007 hat Microsoft im Rahmen seine Initiative „Secure by Default“ das Remote Streaming Backup deaktiviert. Durch das Remote Streaming Backup, welches bei der RTM-Version des Exchange Servers 2007 aktiviert war, war man in der Lage, über das Netzwerk Streaming-Sicherungen der Datenbanken und Log-Dateien durchzuführen. Damit die Angriffsfläche des Exchange Servers verringert wird, wurde diese Funktion in der SP1-Version deaktiviert. Da aber das CCR die Funktion des Remote Streaming Backups für das Überprüfen des Log-Dateien benötigt, muss über die Registrierung diese Einstellung beim Einsatz von CCR auf den jeweiligen Mailbox-Servern aktiviert werden. Setzen Sie dazu folgenden Registry-Schlüssel auf allen CCR-Mailbox-Servern: 왘
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ ExchangeIS\ParametersSystem
왘
Daten Type: REG_DWORD
왘
Daten Name: Enable Remote Streamin Backup
왘
Daten Wert: 1 (Dezimal)(aktiviert)
왘
Daten Wert: 0 (Dezimal)(deaktiviert)
432
Die fortlaufende Replikation
Diese Einstellung wird auch für einige Drittanbieter von Sicherungs-Softwareprogrammen benötigt. Weitere Informationen hierzu finden Sie in den Release Notes des SP1 für den Exchange Server 2007: http://download.microsoft.com/download/5/e/6/5e672458-592a-44a2-b48911cec19d3c82/RelNotes.htm Erstellen Sie ein Alias (CNAME) auf Ihrem DNS-Server. Geben Sie diesem Alias beispielsweise den Namen FSW und zeigen Sie mit einem Verweis auf denjenigen Server, der das Verzeichnis des MNS und FSW bekommen soll. Auf einem Windows-DNS-Server gehen Sie dazu wie folgt vor: 1. Klicken Sie auf dem DNS-Server auf Start Ausführen und geben Sie dnsmgmt.msc ein. 2. Wechseln Sie in der DNS Management Konsole auf die Forward-Lookupzone und dort in den Domänen Ordner. Klicken Sie auf AKTION • NEUES ALIAS (CNAME). 3. Geben Sie im Feld Vollqualifizierter Domänenname den Namen des Alias ein. In unserem Fall ist das FSW. 4. Im Feld Vollqualifizierter Domänenname des Zielhosts geben Sie den FQDN (Fully Qualified Domain Name) des Ziel-Servers an oder klicken auf Durchsuchen und wählen den Server aus. In unserem Fall ist das der Hostname des Hub-Transport-Servers. 5. Klicken Sie auf OK. Jetzt sehen Sie einen neuen Eintrag, der FSW lautet und auf den Hub-Transport-Server zeigt. 6. Wechseln Sie auf den Hub-Transport-Server und öffnen Sie die Eingabeaufforderung. Wechseln Sie in das Verzeichnis oder Laufwerk, auf dem Sie das Verzeichnis für den MNS erstellen wollen. 7. Geben Sie in der Eingabeaufforderung ein: 왘
mkdir
Verwenden Sie einen Namen für das Verzeichnis, den Sie leicht mit dem Verwendungszweck in Zusammenhang bringen können, zum Beispiel MNS_FSW_ DIR_E2007CCR. 8. Erstellen Sie eine Freigabe für das soeben angelegte Verzeichnis und erlauben Sie dem Cluster-Dienstkonto den vollen Zugriff auf diese Freigabe. Geben Sie dazu Folgendes in der noch geöffneten Eingabeaufforderung ein: 왘
Net share = /GRAND:,FULL
433
Kapitel 10 Hochverfügbarkeit
Geben Sie das Cluster-Dienstkonto im folgendem Format an: Domäne\ Konto. 9. Richten Sie über folgende Eingabe die NTFS-Berechtigungen für das freigegebene Verzeichnis ein: 왘
Cacls /G Vordefiniert\Administratoren:F <domäne\ Cluster-Dienstkonto>:F
Mit der oben gezeigten Eingabe erlauben Sie der lokalen Gruppe der Administratoren und dem Cluster-Dienstkonto einen Vollzugriff auf das freigegebene Verzeichnis. 10.Bestätigen Sie die Abfrage mit Ja. 11. Überprüfen Sie den Zugriff auf die Freigabe von beiden Cluster-Knoten aus, indem Sie über das Alias auf die Freigabe über den Windows Explorer oder eine andere Anwendung zugreifen (unter dem Account des Cluster-Dienstkontos). 12.Konfigurieren Sie mit dem nachfolgenden Befehl in der Eingabeaufforderung die Verwendung der Dateifreigabe für den Hauptknotensatz des Clusters (unter dem Account des Cluster-Dienstkontos): 왘
Cluster res “Hauptknotensatz“ /priv MNSFileShare=\\\
Nach der Eingabe des oben gezeigten Befehls erhalten Sie folgende Fehlermeldung:
Abbildung 10.11: MNS-Fehlermeldung
13.Diese Fehlermeldung wird durch das Verschieben der Cluster-Ressourcen behoben. Führen Sie dazu folgenden Befehl in der Eingabeaufforderung aus: 왘
Cluster group “Clustergruppe“ /move
14.Nachdem die Cluster-Gruppe erfolgreich verschoben wurde, führen Sie den vorherigen Befehl aus Punkt 30 erneut aus, um die Cluster-Gruppe wieder zurück zu verschieben.
434
Die fortlaufende Replikation
15.Überprüfen Sie den Zustand der Cluster-Gruppe über den Befehl: 왘
Cluster res “Hauptknotensatz“ /priv
Mit den Befehlen cluster group und cluster node in der Eingabeaufforderung können Sie sich noch den Namen der Cluster-Gruppe und den Zustand der beiden Cluster-Knoten anzeigen lassen. Nachdem Sie nun erfolgreich die Cluster-Konfiguration abgeschlossen haben, ist es Zeit, die Mailbox-Serverrolle auf dem aktiven Knoten zu installieren. Da Sie die Installation, wie in Kapitel 2, „Die Installation von Exchange Server 2007“, beschrieben, über mehrere Wege durchführen können, werden wir in diesem Beispiel die Installation des aktiven Knotens über die grafische Benutzeroberfläche und die Installation des passiven Knoten über die Eingabeaufforderung im unbeaufsichtigtem Modus durchführen. 16. Legen Sie die Exchange Server-DVD in das DVD-Laufwerk Ihres ersten ClusterServers (in unserem Fall Knoten A) ein oder starten Sie die Datei setup.exe aus einem Verzeichnis, in das Sie die Exchange Server 2007-DVD kopiert haben. 17.Klicken Sie im angezeigten Willkommens-Fenster auf den Schritt 4: Microsoft Exchange installieren.
Abbildung 10.12: Installation des aktiven CCR-Knotens über die GUI
435
Kapitel 10 Hochverfügbarkeit
Die Schritte 1 bis 3 sollten nicht zur Auswahl bereitstehen, wenn Sie die Installationsanforderungen aus Kapitel 2, „Die Installation von Exchange Server 2007“, bereits erfüllen. Sollten die Schritte 1 bis 3 noch zur Auswahl stehen, so befolgen Sie bitte zuerst die Anweisungen jeweils hinter den ersten drei Schritten und fahren Sie danach mit Schritt 4 fort. 18.Lesen Sie den Text auf der Seite Einführung und klicken Sie auf weiter. 19.Lesen Sie den Lizenzvertrag und klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu und klicken Sie danach auf weiter. 20.Klicken Sie auf weiter. 21. Wählen Sie im Fenster Installationsart die Installationsart Benutzerdefiniert. Wählen Sie anschließend den Pfad für das Installationsverzeichnis aus. Klicken Sie auf weiter. 22.Wählen Sie den Punkt Aktive ClusteredMailbox Funktion aus. Die Option Management Tool wird automatisch mit angewählt. Alle anderen Serverrollen werden zur Auswahl deaktiviert.
Abbildung 10.13: Auswahl „Active ClusteredMailbox-Funktion“
436
Die fortlaufende Replikation
23.Belassen Sie die Auswahl auf Fortlaufende Clusterreplikation und geben Sie den Namen des Clusters ein, unter dem die Clients auf den Cluster zugreifen sollen. Geben Sie weiter die IP-Adresse des Clusters ein, unter dem die Clients den Server erreichen können. Definieren Sie hier den Pfad zu der Datenbank des Exchange Servers. Sie können den Pfad der Datenbank im Nachhinein noch über die PowerShell verändern. Diese IP-Adresse ist weder die physikalische IP-Adresse des Knotens noch die IP-Adresse, die Sie bei der Cluster-Erstellung angegeben haben. Unter der IP-Adresse, die Sie hier definieren, wird der Exchange Server 2007 von den Clients angesprochen. Dies bedeutet, dass Outlook und andere MAPI-Clients über diese IP-Adresse Zugang zum Exchange-Mailbox-Server erhalten. Beachten Sie zusätzlich, dass Sie den Pfad zur Datenbank auf dem aktiven Knoten nur solange über die PowerShell verändern können, solange sich noch kein passiver Knoten im Cluster-Verbund befindet. Eine Verschiebung der Datenbanken in einem bestehenden CCR-Cluster-Verbund wird unter den folgenden Adressen genau beschrieben: Verschieben einer Speichergruppe in einer bestehenden CCR-Umgebung: http://technet.microsoft.com/de-de/library/aa996391.aspx http://technet.microsoft.com/en-us/library/aa996391.aspx Verschieben eines Postfachspeichers in einer bestehenden CCR-Umgebung: http://technet.microsoft.com/de-de/library/aa997646.aspx http://technet.microsoft.com/en-us/library/aa997646.aspx 24. Klicken Sie auf Ja, wenn Sie noch Outlook-Versionen älter als die Version 2007 oder Entourage-E-Mail-Clients verwenden Klicken Sie andernfalls auf Nein, wenn Sie nur Outlook-Versionen nach 2007 oder aktueller verwenden. Klicken Sie auf weiter.
437
Kapitel 10 Hochverfügbarkeit
Abbildung 10.14: Name und IP-Adresse des CCR-Mailbox-Servers
Wenn Sie JA wählen, erstellt das Exchange Server 2007-Setup automatisch eine Speichergruppe und eine Datenbank für öffentliche Ordner. Diese öffentliche-Ordner-Datenbank enthält die System-Ordner, die von Outlook 2003 oder älter benötigt werden, um auf Frei/GebuchtZeiten und das Offline-Adressbuch zugreifen zu können. Beachten Sie auch, dass bei einer CCR-Installation nur eine öffentliche-Ordner-Struktur in der gesamten Exchange-Organisation existieren darf, da die CCR-Konfiguration die Replikation zwischen mehreren öffentliche-OrdnerStrukturen deaktiviert. 25.Es erfolgt eine Überprüfung der Installationsvoraussetzungen. Klicken Sie auf Installieren, wenn die Prüfung erfolgreich beendet wurde, oder überprüfen Sie die Fehlermeldungen, die Ihnen angezeigt werden. 26.Klicken Sie nach Abschluss der Installation auf Fertig stellen.
438
Die fortlaufende Replikation
Die Installation des passiven Knotens des CCR-Clusters können Sie entweder über die GUI durchführen oder über die unbeaufsichtigte Installation. Bei der Installation über die GUI ist die Installation vergleichbar mit der Installation des aktiven Clusters. Sie wählen nur den Installationspunkt PASSIVE CLUSTEREDMAILBOX-FUNKTION anstelle von ACTIVE CLUSTEREDMAILBOX-FUNKTION. Bei der unbeaufsichtigten Installation wird vom Exchange Server 2007-Setup automatisch der aktive Cluster-Knoten erkannt – sofern noch kein passiver ClusterKnoten installiert wurde. Die unbeaufsichtigte Installation konfiguriert die Mailbox-Serverrolle als passiven Cluster-Knoten. 27.Um den passiven Cluster-Knoten über die unbeaufsichtigte Installation zu starten, legen Sie die Exchange Server 2007-DVD in das DVD-Laufwerk des Servers ein, der als passiver Cluster-Knoten installiert werden soll. 28.Starten Sie die Eingabeaufforderung über Start Ausführen und geben Sie cmd ein. 29. Starten Sie die Installation über die Eingabe von :\ setup.com /roles:Mailbox in der Eingabeaufforderung. Bei einer Installation der Mailbox-Serverrolle als Cluster müssen sich die Installationsdateien des Exchange Servers 2007 auf allen ClusterKnoten im gleichen Verzeichnis befinden. Der Standardpfad bei der Installation lautet C:\Programme\Microsoft\Exchange Server\. Nach Abschluss der Installation wird der Exchange Server 2007 eine Kopie der Datenbank des aktiven Cluster-Knotens auf dem passiven Cluster-Knoten anlegen. Dieser Vorgang wird als Seeding bezeichnet und lässt sich auch manuell über die Exchange Management Shell durchführen. Der Vorgang kann je nach Größe der Datenbank etwas Zeit in Anspruch nehmen. Gedulden Sie sich daher ein wenig, bevor Sie mit einer eventuellen Fehlersuche beginnen. Nach Abschluss des Seedings verfügen Sie über einen funktionsfähigen CCRCluster. Verwalten eines CCR-Clusters Verwalten Sie den CCR-Cluster nur über die dafür vorgesehenen Exchange Management Console-Befehle. Die Cluster-Verwaltung des Windows Servers sollten Sie bei einer CCR-Konfiguration nur noch zur Ansicht der Cluster-Konfiguration nutzen. Der Grund hierfür ist, dass beispielsweise bei einem geplanten Ausfall und dem damit verbundenen Schwenken des aktiven Cluster-Knotens auf den passiven Cluster-Knoten durch den Exchange Management ConsoleBefehl auch gleichzeitig eine Überprüfung auf Konsistenz der Transaktionsproto-
439
Kapitel 10 Hochverfügbarkeit
kolle durchgeführt wird und noch nicht kopierte Transaktionsprotokolle kopiert werden. Beim geplanten Schwenken der Cluster-Knoten über die Windows Server-Cluster-Verwaltung werden diese Überprüfungsmechanismen nicht ausgeführt. Es kann daher zu ungewolltem Datenverlust kommen. Mit folgendem Befehl verschieben Sie den Postfach-Cluster-Server zwischen zwei Knoten: Move-ClusteredMailboxServer Identity: -targetmachine: -movecomment: Weitere Befehle zum Konfigurieren des CCR-Clusters finden Sie in der Hilfe zu Exchange Server 2007 oder in der Online-Dokumentation unter der folgenden Adresse: http://technet.microsoft.com/de-de/library/aa997676.aspx Mit Einführung von SP1 für den Exchange Server 2007 erhalten Sie die Möglichkeit, folgende Exchange Management Shell-Befehle über eine grafische Oberfläche in der Exchange Management Console auszuführen: 왘
Move-ClusteredMailboxServer
왘
Stop-ClusteredMailboxServer
왘
Start-ClusteredMailboxServer
왘
Suspend-StorageGroupCopy
왘
Resume-StorageGroupCopy
왘
Update-StorageGroupCopy
왘
Restore-StorageGroupCopy
10.5 Der Einzelkopie-Cluster Beim Einzelkopie-Cluster (Single Copy Cluster, SCC) handelt es sich um den klassischen Exchange-Cluster, den Sie wahrscheinlich schon aus früheren ExchangeVersionen kennen. Dabei teilen sich die Exchange-Cluster-Knoten einen gemeinsamen Speicherbereich auf einem geteilten Festplattenbereich (Shared Storage). Auf diesem geteilten Festplattenbereich werden die Exchange-Datenbanken und die Transaktionsprotokolle abgelegt.
440
Der Einzelkopie-Cluster
Abbildung 10.15: Architektur des Einzelkopie-Clusters
Die Installation des Einzelkopie-Clusters hat sich im Vergleich zur Installation eines Exchange Server 2003-Clusters vereinfacht. Viele der Aufgaben, die Sie nach der Cluster-Installation durchführen mussten, wurden in die Installationsroutine der Einzelkopie-Cluster-Installation integriert. Auch sind die Standardeinstellungen für die Cluster-Konfiguration optimiert worden. In der Standardkonfiguration sind die Einstellungen der Exchange-Cluster-Konfiguration optimal vorkonfiguriert. Anpassungen der Einstellungen können Sie dennoch nach der Installation manuell vornehmen. Quorum Weiter wird auf dem geteilten Festplattenbereich der sogenannte Quorum-Bereich abgelegt. Der Quorum-Bereich ist verantwortlich für die Konfigurationsdateien der Cluster-Konfiguration. Bei der Erstellung des Clusters legt der Cluster-Konfi-
441
Kapitel 10 Hochverfügbarkeit
gurationsassistent die Konfigurationsdateien an. Sie müssen den Festplattenplatz angeben, auf dem die Dateien abgelegt werden sollen. Stellen Sie sicher, dass alle Cluster-Knoten auf diesen Festplattenbereich zugreifen können. Beim Starten des ersten Servers aus dem Cluster-Verbund ruft dieser Server die Cluster-Konfigurationsinformationen aus dem Quorum-Bereich ab und startet diesen Cluster-Knoten als aktiven Knoten. Anforderungen an einen Einzelkopie-Cluster Die Anforderungen an den SCC sind im Wesentlichen die gleichen wie an einen Exchange Server 2007, der nicht in einem Cluster installiert ist. Diese Anforderungen finden Sie in Kapitel 2, „Die Installation von Exchange Server 2007“. Zusätzlich bestehen noch weitere Anforderungen, die Sie berücksichtigen müssen, bevor Sie einen Einzelkopie-Cluster installieren und in Betrieb nehmen können. Im folgenden Abschnitt finden Sie die zusätzlichen Anforderungen für den SCC: Namensauflösung: Stellen Sie sicher, dass die DNS-Konfiguration in Ihrer Active Directory-Umgebung funktionsfähig ist und keine Fehler aufweist. Sollte Ihr DNSSystem keine dynamischen Updates umsetzen können, müssen Sie die Host-Einträge (A-Records) für jeden Mailbox-Cluster und für den Cluster selbst manuell eintragen. Falls Sie einen Windows Server-DNS-Dienst verwenden, finden Sie im Artikel KB322856 weitere Informationen zur Konfiguration der DNS-Server: http://support.microsoft.com/kb/322856/de http://support.microsoft.com/?kbid=322856 Auch sollten Sie folgenden Artikel beachten, wenn der Verzeichnisname sich von dem Active Directory-Verzeichnisnamen unterscheidet, in dem die Cluster-Knoten installiert sind. Dort wird dann der Wert DNSHOSTNAME nicht automatisch gesetzt und verhindert möglicherweise, dass der Dienst MSEXCHANGEFRS (Exchange-Replikations-Dienst) ordnungsgemäß arbeitet: http://support.microsoft.com/kb/240942/de http://support.microsoft.com/?kbid=240942
442
Der Einzelkopie-Cluster
Domäne: Alle Cluster-Knoten müssen Mitglied der gleichen Domäne sein. Die Installation von Cluster-Knoten in unterschiedlichen Domänen wird nicht von Microsoft unterstützt. Weiter darf kein Exchange Server 2007-Cluster-Knoten auch zusätzlich Domänen-Controller sein. Cluster: Der Cluster muss vor der Installation von Exchange gebildet werden. Der Name des Clusters darf nicht länger als 15 Zeichen sein. Der Cluster darf keine weiteren Funktionen wahrnehmen – wie zum Beispiel Exchange Server 2000- oder 2003-Cluster oder aber SQL Server-Cluster. Hardware: Die eingesetzte Hardware muss im Windows Server-Katalog aufgeführt sein. Dies gewährleistet den Support von Seiten Microsofts. Weiter müssen die Hardware-Komponenten bei einem geografisch getrennten Cluster im Windows Server-Katalog als geeignet für geografisch getrennte Cluster aufgeführt sein. Den Windows Server-Katalog finden Sie unter der folgenden Adresse: http://www.windowsservercatalog.com/ Software: Ein Cluster kann nur mit einem Windows Server Enterprise Edition erstellt werden. Daher muss für einen Exchange Server 2007 SCC jeder Knoten das Betriebssystem Windows Server Enterprise Edition installiert haben. Außerdem müssen Sie auf jedem Knoten die gleiche Version der Exchange Server 2007-Software installieren. Es kann nur die Serverrolle Mailbox als Cluster installiert werden. Alle anderen Serverrollen müssen auf einem weiteren physikalischen Server installiert werden. Informationen zur Ausfallsicherheit der anderen Serverrollen finden Sie in diesem Kapitel im Abschnitt „Hochverfügbarkeit der anderen Serverrollen“. Netzwerk: Für einen funktionierenden Cluster ist es sehr wichtig, dass die Netzwerkvoraussetzungen stimmen. Der SCC benötigt mindestens zwei Netzwerkkarten. Eine dieser Netzwerkkarten ist für die Cluster-Konfigurations- und Gesundheitsübermittlung (privates Netzwerk) zuständig. Die zweite Netzwerkkarte ist für die Verbindung zu der Domäne und somit zu den Clients (öffentliches Netzwerk) zuständig. Im weiteren Verlauf dieses Kapitels wird gezeigt, wie Sie die Netzwerke für den Cluster konfigurieren. Dabei muss darauf geachtet werden, dass für das private und für das öffentliche Netzwerk unterschiedliche Subnetze verwendet werden.
443
Kapitel 10 Hochverfügbarkeit
Verwenden Sie zum Beispiel das folgende Subnetz für das private Netzwerk: IP: 10.10.10.x Subnetzmaske: 255.255.255.0 Und folgendes Subnetz für das öffentliche Netzwerk: IP: 192.168.0.x Subnetzmaske: 255.255.255.0 Die hier genannten Subnetze sind nur Beispiele dafür, dass sich das private Netzwerk und das öffentliche Netzwerk nicht im gleichen Subnetz befinden dürfen. Mit SP1 für den Exchange Server 2007 wurde eine Verbesserung der Log-DateiÜbermittlung eingeführt. Sie können mit SP1 ein eigenes Netzwerk zur Verfügung stellen, das ausschließlich für die Übermittlung der Log-Dateien auf den passiven Knoten zuständig ist. Dies hat unter anderem folgende Vorteile. 왘
Sie erhöhen die sichere Kommunikation, da Sie ein spezielles Netzwerk für die Übermittlung der Log-Dateien verwenden, das explizit abgesichert werden kann.
왘
Sollte das öffentliche Netzwerk ausfallen, kann eine Kommunikation über das Log-Datei-Netzwerk aufrechterhalten werden.
왘
Stellen Sie sich vor, Ihr passiver Knoten ist für einige Stunden nicht erreichbar, und in dieser Zeit sammeln sich viele Log-Dateien auf dem aktiven Knoten an. Diese werden nach Verfügbarkeit des passiven Knotens alle zum passiven Knoten über das öffentliche Netzwerk kopiert. Mit einem eigenen Netzwerk für die Log-Dateien entlasten Sie so das öffentliche Netzwerk von diesem hohen Datenaufkommen.
Beachten Sie auch, dass sich alle privaten Netzwerke der Cluster-Knoten für die Exchange Server 2007-RTM-Version in einem Subnetz installiert sind, sowie dass alle öffentlichen Netzwerke der Cluster-Knoten in einem weiteren Subnetz installiert sind. Bei geografisch verteilten Clustern müssen Sie das Subnetz, in dem der Cluster installiert ist, über sogenannte virtuelle lokale Netzwerke (VLAN) über die geografischen Standorte hinweg ausdehnen, um zu gewährleisten, dass alle Cluster-Knoten in einem Subnetz erreichbar sind. Um diese Anforderung zu verdeutlichen, zeigt die folgende Abbildung einen geografisch getrennten Cluster über zwei Standorte hinweg.
444
Der Einzelkopie-Cluster
Abbildung 10.16: Geografisch verteilter Exchange Server 2007-Cluster (VLAN)
Geocluster mit Windows Server 2008 und Exchange Server 2007 SP1 Mit dem SP1 und der Verfügbarkeit von Windows Server 2008 ist es auch möglich, geografische Cluster in unterschiedlichen Subnetzen zu betreiben. Dies ist keine neue Funktion des Exchange Servers 2007 mit SP1, sondern wird von der verbesserten Cluster-Funktion des Windows Servers 2008 bereitgestellt. Mit dem SP1 für den Exchange Server 2007 wird lediglich der Betrieb eines Exchange Servers 2007 auf einem Windows Server 2008 unterstützt. Unter Windows Server 2008 werden auch Cluster-Knoten in unterschiedlichen Active Directory-Standorten unterstützt. Dies gilt nicht für geografisch getrennte Exchange Server 2007-SCC- oder -CCRKonfigurationen. Diese müssen weiterhin einem Active DirectoryStandort zugeordnet sein.
445
Kapitel 10 Hochverfügbarkeit
Wie oben schon erwähnt, können die Cluster-Knoten in unterschiedlichen Subnetzen betrieben werden. Dies liegt daran, dass der Kommunikationsmechanismus auf die Reliable Session Protocol-Implementierung über UDP (Unicast) geändert wurde. Bei geografisch getrennten Cluster-Knoten in unterschiedlichen Subnetzen wird die IP-Adresse für die Netzwerknamens-Ressource über DHCP zugeordnet (sofern dies eingestellt ist). Dadurch ist beim Schwenken eines Cluster-Knotens auf einen Cluster-Knoten in einem anderen Subnetz weiter der Name der Netzwerknamens-Ressource verfügbar und die IP-Adresse wird über den DNS-Dienst zur Verfügung gestellt. Dies kann zu Verzögerungen führen, bis ein Outlook-Client wieder Zugriff auf den geschwenkten ClusterKnoten hat. Grund ist das Aktualisierungsintervall von DNS und der lokale DNS-Cache des Clients. Es wird empfohlen, die TTL-Zeit (Time to Live) für den Netzwerknamenseintrag der Cluster-Knoten auf zehn Minuten zu setzen. Am Client können Sie den DNS-Cache leeren, indem Sie den Befehl ipconfig /flushdns über die Eingabeaufforderung aufrufen. Windows Server 2008 unterstützt IPv6-Adressen. Eine DHCP-Verteilung von IPv6-Adressen über den Windows Server 2008 wird nicht unterstützt. Beachten Sie dies bitte, da dadurch auch eine Verwendung von Cluster-Knoten mit DHCP-Konfiguration und IPv6-IPAdressen für Exchange Server 2007 nicht unterstützt wird. Speichersystem: Stellen Sie sicher, dass der geteilte Speicherbereich vor der Cluster-Installation zur Verfügung steht und jeder der Cluster-Knoten darauf zugreifen kann. Sie können beim SCC das Quorum auf einem geteilten Festplattenspeicherbereich bereitstellen oder – wie schon vom CCR bekannt – das Majority Node Set (MNS) verwenden. Der Datenbestand beim SCC muss aber auf einem geteilten Festplattenspeicherbereich abgelegt werden. Folgende Empfehlungen sollten Sie hierbei berücksichtigen: 왘
Verwenden Sie Laufwerkbereitstellungspunkte anstelle von Laufwerksbuchstaben.
왘
Speichern Sie die Datenbanken und Transaktionsprotokolle auf unterschiedlichen Festplattenspeicherbereichen.
왘
Verwenden Sie aussagekräftige Namen für die Pfadangaben und Ordner, damit Administratoren diese leichter den dafür vorgesehen Aufgaben zuordnen können. Damit vermeiden Sie Fehler durch missverständliche Angaben.
446
Der Einzelkopie-Cluster
Sie können keine Datenbanken oder Transaktionsprotokolle direkt auf einem Laufwerk ablegen. Erstellen Sie einen Ordner und speichern Sie die Dateien in diesem Ordner. Eine Speicherung auf oberster Ebene des Laufwerks wird von Exchange Server 2007 nicht unterstützt. 왘
Planen Sie die Speicherkapazitäten für die Festplattenbereiche ausreichend groß. Weitere Informationen dazu und eine Empfehlung zur Planung der Festplatten finden Sie in Kapitel 9, „Serverkonzeption und Dimensionierung“.
Dienstkonto: Für den Betrieb des Cluster-Dienstes wird ein Dienstkonto benötigt. Dieses Konto muss auf allen Cluster-Knoten verwendet werden und wird bei der Installation des Clusters angegeben. Weiter muss das Dienstkonto lokale Administrator-Berechtigungen auf allen Cluster-Knoten zugewiesen bekommen. Bereitstellung eines SCC 1. Installieren Sie alle verfügbaren Hotfixe und Service Packs auf den Servern. 2. Fügen Sie das Dienstkonto für den Cluster-Dienst in die lokale Gruppe der Administratoren auf Cluster-Knoten hinzu. Führen Sie folgende Schritte aus, um die Netzwerkkartenkonfiguration auf Ihren Cluster-Knoten A und B zu überprüfen: Rufen Sie die NETZWERKVERBINDUNG über START AUSFÜHREN und die Eingabe von ncpa.cpl auf und prüfen Sie, ob ihr Server über mindestens zwei Netzwerkkarten verfügt. 3. Diese Netzwerkkarten sollten über aussagekräftige Namen verfügen. Nennen Sie die Netzwerkkarte für das öffentliche Netzwerk, das mit den Clients verbunden ist, beispielsweise PublicLan. Das private Netzwerk, das mit dem Cluster-Netzwerk oder über ein gedrehtes Kabel direkt mit dem zweiten ClusterKnoten verbunden ist, beispielsweise PrivatLan. 4. Im Fenster der Netzwerkverbindungen klicken Sie auf Erweitert und auf Erweiterte Einstellungen. Überprüfen Sie, ob in der Registerkarte Netzwerkkarten und Bindungen die Reihenfolge der Verbindungen korrekt gesetzt ist. An erster Stelle sollte die Netzwerkkarte mit der Bezeichnung PublicLan stehen und an zweiter Stelle die Netzwerkkarte mit der Bezeichnung PrivatLan. Sollte dies nicht der Fall sein, korrigieren Sie dies über die Pfeil-Buttons an der linken Seite, indem Sie den Pfeil nach oben oder unten anklicken, um die Position der jeweiligen Netzwerkkarte zu verschieben. Alle weiteren Netzwerkkarten, die hier aufgelistet werden, sollten nach der Netzwerkkarte PrivatLan angeordnet sein.
447
Kapitel 10 Hochverfügbarkeit
5. Überprüfen Sie die IP-Konfiguration der Öffentlichen Netzwerkkarte. Diese muss eine feste IP-Adresse aus Ihrem internen Adressbereich besitzen. Die DNS-Einstellungen auf der Registerkarte DNS unter dem Punkt Erweitert auf den Eigenschaften der Netzwerkkarte müssen einen DNS-Server eingetragen haben, der Ihre internen Adressen auflösen kann. Weiter sollte der Haken bei Adressen dieser Verbindung in DNS registrieren gesetzt sein. Der Punkt Primäre und verbindungsspezifische DNS-Suffixe anhängen sowie der Haken bei Übergeordnete Suffixe des primären DNS-Suffix anhängen müssen gesetzt sein. 6. Überprüfen Sie auf der Registerkarte WINS unter dem Punkt Erweitert auf den Eigenschaften der Netzwerkkarte, ob der Punkt NetBIOS über TCP/IP deaktivieren gesetzt ist. 7. Überprüfen Sie die IP-Konfiguration der Privaten Netzwerkkarte. Diese muss eine feste IP-Adresse aus einem privaten Adressbereich besitzen. Es sollte keine Adresse aus Ihrem öffentlichen Adressbereich sein. Die DNS-Einstellungen auf der Registerkarte DNS unter den Punkt Erweitert auf den Eigenschaften der Netzwerkkarte dürfen keinen Eintrag enthalten. Weiter sollte kein Eintrag im Feld Gateway existieren. Der Haken bei Adressen dieser Verbindung in DNS registrieren muss deaktiviert sein. 8. Überprüfen Sie weiter auf der Registerkarte WINS unter dem Punkt Erweitert auf den Eigenschaften der Netzwerkkarte, ob der Punkt NetBIOS über TCP/IP deaktivieren gesetzt ist und kein WINS-Server aufgelistet wird. 9. Wiederholen Sie die Schritte 3 bis 6 für den zweiten Cluster-Knoten. Führen Sie folgende Schritte aus, um den Cluster-Dienst auf den Windows Server 2003-Cluster-Knoten zu aktivieren: 10.Starten Sie den Cluster-Installationsassistenten über Start Ausführen und die Eingabe von cluster /create /wizard. 11. Geben Sie auf der Seite Clustername und Domäne Ihre Domäne und den Namen des Clusters an. In unserem Beispiel trägt der Cluster den Namen „E2007SCC“. Klicken Sie auf weiter. 12.Geben Sie den Namen des ersten Cluster-Knotens an. In unserem Fall ist dies der Hostname „Knoten A“ bzw. „Knoten B“ für den zweiten Cluster-Knoten. 13.Geben Sie auf der Seite IP-Adresse eine IP-Adresse ein, mit der die ClusterVerwaltungsprogramme eine Verbindung zu diesem Cluster-Knoten herstellen können. Diese IP-Adresse ist keine Adresse von der öffentlichen oder privaten Netzwerkkarte und auch nicht die Adresse des Cluster-SMTP-Servers. Diese IP-Adresse kann nur zu Verwaltungsaufgaben genutzt werden. Es sollte eine IP-Adresse aus Ihrem öffentlichen Adressbereich sein, damit Sie für die Verwaltung den Cluster über diese Adresse ansprechen können. 14.Geben Sie den Namen und das Passwort des Cluster-Dienstkontos an.
448
Der Einzelkopie-Cluster
15.Klicken Sie auf der Seite Vorgeschlagene Clusterkonfiguration auf Quorum und wählen Sie als Quorum-Typ Datenträger Q: aus. Wobei der Datenträger, den Sie hier auswählen, einer der geteilten Festplattenbereiche sein muss.
Abbildung 10.17: Quorum auf geteiltem Festplattenbereich
16.Nach erfolgreichem Abschluss der Konfiguration starten Sie die Installation auf dem zweiten Knoten über Start Ausführen und die Eingabe von cluster / cluster: /add /wizard. 17.Konfigurieren Sie den Cluster-Knoten wie in den Punkten 11 bis 14. Nachdem Sie den Cluster auf dem zweiten Cluster-Knoten installiert haben, können Sie diesen Vorgang für bis zu acht Cluster-Knoten wiederholen. 18.Öffnen Sie auf dem ersten Cluster-Knoten die Clusterverwaltung über START • VERWALTUNG • CLUSTERVERWALTUNG. 19.Erweitern Sie den Punkt Clusterkonfiguration und Netzwerke. In den Eigenschaften der jeweiligen Netzwerkressourcen passen Sie die Verwendung an. 왘
PrivateLan: Nur interne Cluster-Kommunikation (privates Netzwerk)
왘
PublicLan: Jede Art von Kommunikation (gemischtes Netzwerk)
20.Sollten Sie noch weitere Netzwerkkarten zur Verfügung haben, und sind für die Verwendung im Cluster nicht relevant, so entfernen Sie bei diesen Netzwerkkarten den Haken bei Dieses Netzwerk für die Verwendung im Cluster aktivieren.
449
Kapitel 10 Hochverfügbarkeit
21.Wechseln Sie dann in der Clusterverwaltung in die Eigenschaften des Clusters. 22.Stellen Sie auf der Registerkarte Netzwerkpriorität die Reihenfolge der Netzwerke ein. An erster Stelle muss das Netzwerk PrivatLan stehen, gefolgt von PublicLan und danach alle weiteren relevanten Netzwerke. In diesem Beispiel führen wir die Installation des ersten aktiven Cluster-Knotens über die Eingabeaufforderung durch. Sie können diese Schritte aber auch über die GUI ausführen. Der zweite (passive) Cluster-Knoten wird dann über die GUI installiert, womit Sie dann beide Installationsmethoden kennengelernt haben. 23.Um den aktiven Cluster-Knoten über die unbeaufsichtigte Installation zu starten, legen Sie die Exchange Server 2007-DVD in das DVD-Laufwerk des Servers ein, der als aktiver Cluster-Knoten installiert werden soll. 24.Starten Sie die Eingabeaufforderung über Start Ausführen und geben Sie cmd ein. 25. Starten Sie die Installation über die Eingabe von :\ setup.com /roles:Mailbox in der Eingabeaufforderung. Nach Abschluss der Installation wechseln Sie in den Datei-Explorer und legen auf dem geteilten Festplattenbereich (Laufwerk), das Sie für die Ablage der Datenbank-Dateien geplant haben, einen Ordner an. In unserem Fall wurde der Ordner MBXSCCData genannt. Dies ist notwendig, da die unbeaufsichtigte Installation nicht in der Lage ist, einen Ordner für die Dateiablage der Datenbanken zu erzeugen, und eine Speicherung der Dateien auf oberster Laufwerksebene nicht zulässig ist. Somit haben wir nach der Erstellung des Ordners einen Ordner auf dem Laufwerk E:\MBXSCCData. Diesen Ordner werden wir verwenden, wenn wir im nächsten Schritt den Exchange Server 2007-Cluster bilden. 26.Wechseln Sie in der Eingabeaufforderung in das Verzeichnis Bin der Exchange Server 2007-Installation. Standardpfad dafür ist C:\Programme\Microsoft\ Exchange Server\Bin. 27.Geben Sie dort den nachfolgenden Befehl ein, um die Cluster-Installation zu starten: Exsetup.exe /newcms /CMSName: /CMSIPAddress: /CMSSharedStorage /CMSDataPath:.
450
Der Einzelkopie-Cluster
28.Öffnen Sie nach Abschluss der Installation erneut die Clusterverwaltung. Dort finden Sie unter dem Ordner Gruppen eine weitere Gruppe, die den Namen Ihres Exchange-Clusters trägt. Sollten die Datenträger-Ressourcen Ihrer geteilten Festplattenbereiche ebenfalls als einzelne Gruppen angezeigt werden, so ordnen Sie die Datenträger-Ressourcen der Exchange-Cluster-Gruppe zu und löschen danach die Gruppen für die Datenträger-Ressourcen. 29. Erweitern Sie in der Clusterverwaltung den Ordner Gruppen und klicken Sie auf die Gruppe, die eine Datenträger-Ressource beinhaltet, die Sie der ExchangeCluster-Gruppe zuordnen wollen. 30. Kicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Datenträger-Ressource und wählen Sie Gruppe ändern. Wählen Sie die ExchangeCluster-Gruppe aus und klicken Sie zweimal auf Ja. 31.Wiederholen Sie die Schritte 29 und 30 für alle Datenträger-Ressourcen, die Sie der Exchange-Cluster-Gruppe zuordnen wollen. 32.Nachdem Sie diese Schritte erfolgreich durchgeführt haben, sind die Datenträger-Ressourcen in der Exchange-Cluster-Gruppe aufgeführt. Löschen Sie jetzt noch die leeren Gruppen, in denen sich vorher die Datenträger-Ressourcen befunden haben. Durch das Zuweisen der Datenträger-Ressourcen zur Exchange-Cluster-Gruppe gewährleisten Sie, dass die Ressourcen beim Schwenken der Cluster-Knoten in Abhängigkeit zur Exchange-Cluster-Gruppe stehen und mit geschwenkt werden. Andernfalls würden die DatenträgerRessourcen nicht mit geschwenkt werden und ständen dem dann aktiven Cluster-Knoten nicht zur Verfügung. Dieser könnte die Datenbanken nicht starten und darauf zugreifen. 33.Überprüfen Sie, ob der Haken bei Die Gruppe beeinflussen in den Eigenschaften aller Datenträger-Ressourcen deaktiviert ist. Öffnen Sie dazu wieder die Clusterverwaltung und erweitern Sie die Ordner Gruppen und die ExchangeCluster-Gruppe. In den Eigenschaften der jeweiligen Datenträger-Ressource auf der Registerkarte Erweitert finden Sie den Punkt Die Gruppe beeinflussen. Entfernen Sie den Haken, sofern er gesetzt sein sollte.
451
Kapitel 10 Hochverfügbarkeit
Abbildung 10.18: Anpassen der Datenträger-Ressourcen
34.Wiederholen Sie den Schritt 33 für jede Datenträger-Ressource, die der Exchange-Cluster-Gruppe zugeordnet ist. Nun müssen Sie noch die Abhängigkeit der Datenträger-Ressource an die entsprechende Datenbankinstanz anpassen. 35.Öffnen Sie dafür in der Clusterverwaltung die Eigenschaften der Datenbankinstanz und wählen Sie auf der Registerkarte Abhängigkeiten den Punkt Ändern. 36.Fügen Sie alle Datenträger-Ressourcen hinzu, die für diese Datenbankinstanz notwendig sind. Also alle Datenträger, die Protokolldateien oder die Datenbankdatei selbst vorhalten. Damit Sie die Datenträger-Ressourcen zu den Abhängigkeiten hinzufügen können, muss die Bereitstellung der Datenbank aufgehoben sein. Nachdem Sie die Abhängigkeit festgelegt haben, können Sie die Datenbank wieder bereitstellen. Weitere Informationen zur Verwaltung von Datenträger-Ressourcen in einem SCC finden Sie unter folgender Adresse: http://technet.microsoft.com/de-de/library/aa996753.aspx http://technet.microsoft.com/en-us/library/aa996753.aspx
452
Der Einzelkopie-Cluster
Abbildung 10.19: Abhängigkeiten der Datenbankinstanz (MDB1)
37.Wiederholen Sie die Schritte 35 und 36 für jede Datenbankinstanz in Ihrer Exchange-Cluster-Gruppe. 38.Legen Sie die Exchange Server DVD in das DVD-Laufwerk Ihres Servers ein oder starten Sie die Datei setup.exe aus einem Verzeichnis, in das Sie die Exchange Server 2007-DVD kopiert haben. 39.Klicken Sie im angezeigten Willkommens-Fenster auf den Schritt 4: Microsoft Exchange installieren. Die Schritte 1 bis 3 sollten nicht zur Auswahl bereitstehen, wenn Sie die Installationsanforderungen aus Kapitel 2, „Die Installation von Exchange Server 2007“, bereits erfüllen. Sollten die Schritte 1 bis 3 noch zur Auswahl stehen, befolgen Sie zuerst die Anweisungen hinter den ersten drei Schritten und fahren Sie anschließend mit Schritt 4 fort. 40.Lesen Sie den Text auf der Seite Einführung und klicken Sie auf weiter. 41.Lesen Sie den Lizenzvertrag und klicken Sie auf Ich stimme den Bedingungen des Lizenzvertrags zu. Klicken Sie danach auf weiter. 42.Klicken Sie auf weiter.
453
Kapitel 10 Hochverfügbarkeit
43. Wählen Sie im Fenster Installationsart die Installationsart Benutzerdefiniert und wählen den Pfad für das Installationsverzeichnis aus. Klicken Sie auf weiter 44.Wählen Sie den Punkt Passive ClusteredMailbox Funktion aus. Die Option Management Tool wird automatisch mit angewählt. Alle anderen Serverrollen werden zur Auswahl deaktiviert.
Abbildung 10.20: Auswahl „Passive ClusteredMailbox-Funktion“
45.Es wird eine Überprüfung der Installationsvoraussetzungen durchgeführt. Klicken Sie auf Installieren, wenn die Prüfung erfolgreich beendet wurde, oder überprüfen Sie die Fehlermeldungen, die Ihnen angezeigt werden. 46.Klicken Sie nach Abschluss der Installation auf Fertig stellen. Zugegeben, die Installation des passiven Cluster-Knotens über die GUI ist unspektakulär. Aber auch über die unbeaufsichtigte Installation müssen nicht mehr Informationen angegeben werden. 47.Um den passiven Cluster-Knoten über die unbeaufsichtigte Installation zu starten, legen Sie die Exchange Server 2007-DVD in das DVD-Laufwerk des Servers ein, der als passiver Cluster-Knoten installiert werden soll.
454
Der Einzelkopie-Cluster
48. Starten Sie die Eingabeaufforderung über Start Ausführen und geben Sie cmd ein. 49. Starten Sie die Installation über die Eingabe von :\ setup.com /roles:Mailbox in der Eingabeaufforderung. Verwaltung des Einzelkopie-Clusters Die Cluster-Funktion wird vom Betriebssystem Windows Server 2003 bereitgestellt. Daher bietet der Windows Server auch eine Cluster-Verwaltungskonsole zur Verwaltung der Cluster-Konfiguration an. Wenn Sie einen Exchange Server 2007 mit der Cluster-Funktion von Windows Server verwenden, so stellt der Exchange Server 2007 eigene Cluster-Verwaltungsfunktionen zur Verfügung. Verwenden Sie zum Verschieben von Cluster-Knoten nur die Microsoft Management Shell mit dem Befehl move-ClusteredMailboxServer. Zur Verwaltung oder Kontrolle der Cluster-Konfiguration können Sie weiterhin die Datei Cluster.msc verwenden. Nur zum Verschieben der Cluster-Gruppe sollten Sie die entsprechenden Exchange Management Shell-Befehle verwenden. Überprüfen Sie in der Ereignisanzeige, ob beim Verschieben der Cluster-Ressourcen auf den anderen Cluster-Knoten folgende Ereignisse protokolliert werden: Ereignistyp:
Fehler
Ereignisquelle:
MSExchangeSA
Ereigniskategorie:
Allgemein
Ereigniskennung:
9317
Computer:
KnotenA
Beschreibung: Fehler bei der Registrierung des Dienstprinizipalnamens für exchangeMDB. Fehlercode c0072098. Sowie: Ereignistyp:Fehler
455
Kapitel 10 Hochverfügbarkeit
Ereignisquelle:
MSExchangeSA
Ereigniskategorie:
Allgemein
Ereigniskennung:
9317
Computer:
KnotenA
Beschreibung: Fehler bei der Registrierung des Dienstprinizipalnamens für exchangeRFR. Fehlercode c0072098. Sollten diese Fehler bei Ihnen angezeigt werden, können Sie diese mithilfe der in dem Artikel KB935676 beschriebenen Maßnahmen beheben. http://support.microsoft.com/default.aspx/kb/935676/de http://support.microsoft.com/kb/935676/en-us Nachdem Sie jetzt einen Einblick in die möglichen Cluster-Konfigurationen des Exchange Servers 2007 und in die zur Verfügung stehenden weiteren Hochverfügbarkeitsmöglichkeiten der Mailbox-Serverrolle bekommen haben, werden wir im nächsten Abschnitt einen Ausblick auf eine weitere Verfügbarkeitsmethode werfen, die aber erst mit dem Service Pack 1 für den Exchange Server 2007 zur Verfügung steht.
10.6 Die Standby Continuous Replication (SP1) Durch die Bereitstellung von Service Pack 1 für den Exchange Server 2007 erweitert Microsoft die Hochverfügbarkeitsmöglichkeiten um eine weitere Methode. Mit der Standby Continuous Replication wird ein Standby Recovery-Server vorgehalten. SCR verwendet dabei die gleichen Mechanismen der Log-Datei-Replikation wie LCR oder CCR. Der Unterschied bei einer SCR-Konfiguration liegt darin, dass Sie mehrere Ziele für eine Speichergruppe definieren können. Außerdem hat ein Administrator die Möglichkeit, ein Zeitfenster festzulegen, während dessen nicht eingespielte Log-Dateien in die Replikationskopie vom Server der Quelldatenbank entfernt werden. Im Unterschied zur LCR oder CCR werden die Log-Dateien nicht erst dann entfernt, wenn diese erfolgreich in der Datenbankkopie eingespielt wurden, sondern können schon nach einer definierten Zeit gelöscht werden. Dies ist in einigen Szenarien sehr hilfreich. Beim Umschwenken eines SCC Knoten, welcher noch nicht alle Log-Dateien in die SCR-Kopie eingespielt hat, würde dies bedeuten, dass die Datenbankkopie des SCR neu „geseeded“ werden müsste, da ihr möglicherweise Log-Dateien
456
Die Standby Continuous Replication (SP1)
fehlen. Der SCR-Mechanismus erlaubt es, die fehlenden Logdateien vom neuen aktiven SCC-Knoten zu beziehen und zu einem späteren Zeitpunkt in die SCRKopie einzuspielen. Somit entfällt die Notwendigkeit, dass die SCR-Datenbank komplett neu übertragen werden muss (Seeding).
10.6.1
Ziel und Quelle
Die unter LCR und CCR als aktive und passive Datenbank bezeichneten Kopien werden unter SCR als Ziel und Quelle bezeichnet. Eine der wichtigsten Funktionen ist die Möglichkeit, mehrere Ziele als SCR-Kopie anzugeben. Sie können so eine Speichergruppe auf weitere Exchange-Server 2007 SP1 kopieren und diese als Anlaufstelle für eine Wiederherstellung verwenden. Dabei kann die Quelle einer SCR-Datenbank natürlich auch gleichzeitig das Ziel einer anderen SCRDatenbank sein. Sie können auch eine Kombination von CCR und SCR verbinden, wobei das SCR-Ziel in einem entfernten Rechenzentrum nicht als Cluster konfiguriert sein muss. Wichtig ist nur (wie bei CCR auch), dass die Datenbank und Log-Datei-Pfade identisch sind. Sie können also auf einem Exchange Server mit der Rolle Mailbox kein SCR-Ziel erstellen, wenn dieser den Pfad schon für eine eigene Datenbank und Log-Dateien verwendet. Der Wiederherstellungs-Server mit einem SCR-Ziel muss im gleichen Installationspfad installiert werden wie der Exchange Server, der das Ziel zur Verfügung stellt. Die Quelle einer SCR-Konfiguration kann ein einfacher Postfach-Server oder ein Postfach-Server mit der Cluster-Konfiguration SCC oder CCR sein. Die Datenbank für die Wiederherstellung kann keine Quelle einer SCR sein. Auch darf eine Speichergruppe (wie bei einer LCR- oder CCR-Konfiguration) nur eine Datenbank enthalten, um als SCRQuelle verwendet zu werden. Als Ziel können Sie einen einfachen Postfach-Server verwenden oder einen passiven Cluster-Knoten in einem anderem Standort. Auf dem passiven ClusterKnoten darf der Windows-Cluster-Dienst konfiguriert sein, aber keine passive Cluster-Mailbox-Rolle, sondern nur eine einfache Mailbox-Serverrolle. Dieser Knoten kann mit dem Wiederherstellungsschalter setup.com /RecoverCMS zu einem vollwertigen Cluster-Knoten werden und somit als WiederherstellungsServer eingesetzt werden. Ein Ziel-Server muss über Exchange Server 2007 SP1 verfügen – unabhängig vom installierten Betriebssystem. Für Exchange Server 2007 SP1 werden die Betriebssysteme Windows Server 2003 SP1 sowie Windows
457
Kapitel 10 Hochverfügbarkeit
Server 2008 unterstützt. Somit kann ein SCR-Ziel-Server über eines dieser beiden Betriebssysteme verfügen. Es gibt aber auch Einschränkungen, die Sie bei der Verwendung von SCR berücksichtigen müssen. So ist es beispielsweise nicht möglich, einen Server, der als SCRZiel konfiguriert ist, zusätzlich mit LCR zu betreiben. Auch dürfen Sie nicht wie bei LCR oder CCR eine Sicherung der passiven Kopie bzw. der Zieldatenbank durchführen, da dies die Header-Informationen der Datenbank verändern und zu einem Abbruch der Log-Datei-Replikation führen würde. Sichern Sie nur die Quelldatenbank einer SCR-Konfiguration. In den folgenden Abbildungen zeigen wir Ihnen zwei Szenarien, wie SCR verwendet werden kann. Szenario 1: Dieses Szenario zeigt eine einfache Konfiguration über drei Active Directory-Standorte hinweg, wobei der jeweilige andere Standort die SCRKopie des anderen Standortes vorhält. So existiert in den Standorten A und C eine SCR-Kopie der Exchangen-Datenbanken aus Standort B zusätzlich zu den eigenen Exchange-Datenbanken. Am Standort B existieren SCR-Kopien der Standorte A und C. Am Standort C werden SCR-Kopien der Datenbanken der Standorte A und B gespeichert. Die Wiederherstellung einzelner Datenbanken kann über die Datenbankportabilität erreicht werden. Einen kompletten Server können Sie über den Installationsschalter SETUP.COM /RECOVERSERVER wiederherstellen.
Abbildung 10.21: SCR mit mehreren Zielen und Quellen
458
Die Standby Continuous Replication (SP1)
Szenario 2: In Szenario 2 existiert am Standort A ein CCR, der einen weiteren passiven Knoten am Standort B hat. Auf dem passiven Knoten in Standort B ist nur der Windows-Cluster-Dienst auf dem Knoten konfiguriert und eine einfache Mailbox-Serverrolle installiert (keine passive CCR-Mailbox-Serverrolle). Zur Wiederherstellung einzelner Datenbanken verwenden Sie die Datenbankportabilität bzw. zur Wiederherstellung des gesamten Cluster-Knotens den Installationsschalter SETUP.COM /RECOVERCMS.
Abbildung 10.22: SCR in einer CCR-Umgebung
Die Verwaltung der SCR-Konfiguration ist nur über die Exchange Management Shell möglich. Verwenden Sie dazu folgende Shell-Befehle: 왘
Suspend-StorageGroupCopy
왘
Resume-StorageGroupCopy
왘
Update-StorageGroupCopy
왘
Restore-StorageGroupCopy
왘
Get-StorageGroup
왘
Get-StorageGroupCopy
459
Kapitel 10 Hochverfügbarkeit
Einige der Exchange Management Shell-Befehle sind mit SP1 und SCR hinzugekommen. Andere wurden verändert, damit sie den Anforderungen an SCR gerecht werden. Unter anderem wurden den Befehlen new-StorageGroup und Enable-StorageGroupCop die Schalter -StandbyMachine, -ReplayLagTime und -TruncationLagTime hinzugefügt.
10.6.2
SCR und Log-Dateien
Um das bereits erwähnte Verhalten der Log-Dateien in einer SCR-Konfiguration besser verstehen zu können, gehen wir etwas tiefer in die Replikation der LogDateien ein. Bei einer fortlaufenden Replikation wie LCR oder CCR wird unter Exchange Server 2007 RTM mit dem Löschen der Log-Dateien auf der aktiven Kopie gewartet, bis eine Log-Datei in der passiven Kopie eingespielt ist oder eine Sicherung durchgeführt wurde. Mit dem Aktivieren der SCR-Funktionalität ändert sich dieses Verhalten etwas. Da eine SCR-Datenbank mehrere Ziele haben kann, wäre es unter Umständen verheerend, wenn auf den Zeitpunkt gewartet würde, bis die LogDatei auf allen Zielen erfolgreich eingespielt ist. Dies könnte beispielsweise auf der Festplatte der Quelldatenbank zu einem Überlauf der Festplattenkapazität führen. Damit dies verhindert wird, erlaubt es die SCR-Funktionalität, dass eine Log-Datei auf dem Quell-Server als löschbar gekennzeichnet wird, sobald diese von allen Ziel-Servern als untersucht gilt. Das bedeutet nicht, dass die Log-Datei bereits in die Zieldatenbank eingespielt wurde, sondern nur, dass der oder die Ziel-Server erreichbar sind und die Log-Datei erfolgreich entgegengenommen werden kann. Auf den Ziel-Servern läuft ein Hintergrundprozess, der alle drei Minuten überprüft, ob Log-Dateien als löschbar auf dem Ziel-Server, gekennzeichnet werden können. Eine Log-Datei wird auf dem Quell-Server als löschbar gekennzeichnet, wenn in einer SCR-Konfiguration die Sequenznummer der Datenbank auf dem Ziel-Server hinter der Sequenznummer der Überprüfungsdatei des Quell-Servers liegt, oder der Zeitraum für die Werte REPLAYLAGTIME und TRUNCATIONLAGTIME abgelaufen ist. Der Wert REPLAYLAGTIME wird vom Exchange-Replikations-Dienst verwendet, um festzustellen, wie lange er warten muss, bis er die Log-Datei in die Zieldatenbank einspielen soll. In der Standardeinstellung ist dieser Wert auf 24 Stunden (1.0:0:0) festgelegt und wird in der Form Tag.Stunde:Minute:Sekunde über den Schalter -ReplayLagTime im Befehl Enable-StorageGroupCopy oder New-StorageGroup angegeben. Es kann ein Wert zwischen 0 Sekunden und maximal sieben Tagen angegeben werden. Wird der Wert 0 Sekunden angegeben, gibt es keine
460
Hochverfügbarkeit der weiteren Serverrollen
Verzögerung beim Einspielen der Log-Dateien, die über der Standardgrenze von 50 Log-Dateien liegen. Diese Grenze von 50 Log-Dateien ist fest eingestellt, um zu verhindern, dass im Fehlerfall der aktiven Kopie (beispielweise bei einer CCRUmgebung) ein reseeding der SCR-Zieldatenbank notwendig wird. Der Wert TRUNCATIONLAGTIME wird vom Exchange-Replikations-Dienst verwendet, um festzustellen, wie lange er warten muss, bis er Log-Dateien als löschbar markieren darf, die auf den oder die Ziel-Server kopiert und erfolgreich in die SCR-Datenbankkopie eingespielt wurden. Der Zeitwert beginnt, sobald eine LogDatei erfolgreich in die SCR-Datenbankkopie eingespielt wurde. Der Wert wird in der Form Tag.Stunde:Minute:Sekunde über den Schalter -TruncationLagTime im Befehl Enable-StorageGroupCopy oder New-StorageGroup angegeben. Nachdem Sie die Werte ReplayLagTime und TruncationLagTime festgelegt haben, können Sie diese nur noch über das Deaktivieren und Aktivieren von SCR für die Datenbank ändern. Diese Werte sollten Sie beachten, da die SCR-Zieldatenbank erst dann angelegt wird, wenn der Wert von 50 Log-Dateien erreicht wurde und die festgelegte ReplayLagTime (Standard: 24 Stunden) überschritten ist.
10.7 Hochverfügbarkeit der weiteren Serverrollen Wie schon zu Beginn des Kapitels erwähnt, ist eine Hochverfügbarkeit immer nur so gut wie ihre schwächste Komponente. Daher bietet der Exchange Server 2007 auch für die weiteren Serverrollen Hochverfügbarkeit an. Diese ist nicht immer im Produkt selbst implementiert, sondern kann auch über weitere Funktionen wie den DNS-Dienst oder den Netzwerk-Lastausgleich (Network Load Balancing, NLB) erreicht werden. Im folgenden Abschnitt erfahren Sie mehr über die Möglichkeit der Hochverfügbarkeit für die Serverrollen: 왘
ClientAccess
왘
Hub-Transport
왘
Edge-Transport
왘
Unified Messaging
461
Kapitel 10 Hochverfügbarkeit
Hochverfügbarkeit für den ClientAccess-Server Für jeden Standort Ihrer Exchange-Organisation, an dem Sie einen Postfach-Server oder einen Cluster von Postfach-Servern betreiben, benötigen Sie einen Exchange Server 2007 mit der Rolle ClientAccess. In den Standorten, in denen Sie eine Hochverfügbarkeit der Mailbox-Serverrolle bereitstellen, sollten Sie mindestens zwei ClientAccess-Server zur Verfügung stellen. Damit diese beiden oder mehr ClientAccess-Server auch im Fehlerfall eine Ausfallsicherheit bieten, sollten die Server über einen Netzwerk-Lastausgleich (Network Load Balancing, NLB) ausgelegt sein. Sollten Sie Ihre ClientAccess-Server über einen oder mehrere ISA-Server 2006 veröffentlichen, benötigen Sie keine NLB-Funktionalität für den externen Zugriff. Der ISA-Server 2006 regelt die Lastverteilung und Ausfallsicherheit automatisch. Weitere Informationen hierzu finden Sie unter folgenden Internetadressen: http://technet.microsoft.com/de-de/library/aa997148.aspx http://technet.microsoft.com/en-us/library/aa997148.aspx Network Load Balancing Das Network Load Balancing (NLB) stellt eine Möglichkeit zur Verfügung, bis zu 32 Server unter einer IP-Adresse sichtbar zu machen. Dabei erhalten die Server zusätzlich zu ihrer eigenen IP-Adresse eine weitere gemeinsame IP-Adresse, über die sie dann von den Clients angesprochen werden. Der Windows Server 2003 bietet Ihnen die Möglichkeit, ein NLB über die Netzwerkkarte des Servers umzusetzen. Dafür wurde ein Treiber implementiert. Sie können die Gruppe von Servern über den NLB-Manager zentral von einem Rechner aus verwalten. Diese NLB-Software gewährleistet, dass im Fehlerfall eines Servers alle Anfragen an den noch funktionierenden Server geleitet werden. Sollten beide oder mehrere Server zur Verfügung stehen, werden die Anfragen aufgeteilt, damit nicht ein Server mehr zu tun hat als ein anderer. Weitere Informationen zum Einrichten und Verwalten von NLB mit Windows-Mitteln erhalten Sie unter folgender Adresse: http://technet2.microsoft.com/windowsserver/en/library/c1db8c13-da314541-81d8-e2b3ebe742fb1033.mspx?mfr=true Mit NLB ist es Ihnen auch möglich, nur gewisse Ports für die Weitergabe an die Server im NLB-Verbund zu erlauben. Dies könnte bei einem ClientAccess-Server unter Exchange Server 2007 beispielsweise nur Port 443 für den Zugriff auf OWA, Outlook Anywhere und ActiveSync sein.
462
Hochverfügbarkeit der weiteren Serverrollen
Hinweis zu Verwendung von Netzwerkports: Ohne Service Pack 1 für den Exchange Server 2007 wird von Microsoft nur der Port 443 in Verbindung mit NLB unterstützt. Mit SP1 für den Exchange Server 2007 werden Port 443 und Port 25 in Verbindung mit NLB unterstützt. Somit können Sie NLB auch für die Serverrollen Hub-Transport und Edge-Transport verwenden. Hochverfügbarkeit für den Hub-Transport-Server Für die Serverrolle Hub-Transport gelten die gleichen Hochverfügbarkeitsanforderungen wie für einen Exchange Server 2007 mit der Serverrolle ClientAccess. Der Unterschied dabei ist allerdings, dass Sie für den Hub-Transport-Server keine weiteren Maßnahmen treffen müssen, um eine automatische Ausfallsicherheit zu gewährleisten. Der Hub-Transport-Server regelt automatisch das Verarbeiten von E-Mail-Nachrichten, sollten zwei oder mehr Hub-Transport-Server an einem Standort installiert sein. Wenn Ihr Hub-Transport-Server die E-Mails direkt aus dem Internet empfängt, sollten Sie dafür sorgen, dass im Falle eines defekten Hub-Transport-Servers ein zweiter Server die E-Mails von extern entgegennehmen kann. Dazu können Sie entweder einen Backup-MX-Eintrag bei Ihrem Service Provider oder Ihrem eigenen im Internet erreichbaren DNS-Server einrichten. Oder Sie verwenden die Round-Robin-Funktionalität des DNS-Dienstes. Backup-MX-Eintrag Bei einem MX-Eintrag (Mail Exchange, MX) handelt es sich um einen Eintragstyp in einen DNS-Server, der Anfragen anderer SMTP-Server an den zuständigen SMTP-Server weitergibt. Dieser MX-Eintrag verweist normalerweise auf einen A-Eintrag auf einem DNS-Server, worüber dann die IP-Adresse des SMTP-Servers gefunden werden kann.
Abbildung 10.23: DNS-Abfrage auf die SMTP-Domäne web.de
463
Kapitel 10 Hochverfügbarkeit
Wie Sie in der oben gezeigten Abbildung sehen können, liefert die MX-Abfrage an die SMTP-Domäne web.de insgesamt zwei MX-Einträge zurück. Dahinter verbergen sich zwei A-Einträge, die wiederum über unterschiedliche IP-Adressen erreichbar sind. Über die Gewichtung im Feld PREFERENCE legen Sie fest, wann ein MX-Eintrag verwendet wird. Somit können Sie zwei MX-Einträge mit unterschiedlichen Gewichtungen (preference) anlegen, um bei einem Ausfall des ersten Servers, der sich hinter dem ersten MX-Eintrag verbirgt, den zweiten anzusprechen. Bei einer DNS-Anfrage an einem MX-Eintrag wird immer zuerst der Server mit der geringsten Gewichtung kontaktiert. Sollte dieser nicht in einer vorgeschriebenen Zeit antworten, wird der MX-Eintrag mit der nächst höheren Gewichtung befragt. Dies wäre dann der sogenannte Backup-MX-Eintrag. Round-Robin-Funktionalität Die Round-Robin-Funktion ist in der Standardkonfiguration eines WindowsDNS-Servers aktiviert und kann genutzt werden. Round-Robin gibt eine Liste der gleichen A-Einträge in einer bestimmten Reihenfolge aus. Sollten Sie beispielsweise zwei Hub-Transport-Server haben, so richten Sie für diese beiden Server jeweils einen gleichen A-Eintrag ein, der sich nur in der IP-Adresse des jeweiligen Hub-Transport-Servers unterscheidet. Bei einer DNS-Anfrage an diesen Server (A-Eintrag), wird dann über die Round-Robin-Funktion erst die IPAdresse des ersten Hub-Transport-Servers zurückgegeben und bei einer weiteren Anfrage die IP-Adresse des zweiten. Somit teilen sich die Server die anstehenden Anfragen auf. Nachteil bei der Round-Robin-Funktion ist, dass die Nichtverfügbarkeit eines Servers durch den DNS-Dienst nicht erkannt wird und somit die Hälfte der Anfragen nicht mehr beantwortet werden. Es erfolgt keine automatische Verteilung auf den noch erreichbaren Server. Daher sollten Sie die Verfügbarkeit eines Servers überwachen, um auf einen solchen Fehler reagieren zu können. Hochverfügbarkeit für den Edge-Transport-Server Haben Sie in Ihrer Exchange-Organisation mehrere Edge-Transport-Server konfiguriert, sind diese für den Empfang der E-Mail-Nachrichten aus dem Internet zuständig. Nun besteht die Möglichkeit, diese ebenfalls über die weiter oben beschriebenen Funktionen des Backup-MX-Eintrags und mithilfe der RoundRobin-Funktion absichern. Ebenso gilt auch hier der Hinweis, dass ab Service Pack 1 für den Exchange Server 2007 die NLB-Funktion auch für Port 25 und somit für die Gestaltung einer Ausfallsicherheit für den Edge-Transport-Server verwendet werden kann.
464
Hochverfügbarkeit der weiteren Serverrollen
Beachten Sie bei der Ausfallsicherheit eines Edge-Transport-Servers, dass diese ihre Konfiguration nicht im Active Directory speichern können, da die Server nicht Bestandteil der Active Directory-Struktur sind. Dies erfordert eine erweiterte Konfiguration der Datensicherung und Wiederherstellung. Weitere Informationen zur Datensicherung und Wiederherstellung eines Edge-Transport-Servers finden Sie in Kapitel 8, „Konzepte und Überlegungen zum Aufbau einer Exchange-Umgebung“. Hochverfügbarkeit für den Unified Messaging-Server Die Hochverfügbarkeit der Serverrolle Unified Messaging stellen sie über eine redundante Auslegung der Serverrolle zur Verfügung. Installieren Sie einfach eine oder mehrere weitere Unified Messaging-Serverrollen in Ihrer Umgebung, die sich einen oder mehrere Wählpläne teilen. Anhand des Round-Robin-Verfahrens können die Unified Messaging-VoIP-Gateways die Server mit der Serverrolle Unified Messaging ansprechen, um die Last zu verteilen. Weiter empfangen die VoIP-Gateways eine Liste der Unified Messaging-Server für einen Wählplan über den DNS-Dienst und verbinden sich automatisch mit einem anderen Unified Messaging-Server, sobald eine Verbindung fehlschlagen würde. Checkliste zur Bereitstellung eines CCR 1.
Installieren von KB921181 oder SP2 für Windows Server auf den zukünftigen Cluster-Knoten (siehe Schritt 1)
2.
Überprüfen der Netzwerkkarten (siehe Schritte 2 bis 8)
3.
Bereitstellen des Windows-Clusters auf dem ersten Knoten (siehe Schritte 9 bis 14)
4.
Bereitstellen des Windows-Clusters auf dem zweiten Knoten (siehe Schritte 15 bis 16)
5.
Setzen des Registry-Keys DisableStrictNameChecking aus dem Artikel KB281308 (siehe Schritt 17), Hinweis zum Remote Streaming Backup bei SP1 beachten
6.
Einrichten eines Alias (CNAME) im DNS (siehe Schritte 18 bis 22)
7.
Erstellen eines Verzeichnisses für den MNS (siehe Schritte 23 bis 24)
8.
Freigeben des Verzeichnisses inklusive Freigabeberechtigungen (siehe Schritt 25)
9.
Einrichten der NTFS-Berechtigungen (Dateiberechtigungen) auf dem MNSVerzeichnis (siehe Schritte 26 und 27)
10.
Überprüfen der Zugriffsberechtigungen auf das MNS-Verzeichnis (siehe Schritt 28)
465
Kapitel 10 Hochverfügbarkeit
11.
Definieren des Hauptknotensatzes auf die FSW-Freigabe (siehe Schritt 29)
12.
Verschieben der Cluster-Gruppe (siehe Schritte 30 und 31)
13.
Überprüfen der Cluster-Konfiguration (siehe Schritt 32)
14.
Installieren der Serverrolle Mailbox auf dem ersten (aktiven) Knoten (siehe Schritte 33 bis 43)
15.
Installieren der Serverrolle Mailbox auf dem zweiten (passiven) Knoten (siehe Schritte 44 bis 46)
Checkliste zur Bereitstellung eines Single Copy Clusters (SCC) 1.
Aktualisieren der Cluster-Knoten (siehe Schritt 1)
2.
Berechtigen des Dienstkontos für den Cluster-Dienst (siehe Schritt 2)
3.
Überprüfen der Netzwerkkarten (siehe Schritte 3 bis 9)
4.
Bereitstellen des Windows-Clusters auf dem ersten Knoten (siehe Schritte 10 bis 15)
5.
Bereitstellen des Windows-Clusters auf dem zweiten Knoten (siehe Schritte 16 und 17)
6.
Anpassen der Windows Server-Cluster-Konfiguration (siehe Schritte 18 bis 22)
7.
Installieren der Serverrolle Mailbox auf dem ersten (aktiven) Knoten (siehe Schritte 23 bis 28)
8.
Zuweisen der Datenträger-Ressourcen (siehe Schritte 29 bis 32)
9.
Anpassen der Abhängigkeiten und der Beeinflussung (siehe Schritte 33 bis 37)
10.
Installieren der Serverrolle Mailbox auf dem zweiten (passiven) Knoten (siehe Schritte 38 bis 46)
466
Anhang A A.1
Die Installationsschalter der unbeaufsichtigten Installation
Schalter
Wert
Beispiel
/mode: oder /m:
Install, Uninstall
Setup.com /m:uninstall
/role: oder /r:
Mailbox oder MB oder M
Setup.com /r:C,M,H
HubTransport oder HT oder H ClientAccess oder CA oder C UnifiedMessaging oder UM oder U ManagementTools oder MT oder T EdgeTransport oder ET oder E /OrganizationName: oder /on:
Name der Organisation. Beachten Sie die Zeichen aus Tabelle 1.1, die nicht verwendet werden dürfen.
Setup.com /r:H,M / ON:ExchOrg
/TargetDir: oder /t:
Setup.com /t:C:\ Programme\Exchange
/SourceDir: oder /s
Setup.com /s:D:\
/UpdatesDir: oder /u:
Setup.com /u:C:\ Updates
/DomainController: oder /dc:
FQDN oder NetBIOS Name des Domänen-Controllers
Setup.com / dc:dc01.exchange2007-buch.de
/answerFile: oder /af:
Setup.com /af:A:\ ExchangeSetup.txt
/DoNotStartTransport
Setup.com /DoNotStartTransport
/EnableLegacyOutlook
Setup.com /EnableLegacyOutlook
/LegacyRoutingServer
Setup.com /LegacyRoutingServer
Tabelle A.1: Übersicht über die Schalter für die unbeaufsichtigte Installation
Anhang A
Schalter
Wert
Beispiel
/EnableErrorReporting
Setup.com /EnableErrorReporting
/NoSelfSignedCertificates
Setup.com /NoSelfSignedCertificates
/AdamLdapPort
Setup.com / AdamLdapPort 50389
/AdamSslPort
Setup.com /AdamSslPort 50636
/mode: oder /m:
RecoverServer
Setup.com /m:RecoverServer
/TargetDir: oder /t:
Setup.com /t:C:\Programme\Exchange
/EnableErrorReporting
Setup.com /EnableErrorReporting
/DoNotStartTransport
Setup.com /DoNotStartTransport
/PrepareLegacyExchangePermissions oder /pl
Setup.com /pl
/PrepareSchema oder /ps
Setup.com /ps
/PrepareDomain: oder /pd:
Setup.com /pd
/PrepareAllDomains oder /pad
Setup.com /pad
/PrepareAD oder /p
Setup.com /pad
/DomainController: oder /dc:
Setup.com / dc:DC01.ex2007buch.de
/NewCms
/CmsName: oder /cn:
Setup.com /NewCms / cn:Cluster01 / cip:192.168.0.100
/CMSIPAddress: /cip: /RemoveCms
/CmsName: oder /cn:
Setup.com /RemoveCms /cn:Cluster01
Tabelle A.1: Übersicht über die Schalter für die unbeaufsichtigte Installation (Forts.)
468
Anhang A
Schalter
Wert
Beispiel
/RecoverCms
/CmsName: oder /cn:
Setup.com /RecoverCms /cn:Cluster01
/CmsSharedStorage oder /css
Setup.com /NewCms /css
/CmsDataPath oder / cdp
Setup.com /NewCms /cdp:E:\Cluster01\
/NewProvisionedServer: oder /nprs:
<Servername>
Setup.com / nprs:exchange2007
/RemoveProvisionedServer: oder /rprs:
<Servername>
Setup.com / rprs:exchange2007
/ForeignForestFQDN
Setup.com /ForeignForestFQDN:ExRes. buch-2007.de
/ServerAdmin oder /sa
Setup.com /sa:Buch2007\ExchAdmin
/AddUmLanguagePack:
<Sprachpaket>
Setup.com /AddUmLanguagePack:de-DE
/RemoveUmLanguage- <Sprachpaket> Pack:
Setup.com /RemoveUmLanguagePack:deDE
/SourceDir: oder /s:
Setup.com /AddUmLanguagePack:de-DE /s:D:\Downloads
/UpdatesDir: oder /u:
Setup.com /AddUmLanguagePack:de-DE /s:D:\Downloads /u:D: \Updates
Sprache
Dateiname
Code
US-Englisch
en-US.msi
en-US
Deutsch
de-DE.msi
de-DE
Französisch
fr-FR.msi
fr-FR
Japanisch
ja-JP.msi
ja-JP
UK-Englisch
en-GB.msi
en-GB
Koreanisch
ko-KR.msi
ko-KR
Spanisch (Iberian)
es-ES.msi
es-ES
Tabelle A.1: Übersicht über die Schalter für die unbeaufsichtigte Installation (Forts.)
469
Anhang A
Schalter
Wert
Beispiel
Sprache
Dateiname
Code
Mandarin (China)
zh-CN.msi
zh-CN
Mandarin (Taiwan)
zh-TW-msi
zh-TW
Holländisch
nl-NL.msi
nl-NL
Italienisch
it-IT.msi
it-IT
Portugiesisch (Brasilien)
pt-BR.msi
pt-BR
Schwedisch
sv-SE.msi
sv-SE
Australisch (Englisch)
en-AU.msi
en-AU
Kanadisch (Französisch)
fr-CA.msi
fr-CA
Lateinamerikanisch (Spanisch)
es-US.msi
es-US
Tabelle A.1: Übersicht über die Schalter für die unbeaufsichtigte Installation (Forts.)
470
Anhang B Sprache (Gebietsschema)
Sprachcode
Arabisch (Algerien)
5121
Arabisch (Bahrein)
15361
Arabisch (Ägypten)
3073
Arabisch (Irak)
2049
Arabisch (Jordanien)
11265
Arabisch (Kuwait)
13313
Arabisch (Libanon)
12289
Arabisch (Libyen)
4097
Arabisch (Marokko)
6145
Arabisch (Oman)
8193
Arabisch (Katar)
16385
Arabisch (Saudi-Arabien)
1025
Arabisch (Syrien)
10241
Arabisch (Tunesien)
7169
Arabisch (Vereinigte Arabische Emirate)
14337
Arabisch (Jemen)
9217
Baskisch
1069
Bulgarisch
1026
Katalanisch
1027
Chinesisch (Hongkong SAR)
3076
Chinesisch (Macau SAR)
5124
Chinesisch (Volksrepublik China)
2052
Chinesisch (Singapur)
4100
Chinesisch (Taiwan)
1028
Kroatisch
1050
Tschechisch
1029
Dänisch
1030
Tabelle B.1: Sprachcodes für die Spracheinstellungen in Outlook Web Access bzw. Outlook
Anhang B
Sprache (Gebietsschema)
Sprachcode
Niederländisch (Belgien)
2067
Niederländisch (Königreich der Niederlande)
1043
Englisch (Australien)
3081
Englisch (Belize)
10249
Englisch (Kanada)
4105
Englisch (Irland)
6153
Englisch (Jamaika)
8201
Englisch (Neuseeland)
5129
Englisch (Republik der Philippinen)
13321
Englisch (Südafrika)
7177
Englisch (Trinidad)
11273
Englisch (Vereinigtes Königreich)
2057
Englisch (Vereinigte Staaten)
1033
Englisch (Simbabwe)
12297
Estnisch
1061
Finnisch
1035
Französisch (Belgien)
2060
Französisch (Kanada)
3084
Französisch (Frankreich)
1036
Französisch (Luxemburg)
5132
Französisch (Monaco)
6156
Französisch (Schweiz)
4108
Deutsch (Österreich)
3079
Deutsch (Deutschland)
1031
Deutsch (Liechtenstein)
5127
Deutsch (Luxemburg)
4103
Deutsch (Schweiz)
2055
Griechisch
1032
Hebräisch
1037
Tabelle B.1: Sprachcodes für die Spracheinstellungen in Outlook Web Access bzw. Outlook (Forts.)
472
Anhang B
Sprache (Gebietsschema)
Sprachcode
Hindi
1081
Ungarisch
1038
Isländisch
1039
Italienisch (Italien)
1040
Italienisch (Schweiz)
2064
Japanisch
1041
Koreanisch
1087
Lettisch
1062
Litauisch
1063
Malaiisch
1086
Norwegisch (Bokmål)
1044
Persisch
1065
Polnisch
1045
Portugiesisch (Brasilien)
1046
Portugiesisch (Portugal)
2070
Rumänisch
1048
Russisch
1049
Serbisch (Kyrillisch)
3098
Serbisch (Lateinisch)
2074
Slowakisch
1051
Slowenisch
1060
Spanisch (Argentinien)
11274
Spanisch (Bolivien)
16394
Spanisch (Chile)
13322
Spanisch (Kolumbien)
9226
Spanisch (Costa Rica)
5130
Spanisch (Dominikanische Republik)
7178
Spanisch (Ecuador)
12298
Spanisch (El Salvador)
17418
Spanisch (Guatemala)
4106
Tabelle B.1: Sprachcodes für die Spracheinstellungen in Outlook Web Access bzw. Outlook (Forts.)
473
Anhang B
Sprache (Gebietsschema)
Sprachcode
Spanisch (Honduras)
18442
Spanisch (Mexico)
1058
Spanisch (Nicaragua)
19466
Spanisch (Panama)
6154
Spanisch (Paraguay)
15370
Spanisch (Peru)
10250
Spanisch (Puerto Rico)
20490
Spanisch (internationale Sortierung)
3082
Spanisch (traditionelle Sortierung)
1034
Spanisch (Uruguay)
14346
Spanisch (Venezuela)
8202
Schwedisch (Finnland)
2077
Schwedisch (Schweden)
1053
Thailändisch
1054
Türkisch
1055
Ukrainisch
1058
Urdu
1056
Vietnamesisch
1066
Tabelle B.1: Sprachcodes für die Spracheinstellungen in Outlook Web Access bzw. Outlook (Forts.)
Auf einem Server mit deutschem Betriebssystem und deutscher Exchange Server 2007-Version (ohne weiteres Sprachpaket für Unified Messaging) lauten die Standardsprachen Deutsch (de-DE; Code: 1031) und Englisch (en-US; Code: 1033).
474
Anhang C C.1
CD zum Buch
Auf der CD zum Buch finden Sie im Verzeichnis Buchdaten eine Sammlung hilfreicher Tools und Werkzeuge für den Einsatz mit Exchange Server und Outlook. Bitte beachten Sie, dass weder der Verlag noch der Autor für diese Sammlung eine Unterstützung gewähren. Beachten Sie bitte auch die Lizenzbestimmungen der jeweiligen Software. Der Verlag haftet nicht für unsachgemäßen Gebrauch dieser Softwareprodukte. Bei einem Defekt des Datenträgers leistet der Verlag gerne Ersatz. Unter der E-Mail-Adresse [email protected] oder der Telefonnummer +49 (0)89 46003 222 erhalten Sie gern weitere Unterstützung Im Verzeichnis eBook finden Sie außerdem das Buch im PDF-Format.
C.2
Microsoft Exchange Server MAPI Editor
Produktseite: http://www.microsoft.com/downloads/details.aspx?FamilyId=55FDFFD71878-4637-9808-1E21ABB3AE37&displaylang=en Softwareart: Freeware Funktion: Mit dem Microsoft Exchange Server MAPI Editor erhalten Sie über die Outlook- Programmieroberfläche direkten Zugriff auf Exchange Inhalte. Hersteller: http://www.microsoft.com Größe: 268KB Sprache: Englisch Dateiname: MfcMapi.exe
C.3
Microsoft Exchange Server ActiveSync Web Administration Tool
Produktseite: http://www.microsoft.com/downloads/details.aspx?FamilyID=e6851d23d145-4dbf-a2cc-e0b4c6301453&DisplayLang=en
Anhang C
Softwareart: Freeware Funktion: Mit diesem Zusatzprogrammm verschaffen Sie sich einen bequemen Überblick über alle mobile Geräte, die per ActiveSync auf den Server zugreifen. Hersteller: http://www.microsoft.com Größe: 468 KB Sprache: Englisch Dateiname: MobileAdmin(32-bit).msi
C.4
OLXTaskReport Agent
Produktseite: http://www.gangl.de/url/OLXTaskReport.html Softwareart: Shareware Funktion: Generierung komfortabler Übersichten aller unerledigter/offener Aufgaben Hersteller: Gangl Dienstleistungen Größe: 2,8 MB Sprache: Deutsch Dateiname: OLXTaskReportAgentSetup.exe
C.5
MapiLab Rules For Exchange
Produktseite: http://www.mapilab.com/de/exchange/rules/ Softwareart: Shareware Funktion: MAPILab Rules for Exchange ist ein Programm für Microsoft® Exchange Server und MIcrosoft® Small Business Server 2000/2003. Damit können Sie auf eine einfache Weise die Regeln zur Bearbeitung eingehender Nachrichten erstellen und verwalten. Dieses Produkt bietet eine wesentlich größere Flexibilität und Funktionalität, als die Standardserverregeln, die über Microsoft Outlook aufgestellt werden können und setzt dabei eine völlig andere Technologie ein. Das Programm unterstützt alle Nachrichttypen
476
Anhang C
Hersteller: MapiLab Größe: 2,5 MB Sprache: Deutsch Dateiname: exchange_rules.zip
C.6
Microsoft Network Monitor 3.1
Produktseite: http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59df4d8-4213-8d17-2f6dde7d7aac&DisplayLang=en Softwareart: Freeware Funktion: Der Network Monitor ist ein Analyse-Tool, das den Netzwerk-Traffic überwacht und protokolliert. Wichtig im Bereich Exchange-Troubleshooting Hersteller: Microsoft Größe: 3,17 MB Sprache: Englisch Dateiname: NM31_Release_x64.msi
C.7
Microsoft Forefront Security for Exchange Server with Service Pack 1
Produktseite: http://www.microsoft.com/downloads/details.aspx?FamilyID=2ceb14d4404b-4d8f-8a21-ebfc71b2e82b&DisplayLang=en Softwareart: Evaluierungsversion Funktion: Dieses Microsoft-Modul führt Sicherheitslösungen im Bereich Exchange Server zusammen und hilft Ihnen so bei der Bekämpfung virtueller Schädlinge. Hersteller: Microsoft Größe: 38,1 MB Sprache: Deutsch Dateiname: setup.exe
477
Anhang C
C.8
OLXNotifyByMail Agent
Produktseite: http://www.gangl.de/url/OLXNotifyByMail.html Softwareart: Shareware Funktion: Ein Exchange-Systemdienst, der E-Mail-Benachrichtigungen bei Veränderungen in beliebigen Ordnern von Exchange© generiert. Hersteller: Gangl Dienstleistungen Größe: 2,5 MB Sprache: Deutsch Dateiname: OLXNotifyByMailAgentSetup.exe
C.9
Exchange 2007 Anti Spam Migration Tool
Produktseite: http://www.microsoft.com/downloads/details.aspx?FamilyId=805EAF35EBB3-43D4-83E4-A4CCC7D88C10&displaylang=en Softwareart: Freeware Funktion: Hilft den Administratoren, Spam-Einstellungen von Exchange 2003 auf Exchange 2007 zu migrieren. Hersteller: Microsoft Größe: 64 KB Sprache: Englisch Dateiname: Exchange2007AntiSpamMigration.msi
C.10 Exchange Server Stress and Performance Produktseite: http://www.microsoft.com/downloads/details.aspx?FamilyId=7F944850945F-4E60-B6D6-CF7341D7F9C3&displaylang=en Softwareart: Freeware Funktion: Simuliert den Zugriff einer großen Anzahl von Clients und hilft so, die Performance der Serverumgebung auszuloten. Hersteller: Microsoft
478
Anhang C
Größe: 6 MB Sprache: Englisch Dateiname: ESP.msi
C.11 Microsoft Exchange Server 2007 SP1 Management Pack for Microsoft Operations Manager 2005 Produktseite: http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID= 30eebc7c-a35a-41ae-9cd1-2047847fde85 Softwareart: Freeware Funktion: Das Exchange Server 2007 Management Pack beinhaltet Regeln und Skripte, mit denen Sie die Performance und Verfügbarkeit aller Rollen des Exchange 2007-Servers überwachen können: Postfächer, Clientzugriff, Unified Messaging etc. Hersteller: Microsoft Größe: 1,1 MB Sprache: Deutsch Dateiname: Exchange2007ManagementPackForMOM2005.msi
C.12 Kernel Recovery for OST Produktseite: http://www.nucleustechnologies.com/exchange-ost-recovery.html Softwareart: Shareware Funktion: Rettet bzw. repariert defekte *.ost-Dateien Hersteller: Nucleus Größe: 1,91 MB Sprache: Englisch Dateiname: Nucleus-OST-PST-Demo.exe
479
Anhang C
C.13 OLXAttachmentsArchive(FileSystem) Agent Produktseite: http://www.gangl.de/url/OLXAttachmentsArchive(FileSystem).html Softwareart: Shareware Funktion: Archivierung/Verlinkung von Attachments aus Postfächern/Öffentlichen Ordnern in das Dateisystem Hersteller: Gangl Dienstleistungen Größe: 3,1 MB Sprache: Deutsch Dateiname: OLXAttachmentsArchive(FileSystem)AgentSetup.exe
C.14 OLXBirthday Agent Produktseite: http://www.gangl.de/url/OLXBirthday.html Softwareart: Shareware Funktion: Generierung einer Geburtstagsübersicht inkl. automatischem Glückwunsch via E-Mail oder SMS Hersteller: Gangl Dienstleistungen Größe: 2,3 MB Sprache: Deutsch Dateiname: OLXBirthdayAgentSetup.exe
C.15 Folder Permissions Manager Produktseite: http://www.symprex.com/products/folder-permissions-manager/ Softwareart: Shareware Funktion: Symprex Folder Permissions Manager erlaubt Administratoren eine zentrale Verwaltung aller Benutzer-Berechtigungen auf Postfächer und Öffentliche Ordner.
480
Anhang C
Hersteller: Symprex Größe: 5,26 MB Sprache: Englisch Dateiname: Folder_Permissions_Manager_410_Setup.exe
C.16 UltraBac Produktseite: http://www.ultrabac.com/products/40product-descriptions/v8_agents.asp Softwareart: Shareware Funktion: Backup und Desaster Recovery-Software Hersteller: UltraBac Größe: 34 MB Sprache: Englisch Dateiname: UBX86.zip
C.17 EcKnownledge Produktseite: http://www.casahl.com/Solutions/MSExchangeSolutions.html Softwareart: Shareware Funktion: Migiriert Exchange-Server-Daten in Lotus Notes, SharePoint etc. Hersteller: Casahl Größe: 60 MB Sprache: Englisch Dateiname: ecKnownledge92.exe
481
Anhang C
C.18 OLXCompanyAppointments Produktseite: http://www.gangl.de/url/OLXCompanyAppointments.html Softwareart: Shareware Funktion: Firmenweites Eintragen von Feier- und Brückentagen sowie Betriebsferien in allen Postfach-Kalendern Hersteller: Gangl Dienstleistungen Größe: 1,76 MB Sprache: Deutsch Dateiname: OLXCompanyAppointmentsSetup.exe
C.19 OLXFreeBusyRefresh Agent Produktseite: http://www.gangl.de/url/OLXFreeBusyRefresh.html Softwareart: Shareware Funktion: Echtzeit-Aktualisierung der serverseitigen Frei/Gebucht-Zeiten Hersteller: Gangl Dienstleistungen Größe: 2 MB Sprache: Deutsch Dateiname: OLXFreeBusyRefreshAgentSetup.exe
C.20 OLXContactActivityCollector Agent Produktseite: http://www.gangl.de/url/OLXContactActivityCollector.html Softwareart: Shareware Funktion: Der OLXContactActivityCollector Agent bietet Ihnen den schlanken Weg zur Kontaktoptimierung und nutzt dabei herkömmliche Outlook-Elemente wie das Journal. Er bündelt die Kontaktaktivitäten zu einem globalen und zentral gehaltenen Datenpool und schafft so eine journalorientierte Transparenz aller Kontaktereignisse. Alle mit einem oder mehreren Kontakten verbundenen Outlook-Einträge werden zentral zusammengeführt.
482
Anhang C
Hersteller: Gangl Dienstleistungen Größe: 2,5 MB Sprache: Deutsch Dateiname: OLXContactActivityCollectorSetup.exe
C.21 GFI EventManager Produktseite: http://www.gfi.com/eventsmanager/ Softwareart: Shareware Funktion: GFI EventsManager 8 überwacht, verwaltet und archiviert Ereignisse aller Art, ob W3C- und Windows-Ereignisse oder Syslog-Meldungen und SNMPTraps von Geräten wie Firewalls, Routern und Sensoren Hersteller: GFI Größe: 65 MB Sprache: Deutsch Dateiname: eventsmanager8.exe
C.22 ChooseFrom for Exchange 2007 Produktseite: http://www.ivasoft.biz/choosefrom2007.shtml Softwareart: Shareware Funktion: Mal angenommen, Sie haben für ein Benutzer-Postfach mehrere E-MailAdressen hinterlegt. Das Problem: Sie können Ihre Nachrichten immer nur über die erste, hinterlegte E-Mail-Adresse senden. ChooseFrom ermöglicht es Ihnen, beim Versand zwischen allen im Postfach hinterlegten E-Mail-Adressen wählen zu können. Hersteller: IvaSoft Größe: 7 KB Sprache: Englisch Dateiname: ChooseFrom2007-Demo.zip
483
Anhang C
C.23 AttachView Produktseite: http://messageware.com/products/exchange-2003/OWA-Attachments.php Softwareart: Shareware Funktion: Wenn Sie über Outlook Web Access Mails senden und Attachments einsehen, werden Kopien dieser Objekte in den Temporary Internet Files auf dem lokalen Computer gespeichert. Dort bilden Sie ein potentielles Sicherheitsrisiko. AttachView sichert den Zugriff über OWA ab und konvertiert Ihre Anlagen bzw.überführt sie in ein gesichertes Web-Umfeld. Hersteller: Messageware Größe: 42 MB Sprache: Englisch Dateiname: EVAL_Messageware_AttachView_2007_r431.zip
C.24 POP3Connector6 Produktseite: http://www.archimatrix.com/index.html?http://www.archimatrix.com/us/ software/arxConnector/index.htm Softwareart: Shareware Funktion: POP3-Connector, routet POP3-Accounts zum Exchange Server oder lokalen SMTP-Adressen. Hersteller: Archimatrix Größe: 2,5 MB Sprache: Englisch Dateiname: ARX_POP3_604_2886.msi
484
Anhang C
C.25 PSTWay for OWA Produktseite: http://www.everywherenetworks.net/owa-pstway.php Softwareart: Shareware Funktion: Integriert lokale Persönliche Ordner-Dateien in Ihre Outlook Web Access-Oberfläche! Hersteller: Everywhere Networks Größe: 77 MB Sprache: Englisch Dateiname: PSTWay v1.2.2 Setup.zip
C.26 PROMODAG Reports for Exchange Server Produktseite: http://www.promodag.com/ad/TGNX/prodlisting.aspx Softwareart: Shareware Funktion: Dieses Tool generiert diverse, besonders für Administratoren nützliche Berichte über Serverperformance, Postfach-Größe etc. Hersteller: Promodag Größe: 29 MB Sprache: Englisch Dateiname: prpx8e.exe
C.27 Mail Detective Produktseite: http://www.advsoft.info/en/products/maildetective/ Softwareart: Shareware Funktion: Ein E-Mail-Überwachungstool, mit dem Sie den gesamten Mailverkehr in Ihrer Exchange-Organisation überprüfen und filter können (z.B. das Aufkommen privater Mails innerhalb der Arbeitszeit etc.)
485
Anhang C
Hersteller: ADVSoft Größe: 3,94 MB Sprache: Englisch Dateiname: MailDetective2.exe
C.28 OLXCal Produktseite: http://www.gangl.de/url/OLXCal.html Softwareart: Shareware Funktion: Gruppen-, Team- und Jahreskalender für den Outlook-Client (mit oder ohne Exchange) Hersteller: Gangl Dienstleistungen Größe: 30 MB Sprache: Deutsch Dateiname: OLXCal2Setup.zip
C.29 Out Of Office Manager Produktseite: http://www.symprex.com/products/out-of-office-manager/ Softwareart: Shareware Funktion: Erweitert den Abwesenheitsmanager um nützliche Funktionen Hersteller: Symprex Größe: 5,26 MB Sprache: Englisch Dateiname: Out_of_Office_Manager_350_Setup.exe
486
Anhang C
C.30 MailBasket MD Produktseite: http://www.turbogeeks.com/products/mailbasket.asp Softwareart: Shareware Funktion: Leitet fehladressierte E-Mails an ein „Catch-All“-Postfach weiter ohne eine Non Delivery-Fehlermeldung zu senden Hersteller: TurboGeeks Größe: 1,43 MB Sprache: Englisch Dateiname: mb205.exe
C.31 PrintMessage Produktseite: http://www.ornicusa.com/products/actions/irsaprint/ Softwareart: Shareware Funktion: Druckt eingehende Mails via Exchange automatisch aus Hersteller: Ornic Größe: 4,59 MB Sprache: Englisch Dateiname: irsaprint220.exe
487
Stichwortverzeichnis Symbole .NET Framework 2.0 49, 55, 150 /Exadmin 204 /Exchange 203 /Exchweb 203 /owa 202 /Public 203
Numerisch 32 Bit 38–39, 45, 47, 373, 375 64 Bit 15, 38–39, 373, 375
A Absender zulässige 170 Absenderfilterung 114–116, 148 Absenderzuverlässigkeit 115 Active Clustered Mailbox Server 59 Active Directory 113, 405 Benutzer und Computer 16–17 Active Directory Application Mode (ADAM) 51 Active Directory Ligthweight Directory Services (ADLDS) 51 Active Directory Migration Tool 3.0 (ADMT 3.0) 299 ActiveSync 235, 239, 243, 245–246 ADAM 113–114, 326 AdamLdapPort 67, 468 AdamSslPort 68, 468 AddUmLanguagePack 75, 469 Administrative Gruppen 19 Administratoren-Gruppe lokale 81 Adminpack 16 Adressbuch persönliches 184 Adresslisten 279 Adressrichtlinien 279 ADSIEdit 176, 291 AlowedFileTypes 212
AMD-64-Bit-Prozessor 47 Anlagenfilterung 114, 121 Anlagenvorschau 184 answerFile 65, 467 Anti-Spam 35, 99, 138 Anti-Spam-Schutz 114 Anti-Viren 157 Anti-Viren-Schutz 114 Anti-Virus 99 ASP .NET 2.0 51 ASR 106 Aufgabenblock 184 Aufnahmeverzeichnis 99 Authentifizierung formularbasierte 216 Authentifizierungsmethoden 216 Autodiscover 179 autodiscover 180 autodiscover.xml 176 Autodiscover-Dienst 174 AutoDiscovery 91 AutoErmittlungsdienst 91 Automatische Telefonzentrale 103
B Benutzer-Limit 187 Benutzerprofil 377 Berichte 172 Betrieb 171 Betriebssysteme 50 BITS 150 Body cc 125 Body Disposition-Notification-To 125 Body From 125 Body Reply-To 125 Body resent-From 125 Body Resent-Sender 125 Body Return-Receipt-To 125 Body Sender 125 Body To 125
489
Stichwortverzeichnis
C CalcSheet 390 CCR 18, 82, 84, 96, 465 CCR-Cluster 428, 439 CDOEx 181 ClearLocalCms 73 ClientAccess 51, 54, 61, 87–88, 93 ClientAccess-Server 81, 174, 195, 396 Client-Zugriff 182 Cluster 59, 71, 443 Cluster Continuous Replication (CCR) 18, 37 Cluster-Installation 72 Cluster-Knoten 73, 83–85 Cluster-Replikation 424 CmsDataPath 72, 469 CmsSharedStorage 72, 469 Com und Netzwerkzugriff 51 Compliance 20 Computer öffentlicher 210, 214, 218, 220 privater 210, 214, 218, 220 Connector-Limit 187 CPU 376, 416 CPU-z 16
D Datei 170 Dateianhänge 209 Dateifreigaben 231 Datenbanken 37 Datencenter-Infrastruktur 405 Delegation 73–74 Delegieren 309 Delegierung 307 Dienstkonto 447 Digest-Authentifizierung 217 Dimensionierung 373, 386, 396–397 Direct Push 235–236 DNS 47 DNS-Lookup 115 DNS-Round-Robin 113 DNS-Suffix 47 Domain Name System (DNS) 405 Domain-Admin 81 DomainController 65, 71, 467–468 490
Domäne 443 Domänen-Controller 44 DoNotStartTransport 66, 69, 467–468 DTMF 106 DVD 48
E Edge-Abonnementinformationen 338 Edge-Abonnements 334 Edge-Transport 51, 54, 87, 113, 122, 126–127, 130 EHLO 115 Ehlo 139 Einzelkopie-Cluster 440, 442, 455 E-Mail-Routing 263 EMEA 16 Empfängerfilterung 114, 116, 143 Empfängerinformationen 337 Empfangs-Connectoren 339 EnableErrorReporting 67, 69, 468 EnableLegacyOutlook 66, 467 Enterprise Edition 38 Envelope From 125 Envelope To 125 ESEUTIL 422 ExBPA 21 Exchange 5.5 46 Exchange ActiveSync 91 Exchange Best Practices Analyzer (ExBPA) 23 Exchange Hosted Services 127 Exchange Load Generator 401 Exchange Management Tools 54 Exchange Organization Administrators 81 Exchange Server Jetstress 400 Exchange Server-Version 5.5 45 exchangeLegacyDN 294 Exchange-Organisation 45 ExchangeSetup.log 78 ExchangeSetup.msilog 79 Exchange-Webdienste 181 ExoleDB 181 exsetup.com 58
Stichwortverzeichnis
F
I
Fail 118 Fax-Empfang 103 Fax-Nachrichten 107 FBA 219 Fehlerbehebung 420 Festplatten 376 Filterlisten 170 Filteroptionen 170 Forefront 157, 163–164 ForeignForestFQDN 74, 469 Formularbasierte Authentifizierung (FBA) 217–218 Fortlaufende Cluster-Replikation (Cluster Continuous Replication, CCR) 403 Fortlaufende lokale Replikation (Local Continuous Replication, LCR) 403, 413, 424 Fortlaufende Replikation 413 Frei/Gebucht-Zeiten 57, 302 FSW 426–427
I/O-Operationen 376 Identity Lifcycle Manager 299 IIS 6.0 150 ILM FP1 299 IMAP4 91, 249, 300 IMF 119, 149 Informationsspeichertreiber 99 Inhaltsfilter 135, 170 Inhaltsfilterung 114, 119 Integrierte WindowsAuthentifizierung 217 Intel-EM64T-Prozessor 47 Internet Information Server 51 IntraOrg 254 IP/VoIP-Gateway 105 IP/VoIP-TK-Anlage 104 IP-Gateway-Objekte 109 IP-Sperrlisten 138 IP-Zulassungslisten 138 ISP 175 Itanium IA 64 47
G
K
Geocluster 445 Gesamtstruktur 45 get-excommand 17 Get-Mailbox 31 get-mailbox 32 Globales Limit 187 Gruppen administrative 295 GUI (Grafical User Interface, grafische Benutzeroberfläche) 53
Katalogserver globaler 113 Koexistenz 96 Kompatibilitätsmodus 160 Konfigurationsinformationen 337
H Hardware 399, 443 Header-Informationen 117 HELO 115 Helo 139 HMAC 219 Hochverfügbarkeit 461 Hotfix 45 HTTP 193 Hub-Transport 19, 51, 54, 61, 87, 97, 100, 130
L LCR 415, 418–419, 421, 423 LegacyRoutingServer 66, 467 Lizenzschlüssel 40 Lotus Domino-Server 95 Lotus Notes 300
M Mailbox 51, 54, 59, 61, 87, 93, 97 Mailbox-Ansage 103 Mailbox-Cluster 96 Mailbox-Server 386 Majority Node Set, MNS 427 Management Tools 52 Management-Konsole 21
491
Stichwortverzeichnis
Management-Konsole 3.0 24 MAPI-Protokoll 192 Microsoft .NET Framework 2.0 (inkl. SP1) 60 Microsoft Core XML Services 51 Microsoft Exchange Best Practices Analyzer (ExBPA) 313 Microsoft Management Console (MMC) 16, 60 Microsoft Management Console 3.0 55 Microsoft PowerShell 55, 60 Microsoft Windows Media Audio Voice Codec 51 Microsoft-Transporter-Suite 301 Migration 248, 253 MIME 121 MIME-Typen 214 Mixed Mode 46 MNS 426 mode 63, 68, 467–468 Modus einheitlicher 46 sicherer 160 MS PSS 78 MX 113 MX-Eintrag 463 MX-Ressourcenanfragen 113
N Nachricht ablehnen 118 löschen 118 Nachrichtenfilter intelligenter 149 Nachrichtenübermittlung 98 NDR 123 NDRs 140 Network Load Balancing 462 Neutral 118 NewCms 71, 468 NewProvisionedServer 73, 469 NLB 462 None 118 NoSelfSignedCertificates 67, 468 NT4 46 NTFS 48 492
O ObjectspacePATH (OPATH) 279 OCT 199 Öffentliche-Ordner-Datenbank 56–57 Offline-Adressbuch (OAB) 57, 285 Offline-Wartung 94 OMA 235 OPATH 281 Ordner, öffentlicher 94–95, 270, 289, 293 Organisationslimit 187 OrganizationName 64, 467 Outlook 2000 57 Outlook Anywhere 90, 192, 194, 197 Outlook Web Access 18–19, 202, 218 Outlook Web Access (OWA) 89 Outlook Web Access Light 89 Outlook Web Access Premium 89 OWA-Limit 187
P Partner 407 Pass 118 Passive Clustered Mailbox Server 59 PermError 118 POP3 91, 249, 300 Postfachrichtlinie 109, 239 PowerShell 17, 26–27, 35, 269, 277 PRA 117 PrepareAD 70, 468 PrepareAllDomains 70, 468 PrepareDomain 70, 468 PrepareLegacyExchangePermissions 69, 468 PrepareSchema 70, 468 Protokolle 105 Proxy-Server 116 Prozesse 33 Prozessoren 384, 387 ps1 29
Q Quarantäne 172 Queue Viewer 21 Quorum 441
Stichwortverzeichnis
R RAM 47, 416 Real-Time-Blocklisten 145–146 Rechenzentrum 407 Recipient Update Service (RUS) 290 RecoverCms 72, 469 Remote-Desktop 52 Remoteregistrierungsdienst 81 RemoveCms 71, 468 RemoveProvisionedServer 73, 469 RemoveUmLanguagePack 75, 469 Replikation 270 RFC 131, 137 Richtlinien 407 role 64, 467 Round Robin 108, 464 Routing-Gruppen 19 RPC 193 über HTTP-Proxy 51 RPC-Proxy-Server 194 RTM 41 RTP 106 RUS 291
S S/MIME 90, 307, 340 Safe Sender List Aggregation 134 Safelist 30 Safelist-Aggregation 28 Sammelanschluss 108 SCC 73, 82, 84, 96, 442, 447, 466 Schema-Admin 81 Schlüsselwort 170 SCL 118–121 SCP 176, 178, 180 SCR 73, 458, 460 SCW 317–318, 322 SCW-Richtlinie 329 Security Configuration Wizard (SCW) 313 Sende-Connectoren 339 Sender and Recipient Filtering 134 Sender ID 135 Sender Policy Framework 141
Sender-ID-Filterung (Sender-ID = Absenderidentität) 114, 117 ServerAdmin 74, 469 Server-Limit 187 Serverrollen 43, 87 Service Connection Point (SCP) 176, 299 Service Level 407 Service Pack 1 49 Service Pack 2 51, 53 setup.com 62–63 SharePoint-Seiten 231 Sicherheitskonfigurationsassistent 307, 317 Sicherung 94 Sicherungs- und WiederherstellungsDienste 405 Single Copy 37 SIP 105 SMTP 98 SMTP-Domänen 113 Sofortsuche 184 Soft fail 118 Software 443 SourceDir 65, 75, 467, 469 SP1 80, 82, 84 Speech Server 51 Speicher (RAM) 385, 388 Speichergruppen 37 Speicher-Subsysteme 405 Speichersystem 446 Speicherverwaltung 375 SPF 118–119, 141–142 Spoofing 117 Sprachpaket 76 SQL-Datenbank 150 SRV-Eintrag 181 SSL-Zertifikat 178 Standard Edition 38 Standardauthentifizierung 216–217 Standby 410 Cold 411 Warm 412 Standby Continuous Replication (SCR) 18, 456
493
Stichwortverzeichnis
Standby-Datenbank 18 Stempeln des Status 118 Storage Requirements Calculator 389 Systemmonitor 378
T TargetDir: 64, 68, 467–468 TCP 106 TCP/IP-Netzwerk 405 Telefonzentralenobjekte 107 Telnet 136 TempError 118 TK-Anlage 110–111 TLS 106, 307, 332 Toolbox 21 Topologie-Informationen 338 Transaktionsprotokolle 408 Transition 298 Transportmülleimer 424 Transportrichtlinien 98
V Verbindungsfilterung 114, 134 Versionen Standard und Enterprise 37 Virenüberprüfung 114, 124 Vorfälle 172
W Wählplan 109 Web Access-URL 205 Web.config 205 web.config 215 WebDAV 181 Webdienste 92 WebReady 214 Wiederherstellung 94 Windows Media Encoder 9.0 51 Windows Server 2008 77 Windows-Firewall 83 Wissen 407 WSUS 3.0 149–150, 154–155
U Überwachung 420 Überwachungsdienste 405 UDP 105 Umschreiben von Adressen 124 Unified Messaging 51, 74–75, 87, 100–102, 104, 107, 111–112 Unified Messaging-Server 397 UpdatesDir: 65, 75, 467, 469 upgradecms 83, 85
494
X XML-Datei 175, 178, 180, 201
Z Zertifikate 338 Zugriffslizenzen 42
Copyright Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen eBook-Zusatzdaten sind urheberrechtlich geschützt. Dieses eBook stellen wir lediglich als persönliche Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses eBooks oder zugehöriger Materialien und Informationen, einschliesslich •
der Reproduktion,
•
der Weitergabe,
•
des Weitervertriebs,
•
der Platzierung im Internet, in Intranets, in Extranets,
•
der Veränderung,
•
des Weiterverkaufs
•
und der Veröffentlichung
bedarf der schriftlichen Genehmigung des Verlags. Insbesondere ist die Entfernung oder Änderung des vom Verlag vergebenen Passwortschutzes ausdrücklich untersagt! Bei Fragen zu diesem Thema wenden Sie sich bitte an: [email protected] Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf unseren Websites ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen. Hinweis Dieses und viele weitere eBooks können Sie rund um die Uhr und legal auf unserer Website
http://www.informit.de herunterladen
